Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

DHCPネットワークにおけるデュアルスタックアクセスモデル

DHCP アクセス ネットワークにおける IPv4 および IPv6 デュアル スタック

図1は、DHCPアクセスネットワークのデュアルスタックインターフェイススタックを示しています。IPv4ファミリー(inet)とIPv6ファミリー(inet6)は、同じVLANインターフェイス上に存在できます。

図1:DHCPアクセスネットワークDiagram showing Ethernet interface connecting to VLAN interface, linked to IPv4 Family inet and IPv6 Family inet6, illustrating network interface structure.を介したデュアルスタックインターフェイススタック
注:

同じDHCPインターフェイスでIPv4とIPv6のデュアルスタックを使用している場合は、IPv4とIPv6の両方の加入者に対して1つの動的プロファイルを設定する必要があります。IPv4とIPv6に別々の動的プロファイルを設定した場合、IPv4とIPv6の加入者セッションを同じインターフェイス上で実行することはできません。

インターフェイスの逆多重化のサポート

IPv4およびIPv6デュアルスタックは、VLANデマルチプレクス(デモックス)インターフェイスでサポートされています。デュアルスタックは、IP demuxインターフェイスではサポートされていません。

関連項目

DHCP アクセス ネットワーク上のデュアル スタックにおける AAA サービス フレームワーク

BNGがネットワークアクセスに使用するすべての認証、許可、アカウンティング、アドレス割り当て、動的リクエストサービスにAAAサービスフレームワークを使用できます。フレームワークは、外部のRADIUSサーバーを介した認証と承認をサポートしています。また、外部サーバーを介したアカウンティングと動的承認変更要求(CoA)および切断操作、ローカルアドレス割り当てプールとRADIUSサーバーの組み合わせを介したアドレス割り当てもサポートします。

BNGは外部サーバーと対話して、個々の加入者がブロードバンドネットワークにアクセスする方法を決定します。BNGは、外部サーバーから以下の情報を取得することもできます。

  • 加入者の認証方法

  • アカウンティング統計の収集方法と使用方法

  • CoAなどの動的なリクエストの処理方法

図2に示すように、DHCPアクセスネットワーク上へのデュアルスタックの実装では、IPv4とIPv6の認証とアカウンティング用に個別のAAAセッションがあります。

図2:DHCPアクセスネットワークFlowchart showing AAA sessions structure for IPv4 and IPv6 with connections to authentication and accounting, VLAN, Ethernet, and IP families.上のデュアルスタックにおけるAAAサービスフレームワーク

DHCP アクセス ネットワークにおけるアカウンティング統計の収集

AAAは、別々のアカウンティングセッションでIPv4およびIPv6の統計をサポートします。

以下の RADIUS 属性は、Acct-Start、Interim、および Acct-Stop メッセージにデフォルト(利用可能な場合)含まれています。

  • Framed-IPv6-Prefix

  • フレームIPv6プール

  • 委任されたIPv6プレフィックス

  • フレームIPv4ルート

  • Framed-IPv6-ルート

BNGを設定して、アカウンティングのAcct-StartおよびAcct-Stopメッセージでこれらの属性を除外することができます。

認可の変更(CoA)

RADIUSサーバーは、BNGへの動的リクエストを開始できます。動的リクエストには、VSAの変更やサービスの変更を指定するCoAリクエストが含まれます。

アクセスプロファイル設定で、ルーターへの動的要求を開始できるRADIUS認証サーバーのIPアドレスを指定します。認証サーバーのリストでは、加入者ログイン時のRADIUSベースの動的なサービスアクティベーションと非アクティベーションも提供されます。

DHCPホールセールネットワークにおけるデュアルスタックインターフェイススタック

図3は、DHCPホールセール型ネットワークのデュアルスタックインターフェイススタックを示しています。このシナリオでは、IPv4 および IPv6 デモックス インターフェイスが同じ VLAN インターフェイス上に設定されます。demux インターフェイスは、別の論理システム:ルーティングインスタンスで設定されます。

図3:DHCPホールセールネットワークDiagram of network configuration showing IPv4 and IPv6 Demux routing instances connected to a VLAN and Ethernet interface.におけるデュアルスタックインターフェイススタック

シングルセッションDHCPデュアルスタックの概要

Junos OSはシングルセッションDHCPデュアルスタックをサポートするため、デュアルスタック加入者の管理を簡素化でき、従来のデュアルスタックサポートと比較してパフォーマンスとセッション要件が向上します。

