Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral do bloqueio de sessão do assinante PPPoE

O bloqueio da sessão do assinante PPPoE, também chamado de lockout do tipo encapsulamento PPPoE,impede temporariamente (bloqueios) uma sessão de assinante PPPoE dinâmica ou estática com falha ou curta duração da reconexão por um certo período de tempo. Esse período, conhecido como período de bloqueio,é derivado de uma fórmula e aumenta exponencialmente com base no número de falhas sucessivas de reconexão.

Você pode configurar o bloqueio da sessão do assinante PPPoE, também conhecido como proteção de curto ciclo,para interfaces dinâmicas de assinantes VLAN, VLAN (demux) e interfaces dinâmicas de assinantes PPPoE-over-ATM (PPPoE-over-ATM).

Esta visão geral descreve os conceitos que você precisa entender para configurar o bloqueio de sessão do assinante PPPoE e abrange os seguintes tópicos:

Benefícios de usar o bloqueio da sessão de assinantes PPPoE

O bloqueio da sessão do assinante PPPoE fornece os seguintes benefícios:

  • Reduz o excesso de carga no roteador por:

    • Reduzindo os recursos necessários para processar pacotes de controle PPPoE para negociar e encerrar conexões de curta duração

    • Reduzir os recursos necessários para alocar e negociar serviços, como classe de serviço (CoS) e filtros de firewall, para sessões de assinante com falha ou curta duração

    • Adiamento temporário de sessões de assinante com falha ou curta duração a favor de sessões que possam ser concluídas com sucesso.

  • Reduz o carregamento excessivo em servidores externos de autenticação, autorização e contabilidade (AAA), como RADIUS ou Diameter:

    • Como resultado de sessões de assinante PPPoE com falha ou curta duração que ocorrem repetidamente para o mesmo assinante

    • Com a redução dos recursos necessários para autenticar e encerrar essas conexões,

  • Permite o bloqueio de uma única sessão de PPP com falha ou curta duração sem interromper outras sessões de PPP na mesma interface subjacente do PPPoE

    Como o bloqueio da sessão do assinante PPPoE identifica cada sessão do assinante por seu endereço de origem exclusivo de controle de acesso ao meio (MAC) na interface subjacente ou por seu valor de identificador de circuito de agente (ACI), o roteador pode bloquear apenas a sessão de PPP ofendência enquanto permite outras sessões de PPP na mesma interface subjacente para negociar a conexão com sucesso.

Condições que causam sessões de assinante PPPoE de curta duração

As condições que podem causar uma sessão de assinantes de curta duração incluem:

  • Recusas de autenticação de servidores AAA externos, como RADIUS, devido à falta de uma entrada correspondente no banco de dados RADIUS ou devido a tentativas de login incorretas

  • Erros de configuração em um perfil dinâmico ou RADIUS registro

  • Recursos de memória insuficientes para criar uma interface de assinante PPPoE dinâmica

  • Falha ou erro de protocolo na interface de assinante do PPPoE dinâmica

  • Logout do cliente pouco depois de um login bem-sucedido; essa ação cria uma interface de assinante PPPoE dinâmica completa antes da interface ser destruída

Como funciona o bloqueio da sessão de assinantes PPPoE

O bloqueio da sessão do assinante PPPoE está desabilitado no roteador por padrão. Ao habilitar o bloqueio da sessão do assinante PPPoE, o roteador faz o seguinte:

  1. Detecta uma sessão de assinante de curta duração, também conhecida como evento de curto ciclo.

    Uma sessão de assinante de curta duração é detectada, criada parcial ou completamente, e terminada pelo roteador em 150 segundos. O roteador identifica cada sessão do assinante PPPoE por seu endereço de origem MAC exclusivo na interface subjacente PPPoE ou por seu valor de ACI.

  2. Monitora o tempo entre os eventos de curto ciclo repetidos para determinar se deve aumentar o tempo de bloqueio para um evento de curto ciclo posterior.

  3. Aplica uma multa de tempo para cada evento de curto ciclo com base em um período de bloqueio predefinido ou configurado e no número de eventos consecutivos de curto ciclo que ocorrem repetidamente para o mesmo assinante.

  4. Bloqueia temporariamente o assinante PPPoE especificado impedindo a conexão com o roteador.

    Durante o bloqueio, o roteador derruba pacotes de negociação para a sessão de assinantes PPPoE até o período de bloqueio expirar. Quando o período de bloqueio expirar, a sessão do assinante PPPoE e seu endereço de origem MAC ou valor de ACI associados retomam a negociação normal da conexão.

Bloqueio da sessão de assinantes PPPoE em interfaces baseadas em ACI

Por padrão, o roteador identifica uma sessão do assinante usando o endereço de origem MAC exclusivo na interface subjacente PPPoE. Você pode configurar o bloqueio da sessão do assinante com base na cadeia de ACI da interface subjacente, o que permite bloquear todas as sessões de assinantes PPPoE da mesma casa.

A string de ACI está contida nos pacotes de controle DSL Forum Agent-Circuit-ID VSA [26-1] (opção 0x105) de pacotes de controle PPPoE Active Discovery Initiation (PADI) e PPPoE Active Discovery Request (PADR). Essa opção bloqueia todas as sessões de assinante PPPoE na interface subjacente que compartilham a mesma string de ACI em seus pacotes de controle PPPoE PADI e PADR.

