Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Conservation des adresses IPv4 pour les abonnés PPP à double pile grâce à l’allocation d’adresses IPv4 à la demande

Conservation des adresses IPv4 pour les abonnés PPP à double pile à l’aide de l’allocation d’adresses IPv4 à la demande

Dans un scénario de réseau d’accès à double pile sur PPP, la session à double pile reste en cours d’exécution tant que la session IPv4 ou IPv6 est active. Par défaut, lorsqu’un abonné met fin à la session IPv4, le BNG conserve l’adresse IPv4 qui a été allouée par AAA lors de la connexion. L’adresse n’est pas libérée lorsque la session PPP à double pile est en cours d’exécution. Si la session IPv4 est renégociée alors que la session est en cours d’exécution, la même adresse IPv4 est attribuée à la session IPv4 de l’abonné. Cette fonctionnalité se traduit par une utilisation inefficace des adresses IPv4.

Vous pouvez conserver les adresses IPv4 en configurant le routeur pour qu’il libère l’adresse IPv4 si un abonné n’utilise plus de service IPv4. Cette fonctionnalité permet d’attribuer ou de désattribuer des adresses IP à la demande après l’authentification PPP initiale et l’attribution d’adresses IPv6 ou de préfixes.

La configuration à la demande ne prend pas effet lorsque l’adresse IP de destination (homologue) est configurée de manière statique dans la famille d’inet de l’interface PPP.

Négociation et diffusion d’adresses IPv4 à la demande pour les abonnés PPP statiques Présentation

Cette rubrique décrit le fonctionnement de l’allocation et de la désallocation d’adresses IPv4 à la demande pour les abonnés PPP statiques à double pile.

Négociation d’adresses IPv4 pour les abonnés PPP statiques

Le processus de négociation des adresses IPv4 pour une famille d’inet statique et une adresse sur une interface PPP statique est le suivant :

  1. Le protocole LCP (Link Control Protocol) PPP est établi et un protocole de contrôle IPv6 est négocié avec succès.

  2. La passerelle réseau haut débit (BNG) reçoit une demande de configuration IPCP (Internet Protocol Control Protocol) avec une option d’adresse IPv4 0.0.0.0 de la part de l’équipement sur site du client (CPE).

  3. Le BNG envoie une demande de configuration IPCP avec une option d’adresse IPv4 locale au CPE.

  4. Le BNG envoie un message de demande d’accès avec le VSA IPv4-Release-Control (26-164) (s’il est configuré) au serveur RADIUS.

  5. Le BNG reçoit un accusé de réception IPCP Configure (Configurer l’ACK) de la part du CPE.

  6. Le BNG reçoit un message d’accès-acceptation du serveur RADIUS.

    • Si un attribut Framed-IP-Address est reçu, le BNG effectue une vérification d’adresse en double (si configurée). Si une vérification d’adresse en double est effectuée avec succès, le PPP poursuit la négociation IPCP avec le CPE. Dans le cas contraire, l’exécution de l’intégralité de la session PPP est interrompue par l’envoi d’une demande de résiliation LCP au CPE.

    • Si un attribut Framed-Pool est reçu, l’adresse IPv4 est allouée à partir du pool d’adresses local spécifié configuré dans le BNG. Si le pool d’adresses IP n’est pas configuré dans le BNG et qu’aucun autre pool d’adresses IP n’est disponible, le BNG envoie un message LCP Protocol-Reject au CPE.

    • Si aucun attribut Framed-IP-Address ni attribut Framed-Pool n’est reçu, le BNG alloue une adresse IPv4 à partir de l’un des pools d’adresses locaux configurés. Si le BNG ne peut pas allouer d’adresse IPv4, il envoie un message LCP Protocol-Reject au CPE.

    • Si des filtres ADFv4 sont présents dans le message Access-Accept, ils doivent être réinstallés pour cet abonné dans le BNG.

    • Si les deux adresses DNS IPv4 principale et secondaire sont présentes dans le message Access-Accept, les deux doivent être mises à jour pour cet abonné dans le BNG. Si une adresse DNS principale IPv4 ou une adresse DNS secondaire IPv4 est présente dans le message Accès-Acceptation, seule l’adresse DNS correspondante doit être mise à jour pour cet abonné.

    Si aucune adresse IPv4 n’est disponible et que le BNG reçoit un message d’accès-rejet du serveur RADIUS, voici ce qui se produit :

    • Si le message Access-Reject inclut le VSA IPv4-Release-Control (26-164), la BNG envoie une demande de résiliation IPCP au CPE. Le CPE est alors autorisé à renégocier l’IP NCP.

