AUF DIESER SEITE

IPv4 und IPv6 Dual Stack in einem DHCP-Zugangsnetzwerk
AAA Service Framework in einem Dual Stack über ein DHCP-Zugangsnetzwerk
Dual-Stack-Schnittstellen-Stack in einem DHCP-Großhandelsnetzwerk
Single-Session-DHCP Dual-Stack – Übersicht
Konfigurieren des Dual-Stack-Supports für Single-Session-DHCP
Überprüfen und Verwalten der DHCP Dual-Stack-Konfiguration

Dual-Stack-Zugriffsmodelle in einem DHCP-Netzwerk

IPv4 und IPv6 Dual Stack in einem DHCP-Zugangsnetzwerk

Abbildung 1 zeigt einen Dual-Stack-Schnittstellen-Stack in einem DHCP-Zugriffsnetzwerk. Die IPv4-Familie (inet) und die IPv6-Familie (inet6) können sich auf derselben VLAN-Schnittstelle befinden.

Abbildung 1: Dual-Stack-Schnittstellen-Stack über ein DHCP-Zugriffsnetzwerk Diagram showing Ethernet interface connecting to VLAN interface, linked to IPv4 Family inet and IPv6 Family inet6, illustrating network interface structure.

Diagram showing Ethernet interface connecting to VLAN interface, linked to IPv4 Family inet and IPv6 Family inet6, illustrating network interface structure.

Hinweis:

Wenn Sie IPv4 und IPv6 Dual Stack auf derselben DHCP-Schnittstelle verwenden, müssen Sie ein dynamisches Profil für IPv4- und IPv6-Abonnenten konfigurieren. Sie können IPv4- und IPv6-Anwender-Sitzungen nicht über dieselbe Schnittstelle ausführen, wenn Sie separate dynamische Profile für IPv4 und IPv6 konfigurieren.

Unterstützung für Demultiplexing-Schnittstellen

IPv4- und IPv6-Dual-Stack-Funktionen werden auf VLAN-Demultiplexing-Schnittstellen (demux) unterstützt. Dual Stack wird auf IP-Demux-Schnittstellen nicht unterstützt.

AAA Service Framework in einem Dual Stack über ein DHCP-Zugangsnetzwerk

Sie können das AAA Service Framework für alle Authentifizierungs-, Autorisierungs-, Abrechnungs-, Adresszuweisungs- und dynamischen Anforderungsservices verwenden, die die BNG für den Netzwerkzugriff verwendet. Das Framework unterstützt die Authentifizierung und Autorisierung über externe RADIUS-Server. Darüber hinaus unterstützt er Abrechnungs- und dynamische Autorisierungsänderungsvorgänge (Change of Authorization, CoA) und Trennungsvorgänge über externe Server sowie die Adresszuweisung über eine Kombination aus lokalen Adresszuweisungspools und RADIUS-Servern.

Die BNG interagiert mit externen Servern, um zu bestimmen, wie einzelne Teilnehmer auf das Breitbandnetz zugreifen. Die BNG kann auch Informationen von externen Servern für Folgendes erhalten:

Wie Abonnenten authentifiziert werden.
Wie Buchhaltungsstatistiken gesammelt und verwendet werden.
Wie dynamische Anfragen, wie z. B. CoA, behandelt werden.

Wie in Abbildung 2, einer Implementierung von Dual Stack über ein DHCP-Zugriffsnetzwerk, dargestellt, gibt es separate AAA-Sitzungen für IPv4- und IPv6-Authentifizierung und -Accounting.

Abbildung 2: AAA Service Framework in einem Dual Stack über ein DHCP-Zugangsnetzwerk Flowchart showing AAA sessions structure for IPv4 and IPv6 with connections to authentication and accounting, VLAN, Ethernet, and IP families.

Flowchart showing AAA sessions structure for IPv4 and IPv6 with connections to authentication and accounting, VLAN, Ethernet, and IP families.

