Dual-Stack-Zugriffsmodelle in einem DHCP-Netzwerk

Abbildung 1 zeigt einen Dual-Stack-Schnittstellenstapel in einem DHCP-Zugriffsnetzwerk. Die IPv4-Familie (inet) und die IPv6-Familie (inet6) können sich auf derselben VLAN-Schnittstelle befinden.

Abbildung 1: Dual-Stack-Schnittstellenstapel über einem DHCP-Zugriffsnetzwerk

Sie können das AAA Service Framework für alle Authentifizierungs-, Autorisierungs-, Kontoführungs-, Adresszuweisungs- und dynamischen Anforderungsdienste verwenden, die der BNG für den Netzwerkzugriff verwendet. Das Framework unterstützt die Authentifizierung und Autorisierung über externe RADIUS-Server. Darüber hinaus unterstützt er Abrechnungs- und CoA-Vorgänge (Change of Authorization) und Trennungsvorgänge über externe Server sowie die Adresszuweisung über eine Kombination aus lokalen Adresszuweisungspools und RADIUS-Servern.

Das BNG interagiert mit externen Servern, um zu bestimmen, wie einzelne Teilnehmer auf das Breitbandnetzwerk zugreifen. Die BNG kann auch Informationen von externen Servern für Folgendes abrufen:

• Wie Abonnenten authentifiziert werden.

• Wie Buchhaltungsstatistiken erhoben und verwendet werden.

• Wie dynamische Anfragen, wie z. B. CoA, gehandhabt werden.

Wie in Abbildung 2, einer Implementierung von Dual Stack über einem DHCP-Zugriffsnetzwerk, dargestellt, gibt es separate AAA-Sitzungen für die IPv4- und IPv6-Authentifizierung und -Abrechnung.

Abbildung 2: AAA-Service-Framework in einem Dual-Stack über einem DHCP-Zugriffsnetzwerk

• Erfassung von Buchhaltungsstatistiken in einem DHCP-Zugangsnetzwerk
• Änderung der Autorisierung (CoA)

Abbildung 3 zeigt einen Dual-Stack-Schnittstellenstapel in einem DHCP-Großhandelsnetzwerk. In diesem Szenario werden die IPv4- und IPv6-Demo-Schnittstellen auf derselben VLAN-Schnittstelle konfiguriert. Die Demux-Schnittstellen werden in einer separaten logischen System:Routing-Instanz konfiguriert.

Abbildung 3: Dual-Stack-Schnittstellenstapel in einem DHCP-Großhandelsnetzwerk

Beim Dual-Stack über einem dynamischen VLAN benötigt der Single-Session-Dual-Stack nur eine einzige Sitzung für die Authentifizierung, im Gegensatz zu den drei Sitzungen, die für die herkömmliche Dual-Stack-Konfiguration erforderlich sind. Die Buchhaltungsunterstützung für den Dual-Stack verwendet ebenfalls eine einzelne Sitzung. Die Einzelsitzungsfunktion reduziert nicht nur die Anzahl der erforderlichen Sitzungen, sondern vereinfacht auch die Routerkonfiguration, reduziert die RADIUS-Nachrichtenlast und verbessert die Leistung von Abrechnungssitzungen für Haushalte mit Dual-Stack-Umgebungen.

In der Single-Session-Dual-Stack-Umgebung löst die erste DHCP-Sitzung, die ausgehandelt wird, die dynamische VLAN-Erstellung aus (falls erforderlich) und wird bei der DHCP-Anwendung autorisiert. Der zweite Schenkel des Dual-Stacks wird aufgehalten, bis der Autorisierungspunkt vollständig ist. Wenn die zweite Schiene des Dual-Stacks eingerichtet ist, erbt der DHCP-Client alle gängigen Anwenderdatenbankwerte, wie z. B. circuit-id, remote-id, Benutzername und Schnittstellenname vom ersten Teil.

In Abbildung 4 ist eine Sitzung mit einem einzelnen Teilnehmer für einen Dual-Stack-Benutzer eingerichtet.