    • Si le message Access-Reject n’inclut pas le VSA IPv4-Release-Control (26-164), le BNG envoie un message LCP Protocol-Reject au CPE. Le CPE doit renégocier la liaison LCP avant d’être autorisé à renégocier IP NCP.

      Si le message RADIUS Access-Reject inclut le champ IPCP Terminate-Request, le texte de l’attribut Reply Message (18) est ajouté aux informations du champ Terminate-Request et s’affiche dans les données PPP.

    S’il n’y a pas de réponse du serveur RADIUS, IPCP est arrêté.

  7. Le BNG envoie un IPCP Configure NACK avec la nouvelle option d’adresse IPv4 au CPE.

  8. Le service de stratégie sécurisée pour l’abonné (s’il est présent pour la famille inet) est activé.

    Le BNG envoie immédiatement un message Interim-Accounting (s’il est configuré) avec IPv4-Release-Control VSA (26-164) (s’il est configuré) et l’attribut Framed-IP-Address au serveur RADIUS.

  9. Le BNG reçoit une demande de configuration IPCP avec une nouvelle option d’adresse IPv4 de la part du CPE.

  10. Le BNG reçoit une réponse de comptabilité provisoire du serveur RADIUS.

  11. Le BNG envoie un accusé de réception de configuration IPCP au CPE.

Libération des adresses IPv4 pour les abonnés PPP statiques

Le processus de libération de l’adresse IPv4 pour la famille d’adresses statiques et l’adresse sur l’interface PPP statique est le suivant :

  1. Le BNG reçoit une demande de résiliation IPCP de la part du CPE.

  2. Le BNG envoie un accusé de réception de terminaison IPCP au CPE.

  3. Les actions suivantes se produisent :

    • Le service de stratégie sécurisée de l’abonné (s’il est présent pour la famille inet) est désinstancié.

    • Si une adresse IPv4 a été allouée à partir d’un pool d’adresses local, l’adresse devient alors disponible.

    • L’entrée d’adresse IPv4 est effacée de l’enregistrement de l’abonné.

    • Le BNG envoie immédiatement un message Interim-Accounting (s’il est configuré) avec l’IPv4-Release-Control VSA (26-164) (s’il est configuré) au serveur RADIUS et l’attribut Framed-IP-Address n’est pas inclus.

    • Les statistiques de session utilisateur sont conservées pendant toute la durée de la session PPP et ne sont pas effacées lorsque l’adresse IPv4 est libérée.

  4. Le BNG reçoit une réponse de comptabilité provisoire du serveur RADIUS.

    Aucune action n’est effectuée dans le BNG, qu’il reçoive ou non une réponse du serveur RADIUS.

Négociation et diffusion d’adresses IPv4 à la demande pour les abonnés PPP dynamiques Présentation

Cette rubrique décrit le fonctionnement de l’allocation et de la désallocation d’adresses IPv4 à la demande pour les abonnés PPP dynamiques à double pile.

Négociation d’adresses IPv4 pour les abonnés PPP dynamiques

Le processus de négociation d’adresses IPv4 pour une famille d’adresses et d’adresses dynamiques sur une interface PPP statique est le suivant :

  1. Le protocole LCP (Link Control Protocol) PPP est établi et le protocole de contrôle IPv6 est négocié avec succès.

  2. La passerelle réseau haut débit (BNG) reçoit une demande de configuration IPCP (Internet Protocol Control Protocol) avec une option d’adresse IPv4 0.0.0.0 de la part du CPE.

  3. Le BNG envoie un message de demande d’accès avec le VSA IPv4-Release-Control (26-164) (s’il est configuré) au serveur RADIUS.

  4. Le BNG reçoit un message d’accès-acceptation du serveur RADIUS.

    • Si un attribut Framed-IP-Address est reçu, une vérification d’adresse dupliquée (si elle est configurée) est effectuée sur le BNG. Si une vérification d’adresse en double est effectuée avec succès, le PPP poursuit la négociation IPCP avec le CPE. Dans le cas contraire, l’exécution de l’intégralité de la session PPP est interrompue par l’envoi d’une demande de résiliation LCP au CPE.

    • Si l’attribut Framed-Pool est reçu, l’adresse IPv4 est allouée à partir du pool d’adresses local spécifié configuré dans le BNG. Si le pool n’est pas configuré dans le BNG et qu’aucun autre pool d’adresses IP n’est disponible, un rejet de protocole IPCP est envoyé au CPE.

