NESTA PÁGINA
Benefícios do uso do bloqueio de sessão de assinantes do PPPoE
Condições que causam sessões de assinantes de PPPoE de curta duração
Bloqueio de sessão de assinantes de PPPoE em interfaces baseadas em ACI
Bloqueio de sessão de assinantes do PPPoE e proteção duplicada
Persistência da condição de bloqueio após a remoção automática de VLANs dinâmicas de assinantes
Uso de identificadores do tipo de encapsulamento para limpar ou exibir a condição de bloqueio
Visão geral do bloqueio de sessão de assinantes do PPPoE
O bloqueio de sessão de assinantes do PPPoE, também chamado de bloqueio do tipo encapsulamento PPPoE, impede temporariamente (trava) uma sessão de assinantes de PPPoE estática ou dinâmica com falha ou de curta duração de se reconectar por um determinado período de tempo. Esse período de tempo, conhecido como período de bloqueio, é derivado de uma fórmula e aumenta exponencialmente com base no número de falhas sucessivas de reconexão.
Você pode configurar o bloqueio de sessão do assinante PPPoE, também conhecido como proteção de ciclo curto, para interfaces dinâmicas de assinantes VLAN, VLAN demultiplexing (demux) e PPP-over-Ethernet-over-ATM (PPPoE-over-ATM).
Esta visão geral descreve os conceitos que você precisa entender para configurar o bloqueio de sessão de assinantes do PPPoE e abrange os seguintes tópicos:
Benefícios do uso do bloqueio de sessão de assinantes do PPPoE
O bloqueio da sessão de assinantes do PPPoE fornece os seguintes benefícios:
Reduz o carregamento excessivo no roteador por:
Reduzir os recursos necessários para processar pacotes de controle de PPPoE para negociar e encerrar conexões de curta duração
Reduzir os recursos necessários para alocar e alocar serviços, como classe de serviço (CoS) e filtros de firewall, para sessões de assinantes com falha ou curta duração
Adiando temporariamente sessões de assinantes com falha ou curta duração em favor de sessões que podem ser concluídas com sucesso.
Reduz o carregamento excessivo em servidores externos de autenticação, autorização e contabilidade (AAA), como RADIUS ou Diâmetro:
Como resultado de sessões de assinantes de PPPoE falhadas ou de curta duração que ocorrem repetidamente para o mesmo assinante
Ao reduzir os recursos necessários para autenticar e encerrar essas conexões
Permite o bloqueio de uma única sessão PPP com falha ou de curta duração sem interromper outras sessões de PPP na mesma interface subjacente do PPPoE
Como o bloqueio de sessão de assinantes do PPPoE identifica cada sessão de assinante por seu endereço de origem exclusivo de controle de acesso de mídia (MAC) na interface subjacente ou pelo valor do identificador de circuito de agente (ACI), o roteador pode bloquear apenas a sessão de PPP ofensiva ao mesmo tempo em que permite que outras sessões de PPP na mesma interface subjacente negociem com sucesso a conexão.
Condições que causam sessões de assinantes de PPPoE de curta duração
As condições que podem causar uma sessão de assinantes de curta duração incluem:
Negações de autenticação de servidores AAA externos, como RADIUS, devido à ausência de uma entrada correspondente no banco de dados RADIUS ou devido a tentativas de login inadequadas
Erros de configuração em um perfil dinâmico ou registro RADIUS
Recursos de memória insuficientes para criar uma interface dinâmica de assinantes PPPoE
Falha de protocolo ou erro na interface dinâmica de assinantes do PPPoE
Logout do cliente logo após um login bem-sucedido; essa ação cria uma interface de assinante PPPoE dinâmica completa antes que a interface seja demolida
Como funciona o bloqueio de sessão de assinantes do PPPoE
O bloqueio de sessão de assinantes do PPPoE é desativado no roteador por padrão. Quando você habilita o bloqueio de sessão de assinantes do PPPoE, o roteador faz o seguinte:
Detecta uma sessão de assinantes de curta duração, também conhecida como um evento de ciclo curto.
Uma sessão de assinante de curta duração é detectada, parcial ou completamente criada, e terminada pelo roteador em 150 segundos. O roteador identifica cada sessão de assinantes de PPPoE por seu endereço de origem MAC exclusivo na interface subjacente ppPoE ou pelo seu valor de ACI.
Acompanha o tempo entre eventos repetidos de ciclo curto para determinar se deve aumentar o tempo de bloqueio para um evento de ciclo curto subsequente.
Aplica uma penalidade de tempo para cada evento de ciclo curto com base em um período de bloqueio padrão ou configurado e o número de eventos consecutivos de ciclo curto que ocorrem repetidamente para o mesmo assinante.
Bloqueia temporariamente o assinante PPPoE especificado impedindo a conexão com o roteador.
Durante o bloqueio, o roteador derruba pacotes de negociação para a sessão de assinantes do PPPoE até que o período de bloqueio expira. Quando o período de bloqueio expirar, a sessão de assinantes do PPPoE e seu endereço de origem MAC associado ou valor de ACI retomam a negociação normal da conexão.
Bloqueio de sessão de assinantes de PPPoE em interfaces baseadas em ACI
Por padrão, o roteador identifica uma sessão de assinante usando o endereço de origem MAC exclusivo na interface subjacente do PPPoE. Você pode configurar o bloqueio de sessão de assinantes com base na cadeia de ACI da interface subjacente, o que permite bloquear todas as sessões de assinantes de PPPoE da mesma casa.
