Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

IP-Demultiplexing-Schnittstellen für paketgetriggerte Teilnehmerdienste

Lesen Sie dieses Thema, um mehr über die in Junos verfügbare Funktion für paketausgelöste Abonnenten und deren Konfiguration zu erfahren. Die Funktion paketgesteuerte Teilnehmer erstellt IP-Demultiplexing-Schnittstellen (IP-Demux, IFL) beim Empfang eines Datenpakets von Clients mit vorab zugewiesener IP-Adresse.

IP-Demultiplexing-Schnittstellen für paketgetriggerte Teilnehmer Übersicht über die Services

Die Funktion paketgesteuerte Teilnehmer erstellt IP-Demultiplexing-Schnittstellen (IP-Demux, IFL) beim Empfang eines Datenpakets von Clients mit vorab zugewiesener IP-Adresse. Beim Empfang des ersten Pakets prüft die Steuerungsebene die IP-Adresse. Wenn die Quell-IP-Adresse mit einem der konfigurierten IP-Adressbereiche übereinstimmt, wird der Teilnehmer beim Authentifizierungsserver authentifiziert. Bei erfolgreicher Authentifizierung wird die IP-Demux-IFL mit dem in der CLI angegebenen dynamischen Profil erstellt. Die IP-Demux-IFL fügt die gerahmte Route und die Demux-Quelle für den Teilnehmer unter Verwendung der vom Authentifizierungsserver übergebenen Maske hinzu. Wenn die Maske nicht vom Authentifizierungsserver gesendet wird, werden Zugriffs- und Demux-Routen mit der in der CLI angegebenen Maske installiert.

Für IPv4-Abonnenten für Privathaushalte hat der gesamte Datenverkehr von einem einzelnen Haushalt in der Regel dieselbe Quell-IPv4-Adresse. Daher wird für jeden Haushalt nur eine IP-Demux-IFL mit einer einzigen IPv4-Adresse erstellt. Für geschäftliche IPv4-Abonnenten können mehrere IPv4-Adressen mithilfe von Framed-routes zugewiesen werden, was dazu führt, dass eine IP-Demux-IFL mehrere IPv4-Adressen repräsentiert. Bei IPv6 ist die Quelladresse des Datenverkehrs aus demselben Haushalt oder Unternehmen unterschiedlich, da jedes Gerät eine eigene IPv6-Adresse hat. Die optimalste Darstellung eines Haushalts oder Unternehmens besteht in diesem Fall aus einer IP-Demux-IFL mit einem IPv6-Präfix, die alle IPv6-Adressen im Haushalt/Unternehmen repräsentiert.

Anmerkung:

Wenn während der Erstellung der IP-Demux-IFL die Authentifizierung fehlschlägt, wird die IP-Demux-IFL weiterhin erstellt, aber diese IP-Demux-IFL kann keinen Datenverkehr weiterleiten. Jeglicher empfangener Datenverkehr für den zugeordneten Abonnenten wird verworfen. Alle diese abgelehnten IP-Demux-IFLs verbleiben im konfigurierten Zustand und werden als konfigurierte Abonnenten bezeichnet. Durch das Erstellen einer IP-Demux-IFL, selbst wenn die Authentifizierung fehlschlägt, wird Thrashing vermieden, da nachfolgende Pakete auf der PFE abgelegt und nicht an die RE weitergeleitet werden. Alle Abonnenten im Status "Konfiguriert" werden in regelmäßigen Abständen entfernt. Sobald diese Abonnenten entfernt wurden, werden alle neuen Pakete, die von derselben Quelle empfangen werden, an die RE weitergeleitet.

Anmerkung:

Die Unterstützung paketgesteuerter Teilnehmer erfordert, dass die MAC-Adresse des angeschlossenen Geräts für die Dauer der Teilnehmersitzung unverändert bleibt. Wenn sich die MAC-Adresse für einen paketausgelösten Teilnehmer ändert, nachdem sich der Teilnehmer angemeldet hat und die Sitzung gestartet wurde, kann der Teilnehmer keine Verbindung von dem neuen Gerät mit derselben IP-Adresse herstellen. Sie können dies vermeiden, indem Sie einen Zeitraum festlegen, in dem die Sitzung auf Abonnentenaktivität überwacht wird. Verwenden Sie die client-idle-timeout Option auf der [edit access profile profile-name session-options ]-Hierarchieebene. Wenn das Timeout abläuft, wird der Abonnent ordnungsgemäß abgemeldet. Der Teilnehmer kann sich dann erfolgreich vom zweiten Gerät aus anmelden. Weitere Informationen finden Sie unter Konfigurieren von Optionen für Zeitüberschreitungen für Abonnentensitzungen.

Vorteile von IP-Demultiplexing-Schnittstellen für paketgetriggerte Anwenderservices

  • Ermöglicht die Teilnehmerverwaltung und die Konfiguration dynamischer Teilnehmerschnittstellen in Fällen, in denen Geräten zu Hause oder im Unternehmen bereits IPv4/IPv6-Adressen auf andere Weise zugewiesen wurden, z. B. statisch zugewiesen oder über ein Cable Modem Termination System (CMTS).