    • Si aucun attribut Framed-IP-Address ni attribut Framed-Pool n’est reçu, le BNG alloue une adresse IPv4 à partir de l’un des pools d’adresses locaux configurés. Si le BNG ne parvient pas à allouer d’adresse IPv4, un rejet de protocole IPCP est envoyé au CPE.

    • Si des filtres ADFv4 sont présents dans le message Access-Accept, ils doivent être réinstallés pour cet abonné dans le BNG.

    • Si les adresses DNS IPv4 principale et secondaire sont présentes dans le message Access-Accept, elles doivent toutes les deux être mises à jour pour cet abonné dans le BNG. Si une adresse DNS principale IPv4 ou une adresse DNS secondaire IPv4 est présente dans le message Accès-Acceptation, seule l’adresse DNS correspondante doit être mise à jour pour cet abonné.

    Si aucune adresse IPv4 n’est disponible et que le BNG reçoit un message d’accès-rejet du serveur RADIUS, voici ce qui se produit :

    • Si le message Access-Reject inclut le VSA IPv4-Release-Control (26-164), la BNG envoie une demande de résiliation IPCP au CPE. Le CPE est alors autorisé à renégocier l’IP NCP.

    • Si le message Access-Reject n’inclut pas le VSA IPv4-Release-Control (26-164), le BNG envoie un message LCP Protocol-Reject au CPE. Le CPE doit renégocier la liaison LCP avant d’être autorisé à renégocier IP NCP.

      Si le message RADIUS Access-Reject inclut le champ IPCP Terminate-Request, le texte de l’attribut de message de réponse #18 est ajouté aux informations du champ Terminate-Request et s’affiche dans les données PPP.

    Si un message Access-Challenge est reçu au lieu d’un Access-Accept, le rejet de protocole IPCP est envoyé au CPE.

    S’il n’y a pas de réponse du serveur RADIUS, IPCP est arrêté.

  5. Le BNG envoie un IPCP Configure NACK avec la nouvelle option d’adresse IPv4 au CPE.

  6. La famille d’inet dynamique et l’adresse locale sont ajoutées et tous les services IPv4 (family inet) pour le profil client dynamique sont instanciés.

    Le BNG envoie une demande de configuration IPCP avec une option d’adresse IPv4 locale au CPE.

  7. Le BNG envoie immédiatement un message Interim-Accounting (s’il est configuré) avec l’IPv4-Release-Control VSA (26-164) (s’il est configuré) et un attribut Framed-IP-Address au serveur RADIUS.

  8. Tous les services IPv4, tels que les filtres de données ascendants (ADF) et les filtres de pare-feu, pour le profil de service dynamique et le service d’interception légale (s’il est présent pour la famille inet) sont instanciés et les messages Service Accounting-Start (si la comptabilité des services est configurée et que le service IPv4 ne fait pas partie d’un profil de service multifamilial) sont envoyés au serveur RADIUS. En cas d’échec de l’instanciation du service, IPCP est résilié et un processus de libération d’adresse IPv4 est lancé.

  9. La BNG reçoit une demande de configuration IPCP avec une nouvelle option d’adresse IPv4 de la part du CPE.

  10. Le BNG envoie un accusé de réception de configuration IPCP au CPE.

  11. Le BNG reçoit une réponse Service Accounting-Start du serveur RADIUS.

  12. Le BNG reçoit une réponse de comptabilité provisoire du serveur RADIUS.

  13. Le BNG reçoit un accusé de réception IPCP Configure (Configurer l’ACK) de la part du CPE.

Libération des adresses IPv4 pour les abonnés PPP dynamiques

Le processus de libération de l’adresse IPv4 pour la famille d’adresses dynamiques et l’adresse sur une interface PPP statique est le suivant :

  1. Le BNG reçoit une demande de résiliation IPCP de la part du CPE.

  2. Le BNG envoie un accusé de réception de terminaison IPCP au CPE.

  3. Les actions suivantes se produisent :

    • Tous les services IPv4 (famille d’inet) pour le profil client dynamique sont désinstanciés et la famille d’inet dynamique et l’adresse locale sont supprimées.

    • Tous les services IPv4, tels que les filtres de données ascendants (ADF) et les filtres de pare-feu, pour un profil de service dynamique et le service d’interception légale (s’il est présent pour la famille inet) sont désinstanciés. Les messages Service Accounting-Stop (si la comptabilisation des services est configurée et que le service IPv4 ne fait pas partie d’un profil de service multifamilial) sont envoyés au serveur RADIUS.