A cadeia de ACI está contida no DSL Forum Agent-Circuit-ID VSA [26-1] (opção 0x105) de pacotes de controle PPPoE Active Discovery Initiation (PADI) e PPPoE Active Discovery Request (PADR). Essa opção bloqueia todas as sessões de assinantes de PPPoE na interface subjacente que compartilham a mesma cadeia de ACI em seus pacotes de controle PPPoE PADI e PADR.
O bloqueio da sessão de assinantes do PPPoE com base no valor da ACI é útil quando os endereços de origem MAC não são exclusivos da interface subjacente do PPPoE. Por exemplo:
Sessões de função de intertrabalho PPPoE nas quais o MAC aborda todas as sessões de funções interoperantes do PPPoE contêm o endereço MAC do dispositivo DSLAM
Configurações em que o nó de acesso (geralmente um dispositivo DSLAM) sobregrava o endereço de origem MAC em pacotes PPPoE recebidos do equipamento de instalações do cliente (CPE) com seu próprio endereço MAC para fins de segurança
Endereços de origem MAC duplicados em residências diferentes em uma configuração de N:1 (VLAN de serviço), o que exige que o roteador use uma combinação do endereço de origem MAC e o valor da ACI para identificar um assinante com exclusividade
Bloqueio de sessão de assinantes do PPPoE e proteção duplicada
A proteção duplicada, que é desabilitada no roteador por padrão, impede a ativação de outra sessão de assinantes de PPPoE na mesma interface subjacente do PPPoE quando uma sessão de assinantes de PPPoE com o mesmo endereço de controle de acesso de mídia (MAC) já está ativa nessa interface. Quando você configura o bloqueio de sessão do assinante PPPoE, recomendamos que você habilite a proteção duplicada para garantir que o endereço de origem MAC para cada sessão de PPPoE ativo seja exclusivo na interface subjacente.
Com o bloqueio de sessão de assinantes do PPPoE configurado, o roteador identifica sessões de assinantes por seu endereço de origem MAC exclusivo. Se o roteador detectar uma sessão de assinante de curta duração (ciclo curto), ele aplicará o período de bloqueio padrão ou configurado a esse endereço de origem MAC para evitar temporariamente a reconexão. Se o endereço de origem MAC não for exclusivo na interface subjacente, várias sessões de assinantes de PPPoE com o mesmo endereço de origem MAC também podem ser afetadas pelo bloqueio.
Persistência da condição de bloqueio após a remoção automática de VLANs dinâmicas de assinantes
Você pode configurar a remoção automática de VLANs de assinantes que não têm sessões de cliente PPPoE emitindo a remove-when-no-subscribers declaração no nível de [edit interfaces interface-name auto-configure] hierarquia. Se o bloqueio de sessão de assinantes do PPPoE também estiver configurado na interface, a condição de bloqueio persiste mesmo após o roteador ter removido a interface dinâmica de assinantes VLAN ou VLAN demux.
Quando você configura tanto o bloqueio de sessão do assinante PPPoE quanto a remoção automática de VLANs de assinantes sem sessões de cliente, a condição de bloqueio para as sessões de assinantes afetadas persiste até que o temporizador de bloqueio expire para cada cliente PPPoE submetido a bloqueio na interface subjacente. Se você criar novamente a interface de assinante de demux VLAN ou VLAN antes de todos os temporizadors expirarem, a condição de bloqueio persiste para a interface de assinante recém-criada.
Uso de identificadores do tipo de encapsulamento para limpar ou exibir a condição de bloqueio
Você pode limpar a condição de bloqueio para um endereço de origem MAC específico ou valor de ACI, todos os endereços de origem MAC ou valores de ACI, ou para um valor de ACI que corresponda a uma expressão regular baseada em UNIX, especificando opções de identificador de tipo de encapsulamento VLAN ou ATM no clear pppoe lockout vlan-identifier ou clear pppoe lockout atm-identifier comando, respectivamente. Da mesma forma, você pode exibir informações sobre a condição de bloqueio e o status das sessões de assinantes afetadas, incluindo opções de identificador de tipo de encapsulamento no show pppoe lockout vlan-identifier ou show pppoe lockout atm-identifier comando. Especificar identificadores de bloqueio do tipo encapsulamento permite limpar ou exibir a condição de bloqueio quando não existe uma interface subjacente para a sessão do assinante.
Para o tipo de encapsulamento VLAN nas interfaces de assinantes VLAN e VLAN demux, as opções de identificador incluem:
Nome do dispositivo (interface física ou pacote Ethernet agregado)
S-VLAN ID (tag externa)
VLAN ID (tag interna)
Para o tipo de encapsulamento ATM nas interfaces de assinantes PPPoE-over-ATM, as opções de identificador incluem:
Nome do dispositivo (interface física ou pacote Ethernet agregado)
Identificador de caminho virtual (VPI)
Identificador de circuito virtual (VCI)
Encerramento da condição de bloqueio
Quando uma sessão de assinantes de PPPoE identificada por um valor de ACI ou por um endereço de origem MAC exclusivo estiver passando por bloqueio, a condição de bloqueio persiste até que todos os tempores de bloqueio tenham expirado, exceto quando algum dos seguintes ocorre:
Você elimina administrativamente a condição de bloqueio emitindo o
clear pppoe lockoutcomando operacional.Você reinicia o módulo de interface no qual a sessão do assinante em bloqueio está configurada.
Ao limpar a condição de bloqueio ou redefinir o módulo de interface, o roteador encerra o bloqueio para todas as sessões de assinantes de PPPoE na interface subjacente e libera o histórico de bloqueio para todas as sessões de assinantes afetadas.