Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP ネットワークのデュアルスタック アクセス モデル

DHCP アクセス ネットワークにおける IPv4 および IPv6 デュアル スタック

図 1 は、DHCP アクセス ネットワークのデュアルスタック インターフェイス スタックを示しています。IPv4ファミリー(inet)とIPv6ファミリー(inet6)は、同じVLANインターフェイス上に存在できます。

図 1:DHCP アクセス ネットワーク Dual-Stack Interface Stack over a DHCP Access Network上のデュアルスタック インターフェイス スタック
メモ:

同じDHCPインターフェイスでIPv4およびIPv6デュアルスタックを使用する場合、IPv4とIPv6の両方の加入者に対して1つの動的プロファイルを設定する必要があります。IPv4とIPv6に個別の動的プロファイルを設定した場合、同じインターフェイス上でIPv4およびIPv6加入者セッションを実行することはできません。

インターフェイスの逆多重化のサポート

IPv4 および IPv6 デュアル スタックは、VLAN デモレイシング(デモックス)インターフェイスでサポートされています。デュアルスタックは、IP demuxインターフェイスではサポートされていません。

DHCP アクセス ネットワーク上のデュアル スタックの AAA サービス フレームワーク

AAA サービス フレームワークは、BNG がネットワーク アクセスに使用するすべての認証、許可、アカウンティング、アドレス割り当て、動的リクエスト サービスに使用できます。このフレームワークは、外部 RADIUS サーバーによる認証と許可をサポートします。また、外部サーバーを介したアカウンティングおよび動的リクエストの許可変更(CoA)と切断操作、ローカルアドレス割り当てプールとRADIUSサーバーの組み合わせによるアドレス割り当てにも対応しています。

BNGは外部サーバーと通信し、個人の加入者がブロードバンドネットワークにアクセスする方法を決定します。BNG は、外部サーバーから以下の情報を取得することもできます。

  • 加入者の認証方法。

  • アカウンティング統計の収集と使用方法。

  • CoA などの動的リクエストの処理方法。

図 2 に示すように、DHCP アクセス ネットワーク上でのデュアル スタックの実装では、IPv4 と IPv6 の認証とアカウンティング用に個別の AAA セッションがあります。

図 2:DHCP アクセス ネットワーク上のデュアル スタックの AAA サービス フレームワーク AAA Service Framework in a Dual Stack over a DHCP Access Network

DHCP アクセス ネットワークにおけるアカウンティング統計の収集

AAA は、個別のアカウンティング セッションで IPv4 および IPv6 統計をサポートします。

デフォルトでは、Acct-Start、Interim、Acct-Stopメッセージには、以下のRADIUS属性が含まれています(利用可能な場合)。

  • Framed-IPv6-Prefix

  • フレーム型 IPv6 プール

  • 委任型-Ipv6-Prefix

  • フレーム化された IPv4 ルート

  • フレーム化された IPv6 ルート

BNGを設定して、アカウンティング Acct-Startおよび Acct-Stopメッセージでこれらの属性を除外することができます。

Change of Authorization(CoA)

RADIUSサーバーはBNGへの動的リクエストを開始できます。動的リクエストには、VSAの変更とサービス変更を指定するCoAリクエストが含まれます。

アクセスプロファイル設定では、ルーターに動的リクエストを開始できるRADIUS認証サーバーのIPアドレスを指定します。認証サーバーのリストには、加入者ログイン時にRADIUSベースの動的サービスアクティベーションと非アクティブ化も提供されます。

DHCPホールセールネットワークにおけるデュアルスタックインターフェイススタック

図 3 は、DHCP ホールセール ネットワークのデュアルスタック インターフェイス スタックを示しています。このシナリオでは、IPv4 および IPv6 demux インターフェイスが同じ VLAN インターフェイス上で設定されます。demux インターフェイスは、別の論理システム:ルーティング インスタンスで設定されます。

図 3:DHCP ホールセール ネットワーク Dual-Stack Interface Stack in a DHCP Wholesale Networkのデュアルスタック インターフェイス スタック

シングルセッションDHCPデュアルスタックの概要

Junos OSは、シングルセッションDHCPデュアルスタックをサポートしており、従来のデュアルスタックサポートと比較して、デュアルスタック加入者の管理を簡素化し、パフォーマンスとセッション要件を改善します。

