加入者管理用のアドレス割り当てプール
アドレス割り当てプールの概要
アドレス割り当てプールを使用すると、プールを使用するクライアント アプリケーションに依存しない、一元化された IPv4 および IPv6 アドレス プールを作成できます。認証プロセスは、アドレスがローカル プールから来る場合でも、データベース サーバーから取得されたアドレスに関RADIUSします。
たとえば、DHCP などの複数のクライアント アプリケーションは、同じアドレス割り当てプールを使用して特定のクライアントのアドレスを提供できます。クライアント アプリケーションは、認証されたクライアントまたは認証されていないクライアントのアドレスを取得できます。加入者に対して選択されたプールは、RADIUS、ネットワーク照合、その他のルールに基づいて、加入者に対して一致するプールと呼ばれる。
- アドレス割り当てタイプ
- アドレス割り当てプールの指定アドレス範囲
- リンクされたアドレス プールからのアドレス割り当て
- アドレス プールのホールドダウン状態
- 近隣検索ルーターのアドバタイズメントのアドレス割り当てプール
- 指定アドレスまたはアドレス範囲を除く
- ライセンスの要件
- アドレス割り当てプールのメリット
アドレス割り当てタイプ
アドレス割り当てプールは、動的アドレスと静的アドレスの両方の割り当てをサポートします。動的アドレス割り当てでは、クライアントはアドレス割り当てプールから自動的にアドレスを割り当てられます。IPv4プールにのみサポートされている静的アドレスの割り当てでは、常に特定のクライアントによって使用されるアドレスを予約します。静的な割り当てのために予約されたアドレスは、動的アドレス プールから削除され、他のクライアントに割り当てできません。
アドレス割り当てプールの指定アドレス範囲
アドレス割り当てプール内で、指定したアドレス範囲を設定できます。指定した範囲は、アドレス範囲全体のサブセットです。クライアント アプリケーションでは、名前付き範囲を使用して、クライアント固有の条件に基づいてアドレスの割り当てを管理できます。たとえば、IPv4 アドレス割り当てプールの場合、特定の DHCP オプション 82 の値に基づく名前付き範囲を作成できます。次に、DHCP クライアント要求が指定されたオプション 82 の値と一致すると、指定した範囲のアドレスがクライアントに割り当てられます。
リンクされたアドレス プールからのアドレス割り当て
アドレス割り当てプールをリンクして、アドレス割り当て用のバックアップ プールを提供できます。プライマリまたは一致するアドレス プールにアドレスが使用できない場合、デバイスはリンクされた(セカンダリ)アドレス プールに自動的に進み、割り当てに使用可能なアドレスを検索します。
通常、リンク されたプールのチェーンの最初のプールはプライマリ プールと見なされます。ただし、一致するプールは必ずしもチェーンの最初のプールであるとは限りません。
リリース Junos OS リリース 18.1R1使用可能なアドレスの検索メカニズムは、リンク プールのチェーンを通って処理されます。この動作により、DHCP ではアドレスを連続して検索できます。.
検索メカニズムの仕組みについて例を挙できます。3 つのプールのチェーンを検討します。 A、B、C. プール A はプライマリ プールであり、プール B は、RADIUS サーバーから返される情報に基づいて、特定の加入者に一致するプールです。加入者に使用可能なアドレスを検索するには、次の順序で従います。
デフォルトでは、一致するプール(プール B)が最初に検索されます。
アドレスが見つからなかった場合、チェーンの最初のプール(プール A)に検索が移動します。
使用可能なアドレスが見つかり、割り当てられるまで、または検索で空きアドレスがないと判断されるまで、検索はチェーン(プール C)を通って進みます。
各プールでは、すべてのアドレス範囲でアドレスが完全に検索されます。
ステートメントを設定して、一致するプール内の各範囲のアドレスのブロック内での検索を開始し、次にリンク プールを通じて連続して linked-pool-aggregation 検索を開始できます。検索はチェーンの最初のプールに戻り、チェーンの最後のプールを通じて各プール内のすべての範囲のすべてのアドレスを検索します。
アドレス プールのホールドダウン状態
アドレス割り当てプールは、ホールドダウン状態で設定できます。アドレス プールがホールドダウン状態の場合、プールを使用して加入者に IP アドレスを割り当てられません。この設定では、以前に割り当てられたアドレスがプールに返された場合に、アクティブなプールが非アクティブな状態に正常に変換されます。プールが非アクティブの場合、アクティブな加入者に影響を与えることなく、プールで安全に保守を実行できます。
近隣検索ルーターのアドバタイズメントのアドレス割り当てプール
近隣検索ルーターのアドバタイズメント(NDRA)にアドレス割り当てプールを明示的に割り当てできます。
指定アドレスまたはアドレス範囲を除く
リリース Junos OS リリース 18.1R1から、連続するアドレスまたは連続するアドレス範囲を除外して、アドレス プールに割り当て込むのを防ぐできます。
たとえば、特定のアドレスや範囲を予約して、静的加入者にのみ使用することができます。アドレスまたは範囲を除外する設定を行い、その範囲内のアドレスまたはアドレスがすでに割り当て済みで、加入者がログアウトされ、アドレスが取り外され、そのアドレスが除外対象としてマークされます。
ライセンスの要件
この機能にはライセンスが必要です。加入者アクセス ライセンスの詳細については、「 加入者アクセス ライセンスの概要 」 を参照してください。ライセンス管理の一 般的な情報については 、「 ジュニパー ライセンス ガイド 」を参照してください。詳細については 、製品データ シートを参照してください。または、 ジュニパー またはパートナーにお問いジュニパーください。
