Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Grupos de asignación de direcciones para la administración de suscriptores

Descripción general de los grupos de asignación de direcciones

El grupo de asignación de direcciones permite crear grupos de direcciones IPv4 e IPv6 centralizados independientes de las aplicaciones cliente que usan los grupos. El proceso authd administra los grupos y la asignación de direcciones, tanto si las direcciones provienen de grupos locales como de un servidor RADIUS.

Por ejemplo, varias aplicaciones cliente, como DHCP, pueden usar el mismo grupo de asignación de direcciones para proporcionar direcciones para sus clientes concretos. Las aplicaciones cliente pueden adquirir direcciones para clientes autenticados o no autenticados. El grupo seleccionado para un suscriptor, según el servidor RADIUS o la coincidencia de red u otra regla, se denomina grupo de coincidencia para el suscriptor.

Tipos de asignación de direcciones

Los grupos de asignación de direcciones admiten la asignación de direcciones dinámica y estática. En la asignación dinámica de direcciones, a un cliente se le asigna automáticamente una dirección del grupo de asignación de direcciones. En la asignación de direcciones estáticas, que solo se admite para grupos IPv4, se reserva una dirección que siempre usa un cliente determinado. Las direcciones reservadas para la asignación estática se quitan del grupo de direcciones dinámicas y no se pueden asignar a otros clientes.

Intervalos de direcciones con nombre en el grupo de asignación de direcciones

Puede configurar intervalos de direcciones con nombre dentro de un grupo de asignación de direcciones. Un rango con nombre es un subconjunto del intervalo de direcciones general. Una aplicación cliente puede utilizar rangos con nombre para administrar la asignación de direcciones en función de criterios específicos del cliente. Por ejemplo, para los grupos de asignación de direcciones IPv4, puede crear un intervalo con nombre basado en un valor específico de la opción 82 de DHCP. A continuación, cuando una solicitud de cliente DHCP coincide con el valor especificado de la opción 82, se asigna una dirección del intervalo especificado al cliente.

Asignación de direcciones desde grupos de direcciones vinculados

Puede vincular grupos de asignación de direcciones para proporcionar grupos de respaldo para la asignación de direcciones. Cuando no hay direcciones disponibles en el grupo de direcciones principal o en el grupo de direcciones coincidentes, el dispositivo pasa automáticamente al grupo de direcciones vinculadas (secundarias) para buscar una dirección disponible para asignar.

Aunque el primer grupo de una cadena de grupos vinculados generalmente se considera el grupo principal, un grupo coincidente no es necesariamente el primer grupo de la cadena.

A partir de Junos OS versión 18.1R1, el mecanismo de búsqueda de una dirección disponible procede a través de una cadena de grupos vinculados. Este comportamiento permite al DHCP buscar direcciones contiguas.

Usemos un ejemplo sobre cómo funciona el mecanismo de búsqueda. Considere una cadena de tres grupos: A, B y C. El grupo A es el grupo principal, el grupo B es el grupo coincidente para ciertos suscriptores según la información devuelta por el servidor RADIUS. La búsqueda de una dirección disponible para esos suscriptores utiliza la siguiente secuencia:

  • De forma predeterminada, primero se busca en el grupo coincidente (grupo B).

  • La búsqueda se mueve al primer grupo (grupo A) de la cadena si no se encuentra la dirección.

  • La búsqueda continúa a través de la cadena (Grupo C) hasta que se encuentra y asigna una dirección disponible, o hasta que la búsqueda determina que no hay direcciones libres.

  • En cada grupo, todos los rangos de direcciones se buscan completamente en busca de una dirección.

Puede configurar la linked-pool-aggregation instrucción para que comience a buscar dentro de un bloque de direcciones en cada rango del grupo coincidente y, a continuación, sucesivamente a través de los grupos vinculados. A continuación, la búsqueda vuelve al primer grupo de la cadena y busca todas las direcciones de todos los rangos de cada grupo hasta el último grupo de la cadena.

Estado de retención del grupo de direcciones

Puede configurar un grupo de asignación de direcciones en estado de retención. Cuando el grupo de direcciones está en estado de retención, el grupo ya no está disponible para asignar direcciones IP para los suscriptores. Esta configuración transforma correctamente el grupo activo a un estado inactivo a medida que las direcciones asignadas anteriormente se devuelven al grupo. Cuando el grupo está inactivo, puede realizar un mantenimiento seguro en el grupo sin afectar a ningún suscriptor activo.

Grupo de asignación de direcciones para el anuncio de Neighbor Discovery Router

Puede asignar explícitamente un grupo de asignación de direcciones para el anuncio de enrutador de detección de vecinos (NDRA).

Excluyendo direcciones especificadas o intervalo de direcciones

A partir de Junos OS versión 18.1R1, puede excluir una dirección especificada o un intervalo de direcciones consecutivas para evitar que se asignen desde un grupo de direcciones.

Por ejemplo, es posible que desee reservar ciertas direcciones o rangos para que se usen solo para suscriptores estáticos. Cuando configura una dirección o intervalo para excluir, y la dirección o una dirección dentro del intervalo ya se ha asignado, ese suscriptor cierra sesión, la dirección se desasigna y la dirección se marca para exclusión.

Requisito de licencia

Esta función requiere una licencia. Para obtener más información sobre las licencias de acceso de suscriptores, consulte Descripción general de licencias de acceso de suscriptores. Consulte la Guía de licencias de Juniper para obtener información general sobre la administración de licencias. Consulte las hojas de datos del producto para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.

