Atacado de Camada 2 com VLANs acionadas por ANCP Visão geral

Autorização RADIUS para VLANs acionadas por ANCP

Quando um assinante faz login, a mensagem de solicitação de acesso enviada ao servidor RADIUS inclui um nome de usuário e, opcionalmente, uma senha gerada localmente no roteador. Você pode configurar o roteador para criar um nome de usuário exclusivo com o valor de ANCP TLVs — Access-Loop-Circuit-ID, Access-Loop-Remote-Id ou ambos — conforme recebido na mensagem ANCP Port Up do nó de acesso. Como alternativa, se você configurar o roteador para transmitir atributos de loop de acesso de origem ANCP como VSAs da Juniper Networks — nesse caso, Acc-Loop-Cir-Id (26-110) e Acc-Loop-Remote-Id (26-182) — a mensagem Access-Request incluirá informações de linha de acesso exclusivas suficientes para o servidor RADIUS determinar se o loop de acesso é vendido por atacado para um varejista ou retido para o atacadista.

O servidor RADIUS responde à solicitação de acesso com uma das seguintes mensagens:

• Access-Accept — Nesse caso, a VLAN acionada pela mensagem Port Up é atacada para um NSP de varejo. A autorização é semelhante à das sessões PPPoE. O Access-Accept inclui o VSA do roteador virtual (26-1) com um valor que corresponde à instância de roteamento exclusiva e não padrão do NSP. Opcionalmente, a mensagem pode incluir serviços de cliente, como atributos para CoS parametrizado, filtros e políticas de firewall para a interface lógica e ativações de serviço de Camada 2.

• Rejeitar acesso — nesse caso, a VLAN acionada pela mensagem de Port Up é um dos próprios assinantes do atacadista ou o RADIUS se recusa a conceder acesso à rede. Em ambos os casos, a entrada VLAN é removida do SDB ANCP. A menos que uma mensagem de Port Down seja recebida primeiro, o roteador ignora as mensagens de Port Up subseqüentes para esse assinante. No entanto, a detecção automática de VLAN empilhada dinâmica convencional pode ser iniciada pela negociação de protocolo de acesso, como PPPoE.

Instanciação de uma VLAN dinâmica acionada por ANCP, com detecção automática

Quando o servidor RADIUS retorna uma mensagem de aceitação de acesso, o perfil dinâmico atribuído ao intervalo VLAN detectado automaticamente é instanciado com os seguintes resultados:

1. A interface lógica VLAN dinâmica que representa o serviço de atacado de Camada 2 dentro da instância de roteamento exclusiva do NSP é criada.

2. Uma interface física voltada para o núcleo é selecionada por um método de distribuição de carga ponderada do conjunto de interfaces elegíveis atribuídas à instância de roteamento do NSP. Uma interface física é elegível quando está operacionalmente ativa e tem pelo menos uma marca VLAN disponível para atribuição.

3. A tag VLAN externa voltada para o acesso e detectada automaticamente é mapeada para uma tag VLAN interna exclusiva. A marca VLAN externa é derivada do TLV Access-Aggregation-Circuit-ID-Binary transportado na mensagem ANCP Port Up. A marca VLAN interna é alocada a partir da faixa VLAN configurada para a interface física voltada para o núcleo.

4. A marca VLAN interna é trocada (substitui) pela marca VLAN externa quando o tráfego do assinante é tunelado para o NSP. No perfil dinâmico, a tag VLAN interna é fornecida pela variável predefinida, $junos-inner-vlan-map-id.

5. A marca VLAN externa com detecção automática é trocada pela marca VLAN interna quando os pacotes downstream do NSP (que incluem a marca VLAN interna alocada) são encaminhados ao assinante.

   Você pode configurar cada interface física voltada para o núcleo com um intervalo de até 4094 IDs de VLAN. A faixa de troca VLAN interna é atribuída à interface física localmente. Isso significa que os intervalos VLAN internos para diferentes interfaces físicas podem se sobrepor completamente, parcialmente ou não se sobrepor.

6. Opcionalmente, antes que os pacotes do assinante sejam encaminhados para um NSP, o identificador de protocolo de tag VLAN (TPID) externo nos pacotes do assinante pode ser trocado por um TPID para atender aos requisitos de um NSP individual. Nesse caso, o valor original é trocado pelo NSP TPID por pacotes encaminhados ao assinante.

7. Uma tag VLAN adicional, a ID VLAN de tronco, é usada internamente para identificar a interface física voltada para o núcleo provisionada para que o tráfego do assinante possa ser tunelado para a interface alocada. No perfil dinâmico, essa ID é fornecida pela variável predefinida, $junos-vlan-map-id. Esse identificador diferencia entre várias interfaces físicas de tronco voltadas para o núcleo para o mesmo NSP.

8. Quaisquer serviços de cliente, como filtros de CoS ou firewall, são aplicados à sessão do assinante. Esses serviços são especificados opcionalmente na configuração do RADIUS e transmitidos na mensagem RADIUS como VSAs da Juniper Networks.

9. A sessão VLAN é ativada depois que a interface lógica é criada e configurada para a sessão VLAN dinâmica. A ativação da sessão inicia uma mensagem RADIUS Accounting-Start. Todos os serviços que foram recebidos do RADIUS durante a autorização agora estão ativados.

10. Depois que a VLAN dinâmica tiver sido criada, as mensagens subsequentes de Porta ANCP não causarão uma nova autorização da sessão VLAN dinâmica. Em vez disso, quando o agente ANCP recebe outra mensagem Port Up para o loop de acesso, ele atualiza o SDB ANCP com quaisquer alterações nos atributos ANCP.

