NESTA PÁGINA
Benefícios de usar o bloqueio de sessão de assinantes do PPPoE
Condições que causam sessões de assinantes de PPPoE de curta duração
Bloqueio de sessão de assinantes do PPPoE em interfaces baseadas em ACI
Bloqueio de sessão de assinantes do PPPoE e proteção duplicada
Persistência da condição de bloqueio após a remoção automática de VLANs dinâmicas de assinantes
Uso de identificadores do tipo de encapsulamento para limpar ou exibir a condição de bloqueio
Visão geral do bloqueio de sessão de assinantes do PPPoE
O bloqueio de sessão de assinantes do PPPoE, também chamado de bloqueio do tipo de encapsulamento PPPoE, impede temporariamente que (bloqueie) uma sessão de assinantes de PPPoE estática ou dinâmica com falha ou de curta duração de se reconectar por um determinado período de tempo. Esse período de tempo, conhecido como período de bloqueio, é derivado de uma fórmula e aumenta exponencialmente com base no número de sucessivas falhas de reconexão.
Você pode configurar o bloqueio de sessão do assinante PPPoE, também conhecido como proteção de ciclo curto, para interfaces dinâmicas de assinantes VLAN, VLAN demultiplexing (demux) e PPP-over-Ethernet-over-ATM (PPPoE-over-ATM).
Essa visão geral descreve os conceitos que você precisa entender para configurar o bloqueio de sessão de assinantes do PPPoE e abrange os seguintes tópicos:
Benefícios de usar o bloqueio de sessão de assinantes do PPPoE
O bloqueio de sessão de assinantes do PPPoE oferece os seguintes benefícios:
Reduz o carregamento excessivo no roteador em:
Reduzir os recursos necessários para processar pacotes de controle de PPPoE para negociar e encerrar conexões de curta duração
Reduzir os recursos necessários para alocar e realocar serviços, como classe de serviço (CoS) e filtros de firewall, para sessões de assinantes com falha ou de curta duração
Adiando temporariamente sessões de assinantes com falha ou de curta duração a favor de sessões que possam ser concluídas com sucesso.
Reduz o carregamento excessivo em servidores externos de autenticação, autorização e contabilidade (AAA), como RADIUS ou Diameter:
Como resultado de sessões de assinantes de PPPoE com falha ou de curta duração que ocorrem repetidamente para o mesmo assinante
Ao reduzir os recursos necessários para autenticar e encerrar essas conexões
Permite o bloqueio de uma única sessão PPP com falha ou de curta duração sem interromper outras sessões de PPP na mesma interface subjacente de PPPoE
Como o bloqueio da sessão de assinantes do PPPoE identifica cada sessão de assinantes por seu endereço fonte exclusivo de controle de acesso à mídia (MAC) na interface subjacente ou pelo valor do identificador de circuito de agente (ACI), o roteador pode bloquear apenas a sessão de PPP ofensiva enquanto permite que outras sessões de PPP na mesma interface subjacente negociem com sucesso a conexão.
Condições que causam sessões de assinantes de PPPoE de curta duração
As condições que podem causar uma sessão de assinantes de curta duração incluem:
Negações de autenticação de servidores AAA externos, como RADIUS, devido à ausência de uma entrada correspondente no banco de dados RADIUS ou devido a tentativas de login impróprias
Erros de configuração em um perfil dinâmico ou registro RADIUS
Recursos de memória insuficientes para criar uma interface dinâmica de assinantes de PPPoE
Falha de protocolo ou erro na interface dinâmica de assinantes do PPPoE
Logotipo do cliente logo após um login bem-sucedido; essa ação cria uma interface de assinante PPPoE dinâmica completa antes que a interface seja demolida
Como funciona o bloqueio da sessão de assinantes do PPPoE
O bloqueio de sessão de assinantes do PPPoE é desativado no roteador por padrão. Ao ativar o bloqueio de sessão de assinantes do PPPoE, o roteador faz o seguinte:
Detecta uma sessão de assinantes de curta duração, também conhecida como um evento de ciclo curto.
Uma sessão de assinantes de curta duração é detectada, parcial ou completamente criada e terminada pelo roteador em 150 segundos. O roteador identifica cada sessão de assinantes do PPPoE por seu endereço de origem MAC exclusivo na interface subjacente do PPPoE ou pelo seu valor de ACI.
Acompanha o tempo entre eventos repetidos de ciclo curto para determinar se deve aumentar o tempo de bloqueio para um evento subsequente de ciclo curto.
Aplica-se uma penalidade de tempo para cada evento de ciclo curto com base em um período de bloqueio padrão ou configurado e o número de eventos consecutivos de ciclo curto que ocorrem repetidamente para o mesmo assinante.
Bloqueia temporariamente o assinante PPPoE especificado impedindo a conexão com o roteador.
Durante o bloqueio, o roteador derruba pacotes de negociação para a sessão de assinantes do PPPoE até que o período de bloqueio expira. Quando o período de bloqueio expirar, a sessão de assinantes do PPPoE e seu endereço de origem MAC associado ou valor de ACI retomam a negociação normal da conexão.
Bloqueio de sessão de assinantes do PPPoE em interfaces baseadas em ACI
Por padrão, o roteador identifica uma sessão de assinantes usando o endereço de origem MAC exclusivo na interface subjacente do PPPoE. Você pode configurar o bloqueio de sessão de assinantes com base na seqüência de ACI da interface subjacente, que permite bloquear todas as sessões de assinantes de PPPoE da mesma casa.
