Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

PPPoE 加入者セッション ロックアウトの概要

PPPoE 加入者セッション ロックアウトは、 PPPoE カプセル化タイプ ロックアウトとも呼ばれ、失敗した、または短時間の静的または動的加入者セッションが一定期間再接続できないようにする(ロックアウト)ものです。この期間は ロックアウト期間と呼ばれ、数式から導出され、連続した再接続障害の数に基づいて指数関数的に増加します。

PPPoE 加入者セッション ロックアウト( ショートサイクル保護とも呼ばれる)は、VLAN、VLAN Demultiplexing(demux)、および PPP-over-Ethernet-over-ATM(PPPoE-over-ATM)動的加入者インターフェイスに対して設定できます。

この概要では、PPPoE 加入者セッション ロックアウトを設定するために理解しておく必要のある概念を説明し、次のトピックをカバーします。

PPPoE 加入者セッション ロックアウトを使用する利点

PPPoE 加入者セッション ロックアウトには、次の利点があります。

  • ルーターの過度な負荷を以下によって軽減します。

    • PPPoE 制御パケットの処理に必要なリソースを削減して、有効期間の短い接続をネゴシエートおよび終了させる

    • 加入者セッションの障害または短時間の加入者セッションに対して、 サービスクラス (CoS)やファイアウォールフィルターなどのサービスの割り当てと割り当て解除に必要なリソースを削減する

    • 正常に完了できるセッションを優先して、失敗した加入者セッションまたは存続期間の短い加入者セッションを一時的に延期する。

  • RADIUSやDiameterなどの外部認証、許可、アカウンティング(AAA)サーバーの過度な負荷を軽減します。

    • PPPoE 加入者セッションの失敗または存続期間の短い加入者セッションが、同じ加入者に対して繰り返し発生する結果として

    • これらの接続の認証と終了に必要なリソースを削減することで、

  • 同じPPPoE基礎となるインターフェイス上の他のPPPセッションを中断することなく、単一の障害または短命のPPPセッションのロックアウトを有効にします

    PPPoE 加入者セッション ロックアウトは、基礎となるインターフェイス上の一意の MAC(メディア アクセス制御)送信元アドレスまたは ACI(エージェント回線識別子)値によって各加入者セッションを識別するため、ルーターは問題のある PPP セッションのみをロックアウトし、同じ基礎となるインターフェイス上の他の PPP セッションが接続を正常にネゴシエートできるようにします。

PPPoE 加入者セッションが短命になる原因となる状態

加入者セッションが短命になる原因となる条件には、次のようなものがあります。

  • RADIUSデータベースに対応するエントリーがない、または不正なログイン試行のために、RADIUSなどの外部AAAサーバからの認証が拒否される

  • 動的プロファイルまたはRADIUSレコード内の設定エラー

  • 動的PPPoE加入者インターフェイスを作成するためのメモリリソースが不足しています

  • 動的PPPoE加入者インターフェイス内のプロトコル障害またはエラー

  • ログインが成功した直後にクライアントがログアウトします。このアクションにより、インターフェイスが破棄される前に、完全な動的PPPoE加入者インターフェイスが作成されます

PPPoE 加入者セッション ロックアウトの仕組み

PPPoE 加入者セッション ロックアウトは、デフォルトでルーターで無効になっています。PPPoE 加入者セッション ロックアウトを有効にすると、ルーターは以下を実行します。

  1. 存続期間の短い加入者セッション( ショート サイクル イベントとも呼ばれる)を検出します。

    短時間の加入者セッションが検出され、部分的または完全に作成され、150秒以内にルーターによって終了します。ルーターは、PPPoE基盤となるインターフェイス上の一意のMAC送信元アドレスまたはACI値によって、各PPPoE加入者セッションを識別します。

  2. 短いサイクル イベントが繰り返される間隔を追跡して、後続の短いサイクル イベントのロックアウト時間を増やすかどうかを判断します。

  3. デフォルトまたは設定されたロックアウト期間と、同じ加入者に対して繰り返し発生する連続する短いサイクル イベントの数に基づいて、各短期サイクル イベントにタイム ペナルティを適用します。

  4. ルーターへの接続を阻止することで、指定された PPPoE 加入者を一時的にロックアウトします。

    ロックアウト中、ルーターは、ロックアウト期間が終了するまで、PPPoE 加入者セッションのネゴシエーション パケットをドロップします。ロックアウト期間が終了すると、PPPoE 加入者セッションとそれに関連付けられた MAC 送信元アドレスまたは ACI 値は、接続の通常のネゴシエーションを再開します。

ACIベースのインターフェイスでのPPPoE加入者セッションロックアウト

デフォルトでは、ルーターは、PPPoE基盤となるインターフェイス上の一意のMAC送信元アドレスを使用して、加入者セッションを識別します。基盤となるインターフェイスの ACI 文字列に基づいて加入者セッション ロックアウトを設定でき、同じ世帯からすべての PPPoE 加入者セッションをロックアウトできます。

ACI文字列は、PPPoE Active Discovery Initiation(PADI)およびPPPoE Active Discovery Request(PADR)制御パケットのDSLフォーラムAgent-Circuit-ID VSA [26-1](オプション0x105)に含まれています。このオプションは、PPPoE、PADI、および PADR 制御パケットで同じ ACI 文字列を共有する、基盤となるインターフェイス上のすべての PPPoE 加入者セッションをロックアウトします。