Erfassung von Abrechnungsstatistiken in einem DHCP-Zugangsnetzwerk
Änderung der Autorisierung (CoA)

Erfassung von Abrechnungsstatistiken in einem DHCP-Zugangsnetzwerk

AAA bietet Unterstützung für IPv4- und IPv6-Statistiken in separaten Buchhaltungssitzungen.

Die folgenden RADIUS-Attribute sind standardmäßig (sofern verfügbar) in Acct-Start-, Interim- und Acct-Stop-Nachrichten enthalten:

Framed-IPv6-Präfix
Framed-IPv6-Pool
Delegated-IPv6-Präfix
Framed-IPv4-Route
Framed-IPv6-Route

Sie können die BNG so konfigurieren, dass diese Attribute in Accounting-Konten-Start- und Konto-Stopp-Nachrichten ausgeschlossen werden.

Änderung der Autorisierung (CoA)

RADIUS-Server können dynamische Anfragen an die BNG initiieren. Zu den dynamischen Anforderungen gehören CoA-Anforderungen, die VSA-Modifikationen und Serviceänderungen spezifizieren.

In der Konfiguration des Zugriffsprofils geben Sie die IP-Adressen der RADIUS-Authentifizierungsserver an, die dynamische Anforderungen an den Router initiieren können. Die Liste der Authentifizierungsserver bietet auch eine RADIUS-basierte dynamische Serviceaktivierung und -deaktivierung während der Anmeldung des Anwenders.

Dual-Stack-Schnittstellen-Stack in einem DHCP-Großhandelsnetzwerk

Abbildung 3 zeigt einen Dual-Stack-Schnittstellen-Stack in einem DHCP-Großhandels-Netzwerk. In diesem Szenario werden die IPv4- und IPv6-Demux-Schnittstellen auf derselben VLAN-Schnittstelle konfiguriert. Die demux-Schnittstellen werden in einer separaten logischen System-:Routing-Instanz konfiguriert.

Abbildung 3: Dual-Stack-Schnittstellen-Stack in einem DHCP-Großhandelsnetzwerk Diagram of network configuration showing IPv4 and IPv6 Demux routing instances connected to a VLAN and Ethernet interface.

Diagram of network configuration showing IPv4 and IPv6 Demux routing instances connected to a VLAN and Ethernet interface.

Single-Session-DHCP Dual-Stack – Übersicht

Junos OS unterstützt einen Single-Session-DHCP-Dual-Stack, was die Verwaltung von Dual-Stack-Abonnenten vereinfacht und die Leistung und Sitzungsanforderungen im Vergleich zur herkömmlichen Dual-Stack-Unterstützung verbessert.

In einer DHCP-Dual-Stack-Umgebung unterstützt ein DHCP-Server sowohl DHCPv4- als auch DHCPv6-Abonnenten. Der DHCP-Server stellt Services wie Authentifizierung und Kontoführung sowohl für den DHCPv4- als auch für den DHCPv6-Teil des Dual-Stacks bereit. In einer traditionellen Implementierung werden die beiden Beine der Dual-Stack-Beine als unabhängig betrachtet. Das Vorhandensein separater Zweige für DHCPv4 und DHCPv6 führt zu Ineffizienzen, da separate und mehrere Sitzungen erforderlich sein können, um für jeden Abschnitt des Dual-Stacks ähnliche Unterstützung zu bieten. Um beispielsweise die Authentifizierung für einen traditionellen Dual-Stack über ein dynamisches VLAN bereitzustellen, sind drei separate Sitzungen erforderlich, eine für DHCPv4, eine für DHCPv6 und eine für das authentifizierte dynamische VLAN. Ebenso können mehrere Sitzungen für Dual-Stack-Buchhaltungsvorgänge erforderlich sein.

Beim Dual-Stack über ein dynamisches VLAN erfordert der Single-Session-Dual-Stack nur eine einzige Sitzung für die Authentifizierung, im Gegensatz zu den drei Sitzungen, die für die herkömmliche Dual-Stack-Konfiguration erforderlich sind. Die Buchhaltungsunterstützung für den Dual-Stack verwendet ebenfalls eine einzige Sitzung. Die Einzelsitzungsfunktion reduziert nicht nur die Anzahl der erforderlichen Sitzungen, sondern vereinfacht auch die Konfiguration des Routers, reduziert die Last von RADIUS-Nachrichten und verbessert die Leistung von Buchhaltungssitzungen für Haushalte mit Dual-Stack-Umgebungen.