Ventajas de los grupos de asignación de direcciones

  • La característica de grupo de asignación de direcciones admite tanto la administración de suscriptores como la administración de DHCP.

  • Puede crear grupos centralizados de direcciones independientes de las aplicaciones cliente.

  • Puede especificar bloques de direcciones, rangos con nombre, de modo que un grupo de direcciones determinado se pueda usar para proporcionar direcciones diferentes para diferentes aplicaciones cliente o para suscriptores que coincidan con diferentes conjuntos de criterios.

  • Puede vincular grupos entre sí para asegurarse de que los grupos se buscan direcciones gratuitas de una manera específica, contigua o no contigua.

  • Puede cambiar correctamente un grupo de direcciones de activo a inactivo especificando que no se asignen más direcciones del grupo.

Asignación de direcciones desde grupos de direcciones vinculados

Puede vincular grupos de asignación de direcciones en una cadena para proporcionar grupos de respaldo para la asignación de direcciones. El grupo seleccionado para un suscriptor, basado en el servidor RADIUS o la coincidencia de red o alguna otra regla, se denomina grupo de coincidencia o coincidencia para el suscriptor. Es posible que el grupo coincidente no sea el primer grupo (principal) de la cadena. Cuando no hay direcciones disponibles para su asignación desde el grupo de direcciones principal o coincidente, el enrutador o conmutador pasa automáticamente a otro grupo de direcciones para buscar una dirección disponible para asignar. Cuando la búsqueda no descubre direcciones disponibles en ninguna parte, la búsqueda se detiene y no se asigna ninguna dirección para el suscriptor.

El comportamiento de búsqueda determina no solo cómo progresa la búsqueda a lo largo de una cadena de grupos vinculados, sino también qué rangos de direcciones dentro de cada grupo se buscan. En función de dónde comience la búsqueda, de la configuración y de si se han liberado las direcciones asignadas anteriormente, la búsqueda puede continuar en el siguiente grupo de direcciones vinculadas de la cadena o volver al primer grupo de la cadena.

La búsqueda de una dirección disponible comienza en el grupo que coincide con el suscriptor. En muchos casos, el pool correspondiente es también el primer pool de la cadena. Para algunos suscriptores, el grupo de coincidencia está más abajo en la cadena. Por ejemplo, puede configurar el servidor RADIUS para especificar el segundo grupo de una cadena en lugar del primero en función de algunos criterios que coincida durante la autenticación. Para otro ejemplo, puede especificar diferentes rangos de direcciones para diferentes grupos de suscriptores; El hecho de que un grupo determinado coincida con un suscriptor depende de qué grupos estén configurados para los distintos intervalos de direcciones.

Los siguientes términos se utilizan para explicar los detalles del comportamiento de búsqueda:

  • lowAddress: la dirección más baja de un rango determinado dentro de un grupo de direcciones.

  • highAddress: la dirección más alta de un intervalo determinado dentro de un grupo de direcciones.

  • nextAddress: la siguiente dirección después de la última dirección asignada en un rango determinado dentro de un grupo de direcciones. Esta es la dirección que se espera que se asigne a continuación. Esta dirección, así como el último rango utilizado, se guarda como punto de partida para las búsquedas.

Por ejemplo, supongamos que el grupo A tiene un único intervalo que incluye las siguientes direcciones: 192.0.2.1, 192.0.2.2, 192.0.2.3, 192.0.2.4. En este caso, 192.0.2.1 es la dirección baja y 190.0.2.4 es la direcciónalta dirección. Si 192.0.2.2 fue la última dirección asignada de este grupo, la siguiente dirección es 192.0.2.3.

A partir de Junos OS versión 18.1R1, puede configurar grupos vinculados para que se busquen de una de estas dos maneras:

  • Asignación de direcciones contiguas: este es el comportamiento predeterminado. Se buscan todas las direcciones de cada rango de un grupo. La búsqueda comienza en el grupo emparejado, luego se mueve al primer grupo de la cadena y, si es necesario, continúa a través de cada grupo vinculado sucesivamente hasta el último grupo de la cadena. En cada grupo, se busca una dirección libre en todas las direcciones de todos los rangos. Este método permite que las direcciones se asignen contiguamente; Cada grupo tiene que estar lleno antes de buscar otro grupo.

  • Asignación de direcciones no contiguas (agregadas): comportamiento cuando se configura la linked-pool-aggregation instrucción. Inicialmente, solo se buscan ciertas direcciones (desde nextAddress hasta highAddress) en cada rango del grupo coincidente. La misma búsqueda se realiza en el grupo vinculado y, si es necesario, continúa a través de cada grupo vinculado sucesivamente hasta el último grupo de la cadena.

    A continuación, la búsqueda se reinicia en el primer grupo de la cadena (no necesariamente en el grupo coincidente). Esta vez, se buscan todas las direcciones en todos los rangos, en todos los grupos hasta el final de la cadena.

Esa es la funcionalidad básica, pero los detalles de ambas búsquedas son bastante complejos. La figura 1 muestra el comportamiento de búsqueda predeterminado.

Figura 1: Asignación de direcciones predeterminada de grupos de direcciones Default Address Assignment from Linked Address Pools vinculadas

Por ejemplo, supongamos que se dan las condiciones siguientes:

  • Grupos de direcciones vinculados A, B, C y D. El grupo C coincide.