Balanceamento de carga ponderado para sessões de assinantes em interfaces físicas voltadas para o núcleo qualificadas

O roteador usa distribuição de carga ponderada em vez de distribuição round robin para atribuir sessões de assinante de atacado de Camada 2 em várias interfaces físicas voltadas para o núcleo de acordo com o peso da interface. O peso de uma interface se correlaciona com o número de tags VLAN disponíveis nas faixas de troca de ID VLAN internas agregadas (voltadas para o núcleo) na interface.

A forma como você configura os intervalos internos de troca de ID de VLAN determina os pesos relativos das interfaces:

• A interface com o maior número de tags de ID de VLAN internas disponíveis tem o maior peso.

• A interface com o próximo maior número de tags tem o próximo peso mais alto e assim por diante.

• A interface com o menor número de tags disponíveis tem o menor peso.

Usar as tags de ID de VLAN internas disponíveis dos intervalos de troca em vez do total de tags VLAN agregadas significa que os pesos relativos das interfaces são mais dinâmicos. O mecanismo de distribuição de carga ponderada pode responder mais rapidamente a logouts de assinantes, migração da propriedade do assinante de atacadista para varejista e varejista para atacadista, transições de estado de interface física voltadas para o núcleo (incluindo movimento para as interfaces voltadas para o núcleo elegíveis restantes quando um estado de interface faz a transição de Up para Down) e falhas de qualquer uma das interfaces físicas voltadas para o núcleo. Quando uma interface se recupera (faz a transição de Down para Up), a distribuição de carga ponderada geralmente favorece essa interface para sessões pendentes ou para novas sessões de atacado de Camada 2 que ocorrem posteriormente.

Com a distribuição de carga ponderada, o roteador seleciona interfaces aleatoriamente, mas as sessões são distribuídas entre interfaces proporcionalmente em relação ao peso das interfaces. O roteador gera um número aleatório dentro de um intervalo igual ao total agregado de todas as tags de ID de VLAN internas disponíveis a partir dos intervalos de troca de todas as interfaces físicas voltadas para o núcleo. O roteador então associa parte do intervalo — um conjunto de números — a cada interface proporcional ao peso da interface. Uma interface com um peso maior está associada a uma parte maior do intervalo — um pool maior — do que uma interface com um peso menor. Uma interface é selecionada quando o número aleatório está em seu pool de números associado. É mais provável, em média, que o número aleatório esteja em um pool maior, portanto, uma interface com um peso maior (pool maior) tem mais probabilidade de ser selecionada do que uma interface com um peso menor (pool menor).

Por exemplo, considere duas interfaces físicas voltadas para o núcleo, IFD1 e IFD2. Com base nos intervalos internos de troca de ID de VLAN configurados para essas duas interfaces, o IFD1 tem 1000 tags VLAN disponíveis e o IFD2 tem apenas 500 tags disponíveis. As sessões do assinante são distribuídas aleatoriamente pelas duas interfaces com base em seus pesos relativos; O IFD1 tem um peso maior que o IFD2. Como o IFD1 tem o dobro de tags disponíveis que o IFD2, o pool de números associados ao IFD1 também é o dobro do IFD2. O número aleatório gerado pelo roteador tem duas vezes mais chances de estar no pool para IFD1 do que para IFD2. Consequentemente, o IFD1 é favorecido 2:1 em relação ao IFD2, e as sessões do assinante têm duas vezes mais chances de serem atribuídas ao IFD1 do que ao IFD2.

Atualizações contábeis intermediárias do RADIUS

Os relatórios contábeis intermediários enviados à AAA para VLANs dinâmicas com detecção automática e acionadas fora de banda são suportados da mesma maneira que para VLANs ou sessões de clientes convencionais com detecção automática e dinâmicas autorizadas (como sessões PPPoE). O agente ANCP envia uma notificação à AAA quando recebe uma atualização do nó de acesso. Por padrão, o AAA relata apenas a atualização para o servidor RADIUS no intervalo configurado.

Você pode configurar o agente ANCP para que, quando ele notificar a AAA, uma mensagem de solicitação de contabilidade de atualização provisória seja enviada imediatamente ao servidor RADIUS. Atualizações contábeis provisórias imediatas podem ser enviadas para uma sessão VLAN dinâmica acionada por ANCP somente quando ocorre uma alteração em determinados atributos ANCP importantes para a linha de acesso associada que pode influenciar o comportamento do sistema. Para evitar uma carga adicional no servidor RADIUS para alterações em atributos ANCP menos críticos, as alterações em quaisquer outros atributos ANCP não acionam mensagens imediatas de atualização intermediária de contabilidade. Em vez disso, essas alterações são relatadas na próxima mensagem agendada de atualização intermediária de contabilidade.

Atualizações contábeis provisórias imediatas podem ser enviadas para alterações em qualquer um dos seguintes atributos ANCP para uma sessão existente que corresponda à linha de acesso (com base no Access-Loop-Circuit-ID TLV):

• Actual-Net-Data-Rate-Upstream — Quando a taxa de upstream calculada (ajustada) resulta em uma mudança nesse atributo, a mensagem contábil relata o atributo no VSA Act-Data-Rate-Up da Juniper Networks (26-113). A mudança de velocidade calculada é relatada no VSA Upstream-Calculated-QoS-Rate (26-142).