アドレス割り当てプールのメリット
アドレス割り当てプール機能は、加入者管理と DHCP 管理の両方をサポートします。
クライアント アプリケーションに依存しないアドレスのプールを一元化できます。
アドレスのブロック(名前付き範囲)を指定して、特定のアドレス プールを使用して、さまざまなクライアント アプリケーションに対して異なるアドレスを提供したり、異なる条件セットに一致する加入者に対して使用できます。
プールをリンクして、プールが特定の方法で連続または無意識にフリー アドレスを検索するようにできます。
プールからこれ以上アドレスが割り当てられていない場合を指定すると、アドレス プールをアクティブから非アクティブにスムーズに移行できます。
リンクされたアドレス プールからのアドレス割り当て
アドレス割り当てプールをチェーンにリンクして、アドレスの割り当て用のバックアップ プールを提供できます。加入者に対して選択されたプールは、RADIUS サーバー、ネットワーク照合、または他のルールに基づいて、加入者に対して照合プールまたは照合プールと呼ばれる。一致するプールが、チェーンの最初の(プライマリ)プールではない可能性があります。一致するアドレス プールまたはプライマリ アドレス プールからアドレスを割り当てできない場合、ルーターまたはスイッチは別のアドレス プールに自動的に進み、割り当てに使用可能なアドレスを検索します。検索で使用可能なアドレスが検出され、そのアドレスがどこにも検出され、検索が停止し、加入者にはアドレスが割り当てられません。
検索動作では、リンク されたプールのチェーンに沿って検索がどのように進むかだけでなく、各プール内のアドレス範囲が検索されるかどうかを判断します。検索の開始場所、設定、および以前に割り当てられたアドレスが解放されたかどうかに応じて、チェーン内の次のリンク アドレス プールで検索を継続するか、チェーンの最初のプールに戻って検索を続行できます。
使用可能なアドレスの検索は、加入者に一致するプールから始まります。多くの場合、一致するプールはチェーンの最初のプールでもあります。一部の加入者の場合、一致するプールはチェーンのより遠方です。たとえば、認証中に一致する一部の基準に基づいて 1 つ目のプールではなく、チェーンの 2 番目のプールを指定する RADIUS サーバーを設定できます。別の例では、サブスクライバ グループごとに異なるアドレス範囲を指定できます。特定のプールが加入者と一致するかどうかは、異なるアドレス範囲に対して設定されているプールによって異なります。
次の用語を使用して、検索動作の詳細を説明します。
lowAddress — アドレス プール内の範囲内で最も小さいアドレス。
highAddress — アドレス プール内で指定範囲内で最高のアドレスを指定します。
nextAddress — 最後のアドレスがアドレス プール内の特定の範囲に割り当てられた次のアドレスです。これは次に割り当てられると予想されるアドレスですこのアドレスと最後に使用した範囲は、検索の開始点として保存されます。
たとえば、Pool A の範囲が 192.0.2.1、192.0.2.2、192.0.2.3、192.0.2.2.4 などとします。この場合、192.0.2.1 が lowAddress で 190.0.2.4 が highAddress です。192.0.2.2 が、このプールから最後に割り当てられたアドレスだった場合、nextAddress は 192.0.2.3 です。
リリース Junos OSから18.1R1、以下の 2 つの方法のいずれかを使用してリンク プールを検索できます。
連続アドレス割り当て — これはデフォルトの動作です。プールの各範囲のすべてのアドレスが検索されます。検索は、一致するプールから始まり、チェーンの最初のプールに移動し、必要に応じて、リンクされた各プールをチェーンの最後のプールまで連続して続行します。各プールでは、すべての範囲のすべてのアドレスがフリー アドレスを検索します。この方法では アドレスを連続して割り当てることができます別のプールが検索される前に、各プールをフルにする必要があります。
非意識的(集約型)アドレス割り当て—ステートメントが設定
linked-pool-aggregationされている場合の動作。最初は、特定のアドレス(nextAddress から highAddress まで)のみ、一致するプールの各範囲で検索されます。リンクされたプールで同じ検索が実行され、必要に応じて、リンクされた各プールをチェーンの最後のプールまで連続して続行します。次に、チェーンの最初のプールで検索が再起動します(必ずしも一致するプールであるとは限りません)。今回は、チェーンの最後を通るすべてのプールで、すべての範囲のすべてのアドレスが検索されます。
これは基本的な機能ですが、両方の検索の詳細はかなり複雑です。 図 1 は 、デフォルトの検索動作を示しています。
たとえば、次の条件が存在するとします。
リンクされたアドレス プール A、B、C、D. プール C が一致します。
各プールには、3 つのアドレス範囲、r1、r2、r3 があります。最後に使用した範囲は、各プールの r2 でした。
無料アドレスが見つからなかった場合は、次のように検索を続行します: C > A > B > C > D。
プール C が検索され、レンジ r2 の highAddress を通して次のアドレスを検索します。
プール C が検索され、範囲 r2 の nextAddress を通って lowAddress を検索します。
プール C が検索され、レンジ r3 の highAddress を通して次のアドレスを検索します。
プール C が検索され、範囲 r3 の nextAddress を通って lowAddress を検索します。
プール C が検索され、レンジ r1 の highAddress を通して次のアドレスを検索します。