DHCP デュアルスタック環境では、DHCP サーバーは DHCPv4 と DHCPv6 の加入者の両方をサポートします。DHCP サーバーは、デュアルスタックの DHCPv4 と DHCPv6 の両脚に対して、認証やアカウンティングなどのサービスを提供します。従来の実装では、デュアルスタック脚の 2 本の脚は独立したと見なされています。DHCPv4 および DHCPv6 用に独立した脚が存在すると、複数のセッションを分離してデュアルスタックの各脚に同様のサポートを提供する必要があるため、非効率性が生じます。たとえば、従来のデュアルスタックを動的 VLAN 上で認証するには、DHCPv4 用、DHCPv6 用、認証済み動的 VLAN 用の 3 つのセッションを個別に行う必要があります。同様に、デュアルスタックのアカウンティング操作にも複数のセッションが必要になる場合があります。

動的VLAN上のデュアルスタックでは、従来のデュアルスタック構成に必要な3つのセッションとは対照的に、シングルセッションのデュアルスタックでは認証に1つのセッションのみが必要です。デュアルスタックのアカウンティングサポートでは、単一のセッションも使用されます。シングルセッション機能は、必要なセッション数を削減するだけでなく、ルーターの設定を簡素化し、RADIUSメッセージの負荷を軽減し、デュアルスタック環境の一般家庭のアカウンティングセッションパフォーマンスを向上させます。

シングルセッションデュアルスタック環境では、ネゴシエートされた最初のDHCPセッションが動的VLAN作成(必要な場合)をトリガーし、DHCPアプリケーションで承認されます。デュアルスタックの第2の脚は、認証ポイントが完了するまで保留されます。デュアル スタックの第 2 レッグが確立されると、DHCP クライアントは、回線 ID、リモート ID、ユーザー名、インターフェイス名など、すべての共通加入者データベース値を第 1 レグから継承します。

図 4 では、デュアルスタック ユーザーに対して単一加入者セッションが確立されています。

図 4:DHCP デュアル スタック シングルセッション 加入者導入モデル DHCP Dual Stack Single-Session Subscriber Deployment Model

DHCPリレーエージェントとDHCPローカルサーバーに対して、シングルセッションデュアルスタック加入者設定を行うことができます。ステートメントを dual-stack-group 使用して、デュアルスタック加入者の値を指定する名前付きグループを作成します。その後、 ステートメントを dual-stack 使用してデュアルスタックグループの名前を指定し、グローバル、グループ、またはインターフェイスレベルでグループを加入者に割り当てます。

  • DHCPリレーエージェントでは、 階層レベルと [edit forwarding-options dhcp-relay ... overrides] 階層レベルで[edit forwarding-options dhcp-relay]これらのステートメントを設定します。

  • DHCPローカルサーバーでは、 階層レベルと [edit system services dhcp-local-server ... overrides] 階層レベルで[edit system services dhcp-local-server]これらのステートメントを設定します。

シングルセッション デュアルスタック モデルでは、次の一般的な DHCP 設定を構成できます。ほとんどの場合、これらの設定は、従来のデュアルスタック構成で個別の DHCPv4 と DHCPv6 の各脚に使用されるものと類似しています。設定され、参照されている場合、デュアルスタック設定は、それぞれのファミリーの下で設定されたのと同じアイテムよりも優先されます。

  • access-profile— デュアルスタックグループの認証およびアカウンティングパラメーターを提供するアクセスプロファイルは、グローバルアクセスプロファイルまたはDHCPリレーエージェントまたはDHCPローカルサーバーに設定されたプロファイルよりも優先されます。

  • authentication—ルーターが外部 AAA サーバーに送信する認証関連パラメーター(パスワードやユーザー名など)。

    dual-stack authenticationスタンザは、v4 および v6 アドレス ファミリーで別々に使用可能なスタンザと似ています。デュアルスタックのusername-includeDHCPv4 legに設定構文を使用する場合、 relay-agent-interface-id オプションはDHCPv4relay-option-82 circuit-idステートメントに相当し、オプションはDHCPv4relay-option-82 remote-idステートメントにrelay-agent-remote-id相当します。2 つの DHCPv4 オプションを個別に設定する必要はありません。

  • classification-key—分類キーは、デュアル スタック 世帯を識別するために使用するメカニズムを定義します。

  • dual-stack-interface-client-limit—インターフェイス当たりのデュアルスタック加入者ログイン数を制限します。

    メモ:

    デュアルスタック加入者の場合は、 ステートメントの代わりに常にこのステートメントを interface-client-limit 使用します。

  • dynamic-profile— すべてのインターフェイス、名前付きインターフェイスグループ、または特定のインターフェイスに接続された動的プロファイル。

  • liveness-detection—構成された数の連続したライブネス検出リクエスト(加入者)に加入者が応答できない場合、バインディングを削除し、リソースを解放するアクティブなライブネス検出プロトコルを設定します。

  • on-demand-address-allocation—(DHCP ローカル サーバー)デュアルスタック 加入者に対してオンデマンド アドレス割り当てモードを強制するかどうかを指定します。

    この設定が存在しない場合、デュアルスタック加入者の最初の足が最初にログインしたときに、デュアルスタック加入者のIPv4およびIPv6ファミリーのすべてのIPアドレスとプレフィックスが事前に割り当てられます。

    デュアルスタック加入者の第1脚が最初にログインしたときにこの設定が存在する場合、RADIUS認証が実行され(設定されている場合)、この最初のファミリーのIPアドレスとプレフィックスのみが割り当てられます。他のファミリーの IP アドレスとプレフィックスは、他のファミリー leg が最初にログインしない限り、割り当てされません。

    メモ:

    第 2 ファミリーの IP アドレス割り当ては、最初のファミリー ログイン時に以前に実行された RADIUS 認証によって通知されます。

    Junos OS リリース 18.4R1 以降では、アドレス割り当ての方法をチェックして、認証時にアドレス プールが削除されたか、ドレインされていることを DHCP プロセスに通知すると、後続の動作を確認します。 表 1 は、動作を示しています。

    表 1: アドレス・プールが削除またはドレーンされた場合の動作

    アドレス割り当て方法

    アドレス プールのドレイン

    アドレス プールの削除

    オンデマンド

    プール内のアドレスを持つファミリーは、DHCPの更新または再バインドメッセージを受信すると正常にログアウトされます。

    プール内のアドレスを持つファミリーは、直ちにログアウトされます。

    割り当て

    DHCP更新または再バインドメッセージを受信すると、両ファミリのアドレスはグレースフルに削除されます。

    両ファミリのアドレスは、直ちに削除されます。

  • protocol-master—この条件は、IPv4またはIPv6ファミリーのいずれかをデュアルスタック加入者のプライマリファミリーとして指定します。セカンダリファミリークライアントバインディングログインインは、プライマリファミリーに対して有効なクライアントバインディングが設定されるまで拒否されます。

    注意:

    何らかの理由でセカンダリファミリーバインディングがログアウトされた場合、セカンダリファミリーバインディングのみが破棄されます。

    何らかの理由でプライマリ ファミリー バインディングがログアウトされる場合、プライマリ ファミリとセカンダリ ファミリの両方の対応するバインディングは破棄されます。

  • reauthenticate—(DHCP ローカル サーバー)加入者の再認証を構成して、サービスのアクティブ化/非アクティブ化や属性変更などの変更特性を開始します。

  • relay-agent-interface-id—(DHCPリレーエージェント)DHCPv6サーバー宛てのDHCPv6パケットにリレーエージェントインターフェイスID(オプション18)が含まれます。回線 ID 値に含まれるものを指定するための多数のオプションを設定できます。

    デュアルスタックのDHCPv4レグでは、このステートメントにはDHCPv4 relay-option-82 circuit-id サーバー宛てのパケットにDHCPv4が含まれます。

  • relay-agent-remote-id—(DHCP リレー エージェント)DHCPv6 サーバー宛ての DHCPv6 パケットにリレー エージェント リモート ID(オプション 37)が含まれます。リモート ID 値に含まれるものを指定するための多数のオプションを設定できます。

    デュアルスタックのDHCPv4レグでは、このステートメントにはDHCPv4 relay-option-82 remote-id サーバー宛てのパケットにDHCPv4が含まれます。

  • service-profile- デフォルトの加入者サービス(またはデフォルトのDHCPクライアント管理サービス)の動的プロファイルは、加入者(またはクライアント)がログインしたときにアクティブになります。

  • short-cycle protection-セッションネゴシエーションに何度も失敗する短命なクライアントセッションとクライアントを検出してロックアウトし、高度に拡張されたネットワークにおける接続と認証処理に関連するリソース使用量を削減します。