In der Dual-Stack-Umgebung mit einer Sitzung löst die erste DHCP-Sitzung, die aushandelt, die dynamische VLAN-Erstellung aus (falls erforderlich) und wird von der DHCP-Anwendung autorisiert. Der zweite Teil des Dual-Stacks wird zurückgestellt, bis der Autorisierungspunkt abgeschlossen ist. Wenn der zweite Teil des Dual Stacks eingerichtet ist, erbt der DHCP-Client alle allgemeinen Datenbankwerte des Anwenders, z. B. Circuit-ID, Remote-ID, Benutzername und Schnittstellenname aus dem ersten Abschnitt.

In Abbildung 4 wird eine Sitzung mit einem einzelnen Anwender für einen Dual-Stack-Benutzer eingerichtet.

Abbildung 4: DHCP Dual Stack Single-Session-Subscriber-Bereitstellungsmodell Network diagram showing interaction: CPE connects to dynamic VLAN and local DHCP server. BNG links to VLAN. RADIUS interacts with DHCP. Diagram illustrates DHCP request flow and roles of VLANs and RADIUS.

Network diagram showing interaction: CPE connects to dynamic VLAN and local DHCP server. BNG links to VLAN. RADIUS interacts with DHCP. Diagram illustrates DHCP request flow and roles of VLANs and RADIUS.

Sie können Einzelsitzungs-Dual-Stack-Anwendereinstellungen für DHCP-Relay-Agent und lokalen DHCP-Server konfigurieren. Sie verwenden die dual-stack-group Anweisung, um eine benannte Gruppe zu erstellen, die die Werte für Dual-Stack-Abonnenten angibt. Anschließend verwenden Sie die dual-stack Anweisung, um den Namen der Dual-Stack-Gruppe anzugeben und die Gruppe Abonnenten auf globaler, Gruppen- oder Schnittstellenebene zuzuweisen.

Konfigurieren Sie für den DHCP-Relay-Agent diese Anweisungen auf Hierarchieebene [edit forwarding-options dhcp-relay] bzw. auf Hierarchieebene [edit forwarding-options dhcp-relay ... overrides] .
Konfigurieren Sie für den lokalen DHCP-Server diese Anweisungen auf Hierarchieebene [edit system services dhcp-local-server] bzw. auf Hierarchieebene [edit system services dhcp-local-server ... overrides] .

Sie können die folgenden allgemeinen DHCP-Einstellungen für das Dual-Stack-Modell mit einer Sitzung konfigurieren. In den meisten Fällen ähneln diese Einstellungen denen, die für separate DHCPv4- und DHCPv6-Abschnitte in einer herkömmlichen Dual-Stack-Konfiguration verwendet werden. Wenn konfiguriert und referenziert wird, hat die Dual-Stack-Konfiguration Vorrang vor den gleichen Elementen, die unter der jeweiligen Familie konfiguriert sind.

access-profile– Zugriffsprofil, das Authentifizierungs- und Kontoführungsparameter für die Dual-Stack-Gruppe bereitstellt, die Vorrang vor denen haben, die in einem globalen Zugriffsprofil oder in einem für den DHCP-Relay-Agent oder den lokalen DHCP-Server konfigurierten Profil konfiguriert sind.
authentication– Authentifizierungsbezogene Parameter (z. B. Kennwort und Benutzername), die der Router an den externen AAA-Server sendet.

