DHCP ネットワークのデュアルスタック アクセス モデル
DHCP アクセス ネットワークにおける IPv4 および IPv6 デュアル スタック
図 1 は、DHCP アクセス ネットワークのデュアルスタック インターフェイス スタックを示しています。IPv4ファミリー(inet)とIPv6ファミリー(inet6)は、同じVLANインターフェイス上に存在できます。
同じDHCPインターフェイスでIPv4およびIPv6デュアルスタックを使用する場合、IPv4とIPv6の両方の加入者に対して1つの動的プロファイルを設定する必要があります。IPv4とIPv6に個別の動的プロファイルを設定した場合、同じインターフェイス上でIPv4およびIPv6加入者セッションを実行することはできません。
インターフェイスの逆多重化のサポート
IPv4 および IPv6 デュアル スタックは、VLAN デモレイシング(デモックス)インターフェイスでサポートされています。デュアルスタックは、IP demuxインターフェイスではサポートされていません。
「」も参照
DHCP アクセス ネットワーク上のデュアル スタックの AAA サービス フレームワーク
AAA サービス フレームワークは、BNG がネットワーク アクセスに使用するすべての認証、許可、アカウンティング、アドレス割り当て、動的リクエスト サービスに使用できます。このフレームワークは、外部 RADIUS サーバーによる認証と許可をサポートします。また、外部サーバーを介したアカウンティングおよび動的リクエストの許可変更(CoA)と切断操作、ローカルアドレス割り当てプールとRADIUSサーバーの組み合わせによるアドレス割り当てにも対応しています。
BNGは外部サーバーと通信し、個人の加入者がブロードバンドネットワークにアクセスする方法を決定します。BNG は、外部サーバーから以下の情報を取得することもできます。
加入者の認証方法。
アカウンティング統計の収集と使用方法。
CoA などの動的リクエストの処理方法。
図 2 に示すように、DHCP アクセス ネットワーク上でのデュアル スタックの実装では、IPv4 と IPv6 の認証とアカウンティング用に個別の AAA セッションがあります。
DHCP アクセス ネットワークにおけるアカウンティング統計の収集
AAA は、個別のアカウンティング セッションで IPv4 および IPv6 統計をサポートします。
デフォルトでは、Acct-Start、Interim、Acct-Stopメッセージには、以下のRADIUS属性が含まれています(利用可能な場合)。
Framed-IPv6-Prefix
フレーム型 IPv6 プール
委任型-Ipv6-Prefix
フレーム化された IPv4 ルート
フレーム化された IPv6 ルート
BNGを設定して、アカウンティング Acct-Startおよび Acct-Stopメッセージでこれらの属性を除外することができます。
Change of Authorization(CoA)
RADIUSサーバーはBNGへの動的リクエストを開始できます。動的リクエストには、VSAの変更とサービス変更を指定するCoAリクエストが含まれます。
アクセスプロファイル設定では、ルーターに動的リクエストを開始できるRADIUS認証サーバーのIPアドレスを指定します。認証サーバーのリストには、加入者ログイン時にRADIUSベースの動的サービスアクティベーションと非アクティブ化も提供されます。
DHCPホールセールネットワークにおけるデュアルスタックインターフェイススタック
図 3 は、DHCP ホールセール ネットワークのデュアルスタック インターフェイス スタックを示しています。このシナリオでは、IPv4 および IPv6 demux インターフェイスが同じ VLAN インターフェイス上で設定されます。demux インターフェイスは、別の論理システム:ルーティング インスタンスで設定されます。
シングルセッションDHCPデュアルスタックの概要
Junos OSは、シングルセッションDHCPデュアルスタックをサポートしており、従来のデュアルスタックサポートと比較して、デュアルスタック加入者の管理を簡素化し、パフォーマンスとセッション要件を改善します。
DHCP デュアルスタック環境では、DHCP サーバーは DHCPv4 と DHCPv6 の加入者の両方をサポートします。DHCP サーバーは、デュアルスタックの DHCPv4 と DHCPv6 の両脚に対して、認証やアカウンティングなどのサービスを提供します。従来の実装では、デュアルスタック脚の 2 本の脚は独立したと見なされています。DHCPv4 および DHCPv6 用に独立した脚が存在すると、複数のセッションを分離してデュアルスタックの各脚に同様のサポートを提供する必要があるため、非効率性が生じます。たとえば、従来のデュアルスタックを動的 VLAN 上で認証するには、DHCPv4 用、DHCPv6 用、認証済み動的 VLAN 用の 3 つのセッションを個別に行う必要があります。同様に、デュアルスタックのアカウンティング操作にも複数のセッションが必要になる場合があります。
動的VLAN上のデュアルスタックでは、従来のデュアルスタック構成に必要な3つのセッションとは対照的に、シングルセッションのデュアルスタックでは認証に1つのセッションのみが必要です。デュアルスタックのアカウンティングサポートでは、単一のセッションも使用されます。シングルセッション機能は、必要なセッション数を削減するだけでなく、ルーターの設定を簡素化し、RADIUSメッセージの負荷を軽減し、デュアルスタック環境の一般家庭のアカウンティングセッションパフォーマンスを向上させます。