DHCPデュアルスタック環境では、DHCPサーバーはDHCPv4とDHCPv6の両方の加入者をサポートします。DHCP サーバーは、デュアルスタックの DHCPv4 と DHCPv6 の両方のレッグに対して、認証やアカウンティングなどのサービスを提供します。従来の実装では、デュアルスタックレッグの2つのレッグは独立していると見なされます。DHCPv4 と DHCPv6 に別々のレッグが存在すると、デュアルスタックの各レッグに同様のサポートを提供するために、別々のセッションや複数のセッションが必要になる可能性があるため、非効率性が生じます。例えば、ダイナミックVLAN上で従来のデュアルスタックの認証を提供するには、DHCPv4用、DHCPv6用、認証済み動的VLAN用の3つのセッションが必要です。同様に、デュアルスタックアカウンティング操作にも複数のセッションが必要になる場合があります。

動的VLANを介したデュアルスタックでは、シングルセッションデュアルスタックでは、従来のデュアルスタック構成ではセッションが3つ必要でしたが、認証に必要なセッションは1つだけです。デュアルスタックのアカウンティングサポートも単一セッションを使用します。シングルセッション機能により、必要なセッション数が削減されるだけでなく、ルーターの設定が簡素化され、RADIUS メッセージの負荷が軽減され、デュアルスタック環境を持つ世帯のアカウンティング セッションのパフォーマンスも向上します。

シングルセッションのデュアルスタック環境では、ネゴシエートした最初のDHCPセッションが動的VLAN作成をトリガーし(必要な場合)、DHCPアプリケーションで承認されます。デュアルスタックの2番目のレッグは、認証ポイントが完了するまで保留されます。デュアルスタックの2番目のレッグが確立されると、DHCPクライアントは、最初のレッグからcircuit-id、remote-id、ユーザー名、インターフェイス名など、すべての共通の加入者データベース値を継承します。

図4では、デュアルスタックユーザーに対して単一の加入者セッションが確立されています。

図4:DHCPデュアルスタックシングルセッション加入者導入モデル Network diagram showing interaction: CPE connects to dynamic VLAN and local DHCP server. BNG links to VLAN. RADIUS interacts with DHCP. Diagram illustrates DHCP request flow and roles of VLANs and RADIUS.

DHCPリレーエージェントとDHCPローカルサーバー用に、シングルセッションデュアルスタック加入者設定を構成できます。 dual-stack-group ステートメントを使用して、デュアルスタック加入者の値を指定する名前付きグループを作成します。次に、 dual-stack ステートメントを使用してデュアルスタックグループの名前を指定し、グローバル、グループ、またはインターフェイスレベルで加入者にグループを割り当てます。

  • DHCP リレー エージェントでは、これらのステートメントをそれぞれ [edit forwarding-options dhcp-relay] 階層レベルと [edit forwarding-options dhcp-relay ... overrides] 階層レベルで設定します。

  • DHCP ローカルサーバーの場合、これらのステートメントをそれぞれ [edit system services dhcp-local-server] 階層レベルと [edit system services dhcp-local-server ... overrides] 階層レベルで設定します。

シングルセッションデュアルスタックモデルには、以下の共通DHCP設定を構成できます。ほとんどの場合、これらの設定は、従来のデュアルスタック構成で別々のDHCPv4およびDHCPv6レッグに使用される設定と類似しています。設定および参照されると、デュアルスタック設定が、それぞれのファミリで設定された同じアイテムよりも優先されます。

  • access-profile—グローバルアクセスプロファイルまたはDHCPリレーエージェントまたはDHCPローカルサーバー用に設定されたプロファイルで設定されたパラメーターよりも優先されるデュアルスタックグループの認証およびアカウンティングパラメーターを提供するアクセスプロファイル。

  • authentication—ルーターが外部AAAサーバーに送信する認証関連パラメーター(パスワードやユーザー名など)。

    dual-stack authentication スタンザは、v4 および v6 アドレス・ファミリーで個別に使用可能なスタンザに似ています。デュアルスタックのDHCPv4レッグにusername-include設定構文を使用する場合、relay-agent-interface-idオプションはDHCPv4relay-option-82 circuit-idステートメントに相当し、relay-agent-remote-idオプションはDHCPv4relay-option-82 remote-idステートメントに相当します。2 つの DHCPv4 オプションを個別に設定する必要はありません。

  • classification-key—分類キーは、デュアルスタック世帯を識別するために使用するメカニズムを定義します。

  • dual-stack-interface-client-limit—インターフェイスごとのデュアルスタック加入者ログインの数を制限します。

    注:

    デュアルスタック加入者の場合、常に interface-client-limit ステートメントではなくこのステートメントを使用します。

  • dynamic-profile—すべてのインターフェイス、インターフェイスの名前付きグループ、または特定のインターフェイスに接続された動的プロファイル。

  • liveness-detection—アクティブなライブネス検出プロトコルを設定します。このプロトコルは、加入者が設定された数の連続したライブネス検出加入者リクエストに応答できない場合に、バインディングを削除し、リソースを解放します。

  • on-demand-address-allocation—(DHCP ローカルサーバー)デュアルスタック加入者に対してオンデマンドアドレス割り当てモードを強制するかどうかを指定します。

    この設定がない場合、デュアルスタック加入者の最初のレッグが最初にログインしたときに、デュアルスタック加入者のIPv4およびIPv6ファミリーのすべてのIPアドレスとプレフィックスが事前に割り当てられます。

    デュアルスタック加入者の最初のレッグが最初にログインしたときにこの設定が存在する場合、RADIUS認証が実行され(設定されている場合)、この最初のファミリーのIPアドレスとプレフィックスのみが割り当てられます。もう一方のファミリーのIPアドレスとプレフィックスは、他のファミリーのレッグが最初にログインしない限り、割り当てられません。

    注:

    2番目のファミリーのIPアドレスの割り当ては、最初のファミリーのログイン時に以前に実行されたRADIUS認証によって通知されます。

    Junos OSリリース18.4R1以降、アドレスプールが削除またはドレインしていることをauthdがDHCPプロセスに通知すると、アドレス割り当ての方法がチェックされ、その後の動作が判断されます。 表1は 、動作を説明しています。

    表1:アドレスプールが削除またはドレインされた場合の動作

    アドレス割り当て方法

    アドレスプールがドレインされています

    アドレスプールが削除されました

    オンデマンド

    プール内のアドレスを持つファミリーは、DHCPの更新または再バインドメッセージを受信すると、正常にログアウトされます。

    プール内のアドレスを持つファミリーは、すぐにログアウトされます。

    事前割り当て済み

    DHCPの更新または再バインドメッセージを受信すると、両方のファミリーのアドレスが正常に削除されます。

    両方のファミリーのアドレスは直ちに削除されます。

  • protocol-master - この用語は、IPv4 または IPv6 ファミリーのいずれかを、デュアルスタック加入者のプライマリファミリーとして指定します。プライマリ ファミリーに有効なクライアント バインディングが設定されるまで、セカンダリ ファミリー クライアント バインディングのログインは拒否されます。

    注意:

    何らかの理由でセカンダリファミリーバインディングがログアウトされた場合、セカンダリファミリーバインディングのみが破棄されます。

    何らかの理由でプライマリファミリーバインディングがログアウトされた場合、プライマリファミリーとセカンダリファミリーの両方に対応するバインディングは破棄されます。

  • reauthenticate—(DHCPローカルサーバー)加入者の再認証を設定して、サービスのアクティブ化/非アクティブ化や属性の変更などの変更特性を開始します。

  • relay-agent-interface-id—(DHCP リレー エージェント)DHCPv6 サーバー宛ての DHCPv6 パケットにリレー エージェント インターフェイス ID(オプション 18)を含めます。回線ID値に含まれるものを指定するために、多数のオプションを設定することができます。

    デュアルスタックのDHCPv4レッグでは、このステートメントは、DHCPv4サーバー宛てのパケットにDHCPv4 relay-option-82 circuit-id を含めます。

  • relay-agent-remote-id—(DHCP リレー エージェント)DHCPv6 サーバー宛ての DHCPv6 パケットにリレー エージェント リモート ID(オプション 37)を含めます。リモートID値に含まれるものを指定するために、多数のオプションを設定することができます。

    デュアルスタックのDHCPv4レッグでは、このステートメントは、DHCPv4サーバー宛てのパケットにDHCPv4 relay-option-82 remote-id を含めます。

  • service-profile—デフォルトの加入者サービス(またはデフォルトのDHCPクライアント管理サービス)の動的プロファイルで、加入者(またはクライアント)がログインするとアクティブになります。

  • short-cycle protection—短命なクライアントセッションと、セッションネゴシエーションに繰り返し失敗するクライアントを検出してロックアウトし、高度に拡張されたネットワークでの接続と認証処理に関連するリソース使用量を削減します。