Abbildung 4: DHCP-Dual-Stack-Bereitstellungsmodell für Single-Session-Subscriber

Sie können Einzelsitzungs-Dual-Stack-Abonnenteneinstellungen für den DHCP-Relay-Agent und den lokalen DHCP-Server konfigurieren. Sie verwenden die Anweisung dual-stack-group , um eine benannte Gruppe zu erstellen, die die Werte für Dual Stack-Abonnenten angibt. Anschließend verwenden Sie die Anweisung dual-stack , um den Namen der Dual-Stack-Gruppe anzugeben und die Gruppe Abonnenten auf globaler, Gruppen- oder Schnittstellenebene zuzuweisen.

• Konfigurieren Sie für den DHCP-Relay-Agent diese Anweisungen auf der [edit forwarding-options dhcp-relay] Hierarchieebene bzw. der Hierarchieebene [edit forwarding-options dhcp-relay ... overrides]

• Konfigurieren Sie für den lokalen DHCP-Server diese Anweisungen auf der [edit system services dhcp-local-server] Hierarchieebene bzw. der Hierarchieebene [edit system services dhcp-local-server ... overrides]

Sie können die folgenden allgemeinen DHCP-Einstellungen für das Single-Session-Dual-Stack-Modell konfigurieren. In den meisten Fällen ähneln diese Einstellungen denen, die für separate DHCPv4- und DHCPv6-Legs in einer herkömmlichen Dual-Stack-Konfiguration verwendet werden. Wenn die Dual-Stack-Konfiguration konfiguriert und referenziert wird, hat sie Vorrang vor den gleichen Elementen, die unter der jeweiligen Produktfamilie konfiguriert sind.

• access-profile– Zugriffsprofil, das Authentifizierungs- und Abrechnungsparameter für die Dual-Stack-Gruppe bereitstellt, die Vorrang vor den in einem globalen Zugriffsprofil oder in einem Profil für den DHCP-Relay-Agenten oder den lokalen DHCP-Server konfigurierten Parametern haben.

• authentication– Authentifizierungsbezogene Parameter (z. B. Passwort und Benutzername), die der Router an den externen AAA-Server sendet.

  Die dual-stack authentication Zeilengruppe ähnelt der Zeilengruppe, die separat für die Adressfamilien v4 und v6 verfügbar ist. Wenn die username-include Konfigurationssyntax für den DHCPv4-Zweig des Dual-Stacks verwendet wird, entspricht die relay-agent-interface-id Option der DHCPv4-Anweisung relay-option-82 circuit-id und die relay-agent-remote-id Option entspricht der DHCPv4-Anweisung relay-option-82 remote-id . Sie müssen die beiden DHCPv4-Optionen nicht separat konfigurieren.

• classification-key– Der Klassifizierungsschlüssel definiert den Mechanismus, der zur Identifizierung eines Dual-Stack-Haushalts verwendet werden soll.

• dual-stack-interface-client-limit– Begrenzt die Anzahl der Dual Stack-Abonnenten, die sich pro Schnittstelle anmelden.

  Anmerkung:

  Verwenden Sie für Dual-Stack-Abonnenten immer diese Anweisung anstelle der interface-client-limit Anweisung.

• dynamic-profile: Dynamisches Profil, das an alle Schnittstellen, an eine benannte Gruppe von Schnittstellen oder an eine bestimmte Schnittstelle angehängt ist.

• liveness-detection– Konfigurieren Sie ein aktives Lebenderkennungsprotokoll, das die Bindung löscht und die Ressourcen freigibt, wenn der Abonnent nicht auf eine konfigurierte Anzahl aufeinanderfolgender Lebendigkeitserkennungsanforderungen reagiert, d. h. der Abonnent.

• on-demand-address-allocation—(Lokaler DHCP-Server) Gibt an, ob der On-Demand-Adresszuweisungsmodus für einen Dual-Stack-Abonnenten erzwungen wird.

  Wenn diese Konfiguration nicht vorhanden ist, werden alle IP-Adressen und Präfixe für die IPv4- und IPv6-Familien eines Dual-Stack-Abonnenten vorab zugewiesen, wenn sich der erste Teil eines Dual-Stack-Abonnenten zum ersten Mal anmeldet.

