订阅者管理的地址分配池
地址分配池概述
通过地址分配池,您可以创建集中式 IPv4 和 IPv6 地址池,而不受使用这些池的客户端应用程序无关。无论地址来自本地池还是来自 RADIUS 服务器,身份验证进程都管理池和地址分配。
例如,多个客户端应用程序(如 DHCP)可以使用相同的地址分配池为其特定客户端提供地址。客户端应用程序可以获取已验证或未通过身份验证的客户端的地址。根据 RADIUS 服务器、网络匹配或其他规则为订阅者选择的池称为订阅者的匹配池。
地址分配类型
地址分配池同时支持动态地址分配和静态地址分配。在动态地址分配中,系统会自动为客户端分配地址分配池分配地址。在仅支持 IPv4 池的静态地址分配中,您保留一个地址,然后该地址始终供特定客户端使用。为静态分配保留的地址将从动态地址池中移除,无法分配给其他客户端。
地址分配池中的指定地址范围
您可以在地址分配池中配置指定地址范围。命名范围是整个地址范围的一个子集。客户端应用可以使用指定范围根据客户端特定的标准管理地址分配。例如,对于 IPv4 地址分配池,您可以基于特定的 DHCP option 82 值创建一个命名范围。然后,当 DHCP 客户端请求与指定的 option 82 值匹配时,将从指定范围内的地址分配给客户端。
从链接地址池分配地址
您可以将地址分配池链接在一起,为地址分配提供备份池。如果主要地址或匹配地址池中没有可用地址,设备会自动转到链接的(辅助)地址池,搜索要分配的可用地址。
虽然链接池链中的第一个池通常被视为主池,但匹配的池不一定是链中的第一个池。
从 Junos OS 18.1R1 版开始,可用地址的搜索机制会通过一系列链接的池进行。此行为使 DHCP 能够连续搜索地址。
我们来举个例子来说明搜索机制的工作原理。考虑三个池链 — A、B 和 C。池 A 是主要池,池 B 根据 RADIUS 服务器返回的信息为某些订阅者的匹配池。搜索这些订阅者的可用地址使用以下顺序:
默认情况下,首先搜索匹配的池(池 B)。
如果未找到地址,则搜索将移动到链中的第一个池(池 A)。
搜索将贯穿整个链(池 C),直到找到并分配了可用地址,或者直到搜索确定没有可用地址。
在每个地址池中,都会完全搜索一个地址的所有地址。
您可以将语句 linked-pool-aggregation 配置为在匹配池中每个范围的地址块内开始搜索,然后通过链接池连续搜索。然后,搜索会返回链中的第一个池,并通过链中的最后一个池搜索每个池中的所有地址。
地址池暂停状态
您可以配置处于暂停状态的地址分配池。当地址池处于暂停状态时,池将不再可用于为订阅者分配 IP 地址。此配置可以将之前分配的地址返回到池,从而将活动池正常转换为非活动状态。池处于非活动状态时,可以对池安全执行维护,而不会影响任何活动订阅者。
邻居发现路由器通告的地址分配池
您可以为邻居发现路由器通告 (NDRA) 显式分配地址分配池。
排除指定地址或地址范围
从 Junos OS 18.1R1 版开始,您可以排除指定的地址或连续地址范围,以防止从地址池中分配地址。
例如,您可能希望保留某些地址或范围,以便仅用于静态订阅者。配置要排除的地址或范围,且该范围内的地址或地址已分配,订阅者已退出,地址已解除分配,并将地址标记为排除。
许可要求
此功能需要许可证。要了解有关订阅者访问许可的更多信息,请参阅 订阅者访问许可概述。有关许可证管理的常规信息,请参阅 《瞻博网络许可指南 》。有关详细信息,请参阅产品 数据表 ,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
地址分配池的优势
地址分配池功能同时支持订阅者管理和 DHCP 管理。
您可以创建独立于客户端应用程序的集中式地址池。
您可以指定地址块和命名范围,以便给定地址池可用于为不同的客户端应用或为匹配不同标准集的订阅者提供不同的地址。
您可以将池链接在一起,以确保以特定方式(连续或不连续)搜索池的免费地址。
通过指定不再从池中分配其他地址,可以将地址池从活动地址池平稳转换为非活动地址。
从链接地址池分配地址
您可以将地址分配池链接在一个链中,为地址分配提供备份池。根据 RADIUS 服务器、网络匹配或其他一些规则为订阅者选择的池称为订阅者的匹配或匹配池。匹配的池可能不是链中的第一个(主)池。如果匹配地址池或主地址池中没有可用于分配的地址,路由器或交换机会自动转到另一个地址池,搜索要分配的可用地址。当搜索发现任何地方没有可用地址时,搜索将停止,并且不会为订阅者分配任何地址。
搜索行为不仅可以确定搜索沿着一系列链接池进行的方式,还可以确定每个池中的地址范围。根据搜索的开始位置、您的配置以及之前分配的地址是否已释放,搜索可以在链中的下一个链接地址池中继续,或返回链中的第一个地址池。
