NESTA PÁGINA
Condições que causam sessões de assinantes PPPoE de curta duração
Bloqueio de sessão de assinante PPPoE em interfaces baseadas em ACI
Bloqueio de sessão do assinante PPPoE e proteção contra duplicatas
Persistência da condição de bloqueio após a remoção automática de VLANs dinâmicas de assinantes
Uso de identificadores de tipo de encapsulamento para limpar ou exibir a condição de bloqueio
Visão geral do bloqueio de sessão do assinante PPPoE
O bloqueio de sessão do assinante PPPoE, também chamado de bloqueio do tipo encapsulamento PPPoE, impede temporariamente (bloqueia) que uma sessão de assinante PPPoE estática ou dinâmica com falha ou de curta duração se reconecte por um determinado período de tempo. Esse período de tempo, conhecido como período de bloqueio, é derivado de uma fórmula e aumenta exponencialmente com base no número de falhas de reconexão sucessivas.
Você pode configurar o bloqueio de sessão de assinante PPPoE, também conhecido como proteção de ciclo curto, para VLAN, demultiplexação de VLAN (demux) e interfaces de assinante dinâmico PPP-sobre-Ethernet-sobre-ATM (PPPoE-sobre-ATM).
Esta visão geral descreve os conceitos que você precisa entender para configurar o bloqueio de sessão do assinante PPPoE e aborda os seguintes tópicos:
Benefícios de usar o bloqueio de sessão de assinante PPPoE
O bloqueio de sessão do assinante PPPoE oferece os seguintes benefícios:
Reduz a carga excessiva no roteador:
Redução dos recursos necessários para processar pacotes de controle PPPoE para negociar e encerrar conexões de curta duração
Reduzir os recursos necessários para alocar e desalocar serviços, como filtros de classe de serviço (CoS) e firewall, para sessões de assinante com falha ou de curta duração
Adiar temporariamente sessões de assinante com falha ou de curta duração em favor de sessões que podem ser concluídas com êxito.
Reduz a carga excessiva em servidores externos de autenticação, autorização e contabilidade (AAA), como RADIUS ou Diameter:
Como resultado de sessões de assinante PPPoE com falha ou de curta duração que ocorrem repetidamente para o mesmo assinante
Reduzindo os recursos necessários para autenticar e encerrar essas conexões
Permite o bloqueio de uma única sessão PPP com falha ou de curta duração sem interromper outras sessões PPP na mesma interface subjacente PPPoE
Como o bloqueio de sessão do assinante PPPoE identifica cada sessão de assinante por seu endereço de origem exclusivo de controle de acesso à mídia (MAC) na interface subjacente ou por seu valor de identificador de circuito de agente (ACI), o roteador pode bloquear apenas a sessão PPP ofensiva enquanto permite que outras sessões PPP na mesma interface subjacente negociem a conexão com êxito.
Condições que causam sessões de assinantes PPPoE de curta duração
As condições que podem causar uma sessão de assinante de curta duração incluem:
Recusas de autenticação de servidores AAA externos, como o RADIUS, devido à ausência de uma entrada correspondente no banco de dados RADIUS ou devido a tentativas de login inadequadas
Erros de configuração em um perfil dinâmico ou registro RADIUS
Recursos de memória insuficientes para criar uma interface de assinante PPPoE dinâmica
Falha ou erro de protocolo na interface dinâmica do assinante PPPoE
Logout do cliente logo após um login bem-sucedido; essa ação cria uma interface de assinante PPPoE dinâmica completa antes que a interface seja desativada
Como funciona o bloqueio de sessão do assinante PPPoE
O bloqueio de sessão do assinante PPPoE está desabilitado no roteador por padrão. Quando você habilita o bloqueio de sessão do assinante PPPoE, o roteador faz o seguinte:
Detecta uma sessão de assinante de curta duração, também conhecida como evento de ciclo curto.
Uma sessão de assinante de curta duração é detectada, parcial ou completamente criada e encerrada pelo roteador em 150 segundos. O roteador identifica cada sessão de assinante PPPoE por seu endereço de origem MAC exclusivo na interface subjacente do PPPoE ou por seu valor ACI.
Rastreia o tempo entre eventos de ciclo curto repetidos para determinar se o tempo de bloqueio de um evento de ciclo curto subsequente deve ser aumentado.
Aplica uma penalidade de tempo para cada evento de ciclo curto com base em um período de bloqueio padrão ou configurado e o número de eventos consecutivos de ciclo curto que ocorrem repetidamente para o mesmo assinante.
Bloqueia temporariamente o assinante PPPoE especificado, impedindo a conexão com o roteador.
Durante o bloqueio, o roteador descarta pacotes de negociação para a sessão do assinante PPPoE até que o período de bloqueio expire. Quando o período de bloqueio expira, a sessão do assinante PPPoE e seu endereço de origem MAC associado ou valor ACI retomam a negociação normal da conexão.
Bloqueio de sessão de assinante PPPoE em interfaces baseadas em ACI
Por padrão, o roteador identifica uma sessão de assinante usando o endereço de origem MAC exclusivo na interface subjacente do PPPoE. Você pode configurar o bloqueio de sessão do assinante com base na string ACI da interface subjacente, o que permite bloquear todas as sessões de assinantes PPPoE da mesma casa.