シングルセッションデュアルスタック環境では、ネゴシエートされた最初のDHCPセッションが動的VLAN作成(必要な場合)をトリガーし、DHCPアプリケーションで承認されます。デュアルスタックの第2の脚は、認証ポイントが完了するまで保留されます。デュアル スタックの第 2 レッグが確立されると、DHCP クライアントは、回線 ID、リモート ID、ユーザー名、インターフェイス名など、すべての共通加入者データベース値を第 1 レグから継承します。
図 4 では、デュアルスタック ユーザーに対して単一加入者セッションが確立されています。
DHCPリレーエージェントとDHCPローカルサーバーに対して、シングルセッションデュアルスタック加入者設定を行うことができます。ステートメントを dual-stack-group
使用して、デュアルスタック加入者の値を指定する名前付きグループを作成します。その後、 ステートメントを dual-stack
使用してデュアルスタックグループの名前を指定し、グローバル、グループ、またはインターフェイスレベルでグループを加入者に割り当てます。
DHCPリレーエージェントでは、 階層レベルと
[edit forwarding-options dhcp-relay ... overrides]
階層レベルで[edit forwarding-options dhcp-relay]
これらのステートメントを設定します。DHCPローカルサーバーでは、 階層レベルと
[edit system services dhcp-local-server ... overrides]
階層レベルで[edit system services dhcp-local-server]
これらのステートメントを設定します。
シングルセッション デュアルスタック モデルでは、次の一般的な DHCP 設定を構成できます。ほとんどの場合、これらの設定は、従来のデュアルスタック構成で個別の DHCPv4 と DHCPv6 の各脚に使用されるものと類似しています。設定され、参照されている場合、デュアルスタック設定は、それぞれのファミリーの下で設定されたのと同じアイテムよりも優先されます。
access-profile
— デュアルスタックグループの認証およびアカウンティングパラメーターを提供するアクセスプロファイルは、グローバルアクセスプロファイルまたはDHCPリレーエージェントまたはDHCPローカルサーバーに設定されたプロファイルよりも優先されます。authentication
—ルーターが外部 AAA サーバーに送信する認証関連パラメーター(パスワードやユーザー名など)。dual-stack authentication
スタンザは、v4 および v6 アドレス ファミリーで別々に使用可能なスタンザと似ています。デュアルスタックのusername-include
DHCPv4 legに設定構文を使用する場合、relay-agent-interface-id
オプションはDHCPv4relay-option-82 circuit-id
ステートメントに相当し、オプションはDHCPv4relay-option-82 remote-id
ステートメントにrelay-agent-remote-id
相当します。2 つの DHCPv4 オプションを個別に設定する必要はありません。classification-key
—分類キーは、デュアル スタック 世帯を識別するために使用するメカニズムを定義します。dual-stack-interface-client-limit
—インターフェイス当たりのデュアルスタック加入者ログイン数を制限します。メモ:デュアルスタック加入者の場合は、 ステートメントの代わりに常にこのステートメントを
interface-client-limit
使用します。dynamic-profile
— すべてのインターフェイス、名前付きインターフェイスグループ、または特定のインターフェイスに接続された動的プロファイル。liveness-detection
—構成された数の連続したライブネス検出リクエスト(加入者)に加入者が応答できない場合、バインディングを削除し、リソースを解放するアクティブなライブネス検出プロトコルを設定します。on-demand-address-allocation
—(DHCP ローカル サーバー)デュアルスタック 加入者に対してオンデマンド アドレス割り当てモードを強制するかどうかを指定します。この設定が存在しない場合、デュアルスタック加入者の最初の足が最初にログインしたときに、デュアルスタック加入者のIPv4およびIPv6ファミリーのすべてのIPアドレスとプレフィックスが事前に割り当てられます。
デュアルスタック加入者の第1脚が最初にログインしたときにこの設定が存在する場合、RADIUS認証が実行され(設定されている場合)、この最初のファミリーのIPアドレスとプレフィックスのみが割り当てられます。他のファミリーの IP アドレスとプレフィックスは、他のファミリー leg が最初にログインしない限り、割り当てされません。
メモ:第 2 ファミリーの IP アドレス割り当ては、最初のファミリー ログイン時に以前に実行された RADIUS 認証によって通知されます。
Junos OS リリース 18.4R1 以降では、アドレス割り当ての方法をチェックして、認証時にアドレス プールが削除されたか、ドレインされていることを DHCP プロセスに通知すると、後続の動作を確認します。 表 1 は、動作を示しています。
表 1: アドレス・プールが削除またはドレーンされた場合の動作 アドレス割り当て方法
アドレス プールのドレイン
アドレス プールの削除
オンデマンド
プール内のアドレスを持つファミリーは、DHCPの更新または再バインドメッセージを受信すると正常にログアウトされます。