搜索可用地址从与订阅者匹配的池开始。在许多情况下,匹配的池也是链中的第一个池。对于某些订阅者,匹配池在链上更远。例如,您可以配置 RADIUS 服务器以指定链的第二个池,而不是根据它在身份验证期间匹配的某些标准指定第一个池。再举一个例子,您可以为不同的订阅者组指定不同的地址范围:然后,特定池是否与订阅者匹配取决于为不同地址范围配置了哪些池。
以下术语用于解释搜索行为的详细信息:
lowAddress — 地址池中给定范围内的最低地址。
highAddress — 地址池中给定范围内最高的地址。
nextAddress — 在地址池中给定范围内分配的最后一个地址之后的下一个地址。这是下一步应该分配的地址。此地址以及使用的最后一个范围被保存为搜索的起点。
例如,假设池 A 的单个范围包含以下地址:192.0.2.1、192.0.2.2、192.0.2.3、192.0.2.4。在本案例中,192.0.2.1 表示低地址,190.0.2.4 表示高地址。如果 192.0.2.2 是从此池分配的最后一个地址,则下一个地址为 192.0.2.3。
从 Junos OS 18.1R1 版开始,您可以将链接池配置为使用以下两种方式之一进行搜索:
连续地址分配 — 这是默认行为。将搜索每个池范围中的所有地址。搜索从匹配的池开始,然后移动到链中的第一个池,如有必要,继续通过每个链接的池连续到链中的最后一个池。在每个池中,都会搜索所有范围中的所有地址,以查找一个免费地址。此方法支持连续分配地址;每个池必须已满,然后才能搜索其他池。
非连续(聚合)地址分配 — 配置语句时
linked-pool-aggregation的行为。最初,仅在匹配池的每个范围中搜索某些地址(从下一地址到高地址)。在链接池中执行相同的搜索,如有必要,继续通过每个链接池连续到链中最后一个池。然后,搜索在链中的第一个池(不一定是匹配的池)重新启动。这一次,将搜索所有范围中的所有地址,在链末尾的所有池中。
这是基本功能,但两个搜索的详细信息都相当复杂。 图 1 显示了默认搜索行为。
的默认地址分配
例如,假设存在以下条件:
链接地址池 A、B、C 和 D。匹配池 C。
每个地址池都有三个地址范围,r1、r2、r3。最后一个使用的范围是每个池中的 r2。
如果未找到可用地址,则进行以下搜索:C > A > B > C > D,然后停止。
池 C 被搜索,下一个地址通过范围 r2 中的高地址。
池 C 被搜索,低地址通过范围 r2 中的下一个地址。
搜索池 C,下一个地址通过范围 r3 中的高地址。
池 C 被搜索,低地址通过 r3 范围内的下一个地址。
搜索池 C,下一个地址通过范围 r1 中的高地址。
池 C 被搜索,低地址通过范围 r1 中的下一个地址。
已搜索池 C 中的所有范围和地址,因此搜索将移动到链中的第一个池 A。
池 A 被搜索,下一个地址通过范围 r2 中的高地址。
池 A 被搜索,低地址通过范围 r2 中的下一个地址。
池 A 被搜索,下一个地址通过范围 r3 中的高地址。
池 A 被搜索,低地址通过 r3 范围内的下一个地址。
池 A 被搜索,下一个地址通过 r1 范围内的高地址。
池 A 被搜索,低地址通过 r1 范围内的下一个地址。
已搜索池 A 中的所有范围和地址,因此搜索将移动到链 B 中的下一个链接池。
此过程一直持续到搜索所有池中所有范围中的所有地址为止。池搜索顺序为 C > A > B > C > D,然后停止。根据地址所在的位置以及是否找到地址,可能会搜索匹配池两次。除非匹配的池是链中的第一个池,否则情况确实如此。例如,如果池 A 是此组条件下的匹配池,则完整搜索(假设未找到地址)将是 A > B > C > D。
图 2 显示了包含 linked-pool-aggregation 语句时的搜索行为。
的聚合地址分配
例如,考虑存在与默认示例相同的条件:
链接地址池 A、B、C 和 D。匹配池 C。
每个地址池都有三个地址范围,r1、r2、r3。最后一个使用的范围是每个池中的 r2。
如果未找到可用地址,则进行这样的搜索:C > D > A > B > C > D,然后停止。
池 C 被搜索,下一个地址通过范围 r2 中的高地址。
搜索池 C,下一个地址通过范围 r3 中的高地址。
搜索池 C,下一个地址通过范围 r1 中的高地址。
从下一个地址到高地址,已搜索池 C 中的所有范围,因此搜索将移动到链中的下一个链接池 D。
搜索池 D,下一个地址通过范围 r2 中的高地址。
池 D 被搜索,下一个地址通过范围 r3 中的高地址。
池 D 被搜索,下一个地址通过范围 r1 中的高地址。
从下一个地址到高地址,已搜索池 D 中的所有范围。池 D 是链中最后一个池,因此搜索将移动到链中的第一个池 A。
池 A 被搜索,低地址通过范围 r2 中的高地址。
