動的 VLAN の加入者パケットタイプ認証トリガー

デフォルトでは、VLAN認証は、VLANおよび加入者インターフェイスをインスタンス化する動的プロファイルのステートメントで指定された accept パケットタイプのいずれかによってトリガーされます。特定のビジネスケースでは、複数のパケットタイプを含む一般的な動的プロファイルが必要になる場合がありますが、場合によっては顧客の一部のみに対してのみVLANを認証する必要があります。ステートメントを packet-types 使用して、目的のサブセットを指定できます。

パケットタイプトリガーの用途の例

以下の 2 つの使用事例では、特定の加入者に対してのみ VLAN を認証し、他の加入者には認証しない場合の状況について説明します。

Conserving resources in a mixed access model—混合アクセスモデルでは、動的 VLAN を使用して、PPPoE 加入者、IPoE 加入者、IPv6oE 加入者、またはその他の加入者タイプにサービスを提供できます。一般的に、PPPoE 加入者は一般ユーザーであり、IP 加入者はビジネス顧客です。これらの加入者向けに動的 VLAN 認証とプロファイルのインスタンス化を理解することで、システムリソースを節約し、拡張制限への影響を回避できます。

デフォルトでは、設定されたVLAN範囲またはスタックVLAN範囲に基づいて、インターフェイスに対して認証が設定されます。そのため、VLAN 作成をトリガーするパケットタイプに関係なく、範囲内で作成されたすべての動的 VLAN を認証する必要があります。動的VLAN認証により、CoSやフィルターなどのRADIUSソースサービスのプロビジョニングが可能になるため、これはIPoEおよびIPv6oEの加入者にとって適切に機能します。しかし、PPPoE 加入者は PPP によって認証されるため、動的 VLAN 認証は不要になり、システムリソースが無駄になります。

動的 VLAN 認証を必要な VLAN のみに制限することで、この無駄を回避できます。 packet-types ステートメントでは、VLANインターフェイスで受け入れ可能なパケットタイプのサブセットのみが認証をトリガーできるように指定できます。たとえば、この異種混合アクセスモデルでは、VLAN 動的プロファイルは PPPoE、IPoE、および IPv6oE パケットを受け入れます。ステートメントを packet-types 使用して、IPoEまたはIPv6oEパケットのみがVLAN認証を開始できることを指定すると、PPPoE VLANは認証のためにRADIUSに送信されません。
Overriding dynamic profiles in a mixed access modelパケットタイプトリガーのもう1つの用途は、特定の加入者に対して設定された動的プロファイルを上書きすることです。これを実現するには、PPPoE 加入者のニーズに合わせて 1 つの動的プロファイルを作成し、IPoE 加入者用に別の動的プロファイルを作成します。PPPoE 加入者は、このモデルの加入者の大部分を構成しているため、PPPoE によって調整された動的プロファイルが VLAN インターフェイスに適用されます。ジュニパーネットワークスのクライアントプロファイル名 VSA に IP プロファイルを含める [26-174]ステートメントを設定して、 packet-types IPパケットのみがVLAN認証をトリガーするように指定します。

IPoEパケットを受信すると、RADIUSはVLANを認証します。RADIUSは、クライアントプロファイル名VSAに含まれる上書きプロファイルと、Access-Acceptメッセージ内の他のセッション属性を返します。VLAN自動構成プロセスは、IPoE加入者のIPプロファイルをインスタンス化することでPPPoEプロファイルを上書きします。

VLAN 作成と認証のパケットタイプ

表 1 は、VLAN 作成用に設定されたパケットタイプに応じて、VLAN 認証に設定できるパケットタイプを示しています。

表 1:VLAN 作成と認証のパケットタイプの関係
VLAN 作成のパケットタイプ	VLAN認証のパケットタイプ
`any`	、、 `dhcp-v4` 、または `dhcp-v6` `inetinet6`、および `pppoe`の任意の`any`組み合わせ。
`dhcp-v4`	または `dhcp-v4` `inet`.
`dhcp-v6`	または `dhcp-v6` `inet6`.
`inet`	または `dhcp-v4` `inet`.
`inet6`	または `dhcp-v6` `inet6`.
`pppoe`	`pppoe`

メモ：

VLAN の作成またはdhcp-v6認証にと inet と inet6 の両方dhcp-v4をパケットタイプとして同時に設定することはできません。

次のいずれかの場合に、すべての VLAN で認証が実行されます。

認証をトリガーするパケットタイプは指定しません。
オプションは、 any VLAN の作成と認証の両方で設定します。

一般的に、VLANの作成をトリガーするように設定されたタイプのパケットが、VLAN認証をトリガーするように設定されたパケットタイプのいずれかと一致する場合、VLAN認証が実行されます。ただし、設定されたパケットの特定の組み合わせでは、認証をトリガーするために特定のパケットが必要です。表 2 は、これらの特別なケースを示しています。

表 2:特別な設定の組み合わせのための認証のトリガーに必要なパケットタイプ
VLAN作成のためのパケットタイプ	VLAN認証のパケットタイプ	認証のトリガーに必要なパケット
`any`	`inet`	すべての IPv4 パケット
`any`	`inet6`	すべての IPv6 パケット
`any`	`dhcp-v4`	DHCP 検出
`any`	`dhcp-v6`	DHCPv6 の勧誘
`dhcp-v4`	`inet`	DHCP 検出
`dhcp-v6`	`inet6`	DHCPv6 の勧誘
`inet`	`dhcp-v4`	DHCP 検出
`inet6`	`dhcp-v6`	DHCPv6 の勧誘

このページで

動的 VLAN の加入者パケット タイプ認証トリガー

パケット タイプ トリガーの用途の例

VLAN 作成と認証のパケット タイプ

関連ドキュメント

動的 VLAN の加入者パケットタイプ認証トリガー

パケットタイプトリガーの用途の例

VLAN 作成と認証のパケットタイプ