O bloqueio da sessão do assinante PPPoE com base no valor de ACI é útil quando os endereços de origem MAC não são exclusivos na interface subjacente do PPPoE. Por exemplo:

  • Sessões de função de intertrabalhamento PPPoE nas quais os endereços MAC de todas as sessões de função intertrabalhante PPPoE contêm o endereço MAC do dispositivo DSLAM

  • Configurações nas quais o nó de acesso (geralmente um dispositivo DSLAM) sobregrava o endereço de origem MAC nos pacotes PPPoE recebidos do equipamento do local do cliente (CPE) com seu próprio endereço MAC para fins de segurança

  • Endereços de origem MAC duplicados em residências diferentes em uma configuração de N:1 (VLAN de serviço), que exige que o roteador use uma combinação do endereço de origem MAC e do valor de ACI para identificar um assinante com exclusividade

Bloqueio e proteção duplicada da sessão do assinante PPPoE

A proteção duplicada, que é desabilitada no roteador por padrão, impede a ativação de outra sessão de assinante PPPoE na mesma interface subjacente PPPoE quando uma sessão de assinantes PPPoE com o mesmo endereço de controle de acesso ao meio (MAC) já está ativa nessa interface. Ao configurar o bloqueio da sessão do assinante PPPoE, recomendamos que você habilita a proteção duplicada para garantir que o endereço de origem MAC de cada sessão PPPoE ativa seja exclusivo na interface subjacente.

Com o bloqueio de sessão do assinante PPPoE configurado, o roteador identifica sessões de assinante por seu endereço de origem MAC exclusivo. Se o roteador detectar uma sessão de assinante de curta duração (curto ciclo), ele aplicará o período de bloqueio predefinido ou configurado ao endereço de origem MAC para impedir temporariamente a reconexão. Se o endereço de origem MAC não for exclusivo na interface subjacente, várias sessões de assinante PPPoE com o mesmo endereço de origem MAC também podem ser afetadas pelo bloqueio.

Persistência da condição de bloqueio após a remoção automática de VLANs de assinante dinâmico

Você pode configurar a remoção automática de VLANs assinantes que não tenham sessões de cliente PPPoE, emissão da remove-when-no-subscribers instrução em nível [edit interfaces interface-name auto-configure] de hierarquia. Se o bloqueio da sessão do assinante PPPoE também estiver configurado na interface, a condição de bloqueio persiste mesmo depois que o roteador removeu a interface de assinante demux VLAN ou VLAN dinâmica.

Quando você configura o bloqueio da sessão do assinante PPPoE e a remoção automática de VLANs assinantes sem sessões do cliente, a condição de bloqueio para as sessões do assinante afetado persiste até o tempo expirar o tempo de bloqueio para cada cliente PPPoE que sofreu o bloqueio na interface subjacente. Se você criar a interface de assinante de demux VLAN ou VLAN novamente antes de expirar todos os temporizadores, a condição de bloqueio persiste para a interface de assinante recém-criada.

Uso de Identificadores do tipo encapsulamento para limpar ou exibir a condição de bloqueio

Você pode limpar a condição de bloqueio para um endereço de origem MAC ou valor de ACI específico, todos os endereços de origem MAC ou valores de ACI ou para um valor ACI que atende a uma expressão regular baseada em UNIX, especificando opções de identificador de tipo de encapsulamento VLAN ou ATM no ou no clear pppoe lockout vlan-identifier clear pppoe lockout atm-identifier comando, respectivamente. Da mesma forma, você pode exibir informações sobre a condição de bloqueio e o status das sessões de assinante afetadas, incluindo opções de identificador do tipo show pppoe lockout vlan-identifier encapsulamento no ou show pppoe lockout atm-identifier comando. Especificar identificadores de bloqueio do tipo encapsulamento permite limpar ou exibir a condição de bloqueio quando nenhuma interface subjacente existe para a sessão do assinante.

Para o tipo de encapsulamento VLAN em interfaces de assinante VLAN e VLAN demux, as opções de identificador incluem:

  • Nome do dispositivo (interface física ou pacote ethernet agregado)

  • ID S-VLAN (etiqueta externa)

  • ID VLAN (etiqueta interna)

Para o tipo de encapsulamento ATM em interfaces de assinante PPPoE-over-ATM, as opções de identificador incluem:

  • Nome do dispositivo (interface física ou pacote ethernet agregado)

  • Identificador de caminho virtual (VPI)

  • Identificador de circuito virtual (VCI)

Rescisão da condição de bloqueio

Quando uma sessão de assinante PPPoE identificada por um valor de ACI ou um endereço de origem MAC exclusivo está sendo trancado, a condição de bloqueio persiste até que todos os temporizadores de bloqueio tenham expirado, exceto quando ocorrer um dos seguintes:

  • Você desocupa administrativamente a condição de bloqueio com a emissão do clear pppoe lockout comando operacional.

  • Você reconfigura o módulo de interface no qual a sessão do assinante está configurada.

Ao limpar a condição de bloqueio ou reinicializar o módulo de interface, o roteador termina o bloqueio para todas as sessões de assinantes PPPoE na interface subjacente e limpa o histórico de bloqueio para todas as sessões do assinante afetada.