池 A 被搜索,低地址通过 r3 范围内的高地址。
池 A 被搜索,低地址通过 r1 范围内的高地址。
已搜索池 A 中的所有范围和地址,因此搜索将移动到链 B 中的下一个链接池。
池 B 被搜索,低地址到范围 r2 中的高地址。
池 B 被搜索,低地址通过 r3 范围内的高地址。
池 B 被搜索,低地址通过高地址范围 r1。
已搜索池 B 中的所有范围和地址,因此搜索将移动到链中的下一个链接池 C。
此过程一直持续到搜索所有池中所有范围中的所有地址为止。池搜索顺序为 C > D > A > B > C > D,然后停止。根据地址所在的位置以及是否找到地址,所有池都可以被搜索两次,即使匹配的池是链中的第一个池也是如此。例如,如果池 A 是此组条件下的匹配池,则完整搜索(假设未找到地址)将是 A > B > C > D > A > B > C > D。
地址分配池配置概述
地址分配池功能允许您创建可由不同客户端应用程序共享的地址池,从而支持订阅者管理功能。地址分配池可以支持 IPv4 地址或 IPv6 地址。不能对两种类型的地址使用相同的池。
地址分配池与基于服务 PIC 的 L2TP LNS 地址池(您在层次结构级别使用 address-pool 语句 [edit access] 创建的)和您在层次结构级别使用 pool 语句 [edit services nat] 创建的 NAT 池完全分离。
要配置地址分配池:
另请参阅
配置地址分配池名称和地址
要配置地址分配池,必须指定池的名称并配置池的地址。
要配置 IPv4 地址分配池,
要配置 IPv6 地址分配池:
配置池名称并指定 IPv6 系列。
[edit access] user@host# edit address-assignment pool isp_2 family inet6
为地址池配置 IPv6 网络前缀。配置 IPv6 地址分配池时,需要前缀规格。
[edit access address-assignment pool isp_2 family inet6] user@host# set prefix 2001:db8:2008:2009::/32
为动态地址分配配置指定地址范围
您可以选择在地址分配池中配置多个指定范围或地址子集。在动态地址分配期间,可以从特定的指定范围为客户端分配地址。要创建命名范围,请为范围指定名称并定义地址范围。
在 IPv4 地址分配池中创建指定范围:
在 IPv6 地址分配池中创建指定范围:
指定地址分配池和 IPv6 系列的名称。
[edit access] user@host# edit address-assignment pool isp_2 family inet6
配置范围的名称并定义范围。您可以根据该范围内前缀的下边界和上边界或该范围内前缀的长度来定义范围。
[edit access address-assignment pool isp_2 family inet6] user@host# set range dsl-range low 2001:db8:2008:2010:2011:0100::/64 high 2001:db8:2008:2010:2011:ffff::/64 user@host# set range fiber-east prefix-length 48
防止从地址池中分配地址
您可以排除指定的地址或地址范围,以防止从地址池中分配这些地址。例如,您可能希望保留某些地址或范围,以便仅用于静态订阅者。配置要排除的地址或地址范围,且已分配该范围内的地址或地址时,分配了该地址的订阅者将被注销,地址已解除分配,并将地址标记为排除。
要排除地址池中的地址或地址范围,不进行分配:
指定单个地址。
[edit access address-assignment pool-name family (inet | inet6)] user@host# set excluded-address ip-address
指定并命名一系列连续地址。
[edit access address-assignment pool-name family (inet | inet6)] user@host# set excluded-range name low minimum-value high maximum-value
例如,IPv4 地址池的以下部分配置定义了从 192.168.0.10 到 192.168.128.250 的地址范围 r1。它不包括单个地址 192.168.110.10。它进一步定义了两个范围,即 exclude1 和 exclude2,用于指定两组无法从池中分配的连续地址。
pool v4-pool {
family inet {