プール C が検索され、範囲 r1 の次のアドレスを通して lowAddress を検索します。
プール C 内のすべての範囲とアドレスが検索された結果、検索はチェーンの最初のプールである A に移動します。
プール A が検索され、レンジ r2 の highAddress を通して次のアドレスを検索します。
プール A が検索され、範囲 r2 の nextAddress を通って lowAddress を検索します。
プール A が検索され、レンジ r3 の highAddress を通して次のアドレスを検索します。
プール A が検索され、範囲 r3 の nextAddress を通って lowAddress を検索します。
プール A が検索され、レンジ r1 の highAddress を通して次のアドレスを検索します。
プール A が検索され、範囲 r1 の nextAddress を通って lowAddress を検索します。
プール A 内のすべての範囲とアドレスが検索された結果、検索はチェーンの次のリンク プール B に移動します。
このプロセスは、すべてのプールのすべての範囲のすべてのアドレスが検索されるまで継続されます。プールの検索順序は C > A > B > C > D で、停止します。アドレスがどこにあるか、かどうかに応じて、一致するプールが 2 回検索される場合があります。これは、一致するプールがチェーンの最初のプールでない限り、この値になります。たとえば、この一連の条件でプール A が一致するプールである場合、完全な検索(アドレスが見つからない場合)は C > B > C > D となります。
図 2 は 、 ステートメントを含める場合の検索動作を示 linked-pool-aggregation しています。
たとえば、デフォルトの例と同じ条件が存在するとします。
リンクされたアドレス プール A、B、C、D. プール C が一致します。
各プールには、3 つのアドレス範囲、r1、r2、r3 があります。最後に使用した範囲は、各プールの r2 でした。
無料アドレスが見つからない場合は、次のように検索を続行します。 C > D > A > B > C > D。
プール C が検索され、レンジ r2 の highAddress を通して次のアドレスを検索します。
プール C が検索され、レンジ r3 の highAddress を通して次のアドレスを検索します。
プール C が検索され、レンジ r1 の highAddress を通して次のアドレスを検索します。
プール C のすべての範囲が nextAddress から highAddress まで検索された後、検索はチェーンの次のリンク プール D に移動されます。
プールDが検索され、レンジr2の highAddressを通って次のアドレスを検索します。
プールDが検索され、レンジr3の highAddressを通って次のアドレスを検索します。
プールDが検索され、レンジr1の highAddressを通って次のアドレスを検索します。
プール D のすべての範囲を次のアドレスから highAddress まで検索しました。プールDはチェーンの最後のプールで、検索はチェーンの最初のプールである Aに移動します。
プール A が検索され、レンジ r2 の highAddress を通して lowAddress を検索します。
プール A が検索され、レンジ r3 の highAddress を通して lowAddress を検索します。
プール A が検索され、レンジ r1 の highAddress を通して lowAddress を検索します。
プール A 内のすべての範囲とアドレスが検索された結果、検索はチェーンの次のリンク プール B に移動します。
プール B が検索され、レンジ r2 の highAddress を通して lowAddress を検索
プール B が検索され、レンジ r3 の highAddress を通して lowAddress を検索
プール B が検索され、レンジ r1 の highAddress を通して lowAddress を検索
プール B 内のすべての範囲とアドレスが検索されたので、検索はチェーンの C にある次のリンク プールに移動します。
このプロセスは、すべてのプールのすべての範囲のすべてのアドレスが検索されるまで継続されます。プールの検索順序は C > D > A > B > C >停止します。アドレスが見つかった場所と場所に応じて、一致するプールがチェーンの最初のプールである場合でも、すべてのプールが 2 回検索される場合があります。たとえば、この一連の条件でプール A が一致するプールである場合、完全な検索(アドレスが見つからない場合)は、A > B > C > D > A > B > C > D となります。
アドレス割り当てプール設定の概要
アドレス割り当てプール機能は、さまざまなクライアント アプリケーションで共有可能なアドレス プールを作成することで加入者管理機能をサポートします。アドレス割り当てプールは、IPv4 アドレスまたは IPv6 アドレスのいずれかをサポートできます。両方のタイプのアドレスに同じプールを使用することはできません。
アドレス割り当てプールは、階層レベルでステートメントを作成するサービスPICベースのL2TP LNSアドレス プール、および階層レベルでステートメントを使用して作成したNATプールとは完全に分離されています。 address-pool [edit access] pool [edit services nat]
アドレス割り当てプールを設定するには、以下の手順に示します。
詳細については、
アドレス割り当てプールの名前とアドレスの設定
アドレス割り当てプールを設定するには、プールの名前を指定し、プールのアドレスを設定する必要があります。
IPv4 アドレス割り当てプールを設定するには、次の手順に示します。
IPv6 アドレス割り当てプールを設定するには、次の手順に示します。