  • Cada grupo tiene tres rangos de direcciones, r1, r2, r3. El último rango utilizado fue r2 en cada piscina.

Si no se encuentra una dirección libre, la búsqueda procede así: C > A > B > C > D, luego se detiene.

  1. Se busca en el grupo C, siguienteDirección a través de altaDirección en el rango r2.

  2. Se busca en el grupo C, lowAddress hasta nextAddress en el rango r2.

  3. Se busca en el grupo C, siguienteDirección a través de altaDirección en el rango r3.

  4. Se busca en el grupo C, lowAddress a través de nextAddress en el rango r3.

  5. Se busca en el grupo C, siguienteDirección a través de altaDirección en el rango r1.

  6. Se busca en el grupo C, lowAddress hasta nextAddress en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo C, por lo que la búsqueda se mueve al primer grupo de la cadena, A.

  7. Se busca en el grupo A, siguienteDirección a través de altaDirección en el rango r2.

  8. Se busca en el grupo A, lowAddress hasta nextAddress en el rango r2.

  9. Se busca en el grupo A, nextAddress a través de highAddress en el rango r3.

  10. Se busca en el grupo A, lowAddress hasta nextAddress en el rango r3.

  11. Se busca en el grupo A, siguienteDirección a través de altaDirección en el rango r1.

  12. Se busca en el grupo A, lowAddress hasta nextAddress en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo A, por lo que la búsqueda se mueve al siguiente grupo vinculado de la cadena, B.

Este proceso continúa hasta que se hayan buscado todas las direcciones en todos los rangos de todos los grupos. El orden de búsqueda del grupo es C > A > B > C > D, luego se detiene. Según dónde y si se encuentra una dirección, es posible que se busque dos veces en el grupo de coincidencias. Esto es cierto a menos que el grupo correspondiente sea el primer grupo de la cadena. Por ejemplo, si el grupo A es el grupo coincidente en este conjunto de condiciones, entonces la búsqueda completa (suponiendo que no se encuentre ninguna dirección) sería A > B > C > D.

En la figura 2 se muestra el comportamiento de búsqueda cuando se incluye la linked-pool-aggregation instrucción.

Figura 2: Asignación de direcciones agregadas de grupos de direcciones Aggregated Address Assignment from Linked Address Pools vinculadas

Por ejemplo, considere que existen las mismas condiciones que para el ejemplo predeterminado:

  • Grupos de direcciones vinculados A, B, C y D. El grupo C coincide.

  • Cada grupo tiene tres rangos de direcciones, r1, r2, r3. El último rango utilizado fue r2 en cada piscina.

Si no se encuentra una dirección libre, la búsqueda procede así: C > D > A > B > C > D, luego se detiene.

  1. Se busca en el grupo C, siguienteDirección a través de altaDirección en el rango r2.

  2. Se busca en el grupo C, siguienteDirección a través de altaDirección en el rango r3.

  3. Se busca en el grupo C, siguienteDirección a través de altaDirección en el rango r1.

    Se han buscado todos los rangos del grupo C desde nextAddress hasta highAddress, por lo que la búsqueda se mueve al siguiente grupo vinculado de la cadena, D.

  4. Se busca en el grupo D, nextAddress a través de highAddress en el rango r2.

  5. Se busca en el grupo D, siguienteDirección a través de altaDirección en el rango r3.

  6. Se busca en el grupo D, siguienteDirección a través de altaDirección en el rango r1.

    Se han buscado todos los rangos del grupo D desde nextAddress hasta highAddress. El grupo D es el último grupo de la cadena, por lo que la búsqueda se mueve al primer grupo de la cadena, A.

  7. Se busca en el grupo A, lowAddress a través de highAddress en el rango r2.

  8. Se busca en el grupo A, lowAddress a través de highAddress en el rango r3.

  9. Se busca en el grupo A, lowAddress a través de highAddress en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo A, por lo que la búsqueda se mueve al siguiente grupo vinculado de la cadena, B.

  10. Se busca en el grupo B, lowAddress a través de highAddress en el rango r2.

  11. Se busca en el grupo B, lowAddress a través de highAddress en el rango r3.

  12. Se busca en el grupo B, lowAddress a través de highAddress en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo B, por lo que la búsqueda se mueve al siguiente grupo vinculado de la cadena, C.

Este proceso continúa hasta que se hayan buscado todas las direcciones en todos los rangos de todos los grupos. El orden de búsqueda del grupo es C > D > A > B > C > D, luego se detiene. Dependiendo de dónde y si se encuentra una dirección, es posible que se busquen dos veces en todos los grupos, incluso cuando el grupo coincidente sea el primer grupo de la cadena. Por ejemplo, si el grupo A es el grupo coincidente en este conjunto de condiciones, entonces la búsqueda completa (suponiendo que no se encuentre ninguna dirección) sería A > B > C > D > A > B > C > D.

Descripción general de la configuración del grupo de asignación de direcciones

La característica de grupo de asignación de direcciones admite la funcionalidad de administración de suscriptores al permitir crear grupos de direcciones que pueden compartir diferentes aplicaciones cliente. Un grupo de asignación de direcciones puede admitir direcciones IPv4 o IPv6. No puede usar el mismo grupo para ambos tipos de direcciones.

Nota:

Los grupos de asignación de direcciones son completamente independientes de los grupos de direcciones LNS L2TP basados en PIC de servicios, que se crean con la address-pool instrucción en el nivel de [edit access] jerarquía, y de los grupos NAT, que se crean con la pool instrucción en el nivel de [edit services nat] jerarquía.