  Wenn diese Konfiguration bei der ersten Anmeldung des ersten Zweigs eines Dual-Stack-Abonnenten vorhanden ist, wird die RADIUS-Authentifizierung durchgeführt (falls konfiguriert), und es werden nur die IP-Adresse und das Präfix dieser ersten Familie zugewiesen. Die IP-Adresse und das Präfix für die andere Familie werden nur zugewiesen, wenn sich die andere Familienfamilie anschließend erstmalig anmeldet.

  Anmerkung:

  Die IP-Adresszuweisung für die zweite Familie wird durch die RADIUS-Authentifizierung informiert, die zuvor zum Zeitpunkt der Anmeldung der ersten Familie durchgeführt wurde.

  Ab Junos OS Version 18.4R1 wird die Methode der Adresszuweisung überprüft, um das nachfolgende Verhalten zu bestimmen, wenn authd den DHCP-Prozess darüber informiert, dass ein Adresspool gelöscht oder geleert wird. In Tabelle 1 wird das Verhalten beschrieben.

  Tabelle 1: Verhalten, wenn der Adresspool gelöscht oder geleert wird

  Methode der Adresszuweisung	Adresspool ist leer geleert	Adresspool wird gelöscht
  Auf Verlangen	Familienangehörige mit Adresse im Pool werden ordnungsgemäß abgemeldet, wenn eine DHCP-Erneuerungs- oder Neubindungsnachricht empfangen wird.	Familie mit Adresse im Pool wird sofort abgemeldet.
  Vorab zugewiesen	Adressen für beide Familien werden ordnungsgemäß gelöscht, wenn eine DHCP-Erneuerungs- oder Neubindungsnachricht empfangen wird.	Die Adressen beider Familien werden sofort gelöscht.

• protocol-master—Dieser Begriff bezeichnet entweder eine IPv4- oder IPv6-Familie als primäre Produktfamilie für einen Dual-Stack-Abonnenten. Die Anmeldung bei der Clientbindung der sekundären Familie wird abgelehnt, bis eine gültige Clientbindung für die primäre Familie vorhanden ist.

  VORSICHT:

  Wenn die sekundäre Familienbindung aus irgendeinem Grund abgemeldet wird, wird nur die sekundäre Familienbindung aufgelöst.

  Wenn die Bindung der primären Familie aus irgendeinem Grund abgemeldet wird, werden die entsprechenden Bindungen sowohl für die primäre als auch für die sekundäre Familie aufgelöst.

• reauthenticate—(Lokaler DHCP-Server) Konfigurieren Sie die erneute Authentifizierung des Teilnehmers, um Änderungsmerkmale wie Dienstaktivierung/-deaktivierung und Attributänderungen zu initiieren.

• relay-agent-interface-id—(DHCP-Relay-Agent) Schließt die Relay-Agent-Schnittstellen-ID (Option 18) in DHCPv6-Paketen ein, die für den DHCPv6-Server bestimmt sind. Sie können zahlreiche Optionen konfigurieren, um anzugeben, was im Verbindungs-ID-Wert enthalten ist.

  Für den DHCPv4-Zweig des Dual-Stacks schließt diese Anweisung DHCPv4 relay-option-82 circuit-id in Paketen ein, die für den DHCPv4-Server bestimmt sind.

• relay-agent-remote-id—(DHCP-Relay-Agent) Schließt Relay Agent Remote-ID (Option 37) in DHCPv6-Paketen ein, die für einen DHCPv6-Server bestimmt sind. Sie können zahlreiche Optionen konfigurieren, um anzugeben, was im Wert der Remote-ID enthalten ist.

  Für den DHCPv4-Zweig des Dual-Stacks schließt diese Anweisung DHCPv4 relay-option-82 remote-id in Paketen ein, die für den DHCPv4-Server bestimmt sind.

• service-profileDynamisches Profil für den Standard-Abonnentenservice (oder den Standard-DHCP-Client-Verwaltungsdienst), der aktiviert wird, wenn sich der Abonnent (oder Client) anmeldet.

• short-cycle protection– Erkennen und sperren Sie kurzlebige Client-Sitzungen und Clients, die wiederholt die Sitzungsaushandlung nicht bestehen, um die Ressourcennutzung im Zusammenhang mit der Verbindungs- und Authentifizierungsverarbeitung in stark skalierten Netzwerken zu reduzieren.

• Zweck
• Aktion