プールの名前を設定し、IPv6 ファミリーを指定します。
[edit access] user@host# edit address-assignment pool isp_2 family inet6
アドレス プールの IPv6 ネットワーク プレフィックスを設定します。プレフィックスの仕様は、IPv6アドレス割り当てプールを設定する際に必要です。
[edit access address-assignment pool isp_2 family inet6] user@host# set prefix 2001:db8:2008:2009::/32
動的アドレス割り当てのための指定アドレス範囲の設定
また、アドレス割り当てプール内のアドレスの名前付き範囲(サブセット)を複数設定することもできます。動的アドレスの割り当て時に、特定の指定範囲からアドレスを割り当てることができます。名前付き範囲を作成するには、範囲の名前を指定し、アドレス範囲を定義します。
IPv4 アドレス割り当てプール内に指定範囲を作成するには、以下の方法に示します。
IPv6 アドレス割り当てプール内に指定範囲を作成するには、以下の方法に示します。
アドレス割り当てプールと IPv6 ファミリーの名前を指定します。
[edit access] user@host# edit address-assignment pool isp_2 family inet6
範囲の名前を設定し、範囲を定義します。範囲のプレフィックスの下位および上限に基づいて、または範囲内のプレフィックスの長さに基づいて範囲を定義できます。
[edit access address-assignment pool isp_2 family inet6] user@host# set range dsl-range low 2001:db8:2008:2010:2011:0100::/64 high 2001:db8:2008:2010:2011:ffff::/64 user@host# set range fiber-east prefix-length 48
アドレス プールからのアドレス割り当て防止
指定したアドレスまたはアドレス範囲を除外して、アドレス プールからの割り当てを防ぐできます。たとえば、特定のアドレスや範囲を予約して、静的加入者にのみ使用することができます。アドレスまたはアドレスの範囲を除外するアドレスを設定し、既に範囲内のアドレスまたはアドレスが割り当て済みで、そのアドレスに割り当てられた加入者がアドレスをログアウトし、アドレスの割り当て先が割り当て、そのアドレスが除外対象としてマークされます。
アドレス プール内のアドレスまたはアドレス範囲を割り当てから除外するには、以下の方法で行います。
個々のアドレスを指定します。
[edit access address-assignment pool-name family (inet | inet6)] user@host# set excluded-address ip-address
連続するアドレスの範囲を指定し、名前を指定します。
[edit access address-assignment pool-name family (inet | inet6)] user@host# set excluded-range name low minimum-value high maximum-value
たとえば、IPv4 アドレス プールの次の部分的な設定では、192.168.0.10 から 192.168.128.250 まで、割り当てるアドレスの範囲 r1 を定義しています。アドレス 192.168.110.10 を除外しています。さらに、プールから割り当てできない連続する 2 つのアドレスを指定する、1 と exclude2 の 2 つの範囲を定義します。
pool v4-pool {
family inet {
network 192.168.0.0/16;
range r1 {
low 192.168.0.10;
high 192.168.128.250;
}
excluded-address 192.168.110.10
excluded-range exclude1 {
low 192.168.12.0
high 192.168.12.255
}
excluded-range exclude2 {
low 192.168.98.10
high 192.168.98.200
}
}
}
同様に、プール v6 プールの設定では、割り当てるアドレスの範囲と割り当てから除外するアドレスの範囲を定義します。
pool v6-pool {
family inet6 {
prefix 2016::/64;
range r2 {
low 2016::1;
high 2016::80:ffff;
}
excluded-range exclude3 {
low 2016::7c:a
high 2016::7c:ff
}
}
}
除外されたアドレスに関する情報を表示するには、以下のいずれかのコマンドを使用できます。
user@host> show network-access address-assignment pool pool-name IP address/prefix Hardware address Host/User Type 192.168.2.1 00:00:5e:00:53:01 user1 DHCP 192.168.2.2 00:00:5e:00:53:02 user2 DHCP 192.168.2.3 00:00:5e:00:53:03 user3 DHCP 192.168.2.4 NA EXCLUDED unknown
user@host> show network-access aaa statistics address-assignment pool pool-name Address-assignment statistics ... Addresses excluded: 1000 ...
