Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Gatilhos de autenticação do tipo de pacote do assinante para VLANs dinâmicas

Por padrão, a autenticação VLAN é acionada por qualquer um dos tipos de pacote especificados com a accept instrução no perfil dinâmico que instancia as interfaces VLAN e assinante. Para determinados casos de negócios, você pode querer um perfil dinâmico mais genérico que inclua vários tipos de pacotes, mas em algumas situações deseja que a VLAN seja autenticada apenas para um subconjunto de seus clientes. Você pode usar a packet-types instrução para especificar o subconjunto desejado.

Exemplos de usos para acionamento de tipo de pacote

Os dois casos de uso a seguir descrevem circunstâncias em que você pode querer autenticar uma VLAN apenas para determinados assinantes e não para outros.

  • Conserving resources in a mixed access model— Um modelo de acesso misto pode empregar VLANs dinâmicas para fornecer serviços para assinantes PPPoE, assinantes IPoE, assinantes IPv6oE ou outros tipos de assinantes. Normalmente, os assinantes do PPPoE são clientes residenciais e os assinantes de IP são clientes empresariais. Uma compreensão da autenticação dinâmica de VLAN e da instanciação de perfil para esses assinantes pode ajudá-lo a conservar recursos do sistema e evitar alguns impactos nos limites de dimensionamento.

    Por padrão, a autenticação é configurada para a interface com base no intervalo de VLAN configurado ou no intervalo de VLAN empilhado. Consequentemente, cada VLAN dinâmica criada no intervalo deve ser autenticada, independentemente do tipo de pacote que aciona a criação de VLAN. Isso funciona bem para os assinantes IPoE e IPv6oE, porque a autenticação dinâmica de VLAN permite que serviços de origem RADIUS, como CoS e filtros, sejam provisionados. No entanto, os assinantes do PPPoE são autenticados pelo PPP, tornando a autenticação dinâmica da VLAN desnecessária e um desperdício de recursos do sistema.

    Você pode evitar esse desperdício restringindo a autenticação dinâmica de VLAN apenas às VLANs que precisam dela. A packet-types instrução permite que você especifique que apenas um subconjunto dos tipos de pacotes aceitos na interface VLAN pode acionar a autenticação. Por exemplo, nesse modelo de acesso heterogêneo, os perfis dinâmicos de VLAN aceitam pacotes PPPoE, IPoE e IPv6oE. Quando você usa a packet-types declaração para especificar que apenas pacotes IPoE ou IPv6oE podem iniciar a autenticação VLAN, os VLANs PPPoE não são enviados ao RADIUS para autenticação.

  • Overriding dynamic profiles in a mixed access model— Outro uso para o acionamento do tipo de pacote é substituir o perfil dinâmico configurado para determinados assinantes. Para fazer isso, crie um perfil dinâmico para atender às necessidades dos assinantes do PPPoE e crie outro perfil dinâmico para os assinantes do IPoE. Os assinantes do PPPoE constituem a maioria dos assinantes neste modelo, portanto, o perfil dinâmico ajustado ao PPPoE é aplicado à interface VLAN. Inclua o perfil de IP no VSA de nome de perfil de cliente da Juniper Networks [26-174]. Configure a packet-types declaração para especificar que somente os pacotes IP disparam a autenticação de VLAN.

    Quando um pacote IPoE é recebido, o RADIUS autentica a VLAN. O RADIUS retorna o perfil de substituição contido no VSA Client-Profile-Name e quaisquer outros atributos de sessão na mensagem Access-Accept. O processo de configuração automática da VLAN substitui o perfil PPPoE instanciando o perfil IP para o assinante IPoE.

Tipos de pacotes para criação e autenticação de VLAN

A Tabela 1 lista os tipos de pacotes que podem ser configurados para autenticação de VLAN, dependendo dos tipos de pacotes configurados para a criação de VLAN.

Tabela 1: Relação entre tipos de pacotes para criação e autenticação de VLAN

Tipos de pacotes para criação de VLAN

Tipos de pacotes para autenticação de VLAN

any

Qualquer combinação de any, dhcp-v4 ou inet, dhcp-v6 ou inet6, e pppoe.

dhcp-v4

Ou dhcp-v4 ou inet.

dhcp-v6

Ou dhcp-v6 ou inet6.

inet

Ou dhcp-v4 ou inet.

inet6

Ou dhcp-v6 ou inet6.

pppoe

pppoe
Observação:

Você não pode configurar simultaneamente os dhcp-v4 tipos de pacotes and or inet dhcp-v6 and as inet6 para criação ou autenticação de VLAN.

A autenticação é realizada para todas as VLANs em um dos seguintes casos:

  • Você não especifica um tipo de pacote para disparar a autenticação.

  • Você configura a any opção para criação e autenticação de VLAN.

Em geral, a autenticação de VLAN é executada quando qualquer pacote do tipo configurado para acionar a criação de VLAN corresponde a um dos tipos de pacote configurados para acionar a autenticação de VLAN. No entanto, para determinadas combinações de pacotes configurados, um pacote específico é necessário para acionar a autenticação. A Tabela 2 lista esses casos especiais.

Tabela 2: Tipos de pacotes necessários para acionar a autenticação para combinações de configuração especiais

Tipo de pacote para criação de VLAN

Tipo de pacote para autenticação VLAN

Pacote necessário para acionar a autenticação

any

inet

qualquer pacote IPv4

any

inet6

qualquer pacote IPv6

any

dhcp-v4

Descoberta de DHCP

any

dhcp-v6

Solicitação de DHCPv6

dhcp-v4

inet

Descoberta de DHCP

dhcp-v6

inet6

Solicitação de DHCPv6

inet

dhcp-v4

Descoberta de DHCP

inet6

dhcp-v6

Solicitação de DHCPv6

Documentação relacionada