    • Si une adresse IPv4 a été allouée à partir d’un pool d’adresses local, elle est disponible.

    • L’entrée de l’adresse IPv4 est effacée de l’enregistrement de l’abonné

  4. Le BNG envoie immédiatement un message de comptabilité provisoire (s’il est configuré) avec l’IPv4-Release-Control VSA (26-164) (s’il est configuré) au serveur RADIUS et l’attribut Framed-IP-Address ne doit pas être inclus.

    Les statistiques de session utilisateur et les statistiques de session de service pour le service multifamilial sont conservées pendant toute la session PPP et ne sont pas effacées lorsque l’adresse IPv4 est libérée.

  5. Le BNG reçoit une réponse de comptabilité provisoire du serveur RADIUS.

    Aucune action n’est effectuée dans le BNG, qu’il reçoive ou non une réponse du serveur RADIUS.

Négociation IPCP avec adresse IP homologue facultative

En fonctionnement normal d’une négociation IPCP (Internet Protocol Control Protocol), si le client PPP (Point-to-Point Protocol) ne demande pas d’adresse IP spécifique, le serveur MX Series envoie une adresse IP obtenue à partir de RADIUS ou du pool d’adresses local.

En règle générale, lorsque le CPE négocie une adresse IP provisionnée statiquement, le BNG reçoit une adresse IP tramée de 255.255.255.255, et éventuellement une route tramée, lors de l’autorisation PPP. Le CPE présente l’adresse IP WAN configurée dans l’option Adresse IP du message de configuration IPCP. Le BNG accepte alors l’adresse proposée par l’homologue.

Dans d'autres cas, cependant, l'adresse IP publique de l'abonné est provisionnée localement sur le CPE, mais pas explicitement négociée via IPNCP. Si le client PPP recherche une adresse IP spécifique, à la réception d’un NAK du serveur, il envoie un message confReq sans spécifier l’option d’adresse IP. Dans ce cas, même si le serveur envoie un message de confirmation IPCP, il arrête le client car il a besoin d’une adresse IP du client.

Vous pouvez configurer l’instruction peer-ip-address-optional pour permettre à la négociation IPCP de réussir même si l’homologue n’inclut pas l’option d’adresse IP dans une demande de configuration IPCP pour les abonnés au protocole PPPoE (Point-to-Point Protocol over Ethernet) statique et dynamique, terminé et tunnelisé. Par défaut, cette instruction est désactivée. Cette fonctionnalité prend également en charge la haute disponibilité (HA) et la mise à niveau logicielle en service unifié (ISSU unifiée).

Si le client n’inclut pas l’option d’adresse IP dans une demande de configuration IPCP et que la négociation IPCP réussit en configurant l’instruction peer-ip-address-optional , cela signifie que le serveur ne dispose pas de l’adresse IP du client.

Note:

Si le client inclut l’option d’adresse IP dans une demande de configuration IPCP, peu importe que l’instruction peer-ip-address-optional soit configurée, car l’abonné est toujours disponible et le serveur dispose de l’adresse IP du client.

Une adresse IP de RADIUS ou du pool local est allouée au client et la route vers celle-ci est ajoutée sur le serveur, même si cette adresse n’est pas attribuée au client. IPCP réussit et l’abonné devient disponible. Si vous souhaitez que le serveur dispose de l’itinéraire vers l’adresse IP demandée par le client, utilisez l’attribut RADIUS Framed-Route ou configurez des routes statiques. Le client ajoute ou configure des routes statiques vers le serveur pour un transfert correct.

Voir aussi

Utilisation des attributs RADIUS lors de l’authentification lorsque l’allocation d’adresses à la demande est activée

Ce qui suit décrit le comportement de la passerelle réseau de bordure (BNG) lors de l’authentification lorsque l’allocation d’adresses IP à la demande est activée :

  • Si le serveur RADIUS renvoie un attribut Framed-IP-Address, le BNG n’est pas transmis au serveur RADIUS pour l’attribution d’adresses lors de la première négociation IPCP (Internet Protocol Control Protocol). Il utilise l’attribut Framed-IP-Address renvoyé dans le message Access-Accept initial. Les messages de début de comptabilité et les messages périodiques de comptabilité provisoire incluent l’attribut Framed-IP-Address. Les messages de comptabilisation intermédiaire immédiate ne sont pas envoyés au serveur RADIUS. L’attribution des adresses est similaire au processus décrit pour un abonné statique ou dynamique.