アドレス割り当てプール使用のしきい値トラップの設定
使用量(使用率)のしきい値トラップを設定することで、アドレス プールまたはリンクされたアドレス プールのセットが使用可能なアドレスを不足しているという警告が表示されます。使用量と使用率は同じ意味で使用され、現在割り当てられているアドレス プール内のアドレスの割合を意味します。アドレス プールには、関連付けられた SNMP しきい値が次のようになります。ローカル アドレス サーバーは、特定の条件が発生した場合に SNMP トラップを通知できます。
高使用率しきい値 — アドレス プールから割り当てられたアドレスの割合がこの値を超えると、高使用率の SNMP トラップが生成されます。このしきい値を超えている限り、システムは警告メッセージを送信します。
使用率のしきい値の低下 — アドレス プールから割り当てられたアドレスの割合がこの値を下回ると、利用率のトラップが生成されます。システムが警告メッセージの送信を停止します。通常、使用率の低いしきい値を高使用率のしきい値よりも小さい値に設定します。高く設定することはできません
しきい値にはデフォルト値は設定されません。これらのしきい値を設定しない場合、割り当てられたアドレスの割合が 100 % に近づくにつれて、システムから切り迫った枯渇通知はシステムから送信されます。アドレス プール内のすべてのアドレスが割り当てられた場合にのみ、システムがアドレス外トラップを送信します。
Junos OS リリース 19.2R1 から、高使用率しきい値とアベト使用率しきい値の両方が設定されていない限り、アドレス外トラップは送信されません。アドレス外トラップが送信された場合は、アドレス外 syslog メッセージも送信されます。
階層レベルのすべてのアドレス プールにしきい値を設定するか、階層レベルの特定のルーティング インスタンスのアドレス プールにのみしきい値 [edit access address-assignment] [edit routing-instance routing-instance-name] を設定できます。以下の設定は、設定のみを [edit access] 示しています。
しきい値トラップを設定するには、以下の方法で行います。
IPv4 または IPv6 アドレス プールの高使用率しきい値を指定します。
[edit accessaddress-assignment] user@host# set high-utilization percentage user@host# set high-utilization-v6 percentage
IPv4 または IPv6 アドレス プールの利用率のしきい値を指定します。
[edit accessaddress-assignment] user@host# set abated-utilization percentage user@host# set abated-utilization-v6 percentage
次の例では、高いしきい値が 95% の使用量に設定され、省略したしきい値は IPv4 アドレス プールの使用量の 90% に設定されています。割り当てられたアドレスの数がアドレス プールの 95% を超えると、高使用率のトラップが生成されます。すべてのアドレスがプールから割り当てられた場合、アドレス外トラップが生成され、アドレス外 syslog メッセージが送信されます。割り当てられたアドレスの数がアドレス プールの 90% を下回ると、利用率の低下が発生します。
[edit accessaddress-assignment] user@host# set high-utilization 95 user@host# set abated-utilization 90
アドレス割り当てプール リンクの設定
アドレス割り当てプールのリンクを使用すると、一致プールまたはプライマリ アドレス割り当てプールが完全に割り当てられたときに使用する、ルーターのセカンダリ アドレス プールを指定できます。複数のリンク プールのチェーンを作成できます。たとえば、プール A をプール B にリンクし、プール B をプール C にリンクできます。チェーン内の任意の数のプールにシリアルでリンクできますが、同じプールとの間で複数のリンクを作成することはできません。たとえば、プール A からプール B とプール C の両方へのリンクを作成することはできません。同様に、プール C はプール A とプール B の両方からリンクできません。さらに考慮すべき点は、チェーン内のすべてのアドレス プールが同じファミリー タイプの IPv4 または IPv6 である必要がある場合です。
加入者に一致するアドレス プールに使用可能なアドレスがない場合、ルーターは自動的にリンク プールに切り替え、そのプールからアドレスを割り当てします。ルーターがリンク プールを使用するのは、一致するアドレス割り当てプールが完全に割り当てられた場合のみです。
リリース 18.1 Junos OSから、アドレス プール チェーンでフリー アドレスを検索して割り当てる方法に関する動作が変化します。以下の 2 つの方法のいずれかを使用して、リンク プールを検索できます。
連続アドレス割り当て — デフォルト動作。プールの各範囲のすべてのアドレスが検索されます。検索は、一致するプールから始まり、チェーンの最初のプールに移動し、必要に応じて、リンクされた各プールをチェーンの最後のプールまで連続して続行します。各プールでは、すべての範囲のすべてのアドレスがフリー アドレスを検索します。この方法では アドレスを連続して割り当てることができます別のプールが検索される前に、各プールをフルにする必要があります。
非意識的(集約型)アドレス割り当て —設定時