Die dual-stack authentication Zeilengruppe ähnelt der Zeilengruppe, die für die Adressfamilien v4 und v6 separat erhältlich ist. Wenn die username-include Konfigurationssyntax für den DHCPv4-Teil des Dual-Stacks verwendet wird, entspricht die relay-agent-interface-id Option der DHCPv4-Anweisung relay-option-82 circuit-id und die relay-agent-remote-id Option der DHCPv4-Anweisung relay-option-82 remote-id . Sie müssen die beiden DHCPv4-Optionen nicht separat konfigurieren.
classification-key– Der Klassifizierungsschlüssel definiert den Mechanismus, der zur Identifizierung eines Dual-Stack-Haushalts verwendet werden soll.
dual-stack-interface-client-limit– Begrenzt die Anzahl der Dual-Stack-Abonnenten, die sich pro Schnittstelle anmelden.

Hinweis:
Verwenden Sie für Dual-Stack-Abonnenten immer diese Anweisung anstelle der interface-client-limit Anweisung.
dynamic-profile– Dynamisches Profil, das an alle Schnittstellen, an eine benannte Gruppe von Schnittstellen oder an eine bestimmte Schnittstelle angehängt ist.
liveness-detection– Konfigurieren Sie ein aktives Protokoll zur Erkennung von Lebendigkeit, das die Bindung löscht und die Ressourcen freigibt, wenn der Anwender nicht auf eine konfigurierte Anzahl aufeinanderfolgender Anforderungen zur Erkennung von Lebendigkeit reagiert, der Anwender.

on-demand-address-allocation– (DHCP lokaler Server) Gibt an, ob der On-Demand-Adresszuweisungsmodus für einen Dual-Stack-Anwender erzwungen wird.

Wenn diese Konfiguration nicht vorhanden ist, werden alle IP-Adressen und Präfixe für IPv4- und IPv6-Familien eines Dual-Stack-Anwenders vorab zugewiesen, wenn sich der erste Abschnitt eines Dual-Stack-Anwenders zum ersten Mal anmeldet.

Wenn diese Konfiguration vorhanden ist, wenn sich die erste Etappe eines Dual-Stack-Anwenders zum ersten Mal anmeldet, wird die RADIUS-Authentifizierung durchgeführt (falls konfiguriert), und es werden nur die IP-Adresse und das Präfix dieser ersten Familie zugewiesen. Die IP-Adresse und das Präfix für die andere Familie werden nicht zugewiesen, es sei denn, der andere Familienzweig meldet sich anschließend zum ersten Mal an.

Hinweis:

Die IP-Adresszuweisung für die zweite Familie wird durch die RADIUS-Authentifizierung informiert, die zuvor zum Zeitpunkt der ersten Familienanmeldung durchgeführt wurde.

Ab Junos OS Version 18.4R1 wird die Methode der Adresszuweisung überprüft, um das nachfolgende Verhalten zu bestimmen, wenn authd den DHCP-Prozess benachrichtigt, dass ein Adresspool gelöscht oder geleert wird. Tabelle 1 beschreibt das Verhalten.

Tabelle 1: Verhalten, wenn der Adresspool gelöscht oder geleert wird
Methode der Adresszuweisung	Adresspool ist leer	Adresspool wird gelöscht
Auf Abruf	Familie mit Adresse im Pool wird ordnungsgemäß abgemeldet, wenn eine DHCP-Erneuerungs- oder Neubindungsnachricht empfangen wird.	Familie mit Adresse im Pool wird sofort abgemeldet.
Vorbelegt	Adressen für beide Familien werden ordnungsgemäß gelöscht, wenn eine DHCP-Nachricht zum Erneuern oder erneuten Binden empfangen wird.	Adressen beider Familien werden sofort gelöscht.

protocol-master– Dieser Begriff bezeichnet entweder eine IPv4- oder eine IPv6-Familie als primäre Familie für einen Dual-Stack-Anwender. Die Anmeldung zur Clientbindung der sekundären Familie wird abgelehnt, bis eine gültige Clientbindung für die primäre Familie vorhanden ist.

VORSICHT:

Wenn die sekundäre Familienbindung aus irgendeinem Grund abgemeldet wird, wird nur die sekundäre Familienbindung abgerissen.