    Lorsqu’une adresse IP tramée est renvoyée par le serveur RADIUS lors de l’authentification et que l’équipement sur site client (CPE) ne négocie pas IPCP, l’adresse IPv4 n’est pas libérée, que l’allocation d’adresse IP à la demande soit activée ou non.

  • Si le serveur RADIUS renvoie un attribut Framed-Pool. le BNG ne va pas au serveur RADIUS pour l’attribution d’adresses lors de la première négociation IPCP et il alloue une adresse IPv4 à partir du pool d’adresses local spécifié. Les messages Accounting-Start et périodiques Interim-Accounting n’incluent pas l’attribut Framed-IP-Address jusqu’à la négociation IPCP. Les messages comptables intermédiaires immédiats (s’ils sont configurés) sont envoyés au serveur RADIUS. L’attribution des adresses est similaire au processus décrit pour un abonné statique ou dynamique.

  • Si le serveur RADIUS ne renvoie ni l’attribut Framed-IP-Address ni l’attribut Framed-Pool. L’attribution d’adresses est similaire au processus décrit pour un abonné statique ou dynamique. IPCP étant le seul protocole de contrôle de réseau (NCP) actif pour ces abonnés, l’intégralité de la session PPP est interrompue lors d’une demande d’arrêt IPCP et un message d’arrêt de la comptabilité est envoyé au serveur RADIUS. Dans ce cas, les messages de comptabilisation provisoire immédiats pour libérer l’adresse IPv4 ne sont pas envoyés.

Configuration de l’allocation d’adresses IPv4 statique à la demande pour les abonnés PPP à double pile

Pour configurer l’allocation d’adresses IPv4 statique à la demande pour les abonnés PPP à double pile :

  1. Spécifiez le nom et le numéro d’unité logique de l’interface.
  2. Activez l’attribution d’adresses IP à la demande.

Configuration dynamique de l’allocation d’adresses IPv4 à la demande pour les abonnés PPP à double pile

Pour configurer l’allocation dynamique d’adresses IPv4 à la demande pour les abonnés PPP à double pile :

  1. Accédez au profil dynamique.
  2. Spécifiez le nom et le numéro d’unité logique de l’interface.
  3. Activez l’attribution d’adresses IP à la demande.

Configuration de l’allocation globale d’adresses IPv4 à la demande pour les abonnés PPP à double pile

Pour configurer l’allocation d’adresses IP IPv4 statiques à la demande pour les abonnés PPP à double pile au niveau du système :

  1. Spécifiez le protocole.
  2. Spécifiez l’option ppp-service.
  3. Activez l’attribution d’adresses IP à la demande.

Activation immédiate des messages comptables intermédiaires pour les changements d’adresse IPv4 à la demande

Pour permettre à la BNG d’envoyer immédiatement un message comptable intermédiaire :

  1. Créez un profil et attribuez-lui un nom.
  2. Sous Comptabilité, spécifiez l’option address-change-immediate-update.

Activation du contrôle de version IPv4 VSA (26–164) dans les messages RADIUS

Lorsque vous utilisez l’allocation d’adresses à la demande pour les abonnés PPP à double pile, vous pouvez configurer le BNG pour inclure le VSA IPv4-Release-Control (26-164) dans la demande d’accès envoyée lors de l’attribution d’adresses IP à la demande et dans les messages de comptabilité provisoire envoyés pour signaler un changement d’adresse.

Si aucune adresse IPv4 n’est disponible lors de la négociation pour les abonnés PPP statiques ou dynamiques, le serveur RADIUS inclut cette VSA dans le message Access-Reject qu’il envoie au BNG. Par conséquent, la BNG envoie une demande de résiliation IPCP au CPE, qui peut alors renégocier l’IPCP.

Si vous n’avez pas activé l’envoi de VSA 26–164, le message Access-Reject n’inclut pas le VSA et le BNG envoie un message LCP Protocol-Reject au CPE. Le CPE doit renégocier la liaison LCP avant d’être autorisé à renégocier IP NCP.

La configuration de cette instruction n’a aucun effet lorsque l’allocation ou la désallocation d’adresses IP à la demande n’est pas configurée.

Vous pouvez éventuellement configurer un message qui est inclus dans le VSA lorsqu’il est envoyé au serveur RADIUS.

Pour activer IPv4-Release-Control VSA (26-164) dans les messages RADIUS :

  1. Créez un profil et attribuez-lui un nom.
  2. Indiquez que vous souhaitez configurer RADIUS.
  3. (Facultatif) Configurez le VSA à envoyer et, si vous le souhaitez, spécifiez un message texte à inclure dans le VSA.

Documentation connexe