動的 VLAN の加入者パケットタイプ認証トリガー

デフォルトでは、VLAN 認証は、VLAN インターフェイスとサブスクライバインターフェイスをインスタンス化する動的プロファイルのステートメントで accept 指定されたパケットタイプのいずれかによってトリガーされます。特定のビジネスケースでは、複数のパケットタイプを含む、より一般的な動的プロファイルが必要になる場合がありますが、場合によっては顧客のサブセットに対してのみ VLAN を認証する必要があります。ステートメントを packet-types 使用して、目的のサブセットを指定できます。

パケットタイプトリガーの使用例

次の 2 つのユースケースでは、特定の加入者に対してのみ VLAN を認証し、他の加入者では認証しない場合の状況について説明します。

Conserving resources in a mixed access model—混合アクセスモデルでは、PPPoE 加入者、IPoE 加入者、IPv6oE 加入者、その他の加入者タイプにサービスを提供するために、動的 VLAN を採用する場合があります。通常、PPPoE 加入者は一般家庭のお客様で、IP 加入者はビジネス顧客です。これらの加入者に対する動的VLAN認証とプロファイルのインスタンス化を理解することで、システムリソースを節約し、スケーリングの制限に対する影響を回避できます。

デフォルトでは、設定されたVLAN範囲またはスタックVLAN範囲に基づいて、インターフェイスに対して認証が設定されます。その結果、VLAN の作成をトリガーするパケットタイプに関係なく、範囲で作成されたすべての動的 VLAN を認証する必要があります。動的VLAN認証により、CoSやフィルターなどのRADIUSソースのサービスをプロビジョニングできるため、IPoEおよびIPv6oEの加入者にとってはうまく機能します。しかし、PPPoE 加入者は PPP によって認証されるため、動的 VLAN 認証は不要になり、システムリソースが無駄になります。

動的 VLAN 認証を必要な VLAN のみに制限することで、この無駄を回避できます。ステートメント packet-types を使用すると、VLAN インターフェイスで受け入れられるパケットタイプのサブセットのみが認証をトリガーできることを指定できます。たとえば、この異種混合アクセスモデルでは、VLAN ダイナミックプロファイルは PPPoE、IPoE、IPv6oE パケットを受け入れます。ステートメントを使用して、VLAN 認証を packet-types 開始できるのは IPoE または IPv6oE パケットだけであることを指定する場合、PPPoE VLAN は認証のために RADIUS に送信されません。
Overriding dynamic profiles in a mixed access model—パケットタイプトリガーのもう 1 つの用途は、特定の加入者に対して設定された動的プロファイルをオーバーライドすることです。これを実現するには、PPPoE 加入者のニーズに合わせて 1 つの動的プロファイルを作成し、IPoE サブスクライバ用に別の動的プロファイルを作成します。PPPoE 加入者がこのモデルの加入者の大部分を占めるので、PPPoE によって調整された動的プロファイルが VLAN インターフェイスに適用されます。IP プロファイルをジュニパーネットワークスの Client-Profile-Name VSA に含める[26-174]。 packet-types IP パケットのみが VLAN 認証をトリガーするように指定するようにステートメントを設定します。

IPoE パケットを受信すると、RADIUS は VLAN を認証します。RADIUS は、クライアントプロファイル名 VSA に含まれるオーバーライドプロファイルと、Access-Accept メッセージ内の他のセッション属性を返します。VLAN 自動設定プロセスは、IPoE サブスクライバの IP プロファイルをインスタンス化することで、PPPoE プロファイルをオーバーライドします。

VLAN の作成と認証のためのパケットタイプ

表 1 は、VLAN 作成用に設定されたパケットタイプに応じて、VLAN 認証用に設定できるパケットタイプを示しています。

表 1:VLAN の作成と認証のためのパケットタイプの関係
VLAN 作成のためのパケットタイプ	VLAN 認証のパケットタイプ
`any`	の任意の `any`組み合わせ、 `dhcp-v4` または `inet`、 `dhcp-v6` または `inet6`、および `pppoe`。
`dhcp-v4`	または `dhcp-v4` `inet`.
`dhcp-v6`	または `dhcp-v6` `inet6`.
`inet`	または `dhcp-v4` `inet`.
`inet6`	または `dhcp-v6` `inet6`.
`pppoe`	`pppoe`

メモ：

VLAN の作成またはdhcp-v6認証に対してinet、パケットタイプとinet6パケットタイプの両方dhcp-v4を同時に設定することはできません。

認証は、次のいずれかの場合に、すべての VLAN に対して実行されます。

認証をトリガーするパケットタイプは指定しません。
VLAN の作成と認証の両方の any オプションを設定します。

一般に、VLAN の作成をトリガーするように設定されたタイプのパケットが、VLAN 認証をトリガーするように設定されたパケットタイプのいずれかに一致する場合に、VLAN 認証が実行されます。ただし、設定されたパケットの特定の組み合わせでは、認証をトリガーするために特定のパケットが必要です。表 2 は、これらの特殊なケースを示しています。

表 2:特別な設定の組み合わせの認証をトリガーするために必要なパケットタイプ
VLAN 作成のためのパケットタイプ	VLAN 認証のパケットタイプ	認証のトリガーに必要なパケット
`any`	`inet`	任意の IPv4 パケット
`any`	`inet6`	任意の IPv6 パケット
`any`	`dhcp-v4`	DHCP 検出
`any`	`dhcp-v6`	DHCPv6 の要請
`dhcp-v4`	`inet`	DHCP 検出
`dhcp-v6`	`inet6`	DHCPv6 の要請
`inet`	`dhcp-v4`	DHCP 検出
`inet6`	`dhcp-v6`	DHCPv6 の要請

このページ

動的 VLAN の加入者パケット タイプ認証トリガー

パケット タイプ トリガーの使用例

VLAN の作成と認証のためのパケット タイプ

関連ドキュメント

動的 VLAN の加入者パケットタイプ認証トリガー

パケットタイプトリガーの使用例

VLAN の作成と認証のためのパケットタイプ