Para configurar un grupo de asignación de direcciones:

  1. Configure el nombre del grupo de asignación de direcciones y especifique las direcciones del grupo.

    Consulte Configuración del nombre y las direcciones de un grupo de asignación de direcciones.

  2. (Opcional) Configure rangos con nombre (subconjuntos) de direcciones.

    Consulte Configuración de un intervalo de direcciones con nombre para la asignación dinámica de direcciones.

  3. (Opcional) Excluya direcciones o un intervalo de direcciones de grupos de direcciones.

    Consulte Impedir que se asignen direcciones de un grupo de direcciones.

  4. (Opcional) Configure la vinculación del grupo de asignación de direcciones y especifique el grupo secundario que se usará cuando el grupo principal esté completamente asignado.

    Consulte Configuración de la vinculación de grupos de asignación de direcciones.

  5. (Opcional) Configure la retención del grupo de asignación de direcciones para que no se asignen direcciones adicionales del grupo identificado. Esto también se conoce como drenaje pasivo.

    Consulte Configuración de la retención del grupo de asignación de direcciones.

  6. (Opcional) Configure el drenaje rápido del grupo de asignación de direcciones, también conocido como drenaje activo, para evitar correctamente la asignación de direcciones adicionales del grupo y evitar que los clientes existentes renueven las concesiones de direcciones del grupo.

    Consulte Configuración del drenaje rápido del conjunto de direcciones locales DHCP.

  7. (Opcional) Cree enlaces de direcciones estáticas (solo IPv4).

    Consulte Configuración de la asignación de direcciones estáticas.

  8. (Opcional) Habilite la protección de direcciones duplicadas para evitar que las direcciones se utilicen más de una vez.

    Consulte Configuración de la protección de direcciones IPv4 duplicadas para AAA.

  9. (Opcional) Configure atributos para clientes DHCP.

    Consulte Configuración de atributos específicos del cliente DHCP aplicados cuando los clientes obtienen una dirección.

Ver también

Configuración de un nombre y direcciones de grupo de asignación de direcciones

Para configurar un grupo de asignación de direcciones, debe especificar el nombre del grupo y configurar las direcciones del grupo.

Para configurar un grupo de asignación de direcciones IPv4:

  1. Configure el nombre del grupo y especifique la familia IPv4.
  2. Configure la dirección de red y la longitud del prefijo de las direcciones del grupo.

Para configurar un grupo de asignación de direcciones IPv6:

  1. Configure el nombre del grupo y especifique la familia IPv6.

  2. Configure el prefijo de red IPv6 para el grupo de direcciones. La especificación del prefijo es necesaria cuando se configura un grupo de asignación de direcciones IPv6.

Configuración de un intervalo de direcciones con nombre para la asignación dinámica de direcciones

Opcionalmente, puede configurar varios rangos con nombre, o subconjuntos, de direcciones dentro de un grupo de asignación de direcciones. Durante la asignación dinámica de direcciones, se puede asignar a un cliente una dirección de un rango con nombre específico. Para crear un rango con nombre, especifique un nombre para el rango y defina el intervalo de direcciones.

Para crear un rango con nombre dentro de un grupo de asignación de direcciones IPv4:

  1. Especifique el nombre del grupo de asignación de direcciones y la familia IPv4.
  2. Configure el nombre del intervalo y los límites inferior y superior de las direcciones del intervalo.

Para crear un rango con nombre dentro de un grupo de asignación de direcciones IPv6:

  1. Especifique el nombre del grupo de asignación de direcciones y la familia IPv6.

  2. Configure el nombre del rango y defina el rango. Puede definir el intervalo basándose en los límites inferior y superior de los prefijos del intervalo, o en función de la longitud de los prefijos del intervalo.

Impedir que las direcciones se asignen desde un grupo de direcciones

Puede excluir direcciones o intervalos de direcciones especificados para evitar que se asignen desde un grupo de direcciones. Por ejemplo, es posible que desee reservar ciertas direcciones o rangos para que se usen solo para suscriptores estáticos. Cuando configura una dirección o un intervalo de direcciones que se excluirán y la dirección o una dirección dentro del intervalo ya se ha asignado, se cierra la sesión del suscriptor asignado a esa dirección, se desasigna la dirección y se marca la dirección para su exclusión.

Para excluir de la asignación una dirección o un intervalo de direcciones de un grupo de direcciones:

  • Especifique una dirección individual.

  • Especifique y asigne un nombre a un intervalo de direcciones consecutivas.

Por ejemplo, la siguiente configuración parcial para un grupo de direcciones IPv4 define un rango, r1, de direcciones para asignar, desde 192.168.0.10 hasta 192.168.128.250. Excluye una sola dirección, 192.168.110.10. Además, define dos rangos, exclude1 y exclude2, que especifican dos conjuntos de direcciones consecutivas que no se pueden asignar del grupo.

Del mismo modo, la configuración del grupo v6-pool define un rango de direcciones para asignar y un rango de direcciones que se excluyen de la asignación.