A corda de ACI está contida no DSL Forum Agent-Circuit-ID VSA [26-1] (opção 0x105) do PPPoE Active Discovery Initiation (PADI) e pacotes de controle de PPPoE Active Discovery Request (PADR). Essa opção bloqueia todas as sessões de assinantes de PPPoE na interface subjacente que compartilham a mesma string de ACI em seus pacotes de controle PPPoE PADI e PADR.
O bloqueio de sessão de assinantes do PPPoE com base no valor da ACI é útil quando os endereços de origem MAC não são exclusivos na interface subjacente do PPPoE. Por exemplo:
Sessões de funções de intertrabalho de PPPoE em que o MAC aborda todas as sessões de funções interoperantes do PPPoE contêm o endereço MAC do dispositivo DSLAM
Configurações em que o nó de acesso (geralmente um dispositivo DSLAM) substitui o endereço de origem MAC em pacotes PPPoE recebidos do equipamento das instalações do cliente (CPE) com seu próprio endereço MAC para fins de segurança
Endereços de origem MAC duplicados em diferentes residências em uma configuração de N:1 (VLAN de serviço), o que exige que o roteador use uma combinação do endereço de origem MAC e o valor de ACI para identificar um assinante de forma única
Bloqueio de sessão de assinantes do PPPoE e proteção duplicada
A proteção duplicada, que é desabilitada no roteador por padrão, impede a ativação de outra sessão de assinantes de PPPoE na mesma interface subjacente do PPPoE quando uma sessão de assinantes de PPPoE com o mesmo endereço de controle de acesso de mídia (MAC) já está ativa nessa interface. Ao configurar o bloqueio de sessão do assinante PPPoE, recomendamos que você habilite a proteção duplicada para garantir que o endereço fonte MAC para cada sessão de PPPoE ativo seja exclusivo na interface subjacente.
Com o bloqueio de sessão de assinantes do PPPoE configurado, o roteador identifica sessões de assinantes por seu endereço de origem MAC exclusivo. Se o roteador detectar uma sessão de assinante de curta duração (ciclo curto), ele aplicará o período de bloqueio padrão ou configurado nesse endereço de origem MAC para evitar temporariamente a reconexão. Se o endereço de origem MAC não for exclusivo na interface subjacente, várias sessões de assinantes de PPPoE com o mesmo endereço fonte MAC também podem ser afetadas pelo bloqueio.
Persistência da condição de bloqueio após a remoção automática de VLANs dinâmicas de assinantes
Você pode configurar a remoção automática de VLANs assinantes que não têm sessões de cliente de PPPoE emitindo a remove-when-no-subscribers declaração no [edit interfaces interface-name auto-configure] nível hierárquicos. Se o bloqueio da sessão de assinantes do PPPoE também estiver configurado na interface, a condição de bloqueio persiste mesmo após o roteador ter removido a interface dinâmica de assinantes VLAN ou VLAN demux.
Quando você configura tanto o bloqueio de sessão de assinantes do PPPoE quanto a remoção automática de VLANs assinantes sem sessões de cliente, a condição de bloqueio para as sessões de assinantes afetadas persiste até que o temporização de bloqueio expira para cada cliente PPPoE em bloqueio na interface subjacente. Se você criar novamente a interface de assinante de demux VLAN ou VLAN antes de todos os temporizantes expirarem, a condição de bloqueio persiste para a interface de assinante recém-criada.
Uso de identificadores do tipo de encapsulamento para limpar ou exibir a condição de bloqueio
Você pode limpar a condição de bloqueio para um endereço de origem MAC específico ou valor de ACI, todos os endereços de origem MAC ou valores de ACI, ou para um valor de ACI que corresponda a uma expressão regular baseada em UNIX especificando opções de identificador de tipo de encapsulamento VLAN ou ATM no clear pppoe lockout vlan-identifier ou clear pppoe lockout atm-identifier comando, respectivamente. Da mesma forma, você pode exibir informações sobre a condição de bloqueio e o status das sessões de assinantes afetadas, incluindo opções de identificador de tipo de encapsulamento no show pppoe lockout vlan-identifier comando ou show pppoe lockout atm-identifier no comando. Especificar os identificadores de bloqueio do tipo de encapsulamento permite limpar ou exibir a condição de bloqueio quando não existe nenhuma interface subjacente para a sessão do assinante.
Para o tipo de encapsulamento VLAN em interfaces de assinantes VLAN e VLAN demux, as opções de identificador incluem:
Nome do dispositivo (interface física ou pacote Ethernet agregado)
ID S-VLAN (tag externa)
ID de VLAN (tag interna)
Para o tipo de encapsulamento ATM em interfaces de assinantes PPPoE-over-ATM, as opções de identificador incluem:
Nome do dispositivo (interface física ou pacote Ethernet agregado)
Identificador de caminho virtual (VPI)
Identificador de circuito virtual (VCI)
Terminação da condição de bloqueio
Quando uma sessão de assinantes de PPPoE identificada por um valor de ACI ou um endereço de origem MAC exclusivo está passando por bloqueio, a condição de bloqueio persiste até que todos os temporizadores de bloqueio tenham expirado, exceto quando qualquer um dos seguintes ocorrer:
Você limpa administrativamente a condição de bloqueio emitindo o
clear pppoe lockoutcomando operacional.Você reinicia o módulo de interface no qual a sessão de assinantes está configurada.
Ao limpar a condição de bloqueio ou redefinir o módulo de interface, o roteador encerra o bloqueio para todas as sessões de assinantes de PPPoE na interface subjacente e libera o histórico de bloqueio para todas as sessões de assinantes afetadas.