Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Anwender-Pakettyp-Authentifizierungstrigger für dynamische VLANs

Standardmäßig wird die VLAN-Authentifizierung durch einen der Pakettypen ausgelöst, die mit der accept Anweisung im dynamischen Profil angegeben sind, die die VLAN- und Anwender-Schnittstellen instanziiert. Für bestimmte Geschäftsfälle wünschen Sie sich vielleicht ein allgemeineres dynamisches Profil, das mehrere Pakettypen umfasst, aber in einigen Situationen möchten Sie, dass das VLAN nur für eine Teilmenge Ihrer Kunden authentifiziert wird. Sie können die packet-types Anweisung verwenden, um die gewünschte Teilmenge anzugeben.

Beispiele für die Auslösung von Pakettypen

Die folgenden beiden Anwendungsszenarien beschreiben Umstände, unter denen Sie ein VLAN möglicherweise nur für bestimmte Abonnenten authentifizieren möchten und für andere nicht.

  • Conserving resources in a mixed access model– Ein gemischtes Zugriffsmodell kann dynamische VLANs verwenden, um Services für PPPoE-Abonnenten, IPoE-Abonnenten, IPv6oE-Abonnenten oder andere Anwender Typen bereitzustellen. In der Regel handelt es sich bei den PPPoE-Abonnenten um Privatkunden und bei den IP-Abonnenten um Geschäftskunden. Ein Verständnis der dynamischen VLAN-Authentifizierung und Profilinstanziierung für diese Abonnenten kann Ihnen helfen, Systemressourcen zu schonen und einige Auswirkungen auf die Skalierungsgrenzen zu vermeiden.

    Standardmäßig wird die Authentifizierung für die Schnittstelle basierend auf dem konfigurierten VLAN-Bereich oder dem gestapelten VLAN-Bereich konfiguriert. Folglich muss jedes dynamische VLAN, das in dem Bereich erstellt wird, authentifiziert werden, unabhängig vom Pakettyp, der die VLAN-Erstellung auslöst. Dies funktioniert gut für IPoE- und IPv6oE-Abonnenten, da die dynamische VLAN-Authentifizierung die Bereitstellung von RADIUS-bezogenen Services wie CoS und Filtern ermöglicht. Die PPPoE-Teilnehmer werden jedoch per PPP authentifiziert, wodurch die dynamische VLAN-Authentifizierung überflüssig wird und eine Verschwendung von Systemressourcen darstellt.

    Sie können diese Verschwendung vermeiden, indem Sie die dynamische VLAN-Authentifizierung auf die VLANs beschränken, die sie benötigen. Mit dieser packet-types Anweisung können Sie angeben, dass nur eine Teilmenge der auf der VLAN-Schnittstelle akzeptierten Pakettypen die Authentifizierung auslösen kann. In diesem heterogenen Zugriffsmodell akzeptieren die dynamischen VLAN-Profile beispielsweise PPPoE-, IPoE- und IPv6oE-Pakete. Wenn Sie die packet-types Anweisung verwenden, um anzugeben, dass nur IPoE- oder IPv6oE-Pakete die VLAN-Authentifizierung initiieren können, werden die PPPoE-VLANs nicht zur Authentifizierung an RADIUS übermittelt.

  • Overriding dynamic profiles in a mixed access model– Eine weitere Verwendung für das Auslösen vom Pakettyp besteht darin, das konfigurierte dynamische Profil für bestimmte Abonnenten zu überschreiben. Erstellen Sie dazu ein dynamisches Profil, das den Anforderungen der PPPoE-Abonnenten entspricht, und erstellen Sie ein weiteres dynamisches Profil für die IPoE-Abonnenten. PPPoE-Abonnenten machen die Mehrheit der Abonnenten in diesem Modell aus, sodass das PPPoE-optimierte dynamische Profil auf die VLAN-Schnittstelle angewendet wird. Fügen Sie das IP-Profil in den Juniper Networks Client-Profile-Name VSA [26-174] ein. Konfigurieren Sie die packet-types Anweisung so, dass angegeben wird, dass nur IP-Pakete die VLAN-Authentifizierung auslösen.

    Wenn ein IPoE-Paket empfangen wird, authentifiziert RADIUS das VLAN. RADIUS gibt das in der Client-Profile-Name VSA enthaltene Überschreibungsprofil und alle anderen Sitzungsattribute in der Access-Accept-Nachricht zurück. Der VLAN-Autokonfigurationsprozess überschreibt das PPPoE-Profil, indem er das IP-Profil für den IPoE-Anwender instanziiert.

Pakettypen für VLAN-Erstellung und -Authentifizierung

Tabelle 1 listet die Pakettypen auf, die Sie für die VLAN-Authentifizierung konfigurieren können, abhängig von den Pakettypen, die für die VLAN-Erstellung konfiguriert sind.

Tabelle 1: Beziehung zwischen Pakettypen für VLAN-Erstellung und -Authentifizierung

Pakettypen für die VLAN-Erstellung

Pakettypen für VLAN-Authentifizierung

any

Jede Kombination aus any, dhcp-v4 oder inet, dhcp-v6 oder inet6, und pppoe.

dhcp-v4

Entweder dhcp-v4 oder inet.

dhcp-v6

Entweder dhcp-v6 oder inet6.

inet

Entweder dhcp-v4 oder inet.

inet6

Entweder dhcp-v6 oder inet6.

pppoe

pppoe
Hinweis:

Sie können nicht gleichzeitig und oder inet dhcp-v6 und inet6 als Pakettypen für die VLAN-Erstellung oder -Authentifizierung konfigurierendhcp-v4.

Die Authentifizierung wird für alle VLANs in einem der folgenden Fälle durchgeführt:

  • Sie geben keinen Pakettyp an, um die Authentifizierung auszulösen.

  • Sie konfigurieren die Option sowohl für die VLAN-Erstellung als auch für die any Authentifizierung.

Im Allgemeinen wird die VLAN-Authentifizierung durchgeführt, wenn ein Paket des Typs, der für das Auslösen der VLAN-Erstellung konfiguriert ist, mit einem der Pakettypen übereinstimmt, die für das Auslösen der VLAN-Authentifizierung konfiguriert sind. Für bestimmte Kombinationen konfigurierter Pakete ist jedoch ein bestimmtes Paket erforderlich, um die Authentifizierung auszulösen. Tabelle 2 listet diese Sonderfälle auf.

Tabelle 2: Pakettypen, die zum Auslösen der Authentifizierung für spezielle Konfigurationskombinationen erforderlich sind

Pakettyp für die VLAN-Erstellung

Pakettyp für VLAN-Authentifizierung

Zum Auslösen der Authentifizierung erforderliches Paket

any

inet

jedes IPv4-Paket

any

inet6

jedes IPv6-Paket

any

dhcp-v4

DHCP-Erkennung

any

dhcp-v6

DHCPv6 anfordern

dhcp-v4

inet

DHCP-Erkennung

dhcp-v6

inet6

DHCPv6 anfordern

inet

dhcp-v4

DHCP-Erkennung

inet6

dhcp-v6

DHCPv6 anfordern

Zugehörige Dokumentation