  • Unterstützt paketgesteuerte Abonnenten mit Authentifizierung und Dienstauswahl durch den RADIUS-Server und erlaubt maximal 16 IPv4- und 16 IPv6-Adressbereiche pro zugrunde liegender IFL.

  • Ermöglicht es dem Authentifizierungsserver, das zu verwendende dynamische Profil zu übergeben. Wenn der Authentifizierungsserver diese Werte übergibt, haben sie Vorrang vor Werten, die über die CLI konfiguriert wurden.

  • Stellt einen Drosselungsmechanismus bereit, um DoS-ähnliche Angriffe abzuschwächen und die Rate der Ausnahmepakete zu begrenzen, die zur IP-Demo-Authentifizierung und -Erstellung an RE gesendet werden. Der Drosselungsmechanismus nutzt den vorhandenen DDoS-Mechanismus.

    Siehe Übersicht über die Demultiplexing-Schnittstelle

Konfigurieren von paketausgelösten Abonnenten mithilfe von IP-Demux-Schnittstellen in dynamischen Profilen

Sie können die paketausgelösten Abonnenten für Demux-Schnittstellen sowohl für IPv4- als auch für IPv6-Adressen konfigurieren. Die Funktion "paketausgelöste Teilnehmer" erstellt IP-Demux-IFL beim Empfang eines Datenpakets von Clients mit vorab zugewiesener IP-Adresse. Sobald die IP-Demux-IFL erstellt wurde, werden die gerahmte Route und die Demux-Quelle für den Teilnehmer unter Verwendung der vom Authentifizierungsserver übergebenen Maske hinzugefügt.

Um die Funktion paketausgelöste Abonnenten zu aktivieren, konfigurieren Sie die Demo-Optionen in einem dynamischen Profil. Mithilfe dynamischer Profile können Sie konfigurierte Werte dynamisch auf die dynamischen Schnittstellen anwenden, wodurch sie einfacher zu verwalten sind.

Bevor Sie beginnen:

Nachdem Sie das dynamische Profil konfiguriert haben, konfigurieren Sie die paketausgelösten Abonnentenschnittstellen, beginnend mit der demux-Schnittstelle:

  1. Geben Sie an, dass Sie die demux Schnittstelle konfigurieren möchten.
  2. Konfigurieren Sie die Produktfamilie für die Demux-Schnittstellen.
    1. Geben Sie an, dass Sie die Familie konfigurieren möchten.

      Für IPv4:

      Für IPv6:

      Anmerkung:

      Die verbleibenden Schritte zeigen alle Familieninet, sind aber für beide Familien gleich.
  3. Geben Sie den Demux-Adresstyp an, der auf der Quelladresse basieren soll.
  4. Konfigurieren Sie die Details zur automatischen Konfiguration für die Familie.
  5. Beginnen Sie mit der Konfiguration des spezifischen, paketausgelösten Abonnenten.
  6. Konfigurieren Sie unter Adressbereich Folgendes:
    1. Das dynamische Profil enthält die Details für die Netzwerkadresse und den Bereich für die Demux-Schnittstelle für die Produktfamilie.
    2. Die Authentifizierung umfasst die Details für das anzugebende Passwort und die Benutzernamenprofile wie Trennzeichen, Domänenname, Schnittstellenname, Authentifizierungsserver, Quelladresse und Benutzerpräfix für die Demux-Schnittstelle für die Familie.

      Paketgesteuerte Wiederherstellung für Abonnenten statischer VLANs (MX240, MX304, MX480, MX960, MX2010, MX2020, MX10004 und MX10008)

      Unterstützung für paketgesteuerte Funktionen basierend auf den folgenden Linecards auf Geräten der MX-Serie:

      • MX304 und andere Geräte der MX-Serie mit MPC10-Linecard (ZT ASIC)
      • MX10K-LC9600-Linecard (YT ASIC)

      Die paketausgelöste Funktion unterstützt Abonnenten mit statischen IP-Zuweisungen, einschließlich der Unterstützung für:

      • Abonnenten mit und ohne VLANs.
      • Abonnenten mit IPv4- und IPv6-Paketen.
      • Eine IP-Demux-Verbindung pro IPv4- oder IPv6-Adresse.
      • Paketgesteuerte Teilnehmer mit Authentifizierung und Serviceauswahl durch RADIUS-Server und SRC.
      • Unterstützen Sie CoS auf Anwenderebene.
      • Drosselungsmechanismus zur Abwehr von DOS-ähnlichen Angriffen.
      • Entfernung der IP-Demux-Schnittstelle, wenn für eine bestimmte konfigurierbare Dauer keine Aktivität angezeigt wird.

      Um den Abonnentenverwaltungsdienst für die paketgesteuerte Konfiguration auf einer zugrunde liegenden Schnittstelle zu aktivieren, verwenden Sie den enable force Befehl unter [edit system services hierarchy] oder verwenden Sie den set system services subscriber-management enable force Befehl.