Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grupos de asignación de direcciones para la administración de suscriptores

Descripción general de conjuntos de asignación de direcciones

El grupo de asignación de direcciones le permite crear grupos centralizados de direcciones IPv4 e IPv6 independientemente de las aplicaciones cliente que utilizan los grupos. El proceso de autenticación administra los grupos y la asignación de direcciones, ya sea que las direcciones provendes de grupos locales o de un servidor RADIUS.

Por ejemplo, varias aplicaciones de cliente, como DHCP, pueden usar el mismo grupo de asignación de direcciones para proporcionar direcciones para sus clientes particulares. Las aplicaciones de cliente pueden adquirir direcciones para clientes autenticados o no autenticados. El grupo seleccionado para un suscriptor, según el servidor RADIUS o la coincidencia de red u otra regla, se denomina conjunto de coincidencias para el suscriptor.

Tipos de asignación de direcciones

Los grupos de asignación de direcciones admiten la asignación de direcciones dinámicas y estáticas. En la asignación dinámica de direcciones, a un cliente se le asigna automáticamente una dirección del grupo de asignación de direcciones. En la asignación de direcciones estáticas, que solo se admiten para grupos IPv4, se reserva una dirección que, a continuación, siempre es utilizada por un cliente determinado. Las direcciones reservadas para la asignación estática se eliminan del conjunto de direcciones dinámicas y no se pueden asignar a otros clientes.

Rangos de direcciones nombrados en el grupo de asignación de direcciones

Puede configurar rangos de direcciones con nombre dentro de un grupo de asignación de direcciones. Un rango con nombre es un subconjunto del intervalo de direcciones general. Una aplicación cliente puede usar rangos con nombre para administrar la asignación de direcciones según criterios específicos del cliente. Por ejemplo, para grupos de asignación de direcciones IPv4, puede crear un rango con nombre basado en un valor específico de la opción 82 de DHCP. A continuación, cuando una solicitud de cliente DHCP coincide con el valor especificado de la opción 82, una dirección del rango especificado se asigna al cliente.

Asignación de direcciones desde grupos de direcciones vinculados

Puede vincular grupos de asignación de direcciones entre sí para proporcionar grupos de respaldo para la asignación de direcciones. Cuando no hay direcciones disponibles en el conjunto de direcciones principales o en el conjunto de direcciones correspondientes, el dispositivo procede automáticamente al conjunto de direcciones vinculadas (secundarias) para buscar una dirección disponible para asignar.

Aunque el primer grupo de una cadena de conjuntos vinculados generalmente se considera el grupo principal, un conjunto coincidente no es necesariamente el primer conjunto de la cadena.

A partir de Junos OS versión 18.1R1, el mecanismo de búsqueda de una dirección disponible procede a través de una cadena de grupos vinculados. Este comportamiento permite que DHCP busque direcciones contiguamente.

Usemos un ejemplo sobre cómo funciona el mecanismo de búsqueda. Considere una cadena de tres grupos: A, B y C. El grupo A es el grupo principal, el grupo B es el conjunto correspondiente para ciertos suscriptores según la información que devuelva el servidor RADIUS. La búsqueda de una dirección disponible para esos suscriptores utiliza la siguiente secuencia:

  • De forma predeterminada, se busca primero el grupo correspondiente (grupo B).

  • La búsqueda se mueve al primer grupo (grupo A) de la cadena si no se encuentra la dirección.

  • La búsqueda avanza a través de la cadena (Grupo C) hasta que se encuentra y se asigna una dirección disponible, o hasta que la búsqueda determina que no hay direcciones libres.

  • En cada grupo, se busca completamente una dirección en todos los rangos de direcciones.

Puede configurar la linked-pool-aggregation instrucción para que comience a buscar en un bloque de direcciones en cada rango del grupo correspondiente y, luego, sucesivamente a través de los grupos vinculados. Luego, la búsqueda vuelve al primer grupo de la cadena y busca todas las direcciones en todos los rangos de cada grupo hasta el último conjunto de la cadena.

Estado de espera de la dirección del grupo

Puede configurar un grupo de asignación de direcciones en estado de espera. Cuando el conjunto de direcciones está en estado de espera, el grupo ya no está disponible para asignar direcciones IP para los suscriptores. Esta configuración transforma con gracia el grupo activo en un estado inactivo a medida que las direcciones asignadas anteriormente se devuelven al grupo. Cuando el grupo está inactivo, puede realizar el mantenimiento de la piscina con seguridad sin afectar a los suscriptores activos.

Agrupación de asignación de direcciones para anuncio de enrutador de Descubrimiento de vecinos

Puede asignar explícitamente un conjunto de asignación de direcciones para anuncio de enrutador de descubrimiento de vecino (NDRA).

Excluir dirección especificada o intervalo de direcciones

A partir de Junos OS versión 18.1R1, puede excluir una dirección especificada o un intervalo de direcciones consecutivas para evitar que se asignen desde un conjunto de direcciones.

Por ejemplo, es posible que desee reservar ciertas direcciones o rangos que se usarán solo para suscriptores estáticos. Cuando configure una dirección o un intervalo que se excluirá, y la dirección o una dirección dentro del intervalo ya se ha asignado, ese suscriptor ha cerrado sesión, la dirección se desasigna y la dirección está marcada para exclusión.

Requisito de licencia

Esta función requiere una licencia. Para obtener más información acerca de las licencias de acceso de suscriptores, consulte Descripción general de las licencias de acceso de suscriptores. Consulte la Guía de licencias de Juniper para obtener información general acerca de la administración de licencias. Consulte las hojas de datos de los productos para obtener más información o comuníquese con su equipo de cuenta de Juniper o con su socio de Juniper.

Beneficios de los conjuntos de asignación de direcciones

  • La función del grupo de asignación de direcciones admite la administración de suscriptores y la administración de DHCP.

  • Puede crear conjuntos centralizados de direcciones independientemente de las aplicaciones del cliente.

  • Puede especificar bloques de direcciones, rangos con nombre, de modo que se pueda usar un conjunto de direcciones determinado para suministrar diferentes direcciones para diferentes aplicaciones cliente o para suscriptores que coincidan con diferentes conjuntos de criterios.

  • Puede vincular grupos entre sí para asegurarse de que se busquen direcciones gratuitas de una manera específica, contigua o sin ambigüedad.

  • Puede hacer una transición elegante de un conjunto de direcciones de activo a inactivo especificando que no se asignan más direcciones del grupo.

Asignación de direcciones desde grupos de direcciones vinculados

Puede vincular grupos de asignación de direcciones en una cadena para proporcionar grupos de respaldo para la asignación de direcciones. El grupo seleccionado para un suscriptor, según el servidor RADIUS o la coincidencia de red o alguna otra regla, se denomina conjunto de coincidencia o coincidencia para el suscriptor. Es posible que el grupo correspondiente no sea el primer grupo (principal) de la cadena. Cuando no hay direcciones disponibles para la asignación del conjunto de direcciones correspondientes o principales, el enrutador o el conmutador procede automáticamente a otro conjunto de direcciones para buscar una dirección disponible para asignar. Cuando la búsqueda no descubre direcciones disponibles en ningún lugar, la búsqueda se detiene y no se asigna ninguna dirección para el suscriptor.

El comportamiento de búsqueda no solo determina cómo avanza la búsqueda a lo largo de una cadena de grupos vinculados, sino qué rangos de direcciones dentro de cada grupo se buscan. Dependiendo de dónde se inicie la búsqueda, su configuración y si se liberaron las direcciones asignadas anteriormente, la búsqueda puede continuar en el siguiente conjunto de direcciones vinculadas de la cadena o volver al primer grupo de la cadena.

La búsqueda de una dirección disponible comienza en el grupo que coincide con el suscriptor. En muchos casos, el conjunto correspondiente también es el primer conjunto de la cadena. Para algunos suscriptores, el conjunto correspondiente está más lejos en la cadena. Por ejemplo, puede configurar el servidor RADIUS para especificar el segundo grupo de una cadena en lugar del primero según algunos criterios que coincidan durante la autenticación. Por otro ejemplo, puede especificar diferentes rangos de direcciones para diferentes grupos de suscriptores; si un grupo determinado coincide con un suscriptor, entonces depende de qué grupos estén configurados para los diferentes rangos de direcciones.

Los siguientes términos se utilizan para explicar los detalles del comportamiento de búsqueda:

  • lowAddress: la dirección más baja de un rango determinado dentro de un conjunto de direcciones.

  • alta Dirección: la dirección más alta de un rango determinado dentro de un conjunto de direcciones.

  • nextAddress: la siguiente dirección después de la última dirección asignada en un intervalo determinado dentro de un conjunto de direcciones. Esta es la dirección que se espera que se asigne a continuación. Esta dirección, así como el último intervalo utilizado, se guarda como punto de partida para las búsquedas.

Por ejemplo, supongamos que el grupo A tiene un solo intervalo que incluye las siguientes direcciones: 192.0.2.1, 192.0.2.2, 192.0.2.3, 192.0.2.4. En este caso, 192.0.2.1 es la dirección baja y 190.0.2.4 es la dirección alta. Si 192.0.2.2 fue la última dirección asignada de este grupo, la siguiente dirección es 192.0.2.3.

A partir de Junos OS versión 18.1R1, puede configurar grupos vinculados para que se busquen de una de dos maneras:

  • Asignación de direcciones contiguas: este es el comportamiento predeterminado. Se realizan búsquedas en todas las direcciones de cada rango de un grupo. La búsqueda comienza en el conjunto emparejado, luego se traslada al primer conjunto de la cadena y, si es necesario, continúa por cada conjunto vinculado sucesivamente hasta el último conjunto de la cadena. En cada grupo, se busca una dirección gratuita en todas las direcciones de todos los rangos. Este método permite que las direcciones se asignen contiguamente; cada piscina tiene que estar llena antes de buscar otra piscina.

  • Asignación de dirección no contigua (agregada): comportamiento cuando se configura la linked-pool-aggregation instrucción. Inicialmente, solo se buscan ciertas direcciones (desde la siguiente dirección hasta la alta Dirección) en cada rango del conjunto coincidente. La misma búsqueda se realiza en el conjunto vinculado y, si es necesario, continúa a través de cada conjunto vinculado sucesivamente hasta el último conjunto de la cadena.

    Luego, la búsqueda se reinicia en el primer grupo de la cadena (no necesariamente el conjunto coincidente). Esta vez, se buscan todas las direcciones en todos los rangos, en todos los grupos hasta el final de la cadena.

Esa es la funcionalidad básica, pero los detalles de ambas búsquedas son bastante complejos. La Figura 1 muestra el comportamiento predeterminado de búsqueda.

Figura 1: Asignación predeterminada de direcciones desde grupos de direcciones vinculados Default Address Assignment from Linked Address Pools

Por ejemplo, suponga que existen las siguientes condiciones:

  • Los grupos de direcciones vinculadas A, B, C y D. El grupo C está emparejado.

  • Cada grupo tiene tres rangos de direcciones: r1, r2 y r3. El último rango utilizado fue r2 en cada grupo.

Si no se encuentra ninguna dirección libre, la búsqueda continúa así: C > A > B > C > D, luego se detiene.

  1. Se busca el grupo C, siguiente dirección a través de highAddress en el rango r2.

  2. Se busca el grupo C, baja dirección a través de la próxima dirección en el rango r2.

  3. Se busca el grupo C, siguiente dirección a través de highAddress en el rango r3.

  4. Se busca el grupo C, baja dirección a través de la próxima dirección en el rango r3.

  5. Se busca el grupo C, siguiente dirección a través de highAddress en el rango r1.

  6. Se busca el grupo C, baja dirección a través de la próxima dirección en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo C, por lo que la búsqueda se traslada al primer grupo de la cadena, A.

  7. Se busca el grupo A, siguiente dirección a través de alta dirección en el rango r2.

  8. Se busca el grupo A, baja dirección a través de la próxima dirección en el rango r2.

  9. Se busca el grupo A, siguiente dirección a través de alta dirección en el rango r3.

  10. Se busca el grupo A, baja dirección a través de la próxima dirección en el rango r3.

  11. Se busca el grupo A, siguiente dirección a través de alta dirección en el rango r1.

  12. Se busca el grupo A, baja dirección a través de la próxima dirección en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo A, por lo que la búsqueda se traslada al siguiente conjunto vinculado de la cadena, B.

Este proceso continúa hasta que se ha buscado en todas las direcciones de todos los rangos de todos los grupos. El orden de búsqueda del grupo es C > A > B > C > D, luego se detiene. Dependiendo de dónde y si se encuentra una dirección, es posible que se busque el conjunto correspondiente dos veces. Esto es cierto, a menos que el conjunto correspondiente sea el primer conjunto de la cadena. Por ejemplo, si el grupo A es el conjunto que coincide en este conjunto de condiciones, la búsqueda completa (suponiendo que no se encuentra ninguna dirección) sería A > B > C > D.

La Figura 2 muestra el comportamiento de búsqueda cuando se incluye la linked-pool-aggregation instrucción.

Figura 2: Asignación de direcciones agregadas de conjuntos de direcciones vinculadas Aggregated Address Assignment from Linked Address Pools

Por ejemplo, considere que existen las mismas condiciones que para el ejemplo predeterminado:

  • Los grupos de direcciones vinculadas A, B, C y D. El grupo C está emparejado.

  • Cada grupo tiene tres rangos de direcciones: r1, r2 y r3. El último rango utilizado fue r2 en cada grupo.

Si no se encuentra ninguna dirección libre, la búsqueda avanza así: C > D > A > B > C > D, entonces se detiene.

  1. Se busca el grupo C, siguiente dirección a través de highAddress en el rango r2.

  2. Se busca el grupo C, siguiente dirección a través de highAddress en el rango r3.

  3. Se busca el grupo C, siguiente dirección a través de highAddress en el rango r1.

    Se han buscado todos los rangos del grupo C desde la siguiente dirección hasta la alta Dirección, por lo que la búsqueda se traslada al siguiente grupo vinculado de la cadena, D.

  4. Se busca el grupo D, siguiente dirección a través de alta dirección en el rango r2.

  5. Se busca el grupo D, siguiente dirección a través de alta dirección en el rango r3.

  6. Se busca el grupo D, siguiente dirección a través de alta dirección en el rango r1.

    Se ha buscado en todos los rangos del grupo D desde la siguiente Dirección hasta la altaAddress. El grupo D es el último grupo de la cadena, por lo que la búsqueda se mueve al primer grupo de la cadena, A.

  7. Se busca el grupo A, baja dirección a través de alta dirección en el rango r2.

  8. Se busca el grupo A, baja dirección a través de alta dirección en el rango r3.

  9. Se busca el grupo A, baja dirección a través de alta dirección en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo A, por lo que la búsqueda se traslada al siguiente conjunto vinculado de la cadena, B.

  10. Se busca el grupo B, baja dirección a alta en el rango r2.

  11. Se busca el grupo B, baja dirección a alta en el rango r3.

  12. Se busca el grupo B, baja dirección a alta en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo B, por lo que la búsqueda se traslada al siguiente conjunto vinculado de la cadena, C.

Este proceso continúa hasta que se ha buscado en todas las direcciones de todos los rangos de todos los grupos. El orden de búsqueda del grupo es C > D > A > B > C > D, luego se detiene. Dependiendo de dónde y si se encuentra una dirección, es posible que todos los grupos se busquen dos veces, incluso cuando el conjunto correspondiente es el primer grupo de la cadena. Por ejemplo, si el grupo A es el conjunto que coincide en este conjunto de condiciones, la búsqueda completa (suponiendo que no se encuentre ninguna dirección) sería A > B > C > D > A > B > C > D.

Descripción general de la configuración del conjunto de asignación de direcciones

La función de agrupación de asignación de direcciones admite la funcionalidad de administración de suscriptores, ya que le permite crear conjuntos de direcciones que pueden ser compartidos por diferentes aplicaciones de cliente. Un grupo de asignación de direcciones puede admitir direcciones IPv4 o IPv6. No puede usar el mismo grupo para ambos tipos de dirección.

Nota:

Los grupos de asignación de direcciones son completamente independientes de los grupos de direcciones LNS L2TP de servicios basados en PIC, que se crean con la address-pool instrucción en el [edit access] nivel de jerarquía, y de los grupos TDR, que se crean con la pool instrucción en el [edit services nat] nivel de jerarquía.

Para configurar un grupo de asignación de direcciones:

  1. Configure el nombre del grupo de asignación de direcciones y especifique las direcciones para el grupo.
  2. (Opcional) Configure rangos con nombre (subconjuntos) de direcciones.
  3. (Opcional) Excluya las direcciones o un rango de direcciones de los conjuntos de direcciones de la asignación.
  4. (Opcional) Configure los vínculos del grupo de asignación de direcciones y especifique el grupo secundario que se utilizará cuando el grupo principal esté completamente asignado.
  5. (Opcional) Configure la espera del grupo de asignación de direcciones para que no se asignen direcciones adicionales del grupo identificado. Esto también se conoce como drenaje pasivo.
  6. (Opcional) Configure el drenaje rápido del conjunto de asignación de direcciones, también conocido como drenaje activo, para evitar con gracia la asignación adicional de direcciones del grupo e impedir que los clientes existentes renueven los arrendamientos de direcciones del grupo.
  7. (Opcional) Cree enlaces de direcciones estáticas (solo IPv4).
  8. (Opcional) Habilite la protección de direcciones duplicadas para evitar que se usen direcciones más de una vez.
  9. (Opcional) Configure atributos para clientes DHCP.

Configurar un nombre y direcciones de un grupo de asignación de direcciones

Para configurar un grupo de asignación de direcciones, debe especificar el nombre del grupo y configurar las direcciones para el grupo.

Para configurar un grupo de asignación de direcciones IPv4:

  1. Configure el nombre del grupo y especifique la familia IPv4.
  2. Configure la dirección de red y la longitud del prefijo de las direcciones del grupo.

Para configurar un grupo de asignación de direcciones IPv6:

  1. Configure el nombre del grupo y especifique la familia IPv6.

  2. Configure el prefijo de red IPv6 para el conjunto de direcciones. La especificación del prefijo es necesaria cuando configure un grupo de asignación de direcciones IPv6.

Configurar un rango de direcciones con nombre para la asignación dinámica de direcciones

Opcionalmente, puede configurar varios rangos o subconjuntos con nombre de direcciones dentro de un grupo de asignación de direcciones. Durante la asignación dinámica de direcciones, se puede asignar a un cliente una dirección de un rango específico con nombre. Para crear un rango con nombre, especifique un nombre para el rango y defina el intervalo de direcciones.

Para crear un rango con nombre dentro de un grupo de asignación de direcciones IPv4:

  1. Especifique el nombre del grupo de asignación de direcciones y de la familia IPv4.
  2. Configure el nombre del rango y los límites inferiores y superiores de las direcciones del rango.

Para crear un rango con nombre dentro de un grupo de asignación de direcciones IPv6:

  1. Especifique el nombre del grupo de asignación de direcciones y de la familia IPv6.

  2. Configure el nombre del rango y defina el rango. Puede definir el intervalo en función de los límites inferior y superior de los prefijos del intervalo o según la longitud de los prefijos del rango.

Prevención de la asignación de direcciones desde un conjunto de direcciones

Puede excluir direcciones o intervalos de direcciones especificados para evitar que se asignen desde un conjunto de direcciones. Por ejemplo, es posible que desee reservar ciertas direcciones o rangos que se usarán solo para suscriptores estáticos. Cuando configure una dirección o rango de direcciones que se excluirán, y la dirección o una dirección dentro del intervalo ya se asignó, que el suscriptor asignó esa dirección está cerrado de sesión, la dirección se desasigna y la dirección está marcada para exclusión.

Para excluir que se asigne una dirección o un rango de direcciones en un conjunto de direcciones:

  • Especifique una dirección individual.

  • Especifique y asigne un nombre a un intervalo de direcciones consecutivas.

Por ejemplo, la siguiente configuración parcial para un conjunto de direcciones IPv4 define un rango, r1, de direcciones para asignar, desde 192.168.0.10 hasta 192.168.128.250. Excluye una sola dirección, 192.168.110.10. Define además dos rangos, exclude1 y exclude2, que especifican dos conjuntos de direcciones consecutivas que no se pueden asignar desde el grupo.

De manera similar, la configuración del grupo v6-pool define un rango de direcciones que se van a asignar y un rango de direcciones que se excluyen de la asignación.

Para ver información acerca de las direcciones excluidas, puede utilizar cualquiera de los siguientes comandos:

Configurar trampas de uso de conjunto de asignación de direcciones

Puede recibir una advertencia avanzada de que un conjunto de direcciones o un conjunto vinculado de conjuntos de direcciones se está quedando corto con las direcciones disponibles mediante la configuración de capturas de umbral de uso (utilización). El uso y la utilización se utilizan indistintamente para significar el porcentaje de direcciones en un conjunto de direcciones que se asignan actualmente. Un conjunto de direcciones tiene asociados los siguientes umbrales SNMP que permiten que el servidor de direcciones local señale capturas SNMP cuando existan ciertas condiciones:

  • umbral de alta utilización: cuando el porcentaje de direcciones asignadas desde un conjunto de direcciones supera este valor, se genera una captura SNMP de alta utilización. El sistema envía mensajes de advertencia siempre que se supere este umbral.

  • umbral de utilización baja: cuando el porcentaje de direcciones asignadas desde un conjunto de direcciones cae por debajo de este valor, se genera una trampa de utilización abatida. El sistema deja de enviar los mensajes de advertencia. Por lo general, se establece el umbral de disminución de la utilización en menos que el umbral de alta utilización; no se puede poner más alto.

Los umbrales no tienen valores predeterminados. Si no configura estos umbrales, el sistema no envía una notificación de agotamiento inminente, ya que el porcentaje de direcciones asignadas se acerca al 100 %. El sistema envía una captura fuera de dirección solo cuando se asignaron todas las direcciones del conjunto de direcciones.

Nota:

A partir de Junos OS versión 19.2R1, la captura fuera de dirección no se envía a menos que se configuren tanto el umbral de alta utilización como el umbral de disminución de la utilización. Cuando se envía la captura fuera de dirección, también se envía un mensaje de syslog fuera de dirección.

Nota:

Puede configurar umbrales para todos los conjuntos de direcciones en el [edit access address-assignment] nivel de jerarquía o solo para conjuntos de direcciones en una instancia de enrutamiento especificada en el [edit routing-instance routing-instance-name] nivel de jerarquía. Las siguientes configuraciones muestran solo la [edit access] configuración.

Para establecer las trampas de umbral:

  • Especifique el umbral de alta utilización para los grupos de direcciones IPv4 o IPv6.

  • Especifique el umbral de menor utilización para grupos de direcciones IPv4 o IPv6.

En el ejemplo siguiente, el umbral alto se establece en un 95 % de uso y el umbral de disminución se establece en un 90 % de uso para grupos de direcciones IPv4. Cuando el número de direcciones asignadas supera el 95 % del conjunto de direcciones, se genera una trampa de alta utilización. Si se asignan todas las direcciones del grupo, se genera una trampa fuera de dirección y se envía un mensaje de syslog fuera de dirección. Cuando el número de direcciones asignadas cae por debajo del 90 por ciento del conjunto de direcciones, se genera la trampa de uso disminuido.

Configuración del vínculo del grupo de asignación de direcciones

El vínculo del grupo de asignación de direcciones le permite especificar un conjunto de direcciones secundario para que el enrutador lo use cuando el conjunto de asignación de direcciones principal o coincidente esté completamente asignado. Puede crear una cadena de varios grupos vinculados. Por ejemplo, puede vincular el grupo A al grupo B y el grupo B al grupo C. Puede vincular cualquier número de grupos en serie en una cadena, pero no puede crear varios vínculos hacia o desde el mismo grupo. Por ejemplo, no puede crear vínculos desde el grupo A al grupo B y al grupo C. Del mismo modo, el grupo C no se puede vincular desde el grupo A y el grupo B. Una consideración adicional es que todos los conjuntos de direcciones de una cadena deben ser del mismo tipo de familia, IPv4 o IPv6.

Cuando el conjunto de direcciones que coincide con los suscriptores no tiene direcciones disponibles, el enrutador pasa automáticamente al grupo vinculado y asigna direcciones de ese grupo. El enrutador usa un grupo vinculado solo cuando el conjunto de asignación de direcciones correspondiente está completamente asignado.

A partir de junos OS versión 18.1, el comportamiento cambia para saber cómo encontrar y asignar una dirección gratuita en una cadena de conjuntos de direcciones. Puede configurar grupos vinculados para que se busquen de una de dos maneras:

  • Asignación de dirección contigua: comportamiento predeterminado. Se realizan búsquedas en todas las direcciones de cada rango de un grupo. La búsqueda comienza en el conjunto emparejado, luego se traslada al primer conjunto de la cadena y, si es necesario, continúa por cada conjunto vinculado sucesivamente hasta el último conjunto de la cadena. En cada grupo, se busca una dirección gratuita en todas las direcciones de todos los rangos. Este método permite que las direcciones se asignen contiguamente; cada piscina tiene que estar llena antes de buscar otra piscina.

  • Asignación de direcciones no contiguas (agregadas): comportamiento cuando linked-pool-aggregation está configurado. Inicialmente, solo se buscan ciertas direcciones (desde la siguiente dirección hasta la alta Dirección) en cada rango del conjunto coincidente. La misma búsqueda se realiza en el conjunto vinculado, si es necesario, y continúa a través de cada conjunto vinculado sucesivo hasta el último conjunto de la cadena.

    Luego, la búsqueda se reinicia en el primer grupo de la cadena (no necesariamente el conjunto coincidente). Esta vez, se buscan todas las direcciones en todos los rangos, en todos los grupos hasta el final de la cadena.

Incluir la linked-pool-aggregation instrucción puede ser conveniente si configura el servidor RADIUS para que use la dirección IP sola para identificar a los suscriptores. Normalmente, el servidor RADIUS identifica a los suscriptores mediante el ID de sesión del suscriptor y otros criterios. Si usa solo la dirección IP, es posible que encuentre el siguiente problema con el comportamiento predeterminado cuando la linked-pool-aggregation instrucción no está configurada. Un suscriptor puede desconectar y esa dirección se puede asignar al siguiente suscriptor. Es posible que se envíe el mensaje Acct-Start para el segundo suscriptor antes de que se envíe el mensaje Acct-Stop para el suscriptor desconectado. Cuando se recibe el Acct-Stop, el nuevo suscriptor, identificado solo por la dirección IP, se puede desconectar.

Para evitar esta situación, incluya la instrucción o configure su linked-pool-aggregation servidor RADIUS para que use el ID de sesión del suscriptor (en lugar de la dirección IP) para la identificación.

Antes de comenzar, configure sus grupos de direcciones. Consulte Descripción general de la configuración del conjunto de asignación de direcciones.

Para vincular un grupo de asignación de direcciones a un grupo secundario:

  1. Especifique los nombres de los grupos que se vincularán.
  2. (Opcional) Configure la búsqueda para permitir la asignación de direcciones no homogéneas.

Por ejemplo, la configuración siguiente Pool_A a Pool_B y, luego, vincula Pool_B a Pool_C.

Configurar el grupo de asignación de direcciones con espera

La función de espera del conjunto de asignación de direcciones (también conocida como drenaje pasivo) le permite hacer una transición agraciada de un conjunto de direcciones activo a un estado inactivo. Cuando la agrupación se encuentra en estado inactivo, puede realizar un mantenimiento en él con seguridad sin afectar a ningún suscriptor actual (como agregar, cambiar o eliminar direcciones).

Cuando un grupo de asignación de direcciones se encuentra en estado de espera, no se asignan direcciones adicionales de ese grupo. Sin embargo, el estado de espera no afecta a ningún suscriptor existente que use direcciones asignadas anteriormente desde el grupo. A medida que los suscriptores existentes se desconectan, sus direcciones IP se marcan como gratuitas en el grupo, pero las direcciones no se reasignan debido al estado de espera del grupo. Con el tiempo, cuando todos los suscriptores se desconectan y sus direcciones se devuelven al grupo, el grupo se vuelve inactivo.

Para colocar un grupo de asignación de direcciones activo en estado de espera:

  1. Especifique el nombre del grupo de asignación de direcciones.
  2. Especifique que el grupo se encuentra en estado de espera para que no se puedan asignar direcciones adicionales desde el grupo.

Configuración del conjunto de direcciones locales de DHCP de drenaje rápido

Puede forzar al servidor local DHCP a dejar de asignar direcciones de un conjunto de direcciones local específico mediante la configuración de la agrupación al modo de drenaje activo. Este modo permite que el servidor termine con gracia a los suscriptores que ya están usando direcciones asignadas de ese grupo y los cambie a otro grupo. Cuando un suscriptor DHCP intenta renovar (en el tiempo de renovación T1) el arrendamiento de una dirección IP de un grupo configurado para el modo de drenaje activo, el servidor local DHCP responde con una NAK a la solicitud de renovación del suscriptor. Esta respuesta obliga al suscriptor a renegociar un arrendamiento. A continuación, el servidor asigna una nueva dirección IP desde un conjunto de direcciones alternativo que no está configurado para el drenaje activo.

El modo de drenaje activo ofrece una forma de drenar rápidamente a los suscriptores de un conjunto de direcciones. En consecuencia, cuanto más largo sea el tiempo de arrendamiento configurado para los suscriptores, más útil será el modo de drenaje activo. Si no configura el modo de drenaje activo para un grupo, para detener la asignación de sus direcciones, debe configurar el modo de drenaje pasivo o eliminar el grupo.

  • El modo de drenaje pasivo coloca el conjunto de direcciones en un estado de espera. No se asignan más direcciones del grupo, pero los suscriptores que actualmente utilizan una dirección asignada del grupo no se ven afectados. Los suscriptores existentes pueden envejecer. Cuando el suscriptor se desconecta (o un operador lo desconecta), se libera la dirección, pero no se puede reasignar. Con el tiempo, todos los suscriptores liberaron sus direcciones y el grupo ya no está activo. Dado que los arrendamientos para suscriptores activos se renuevan a pedido, el modo de drenaje pasivo puede tardar mucho más que el modo de drenaje activo para recuperar todas las direcciones del grupo.

  • La eliminación del grupo interrumpe el tráfico de cada suscriptor actual que usa una dirección de agrupación durante el tiempo necesario para que expire el arrendamiento y que el suscriptor renuego y obtenga un nuevo arrendamiento. El servidor elimina todos los suscriptores con una dirección del grupo eliminado. Los suscriptores intentan extender el arrendamiento, pero fallan porque se eliminó en el servidor. Cuando los suscriptores posteriormente intenten renegociar un nuevo arrendamiento, puede otorgarse con una dirección de un grupo diferente o de RADIUS.

Puede eliminar la configuración de drenaje activo antes de vaciar el conjunto de direcciones. En este caso, se pueden conceder extensiones de arrendamiento para suscriptores que aún tengan direcciones de este grupo. Esta recuperación es el mejor esfuerzo, ya que algunos suscriptores están en el proceso de cerrar sesión por el servidor cuando se elimina la configuración. Estos suscriptores no se pueden recuperar al grupo y deben renegociar un arrendamiento. Es posible que a estos suscriptores se les asigne una dirección de este grupo (porque está activo de nuevo) o de un grupo alternativo.

Si el cliente DHCP no recibe la notificación de que el conjunto de direcciones se está drenando, es posible que continúe concediendo extensiones de arrendamiento a los suscriptores que utilizan este grupo. Esta condición se indica cuando la dirección permanece vinculada al cliente más allá del tiempo T1 (hasta el tiempo T2) cuando debería haber sido recuperada por el grupo. En esta situación, elimine la configuración de drenaje activo y vuelva a configurarla para que la agrupación se drene a tiempo.

En caso de un reinicio de authd o jdhcpd, o de un cambio agraciado del motor de enrutamiento, algunos suscriptores a los que no se envió un NAK para iniciar la sesión de cierre de sesión podrían seguir utilizando direcciones del grupo. Cuando se complete el reinicio o GRES, authd envía a jdhcpd una notificación con una lista de suscriptores que aún tienen direcciones del grupo que está configurado para el drenaje activo. El drenaje de la piscina puede continuar.

Nota:

A partir de Junos OS versión 18.4R1, el método de asignación de direcciones determina el comportamiento posterior cuando authd notifica al proceso DHCP que un conjunto de direcciones se elimina o se está drenando.

  • Cuando se asignan direcciones a pedido, la familia con la dirección en ese grupo se cerrará la sesión inmediatamente cuando se elimine el grupo o se cerrará la sesión con gracia mediante el proceso de drenaje cuando se recibe un mensaje de renovación o reencuadernación de DHCP.

  • Cuando se preasignan las direcciones, las direcciones de ambas familias se eliminan inmediatamente cuando se elimina el grupo, o se eliminan con gracia mediante el proceso de drenaje cuando se recibe un mensaje de renovación o reencuadernación de DHCP.

Para configurar el servidor local DHCP para que deje de asignar direcciones desde un conjunto de direcciones:

  1. Acceda a la configuración del grupo de direcciones.
  2. Especifique el modo de drenaje activo para la agrupación.

Puede usar el comando para confirmar que el show network-access aaa statistics drenaje activo está configurado para un grupo.

Nota:

La función de drenaje activo tiene prioridad sobre la conservación de la dirección del prefijo. La conservación de la dirección puede garantizar que se asigne el mismo prefijo delegado al suscriptor según el identificador de circuito de acceso (ACI). Cuando un suscriptor con un prefijo preservado cierra sesión, la ACI y el prefijo se almacenan en la tabla de conservación de direcciones. Cuando ese suscriptor intenta iniciar sesión de nuevo, la dirección y la ACI se buscan en la tabla.

El modo de drenaje activo afecta a este comportamiento. Cuando el prefijo forma parte actualmente de un conjunto establecido en modo de drenaje activo, se elimina de la tabla y no se asigna al suscriptor cuando este intenta iniciar sesión de nuevo.

Si el drenaje activo se cancela mientras el cliente está en proceso de cerrar sesión, el prefijo y la cadena ACI se conservan en la tabla. En este caso, el prefijo se puede asignar a esa cadena ACI cuando el suscriptor inicia sesión de nuevo. Sin embargo, si el drenaje activo se cancela después de que el cliente ya haya cerrado sesión y se haya borrado la tabla del prefijo/asociación ACI, el suscriptor en un inicio de sesión posterior obtiene un prefijo del grupo que se reactiva y el prefijo podría ser diferente.

Configuración de la asignación estática de direcciones

Opcionalmente, puede crear un enlace de dirección IPv4 estático reservando una dirección específica para un cliente determinado. La dirección se quita del grupo de asignación de direcciones para que no se asigne a otro cliente. Cuando reserva una dirección, identifica el host del cliente y crea un enlace entre la dirección MAC del cliente y la dirección IP asignada. Los grupos de asignación de direcciones IPv6 no admiten el enlace de direcciones estáticas.

Para configurar un enlace estático para una dirección IPv4:

  1. Especifique el nombre del grupo de asignación de direcciones IPv4 que contiene la dirección IP que desea reservar para el cliente.
  2. Especifique el nombre del cliente para el enlace estático, la dirección MAC del cliente y la dirección IP que se reservarán para el cliente. Esta configuración especifica que al cliente con la dirección MAC 00:00:5E:00:53:90 siempre se le asigna la dirección IP 192.168.44.12.

Configuración de la protección de direcciones IPv4 duplicadas para AAA

A partir de Junos OS versión 14.1, si usa AAA para suministrar direcciones IPv4, puede habilitar la protección de direcciones duplicadas para evitar que se usen direcciones más de una vez. Si está habilitado, se comprueban los siguientes atributos recibidos de servidores externos:

  • Framed-IP-Address

  • Framed-Pool

A continuación, el enrutador realiza una de las siguientes acciones:

  • Si una dirección coincide con una dirección de un conjunto de direcciones, la dirección se toma del grupo, siempre que esté disponible.

  • Si la dirección ya está en uso, se rechaza por no estar disponible y el suscriptor existente que usa la dirección permanece intacto.

Para configurar la protección de direcciones duplicadas:

  1. Ingrese la access configuración.
  2. Habilite la protección de direcciones duplicadas.

A partir de Junos OS versión 18.4R1, opcionalmente puede habilitar la reasignación de una dirección que esté actualmente en uso cuando se configure la protección de direcciones mediante la inclusión de la reassign-on-match opción. Cuando está configurado, el enrutador desconecta al suscriptor existente y permite que el nuevo suscriptor se reenvía. El efecto de esta configuración es que la dirección en uso siempre se reasigna al nuevo suscriptor.

Un caso de uso de esta capacidad de anulación ocurre cuando un suscriptor móvil se cae accidentalmente desde el nodo de soporte GPRS (GGSN) de puerta de enlace, pero la GGSN mantiene la sesión L2TP del suscriptor activa durante algún período de tiempo. Cuando el cliente intenta volver a conectarse a través de un nodo diferente, la sesión no puede conectarse porque la sesión original sigue activa. La reasignación de dirección permite que la nueva sesión se anteasea a la sesión existente, lo que permite que el suscriptor vuelva a conectarse.

Nota:

El suscriptor existente solo se desconecta cuando la dirección es de un conjunto de direcciones de origen RADIUS. Cuando la dirección proviene de un conjunto de direcciones configurado localmente, la sesión de suscriptor existente permanece intacta.

Prácticas recomendadas:

No utilice la reassign-on-match opción cuando RADIUS está asignando direcciones contenidas en un conjunto de direcciones configuradas localmente porque hay una mayor probabilidad de colisión de direcciones. Recomendamos que no superponga direcciones de origen RADIUS con conjuntos de direcciones locales.

La reassign-on-match opción funciona de la siguiente manera:

  1. Un suscriptor negocia el acceso con una dirección IP determinada.

  2. El enrutador determina si esa dirección está en uso y de dónde proviene.

    • Cuando un suscriptor ya ha iniciado sesión con esa dirección, la dirección no forma parte de un grupo configurado localmente y la protección de dirección está habilitada:

      • El enrutador envía un NAK al nuevo suscriptor, rechazando la solicitud.

      • El enrutador envía una solicitud de desconexión al suscriptor existente. La solicitud de desconexión incluye un ID de terminación para informar la causa del cierre de sesión.

      • El nuevo suscriptor (rechazado) puede volver a negociar y se le asigna la dirección IP.

    • Cuando un suscriptor ya ha iniciado sesión con esa dirección y la dirección se asignó desde un conjunto de direcciones locales:

      • El enrutador envía un NAK al nuevo suscriptor, rechazando la solicitud.

      • El enrutador no envía una solicitud de desconexión al suscriptor existente.

Cuando se agrega reassign-on-match a una configuración existente de protección de direcciones duplicadas, se aplica inmediatamente para los suscriptores existentes. De manera similar, si se elimina reassign-on-match de una configuración, esta se hace efectiva de inmediato, de modo que una solicitud posterior de acceso con una dirección en uso no dé lugar a la finalización del suscriptor existente.

Para habilitar la reasignación de direcciones:

Ejemplo: Configurar un grupo de asignación de direcciones

Requisitos

Visión general

Configuración

En este ejemplo, se muestra una configuración de grupo de asignación de direcciones que crea dos grupos, uno para clientes DHCP IPv4 (isp_1) y un segundo grupo (chi-fiber-ra) que se utiliza para el anuncio de enrutador.

Configuración rápida de CLI

En este ejemplo, se crea un grupo de asignación de direcciones IPv4 denominado isp-1, que contiene dos intervalos de direcciones con nombre y southeast northeast. El grupo de asignación de direcciones también contiene un enlace estático para el cliente host host.example.net. La configuración de ISP_1 agrupación también incluye la dhcp-attributes instrucción, que indica que el grupo se usa para los clientes DHCP. Si la entrada de la opción 82 circuit-id coincide con la cadena fiber, DHCP asigna al cliente una dirección del northeast intervalo. Si la opción 82 circuit-id coincide con la cadena cable_net, DHCP asigna una dirección del southeast intervalo.

El segundo grupo de asignación de direcciones creado en este ejemplo es chi-fiber-ra. La neighbor-discovery-router-advertisement instrucción al principio de la sintaxis especifica que este conjunto de asignación de direcciones se utiliza para el anuncio del enrutador. La sintaxis al final del ejemplo configura el grupo de asignación de direcciones denominado chi-fiber-ra.

Tabla de historial de versiones
Lanzamiento
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, la captura fuera de dirección no se envía a menos que se configuren tanto el umbral de alta utilización como el umbral de disminución de la utilización.
18.4R1
A partir de Junos OS versión 18.4R1, opcionalmente puede habilitar la reasignación de una dirección que esté actualmente en uso cuando se configure la protección de direcciones mediante la inclusión de la reassign-on-match opción.
18.1R1
A partir de Junos OS versión 18.1R1, el mecanismo de búsqueda de una dirección disponible procede a través de una cadena de grupos vinculados. Este comportamiento permite que DHCP busque direcciones contiguamente.
18.1R1
A partir de Junos OS versión 18.1R1, puede excluir una dirección especificada o un intervalo de direcciones consecutivas para evitar que se asignen desde un conjunto de direcciones.
18.1R1
A partir de junos OS versión 18.1, el comportamiento cambia para saber cómo encontrar y asignar una dirección gratuita en una cadena de conjuntos de direcciones.
14.1
A partir de Junos OS versión 14.1, si usa AAA para suministrar direcciones IPv4, puede habilitar la protección de direcciones duplicadas para evitar que se usen direcciones más de una vez.