network 192.168.0.0/16;
range r1 {
low 192.168.0.10;
high 192.168.128.250;
}
excluded-address 192.168.110.10
excluded-range exclude1 {
low 192.168.12.0
high 192.168.12.255
}
excluded-range exclude2 {
low 192.168.98.10
high 192.168.98.200
}
}
}
同样,池 v6-pool 的配置定义了要分配的地址范围和从分配中排除的地址范围。
pool v6-pool {
family inet6 {
prefix 2016::/64;
range r2 {
low 2016::1;
high 2016::80:ffff;
}
excluded-range exclude3 {
low 2016::7c:a
high 2016::7c:ff
}
}
}
要查看有关排除地址的信息,可以使用以下命令之一:
user@host> show network-access address-assignment pool pool-name IP address/prefix Hardware address Host/User Type 192.168.2.1 00:00:5e:00:53:01 user1 DHCP 192.168.2.2 00:00:5e:00:53:02 user2 DHCP 192.168.2.3 00:00:5e:00:53:03 user3 DHCP 192.168.2.4 NA EXCLUDED unknown
user@host> show network-access aaa statistics address-assignment pool pool-name Address-assignment statistics ... Addresses excluded: 1000 ...
配置地址分配池使用阈值陷阱
通过设置使用(利用率)阈值陷阱,您可以收到高级警告,表明地址池或链接的地址池缺乏可用地址。使用和利用率可互换使用,以表示当前分配的地址池中地址的百分比。地址池具有以下与之关联的 SNMP 阈值,当存在某些条件时,本地地址服务器可以向 SNMP 陷阱发出信号:
高利用率阈值 — 从地址池分配的地址百分比超过此值时,将生成高利用率 SNMP 陷阱。只要超过此阈值,系统就会发送警告消息。
已降低利用率阈值 — 当从地址池分配的地址百分比下降到此值以下时,将生成已降低利用率陷阱。系统停止发送警告消息。通常,您可以将已降低的利用率阈值设置为小于高利用率阈值;你不能把它设置得更高
阈值没有默认值。如果未配置这些阈值,则当分配的地址百分比接近 100% 时,系统不会发送即将耗尽的通知。只有在分配了地址池中的所有地址时,系统才会发送地址外陷阱。
从 Junos OS 19.2R1 版开始,除非同时配置了高利用率阈值和已降低利用率阈值,否则不会发送地址外陷阱。发送地址外陷阱时,也会发送地址外系统日志消息。
您可以为层级的所有地址池 [edit access address-assignment] 配置阈值,或者仅为层级的指定路由实例 [edit routing-instance routing-instance-name] 中的地址池配置阈值。以下配置仅 [edit access] 显示配置。
要设置阈值陷阱:
指定 IPv4 或 IPv6 地址池的高利用率阈值。
[edit accessaddress-assignment] user@host# set high-utilization percentage user@host# set high-utilization-v6 percentage
指定 IPv4 或 IPv6 地址池的降低利用率阈值。
[edit accessaddress-assignment] user@host# set abated-utilization percentage user@host# set abated-utilization-v6 percentage
在以下示例中,高阈值设置为 95% 的使用率,将降低的阈值设置为 IPv4 地址池的 90%。当分配的地址数量超过地址池的 95% 时,将生成高利用率陷阱。如果从池中分配了所有地址,将生成地址外陷阱并发送地址外系统日志消息。当分配的地址数量下降到地址池的 90% 以下时,将生成已降低利用率陷阱。
[edit accessaddress-assignment] user@host# set high-utilization 95 user@host# set abated-utilization 90
