Gatilhos de autenticação do tipo pacote de assinantes para VLANs dinâmicas
Por padrão, a autenticação de VLAN é acionada por qualquer um dos tipos de pacote especificados com a accept
declaração no perfil dinâmico que instancia as interfaces VLAN e assinantes. Para determinados casos de negócios, você pode querer um perfil dinâmico mais genérico que inclua vários tipos de pacotes, mas em algumas situações quer que o VLAN seja autenticado apenas para um subconjunto de seus clientes. Você pode usar a packet-types
declaração para especificar o subconjunto desejado.
Usos de amostras para acionamento do tipo de pacote
Os dois casos de uso a seguir descrevem circunstâncias em que você pode querer autenticar uma VLAN apenas para determinados assinantes e não para outros.
Conserving resources in a mixed access model— Um modelo de acesso misto pode empregar VLANs dinâmicas para fornecer serviços para assinantes de PPPoE, assinantes de IPoE, assinantes IPv6oE ou outros tipos de assinantes. Normalmente, os assinantes de PPPoE são clientes residenciais, e os assinantes de IP são clientes comerciais. Uma compreensão da autenticação dinâmica de VLAN e instanciação de perfil para esses assinantes pode ajudá-lo a conservar recursos do sistema e evitar alguns impactos em limites de escala.
Por padrão, a autenticação é configurada para a interface com base na faixa VLAN configurada ou na faixa VLAN empilhada. Consequentemente, todas as VLAN dinâmicas criadas na gama devem ser autenticadas, independentemente do tipo de pacote que desencadeie a criação de VLAN. Isso funciona bem para os assinantes de IPoE e IPv6oE, porque a autenticação dinâmica de VLAN permite que serviços de origem RADIUS, como CoS e filtros, sejam provisionados. No entanto, os assinantes de PPPoE são autenticados pelo PPP, tornando a autenticação VLAN dinâmica desnecessária e um desperdício de recursos do sistema.
Você pode evitar esse desperdício restringindo a autenticação dinâmica de VLAN apenas para as VLANs que precisam dele. A
packet-types
declaração permite especificar que apenas um subconjunto dos tipos de pacotes aceitos na interface VLAN pode desencadear a autenticação. Por exemplo, neste modelo de acesso heterogêneo, os perfis dinâmicos de VLAN aceitam pacotes PPPoE, IPoE e IPv6oE. Quando você usa apacket-types
declaração para especificar que apenas pacotes IPoE ou IPv6oE podem iniciar a autenticação de VLAN, as VLANs PPPoE não são submetidas ao RADIUS para autenticação.Overriding dynamic profiles in a mixed access model— Outro uso para o acionamento do tipo pacote é substituir o perfil dinâmico configurado para determinados assinantes. Para isso, crie um perfil dinâmico para atender às necessidades dos assinantes do PPPoE e criar outro perfil dinâmico para os assinantes de IPoE. Os assinantes de PPPoE compõem a maioria dos assinantes neste modelo, de modo que o perfil dinâmico ajustado por PPPoE é aplicado à interface VLAN. Inclua o perfil de IP no VSA de perfil de cliente da Juniper Networks [26-174]. Configure a
packet-types
declaração para especificar que apenas pacotes IP acionam a autenticação de VLAN.Quando um pacote IPoE é recebido, o RADIUS autentica o VLAN. A RADIUS retorna o perfil de substituição contido no VSA nome do perfil do cliente e quaisquer outros atributos de sessão na mensagem de aceitação de acesso. O processo de autoconfiguração VLAN substitui o perfil PPPoE instanciando o perfil ip para o assinante IPoE.
Tipos de pacotes para criação e autenticação de VLAN
A Tabela 1 lista os tipos de pacote que você pode configurar para autenticação de VLAN, dependendo dos tipos de pacote configurados para criação de VLAN.
Tipos de pacotes para criação de VLAN |
Tipos de pacotes para autenticação de VLAN |
---|---|
|
Qualquer combinação de |
|
|
|
|
|
|
|
|
|
|
Você não pode configurar simultaneamente ambos dhcp-v4
e inet
ou dhcp-v6
inet6
como tipos de pacote para criação ou autenticação de VLAN.
A autenticação é realizada para todas as VLANs em qualquer um dos seguintes casos:
Você não especifica um tipo de pacote para desencadear a autenticação.
Você configura a opção
any
para criação e autenticação de VLAN.
Em geral, a autenticação de VLAN é realizada quando qualquer pacote do tipo configurado para ativar a criação de VLAN combina com um dos tipos de pacote configurados para desencadear a autenticação de VLAN. No entanto, para certas combinações de pacotes configurados, um pacote específico é necessário para desencadear a autenticação. A Tabela 2 lista esses casos especiais.
Tipo de pacote para criação de VLAN |
Tipo de pacote para autenticação de VLAN |
Pacote necessário para ativar a autenticação |
---|---|---|
|
|
qualquer pacote IPv4 |
|
|
qualquer pacote IPv6 |
|
|
DHCP descobrir |
|
|
Solicitação do DHCPv6 |
|
|
DHCP descobrir |
|
|
Solicitação do DHCPv6 |
|
|
DHCP descobrir |
|
|
Solicitação do DHCPv6 |