• Actual-Net-Data-Rate-Downstream — Quando a taxa de downstream calculada (ajustada) resulta em uma mudança nesse atributo, a mensagem contábil relata o atributo no Juniper Networks Act-Data-Rate-Dn VSA (26-114). A mudança de velocidade calculada é relatada no VSA Downstream-Calculated-QoS-Rate (26-141).

Quando a ancp-speed-change-immediate-update instrução é configurada no nível de hierarquia, as [edit access profile profile-name accounting] atualizações contábeis provisórias imediatas do RADIUS são enviadas para alterações nos TLVs Actual-Net-Data-Rate-Upstream e Actual-Net-Data-Rate-Downstream.

Quando, além disso, a auto-configure-trigger interface interface-name instrução é configurada no nível de [edit protocols ancp neighbor ip-address] hierarquia, atualizações contábeis provisórias imediatas também são enviadas para alterações nos TLVs Access-Loop-Remote-ID e Access-Aggregation-Circuit-ID-Binary.

Para obter mais informações sobre as atualizações contábeis provisórias imediatas do RADIUS, consulte Configuração de atualizações contábeis intermediárias imediatas para o RADIUS em resposta a notificações ANCP.

Remoção do serviço de atacado da Camada 2

Qualquer um dos eventos a seguir pode remover a interface lógica para a VLAN dinâmica que representa o serviço de acesso fornecido pelo atacadista de Camada 2:

• O recebimento de uma mensagem ANCP Port Down para o loop de acesso correspondente. Os mesmos atributos ANCP que iniciam a criação dinâmica de VLAN também iniciam a destruição dinâmica de VLAN.

  Nenhuma ação é executada para uma mensagem ANCP Port Down para a qual qualquer uma das seguintes situações seja verdadeira:

  • Não existe nenhuma sessão de assinante correspondente.

  • Uma sessão de assinante correspondente está presente, mas está em processo de exclusão.

  • A mensagem refere-se a uma sessão convencional de detecção automática (que é removida pelo processamento normal do protocolo).

• Uma redefinição explícita da conexão entre o agente ANCP e o nó de acesso, que aciona um logout em massa de todas as sessões VLAN dinâmicas afetadas que oferecem suporte às conexões de acesso de Camada 2 atacadas. As sessões para os próprios assinantes do atacadista não são afetadas.

• A exclusão ou transição para um estado operacional inativo da interface física voltada para o assinante ou da interface física voltada para o núcleo.

• A perda de adjacência entre o vizinho e o agente ANCP.

• A emissão do clear auto-configuration interfaces comando para fazer logout da VLAN ou o clear ancp access-loop comando para forçar a reinicialização de um assinante.

• O recebimento de uma mensagem de desconexão iniciada pelo RADIUS.

Qualquer um desses eventos também desativa a sessão do assinante para evitar futuras ativações de serviço e emite uma mensagem RADIUS Accounting-Stop para serviços relacionados e para a sessão dinâmica do assinante VLAN. O perfil dinâmico é então desinstanciado para remover primeiro a interface lógica VLAN dinâmica e, em seguida, a entrada de sessão correspondente no SDB VLAN.

Você pode monitorar o número de sessões de assinantes interconectadas de Camada 2 por porta. Use o show subscribers summary port extensive comando para exibir o número de assinantes por porta por tipo de cliente (VLAN-OOB) e tipo de conexão (Corss-connected). Além disso, o ID de objeto jnxSubscriberPortL2CrossConnectCounter no jnxSubscriberPortCountTable no MIB de Assinante específico da empresa da Juniper Networks exibe o número de sessões de assinantes interconectados de Camada 2 em portas que têm sessões ativas.

Interações entre detecção automática de VLAN dentro e fora de banda

A implementação de atacado de Camada 2 acionada por ANCP acomoda assinantes atacadistas para um varejista e assinantes pertencentes ao atacadista. Qualquer sessão de assinante detectada na interface física voltada para o acesso pode ser uma ou outra. Isso significa que existe uma sobreposição entre o intervalo de tags externo para as VLANs com detecção automática fora de banda e para VLANs empilhadas com detecção automática dentro da banda.

Uma sessão PPPoE e uma sessão no atacado podem ser tentadas para o mesmo loop de acesso. Para evitar a carga indesejável no roteador e no servidor RADIUS que pode ocorrer quando isso acontece, a ordem de negociação da sessão é determinada pela ordem na qual os pacotes (mensagem PPPoE PADI ou ANCP Port Up) são recebidos para a mesma interface física voltada para o acesso e tag externa da VLAN.

A sequência de eventos a seguir ocorre quando um pacote PADI PPPoE é recebido em um canal de controle em banda antes que uma mensagem ANCP Port Up seja recebida em um canal de controle fora de banda, para o mesmo loop de acesso:

1. O recibo PADI aciona a criação de uma interface lógica VLAN dinâmica empilhada. As negociações de PPPoE e PPP estão em andamento.

2. A mensagem ANCP Port-Up é recebida para o loop de acesso. Como a interface lógica VLAN em banda correspondente já existe para a mesma interface física voltada para o acesso e a mesma tag VLAN externa, o agente ANCP simplesmente armazena os atributos da linha de acesso ANCP e o nome da interface física no banco de dados da sessão. O agente não executa nenhuma outra ação para a mensagem, desde que a sessão PPP (interface lógica PPP e a interface lógica VLAN dinâmica subjacente) seja mantida.

3. A negociação de PPP é encerrada devido a uma falha de autenticação (resposta de rejeição de acesso RADIUS) ou a um logout normal, que aciona a limpeza da sessão de PPP e a remoção da interface lógica de PPP.

