Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

数据包触发的用户服务上的 IP 多路分离接口

阅读本主题,了解 Junos 中提供的数据包触发订阅者功能以及如何进行配置。数据包触发的用户功能在从具有预先分配 IP 地址的客户端接收数据包时创建 IP 多路分离接口 (IP 多路分离 IFL)。

数据包触发用户上的 IP 多路分离接口服务概述

数据包触发的用户功能在从具有预先分配 IP 地址的客户端接收数据包时创建 IP 多路分离接口 (IP 多路分离 IFL)。收到第一个数据包后,控制平面会检查 IP 地址。如果源 IP 地址与配置的 IP 地址范围之一匹配,则使用身份验证服务器对用户进行身份验证。成功身份验证后,将使用 CLI 中指定的动态配置文件创建 IP 多路分离 IFL。IP 多路分离 IFL 使用身份验证服务器传递的掩码为用户添加成帧路由和多路分离源。如果掩码未由身份验证服务器发送,则使用 CLI 中指定的掩码安装访问和多路分离路由。

对于住宅 IPv4 用户,来自单个家庭的所有流量通常具有相同的源 IPv4 地址。因此,对于每个家庭,仅创建一个具有单个 IPv4 地址的 IP 多路分离 IFL。对于商业 IPv4 用户,可以使用成帧路由分配多个 IPv4 地址,从而产生一个 IP 多路分离 IFL 代表多个 IPv4 地址。对于 IPv6,来自同一家庭或企业的流量源地址不同,因为每个设备都有单独的 IPv6 地址。在这种情况下,家庭或企业的最佳表示形式包括一个带有 IPv6 前缀的 IP 多路分离 IFL,表示家庭/企业中的所有 IPv6 地址。

注意:

在创建 IP 多路分离 IFL 期间,如果身份验证失败,仍会创建 IP 多路分离 IFL,但此类 IP 多路分离 IFL 无法转发任何流量。为关联的用户接收的任何流量都将被丢弃。所有此类被拒绝的 IP 多路分离 IFL 都保持配置状态,并称为已配置的用户。即使身份验证失败,创建 IP 多路分离 IFL 也可避免抖动,因为后续数据包将在 PFE 上丢弃,并且不会被传送到 RE。所有处于“已配置”状态的订阅者将被定期删除。删除这些订阅者后,从同一源收到的任何新数据包都将发送到 RE。
注意:

数据包触发的用户支持要求所连接设备的 MAC 地址在用户会话期间保持不变。如果在用户登录且会话已启动后,数据包触发的用户的 MAC 地址发生变化,则用户将无法从具有相同 IP 地址的新设备进行连接。您可以通过设置监控会话订阅者活动的时间段来避免这种情况。在 client-idle-timeout ] 层级使用 [edit access profile profile-name session-options 该选项。超时到期时,订阅者将正常注销。然后,订阅者就可以从第二台设备成功登录。请参阅 配置订阅者会话超时选项

IP 多路分离接口对数据包触发的用户服务的好处

  • 如果家庭或企业中的设备已通过其他方式(例如,静态分配或通过电缆调制解调器终端系统 (CMTS))分配了 IPv4/IPv6 地址,则允许进行订阅者管理和动态订阅者接口配置。

  • 支持使用 RADIUS 服务器的身份验证和服务选择进行数据包触发的用户,每个底层 IFL 最多允许 16 个 IPv4 和 16 个 IPv6 地址范围。

  • 允许身份验证服务器传入动态配置文件以供使用。当身份验证服务器传递这些值时,它们优先于通过 CLI 配置的值。

  • 提供节流机制以减轻类 DoS 攻击并限制发送到 RE 进行 IP 多路分离身份验证和创建的异常数据包的速率。限制机制使用现有的 DDoS 机制。

    请参阅 多路分离接口概述

在动态配置文件中使用 IP 多路分离接口配置数据包触发的用户

您可以为 IPv4 和 IPv6 地址的多路分离接口配置数据包触发的用户。数据包触发的用户功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路分离 IFL。创建 IP 多路分离后,将使用身份验证服务器传递的掩码为用户添加成帧路由和多路分离源。

要启用数据包触发的用户功能,请在动态配置文件中配置多路分离选项。动态配置文件允许您将配置的值动态应用到动态接口,使其更易于管理。

开始之前:

配置动态配置文件后,配置从多路分离接口开始的数据包触发的用户接口:

  1. 指定要配置demux接口的条件。
  2. 为多路分离接口配置家族。
    1. 指定要配置家族。

      对于 IPv4:

      对于 IPv6:

      注意:

      其余步骤都显示家族 inet,但对于任一家族来说都是相同的。
  3. 指定要基于源地址的多路分离地址类型。
  4. 配置系列的自动配置详细信息。
  5. 开始特定的数据包触发用户配置。
  6. 在地址范围下,配置以下内容:
    1. 动态配置文件包括网络地址的详细信息,以及家族的多路分离接口范围。
    2. 身份验证包括要包含的密码的详细信息以及用户名配置文件,例如分隔符、域名、接口名称、身份验证服务器、源地址和家族多路分离接口的用户前缀。

      静态 VLAN 订阅者(MX240、MX304、MX480、MX960、MX2010、MX2020、MX10004 和 MX10008)的数据包触发恢复支持

      支持在 MX 系列设备上基于以下线卡的数据包触发功能:

      • MX304 和其他配备 MPC10 线卡 (ZT ASIC) 的 MX 系列设备
      • MX10K-LC9600 线卡 (YT ASIC)

      数据包触发功能支持静态 IP 分配的用户,其中包括对以下内容的支持:

      • 有和没有 VLAN 的订阅者。
      • 使用 IPv4 和 IPv6 数据包的用户。
      • 每个 IPv4 或 IPv6 地址一个 IP 多路分离连接。
      • 使用 RADIUS 服务器和 SRC 的身份验证和服务选择触发的数据包触发的用户。
      • 在用户级别支持 CoS。
      • 节流机制以减轻类 DOS 攻击。
      • 在一定可配置的持续时间内未看到任何活动时,移除 IP 多路分离接口。

      要为底层接口上的数据包触发配置启用用户管理服务,请使用enable force或使用set system services subscriber-management enable force命令下的[edit system services hierarchy]命令。