Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

パケットトリガー加入者サービスにおけるIP多重化インターフェイス

このトピックでは、Junos で利用できるパケットによってトリガーされる加入者機能とその設定方法について説明します。パケットトリガー加入者は、事前に割り当てられたIPアドレスを持つクライアントからデータパケットを受信すると、IP多重化インターフェイス(IP demux IFL)を作成します。

パケットトリガー加入者上のIP多重化インターフェイス サービスの概要

パケットトリガー加入者は、事前に割り当てられたIPアドレスを持つクライアントからデータパケットを受信すると、IP多重化インターフェイス(IP demux IFL)を作成します。最初のパケットを受信すると、コントロールプレーンはIPアドレスを確認します。送信元 IP アドレスが設定された IP アドレス範囲のいずれかと一致する場合、加入者は認証サーバーで認証されます。認証に成功すると、CLI で指定された動的プロファイルを使用して IP demux IFL が作成されます。IP demux IFL は、認証サーバーから渡されたマスクを使用して、加入者のフレーム ルートとデモックス ソースを追加します。マスクが認証サーバーから送信されない場合、アクセスルートとデモックスルートは、CLIで指定されたマスクを使用してインストールされます。

個人のIPv4加入者の場合、通常、単一世帯からのすべてのトラフィックは同じ送信元IPv4アドレスを持っています。したがって、各世帯に対して、1 つの IPv4 アドレスを持つ 1 つの IP demux IFL のみが作成されます。ビジネス IPv4 加入者の場合、フレーム ルートを使用して複数の IPv4 アドレスを割り当てることができ、その結果、1 つの IP demux IFL が複数の IPv4 アドレスを表すことになります。IPv6の場合、デバイスごとにIPv6アドレスが異なるため、同じ家庭や企業から送信されるトラフィックの送信元アドレスが異なります。この場合の世帯または企業の最適な表現は、IPv6 プレフィックスを持つ 1 つの IP demux IFL で構成され、世帯/企業内のすべての IPv6 アドレスを表します。

手記:

IP demux IFL の作成中に認証に失敗した場合、IP demux IFL は作成されますが、そのような IP demux IFL はトラフィックを転送できません。関連付けられた加入者の受信トラフィックはすべてドロップされます。このような拒否された IP デモックス IFL はすべて設定済み状態のままで、設定済み加入者と呼ばれます。認証に失敗した場合でも、IP demux IFLを作成すると、後続のパケットがPFEでドロップされ、REにパントされないため、スラッシングは回避されます。「設定済み」状態のすべてのサブスクライバーは定期的に削除されます。これらの加入者が削除されると、同じ送信元から受信した新しいパケットはREにパントされます。

手記:

パケットトリガー加入者サポートでは、加入者セッション中は、接続されたデバイスのMACアドレスを変更しない必要があります。加入者がログインしてセッションが起動した後に、パケットトリガー加入者のMACアドレスが変更された場合、加入者は同じIPアドレスで新しいデバイスから接続できなくなります。これを回避するには、セッションで加入者のアクティビティを監視する期間を設定します。[edit access profile profile-name session-options ] 階層レベルで client-idle-timeout オプションを使用します。タイムアウトの期限が切れると、加入者は正常にログアウトされます。これで、加入者は 2 台目のデバイスから正常にログインできます。加入者セッションタイムアウトオプションの設定を参照してください。

パケットトリガー加入者サービスにおけるIP多重化インターフェイスの利点

  • 自宅や会社のデバイスに、静的に割り当てられたり、ケーブルモデム終端システム(CMTS)を介してなど、他の方法でIPv4/IPv6アドレスがすでに割り当てられている場合に、加入者管理と加入者インターフェイスの動的設定が可能になります。

  • RADIUS サーバーによる認証とサービス選択を使用してパケットによってトリガーされる加入者をサポートし、基盤となる IFL ごとに最大 16 の IPv4 および 16 の IPv6 アドレス範囲を許可します。

  • 認証サーバーが、使用する動的プロファイルを渡すことを許可します。認証サーバーがこれらの値を渡すと、CLI で設定された値よりも優先されます。

  • DoS 様な攻撃を緩和し、IP デモックス認証および作成のために RE に送信される例外パケットのレートを制限するスロットリング メカニズムを提供します。調整メカニズムは、既存の DDoS メカニズムを使用します。

    インターフェイスの逆多重化の概要を参照してください。

動的プロファイルで IP Demux インターフェイスを使用したパケット トリガー サブスクライバの設定

IPv4 アドレスと IPv6 アドレスの両方に対して、demux インターフェイスのパケットによってトリガーされる加入者を設定できます。パケット トリガー サブスクライバ機能は、事前に割り当てられた IP アドレスを持つクライアントからデータ パケットを受信すると、IP デモックス IFL を作成します。IP demux IFL が作成されると、認証サーバーから渡されたマスクを使用して、フレーム付きルートと demux ソースが加入者に追加されます。

パケットによってトリガーされる加入者機能を有効にするには、動的プロファイルで demux オプションを設定します。動的プロファイルを使用すると、設定された値を動的インターフェイスに動的に適用できるため、管理が容易になります。

開始する前に、以下を実行します。

動的プロファイルを設定した後、demux インターフェイスで始まるパケットによってトリガーされる加入者インターフェイスを設定します。

  1. demuxインターフェイスを設定することを指定します。
  2. demuxインターフェイスのファミリーを設定します。
    1. ファミリーを設定することを指定します。

      IPv4 の場合:

      IPv6 の場合:

      手記:

      残りの手順はすべてファミリ inet を示していますが、どちらのファミリでも同じです。
  3. 送信元アドレスに基づく demux アドレス タイプを指定します。
  4. ファミリーの自動設定の詳細を設定します。
  5. 特定のパケットトリガー加入者設定を開始します。
  6. [アドレス範囲] で、次のように構成します。
    1. 動的プロファイルには、ネットワーク アドレスの詳細と、ファミリーの demux インターフェイスの範囲が含まれます。
    2. 認証には、含めるパスワードの詳細と、ファミリーのdemuxインターフェイスの区切り文字、ドメイン名、インターフェイス名、認証サーバー、送信元アドレス、ユーザープレフィックスなどのユーザー名プロファイルが含まれます。

      パケットトリガーリカバリー 静的VLAN加入者(MX240、MX304、MX480、MX960、MX2010、MX2020、MX10004およびMX10008)のサポート

      MXシリーズデバイス上の以下のラインカードに基づくパケットトリガー機能のサポート:

      • MPC10ラインカード(ZT ASIC)を搭載したMX304およびその他のMXシリーズデバイス
      • MX10K-LC9600ラインカード(YT ASIC)

      パケットトリガー機能は、静的IP割り当てられた加入者をサポートします。これには以下のサポートが含まれます。

      • VLAN の有無にかかわらず加入者数。
      • IPv4 および IPv6 パケットを持つ加入者。
      • IPv4 または IPv6 アドレスごとに 1 つの IP Demux 接続。
      • RADIUSサーバーとSRCによる認証とサービス選択を使用して、加入者をパケットトリガーします。
      • 加入者レベルでCoSをサポートします。
      • DOS に類似した攻撃を緩和するためのスロットリング メカニズム。
      • 設定可能な特定の期間にアクティビティが見られない場合のIP demuxインターフェイスの削除。

      基盤となるインターフェイスでパケットトリガー設定の加入者管理サービスを有効にするには、[edit system services hierarchy]enable forceコマンドを使用するか、set system services subscriber-management enable forceコマンドを使用します。