4. Porque a remove-when-no-subscribers declaração está configurada. a exclusão da interface lógica PPP resulta na exclusão da VLAN dinâmica empilhada.

5. O próximo evento depende se a autorização da mensagem ANCP Port Up já foi tentada antes.

   • Se a autorização não tiver sido tentada anteriormente:

     1. Uma sessão SDB VLAN-OOB é criada e a autorização do loop de acesso é iniciada.

     2. Todos os pacotes PPPoE PADI excepcionais recebidos pela detecção automática de VLAN em banda são ignorados até que o RADIUS responda à solicitação de autorização.

     3. O resultado da autorização determina o que acontece a seguir:

        • Se a autorização for bem-sucedida (o RADIUS retorna uma mensagem de aceitação de acesso), uma interface lógica dinâmica de atacado de Camada 2 será criada na instância de roteamento do NSP do varejista.

        • Se a autorização falhar (RADIUS retorna uma mensagem de rejeição de acesso), a sessão VLAN-OOB será limpa. O processamento é retomado para quaisquer pacotes PPPoE PADI excepcionais que são recebidos posteriormente pela detecção automática de VLAN em banda.

   • Se a autorização tiver sido tentada anteriormente, nenhuma ação será executada porque a falha da negociação da sessão PPP é considerada uma falha de login fora do contexto de atacado da Camada 2. Esse comportamento evita autorização desnecessária em resposta à mensagem ANCP Port-Up toda vez que uma sessão PPPoE é encerrada e limpa de um logout normal do assinante.

A sequência de eventos a seguir ocorre quando uma mensagem ANCP Port Up é recebida em um canal de controle fora de banda antes que um pacote PADI PPPoE para um loop de acesso seja recebido em um canal de controle em banda, ambos para o mesmo loop de acesso:

1. O recebimento da mensagem ANCP Port Up aciona a autorização do loop de acesso.

2. Um pacote PPPoE PADI é recebido. O pacote é ignorado porque a autorização já está em andamento para a mesma interface física voltada para o acesso e a mesma tag VLAN externa.

3. O resultado da autorização determina o que acontece a seguir:

   • Se a autorização for bem-sucedida (o RADIUS retorna uma mensagem de aceitação de acesso) — representada por uma sessão VLAN-OOB no SDB — a criação dinâmica da interface lógica VLAN será iniciada para uma sessão de atacado de Camada 2. Quando a interface é criada, os pacotes PPPoE PADI subsequentes detectados pela detecção automática de VLAN em banda são ignorados e não mais exceções.

   • Se a autorização falhar (o RADIUS retorna uma mensagem de rejeição de acesso), a sessão VLAN-OOB será limpa.

     1. O recebimento de um pacote PPPoE PADI subsequente inicia a criação de uma VLAN dinâmica empilhada.

     2. A negociação de PPPoE e PPP ocorre e os eventos prosseguem como de costume para uma VLAN convencional e dinâmica com detecção automática.

Migração da propriedade do assinante de atacadista para varejista

Os assinantes de propriedade do atacadista são conectados por meio de interfaces PPPoE dinâmicas sobre VLANs dinâmicas. Para cada assinante, a sessão PPPoE deve ser desconectada e a interface lógica PPP correspondente excluída antes que as mensagens ANCP Port Up para a mesma interface física subjacente e a tag externa da VLAN possam servir como gatilhos fora de banda para detecção automática dinâmica de VLAN.

Uma abordagem para migrar da propriedade de atacado para varejo é fazer o seguinte:

1. Atualize o banco de dados do servidor RADIUS para que a autenticação do assinante para as linhas de acesso relevantes resulte em uma resposta de rejeição de acesso RADIUS. Isso faz com que as tentativas subsequentes de negociar PPPoE para a linha de acesso falhem.

2. Inicie o logout das sessões PPPoE dinâmicas; por exemplo, emitindo uma desconexão iniciada pelo RADIUS. Isso aciona a limpeza da interface lógica PPPoE e dos serviços associados, o que inclui a emissão de mensagens RADIUS Accounting-Stop para a sessão e os serviços ativos, bem como a remoção da interface lógica PPPoE dinâmica.

   Se a migração exigir a troca do dispositivo CPE atual por outro, e a sessão PPPoE não for desconectada normalmente, desligar o CPE resultará em uma falha de keepalive PPP no roteador e acionará o logout da sessão.

3. Remova a interface lógica VLAN dinâmica subjacente. Isso ocorre automaticamente quando a remove-when-no-subscribers instrução é incluída no [edit interfaces interface-name auto-configure] nível de hierarquia para a interface física voltada para o acesso. Caso contrário, emita o clear auto-configuration interfaces interface-name comando para remover a interface lógica dinâmica da VLAN.

4. Acione uma notificação de Port Up para iniciar a detecção, autorização e criação dinâmicas de VLAN por um dos seguintes métodos:

   • Desligue e ligue o CPE, com um atraso suficiente entre desligar e ligar novamente o dispositivo para que uma mensagem de porta inativa seja enviada seguida por uma mensagem de porta ativa e o roteador tenha tempo suficiente para detectar uma falha de manutenção de atividade indicando perda da sessão.

   • Emita um clear ancp access-loop comando.

   • Emita um request ancp oam port-up comando.