linked-pool-aggregationの動作。最初は、特定のアドレス(nextAddress から highAddress まで)のみ、一致するプールの各範囲で検索されます。必要に応じてリンク プールで同じ検索が実行され、チェーンの最後のプールを通って連続する各リンク プールを通って続行されます。次に、チェーンの最初のプールで検索が再起動します(必ずしも一致するプールであるとは限りません)。今回は、チェーンの最後を通るすべてのプールで、すべての範囲のすべてのアドレスが検索されます。
ステートメントを含め、IP アドレス単独で加入者を識別RADIUSサーバーを設定する場合 linked-pool-aggregation に望ましい場合があります。通常、加入者は、加入者セッション ID RADIUSを使用して、サーバーによって識別されます。IP アドレスのみを使用した場合、ステートメントが設定されていない場合のデフォルト動作で次の linked-pool-aggregation 問題が発生する可能性があります。加入者を切断し、そのアドレスを次の加入者に割り当てることができます。切断された加入者に対して Acct-Stop メッセージが送信される前に、2 番目の加入者に対して Acct-Start メッセージを送信できます。Acct-Stop を受信すると、IP アドレスによってのみ識別された新しい加入者を切断できます。
この状況を回避するには、ステートメントを含むか、RADIUS サーバーで(IP アドレスではなく)加入者セッション ID を使用して識別を linked-pool-aggregation 設定します。
開始する前に、アドレス プールを設定します。アドレス 割り当てプール設定の概要 を参照してください。
アドレス割り当てプールをセカンダリ プールにリンクするには、次の方法に示します。
たとえば、次の設定リンクをPool_AしてPool_BにリンクPool_BリンクPool_C。
[edit access] user@host# set address-assignment pool Pool_A link Pool_B user@host# set address-assignment pool Pool_B link Pool_C
アドレス割り当てプールのホールドダウンの設定
アドレス割り当てプールのホールドダウン機能(パッシブ ドレーンとも呼ばれる)により、アクティブなアドレス プールを非アクティブな状態にスムーズに移行できます。プールが非アクティブな状態の場合、現在の加入者(アドレスの追加、変更、削除など)に影響を与えることなく、プールで安全に保守を実行できます。
アドレス割り当てプールがホールドダウン状態の場合、そのプールから追加のアドレスは割り当てされません。ただし、ホールドダウン状態は、プールから以前割り当てられたアドレスを使用している既存の加入者には影響を与えるわけではありません。既存の加入者が切断すると、IP アドレスはプール内でフリーとしてマークされますが、プールのホールドダウン状態により、アドレスは割り当てではありません。最終的に、すべての加入者が切断され、そのアドレスがプールに戻されると、プールは非アクティブになります。
アクティブなアドレス割り当てプールをホールドダウン状態に配置するには、以下の方法に示します。
DHCP ローカル アドレス プールラピッド ドレーンの設定
プールをアクティブ-ドレーン モードに設定することで、特定のローカル アドレス プールからのアドレス割り当てを停止させる DHCP ローカル サーバーを強制できます。このモードを使用すると、サーバーはプールから割り当てられたアドレスをすでに使用している加入者を正常に終了し、別のプールに移行できます。DHCP 加入者が(T1 更新時に)アクティブ-ドレーン モードに設定されたプールから IP アドレスのリースを更新しようとすると、DHCP ローカル サーバーは NAK で加入者の更新要求に応答します。この応答によって、加入者はリースの再交渉を強制的に行います。その後、サーバーは、アクティブなドレーン用に設定されていない代替アドレス プールから新しい IP アドレスを割り当めます。
アクティブドレーン モードでは、加入者をアドレス プールから迅速に排出できます。その結果、加入者のリース時間が長くなると、アクティブ-ドレーン モードが有効になります。プールのアクティブ/ドレーン モードを設定しない場合、アドレスの割り当てを停止するには、パッシブ ドレーン モードを設定するか、プールを削除する必要があります。
パッシブドレーン モードでは、アドレス プールがホールドダウン状態になります。プールから割り当てるアドレスはこれ以上追加されますが、現在プールから割り当てられたアドレスを使用している加入者は影響を受け取しません。既存の加入者は、利用を制限されています。加入者が切断された場合(またはオペレーターによって切断されている)場合、アドレスは解放されますが、再割り当てすることはできません。最終的に、すべての加入者がアドレスをリリースし、プールはアクティブではなくなりました。アクティブ加入者のリースは要求に応じて更新されるため、パッシブ ドレーン モードはアクティブ/ドレーン モードよりもはるかに長く、プール内のすべてのアドレスを復旧できます。
プールの削除によって、現在の加入者ごとにプール アドレスを使用するトラフィックが中断されます。リースの有効期限が切れる限り、および加入者が再ネゴシエーションして新しいリースを取得する必要がある限り、サーバーは、削除されたプールからアドレスを持つすべての加入者を削除します。加入者はリースの拡張を試みるが、サーバーでリースが削除されたため失敗します。その後、加入者が新しいリースの再交渉を試みる場合、別のプールまたは別のリースからのアドレスが付与RADIUS。
アドレス プールが空く前に、アクティブ-ドレーン設定を削除できます。この場合、加入者がまだこのプールからアドレスを持つ場合、リース延長が許可される場合があります。一部の加入者は、設定の削除時にサーバーからログアウトしている最中のため、この復旧はベスト の取り組みです。これらの加入者をプールに復元することはできません。リースを再ネゴシエーションする必要があります。その後、サブスクライバには、このプールからのアドレス(再度アクティブになるため)または代替プールからのアドレスが割り当てされます。
