動的VLANの加入者パケットタイプ認証トリガー

デフォルトでは、VLAN 認証は、VLAN および加入者インターフェイスをインスタンス化する動的プロファイルの accept ステートメントで指定されたパケットタイプによってトリガーされます。特定のビジネスケースでは、複数のパケットタイプを含む、より汎用的な動的プロファイルが必要かもしれませんが、状況によっては、顧客のサブセットに対してのみVLANを認証したい場合があります。 packet-types ステートメントを使用して、目的のサブセットを指定できます。

パケットタイプトリガーの使用例

次の 2 つのユースケースは、特定の加入者に対してのみ VLAN を認証し、他の加入者に対しては認証しない場合の状況を示しています。

Conserving resources in a mixed access model—混合アクセスモデルでは、動的VLANを採用して、PPPoE加入者、IPoE加入者、IPv6oE加入者、またはその他の加入者タイプにサービスを提供できます。通常、PPPoE 加入者は住宅の顧客で、IP 加入者は企業の顧客です。これらの加入者の動的 VLAN 認証とプロファイルのインスタンス化について理解しておくと、システムリソースを節約し、拡張制限への影響を回避できます。

デフォルトでは、インターフェイスの認証は、設定されたVLAN範囲またはスタックVLAN範囲に基づいて設定されます。その結果、VLAN作成をトリガーするパケットタイプに関係なく、範囲内に作成されたすべての動的VLANを認証する必要があります。これは、動的VLAN認証により、CoSやフィルターなどのRADIUSソースサービスをプロビジョニングできるため、IPoEおよびIPv6oE加入者に適しています。ただし、PPPoE加入者はPPPによって認証されるため、動的VLAN認証は不要であり、システムリソースの浪費となります。

動的VLAN認証を必要とするVLANのみに制限することで、このような無駄を回避できます。 packet-types ステートメントでは、VLANインターフェイスで受け入れられたパケットタイプのサブセットのみが認証をトリガーできるように指定できます。例えば、この異種アクセスモデルでは、VLAN動的プロファイルはPPPoE、IPoE、IPv6oEパケットを受け入れます。 packet-types ステートメントを使用して、IPoEまたはIPv6oEパケットのみがVLAN認証を開始できるように指定する場合、PPPoE VLANは認証のためにRADIUSに送信されません。
Overriding dynamic profiles in a mixed access model- パケットタイプのトリガーの別の用途は、特定の加入者に対して設定された動的プロファイルを上書きすることです。これを実現するには、PPPoE 加入者のニーズに合わせて動的プロファイルを 1 つ作成し、IPoE 加入者用に別の動的プロファイルを作成します。このモデルではPPPoE加入者が加入者の大多数を占めるため、PPPoEで調整された動的プロファイルがVLANインターフェイスに適用されます。ジュニパーネットワークスのclient-profile-name VSA [26-174]にIPプロファイルを含めます。IP パケットのみが VLAN 認証をトリガーするように指定するように packet-types ステートメントを設定します。

IPoE パケットを受信すると、RADIUS が VLAN を認証します。RADIUS は、Client-Profile-Name VSA に含まれる上書きプロファイルと、Access-Accept メッセージ内のその他のセッション属性を返します。VLAN自動設定プロセスは、IPoE加入者のIPプロファイルをインスタンス化することでPPPoEプロファイルを上書きします。

VLAN の作成と認証用のパケットタイプ

表1 は、VLAN作成用に設定されたパケットタイプに応じて、VLAN認証用に設定できるパケットタイプを示しています。

表1:VLAN作成と認証のパケットタイプの関係
VLAN作成用のパケットタイプ	VLAN認証のパケットタイプ
`any`	`any`、`dhcp-v4`または`inet`、`dhcp-v6`または`inet6`、および`pppoe`の任意の組み合わせ。
`dhcp-v4`	`dhcp-v4`または`inet`のいずれかです。
`dhcp-v6`	`dhcp-v6`または`inet6`のいずれかです。
`inet`	`dhcp-v4`または`inet`のいずれかです。
`inet6`	`dhcp-v6`または`inet6`のいずれかです。
`pppoe`	`pppoe`

注:

VLAN作成または認証用のパケットタイプとして、 dhcp-v4 と inet 、または dhcp-v6 と inet6 の両方を同時に設定することはできません。

以下のいずれかの場合、すべてのVLANに対して認証が実行されます。

認証をトリガーするパケットタイプは指定しません。
VLANの作成と認証の両方に any オプションを設定します。

一般に、VLAN認証は、VLAN作成をトリガーするように設定されたタイプのパケットが、VLAN認証をトリガーするように設定されたパケットタイプの1つと一致した場合に実行されます。ただし、設定されたパケットの特定の組み合わせでは、認証をトリガーするために特定のパケットが必要です。表2は、これらの特殊なケースを示しています。

表2:特別な設定の組み合わせの認証をトリガーするために必要なパケットタイプ
VLAN作成用のパケットタイプ	VLAN認証のパケットタイプ	認証をトリガーするために必要なパケット
`any`	`inet`	任意のIPv4パケット
`any`	`inet6`	任意のIPv6パケット
`any`	`dhcp-v4`	DHCP 検出
`any`	`dhcp-v6`	DHCPv6 勧誘
`dhcp-v4`	`inet`	DHCP 検出
`dhcp-v6`	`inet6`	DHCPv6 勧誘
`inet`	`dhcp-v4`	DHCP 検出
`inet6`	`dhcp-v6`	DHCPv6 勧誘

このページの内容

動的VLANの加入者パケットタイプ認証トリガー

パケットタイプトリガーの使用例

VLAN の作成と認証用のパケット タイプ

関連ドキュメント

VLAN の作成と認証用のパケットタイプ