Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Authentifizierungsauslöser für Abonnentenpakete für dynamische VLANs

Standardmäßig wird die VLAN-Authentifizierung durch einen der Pakettypen ausgelöst, die mit der accept Anweisung im dynamischen Profil angegeben sind, das die VLAN- und Abonnentenschnittstellen instanziiert. Für bestimmte Geschäftsfälle möchten Sie möglicherweise ein allgemeineres dynamisches Profil, das mehrere Pakettypen enthält, aber in einigen Situationen möchten Sie, dass das VLAN nur für eine Teilmenge Ihrer Kunden authentifiziert wird. Sie können die packet-types Anweisung verwenden, um die gewünschte Teilmenge anzugeben.

Anwendungsbeispiele für die Pakettyp-Triggerung

Die folgenden beiden Anwendungsfälle beschreiben Umstände, unter denen Sie ein VLAN möglicherweise nur für bestimmte Abonnenten authentifizieren möchten und für andere nicht.

  • Conserving resources in a mixed access model—Ein Modell mit gemischtem Zugriff kann dynamische VLANs verwenden, um Services für PPPoE-Abonnenten, IPoE-Abonnenten, IPv6oE-Abonnenten oder andere Abonnententypen bereitzustellen. In der Regel handelt es sich bei den PPPoE-Abonnenten um Privatkunden und bei den IP-Abonnenten um Geschäftskunden. Ein Verständnis der dynamischen VLAN-Authentifizierung und Profilinstanziierung für diese Abonnenten kann Ihnen helfen, Systemressourcen zu schonen und einige Auswirkungen auf die Skalierungsgrenzen zu vermeiden.

    Standardmäßig wird die Authentifizierung für die Schnittstelle basierend auf dem konfigurierten VLAN-Bereich oder dem gestapelten VLAN-Bereich konfiguriert. Folglich muss jedes dynamische VLAN, das im Bereich erstellt wird, authentifiziert werden, unabhängig vom Pakettyp, der die VLAN-Erstellung auslöst. Dies funktioniert gut für IPoE- und IPv6oE-Abonnenten, da die dynamische VLAN-Authentifizierung die Bereitstellung von RADIUS-bezogenen Services wie CoS und Filtern ermöglicht. Die PPPoE-Abonnenten werden jedoch durch PPP authentifiziert, wodurch die dynamische VLAN-Authentifizierung unnötig und eine Verschwendung von Systemressourcen darstellt.

    Sie können diese Verschwendung vermeiden, indem Sie die dynamische VLAN-Authentifizierung auf die VLANs beschränken, die sie benötigen. Mit dieser packet-types Anweisung können Sie angeben, dass nur eine Teilmenge der Pakettypen, die auf der VLAN-Schnittstelle akzeptiert werden, die Authentifizierung auslösen kann. In diesem heterogenen Zugriffsmodell akzeptieren die dynamischen VLAN-Profile beispielsweise PPPoE-, IPoE- und IPv6oE-Pakete. Wenn Sie mit der packet-types Anweisung angeben, dass nur IPoE- oder IPv6oE-Pakete die VLAN-Authentifizierung initiieren können, werden die PPPoE-VLANs nicht zur Authentifizierung an RADIUS übermittelt.

  • Overriding dynamic profiles in a mixed access model—Eine weitere Verwendung für das Auslösen vom Pakettyp besteht darin, das konfigurierte dynamische Profil für bestimmte Abonnenten zu überschreiben. Erstellen Sie dazu ein dynamisches Profil, das den Anforderungen der PPPoE-Abonnenten entspricht, und erstellen Sie ein weiteres dynamisches Profil für die IPoE-Abonnenten. PPPoE-Abonnenten machen in diesem Modell die Mehrheit der Abonnenten aus, sodass das PPPoE-optimierte dynamische Profil auf die VLAN-Schnittstelle angewendet wird. Fügen Sie das IP-Profil in die Juniper Networks Client-Profile-Name VSA [26-174] ein. Konfigurieren Sie die packet-types Anweisung so, dass nur IP-Pakete die VLAN-Authentifizierung auslösen.

    Wenn ein IPoE-Paket empfangen wird, authentifiziert RADIUS das VLAN. RADIUS gibt das in der Client-Profile-Name-VSA enthaltene Außerkraftsetzungsprofil und alle anderen Sitzungsattribute in der Access-Accept-Meldung zurück. Der VLAN-Autokonfigurationsprozess überschreibt das PPPoE-Profil, indem das IP-Profil für den IPoE-Abonnenten instanziiert wird.

Pakettypen für die VLAN-Erstellung und -Authentifizierung

Tabelle 1 listet die Pakettypen auf, die Sie für die VLAN-Authentifizierung konfigurieren können, abhängig von den Pakettypen, die für die VLAN-Erstellung konfiguriert sind.

Tabelle 1: Beziehung zwischen Pakettypen für die VLAN-Erstellung und -Authentifizierung

Pakettypen für die VLAN-Erstellung

Pakettypen für die VLAN-Authentifizierung

any

Eine beliebige Kombination von any, dhcp-v4 oder inet, dhcp-v6 oder inet6, und pppoe.

dhcp-v4

Entweder dhcp-v4 oder inet.

dhcp-v6

Entweder dhcp-v6 oder inet6.

inet

Entweder dhcp-v4 oder inet.

inet6

Entweder dhcp-v6 oder inet6.

pppoe

pppoe
Hinweis:

Es ist nicht möglich, gleichzeitig sowohl als inet auch dhcp-v4 oder als dhcp-v6 inet6 Pakettypen für die VLAN-Erstellung oder -Authentifizierung zu konfigurieren.

Die Authentifizierung wird für alle VLANs in einem der folgenden Fälle durchgeführt:

  • Sie geben keinen Pakettyp an, um die Authentifizierung auszulösen.

  • Sie konfigurieren die Option sowohl für die VLAN-Erstellung als auch für die any Authentifizierung.

Im Allgemeinen wird die VLAN-Authentifizierung durchgeführt, wenn ein Paket des Typs, der für das Auslösen der VLAN-Erstellung konfiguriert ist, mit einem der Pakettypen übereinstimmt, die für das Auslösen der VLAN-Authentifizierung konfiguriert sind. Für bestimmte Kombinationen von konfigurierten Paketen ist jedoch ein bestimmtes Paket erforderlich, um die Authentifizierung auszulösen. Tabelle 2 listet diese Sonderfälle auf.

Tabelle 2: Pakettypen, die zum Auslösen der Authentifizierung für spezielle Konfigurationskombinationen erforderlich sind

Pakettyp für die VLAN-Erstellung

Pakettyp für die VLAN-Authentifizierung

Zum Auslösen der Authentifizierung erforderliches Paket

any

inet

jedes IPv4-Paket

any

inet6

jedes IPv6-Paket

any

dhcp-v4

DHCP-Erkennung

any

dhcp-v6

DHCPv6 solicit

dhcp-v4

inet

DHCP-Erkennung

dhcp-v6

inet6

DHCPv6 solicit

inet

dhcp-v4

DHCP-Erkennung

inet6

dhcp-v6

DHCPv6 solicit

Zugehörige Dokumentation