A string ACI está contida no DSL Forum Agent-Circuit-ID VSA [26-1] (opção 0x105) dos pacotes de controle PPPoE Active Discovery Initiation (PADI) e PPPoE Active Discovery Request (PADR). Essa opção bloqueia todas as sessões de assinantes PPPoE na interface subjacente que compartilham a mesma string ACI em seus pacotes de controle PPPoE, PADI e PADR.
O bloqueio de sessão do assinante PPPoE com base no valor ACI é útil quando os endereços de origem MAC não são exclusivos na interface subjacente do PPPoE. Por exemplo:
Sessões de função de interfuncionamento PPPoE nas quais os endereços MAC de todas as sessões de função de interfuncionamento PPPoE contêm o endereço MAC do dispositivo DSLAM
Configurações nas quais o nó de acesso (geralmente um dispositivo DSLAM) substitui o endereço de origem MAC em pacotes PPPoE recebidos do equipamento de instalações do cliente (CPE) por seu próprio endereço MAC para fins de segurança
Endereços de origem MAC duplicados em residências diferentes em uma configuração N:1 (VLAN de serviço), que exige que o roteador use uma combinação do endereço de origem MAC e do valor ACI para identificar exclusivamente um assinante
Bloqueio de sessão do assinante PPPoE e proteção contra duplicatas
A proteção contra duplicatas, que é desabilitada no roteador por padrão, impede a ativação de outra sessão de assinante PPPoE na mesma interface subjacente PPPoE quando uma sessão de assinante PPPoE com o mesmo endereço MAC (controle de acesso à mídia) já está ativa nessa interface. Ao configurar o bloqueio de sessão do assinante PPPoE, recomendamos que você habilite a proteção contra duplicatas para garantir que o endereço de origem MAC para cada sessão PPPoE ativa seja exclusivo na interface subjacente.
Com o bloqueio de sessão do assinante PPPoE configurado, o roteador identifica as sessões do assinante por seu endereço de origem MAC exclusivo. Se o roteador detectar uma sessão de assinante de curta duração (ciclo curto), ele aplicará o período de bloqueio padrão ou configurado a esse endereço de origem MAC para impedir temporariamente a reconexão. Se o endereço de origem MAC não for exclusivo na interface subjacente, várias sessões de assinantes PPPoE com o mesmo endereço de origem MAC também poderão ser afetadas pelo bloqueio.
Persistência da condição de bloqueio após a remoção automática de VLANs dinâmicas de assinantes
Você pode configurar a remoção automática de VLANs de assinantes que não têm sessões de cliente PPPoE emitindo a remove-when-no-subscribers declaração no nível da [edit interfaces interface-name auto-configure] hierarquia. Se o bloqueio de sessão do assinante PPPoE também estiver configurado na interface, a condição de bloqueio persistirá mesmo depois que o roteador tiver removido a VLAN dinâmica ou a interface do assinante VLAN demux.
Quando você configura o bloqueio de sessão de assinante PPPoE e a remoção automática de VLANs de assinante sem sessões de cliente, a condição de bloqueio para as sessões de assinante afetadas persiste até que o temporizador de bloqueio expire para cada cliente PPPoE que está passando por bloqueio na interface subjacente. Se você criar a interface de assinante VLAN ou VLAN demux novamente antes que todos os temporizadores expirem, a condição de bloqueio persistirá para a interface de assinante recém-criada.
Uso de identificadores de tipo de encapsulamento para limpar ou exibir a condição de bloqueio
Você pode limpar a condição de bloqueio para um endereço de origem MAC específico ou valor ACI, todos os endereços de origem MAC ou valores ACI, ou para um valor ACI que corresponda a uma expressão regular baseada em UNIX especificando as opções de identificador de tipo de encapsulamento VLAN ou ATM no clear pppoe lockout vlan-identifier comando or clear pppoe lockout atm-identifier , respectivamente. Da mesma forma, você pode exibir informações sobre a condição de bloqueio e o status das sessões de assinantes afetadas incluindo opções de identificador de tipo de encapsulamento no show pppoe lockout vlan-identifier comando or show pppoe lockout atm-identifier . A especificação de identificadores de bloqueio de tipo de encapsulamento permite que você limpe ou exiba a condição de bloqueio quando não existe nenhuma interface subjacente para a sessão do assinante.
Para o tipo de encapsulamento VLAN em interfaces de assinante VLAN e VLAN demux, as opções de identificador incluem:
Nome do dispositivo (interface física ou pacote Ethernet agregado)
ID S-VLAN (tag externa)
ID da VLAN (tag interna)
Para o tipo de encapsulamento ATM em interfaces de assinante PPPoE sobre ATM, as opções de identificador incluem:
Nome do dispositivo (interface física ou pacote Ethernet agregado)
Identificador de caminho virtual (VPI)
Identificador de circuito virtual (VCI)
Término da condição de bloqueio
Quando uma sessão de assinante PPPoE identificada por um valor ACI ou um endereço de origem MAC exclusivo está passando por bloqueio, a condição de bloqueio persiste até que todos os temporizadores de bloqueio tenham expirado, exceto quando ocorre uma das seguintes situações:
Você limpa administrativamente a condição de bloqueio emitindo o
clear pppoe lockoutcomando operacional.Você redefine o módulo de interface no qual a sessão do assinante que está sendo bloqueada está configurada.
Quando você limpa a condição de bloqueio ou redefine o módulo de interface, o roteador encerra o bloqueio para todas as sessões de assinantes PPPoE na interface subjacente e limpa o histórico de bloqueio para todas as sessões de assinantes afetadas.