PPPoE 加入者セッション ロックアウトのロックアウト期間について

PPPoE 加入者セッション ロックアウト期間の期間

ロックアウト期間の期間は、デフォルトまたは設定されたロックアウト時間と、同じ加入者に対して繰り返し発生する連続した短周期(短命)イベントの数に基づきます。PPPoE基礎となるインターフェイスでPPPoE加入者セッションロックアウトを設定する short-cycle-protection ステートメントを使用する場合、デフォルトのロックアウト時間の範囲を1〜300秒(5分)に使用するか、デフォルト以外のロックアウト時間を1〜86,400秒(24時間)の範囲に設定してデフォルトのロックアウト期間を上書きできます。

各短サイクル イベントに対してルーターが適用するロックアウト時間のペナルティは、イベントによって異なります。例えば、PPPoE 加入者が 1 時間に 1 回ログインして電子メールを確認し、その直後にログアウトするなど、一部の短周期イベントは通常の加入者行動を表します。このルーターは、このようなタイプのイベントに対して加入者に顕著なペナルティを課すことはありません。

対照的に、他の短周期イベントは、パスワードの入力ミス、カスタマー構内機器(CPE)で自動再試行を繰り返す、または悪意のある不正なインターネットアクセスの試みなどの理由でルーターへのログインを繰り返し試みた結果です。このようなタイプの短周期イベントの場合、ルーターは短い時間間隔から始まり指数関数的に増加するロックアウト時間ペナルティを適用します。このような場合、最初のロックアウト時間は十分に短く、たとえば、正しいパスワードを入力する前にパスワードを数回間違えて入力した加入者に顕著なペナルティを科すことを避けることができます。

例えば、デフォルトのロックアウト時間範囲である1〜300秒を使用すると、ルーターのロックアウト期間は1秒、2秒、4秒、8秒、16秒、32秒、64秒、128秒、256秒、最後に300秒(5分)になります。

ルーターがPPPoE加入者セッションロックアウト期間を決定する方法

ルーターは、以下のルールを使用して、短命なPPPoE加入者セッションのPPPoE加入者セッションロックアウト期間を決定します。

• ロックアウト期間は、次の式から導き出されます。

  (最小ロックアウト時間)*(2^ n-1)

  ここで、 n は、同じ加入者の連続したショートサイクルイベントの数を表します。ルーターは、基礎となるPPPoEインターフェイス上で一意であるMACソースアドレス、またはACI値によってPPPoE加入者セッションを識別します。

• このルーターは、短サイクル・イベント間の時間が 15 分以内または最大ロックアウト時間のいずれか長い方の場合に、 n の値を増加させます。

• ショート サイクル イベント間の時間が 15 分または最大ロックアウト時間より大きい場合、 n の値は 1 に戻ります。この状態は lockout grace periodと呼ばれます。

• ロックアウト期間は、設定された最大ロックアウト時間を超えることはありません。

  例えば、20〜120秒の範囲で設定された(デフォルト以外の)ロックアウト時間の場合、ルーターのロックアウト期間は20秒、40秒、80秒、最後に120秒(2分)になります。

• short-cycle eventが検出され、部分的または完全に作成され、150秒以内にルーターによって終了します。ルーターは、短いサイクル イベント間の時間を追跡して、同じ加入者に対して後続の短いサイクル イベントのロックアウト時間を増やすかどうかを判断します。

  注:

  計算されたロックアウト時間が最大ロックアウト時間と同じかそれ以上の場合、ルーターは、次のショートサイクルイベントまでの時間が15分または最大ロックアウト時間値のいずれか大きい方を超えるまで、最大ロックアウト時間の値を使用します。その時点で、ロックアウト時間は最小ロックアウト時間の値に戻ります。

• 最小ロックアウト時間の値は、最大ロックアウト時間の値を超えることはできません。

  ロックアウト時間の最小値と最大値が等しい場合、ロックアウト時間はその値で固定されます。