プール内のアドレスを持つファミリーは、直ちにログアウトされます。
割り当て
DHCP更新または再バインドメッセージを受信すると、両ファミリのアドレスはグレースフルに削除されます。
両ファミリのアドレスは、直ちに削除されます。
protocol-master
—この条件は、IPv4またはIPv6ファミリーのいずれかをデュアルスタック加入者のプライマリファミリーとして指定します。セカンダリファミリークライアントバインディングログインインは、プライマリファミリーに対して有効なクライアントバインディングが設定されるまで拒否されます。注意:何らかの理由でセカンダリファミリーバインディングがログアウトされた場合、セカンダリファミリーバインディングのみが破棄されます。
何らかの理由でプライマリ ファミリー バインディングがログアウトされる場合、プライマリ ファミリとセカンダリ ファミリの両方の対応するバインディングは破棄されます。
reauthenticate
—(DHCP ローカル サーバー)加入者の再認証を構成して、サービスのアクティブ化/非アクティブ化や属性変更などの変更特性を開始します。relay-agent-interface-id
—(DHCPリレーエージェント)DHCPv6サーバー宛てのDHCPv6パケットにリレーエージェントインターフェイスID(オプション18)が含まれます。回線 ID 値に含まれるものを指定するための多数のオプションを設定できます。デュアルスタックのDHCPv4レグでは、このステートメントにはDHCPv4
relay-option-82 circuit-id
サーバー宛てのパケットにDHCPv4が含まれます。relay-agent-remote-id
—(DHCP リレー エージェント)DHCPv6 サーバー宛ての DHCPv6 パケットにリレー エージェント リモート ID(オプション 37)が含まれます。リモート ID 値に含まれるものを指定するための多数のオプションを設定できます。デュアルスタックのDHCPv4レグでは、このステートメントにはDHCPv4
relay-option-82 remote-id
サーバー宛てのパケットにDHCPv4が含まれます。service-profile
- デフォルトの加入者サービス(またはデフォルトのDHCPクライアント管理サービス)の動的プロファイルは、加入者(またはクライアント)がログインしたときにアクティブになります。short-cycle protection
-セッションネゴシエーションに何度も失敗する短命なクライアントセッションとクライアントを検出してロックアウトし、高度に拡張されたネットワークにおける接続と認証処理に関連するリソース使用量を削減します。
「」も参照
シングルセッションDHCPデュアルスタックサポートの設定
シングルセッションデュアルスタックサポートの設定は、2段階のプロセスです。まず、デュアルスタックグループを作成します。このグループは、DHCPデュアルスタックのDHCPv4とDHCPv6の両脚で共有される設定パラメータを指定します。次に、DHCPv4およびDHCPv6加入者のデフォルトDHCP設定を上書きすることで、デュアルスタックグループをDHCP加入者インターフェイスにアタッチします。デュアルスタックの両脚について、デュアルスタックグループを参照する必要があります。グループを一方の脚のみに接続すると、ルーターはもう一方の脚を拒否します。デュアルスタックグループは、指定されたDHCPインターフェイスグループに対して、または特定のインターフェイスに対してグローバルにアタッチできます。
シングルセッションデュアルスタックグループサポートを設定します。
DHCP デュアルスタック設定の検証と管理
目的
DHCP シングルセッション デュアルスタック設定に関連する情報を表示します。
アクション
デュアルスタッククライアントのDHCPリレーエージェントバインディング情報を表示するには:
user@host> show dhcp relay binding
detail
デュアルスタッククライアントのDHCPv6リレーエージェントバインディング情報を表示するには、
user@host> show dhcpv6 relay binding
detail
DHCP デュアルスタック クライアントに割り当てられた IP4 および IPv6 アドレスを表示するには:
user@host>show subscribers
特定のセッションのIPv4およびIPv6アドレスを表示するには:
user@host>show network-access aaa subscribers session-id session-id session-id detail
デフォルトルーティングインスタンスのデュアルスタックに対するすべてのクリアDHCPv4リレーバインディングと関連するDHCPv6バインディングに対して。このコマンドは、デュアルスタックに関連付けられていないDHCPv6のみのスタックには影響しません。
user@host>clear dhcp relay binding dual-stack all
または、クリアリングをアドレス、VLANインターフェイス、論理システム、またはルーティングインスタンスに制限することもできます。
デフォルトのルーティングインスタンスのデュアルスタックのすべてのDHCPv6リレーバインディングと関連するDHCPv4バインディングをクリアするには。このコマンドは、デュアルスタックに関連付けられていないDHCPv4のみのスタックには影響しません。
user@host>clear dhcpv6 relay binding dual-stack all
または、クリアリングをアドレス、VLANインターフェイス、論理システム、またはルーティングインスタンスに制限することもできます。