Migração da propriedade do assinante de varejista para atacadista

Uma abordagem para migrar da propriedade de varejo para o atacado é fazer o seguinte:

1. Atualize o banco de dados do servidor RADIUS para que a autorização dinâmica de VLAN para as linhas de acesso relevantes resulte em uma resposta de rejeição de acesso RADIUS. Isso faz com que as mensagens ANCP Port Up subsequentes sejam ignoradas.

2. Inicie o logout das sessões VLAN dinâmicas que suportam o serviço de acesso por atacado; por exemplo, emitindo uma desconexão iniciada pelo RADIUS. Isso aciona a limpeza da sessão, que inclui a emissão de mensagens RADIUS Accounting-Stop para a sessão, a remoção da interface lógica dinâmica da VLAN e dos serviços ativos e a liberação da marca VLAN interna alocada associada à interface física voltada para o núcleo para atribuição a uma sessão de assinante de atacado de Camada 2 diferente.

   Se a migração exigir a troca do dispositivo CPE atual por outro, desligar o CPE resultará em uma mensagem ANCP Port Down que aciona o logout e a limpeza da sessão.

3. Permita que os assinantes se conectem à rede do atacadista usando detecção automática de VLAN dinâmica convencional, seguida de negociação de PPPoE e PPP e criação de interfaces lógicas de PPP.

Migração da propriedade do assinante entre varejistas

Normalmente, você migra o acesso entre varejistas NSP acionando uma reinicialização da sessão VLAN dinâmica existente. A reinicialização inicia um logout da sessão seguido pela detecção, autorização e criação dinâmicas imediatas de VLAN dentro da instância de roteamento correspondente ao novo NSP. Uma reinicialização é uma sequência lógica de porta para baixo e porta para cima para o loop de acesso correspondente da VLAN. Você pode usar qualquer um dos seguintes métodos para reiniciar uma determinada interface lógica VLAN dinâmica:

• Inicie uma mensagem RADIUS Disconnect-Request ou configure seu servidor RADIUS para enviar a mensagem. A mensagem deve ter o atributo Acct-Terminate-Cause RADIUS (49) definido como um valor de 16 (retorno de chamada). Essa causa é processada como uma desconexão (logout) seguida imediatamente por uma reconexão (login) somente para VLANs dinâmicas criadas por uma mensagem ANCP Port Up. Outros clientes respondem a esse valor apenas com uma desconexão.

• Inclua a reconnect opção ao desconectar assinantes com o clear network-access aaa subscriber comando. Você pode especificar assinantes pelo identificador de sessão ou pelo nome de usuário. Essa opção tenta reconectar uma sessão limpa como uma sessão de atacado de Camada 2 quando a sessão do assinante tiver sido totalmente desconectada. Esse comportamento é equivalente a emitir uma desconexão iniciada pelo RADIUS configurada para reconexão; ou seja, quando a mensagem inclui Acct-Terminate-Cause (atributo RADIUS 49) com um valor de retorno de chamada (16).

• Dispare uma mensagem de Porta para baixo seguida por uma mensagem de Porta para Ativo por um dos seguintes métodos:

  • Desligue e ligue o CPE, com um atraso suficiente entre desligar e ligar novamente o dispositivo para que uma mensagem de porta inativa seja enviada seguida por uma mensagem de porta ativa e o roteador tenha tempo suficiente para detectar uma falha de manutenção de atividade indicando perda da sessão.

  • Emita um clear ancp access-loop comando.

Modificação do identificador de linha de acesso ou identificador de VLAN de porta

Quando o identificador de linha ou o identificador VLAN de porta para um loop de acesso é modificado, o nó de acesso relata a mudança em uma mensagem de Porta para Cima para o agente ANCP. A mensagem transmite o ID de linha no Access-Loop-Remote-ID TLV e o ID de VLAN de porta no Access-Aggregation-Circuit-ID-Binary TLV.

O nó de acesso deve enviar uma mensagem de Porta inativa para o loop de acesso antes de modificar qualquer um dos atributos de identificação de uma sessão existente. A mensagem de Porta Inativa aciona a limpeza da sessão de atacado de Camada 2 correspondente. Se o nó de acesso não enviar uma Porta Inativa nesse caso, o comportamento a seguir terá o mesmo efeito que inserir a mensagem Porta Inativa que o nó de acesso não enviou:

• Para uma alteração de ID de linha, o agente ANCP trata a reconfiguração como uma mensagem lógica de Porta Inativa para a linha de acesso identificada pelo Access-Loop-Remote-Id anterior, seguida por uma mensagem de Porta para Cima para a linha de acesso identificada pelo novo Access-Loop-Remote-Id.

• Para uma alteração de ID de VLAN de porta, o agente ANCP trata a reconfiguração como uma mensagem lógica de Porta para baixo para a linha de acesso identificada pelo Access-Aggregation-Circuit-Id-Binary anterior, seguida por uma mensagem de Porta para cima para a linha de acesso identificada pelo novo Access-Aggregation-Circuit-Id-Binary.

Em ambos os casos, o agente ANCP notifica o daemon de configuração automática (autoconfd), que executa as seguintes ações:

1. Faz logout da sessão de atacado de Camada 2 correspondente.

2. Envia uma mensagem RADIUS Accounting-Stop com as estatísticas finais das sessões de serviço associadas e da sessão do cliente.

3. Remove a interface lógica dinâmica da VLAN.

4. Tenta restabelecer a sessão de atacado de Camada 2 por meio de uma sequência de login, incluindo autenticação, criação da interface lógica VLAN dinâmica, ativação de quaisquer serviços e, se bem-sucedida, envio de mensagens RADIUS Accounting-Start para as sessões de serviço e cliente.