DHCP クライアントがアドレス プールのドレーン中という通知を受信できない場合、このプールを使用して加入者にリース延長を引き続き許可することがあります。この条件は、アドレスがプールによって回収される必要があるときに、T1 を超えて(T2 時間まで)クライアントにバインドされたままである場合に示されます。この場合、アクティブ-ドレーン設定を削除し、プールが適切な方法で流出しているか確認するために、プール用に構成を再構成します。
認証または jdhcpd の再起動、またはグレースフル ルーティング エンジン スイッチオーバーの場合でも、NAK が送信されていない一部の加入者は、ログアウトを開始するためにプール アドレスを使用できます。再起動または GRES が完了すると、認証は jdhcpd 通知を送信し、アクティブなドレイン用に設定されたプールからのアドレスを保持している加入者のリストを送信します。プールのドレーンは継続できます
Junos OS リリース 18.4R1 以降、アドレス割り当ての方法によって、認証によって、アドレス プールが削除またはドレインされているという DHCP プロセスに通知した後の動作が決定されます。
オンデマンドでアドレスが割り当てられた場合、プール内のアドレスを持つファミリーは、プールの削除時すぐにログアウトされます。また、DHCP の更新または再バインドメッセージの受信時に、ドレーン プロセスを実行してグレースフルにログアウトします。
アドレスを事前に割り当てすると、両方のファミリーのアドレスは、プールの削除直後に削除されます。または、DHCP の更新または再バインドメッセージの受信時に、ドレーン プロセスによって適切に削除されます。
アドレス プールへのアドレスの割り当てを停止するために DHCP ローカル サーバーを設定するには、次の手順に示します。
コマンドを使用 show network-access aaa statistics して、アクティブなドレインがプールに対して設定されていることを確認できます。
user@host> show network-access aaa statistics address-assignment pool pool1
Address assignment statistics
Pool Name: pool1
Out of Memory: 0
Out of Addresses: 0
Address total: 33009
Addresses in use: 1
Address Usage (percent): 0
Pool drain configured: yes
プレフィックス アドレスの保持よりも、アクティブ-ドレーン機能が優先されます。アドレスの保持では、ACI(アクセス回線識別子)に基づいて、同じ委任されたプレフィックスが加入者に割り当てることができます。保持されたプレフィックスを持つ加入者がログ アウトすると、ACI とプレフィックスはアドレス保持テーブルに格納されます。サブスクライバが再度ログインしようとすると、アドレスと ACI がテーブルを検索します。
アクティブ なドレーン モードは、この動作に影響します。現在、プレフィックスはプールの一部でアクティブ-ドレーン モードに設定されている場合、サブスクライバが再びログインしようとすると、テーブルから削除され、サブスクライバに割り当てされません。
クライアントがログアウト中にアクティブなドレインがキャンセルされた場合、プレフィックスと ACI 文字列がテーブルに保持されます。この場合、加入者が再びログインするときに、プレフィックスをその ACI 文字列に割り当てることができます。ただし、クライアントのログアウト後にアクティブなドレインがキャンセルされ、プレフィックス/ACI アソシエーションのテーブルが消去された場合、後続のログインのサブスクライバは再度有効化されたプールからプレフィックスを取得し、プレフィックスは異なる可能性があります。
詳細については、
静的アドレス割り当ての設定
必要に応じて、特定のクライアントの特定のアドレスを保存することで、静的 IPv4 アドレス バインディングを作成できます。アドレスは、別のクライアントに割り当てられていないとして、アドレス割り当てプールから削除されます。アドレスを予約すると、クライアント ホストを識別し、クライアント ホストと割り当てられた IP アドレスMAC アドレスバインディングを作成します。IPv6 アドレス割り当てプールは、静的アドレス バインディングをサポートしていない。
IPv4 アドレスの静的バインディングを設定するには、次の手順に示します。
ホストに対する複製 IPv4 アドレス保護のAAA
Junos OS リリース 14.1 から、AAA を使用して IPv4 アドレスを提供する場合、アドレスの重複保護を有効にして、アドレスが 2 回以上使用されるのを防ぐ必要があります。有効になっている場合、外部サーバーから受け取った次の属性がチェックされます。
Framed-IP-Address
Framed-Pool
次に、ルーターが次のいずれかのアクションを実行します。
アドレスがアドレス プール内のアドレスと一致する場合、アドレスは使用可能な場合にプールから取り出されます。
すでに使用されているアドレスは、使用不能として拒否され、そのアドレスを使用している既存の加入者は変更されません。
複製アドレス保護を設定するには、次の手順に示します。
リリース Junos OS 18.4R1 から、オプションを含めてアドレス保護の設定時に現在使用されているアドレスの再割り当てを有効に reassign-on-match することもできます。設定されている場合、ルーターは既存の加入者を切断し、新しい加入者の再ネゴシエーションを可能にします。この設定の影響は、使用しているアドレスは常に新しい加入者に再割り当てされるという問題です。