配置地址分配池链接
通过地址分配池链接,您可以为路由器指定在完全分配匹配地址分配池或主地址分配池时使用的辅助地址池。您可以创建一个包含多个链接池的链。例如,您可以将池 A 链接到池 B,将池 B 链接到池 C。您可以连续链接链中任意数量的池,但不能创建与同一池连接或从同一池链接。例如,您无法创建从池 A 到池 B 和池 C 的链接。同样,池 C 不能同时从池 A 和池 B 中链接。另一个注意事项是,链中的所有地址池必须具有相同的家族类型、IPv4 或 IPv6。
与订阅者匹配的地址池没有可用地址时,路由器会自动切换到链接池,并从该池分配地址。只有当匹配的地址分配池已完全分配时,路由器才会使用链接池。
从 Junos OS 18.1 版开始,行为将改变,以在一系列地址池中查找和分配可用地址。您可以将链接池配置为使用以下两种方式之一进行搜索:
连续地址分配 — 默认行为。将搜索每个池范围中的所有地址。搜索从匹配的池开始,然后移动到链中的第一个池,如有必要,继续通过每个链接的池连续到链中的最后一个池。在每个池中,都会搜索所有范围中的所有地址,以查找一个免费地址。此方法支持连续分配地址;每个池必须已满,然后才能搜索其他池。
非连续(聚合)地址分配 — 配置行为
linked-pool-aggregation。最初,仅在匹配池的每个范围中搜索某些地址(从下一地址到高地址)。如有必要,也会在链接池中执行相同的搜索,并持续浏览每个连续链接池,再通过链中的最后一个池。然后,搜索在链中的第一个池(不一定是匹配的池)重新启动。这一次,将搜索所有范围中的所有地址,在链末尾的所有池中。
linked-pool-aggregation如果将 RADIUS 服务器配置为单独使用 IP 地址来识别订阅者,则可以包含语句。通常,RADIUS 服务器会使用订阅者会话 ID 和其他标准来识别订阅者。如果仅使用 IP 地址,则未配置语句时linked-pool-aggregation,可能会遇到以下默认行为问题。订阅者可以断开连接,可以将该地址分配给下一个订阅者。在为断开连接的订阅者发送 Acct-Stop 消息之前,可能会先发送第二个订阅者的 Acct-Start 消息。收到 Acct-Stop 后,只能由 IP 地址标识的新订阅者可以断开连接。
您可以通过包括 linked-pool-aggregation 语句或配置 RADIUS 服务器来使用订阅者会话 ID(而非 IP 地址)进行识别来避免这种情况。
开始之前,请配置地址池。请参阅 地址分配池配置概述。
将地址分配池链接到辅助池:
例如,以下配置链路Pool_A Pool_B,然后Pool_B到Pool_C。
[edit access] user@host# set address-assignment pool Pool_A link Pool_B user@host# set address-assignment pool Pool_B link Pool_C
配置地址分配池暂侯
地址分配池暂侯功能(也称为被动清空)使您能够将活动地址池平稳过渡到非活动状态。当池处于非活动状态时,您可以安全地对池执行维护,而不会影响任何当前订阅者(例如添加、更改或删除地址)。
当地址分配池处于暂停状态时,不会从该池中分配其他地址。但是,暂存状态不会影响使用之前从池中分配的地址的任何现有订阅者。当现有订阅者断开连接时,其 IP 地址在池中将被标记为可用,但由于池处于暂停状态,地址不会重新分配。最终,当所有订阅者断开连接并将其地址返回到池时,池将变为非活动状态。
将活动地址分配池置于暂停状态:
配置 DHCP 本地地址池快速清空
您可以将池配置为主动清空模式,从而强制 DHCP 本地服务器停止分配特定本地地址池中的地址。此模式使服务器能够正常终止已经使用从该池分配的地址的订阅者,并将其转换为另一个池。当 DHCP 订阅者尝试从现在配置为主动清空模式的池中续订(在 T1 续订时)的 IP 地址租约时,DHCP 本地服务器会使用 NAK 回复订阅者的续订请求。此响应会强制订阅者重新协商租期。然后,服务器将从未配置为主动清空的备用地址池分配一个新 IP 地址。
主动清空模式提供了一种从地址池中快速清空订阅者的方法。因此,为订阅者配置的租赁时间越长,主动清空模式越有用。如果未为池配置主动清空模式,则要停止其地址分配,则必须配置被动清空模式或删除池。
被动清空模式将地址池置于暂停状态。不会从池中分配更多地址,但当前使用池中已分配地址的订阅者不会受到影响。现有订阅者可以老化。当订阅者断开连接(或被操作员断开连接)时,地址将被释放,但无法重新分配。最终,所有订阅者都会发布他们的地址,并且池不再处于活动状态。由于主动订阅者的租约会根据请求续订,因此被动清空模式可能需要比主动清空模式更长的时间才能恢复池中的所有地址。
