Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

IP-Demultiplexing-Schnittstellen für paketgesteuerte Anwenderservices

Lesen Sie dieses Thema, um mehr über die in Junos verfügbare Funktion "Paketgesteuerte Abonnenten" und deren Konfiguration zu erfahren. Die Funktion "Paketgesteuerte Abonnenten" erstellt IP-Demultiplexing-Schnittstellen (IP Demux IFL) beim Empfang eines Datenpakets von Clients mit vorab zugewiesener IP-Adresse.

IP-Demultiplexing-Schnittstellen auf paketgetriggerten Anwendern Übersicht über die Services

Die Funktion "Paketgesteuerte Abonnenten" erstellt IP-Demultiplexing-Schnittstellen (IP Demux IFL) beim Empfang eines Datenpakets von Clients mit vorab zugewiesener IP-Adresse. Beim Empfang des ersten Pakets überprüft die Steuerungsebene die IP-Adresse. Wenn die Quell-IP-Adresse mit einem der konfigurierten IP-Adressbereiche übereinstimmt, wird der Anwender beim Authentifizierungsserver authentifiziert. Bei erfolgreicher Authentifizierung wird die IP-Demux-IFL mit dem in der CLI angegebenen dynamischen Profil erstellt. Die IP-Demux-IFL fügt die gerahmte Route und die Demux-Quelle für den Anwender mithilfe der vom Authentifizierungsserver übergebenen Maske hinzu. Wenn die Maske nicht vom Authentifizierungsserver gesendet wird, werden Zugriffs- und Demux-Routen mit der in der CLI angegebenen Maske installiert.

Für private IPv4-Abonnenten hat der gesamte Datenverkehr aus einem einzigen Haushalt in der Regel dieselbe Quell-IPv4-Adresse. Daher wird für jeden Haushalt nur eine IP-Demux-IFL mit einer einzigen IPv4-Adresse erstellt. Für geschäftliche IPv4-Abonnenten können mehrere IPv4-Adressen mithilfe von Framed-Routes zugewiesen werden, was dazu führt, dass eine IP-Demux-IFL mehrere IPv4-Adressen darstellt. Bei IPv6 ist die Quelladresse des Datenverkehrs, der aus demselben Haushalt oder Unternehmen stammt, unterschiedlich, da jedes Gerät eine eigene IPv6-Adresse hat. Die optimalste Darstellung eines Haushalts oder Unternehmens besteht in diesem Fall aus einer IP-Demux-IFL mit einem IPv6-Präfix, das alle IPv6-Adressen im Haushalt/Unternehmen darstellt.

Hinweis:

Wenn die Authentifizierung während der IP-Demux-IFL-Erstellung fehlschlägt, wird die IP-Demux-IFL weiterhin erstellt, aber diese IP-Demux-IFL kann keinen Datenverkehr weiterleiten. Jeglicher empfangener Datenverkehr für den zugeordneten Anwender wird verworfen. Alle diese abgelehnten IP-Demux-IFLs verbleiben im konfigurierten Zustand und werden als konfigurierte Abonnenten bezeichnet. Das Erstellen von IP-Demux-IFL, selbst wenn die Authentifizierung fehlschlägt, vermeidet Thrashing, da nachfolgende Pakete auf der PFE verworfen und nicht an die RE weitergeleitet werden. Alle Abonnenten mit dem Status "Konfiguriert" werden regelmäßig entfernt. Sobald diese Abonnenten entfernt sind, werden alle neuen Pakete, die von derselben Quelle empfangen werden, an die RE weitergeleitet.
Hinweis:

Die Unterstützung für paketgesteuerte Abonnenten erfordert, dass die MAC-Adresse des angeschlossenen Geräts für die Dauer der Anwender-Sitzung unverändert bleibt. Wenn sich die MAC-Adresse für einen paketgesteuerten Anwender ändert, nachdem sich der Anwender angemeldet hat und die Sitzung beendet ist, kann der Anwender keine Verbindung von dem neuen Gerät mit derselben IP-Adresse herstellen. Sie können dies vermeiden, indem Sie einen Zeitraum festlegen, in dem die Sitzung auf die Aktivität der Anwender überwacht wird. Verwenden Sie die client-idle-timeout Option auf der [edit access profile profile-name session-options Hierarchieebene ]. Wenn das Timeout abläuft, wird der Anwender ordnungsgemäß abgemeldet. Der Anwender kann sich dann erfolgreich vom zweiten Gerät aus anmelden. Siehe Konfigurieren von Timeout-Optionen für Abonnentensitzungen.

Vorteile von IP-Demultiplexing-Schnittstellen für paketgesteuerte Anwenderdienste

  • Ermöglicht die Verwaltung von Anwendern und die dynamische Konfiguration von Anwender-Schnittstellen in Fällen, in denen Geräten zu Hause oder im Unternehmen bereits IPv4/IPv6-Adressen auf andere Weise zugewiesen wurden, z. B. statisch zugewiesen, oder über ein Cable Modem Termination System (CMTS).