このオーバーライド機能の使用事例の 1 つは、モバイル 加入者が間違ってゲートウェイ GPRS サポート ノード(GGSN)からドロップした場合に発生しますが、GGSN は一時期加入者の L2TP セッションを維持します。顧客が別のノードから再接続しようとすると、元のセッションがまだ開始されたため、セッションに接続できません。アドレスの再割り当てにより、新しいセッションで既存のセッションの前に再び参加でき、再接続が可能になります。
既存の加入者は、アドレスがソース ソース アドレス プールからのRADIUS切断されます。ローカルに設定されたアドレス プールからのアドレスの場合、既存の加入者セッションは変更されません。
ローカル設定のアドレス プールにRADIUSアドレスを割り当てる場合、アドレス コリジョンの確率が高いので、 オプションを reassign-on-match 使用しません。ソース元のアドレスとローカル アドレス プールRADIUS重複することをお勧めします。
この reassign-on-match オプションは以下のように機能します。
加入者は、指定された IP アドレスを使用してアクセスをネゴシエートします。
ルーターは、そのアドレスが使用されているのか、どこからアドレスが送信されたのかを判断します。
加入者がすでにそのアドレスでログインしている場合、アドレスはローカルに設定されたプールの一部ではなく、アドレス保護が有効になっています。
ルーターが NAK を新しい加入者に送信して要求を拒否します。
ルーターが切断要求を既存の加入者に送信します。切断要求には、ログアウトの原因を報告する終了 ID が含まれます。
新しい(拒否された)加入者は再ネゴシエーションを行い、IP アドレスを割り当てることができます。
加入者がすでにそのアドレスでログインし、そのアドレスがローカル アドレス プールから割り当てられた場合、
ルーターが NAK を新しい加入者に送信して要求を拒否します。
ルーターは、切断要求を既存の加入者に送信しない。
既存の重複アドレス保護設定に追加すると、既存の加入者に対して直ちに reassign-on-match 有効になります。同様に、設定から削除した場合は、その後使用しているアドレスでのアクセスを要求しても既存の加入者が終了しなかから、すぐに有効 reassign-on-match になります。
アドレスの再割り当てを有効にするには、次の方法に当たっています。
[edit access address-protection] user@host# set reassign-on-match
詳細については、
例: アドレス割り当てプールの設定
要件
概要
構成
この例では、ルーターのアドバタイズメントに使用される2つのプール(IPv4 DHCP クライアント用)と2番目のプール( )を作成するアドレス割り当てプールの設定 isp_1 chi-fiber-ra を示しています。
CLI構成の迅速な設定
[edit access]
address-assignment {
network-discovery-router-advertisement chi-fiber-ra;
pool isp_1 {
family inet {
network 192.168.0.0/16;
range southeast {
low 192.168.102.2 high 192.168.102.254;
}
range northeast {
low 192.168.119.2 high 192.168.119.250;
}
host host.example.net {
hardware-address 00:00:5E:00:53:90;
ip-address 192.168.44.12;
}
dhcp-attributes {
option-match {
option-82 {
circuit-id fiber range northeast;
}
option-82 {
circuit-id cable_net range southeast;
}
}
boot-file boot.client;
boot-server 192.168.200.100;
grace-period 3600;
maximum-lease-time 18000;
netbios-node-type p-node;
router 192.168.44.44 192.168.44.45;
}
}
}
pool chi-fiber-ra {
family inet6 {
prefix 2001:db8:2008:2009:2010::/48;
range fiber3 {
low 2001:db8:2008:2009:2010::1/64;
high 2001:db8:2008:2009:2010::5/64;
}
}
}
}
この例では、 という名前の IPv4 アドレス割り当てプールを作成します。 という名前のアドレス範囲が 2 つ含 isp-1 southeast まれていると northeast 、 .アドレス割り当てプールには、クライアントの静的バインディングも含めます host host.example.net 。DHCP ISP_1設定には、 DHCP クライアントにプールが使用ことを示す ステートメント dhcp-attributes も含まれています。オプション 82 のエントリーが文字列と一致する場合、DHCP はクライアントに範囲の circuit-id fiber アドレスを割り当 northeast にします。オプション 82 が文字列 circuit-id と一致する場合、DHCP は範囲 cable_net のアドレスを割り当 southeast にします。
この例で作成した2つ目のアドレス割り当てプール chi-fiber-ra は.構文の先頭にあるステートメントは、この名前付きアドレス割り当てプールがルーターのアドバタイズ neighbor-discovery-router-advertisement メントに使用されるを指定します。この例の最後の構文では、 という名前のアドレス割り当てプールを設定しています chi-fiber-ra 。