池删除功能会在租赁期到期和订阅者重新协商并获取新租期所需的时间内中断每个当前订阅者的流量。服务器将从已删除的池中移除具有地址的所有订阅者。订阅者尝试延长租约,但失败,因为租约在服务器上被删除。当订阅者随后尝试重新协商新租约时,可能会向该租约授予来自不同池或 RADIUS 的地址。
您可以在清空地址池之前删除主动清空配置。在这种情况下,可以为仍拥有此池地址的订阅者授予租期延长。这种恢复是尽力而为,因为当配置被删除时,某些订阅者正在被服务器注销。这些订阅者无法恢复到池中,必须重新协商一个租约。然后,可能会从此池(因为它再次处于活动状态)或备用池为这些订阅者分配地址。
如果 DHCP 客户端无法收到地址池正在清空的通知,它可以继续向使用此池的订阅者授予租期延长。当地址在 T1 时间(最多 T2 时间)之后仍与客户端绑定时,池应已将其恢复,则表示此情况。在这种情况下,请删除主动清空配置,然后为池重新配置,以确保及时清空池。
如果发生经身份验证或 jdhcpd 重新启动,或者路由引擎正常切换,池地址可能仍被尚未发送 NAK 以启动退出的部分订阅者使用。重新启动或 GRES 完成后,验证方会发送 jdhcpd 通知,其中订阅者列表仍包含池中为主动清空配置的地址。然后,游泳池排水可以继续。
从 Junos OS 18.4R1 版开始,地址分配方法将确定已验证通知 DHCP 进程地址池将被删除或清空时的后续行为。
按需分配地址时,当池被删除时,具有该池中地址的族将立即退出,或者在收到 DHCP 续订或重新绑定消息时,通过清空进程正常退出。
预分配地址后,当池被删除时,两个家族的地址将立即删除,或者在收到 DHCP 续订或重新绑定消息时,通过清空进程正常删除。
要配置 DHCP 本地服务器以停止从地址池分配地址:
您可以使用 show network-access aaa statistics 命令确认为池配置了活动清空。
user@host> show network-access aaa statistics address-assignment pool pool1
Address assignment statistics
Pool Name: pool1
Out of Memory: 0
Out of Addresses: 0
Address total: 33009
Addresses in use: 1
Address Usage (percent): 0
Pool drain configured: yes
主动-清空功能优先于保留前缀地址。地址保留可以确保基于接入电路标识符 (ACI) 将同一委托前缀分配给订阅者。保留前缀的订阅者退出时,ACI 和前缀存储在地址保留表中。当订阅者尝试再次登录时,将查找表中的地址和 ACI。
主动清空模式会影响此行为。当前缀当前是设置为主动清空模式的池的一部分时,它将从表中移除,且在订阅者尝试再次登录时不会分配给订阅者。
如果在客户端正在退出时取消主动清空,则前缀和 ACI 字符串将保留在表中。在这种情况下,当订阅者再次登录时,可以将前缀分配给该 ACI 字符串。但是,如果在客户端已经注销且清除表前缀/ACI 关联后取消主动清空,则后续登录时订阅者将从重新激活的池中获取前缀,前缀可能不同。
另请参阅
配置静态地址分配
您可以选择为特定客户端保留特定地址,以创建静态 IPv4 地址绑定。地址将从地址分配池中移除,因此不会将其分配给其他客户端。保留地址时,标识客户端主机并在客户端 MAC 地址和分配的 IP 地址之间创建绑定。IPv6 地址分配池不支持静态地址绑定。
要为 IPv4 地址配置静态绑定:
为 AAA 配置重复 IPv4 地址保护
从 Junos OS 14.1 版开始,如果您使用 AAA 提供 IPv4 地址,则可以启用重复地址保护,以防止地址多次被使用。如果启用,将检查从外部服务器接收的以下属性:
Framed-IP-Address
Framed-Pool
然后,路由器会采取以下任一操作:
如果某个地址与地址池中的地址匹配,则该地址将从池中获取,前提是该地址可用。
如果地址已在使用中,则被拒绝,因为不可用,并且使用该地址的现有订阅者保持不变。
要配置重复地址保护:
从 Junos OS 18.4R1 版开始,您可以选择在配置地址保护时启用当前使用的地址重新分配,包括选项 reassign-on-match 。配置后,路由器会断开现有订阅者的连接,并允许新订阅者重新协商。此配置的效果是,始终将正在使用的地址重新分配给新订阅者。
当移动订阅者意外从网关 GPRS 支持节点 (GGSN) 掉线时,会发生此覆盖功能的一个用例,但 GGSN 会使订阅者的 L2TP 会话保持一段时间。当客户尝试通过其他节点重新连接时,会话无法连接,因为原始会话仍在正常运行。地址重新分配可以使新会话先于现有会话,从而允许订阅者重新连接。
