패킷 트리거 가입자 서비스의 IP 역멀티플렉싱 인터페이스
요약 Junos에서 사용할 수 있는 패킷 트리거 가입자 기능과 구성 방법에 대해 알아보려면 이 주제를 읽어보십시오. 패킷 트리거 가입자 기능은 사전 할당된 IP 주소를 가진 클라이언트로부터 데이터 패킷을 수신할 때 IP 역다중화 인터페이스(IP demultiplexing IFL)를 생성합니다.
패킷 트리거 가입자 서비스에 대한 IP 역다중화 인터페이스 개요
패킷 트리거 가입자 기능은 사전 할당된 IP 주소를 가진 클라이언트로부터 데이터 패킷을 수신할 때 IP 역다중화 인터페이스(IP demultiplexing IFL)를 생성합니다. 첫 번째 패킷을 수신하면 컨트롤 플레인은 IP 주소를 확인합니다. 소스 IP 주소가 구성된 IP 주소 범위 중 하나와 일치하는 경우 가입자는 인증 서버로 인증됩니다. 인증에 성공하면 CLI에 지정된 동적 프로필을 사용하여 IP demux IFL이 생성됩니다. IP demux IFL은 인증 서버가 전달한 마스크를 사용하여 가입자에 대한 프레임 경로 및 demux 소스를 추가합니다. 인증 서버가 마스크를 전송하지 않는 경우, CLI에서 지정된 마스크를 사용하여 액세스 및 demux 경로가 설치됩니다.
가정 IPv4 가입자의 경우, 단일 가구의 모든 트래픽은 일반적으로 동일한 소스 IPv4 주소를 가집니다. 따라서 모든 가정에 대해 단일 IPv4 주소를 가진 하나의 IP demux IFL만 생성됩니다. 비즈니스 IPv4 가입자의 경우, 여러 IPv4 주소가 프레임 경로를 사용하여 할당될 수 있으며, 그 결과 여러 IPv4 주소를 나타내는 하나의 IP demux IFL이 생성됩니다. IPv6의 경우, 각 디바이스에 별도의 IPv6 주소가 있으므로 동일한 가정 또는 기업에서 오는 트래픽의 소스 주소가 다릅니다. 이 경우 가정 또는 기업을 가장 잘 표현하는 것은 가정/기업의 모든 IPv6 주소를 나타내는 IPv6 접두사가 있는 하나의 IP demux IFL로 구성됩니다.
IP demux IFL을 만드는 동안 인증에 실패하면 IP demux IFL은 계속 생성되지만 이러한 IP demux IFL은 트래픽을 전달할 수 없습니다. 연결된 가입자에 대해 수신된 모든 트래픽이 삭제됩니다. 이렇게 거부된 모든 IP demux IFL은 구성된 상태로 유지되며 구성된 가입자라고 합니다. 인증이 실패하더라도 IP demux IFL을 생성하면 후속 패킷이 PFE에서 드롭되고 RE에 펀딩되지 않으므로 스래싱을 피할 수 있습니다. '구성됨' 상태의 모든 가입자는 주기적으로 제거됩니다. 이러한 가입자가 제거되면 동일한 소스에서 수신된 모든 새 패킷이 RE에 펀딩됩니다.
패킷 트리거 가입자 지원을 사용하려면 가입자 세션 기간 동안 연결된 디바이스의 MAC 주소가 변경되지 않은 상태로 유지되어야 합니다. 가입자가 로그인하고 세션이 가동된 후 패킷 트리거 가입자의 MAC 주소가 변경되면, 가입자는 동일한 IP 주소를 가진 새로운 디바이스에서 연결할 수 없습니다. 세션이 가입자 활동을 모니터링하는 기간을 설정하여 이를 방지할 수 있습니다. client-idle-timeout
] 계층 수준에서 옵션을 [edit access profile profile-name session-options
사용합니다. 타임아웃이 만료되면 가입자는 정상적으로 로그아웃됩니다. 그러면 가입자는 두 번째 디바이스에서 성공적으로 로그인할 수 있습니다. 가입자 세션 시간 제한 옵션 구성을 참조하세요.
패킷 트리거 가입자 서비스에 대한 IP 역멀티플렉싱 인터페이스의 이점
- 가정이나 기업의 디바이스에 이미 정적 할당 또는 CMTS(Cable Modem Termination System)를 통해 할당된 IPv4/IPv6 주소가 있는 경우 가입자 관리 및 동적 가입자 인터페이스 구성을 허용합니다.
-
RADIUS 서버에 의한 인증 및 서비스 선택을 사용하여 패킷 트리거된 가입자를 지원하고 기본 IFL당 최대 16개의 IPv4 및 16개의 IPv6 주소 범위를 허용합니다.
-
인증 서버가 사용할 동적 프로필을 전달할 수 있습니다. 인증 서버가 이러한 값을 전달하면 CLI를 통해 구성된 값보다 우선합니다.
DoS와 같은 공격을 완화하고 IP 중복 제거 인증 및 생성을 위해 RE로 전송되는 예외 패킷의 속도를 제한하는 제한 메커니즘을 제공합니다. 제한 메커니즘은 기존 DDoS 메커니즘을 사용합니다.
디멀티플렉싱 인터페이스 개요를 참조하십시오
동적 프로필에서 IP Demux 인터페이스를 사용하여 패킷 트리거 가입자 구성
IPv4 및 IPv6 주소 모두에 대해 demux 인터페이스에 대한 패킷 트리거 가입자를 구성할 수 있습니다. 패킷 트리거 가입자 기능은 사전 할당된 IP 주소가 있는 클라이언트로부터 데이터 패킷을 수신할 때 IP demux IFL을 생성합니다. IP 역다중화 IFL이 생성되면 인증 서버에서 전달한 마스크를 사용하여 가입자에 대해 프레임 경로 및 역다중화 소스가 추가됩니다.
패킷 트리거 가입자 기능을 활성화하려면 동적 프로필에서 demux 옵션을 구성합니다. 동적 프로필을 사용하면 구성된 값을 동적 인터페이스에 동적으로 적용하여 관리를 용이하게 할 수 있습니다.
시작하기 전에:
동적 프로필을 구성합니다.
기본 동적 프로필 구성을 참조하십시오.
동적 프로필을 구성한 후, demux 인터페이스로 시작하는 패킷 트리거 가입자 인터페이스를 구성합니다.