Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

パケットトリガー加入者サービスでのインターフェイスのIP逆多重化

このトピックでは、Junosで利用可能なパケットトリガー加入者機能とその設定方法について説明します。パケットトリガー加入者機能は、事前に割り当てられたIPアドレスを持つクライアントからデータパケットを受信すると、IP多重化インターフェイス(IP demux IFL)を作成します。

パケットトリガー加入者サービスの概要でのIP多重化インターフェイス

パケットトリガー加入者機能は、事前に割り当てられたIPアドレスを持つクライアントからデータパケットを受信すると、IP多重化インターフェイス(IP demux IFL)を作成します。最初のパケットを受信すると、コントロールプレーンはIPアドレスを確認します。送信元IPアドレスが設定されたIPアドレス範囲のいずれかに一致する場合、加入者は認証サーバーで認証されます。認証に成功すると、CLIで指定された動的プロファイルを使用してIP demux IFLが作成されます。IP デモックスIFLは、認証サーバーから渡されたマスクを使用して、加入者向けにフレーム化されたルートとデモックスソースを追加します。認証サーバーからマスクが送信されない場合、アクセスルートとデモックスルートは、CLIで指定されたマスクを使用してインストールされます。

住宅用IPv4加入者の場合、通常、単一世帯からのすべてのトラフィックは同じ送信元IPv4アドレスを持ちます。したがって、すべての世帯に対して、単一のIPv4アドレスを持つIP demux IFLは1つだけ作成されます。ビジネスIPv4加入者の場合、フレームルートを使用して複数のIPv4アドレスを割り当てることができ、その結果、複数のIPv4アドレスを表す1つのIP demux IFLになります。IPv6の場合、同じ世帯または企業からのトラフィックの送信元アドレスは、デバイスごとに異なるIPv6アドレスを持っているため異なります。この場合の世帯または企業の最適な表現は、IPv6プレフィックスを持つ1つのIP demux IFLで構成され、世帯/企業のすべてのIPv6アドレスを表します。

注:

IP demux IFLの作成中に、認証に失敗しても、IP demux IFLは作成されますが、そのようなIP demux IFLはトラフィックを転送できません。関連する加入者向けに受信したトラフィックはすべて破棄されます。このような拒否されたIP demux IFLはすべて設定された状態のままで、設定された加入者と呼ばれます。認証に失敗した場合でもIP demux IFLを作成すると、後続のパケットはPFEでドロップされ、REにパントされないため、スラッシングを回避できます。「設定済み」状態のすべての加入者は定期的に削除されます。これらの加入者が削除されると、同じ送信元から受信した新しいパケットは RE にパントされます。
注:

パケットトリガー加入者サポートでは、接続されたデバイスのMACアドレスが加入者セッションの間変更されていない必要があります。加入者がログインしてセッションが起動した後にパケットトリガーされた加入者のMACアドレスが変更された場合、加入者は同じIPアドレスを持つ新しいデバイスから接続できなくなります。これを回避するには、セッションの加入者アクティビティを監視する期間を設定します。[edit access profile profile-name session-options ]階層レベルでclient-idle-timeoutオプションを使用します。タイムアウトが終了すると、加入者は正常にログアウトされます。その後、加入者は2台目のデバイスから正常にログインできるようになります。加入者セッションタイムアウトオプションの設定を参照してください。

パケットトリガー加入者サービスにおけるインターフェイスのIP逆多重化のメリット

  • 家庭や会社のデバイスに、静的に割り当てたり、ケーブルモデム終端システム(CMTS)などを介して、IPv4/IPv6アドレスがすでに割り当てられている場合に、加入者管理と動的な加入者インターフェイス設定が可能になります。

  • RADIUSサーバーによる認証とサービス選択を使用するパケットトリガー加入者をサポートし、基盤となるIFLごとに最大16のIPv4アドレス範囲と最大16のIPv6アドレス範囲を許可します。

  • 認証サーバーが使用する動的プロファイルを渡すことを許可します。認証サーバーがこれらの値を渡すと、CLIを介して設定された値よりも優先されます。

  • DoSライク攻撃を緩和し、IP デモックス認証と作成のためにREに送信される例外パケットのレートを制限するスロットリングメカニズムを提供します。調整メカニズムは、既存の DDoS メカニズムを使用します。

    インターフェイスの多重化の概要を参照してください

動的プロファイルでIP Demuxインターフェイスを使用したパケットトリガー加入者の設定

IPv4とIPv6アドレスの両方のdemuxインターフェイスのパケットトリガー加入者を設定できます。パケットトリガーされた加入者機能は、事前に割り当てられたIPアドレスを持つクライアントからデータパケットを受信したときにIP demux IFLを作成します。IP デモックスが作成されると、認証サーバーから渡されたマスクを使用して、加入者向けにフレーム化されたルートとデモックスソースが追加されます。

パケットトリガー加入者機能を有効にするには、動的プロファイルでdemuxオプションを設定します。動的プロファイルを使用すると、設定された値を動的インターフェイスに動的に適用できるため、管理が容易になります。

始める前に:

動的プロファイルを設定した後、パケットトリガーされた加入者インターフェイスをdemuxインターフェイスで始まる設定します。

  1. demuxインターフェイスを設定することを指定します。
  2. demux インターフェイスのファミリーを設定します。
    1. ファミリーを設定することを指定します。

      IPv4の場合:

      IPv6 の場合:

      注:

      残りの手順はすべてファミリー inet を示していますが、どちらのファミリーでも同じです。
  3. 送信元アドレスに基づいて使用するdemuxアドレスタイプを指定します。
  4. ファミリーの自動設定の詳細を設定します。
  5. 特定のパケットトリガー加入者設定を開始します。
  6. アドレス範囲で、以下を設定します。
    1. 動的プロファイルには、ネットワークアドレスの詳細と、ファミリーのdemuxインターフェイスの範囲が含まれます。
    2. 認証には、含めるパスワードの詳細と、ファミリーのdemuxインターフェイスの区切り文字、ドメイン名、インターフェイス名、認証サーバー、送信元アドレス、ユーザープレフィックスなどのユーザープロファイルが含まれます。

      静的VLAN加入者(MX240、MX304、MX480、MX960、MX2010、MX2020、MX10004、MX10008)のパケットトリガーリカバリサポート

      MXシリーズデバイス上の以下のラインカードに基づくパケットトリガー機能のサポート:

      • MPC10ラインカード(ZT ASIC)を搭載したMX304およびその他のMXシリーズデバイス
      • MX10K-LC9600ラインカード(YT ASIC)

      パケットトリガー機能は、静的IP割り当て加入者をサポートします。これには以下のサポートが含まれます。

      • VLANの有無にかかわらず加入者
      • IPv4 および IPv6 パケットを持つ加入者。
      • IPv4またはIPv6アドレスごとに1つのIP Demux接続。
      • パケットは、RADIUSサーバーとSRCによる認証とサービス選択を使用して加入者をトリガーしました。
      • 加入者レベルでの CoS のサポート
      • DOSライク攻撃を緩和するためのスロットリングメカニズム。
      • 設定可能な一定時間アクティビティが見られない場合のIP demuxインターフェイスの削除。

      基礎となるインターフェイス上のパケットトリガー設定に対して加入者管理サービスを有効にするには、[edit system services hierarchy]の下にあるenable forceコマンドを使用するか、set system services subscriber-management enable forceコマンドを使用します。