  • Unterstützt paketgesteuerte Abonnenten mithilfe von Authentifizierung und Serviceauswahl durch RADIUS-Server und ermöglicht maximal 16 IPv4- und 16 IPv6-Adressbereiche pro zugrunde liegender IFL.

  • Ermöglicht dem Authentifizierungsserver, das zu verwendende dynamische Profil zu übergeben. Wenn der Authentifizierungsserver diese Werte übergibt, haben sie Vorrang vor den über die CLI konfigurierten Werten.

  • Bietet Drosselungsmechanismen zur Abschwächung von DoS-ähnlichen Angriffen und zur Begrenzung der Rate von Ausnahmepaketen, die zur IP-Demux-Authentifizierung und -Erstellung an RE gesendet werden. Der Drosselungsmechanismus nutzt den vorhandenen DDoS-Mechanismus.

    Siehe Übersicht über die Demultiplexing-Schnittstelle

Konfigurieren von paketgetriggerten Abonnenten mithilfe von IP-Demux-Schnittstellen in dynamischen Profilen

Sie können die paketgetriggerten Abonnenten für Demux-Schnittstellen sowohl für IPv4- als auch für IPv6-Adressen konfigurieren. Die paketgesteuerte Abonnentenfunktion erstellt IP-Demux-IFL beim Empfang eines Datenpakets von Clients mit vorab zugewiesener IP-Adresse. Sobald die IP-Demux-IFL erstellt wurde, werden Framed-Route und Demux-Quelle für den Anwender hinzugefügt, indem die vom Authentifizierungsserver übergebene Maske verwendet wird.

Um die Funktion "Paketgesteuerte Abonnenten" zu aktivieren, konfigurieren Sie die Demux-Optionen in einem dynamischen Profil. Mit dynamischen Profilen können Sie konfigurierte Werte dynamisch auf die dynamischen Schnittstellen anwenden, wodurch sie einfacher zu verwalten sind.

Bevor Sie beginnen:

Nachdem Sie das dynamische Profil konfiguriert haben, konfigurieren Sie die paketgetriggerten Abonnentenschnittstellen, beginnend mit der demux-Schnittstelle:

  1. Geben Sie an, dass Sie die demux Schnittstelle konfigurieren möchten.
  2. Konfigurieren Sie die Familie für die demux-Schnittstellen.
    1. Geben Sie an, dass Sie die Familie konfigurieren möchten.

      Für IPv4:

      Für IPv6:

      Hinweis:

      Die verbleibenden Schritte zeigen alle Familieninet, sind aber für beide Familien gleich.
  3. Geben Sie den Demux-Adresstyp an, der auf der Quelladresse basieren soll.
  4. Konfigurieren Sie die Details zur automatischen Konfiguration für die Familie.
  5. Beginnen Sie mit der spezifischen paketgesteuerten Konfiguration des Anwenders.
  6. Konfigurieren Sie unter Adressbereich Folgendes:
    1. Das dynamische Profil enthält die Details für die Netzwerkadresse und den Bereich für die Demux-Schnittstelle für die Familie.
    2. Die Authentifizierung umfasst die Details für das einzuschließende Passwort und die Benutzernamenprofile wie Trennzeichen, Domänenname, Schnittstellenname, Authentifizierungsserver, Quelladresse und Benutzerpräfix für die Demux-Schnittstelle für die Familie.

      Paketgesteuerte Wiederherstellungsunterstützung für statische VLAN-Teilnehmer (MX240, MX304, MX480, MX960, MX2010, MX2020, MX10004 und MX10008)

      Unterstützung für paketgesteuerte Funktionen basierend auf den folgenden Linecards auf Geräten der MX-Serie:

      • MX304 und andere Geräte der MX-Serie mit MPC10-Linecard (ZT ASIC)
      • MX10K-LC9600 Linecard (YT ASIC)

      Die paketgesteuerte Funktion unterstützt Abonnenten mit statischer IP-Zuweisung, einschließlich Unterstützung für:

      • Teilnehmer mit und ohne VLANs.
      • Abonnenten mit IPv4- und IPv6-Paketen.
      • Eine IP Demux-Verbindung pro IPv4- oder IPv6-Adresse.
      • Paketgesteuerte Abonnenten mithilfe von Authentifizierung und Serviceauswahl durch RADIUS-Server und SRC.
      • Unterstützung von CoS auf Anwender-Ebene.
      • Drosselungsmechanismus zur Abwehr von DOS-ähnlichen Angriffen.
      • Entfernung der IP-Demux-Schnittstelle, wenn für eine bestimmte konfigurierbare Dauer keine Aktivität angezeigt wird.

      Um den Anwender-Verwaltungsdienst für die paketgesteuerte Konfiguration auf einer zugrunde liegenden Schnittstelle zu aktivieren, verwenden Sie den enable force Befehl unter [edit system services hierarchy] oder verwenden Sie den set system services subscriber-management enable force Befehl.