只有当地址来自 RADIUS 源地址池时,现有订阅者才会断开连接。当地址来自本地配置的地址池时,现有订阅者会话将保持不变。
当 RADIUS 分配本地配置的地址池中包含的地址时,请勿使用 reassign-on-match 选项,因为地址冲突的可能性更大。建议不要与本地地址池重叠 RADIUS 源地址。
选项 reassign-on-match 的工作方式如下:
订阅者使用给定 IP 地址协商访问。
路由器会确定该地址是否正在使用以及其来自何处。
当订阅者已经使用该地址登录时,地址不是本地配置的池的一部分,并且会启用地址保护:
路由器向新订阅者发送 NAK,拒绝请求。
路由器向现有订阅者发送断开连接请求。断开连接请求包含一个终止 ID,用于报告退出原因。
新的(被拒绝)订阅者可以重新协商并为其分配 IP 地址。
当订阅者已经以该地址登录,并且该地址是从本地地址池分配的:
路由器向新订阅者发送 NAK,拒绝请求。
路由器不会向现有订阅者发送断开连接请求。
添加到现有重复地址保护配置后 reassign-on-match ,该配置将立即对现有订阅者生效。同样,如果从配置中移除 reassign-on-match ,该请求将立即生效,因此后续使用使用中地址的访问请求不会导致现有订阅者终止。
要启用地址重新分配:
[edit access address-protection] user@host# set reassign-on-match
另请参阅
示例:配置地址分配池
要求
概述
配置
此示例显示了创建两个池的地址分配池配置,一个池用于 IPv4 DHCP 客户端 (isp_1),另chi-fiber-ra一个用于路由器播发。
CLI 快速配置
[edit access]
address-assignment {
network-discovery-router-advertisement chi-fiber-ra;
pool isp_1 {
family inet {
network 192.168.0.0/16;
range southeast {
low 192.168.102.2 high 192.168.102.254;
}
range northeast {
low 192.168.119.2 high 192.168.119.250;
}
host host.example.net {
hardware-address 00:00:5E:00:53:90;
ip-address 192.168.44.12;
}
dhcp-attributes {
option-match {
option-82 {
circuit-id fiber range northeast;
}
option-82 {
circuit-id cable_net range southeast;
}
}
boot-file boot.client;
boot-server 192.168.200.100;
grace-period 3600;
maximum-lease-time 18000;
netbios-node-type p-node;
router 192.168.44.44 192.168.44.45;
}
}
}
pool chi-fiber-ra {
family inet6 {
prefix 2001:db8:2008:2009:2010::/48;
range fiber3 {
low 2001:db8:2008:2009:2010::1/64;
high 2001:db8:2008:2009:2010::5/64;
}
}
}
}
此示例将创建一个名为的 IPv4 地址分配池 isp-1,其中包含两个命名地址范围 southeast 和 northeast。地址分配池还包含客户端 host host.example.net的静态绑定。ISP_1池配置还包括该 dhcp-attributes 语句,表示该池用于 DHCP 客户端。如果 option 82 circuit-id 条目与字符串 fiber匹配,则 DHCP 会为客户端分配该 northeast 范围内的地址。如果 option 82 circuit-id 与字符串 cable_net匹配,DHCP 会分配该 southeast 范围内的地址。
此示例中创建的第二个地址分配池是 chi-fiber-ra。 neighbor-discovery-router-advertisement 语法开头的语句指定此命名的地址分配池用于路由器播发。示例末尾的语法配置名为 chi-fiber-ra的地址分配池。
reassign-on-match 。