Para ver información acerca de las direcciones excluidas, puede utilizar cualquiera de los siguientes comandos:

Configuración de capturas de umbral de uso del grupo de asignación de direcciones

Puede recibir una advertencia avanzada de que un grupo de direcciones o un conjunto vinculado de grupos de direcciones se está quedando sin direcciones disponibles estableciendo capturas de umbral de uso (utilización). El uso y la utilización se usan indistintamente para referirse al porcentaje de direcciones de un grupo de direcciones que están asignadas actualmente. Un grupo de direcciones tiene asociados los siguientes umbrales SNMP que permiten al servidor de direcciones local señalar capturas SNMP cuando existen determinadas condiciones:

  • umbral de alta utilización: cuando el porcentaje de direcciones asignadas de un grupo de direcciones supera este valor, se genera una captura SNMP de alta utilización. El sistema envía mensajes de advertencia siempre que se supere este umbral.

  • umbral de utilización reducida: cuando el porcentaje de direcciones asignadas de un grupo de direcciones cae por debajo de este valor, se genera una captura de utilización disminuida. El sistema deja de enviar los mensajes de advertencia. Normalmente, el umbral de utilización reducida se establece en menos que el umbral de utilización alta; no puede establecerlo más alto.

Los umbrales no tienen valores predeterminados. Si no configura estos umbrales, el sistema no enviará una notificación de agotamiento inminente, ya que el porcentaje de direcciones asignadas se acerca al 100 por ciento. El sistema envía una captura fuera de dirección sólo cuando se han asignado todas las direcciones del grupo de direcciones.

Nota:

A partir de Junos OS versión 19.2R1, la captura fuera de dirección no se envía a menos que estén configurados tanto el umbral de utilización alta como el umbral de utilización reducida. Cuando se envía la captura fuera de dirección, también se envía un mensaje syslog fuera de dirección.
Nota:

Puede configurar umbrales para todos los grupos de direcciones en el nivel de [edit access address-assignment] jerarquía o solo para grupos de direcciones en una instancia de enrutamiento especificada en el nivel de [edit routing-instance routing-instance-name] jerarquía. Las siguientes configuraciones muestran solo la [edit access] configuración.

Para establecer las capturas de umbral:

  • Especifique el umbral de alta utilización para los grupos de direcciones IPv4 o IPv6.

  • Especifique el umbral de utilización reducida para los grupos de direcciones IPv4 o IPv6.

En el ejemplo siguiente, el umbral alto se establece en 95% de uso y el umbral disminuido se establece en 90% de uso para grupos de direcciones IPv4. Cuando el número de direcciones asignadas supera el 95 por ciento del grupo de direcciones, se genera una captura de alta utilización. Si todas las direcciones se asignan desde el grupo, se genera una captura fuera de dirección y se envía un mensaje syslog fuera de dirección. Cuando el número de direcciones asignadas cae por debajo del 90 por ciento del grupo de direcciones, se genera la captura de utilización reducida.

Configuración de la vinculación de grupos de asignación de direcciones

La vinculación de grupos de asignación de direcciones permite especificar un grupo de direcciones secundario para que el enrutador lo use cuando el grupo de asignación de direcciones principal o coincidente esté completamente asignado. Puede crear una cadena de varios grupos vinculados. Por ejemplo, puede vincular el grupo A al grupo B y vincular el grupo B al grupo C. Puede vincular cualquier número de grupos en serie en una cadena, pero no puede crear varios vínculos hacia o desde el mismo grupo. Por ejemplo, no puede crear vínculos desde el grupo A al grupo B y al grupo C. Del mismo modo, el Grupo C no se puede vincular desde el Grupo A y el Grupo B. Una consideración adicional es que todos los grupos de direcciones de una cadena deben ser del mismo tipo de familia, IPv4 o IPv6.

Cuando el grupo de direcciones que coincide con los suscriptores no tiene direcciones disponibles, el enrutador cambia automáticamente al grupo vinculado y asigna direcciones de ese grupo. El enrutador utiliza un grupo vinculado solo cuando el grupo de asignación de direcciones correspondiente está completamente asignado.

A partir de Junos OS versión 18.1, el comportamiento cambia sobre cómo buscar y asignar una dirección libre en una cadena de grupos de direcciones. Puede configurar grupos vinculados para que se busquen de una de estas dos maneras:

  • Asignación de direcciones contiguas: comportamiento predeterminado. Se buscan todas las direcciones de cada rango de un grupo. La búsqueda comienza en el grupo emparejado, luego se mueve al primer grupo de la cadena y, si es necesario, continúa a través de cada grupo vinculado sucesivamente hasta el último grupo de la cadena. En cada grupo, se busca una dirección libre en todas las direcciones de todos los rangos. Este método permite que las direcciones se asignen contiguamente; Cada grupo tiene que estar lleno antes de buscar otro grupo.

  • Asignación de direcciones no contiguas (agregadas): comportamiento cuando linked-pool-aggregation se configura. Inicialmente, solo se buscan ciertas direcciones (desde nextAddress hasta highAddress) en cada rango del grupo coincidente. La misma búsqueda se realiza en el grupo vinculado, si es necesario, y continúa a través de cada grupo vinculado sucesivo hasta el último grupo de la cadena.

    A continuación, la búsqueda se reinicia en el primer grupo de la cadena (no necesariamente en el grupo coincidente). Esta vez, se buscan todas las direcciones en todos los rangos, en todos los grupos hasta el final de la cadena.

Incluir la linked-pool-aggregation instrucción podría ser deseable si configura el servidor RADIUS para usar solo la dirección IP para identificar a los suscriptores. Normalmente, el servidor RADIUS identifica a los suscriptores mediante el ID de sesión del suscriptor y otros criterios. Si utiliza sólo la dirección IP, es posible que se produzca el siguiente problema con el comportamiento predeterminado cuando la linked-pool-aggregation instrucción no esté configurada. Un suscriptor puede desconectarse y esa dirección se puede asignar al siguiente suscriptor. Es posible que el mensaje Acct-Start del segundo suscriptor se envíe antes de que se envíe el mensaje Acct-Stop para el suscriptor desconectado. Cuando se recibe Acct-Stop, el nuevo suscriptor, identificado solo por la dirección IP, se puede desconectar.