シングルセッションDHCPデュアルスタックサポートの設定

シングルセッションデュアルスタックサポートの設定は、2段階のプロセスです。まず、デュアルスタックグループを作成します。このグループは、DHCPデュアルスタックのDHCPv4とDHCPv6の両脚で共有される設定パラメータを指定します。次に、DHCPv4およびDHCPv6加入者のデフォルトDHCP設定を上書きすることで、デュアルスタックグループをDHCP加入者インターフェイスにアタッチします。デュアルスタックの両脚について、デュアルスタックグループを参照する必要があります。グループを一方の脚のみに接続すると、ルーターはもう一方の脚を拒否します。デュアルスタックグループは、指定されたDHCPインターフェイスグループに対して、または特定のインターフェイスに対してグローバルにアタッチできます。

シングルセッションデュアルスタックグループサポートを設定します。

  1. DHCP リレー エージェントを設定することを指定します。
  2. デュアルスタックグループを作成し、名前を付けます。
  3. デュアルスタックグループにアクセスプロファイルをアタッチして、グローバルアクセスプロファイルまたはDHCPリレーエージェントアクセスプロファイルで設定された対応する認証およびアカウンティングプロパティを上書きします。
  4. デュアルスタックグループの認証ユーザー名値とパスワードを設定します。

    認証サポートの指定を参照してください。

  5. デュアルスタックグループに関連付けられた動的プロファイルを指定します。
  6. デュアルスタックグループに関連付けられたサービスプロファイルを指定します。
  7. デュアルスタックグループの relay-agent-interface-id を指定します。

    DHCPv6パケットへのDHCPv6インターフェイスIDオプション(オプション18)の挿入を参照してください。

    メモ:

    デュアルスタックのDHCPv4レッグの場合、このステップではDHCPv4クライアントのオプション82エージェント回線ID(サブオプション1)を指定します。 DHCP リレー エージェント オプション 82 情報の使用を参照してください。

  8. デュアルスタックグループの relay-agent-remote-id を指定します。

    DHCPv6パケットへのDHCPv6リモートIDオプション(オプション37)の挿入を参照してください。

    メモ:

    デュアルスタックのDHCPv4レッグでは、このステップではDHCPv4クライアントのオプション82エージェントリモートID(サブオプション2)を指定します。 DHCP リレー エージェント オプション 82 情報の使用を参照してください。

  9. オーバーライド機能を使用して、デフォルトのDHCPリレー動作を上書きし、デュアルスタックグループをDHCPv4およびDHCPv6クライアントに割り当てます。デュアル スタックの各脚に対して個別の手順を実行する必要があります。
  10. (オプション)DHCPv4 および DHCPv6 のデュアルスタック グループ設定を確認します。

DHCP デュアルスタック設定の検証と管理

目的

DHCP シングルセッション デュアルスタック設定に関連する情報を表示します。

アクション

  • デュアルスタッククライアントのDHCPリレーエージェントバインディング情報を表示するには:

  • デュアルスタッククライアントのDHCPv6リレーエージェントバインディング情報を表示するには、

  • DHCP デュアルスタック クライアントに割り当てられた IP4 および IPv6 アドレスを表示するには:

  • 特定のセッションのIPv4およびIPv6アドレスを表示するには:

  • デフォルトルーティングインスタンスのデュアルスタックに対するすべてのクリアDHCPv4リレーバインディングと関連するDHCPv6バインディングに対して。このコマンドは、デュアルスタックに関連付けられていないDHCPv6のみのスタックには影響しません。

    または、クリアリングをアドレス、VLANインターフェイス、論理システム、またはルーティングインスタンスに制限することもできます。

  • デフォルトのルーティングインスタンスのデュアルスタックのすべてのDHCPv6リレーバインディングと関連するDHCPv4バインディングをクリアするには。このコマンドは、デュアルスタックに関連付けられていないDHCPv4のみのスタックには影響しません。

    または、クリアリングをアドレス、VLANインターフェイス、論理システム、またはルーティングインスタンスに制限することもできます。

リリース履歴テーブル
リリース
説明
18.4R1
Junos OS リリース 18.4R1 以降では、アドレス割り当ての方法をチェックして、認証時にアドレス プールが削除されたか、ドレインされていることを DHCP プロセスに通知すると、後続の動作を確認します。