Wenn die primäre Familienbindung aus irgendeinem Grund abgemeldet wird, werden die entsprechenden Bindungen für die primäre und sekundäre Familie entfernt.
reauthenticate– (DHCP lokaler Server) Konfigurieren Sie die erneute Authentifizierung des Anwenders, um Änderungsmerkmale wie Serviceaktivierung/-deaktivierung und Attributänderungen zu initiieren.
relay-agent-interface-id– (DHCP-Relay-Agent) Schließt die Relay-Agent-Schnittstellen-ID (Option 18) in DHCPv6-Pakete ein, die für den DHCPv6-Server bestimmt sind. Sie können zahlreiche Optionen konfigurieren, um anzugeben, was im Circuit-ID-Wert enthalten ist.

Für den DHCPv4-Teil des Dual-Stacks enthält diese Anweisung das DHCPv4 relay-option-82 circuit-id in Paketen, die für den DHCPv4-Server bestimmt sind.
relay-agent-remote-id– (DHCP-Relay-Agent) Schließt die Remote-ID des Relay-Agenten (Option 37) in DHCPv6-Pakete ein, die für einen DHCPv6-Server bestimmt sind. Sie können zahlreiche Optionen konfigurieren, um anzugeben, was im Remote-ID-Wert enthalten ist.

Für den DHCPv4-Teil des Dual-Stacks enthält diese Anweisung das DHCPv4 relay-option-82 remote-id in Paketen, die für den DHCPv4-Server bestimmt sind.
service-profile– Dynamisches Profil für den Standard-Anwender-Service (oder den Standard-DHCP-Client-Management-Service), das aktiviert wird, wenn sich der Anwender (oder Client) anmeldet.
short-cycle protection– Erkennen und sperren Sie kurzlebige Client-Sitzungen und Clients, die wiederholt die Sitzungsaushandlung nicht bestehen, um die Ressourcennutzung im Zusammenhang mit der Verbindungs- und Authentifizierungsverarbeitung in hoch skalierten Netzwerken zu reduzieren.

Konfigurieren des Dual-Stack-Supports für Single-Session-DHCP

Die Konfiguration des Dual-Stack-Supports für einzelne Sitzungen erfolgt in zwei Schritten. Sie erstellen zunächst die Dual-Stack-Gruppe, die die Konfigurationsparameter angibt, die von den DHCPv4- und DHCPv6-Abschnitten des DHCP-Dual-Stacks gemeinsam genutzt werden. Anschließend fügen Sie die Dual-Stack-Gruppe an DHCP-Abonnentenschnittstellen an, indem Sie die DHCP-Standardkonfigurationen für die DHCPv4- und DHCPv6-Anwender überschreiben. Sie müssen die Dual-Stack-Gruppe für beide Abschnitte des Dual-Stacks referenzieren. Wenn Sie die Gruppe nur an einen Schenkel anhängen, lehnt der Router den anderen Schenkel ab. Sie können die Dual-Stack-Gruppe global, für eine bestimmte DHCP-Schnittstellengruppe oder für eine bestimmte Schnittstelle anfügen.

So konfigurieren Sie die Unterstützung für Single-Session-Dual-Stack-Gruppen.

Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.

Erstellen und benennen Sie die Dual-Stack-Gruppe.

Fügen Sie der Dual-Stack-Gruppe ein Zugriffsprofil hinzu, um die entsprechenden Authentifizierungs- und Kontoführungseigenschaften zu überschreiben, die in einem globalen Zugriffsprofil oder DHCP-Relay-Agent-Zugriffsprofil konfiguriert sind.
Weitere Informationen finden Sie unter Anfügen von Zugriffsprofilen an DHCP-Anwenderschnittstellen oder DHCP-Clientschnittstellen.
Konfigurieren Sie die Werte für den Benutzernamen und das Kennwort für die Authentifizierung für die Dual-Stack-Gruppe.
Siehe Authentifizierungsunterstützung angeben.
- Konfigurieren Sie den eindeutigen Benutzernamen.
  Siehe Erstellen eindeutiger Benutzernamen für DHCP-Clients.
- Konfigurieren Sie das Kennwort, mit dem der Benutzername beim externen Authentifizierungsdienst authentifiziert wird.
  Siehe Beispiel-Konfigurieren von DHCP mit externem Authentifizierungsserver.
Geben Sie das dynamische Profil an, das der Dual-Stack-Gruppe zugeordnet ist.
Siehe Dynamische Profile an DHCP-Anwenderschnittstellen oder DHCP-Clientschnittstellen anhängen.
Geben Sie das Serviceprofil an, das der Dual-Stack-Gruppe zugeordnet ist.
Siehe Definieren verschiedener Serviceebenen für DHCP-Abonnenten.
Geben Sie die Relay-Agent-Schnittstellen-ID für die Dual-Stack-Gruppe an.
Siehe Einfügen der DHCPv6-Schnittstellen-ID-Option (Option 18) in DHCPv6-Pakete.