ACI値に基づくPPPoE加入者セッションロックアウトは、MAC送信元アドレスがPPPoE基盤インターフェイスで一意でない場合に便利です。例えば:

  • すべての PPPoE インターワーキング機能セッションの MAC アドレスに DSLAM デバイスの MAC アドレスが含まれる PPPoE インターワーキング機能セッション

  • アクセスノード(通常はDSLAMデバイス)が、セキュリティ上の理由から、カスタマー構内機器(CPE)から受信したPPPoEパケットのMAC送信元アドレスを独自のMACアドレスで上書きする設定

  • N:1(サービス VLAN)設定では、異なる世帯間でMAC送信元アドレスが重複しており、ルーターはMAC送信元アドレスとACI値の組み合わせを使用して加入者を一意に識別する必要があります。

PPPoE 加入者セッション ロックアウトおよび複製保護

複製保護は、デフォルトでルーターで無効になっていますが、同じMAC(メディアアクセス制御)アドレスを持つPPPoE加入者セッションがすでにそのインターフェイスでアクティブである場合に、同じPPPoE基盤となるインターフェイスで別のPPPoE加入者セッションがアクティブになるのを防ぎます。PPPoE 加入者セッション ロックアウトを設定する場合、複製保護を有効にして、アクティブな各 PPPoE セッションの MAC 送信元アドレスが基礎となるインターフェイスで一意であることを確認することをお勧めします。

PPPoE 加入者セッション ロックアウトが設定されている場合、ルーターは固有の MAC 送信元アドレスによって加入者セッションを識別します。ルーターが短時間(短周期)の加入者セッションを検出すると、デフォルトまたは設定されたロックアウト期間をそのMAC送信元アドレスに適用して、再接続を一時的に防止します。MAC 送信元アドレスが基礎となるインターフェイス上で一意でない場合、同じ MAC 送信元アドレスを持つ複数の PPPoE 加入者セッションもロックアウトの影響を受ける可能性があります。

動的加入者 VLAN の自動削除後のロックアウト状態の持続性

PPPoE クライアント セッションを持たない加入者 VLAN の自動削除を設定するには、[edit interfaces interface-name auto-configure] 階層レベルで remove-when-no-subscribers ステートメントを発行します。PPPoE 加入者セッション ロックアウトもインターフェイス上で設定されている場合、ルーターがダイナミック VLAN または VLAN demux 加入者インターフェイスを削除した後もロックアウト状態は続きます。

PPPoE 加入者セッションのロックアウトと、クライアント セッションのない加入者 VLAN の自動削除の両方を設定すると、基盤となるインターフェイスでロックアウト中の各 PPPoE クライアントのロックアウト タイマーが終了するまで、影響を受ける加入者セッションのロックアウト状態が持続します。すべてのタイマーが期限切れになる前に VLAN または VLAN demux 加入者インターフェイスを再度作成すると、新しく作成された加入者インターフェイスのロックアウト状態が持続します。

ロックアウト状態をクリアまたは表示するためのカプセル化タイプ識別子の使用

clear pppoe lockout vlan-identifier または clear pppoe lockout atm-identifier コマンドでそれぞれ VLAN または ATM カプセル化タイプ識別子オプションを指定することで、特定の MAC 送信元アドレスまたは ACI 値、すべての MAC 送信元アドレスまたは ACI 値、または UNIX ベースの正規表現に一致する ACI 値のロックアウト条件をクリアできます。同様に、show pppoe lockout vlan-identifier または show pppoe lockout atm-identifier コマンドにカプセル化タイプ識別子オプションを含めることで、ロックアウト状態と影響を受ける加入者セッションのステータスに関する情報を表示できます。カプセル化タイプのロックアウト識別子を指定すると、加入者セッションに基盤となるインターフェイスが存在しない場合に、ロックアウト条件をクリアまたは表示できます。

VLANおよびVLAN demux加入者インターフェイスのVLANカプセル化タイプの場合、識別子オプションには以下が含まれます。

  • デバイス名(物理インターフェイスまたは集合型イーサネットバンドル)

  • S-VLAN ID(外部タグ)

  • VLAN ID(内部タグ)

PPPoE-over-ATM 加入者インターフェイスの ATM カプセル化タイプの場合、識別子オプションには以下が含まれます。

  • デバイス名(物理インターフェイスまたは集合型イーサネットバンドル)

  • 仮想パス識別子(VPI)

  • 仮想回線識別子(VCI)

ロックアウト条件の終了

ACI 値または一意の MAC 送信元アドレスによって識別される PPPoE 加入者セッションがロックアウト中である場合、ロックアウト状態は、次のいずれかが発生する 場合を除き 、すべてのロックアウト タイマーが終了するまで持続します。

  • ロックアウト条件を管理上解除するには、 clear pppoe lockout 操作コマンドを発行します。

  • ロックアウト中の加入者セッションが設定されているインターフェイスモジュールをリセットします。

ロックアウト条件をクリアするか、インターフェイスモジュールをリセットすると、ルータは基礎となるインターフェイス上のすべてのPPPoE加入者セッションのロックアウトを終了し、影響を受けるすべての加入者セッションのロックアウト履歴をクリアします。

関連資料