Você deve fazer logout manualmente de qualquer sessão PPPoE correspondente à linha de acesso com os identificadores anteriores, mesmo que o nó de acesso envie a mensagem de Porta inativa apropriada quando os valores forem alterados.

Desconectando sessões de PPPoE e tentando automaticamente a reconexão como sessões de atacado de Camada 2

Você pode usar mensagens de desconexão iniciadas pelo RADIUS para desconectar e desconectar sessões PPPoE existentes e tentar restabelecê-las como sessões de atacado de Camada 2. Use mensagens de rejeição de acesso para impedir o acesso do assinante PPPoE e tente uma reconexão como uma sessão de atacado de Camada 2. Use esse recurso quando quiser migrar sessões do PPPoE para o Layer 2 no atacado. Tanto a desconexão iniciada pelo RADIUS quanto a mensagem de rejeição de acesso devem incluir Acct-Terminate-Cause (atributo RADIUS 49) com um valor de retorno de chamada (16); O retorno de chamada causa a tentativa de reconexão. A remove-when-no-subscribers declaração deve ser configurada na interface física subjacente.

1. O comportamento inicial das mensagens é o seguinte:

   • Mensagem de rejeição de acesso — quando um PADI PPPoE é recebido e uma nova sessão PPPoE é solicitada, o RADIUS responde à mensagem de solicitação de acesso com uma mensagem de rejeição de acesso. A sessão é rejeitada, totalmente desconectada e a interface lógica VLAN dinâmica subjacente é removida.

   • Mensagem de desconexão iniciada por RADIUS— Quando uma mensagem de desconexão iniciada por RADIUS é recebida para uma sessão PPPoE existente, a sessão PPPoE dinâmica dinâmica é desconectada e a interface lógica VLAN dinâmica subjacente é removida.

2. A próxima ação é a mesma para ambas as mensagens:

   • Se uma mensagem ANCP Port Up tiver sido recebida para a linha de acesso correspondente, o roteador tentará autorizar a linha de acesso e criar uma interface lógica VLAN dinâmica de Camada 2 no atacado no lugar da interface lógica VLAN dinâmica subjacente que foi removida.

   • Se uma mensagem de Portabilidade não tiver sido recebida, essa ação será adiada até que a mensagem seja recebida.

   • Se um PADI PPPoE for recebido antes de uma mensagem ANCP Port Up, o RADIUS responderá à solicitação de acesso para uma nova sessão PPPoE com uma mensagem de rejeição de acesso. A sessão é rejeitada, totalmente desconectada e a interface lógica VLAN dinâmica subjacente é removida.

Se a mensagem de desconexão ou rejeição de acesso iniciada pelo RADIUS for recebida para uma sessão não PPPoE, como DHCP, a sessão será desconectada, mas a solicitação de reconexão será ignorada. Nenhuma tentativa é feita para estabelecer uma sessão de atacado de Camada 2.

Se a desconexão iniciada pelo RADIUS não incluir Acct-Terminate-Cause com um valor de retorno de chamada, a renegociação do PPPoE após a desconexão poderá ser bem-sucedida, mas se uma mensagem ANCP Port Up for recebida para a linha de acesso antes que uma sessão PPPoE seja estabelecida, uma sessão de atacado de Camada 2 será tentada.

Como alternativa à desconexão iniciada pelo RADIUS, você pode fazer logout manualmente da sessão PPPoE com o clear network-access aaa subscriber comando. Especifique o assinante por nome de usuário ou ID da sessão. Quando você inclui a reconnect opção, ela tenta reconectar a sessão limpa como uma sessão de atacado de Camada 2 quando a sessão do assinante tiver sido totalmente desconectada.

Consequências de uma transição de estado na interface física voltada para o acesso

O comportamento a seguir resulta quando o estado da interface física voltada para o acesso faz a transição de Up para Down:

• A detecção automática de VLAN convencional em banda para a interface.

• As mensagens de Port Up originadas por ANCP para a interface são ignoradas. A ação em mensagens de Porta para Cima novas ou não processadas é adiada até que a interface faça a transição para o estado Ativo. Se a conexão ANCP estiver na banda com o tráfego de assinantes na interface, todo o tráfego ANCP será interrompido; se a interrupção durar o suficiente, a adjacência ANCP será perdida.

• Todas as sessões de atacado de Camada 2 atribuídas à interface são tratadas como se o agente ANCP recebesse uma mensagem de Porta inativa para a linha de acesso correspondente. Cada sessão está sujeita ao logout. Se uma sessão é desconectada depende do temporizador de retenção de perda de adjacência ANCP. O temporizador começa a ser executado quando o agente ANCP detecta a transição de estado para Down. O assinante continuará usando a sessão original se todos os três itens a seguir ocorrerem antes que o temporizador expire:

  1. A interface física volta.

  2. A adjacência ANCP é restaurada.

  3. Uma mensagem de Porta para Cima é recebida na interface.

  Caso contrário, o autoconfd executa as seguintes ações:

  1. Faz logout da sessão.

  2. Envia uma mensagem RADIUS Accounting-Stop com as estatísticas finais das sessões de serviço associadas e da sessão do cliente.

  3. Remove a interface lógica dinâmica da VLAN.

  Essas sessões podem ser restabelecidas quando a interface física se recupera, a menos que uma mensagem ANCP Port Down seja recebida.

• O daemon de configuração automática não exclui automaticamente interfaces lógicas de VLAN dinâmicas e com detecção automática. As interfaces para as VLANs de atacado de Camada 2 acionadas por ANCP são mantidas porque a suposição é de que uma interrupção é de curta duração. Se a interrupção não for de curta duração, uma mensagem de Porta inativa subsequente interromperá a sessão e removerá a interface.

  Para VLANs dinâmicas convencionais com detecção automática, a interface é removida somente quando a remove-when-no-subscribers declaração é configurada na interface física voltada para o acesso e todas as referências à interface lógica VLAN de uma interface lógica ou sessão superior são removidas. Esse mecanismo não se aplica às VLANs de atacado de Camada 2 acionadas por ANCP porque elas não têm referências de sessão superior.

O comportamento a seguir resulta quando o estado da interface física voltada para o acesso faz a transição de Down para Up:

1. A detecção automática de VLAN convencional em banda é retomada para a interface. As sessões PPPoE pertencentes ao provedor de acesso que foram desconectadas devido à transição de Up para Down podem renegociar e passar por uma sequência de login completa.

2. As ações apropriadas são tomadas para todas as mensagens de porta ANCP ativa para a interface, incluindo mensagens que foram adiadas devido ao estado inativo anterior da interface. Se a conexão ANCP estiver na banda com o tráfego do assinante, todo o tráfego ANCP será retomado.

3. O encaminhamento é retomado para quaisquer interfaces lógicas VLAN dinâmicas e com detecção automática que não foram excluídas quando a interface caiu.

A exclusão de uma interface física voltada para o acesso aciona o logout e a remoção de todas as interfaces lógicas VLAN dinâmicas superiores e suas sessões correspondentes.

Consequências de uma transição de estado de cima para baixo na interface física voltada para o núcleo

O seguinte comportamento resulta quando o estado da interface física voltada para o núcleo faz a transição de Up para Down:

• A interface física voltada para o núcleo não é mais elegível para atribuir linhas de acesso novas ou pendentes nesta instância de roteamento com base na autorização RADIUS original.

• Todas as sessões de atacado de Camada 2 atribuídas à interface são tratadas como se o agente ANCP recebesse uma sequência de mensagens Port Down/Port Up para a linha de acesso correspondente. Cada sessão está sujeita ao logout. Se uma sessão é desconectada depende do temporizador de retenção de perda de adjacência ANCP. O temporizador começa a ser executado quando o agente ANCP detecta a transição de estado para Down. O assinante continuará usando a sessão original se todos os três itens a seguir ocorrerem antes que o temporizador expire:

  1. A interface física volta.

  2. A adjacência ANCP é restaurada.

  3. Uma mensagem de Porta para Cima é recebida na interface.

  Caso contrário, o autoconfd executa as seguintes ações:

  1. Faz logout da sessão.

  2. Remove a entrada de sessão do SDB.

  3. Envia uma mensagem RADIUS Accounting-Stop com as estatísticas finais das sessões de serviço associadas e da sessão do cliente.

  4. Remove a interface lógica dinâmica da VLAN.

• Em seguida, o autoconfd tenta migrar as sessões para conexões disponíveis em quaisquer interfaces físicas voltadas para o núcleo elegíveis restantes atribuídas à mesma instância de roteamento:

  1. A solicitação original é colocada em uma fila de repetição.

  2. Uma sequência de login é tentada para cada sessão, incluindo autenticação, criação de interfaces lógicas VLAN dinâmicas, ativação de quaisquer serviços e envio de mensagens RADIUS Accounting-Start para as sessões de serviço e cliente.

     • Se a sequência de logon for bem-sucedida, a solicitação será removida da fila de repetição.

     • Se o login falhar, a sessão será desconectada, a entrada da sessão será removida do SDB e a linha de acesso correspondente será definida como um estado pendente.

  Quando todas as conexões disponíveis são usadas — quando não há mais tags VLAN disponíveis dos intervalos de troca de ID VLAN internos configurados — como resultado de reconexões bem-sucedidas, nenhuma tentativa é feita para conectar nenhuma sessão de atacado de Camada 2 restante. Embora a autenticação possa ser bem-sucedida, a criação de interfaces lógicas VLAN dinâmicas falha durante a instanciação do perfil. Nesse caso, a sessão está fora, a entrada da sessão é removida do SDB e a linha de acesso correspondente é definida como um estado pendente.

• As linhas de acesso pendentes que representam essas sessões não migradas podem ser restabelecidas se a interface se recuperar ou se conexões VLAN adicionais se tornarem disponíveis; por exemplo, por uma mudança de configuração que aumenta a faixa de troca de ID de VLAN interna para uma ou mais interfaces físicas voltadas para o núcleo restantes ou adiciona novas interfaces físicas voltadas para o núcleo. No entanto, se o agente ANCP receber uma mensagem de Porta inativa para uma linha de acesso pendente, a sessão correspondente não será restabelecida.

Você pode usar o show auto-configuration out-of-band pending comando para exibir uma contagem de linhas de acesso pendentes por instância de roteamento.

Consequências de uma transição de estado de baixo para cima na interface física voltada para o núcleo

O comportamento a seguir resulta quando o estado da interface física voltada para o núcleo faz a transição de Down para Up:

• A interface física agora está qualificada para atribuir novas sessões de assinante de atacado de Camada 2.

• O agente ANCP notifica o daemon de configuração automática (autoconfd), que tenta restabelecer as sessões de atacado de Camada 2 que correspondem à linha de acesso pendente iniciando uma sequência de login convencional. Essa sequência inclui autenticação, criação de interfaces lógicas VLAN dinâmicas, ativação de quaisquer serviços e envio de mensagens RADIUS Accounting-Start para as sessões de serviço e cliente.