Hinweis:
Für den DHCPv4-Teil des Dual-Stacks gibt dieser Schritt die Option 82 Agent Circuit ID (Unteroption 1) für DHCPv4-Clients an. Siehe Verwenden des DHCP Relay Agent Option 82 Informationen.
Geben Sie die Relay-Agent-Remote-ID für die Dual-Stack-Gruppe an.
Siehe Einfügen der DHCPv6-Remote-ID-Option (Option 37) in DHCPv6-Pakete.

Hinweis:
Für den DHCPv4-Teil des Dual-Stacks gibt dieser Schritt die Option 82-Agent-Remote-ID (Unteroption 2) für DHCPv4-Clients an. Siehe Verwenden des DHCP Relay Agent Option 82 Informationen.
Verwenden Sie die Überschreibungsfunktion, um das Standardverhalten des DHCP-Relays zu überschreiben und die Dual-Stack-Gruppe DHCPv4- und DHCPv6-Clients zuzuweisen. Sie müssen für jeden Teil des Dual Stacks separate Schritte ausführen.
- So weisen Sie die Dual-Stack-Gruppe DHCPv4-Clients zu:
  Siehe Überschreiben der Standardeinstellungen für die DHCP-Relay-Konfiguration.
- So weisen Sie die Dual-Stack-Gruppe DHCPv6-Clients zu:
  Siehe Überschreiben der Standardeinstellungen für die DHCP-Relay-Konfiguration.
(Optional) Überprüfen Sie Ihre Dual-Stack-Gruppenkonfiguration für DHCPv4 und DHCPv6.
Siehe Überprüfen und Verwalten der DHCP-Dual-Stack-Konfiguration.

Überprüfen und Verwalten der DHCP Dual-Stack-Konfiguration

Zweck
Aktion

Zweck

Zeigen Sie Informationen zur DHCP-Einzelsitzungs-Dual-Stack-Konfiguration an.

Aktion

So zeigen Sie DHCP-Relay-Agent-Bindungsinformationen für Dual-Stack-Clients an:
So zeigen Sie DHCPv6-Relay-Agent-Bindungsinformationen für Dual-Stack-Clients an:
So zeigen Sie zugewiesene IP4- und IPv6-Adressen für DHCP-Dual-Stack-Clients an:

So zeigen Sie IPv4- und IPv6-Adressen für eine bestimmte Sitzung an:

Löschen Sie alle DHCPv4-Relay-Bindungen und zugehörigen DHCPv6-Bindungen für den Dual-Stack in der Standardrouting-Instanz. Dieser Befehl wirkt sich nicht auf reine DHCPv6-Stacks aus, die nicht mit dem Dual-Stack verknüpft sind.
Alternativ können Sie das Löschen auf eine Adresse, eine VLAN-Schnittstelle, ein logisches System oder eine Routing-Instanz beschränken.
So löschen Sie alle DHCPv6-Relay-Bindungen und die zugehörigen DHCPv4-Bindungen für den Dual-Stack in der Standardrouting-Instanz. Dieser Befehl wirkt sich nicht auf reine DHCPv4-Stacks aus, die nicht mit dem Dual-Stack verknüpft sind.
Alternativ können Sie das Löschen auf eine Adresse, eine VLAN-Schnittstelle, ein logisches System oder eine Routing-Instanz beschränken.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung

Beschreibung

18.4R1