Puede evitar esta situación incluyendo la linked-pool-aggregation instrucción o configurando el servidor RADIUS para que utilice el ID de sesión del suscriptor (en lugar de la dirección IP) para la identificación.

Antes de comenzar, configure los grupos de direcciones. Consulte Descripción general de la configuración del grupo de asignación de direcciones.

Para vincular un grupo de asignación de direcciones a un grupo secundario:

  1. Especifique los nombres de los grupos que se van a vincular.
  2. (Opcional) Configure la búsqueda para permitir la asignación de direcciones no contiguas.

Por ejemplo, la siguiente configuración vincula Pool_A a Pool_B y, a continuación, vincula Pool_B a Pool_C.

Configuración de la retención del grupo de asignación de direcciones

La característica de retención del grupo de asignación de direcciones, también conocida como drenaje pasivo, le permite realizar una transición correcta de un grupo de direcciones activo a un estado inactivo. Cuando el grupo está en estado inactivo, puede realizar un mantenimiento seguro en el grupo sin afectar a los suscriptores actuales (como agregar, cambiar o eliminar direcciones).

Cuando un grupo de asignación de direcciones se encuentra en estado de retención, no se asignan direcciones adicionales de ese grupo. Sin embargo, el estado de retención no afecta a los suscriptores existentes que usan direcciones previamente asignadas del grupo. A medida que los suscriptores existentes se desconectan, sus direcciones IP se marcan como libres en el grupo, pero las direcciones no se reasignan debido al estado de retención del grupo. Eventualmente, cuando todos los suscriptores se hayan desconectado y sus direcciones vuelvan al grupo, el grupo se vuelve inactivo.

Para colocar un grupo de asignación de direcciones activo en estado de retención:

  1. Especifique el nombre del grupo de asignación de direcciones.
  2. Especifique que el grupo se encuentra en estado de retención para que no se puedan asignar direcciones adicionales desde el grupo.

Configuración del drenaje rápido del conjunto de direcciones locales DHCP

Puede forzar al servidor local DHCP a detener la asignación de direcciones de un grupo de direcciones local específico configurando el grupo en modo de drenaje activo. Este modo permite al servidor terminar correctamente a los suscriptores que ya están usando direcciones asignadas de ese grupo y transferirlos a otro grupo. Cuando un suscriptor DHCP intenta renovar (en el momento de renovación T1) la concesión de una dirección IP de un grupo ahora configurado para el modo de drenaje activo, el servidor local DHCP responde con un NAK a la solicitud de renovación del suscriptor. Esta respuesta obliga al suscriptor a renegociar un contrato de arrendamiento. A continuación, el servidor asigna una nueva dirección IP de un grupo de direcciones alternativo que no está configurado para el drenaje activo.

El modo de drenaje activo proporciona una forma de drenar rápidamente a los suscriptores de un grupo de direcciones. En consecuencia, cuanto mayor sea el tiempo de concesión configurado para los suscriptores, más útil puede ser el modo de drenaje activo. Si no configura el modo de drenaje activo para un grupo, para detener la asignación de sus direcciones, debe configurar el modo de drenaje pasivo o eliminar el grupo.

  • El modo de drenaje pasivo coloca el grupo de direcciones en un estado de retención. No se asignan más direcciones del grupo, pero los suscriptores que actualmente usan una dirección asignada del grupo no se ven afectados. Los suscriptores existentes pueden envejecer. Cuando el suscriptor se desconecta (o es desconectado por un operador) la dirección se libera, pero no se puede reasignar. Eventualmente, todos los suscriptores han liberado sus direcciones y el grupo ya no está activo. Dado que las concesiones para suscriptores activos se renuevan previa solicitud, el modo de drenaje pasivo puede tardar mucho más que el modo de drenaje activo en recuperar todas las direcciones del grupo.

  • La eliminación del grupo interrumpe el tráfico de cada suscriptor actual que usa una dirección de grupo durante el tiempo que tarda en expirar el contrato de arrendamiento y para que el suscriptor renegocie y obtenga un nuevo contrato de arrendamiento. El servidor elimina a todos los suscriptores con una dirección del grupo eliminado. Los suscriptores intentan extender la concesión pero fallan porque la concesión se eliminó en el servidor. Cuando los suscriptores posteriormente intentan renegociar un nuevo contrato de arrendamiento, se le puede otorgar una dirección de un grupo diferente o de RADIUS.

Puede eliminar la configuración de drenaje activo antes de vaciar el grupo de direcciones. En este caso, se pueden otorgar extensiones de arrendamiento para suscriptores que aún tengan direcciones de este grupo. Esta recuperación es el mejor esfuerzo, ya que algunos suscriptores están en proceso de cerrar sesión por el servidor cuando se elimina la configuración. Estos suscriptores no pueden ser recuperados en el grupo y deben renegociar un contrato de arrendamiento. A estos suscriptores se les puede asignar una dirección desde este grupo (porque está activo de nuevo) o desde un grupo alternativo.

Si el cliente DHCP no recibe la notificación de que se está vaciando el grupo de direcciones, puede seguir concediendo extensiones de concesión a los suscriptores que usen este grupo. Esta condición se indica cuando la dirección permanece vinculada al cliente más allá de la hora T1 (hasta la hora T2) en la que debería haber sido recuperada por el grupo. En esta situación, elimine la configuración de drenaje activo y, a continuación, vuelva a configurarla para la piscina a fin de asegurarse de que la piscina se drena de manera oportuna.

En el caso de un reinicio de authd o jdhcpd, o de un cambio correcto del motor de enrutamiento, es posible que algunos suscriptores para los que no se haya enviado un NAK sigan usando direcciones de grupo para iniciar el cierre de sesión. Cuando se completa el reinicio o GRES, authd envía a jdhcpd una notificación con una lista de suscriptores que aún tienen direcciones del grupo que está configurado para drenaje activo. El drenaje de la piscina puede continuar.

Nota:

A partir de Junos OS versión 18.4R1, el método de asignación de direcciones determina el comportamiento posterior cuando authd notifica al proceso DHCP que un grupo de direcciones se ha eliminado o se está vaciando.

  • Cuando las direcciones se asignan a petición, la familia con la dirección en ese grupo se cierra inmediatamente cuando se elimina el grupo, o se cierra correctamente mediante el proceso de drenaje cuando se recibe un mensaje de renovación o reenlace DHCP.

  • Cuando las direcciones se asignan previamente, las direcciones de ambas familias se eliminan inmediatamente cuando se elimina el grupo, o se eliminan correctamente mediante el proceso de drenaje cuando se recibe un mensaje de renovación o reenlace DHCP.

Para configurar el servidor local DHCP para que deje de asignar direcciones de un grupo de direcciones:

  1. Acceda a la configuración del grupo de direcciones.
  2. Especifique el modo de drenaje activo para la piscina.

Puede usar el comando para confirmar que el show network-access aaa statistics drenaje activo está configurado para una piscina.

Nota:

La función de drenaje activo tiene prioridad sobre la preservación de la dirección del prefijo. La conservación de direcciones puede garantizar que se asigne el mismo prefijo delegado al abonado en función del identificador del circuito de acceso (ACI). Cuando un suscriptor con un prefijo conservado cierra sesión, la ACI y el prefijo se almacenan en la tabla de conservación de direcciones. Cuando ese suscriptor intenta iniciar sesión de nuevo, la dirección y ACI se buscan en la tabla.

El modo de drenaje activo afecta a este comportamiento. Cuando el prefijo forma parte actualmente de un grupo establecido en modo de drenaje activo, se quita de la tabla y no se asigna al suscriptor cuando el suscriptor intenta iniciar sesión de nuevo.

Si el drenaje activo se cancela mientras el cliente está cerrando sesión, el prefijo y la cadena ACI se conservan en la tabla. En este caso, el prefijo se puede asignar a esa cadena ACI cuando el suscriptor vuelva a iniciar sesión. Sin embargo, si el drenaje activo se cancela después de que el cliente ya haya cerrado sesión y la tabla se haya borrado del prefijo/asociación ACI, el suscriptor en un inicio de sesión posterior obtiene un prefijo del grupo que se reactiva y el prefijo podría ser diferente.

Ver también

Configuración de la asignación de direcciones estáticas

Opcionalmente, puede crear un enlace de dirección IPv4 estática reservando una dirección específica para un cliente determinado. La dirección se quita del grupo de asignación de direcciones para que no se asigne a otro cliente. Cuando reserva una dirección, identifica el host del cliente y crea un enlace entre la dirección MAC del cliente y la dirección IP asignada. Los grupos de asignación de direcciones IPv6 no admiten el enlace de direcciones estáticas.

Para configurar un enlace estático para una dirección IPv4:

  1. Especifique el nombre del grupo de asignación de direcciones IPv4 que contiene la dirección IP que desea reservar para el cliente.
  2. Especifique el nombre del cliente para el enlace estático, la dirección MAC del cliente y la dirección IP que desea reservar para el cliente. Esta configuración especifica que al cliente con dirección MAC 00:00:5E:00:53:90 siempre tiene asignada la dirección IP 192.168.44.12.

Configuración de la protección de direcciones IPv4 duplicadas para AAA

A partir de Junos OS versión 14.1, si utiliza AAA para proporcionar direcciones IPv4, puede habilitar la protección de direcciones duplicadas para evitar que las direcciones se utilicen más de una vez. Si está habilitado, se comprueban los siguientes atributos recibidos de servidores externos:

  • Framed-IP-Address

  • Framed-Pool

A continuación, el enrutador realiza una de las siguientes acciones:

  • Si una dirección coincide con una dirección de un grupo de direcciones, la dirección se toma del grupo, siempre que esté disponible.

  • Si la dirección ya está en uso, se rechaza como no disponible y el suscriptor existente que utiliza la dirección permanece intacto.

Para configurar la protección de direcciones duplicadas:

  1. Introduzca la access configuración.
  2. Habilite la protección de direcciones duplicadas.

A partir de Junos OS versión 18.4R1, opcionalmente puede habilitar la reasignación de una dirección que está actualmente en uso cuando la protección de direcciones está configurada incluyendo la reassign-on-match opción. Cuando se configura, el enrutador desconecta al suscriptor existente y permite que el nuevo suscriptor renegocie. El efecto de esta configuración es que la dirección en uso siempre se reasigna al nuevo suscriptor.

Un caso de uso para esta capacidad de anulación se produce cuando un suscriptor móvil se cae accidentalmente del nodo de soporte GPRS (GGSN) de puerta de enlace, pero el GGSN mantiene activa la sesión L2TP del suscriptor durante un período de tiempo. Cuando el cliente intenta volver a conectarse a través de un nodo diferente, la sesión no puede conectarse porque la sesión original aún está activa. La reasignación de direcciones permite que la nueva sesión tenga preferencia sobre la sesión existente, lo que permite que el suscriptor se vuelva a conectar.

Nota:

El suscriptor existente se desconecta solo cuando la dirección pertenece a un grupo de direcciones de origen RADIUS. Cuando la dirección procede de un grupo de direcciones configurado localmente, la sesión de suscriptor existente permanece intacta.
Práctica recomendada:

No utilice la reassign-on-match opción cuando RADIUS asigne direcciones contenidas en un grupo de direcciones configurado localmente, ya que hay una mayor probabilidad de colisión de direcciones. Se recomienda no superponer direcciones de origen RADIUS con grupos de direcciones locales.

La reassign-on-match opción funciona de la siguiente manera:

  1. Un suscriptor negocia el acceso con una dirección IP determinada.

  2. El enrutador determina si esa dirección está en uso y de dónde proviene.

    • Cuando un suscriptor ya ha iniciado sesión con esa dirección, la dirección no forma parte de un grupo configurado localmente y la protección de direcciones está habilitada:

      • El router envía un NAK al nuevo suscriptor, rechazando la solicitud.

      • El enrutador envía una solicitud de desconexión al suscriptor existente. La solicitud de desconexión incluye un identificador de terminación para informar de la causa del cierre de sesión.

      • El nuevo suscriptor (rechazado) puede renegociar y se le asigna la dirección IP.

    • Cuando un suscriptor ya ha iniciado sesión con esa dirección y la dirección se asignó desde un grupo de direcciones local:

      • El router envía un NAK al nuevo suscriptor, rechazando la solicitud.

      • El enrutador no envía una solicitud de desconexión al suscriptor existente.

Cuando se agrega reassign-on-match a una configuración de protección de direcciones duplicadas existente, surte efecto inmediatamente para los suscriptores existentes. Del mismo modo, si elimina reassign-on-match de una configuración, surte efecto inmediatamente, de modo que una solicitud posterior de acceso con una dirección en uso no resulte en la terminación del suscriptor existente.

Para habilitar la reasignación de direcciones:

Ver también

Ejemplo: configuración de un grupo de asignación de direcciones

Requisitos

Cree el grupo de asignación de direcciones de acceso a la red. Para expandir el grupo automáticamente cuando alcance el 100% de uso, para hacer coincidir los nuevos rangos de grupo con el tamaño original del grupo, use una máscara de red diferente para cada grupo.

Nota: Hay una restricción para el rango de IP cuando vinculamos dos grupos de asignación de direcciones. No podemos crear 2 grupos de direcciones con el mismo prefijo de red. Podemos crear grupos de direcciones con diferentes prefijos de red y vincularlos si es necesario.

Visión general

Configuración

En este ejemplo se muestra una configuración de grupo de asignación de direcciones que crea dos grupos, uno para clientes DHCP IPv4 (isp_1) y un segundo grupo (chi-fiber-ra) que se usa para anuncios de enrutador.

Configuración rápida de CLI

En este ejemplo se crea un grupo de asignación de direcciones IPv4 denominado isp-1, que contiene dos intervalos southeast de direcciones con nombre y northeast. El grupo de asignación de direcciones también contiene un enlace estático para el cliente host host.example.net. La configuración del grupo de ISP_1 también incluye la dhcp-attributes instrucción, que indica que el grupo se usa para clientes DHCP. Si la entrada de la opción 82 circuit-id coincide con la cadena fiber, DHCP asigna al cliente una dirección del northeast intervalo. Si la opción 82 circuit-id coincide con la cadena cable_net, DHCP asigna una dirección del southeast intervalo.

El segundo grupo de asignación de direcciones creado en este ejemplo es chi-fiber-ra. La neighbor-discovery-router-advertisement instrucción al principio de la sintaxis especifica que este grupo de asignación de direcciones con nombre se usa para la publicidad del enrutador. La sintaxis al final del ejemplo configura el grupo de asignación de direcciones denominado chi-fiber-ra.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, la captura fuera de dirección no se envía a menos que estén configurados tanto el umbral de utilización alta como el umbral de utilización reducida.
18.4R1
A partir de Junos OS versión 18.4R1, opcionalmente puede habilitar la reasignación de una dirección que está actualmente en uso cuando la protección de direcciones está configurada incluyendo la reassign-on-match opción.
18.1R1
A partir de Junos OS versión 18.1R1, el mecanismo de búsqueda de una dirección disponible procede a través de una cadena de grupos vinculados. Este comportamiento permite al DHCP buscar direcciones contiguas.
18.1R1
A partir de Junos OS versión 18.1R1, puede excluir una dirección especificada o un intervalo de direcciones consecutivas para evitar que se asignen desde un grupo de direcciones.
18.1R1
A partir de Junos OS versión 18.1, el comportamiento cambia sobre cómo buscar y asignar una dirección libre en una cadena de grupos de direcciones.
14.1
A partir de Junos OS versión 14.1, si utiliza AAA para proporcionar direcciones IPv4, puede habilitar la protección de direcciones duplicadas para evitar que las direcciones se utilicen más de una vez.