関連項目

シングルセッションDHCPデュアルスタックサポートの設定

シングルセッションデュアルスタックサポートの設定は、2ステップのプロセスです。まず、DHCPデュアルスタックのDHCPv4とDHCPv6レッグ間で共有される設定パラメーターを指定するデュアルスタックグループを作成します。次に、DHCPv4およびDHCPv6加入者のデフォルトのDHCP設定を上書きして、デュアルスタックグループをDHCP加入者インターフェイスにアタッチします。デュアルスタックの両方のレッグでデュアルスタックグループを参照する必要があります。グループを片方のレッグにのみアタッチすると、ルーターはもう一方のレッグを拒否します。デュアルスタックグループは、グローバル、指定されたインターフェイスのDHCPグループ、または特定のインターフェイスに対してアタッチできます。

シングルセッションデュアルスタックグループサポートを設定するには。

  1. DHCPリレーエージェントを設定することを指定します。
  2. デュアルスタックグループを作成し、名前を付けます。
  3. デュアルスタックグループにアクセスプロファイルをアタッチして、グローバルアクセスプロファイルまたはDHCPリレーエージェントアクセスプロファイルで構成された対応する認証およびアカウンティングプロパティを上書きします。

    DHCP加入者インターフェイスまたはDHCPクライアントインターフェイスへのアクセスプロファイルのアタッチを参照してください。

  4. デュアルスタックグループの認証ユーザー名値とパスワードを設定します。

    認証サポートの指定を参照してください。

  5. デュアルスタックグループに関連付けられた動的プロファイルを指定します。

    DHCP加入者インターフェイスまたはDHCPクライアントインターフェイスへの動的プロファイルのアタッチを参照してください。

  6. デュアルスタックグループに関連付けられたサービスプロファイルを指定します。

    DHCP加入者向けのさまざまなレベルのサービスの定義を参照してください。

  7. デュアルスタックグループのrelay-agent-interface-idを指定します。

    DHCPv6パケットへのDHCPv6インターフェイスIDオプション(オプション18)の挿入を参照してください。

    注:

    デュアルスタックのDHCPv4レッグでは、このステップではDHCPv4クライアントのオプション82エージェント回線ID(サブオプション1)を指定します。 DHCPリレーエージェントオプション82情報の使用を参照してください。
  8. デュアルスタックグループのrelay-agent-remote-idを指定します。

    DHCPv6パケットへのDHCPv6リモートIDオプション(オプション37)の挿入を参照してください。

    注:

    デュアルスタックのDHCPv4レッグでは、このステップではDHCPv4クライアントのオプション82エージェントリモートID(サブオプション2)を指定します。 DHCPリレーエージェントオプション82情報の使用を参照してください。
  9. 上書き機能を使用して、デフォルトのDHCPリレー動作を上書きし、デュアルスタックグループをDHCPv4およびDHCPv6クライアントに割り当てます。デュアルスタックの各レッグに対して個別の手順を実行する必要があります。
  10. (オプション)DHCPv4およびDHCPv6のデュアルスタックグループ設定を確認します。

    DHCPデュアルスタック設定の検証と管理を参照してください。

DHCP デュアルスタック設定の検証と管理

目的

DHCPシングルセッションデュアルスタック設定に関連する情報を表示します。

アクション

  • デュアルスタッククライアントのDHCPリレーエージェントバインディング情報を表示するには:

  • デュアルスタッククライアントのDHCPv6リレーエージェントバインディング情報を表示するには:

  • DHCPデュアルスタッククライアントに割り当てられたIP4およびIPv6アドレスを表示するには:

  • 特定のセッションのIPv4およびIPv6アドレスを表示するには:

  • デフォルトルーティングインスタンスのデュアルスタックのDHCPv4リレーバインディングと関連するDHCPv6バインディングをすべてクリアにするため。このコマンドは、デュアルスタックに関連付けられていないDHCPv6のみのスタックには影響しません。

    または、クリアをアドレス、VLAN インターフェイス、論理システム、またはルーティング インスタンスに制限することもできます。

  • デフォルトのルーティングインスタンスでデュアルスタックのすべてのDHCPv6リレーバインディングと関連するDHCPv4バインディングをクリアします。このコマンドは、デュアルスタックに関連付けられていないDHCPv4のみのスタックには影響しません。

    または、クリアをアドレス、VLAN インターフェイス、論理システム、またはルーティング インスタンスに制限することもできます。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
18.4R1
Junos OSリリース18.4R1以降、アドレスプールが削除またはドレインしていることをauthdがDHCPプロセスに通知すると、アドレス割り当ての方法がチェックされ、その後の動作が判断されます。