• As sessões pendentes continuam a ser restabelecidas até que nenhuma seja deixada ou ocorra um erro, normalmente devido ao esgotamento das tags VLAN internas dos intervalos de troca na interface. No último caso, as sessões são desconectadas, a entrada da sessão é removida do SDB e a linha de acesso é definida como um estado pendente.

Você pode usar o show auto-configuration out-of-band pending comando para exibir uma contagem de linhas de acesso pendentes por instância de roteamento.

Esses comportamentos também ocorrem nos seguintes casos:

• Recursos adicionais de conexão VLAN tornam-se disponíveis, por uma mudança de configuração que aumenta o intervalo de troca de ID VLAN interno para uma ou mais interfaces físicas voltadas para o núcleo restantes ou adiciona novas interfaces físicas voltadas para o núcleo. A interface física recém-adicionada deve estar no estado Ativo para assumir qualquer sessão de atacado de Camada 2.

• Uma desconexão iniciada pelo RADIUS é recebida para uma sessão de atacado de Camada 2 existente atribuída a essa instância de roteamento é desconectada (somente desconexão). Para uma desconexão com um qualificador de reconexão, a sessão afetada tem preferência para se reconectar em vez de linhas de acesso pendentes.

• Você emite o request auto-configuration reconnect-pendingcomando , clear ancp access-loopou request ancp oam port-up .

Perda de adjacência de TCP ANCP

O agente ANCP pode perder sua adjacência TCP com um vizinho em qualquer uma das seguintes circunstâncias:

• O nó de acesso renegocia a conexão; por exemplo, como resultado da perda de sincronização. A renegociação faz com que o estado local mude de estabelecido para não estabelecido. O estado volta a ser estabelecido quando a sessão é renegociada com êxito.

• Uma mensagem de fim de arquivo (EOF) é recebida no soquete indicando que a adjacência está fechada. Isso pode ocorrer quando a configuração ANCP é excluída no nó de acesso.

• Ocorre uma falha de manutenção de atividade de adjacência. Quando nenhuma resposta é recebida por três pesquisas consecutivas, a adjacência é declarada perdida.

O agente ANCP trata a perda de adjacência como se tivesse recebido uma mensagem de Porta Inativa para cada loop de acesso representado pela conexão ANCP. O agente notifica o autoconfd, que executa as seguintes ações:

• Registra todas as sessões de atacado de Camada 2 que foram acionadas por essa conexão ANCP.

• Envia uma mensagem RADIUS Accounting-Stop com as estatísticas finais das sessões de serviço associadas e da sessão do cliente.

• Remove a interface lógica dinâmica da VLAN.

Se a interface física voltada para o acesso ou para o núcleo atribuída estiver no estado Inativo, todas as sessões pendentes que foram acionadas por essa conexão ANCP não poderão ser restabelecidas quando a interface se recuperar para o estado Ativo.

Interfaces lógicas VLAN dinâmicas e convencionalmente detectadas automaticamente, como aquelas que suportam sessões PPPoE, não são afetadas pela perda de adjacência TCP.

Se a adjacência for restabelecida, o comportamento esperado é uma repetição completa das mensagens de Porta para baixo e Porta para cima para todas as linhas de acesso configuradas associadas. As sessões de atacado de Camada 2 para as quais o agente ANCP recebe mensagens de Port Up são restabelecidas.

Você pode mitigar os efeitos das perdas de adjacência de curto prazo configurando um tempo de espera de perda de adjacência. O temporizador é iniciado quando a adjacência é perdida. Mesmo que a adjacência seja perdida, as sessões estabelecidas são mantidas enquanto o temporizador é executado, a menos que uma mensagem de Porta Inativa seja recebida para a linha de acesso correspondente.

Qualquer linha de acesso para a qual o agente ANCP não tenha recebido uma mensagem de Porta Ativa no momento em que o temporizador expira é tratada como se o agente tivesse recebido uma mensagem de Porta Inativa para a linha. O Agente ANCP notifica o autoconfd, que executa as seguintes ações:

• Faz logout de todas as sessões de atacado da Camada 2 que correspondem à linha de acesso.

• Envia uma mensagem RADIUS Accounting-Stop com as estatísticas finais das sessões de serviço associadas e da sessão do cliente.

• Remove a interface lógica dinâmica da VLAN.

As mensagens de portabilidade recebidas após a expiração do temporizador preenchem novamente a tabela de linha de acesso SDB e restabelecem as sessões de atacado de Camada 2

O temporizador de retenção de perda de adjacência serve às seguintes finalidades:

• Amortece o efeito da perda de adjacência de curta duração, mantendo assim as sessões de atacado de Camada 2 existentes.

• Detecta a remoção de uma configuração de linha de acesso no nó de acesso. Por exemplo, em algumas circunstâncias, você pode querer remover a configuração de uma linha de acesso em um vizinho. Primeiro, você desconecta a sessão ANCP entre um vizinho e o BNG, remove a configuração no vizinho e, em seguida, restaura a conexão ANCP com o BNG. O vizinho não emite uma mensagem de Porta Inativa. se o temporizador de retenção de perda de adjacência estiver configurado, o agente ANCP detectará uma linha de acesso para a qual não recebeu uma mensagem de Porta para Cima ou Porta para Baixo e, consequentemente, acionará o logout e a remoção da sessão de atacado de Camada 2 correspondente.