数据包触发的用户服务上的 IP 多路分离接口
总结 阅读本主题,了解 Junos 中提供的数据包触发订阅者功能及其配置方法。数据包触发订阅者功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路复用接口 (IP 多路复用 IFL)。
数据包触发订阅者服务概述上的 IP 多路复用接口
数据包触发订阅者功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路复用接口 (IP 多路复用 IFL)。收到第一个数据包时,控制平面会检查 IP 地址。如果源 IP 地址与配置的 IP 地址范围之一匹配,则会使用身份验证服务器对订阅者进行身份验证。身份验证成功后,将使用 CLI 中指定的动态配置文件创建 IP 多路复用 IFL。IP 多路复用 IFL 使用身份验证服务器传递的掩码为订阅者添加成帧路由和解复用源。如果掩码不是由身份验证服务器发送的,则使用 CLI 中指定的掩码安装访问和解复用路由。
对于住宅 IPv4 用户,来自单个家庭的所有流量通常具有相同的源 IPv4 地址。因此,对于每个家庭,只创建一个具有单个IPv4地址的IP多路复用IFL。对于企业 IPv4 订阅者,可以使用帧路由分配多个 IPv4 地址,从而生成一个 IP 多路复用 IFL 表示多个 IPv4 地址。对于 IPv6,来自同一家庭或企业的流量的源地址不同,因为每个设备都有一个单独的 IPv6 地址。在这种情况下,家庭或企业的最佳表示形式包括一个带有 IPv6 前缀的 IP 多路复用 IFL,代表家庭/企业中的所有 IPv6 地址。
在创建 IP 多路复用 IFL 期间,如果身份验证失败,仍会创建 IP 多路复用 IFL,但此类 IP 多路复用 IFL 无法转发任何流量。关联订阅者收到的任何流量都将被丢弃。所有此类被拒绝的 IP 多路复用 IFL 仍处于配置状态,称为已配置订阅者。即使身份验证失败,创建 IP 多路复用 IFL 也将避免抖动,因为后续数据包将在 PFE 上丢弃,并且不会被戳入 RE。所有处于“已配置”状态的订阅者都将定期删除。删除这些订阅者后,从同一源接收的任何新数据包都将被推送到 RE。
数据包触发订阅者支持要求所连接设备的 MAC 地址在订阅者会话期间保持不变。如果在订阅者登录且会话启动后,数据包触发订阅者的 MAC 地址发生更改,则订阅者将无法使用相同的 IP 地址从新设备进行连接。您可以通过设置监视会话订阅者活动的时间段来避免这种情况。client-idle-timeout在配置文件名称 session-options]层次结构级别使用该[edit access profile 选项。超时到期时,订阅者将正常注销。然后,订阅者可以从第二台设备成功登录。请参阅配置订阅者会话超时选项。
IP 多路复用接口对数据包触发订阅者服务的优势
- 当家庭或企业中的设备已经通过其他方式(例如静态分配)或通过电缆调制解调器终端系统 (CMTS) 分配了 IPv4/IPv6 地址时,允许用户管理和动态用户接口配置。
支持使用 RADIUS 服务器进行身份验证和服务选择的数据包触发订阅者,并且每个底层 IFL 最多允许 16 个 IPv4 和 16 个 IPv6 地址范围。
允许身份验证服务器传入要使用的动态配置文件。当身份验证服务器传递这些值时,它们优先于通过 CLI 配置的值。
提供限制机制来缓解类似 DoS 的攻击,并限制发送到 RE 进行 IP 多路复用身份验证和创建的异常数据包的速率。限制机制使用现有的 DDoS 机制。
参见
在动态配置文件中使用 IP 多路复用接口配置数据包触发的订阅者
您可以为 IPv4 和 IPv6 地址的多路复用接口配置数据包触发的订阅者。数据包触发订阅者功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路复用 IFL。创建 IP 多路复用 IFL 后,将使用身份验证服务器传递的掩码为订阅者添加帧路由和解复用源。
要启用数据包触发的订阅者功能,请在动态配置文件中配置多路复用选项。动态配置文件使您能够将配置的值动态应用于动态接口,使其更易于管理。
准备工作:
配置动态配置文件。
请参阅 配置基本动态配置文件。
配置动态配置文件后,从多路复用接口开始配置数据包触发的订阅者接口: