Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Grupos de asignación de direcciones para la administración de suscriptores

Descripción general de los grupos de asignación de direcciones

El grupo de asignación de direcciones permite crear grupos de direcciones IPv4 e IPv6 centralizados independientemente de las aplicaciones cliente que utilizan los grupos. El proceso authd administra los grupos y la asignación de direcciones, ya sea que las direcciones provengan de grupos locales o de un servidor RADIUS.

Por ejemplo, varias aplicaciones cliente, como DHCP, pueden usar el mismo conjunto de asignación de direcciones para proporcionar direcciones para sus clientes particulares. Las aplicaciones cliente pueden adquirir direcciones para clientes autenticados o no autenticados. El grupo seleccionado para un suscriptor, basado en el servidor RADIUS o la coincidencia de red u otra regla, se denomina grupo coincidente para el suscriptor.

Tipos de asignación de direcciones

Los grupos de asignación de direcciones admiten la asignación de direcciones dinámica y estática. En la asignación dinámica de direcciones, a un cliente se le asigna automáticamente una dirección del conjunto de asignación de direcciones. En la asignación de direcciones estáticas, que solo se admite para grupos IPv4, se reserva una dirección que luego siempre utiliza un cliente determinado. Las direcciones que están reservadas para la asignación estática se eliminan del conjunto dinámico de direcciones y no se pueden asignar a otros clientes.

Rangos de direcciones con nombre en el grupo de asignación de direcciones

Puede configurar rangos de direcciones con nombre dentro de un grupo de asignación de direcciones. Un rango con nombre es un subconjunto del rango de direcciones general. Una aplicación cliente puede usar rangos con nombre para administrar la asignación de direcciones en función de criterios específicos del cliente. Por ejemplo, para grupos de asignación de direcciones IPv4, puede crear un rango con nombre que se base en un valor específico de la opción 82 de DHCP. A continuación, cuando una solicitud de cliente DHCP coincide con el valor de la opción 82 especificado, se asigna una dirección del intervalo especificado al cliente.

Asignación de direcciones desde grupos de direcciones vinculados

Puede vincular agrupaciones de asignación de direcciones para proporcionar agrupaciones de respaldo para la asignación de direcciones. Cuando no hay direcciones disponibles en el conjunto de direcciones principal o coincidente, el dispositivo procede automáticamente al conjunto de direcciones vinculado (secundario) para buscar una dirección disponible para asignar.

Aunque el primer grupo de una cadena de grupos vinculados generalmente se considera el grupo principal, un grupo coincidente no es necesariamente el primer grupo de la cadena.

Usemos un ejemplo sobre cómo funciona el mecanismo de búsqueda. Considere una cadena de tres grupos: A, B y C. El grupo A es el grupo principal, el grupo B es el grupo coincidente para ciertos suscriptores según la información devuelta por el servidor de RADIUS. La búsqueda de una dirección disponible para esos suscriptores utiliza la siguiente secuencia:

  • De forma predeterminada, primero se busca en el grupo coincidente (grupo B).

  • La búsqueda se mueve al primer grupo (Grupo A) de la cadena si no se encuentra la dirección.

  • La búsqueda continúa a través de la cadena (Grupo C) hasta que se encuentra y asigna una dirección disponible, o hasta que la búsqueda determina que no hay direcciones libres.

  • En cada grupo, todos los rangos de direcciones se buscan completamente en busca de una dirección.

Puede configurar la linked-pool-aggregation instrucción para que comience a buscar dentro de un bloque de direcciones en cada rango del grupo coincidente y, a continuación, sucesivamente a través de los grupos vinculados. Luego, la búsqueda vuelve al primer grupo de la cadena y busca todas las direcciones en todos los rangos de cada grupo a través del último grupo de la cadena.

Estado de retención del conjunto de direcciones

Puede configurar un conjunto de asignación de direcciones en estado de espera. Cuando el conjunto de direcciones está en estado de retención, el conjunto ya no está disponible para asignar direcciones IP para los suscriptores. Esta configuración transforma el grupo activo en un estado inactivo, ya que las direcciones asignadas anteriormente se devuelven al grupo. Cuando el grupo está inactivo, puede realizar el mantenimiento del grupo de forma segura sin afectar a ningún suscriptor activo.

Conjunto de asignación de direcciones para el anuncio del enrutador de Neighbor Discovery

Puede asignar explícitamente un conjunto de asignación de direcciones para el anuncio del enrutador de detección de vecinos (NDRA).

Exclusión de direcciones o rangos de direcciones especificados

Por ejemplo, es posible que desee reservar ciertas direcciones o rangos para que se usen solo para suscriptores estáticos. Cuando configura una dirección o un rango para excluirse, y la dirección o una dirección dentro del rango ya se ha asignado, se cierra la sesión del suscriptor, se desasigna la dirección y se marca la dirección para su exclusión.

Requisito de licencia

Esta función requiere una licencia. Para obtener más información sobre las licencias de acceso de suscriptor, consulte Descripción general de licencias de acceso de suscriptor. Consulte la Guía de licencias de Juniper para obtener información general acerca de la administración de licencias. Consulte las hojas de datos de los productos para obtener más detalles o comuníquese con su equipo de cuenta de Juniper o su socio de Juniper.

Beneficios de los grupos de asignación de direcciones

  • La función de conjunto de asignación de direcciones admite tanto la administración de suscriptores como la administración de DHCP.

  • Puede crear agrupaciones centralizadas de direcciones independientes de las aplicaciones cliente.

  • Puede especificar bloques de direcciones, rangos con nombre, de modo que un grupo de direcciones determinado se pueda utilizar para proporcionar direcciones diferentes para diferentes aplicaciones cliente o para suscriptores que coincidan con diferentes conjuntos de criterios.

  • Puede vincular grupos para asegurarse de que los grupos se busquen en busca de direcciones libres de una manera específica, contigua o no contigua.

  • Puede realizar una transición correcta de un grupo de direcciones de activo a inactivo especificando que no se asignen más direcciones del grupo.

Asignación de direcciones desde grupos de direcciones vinculados

Puede vincular agrupaciones de asignación de direcciones en una cadena para proporcionar agrupaciones de respaldo para la asignación de direcciones. El grupo seleccionado para un suscriptor, basado en el servidor RADIUS o la coincidencia de red o alguna otra regla, se denomina grupo coincidente o emparejado para el suscriptor. Es posible que el grupo coincidente no sea el primer grupo (principal) de la cadena. Cuando no hay direcciones disponibles para la asignación del conjunto de direcciones principal o coincidente, el enrutador o conmutador procede automáticamente a otro conjunto de direcciones para buscar una dirección disponible para asignar. Cuando la búsqueda no descubre direcciones disponibles en ninguna parte, la búsqueda se detiene y no se asigna ninguna dirección para el suscriptor.

El comportamiento de búsqueda determina no solo cómo progresa la búsqueda a lo largo de una cadena de grupos vinculados, sino también en qué rangos de direcciones dentro de cada grupo se busca. Dependiendo de dónde comience la búsqueda, su configuración y si se han liberado las direcciones asignadas anteriormente, la búsqueda puede continuar en el siguiente grupo de direcciones vinculado de la cadena o volver al primer grupo de la cadena.

La búsqueda de una dirección disponible comienza en el grupo que coincide con el suscriptor. En muchos casos, el grupo correspondiente es también el primer grupo de la cadena. Para algunos suscriptores, el grupo correspondiente está más abajo en la cadena. Por ejemplo, puede configurar el servidor RADIUS para especificar el segundo grupo de una cadena en lugar del primero en función de algunos criterios que coincidan durante la autenticación. Para otro ejemplo, puede especificar diferentes rangos de direcciones para distintos grupos de suscriptores; Si un grupo en particular coincide con un suscriptor, depende de qué grupos estén configurados para los diferentes rangos de direcciones.

Los siguientes términos se utilizan para explicar los detalles del comportamiento de búsqueda:

  • lowAddress: la dirección más baja de un rango determinado dentro de un grupo de direcciones.

  • highAddress: la dirección más alta en un rango determinado dentro de un grupo de direcciones.

  • nextAddress: la siguiente dirección después de la última dirección asignada en un rango determinado dentro de un conjunto de direcciones. Esta es la dirección que se espera que se asigne a continuación. Esta dirección, así como el último rango utilizado, se guarda como punto de partida para las búsquedas.

Por ejemplo, supongamos que el grupo A tiene un único rango que incluye las siguientes direcciones: 192.0.2.1, 192.0.2.2, 192.0.2.3 y 192.0.2.4. En este caso, 192.0.2.1 es lowAddress y 190.0.2.4 es highAddress. Si 192.0.2.2 fue la última dirección asignada de este grupo, nextAddress es 192.0.2.3.

A partir de la versión 18.1R1 de Junos OS, puede configurar los grupos vinculados para que se busquen de una de estas dos maneras:

  • Asignación de direcciones contiguas: este es el comportamiento predeterminado. Se buscan todas las direcciones en cada rango de un grupo. La búsqueda comienza en el grupo emparejado, luego se mueve al primer grupo de la cadena y, si es necesario, continúa a través de cada grupo vinculado sucesivamente hasta el último grupo de la cadena. En cada grupo, se busca una dirección libre en todas las direcciones de todos los rangos. Este método permite asignar direcciones de forma contigua; Cada grupo tiene que estar lleno antes de buscar en otro grupo.

  • Asignación de direcciones no contiguas (agregadas): comportamiento cuando se configura la linked-pool-aggregation instrucción. Inicialmente, solo se buscan ciertas direcciones (de nextAddress a highAddress) en cada rango del grupo coincidente. La misma búsqueda se realiza en el grupo vinculado y, si es necesario, continúa a través de cada grupo vinculado sucesivamente hasta el último grupo de la cadena.

    Luego, la búsqueda se reinicia en el primer grupo de la cadena (no necesariamente el grupo coincidente). Esta vez, se buscan todas las direcciones en todos los rangos, en todos los grupos hasta el final de la cadena.

Esa es la funcionalidad básica, pero los detalles de ambas búsquedas son bastante complejos. La Figura 1 muestra el comportamiento de búsqueda predeterminado.

Figura 1: Asignación de direcciones predeterminada de grupos Flowchart showing address allocation from a pool. It matches a pool, searches ranges for a free address, allocates it if found, or continues searching linked pools if not. de direcciones vinculados

Por ejemplo, supongamos que existen las siguientes condiciones:

  • Grupos de direcciones vinculados A, B, C y D. El grupo C coincide.

  • Cada grupo tiene tres rangos de direcciones, r1, r2 y r3. El último rango utilizado fue r2 en cada piscina.

Si no se encuentra ninguna dirección libre, la búsqueda procede así: C > A > B > C > D, luego se detiene.

  1. Se busca en el grupo C, nextAddress a highAddress en el rango r2.

  2. Se busca en el grupo C, lowAddress a nextAddress en el rango r2.

  3. Se busca en el grupo C, nextAddress a highAddress en el rango r3.

  4. Se busca en el grupo C, lowAddress a nextAddress en el rango r3.

  5. Se busca en el grupo C, nextAddress a highAddress en el rango r1.

  6. Se busca en el grupo C, lowAddress a nextAddress en el rango r1.

    Se han buscado todos los rangos y direcciones en el grupo C, por lo que la búsqueda se mueve al primer grupo de la cadena, A.

  7. Se busca en el grupo A, nextAddress a highAddress en el rango r2.

  8. Se busca en el grupo A, lowAddress a nextAddress en el rango r2.

  9. Se busca en el grupo A, nextAddress a highAddress en el rango r3.

  10. Se busca en el grupo A, lowAddress a nextAddress en el rango r3.

  11. Se busca en el grupo A, nextAddress a highAddress en el rango r1.

  12. Se busca en el grupo A, lowAddress a nextAddress en el rango r1.

    Se han buscado todos los rangos y direcciones en el grupo A, por lo que la búsqueda se mueve al siguiente grupo vinculado en la cadena, B.

Este proceso continúa hasta que se hayan buscado todas las direcciones en todos los rangos en todos los grupos. El orden de búsqueda del grupo es C > A > B > C > D, luego se detiene. Dependiendo de dónde y si se encuentra una dirección, es posible que se busque dos veces en el grupo coincidente. Esto es cierto a menos que el grupo correspondiente sea el primer grupo de la cadena. Por ejemplo, si el grupo A es el grupo coincidente en este conjunto de condiciones, la búsqueda completa (suponiendo que no se encuentre ninguna dirección) sería A > B > C > D.

La figura 2 muestra el comportamiento de búsqueda cuando se incluye la linked-pool-aggregation instrucción.

Figura 2: Asignación de direcciones agregada de grupos Flowchart showing address allocation process from a pool; match pool, search ranges for free address, allocate if found, check all ranges searched and if last pool in chain, move to linked pools or stop search. de direcciones vinculados

Por ejemplo, considere que existen las mismas condiciones que para el ejemplo predeterminado:

  • Grupos de direcciones vinculados A, B, C y D. El grupo C coincide.

  • Cada grupo tiene tres rangos de direcciones, r1, r2 y r3. El último rango utilizado fue r2 en cada piscina.

Si no se encuentra ninguna dirección libre, la búsqueda procede así: C > D > A > B > C > D, luego se detiene.

  1. Se busca en el grupo C, nextAddress a highAddress en el rango r2.

  2. Se busca en el grupo C, nextAddress a highAddress en el rango r3.

  3. Se busca en el grupo C, nextAddress a highAddress en el rango r1.

    Se ha buscado en todos los rangos del grupo C desde nextAddress hasta highAddress, por lo que la búsqueda se mueve al siguiente grupo vinculado en la cadena, D.

  4. Se busca en el grupo D, nextAddress a highAddress en el rango r2.

  5. Se busca en el grupo D, nextAddress a highAddress en el rango r3.

  6. Se busca en el grupo D, nextAddress a highAddress en el rango r1.

    Se ha buscado en todos los rangos del grupo D desde nextAddress hasta highAddress. El grupo D es el último grupo de la cadena, por lo que la búsqueda se mueve al primer grupo de la cadena, A.

  7. Se busca en el grupo A, lowAddress a highAddress en el rango r2.

  8. Se busca en el grupo A, lowAddress a highAddress en el rango r3.

  9. Se busca en el grupo A, lowAddress a highAddress en el rango r1.

    Se han buscado todos los rangos y direcciones en el grupo A, por lo que la búsqueda se mueve al siguiente grupo vinculado en la cadena, B.

  10. Se busca en el grupo B, lowAddress a highAddress en el rango r2.

  11. Se busca en el grupo B, lowAddress a highAddress en el rango r3.

  12. Se busca en el grupo B, lowAddress a highAddress en el rango r1.

    Se han buscado todos los rangos y direcciones del grupo B, por lo que la búsqueda se mueve al siguiente grupo vinculado en la cadena, C.

Este proceso continúa hasta que se hayan buscado todas las direcciones en todos los rangos en todos los grupos. El orden de búsqueda del grupo es C > D > A > B > C > D, luego se detiene. Dependiendo de dónde y si se encuentra una dirección, es posible que se busquen dos veces en todos los grupos, incluso cuando el grupo coincidente es el primer grupo de la cadena. Por ejemplo, si el grupo A es el grupo coincidente en este conjunto de condiciones, la búsqueda completa (suponiendo que no se encuentre ninguna dirección) sería A > B > C > D > A > B > C > D.

Descripción general de la configuración del conjunto de asignación de direcciones

La característica de agrupación de asignación de direcciones admite la funcionalidad de administración de suscriptores, ya que permite crear agrupaciones de direcciones que pueden compartir diferentes aplicaciones cliente. Un conjunto de asignación de direcciones puede admitir direcciones IPv4 o direcciones IPv6. No puede utilizar el mismo conjunto para ambos tipos de dirección.

Nota:

Los conjuntos de asignación de direcciones son completamente independientes de los conjuntos de direcciones LNS L2TP basados en PIC, que se crean con la address-pool instrucción en el nivel de jerarquía, y los [edit access] grupos TDR, que se crean con la pool instrucción en el nivel de [edit services nat] jerarquía.

Para configurar un conjunto de asignación de direcciones:

  1. Configure el nombre del grupo de asignación de direcciones y especifique las direcciones del grupo.

    Consulte Configuración de un nombre y direcciones de agrupación de asignación de direcciones.

  2. (Opcional) Configure rangos de direcciones con nombre (subconjuntos).

    Consulte Configuración de un rango de direcciones con nombre para la asignación dinámica de direcciones.

  3. (Opcional) Excluya direcciones o un rango de direcciones en grupos de direcciones de la asignación.

    Consulte Impedir que se asignen direcciones desde un grupo de direcciones.

  4. (Opcional) Configure la vinculación del grupo de asignación de direcciones y especifique el grupo secundario que se utilizará cuando el grupo principal esté completamente asignado.

    Consulte Configuración de la vinculación del conjunto de asignación de direcciones.

  5. (Opcional) Configure la retención del conjunto de asignación de direcciones para que no se asignen direcciones adicionales del conjunto identificado. Esto también se conoce como drenaje pasivo.

    Consulte Configuración de la retención del conjunto de asignación de direcciones.

  6. (Opcional) Configure el drenaje rápido del grupo de asignación de direcciones, también conocido como drenaje activo, para evitar la asignación de direcciones adicionales del grupo y evitar que los clientes existentes renueven las concesiones de direcciones del grupo.

    Consulte Configuración del purgado rápido del conjunto de direcciones locales de DHCP.

  7. (Opcional) Cree enlaces de direcciones estáticas (solo IPv4).

    Consulte Configuración de la asignación de direcciones estáticas.

  8. (Opcional) Habilite la protección de direcciones duplicadas para evitar que las direcciones se utilicen más de una vez.

    Consulte Configurar la protección de direcciones IPv4 duplicadas para AAA.

  9. (Opcional) Configure atributos para clientes DHCP.

    Consulte Configurar atributos específicos del cliente DHCP aplicados cuando los clientes obtienen una dirección.

Ver también

Configuración de un nombre y direcciones de conjunto de asignación de direcciones

Para configurar un grupo de asignación de direcciones, debe especificar el nombre del grupo y configurar las direcciones del grupo.

Para configurar un conjunto de asignación de direcciones IPv4:

  1. Configure el nombre del grupo y especifique la familia IPv4.
  2. Configure la dirección de red y la longitud del prefijo de las direcciones del grupo.

Para configurar un conjunto de asignación de direcciones IPv6:

  1. Configure el nombre del grupo y especifique la familia IPv6.

  2. Configure el prefijo de red IPv6 para el conjunto de direcciones. La especificación de prefijo es necesaria cuando se configura un conjunto de asignación de direcciones IPv6.

Configuración de un rango de direcciones con nombre para la asignación dinámica de direcciones

Opcionalmente, puede configurar varios rangos o subconjuntos con nombre de direcciones dentro de un conjunto de asignación de direcciones. Durante la asignación dinámica de direcciones, a un cliente se le puede asignar una dirección de un rango con nombre específico. Para crear un rango con nombre, especifique un nombre para el rango y defina el rango de direcciones.

Para crear un intervalo con nombre dentro de un conjunto de asignación de direcciones IPv4:

  1. Especifique el nombre del conjunto de asignación de direcciones y de la familia IPv4.
  2. Configure el nombre del rango y los límites inferior y superior de las direcciones en el rango.

Para crear un intervalo con nombre dentro de un conjunto de asignación de direcciones IPv6:

  1. Especifique el nombre del conjunto de asignación de direcciones y de la familia IPv6.

  2. Configure el nombre del rango y defina el rango. Puede definir el rango en función de los límites inferior y superior de los prefijos del rango, o en función de la longitud de los prefijos del rango.

Impedir que se asignen direcciones desde un conjunto de direcciones

Puede excluir direcciones o rangos de direcciones especificados para evitar que se asignen de un grupo de direcciones. Por ejemplo, es posible que desee reservar ciertas direcciones o rangos para que se usen solo para suscriptores estáticos. Cuando configura una dirección o un rango de direcciones para excluirse, y la dirección o una dirección dentro del rango ya se ha asignado, el suscriptor al que se le asignó esa dirección cierra la sesión, la dirección se desasigna y la dirección se marca para su exclusión.

Para excluir una dirección o un rango de direcciones de un conjunto de direcciones de la asignación:

  • Especifique una dirección individual.

  • Especifique y asigne un nombre a un rango de direcciones consecutivas.

Por ejemplo, la siguiente configuración parcial para un conjunto de direcciones IPv4 define un rango, r1, de direcciones que se van a asignar, de 192.168.0.10 a 192.168.128.250. Excluye una única dirección, 192.168.110.10. Además, define dos rangos, exclude1 y exclude2, que especifican dos conjuntos de direcciones consecutivas que no se pueden asignar desde el grupo.

Del mismo modo, la configuración de pool v6-pool define un rango de direcciones que se van a asignar y un rango de direcciones que se excluyen de la asignación.

Para ver información sobre las direcciones excluidas, puede utilizar cualquiera de los siguientes comandos:

Configuración de trampas de umbral de uso de conjunto de asignación de direcciones

Puede recibir una advertencia anticipada de que un grupo de direcciones o un conjunto vinculado de grupos de direcciones se está quedando sin direcciones disponibles si establece trampas de umbral de uso (utilización). El uso y la utilización se usan indistintamente para referirse al porcentaje de direcciones en un grupo de direcciones que están asignadas actualmente. Un grupo de direcciones tiene asociados los siguientes umbrales SNMP que permiten al servidor de direcciones local señalar capturas SNMP cuando existen ciertas condiciones:

  • umbral de alta utilización: cuando el porcentaje de direcciones asignadas desde un conjunto de direcciones supera este valor, se genera una captura de SNMP de alta utilización. El sistema envía mensajes de advertencia siempre que se supere este umbral.

  • Umbral de utilización reducida: cuando el porcentaje de direcciones asignadas desde un conjunto de direcciones cae por debajo de este valor, se genera una trampa de utilización reducida. El sistema deja de enviar los mensajes de advertencia. Normalmente, el umbral de utilización reducida se establece en menos que el umbral de utilización alta; no puedes ponerlo más alto.

Los umbrales no tienen valores predeterminados. Si no configura estos umbrales, el sistema no enviará una notificación de agotamiento inminente a medida que el porcentaje de direcciones asignadas se acerca al 100 %. El sistema envía una captura de fuera de dirección solo cuando se han asignado todas las direcciones del conjunto de direcciones.

Nota:

A partir de la versión 19.2R1 de Junos OS, la trampa de dirección fuera de dirección no se envía a menos que se configuren tanto el umbral de utilización alta como el umbral de utilización reducida. Cuando se envía la captura de fuera de dirección, también se envía un mensaje syslog fuera de dirección.
Nota:

Puede configurar umbrales para todos los grupos de direcciones en el nivel jerárquico [edit access address-assignment] o solo para los grupos de direcciones en una instancia de enrutamiento especificada en el nivel jerárquico [edit routing-instance routing-instance-name] . Las configuraciones siguientes muestran solo la [edit access] configuración.

Para establecer las trampas de umbral:

  • Especifique el umbral de alta utilización para los grupos de direcciones IPv4 o IPv6.

  • Especifique el umbral de utilización reducida para los grupos de direcciones IPv4 o IPv6.

En el ejemplo siguiente, el umbral alto se establece en un 95 % de uso y el umbral reducido se establece en un 90 % de uso para grupos de direcciones IPv4. Cuando el número de direcciones asignadas supera el 95 % del conjunto de direcciones, se genera una trampa de alta utilización. Si todas las direcciones se asignan desde el grupo, se genera una trampa de fuera de dirección y se envía un mensaje syslog fuera de dirección. Cuando el número de direcciones asignadas cae por debajo del 90 por ciento del conjunto de direcciones, se genera la trampa de utilización reducida.

Configuración de la vinculación del conjunto de asignación de direcciones

La vinculación del conjunto de asignación de direcciones permite especificar un conjunto de direcciones secundario para que el enrutador lo utilice cuando el conjunto de asignación de direcciones principal o coincidente esté totalmente asignado. Puede crear una cadena de varios grupos vinculados. Por ejemplo, puede vincular el grupo A al grupo B y vincular el grupo B al grupo C. Puede vincular cualquier número de agrupaciones en serie en una cadena, pero no puede crear varios vínculos hacia o desde la misma agrupación. Por ejemplo, no puede crear vínculos desde el grupo A al grupo B y al grupo C. Del mismo modo, el grupo C no se puede vincular tanto desde el grupo A como desde el grupo B. Una consideración adicional es que todos los conjuntos de direcciones en una cadena deben ser del mismo tipo de familia, IPv4 o IPv6.

Cuando el conjunto de direcciones que coincide con los suscriptores no tiene direcciones disponibles, el enrutador cambia automáticamente al conjunto vinculado y asigna direcciones de ese conjunto. El enrutador utiliza un conjunto vinculado sólo cuando el conjunto de asignación de direcciones coincidente está totalmente asignado.

A partir de Junos OS versión 18.1, el comportamiento cambia en cuanto a cómo buscar y asignar una dirección libre en una cadena de conjuntos de direcciones. Puede configurar los grupos vinculados para que se busquen de una de estas dos maneras:

  • Asignación de direcciones contiguas: comportamiento predeterminado. Se buscan todas las direcciones en cada rango de un grupo. La búsqueda comienza en el grupo emparejado, luego se mueve al primer grupo de la cadena y, si es necesario, continúa a través de cada grupo vinculado sucesivamente hasta el último grupo de la cadena. En cada grupo, se busca una dirección libre en todas las direcciones de todos los rangos. Este método permite asignar direcciones de forma contigua; Cada grupo tiene que estar lleno antes de buscar en otro grupo.

  • Asignación de direcciones no contiguas (agregadas): comportamiento cuando linked-pool-aggregation está configurado. Inicialmente, solo se buscan ciertas direcciones (de nextAddress a highAddress) en cada rango del grupo coincidente. La misma búsqueda se realiza en el grupo vinculado, si es necesario, y continúa a través de cada grupo vinculado sucesivo hasta el último grupo de la cadena.

    Luego, la búsqueda se reinicia en el primer grupo de la cadena (no necesariamente el grupo coincidente). Esta vez, se buscan todas las direcciones en todos los rangos, en todos los grupos hasta el final de la cadena.

Incluir la linked-pool-aggregation instrucción puede ser deseable si configura el servidor RADIUS para que utilice solo la dirección IP para identificar a los suscriptores. Por lo general, el servidor de RADIUS identifica a los suscriptores utilizando el ID de sesión del suscriptor y otros criterios. Si solo usa la dirección IP, es posible que encuentre el siguiente problema con el comportamiento predeterminado cuando la linked-pool-aggregation instrucción no está configurada. Un suscriptor puede desconectarse y esa dirección se puede asignar al siguiente suscriptor. El mensaje Acct-Start para el segundo suscriptor puede enviarse antes de que se envíe el mensaje Acct-Stop para el suscriptor desconectado. Cuando se recibe la Acct-Stop, el nuevo suscriptor, identificado solo por la dirección IP, puede desconectarse.

Puede evitar esta situación incluyendo la linked-pool-aggregation instrucción o configurando el servidor RADIUS para que utilice el ID de sesión del suscriptor (en lugar de la dirección IP) para la identificación.

Antes de comenzar, configure sus grupos de direcciones. Consulte Descripción general de la configuración del conjunto de asignación de direcciones.

Para vincular un conjunto de asignación de direcciones a un grupo secundario:

  1. Especifique los nombres de los grupos que se van a vincular.
  2. (Opcional) Configure la búsqueda para permitir la asignación de direcciones no contiguas.

Por ejemplo, los siguientes vínculos de configuración Pool_A a Pool_B y, a continuación, Pool_B vínculos a Pool_C.

Configuración de la retención del conjunto de asignación de direcciones

La función de retención del grupo de asignación de direcciones, también conocida como drenaje pasivo, le permite realizar una transición elegante de un grupo de direcciones activo a un estado inactivo. Cuando el grupo está en estado inactivo, puede realizar mantenimiento de forma segura en el grupo sin afectar a ningún suscriptor actual (como agregar, cambiar o eliminar direcciones).

Cuando un conjunto de asignación de direcciones está en estado de espera, no se asignan direcciones adicionales de ese grupo. Sin embargo, el estado de espera no afecta a ningún suscriptor existente que esté utilizando direcciones asignadas previamente desde el grupo. A medida que los suscriptores existentes se desconectan, sus direcciones IP se marcan como libres en el grupo, pero las direcciones no se reasignan debido al estado de retención del grupo. Eventualmente, cuando todos los suscriptores se hayan desconectado y sus direcciones se devuelvan al grupo, el grupo se vuelve inactivo.

Para colocar un conjunto de asignación de direcciones activo en el estado de retención:

  1. Especifique el nombre del conjunto de asignación de direcciones.
  2. Especifique que el grupo esté en estado de espera para que no se puedan asignar direcciones adicionales desde el grupo.

Configuración del druso rápido del conjunto de direcciones locales de DHCP

Puede forzar al servidor local DHCP para que deje de asignar direcciones desde un conjunto de direcciones local específico configurando el grupo en modo de purga activa. Este modo permite al servidor terminar correctamente a los suscriptores que ya están utilizando direcciones asignadas de ese grupo y transferirlos a otro grupo. Cuando un suscriptor DHCP intenta renovar (en el momento de la renovación T1) la concesión de una dirección IP de un grupo ahora configurado para el modo de purga activa, el servidor local DHCP responde con un NAK a la solicitud de renovación del suscriptor. Esta respuesta obliga al suscriptor a renegociar un arrendamiento. A continuación, el servidor asigna una nueva dirección IP desde un conjunto de direcciones alternativo que no está configurado para purga activa.

El modo de vaciado activo proporciona una manera de vaciar rápidamente a los suscriptores de un conjunto de direcciones. En consecuencia, cuanto mayor sea el tiempo de concesión configurado para los suscriptores, más útil puede ser el modo de purga activa. Si no configura el modo de purga activa para una agrupación, para detener la asignación de sus direcciones, debe configurar el modo de purga pasiva o eliminar la agrupación.

  • El modo de drenaje pasivo coloca el conjunto de direcciones en un estado de retención. No se asignan más direcciones desde el grupo, pero los suscriptores que actualmente usan una dirección asignada del grupo no se verán afectados. Los suscriptores existentes pueden envejecer. Cuando el suscriptor se desconecta (o es desconectado por un operador), la dirección se libera, pero no se puede reasignar. Eventualmente, todos los suscriptores han liberado sus direcciones y el grupo ya no está activo. Dado que las concesiones de los suscriptores activos se renuevan a petición, el modo de purga pasiva puede tardar mucho más que el modo de purga activa en recuperar todas las direcciones del grupo.

  • La eliminación de agrupación interrumpe el tráfico para cada suscriptor actual que utiliza una dirección de agrupación durante el tiempo que tarde en caducar la concesión y para que el suscriptor renegocie y obtenga una nueva concesión. El servidor elimina todos los suscriptores con una dirección del grupo eliminado. Los suscriptores intentan ampliar la concesión, pero fallan porque la concesión se eliminó en el servidor. Cuando los suscriptores intentan posteriormente renegociar un nuevo arrendamiento, se le puede otorgar una dirección de un grupo diferente o de RADIUS.

Puede suprimir la configuración de drenaje activo antes de que se vacíe el conjunto de direcciones. En este caso, se pueden otorgar extensiones de arrendamiento para suscriptores que aún tengan direcciones de este grupo. Esta recuperación es el mejor esfuerzo, ya que algunos suscriptores están en el proceso de cerrar la sesión del servidor cuando se elimina la configuración. Estos suscriptores no se pueden recuperar en el grupo y deben renegociar un contrato de arrendamiento. A estos suscriptores se les puede asignar una dirección de este grupo (porque está activo de nuevo) o de un grupo alternativo.

Si el cliente DHCP no recibe la notificación de que se está purgando el conjunto de direcciones, puede seguir concediendo extensiones de concesión a los suscriptores que utilizan este grupo. Esta condición se indica cuando la dirección permanece vinculada al cliente más allá del tiempo T1 (hasta el tiempo T2) cuando debería haber sido recuperada por el grupo. En esta situación, elimine la configuración de drenaje activo y, a continuación, vuelva a configurarla para el grupo para asegurarse de que el grupo se vacíe de manera oportuna.

En el caso de un reinicio de authd o jdhcpd, o de un cambio normal del motor de enrutamiento, es posible que algunos suscriptores para los que no se haya enviado un NAK para iniciar el cierre de sesión sigan utilizando las direcciones de agrupación. Cuando se completa el reinicio o GRES, authd envía a jdhcpd una notificación con una lista de suscriptores que aún tienen direcciones del grupo que está configurado para drenaje activo. El drenaje de la piscina puede continuar.

Nota:

A partir de la versión 18.4R1 de Junos OS, el método de asignación de direcciones determina el comportamiento subsiguiente cuando authd notifica al proceso DHCP que se ha eliminado o se está purgando un conjunto de direcciones.

  • Cuando las direcciones se asignan a petición, la familia con la dirección en ese grupo se desconecta inmediatamente cuando se elimina el conjunto o se cierra la sesión correctamente mediante el proceso de purga cuando se recibe un mensaje de renovación o reenlazación de DHCP.

  • Cuando las direcciones están preasignadas, las direcciones de ambas familias se eliminan inmediatamente cuando se elimina el conjunto o se eliminan correctamente mediante el proceso de purga cuando se recibe un mensaje de renovación o reenlace de DHCP.

Para configurar el servidor local DHCP para que deje de asignar direcciones desde un conjunto de direcciones:

  1. Acceda a la configuración del grupo de direcciones.
  2. Especifique el modo de drenaje activo para la piscina.

Puede utilizar el comando para confirmar que el show network-access aaa statistics drenaje activo está configurado para una piscina.

Nota:

La característica de drenaje activo tiene prioridad sobre la conservación de la dirección del prefijo. La preservación de direcciones puede garantizar que se asigne el mismo prefijo delegado al suscriptor según el identificador de circuito de acceso (ACI). Cuando un suscriptor con un prefijo conservado cierra la sesión, el ACI y el prefijo se almacenan en la tabla de conservación de direcciones. Cuando ese suscriptor intenta iniciar sesión de nuevo, la dirección y ACI se buscan en la tabla.

El modo de drenaje activo afecta a este comportamiento. Cuando el prefijo forma parte actualmente de un grupo establecido en modo de purga activa, se elimina de la tabla y no se asigna al suscriptor cuando el suscriptor intenta iniciar sesión de nuevo.

Si se cancela el drenaje activo mientras el cliente está en el proceso de cerrar sesión, el prefijo y la cadena ACI se conservan en la tabla. En este caso, el prefijo se puede asignar a esa cadena ACI cuando el suscriptor vuelva a iniciar sesión. Sin embargo, si el drenaje activo se cancela después de que el cliente ya haya cerrado la sesión y la tabla se haya borrado de la asociación prefijo/ACI, el suscriptor en un inicio de sesión posterior obtiene un prefijo del grupo que se reactiva y el prefijo podría ser diferente.

Ver también

Configuración de la asignación de direcciones estáticas

Opcionalmente, puede crear un enlace de dirección IPv4 estático reservando una dirección específica para un cliente en particular. La dirección se elimina del conjunto de asignación de direcciones para que no se asigne a otro cliente. Cuando reserva una dirección, identifica el host del cliente y crea un enlace entre la dirección MAC del cliente y la dirección IP asignada. Los conjuntos de asignación de direcciones IPv6 no admiten el enlace de direcciones estáticas.

Para configurar un enlace estático para una dirección IPv4:

  1. Especifique el nombre del conjunto de asignación de direcciones IPv4 que contiene la dirección IP que desea reservar para el cliente.
  2. Especifique el nombre del cliente para el enlace estático, la dirección MAC del cliente y la dirección IP que desea reservar para el cliente. Esta configuración especifica que al cliente con la dirección MAC 00:00:5E:00:53:90 siempre se le asigna la dirección IP 192.168.44.12.

Configuración de la protección de direcciones IPv4 duplicadas para AAA

A partir de Junos OS versión 14.1, si utiliza AAA para proporcionar direcciones IPv4, puede habilitar la protección de direcciones duplicadas para evitar que las direcciones se utilicen más de una vez. Si está habilitado, se comprueban los siguientes atributos recibidos de servidores externos:

  • Framed-IP-Address

  • Framed-Pool

A continuación, el enrutador realiza una de las siguientes acciones:

  • Si una dirección coincide con una dirección de un grupo de direcciones, la dirección se toma del grupo, siempre que esté disponible.

  • Si la dirección ya está en uso, se rechaza como no disponible y el suscriptor existente que utiliza la dirección permanece intacto.

Para configurar la protección de direcciones duplicadas:

  1. Introduzca la access configuración.
  2. Habilite la protección de direcciones duplicadas.

A partir de la versión 18.4R1 de Junos OS, puede habilitar opcionalmente la reasignación de una dirección que esté actualmente en uso cuando la protección de direcciones está configurada si incluye la reassign-on-match opción. Cuando se configura, el enrutador desconecta el suscriptor existente y permite que el nuevo suscriptor renegocie. El efecto de esta configuración es que la dirección en uso siempre se reasigna al nuevo suscriptor.

Un caso de uso para esta capacidad de anulación ocurre cuando un suscriptor móvil se cae accidentalmente del nodo de soporte GPRS de puerta de enlace (GGSN), pero el GGSN mantiene activa la sesión L2TP del suscriptor durante algún período de tiempo. Cuando el cliente intenta volver a conectarse a través de un nodo diferente, la sesión no puede conectarse porque la sesión original sigue activa. La reasignación de direcciones permite que la nueva sesión se adelante a la sesión existente, lo que permite al suscriptor volver a conectarse.

Nota:

El suscriptor existente solo se desconecta cuando la dirección es de un conjunto de direcciones de origen RADIUS. Cuando la dirección procede de un conjunto de direcciones configurado localmente, la sesión del suscriptor existente permanece intacta.
Práctica recomendada:

No utilice esta reassign-on-match opción cuando RADIUS esté asignando direcciones contenidas en un conjunto de direcciones configurado localmente, ya que existe una mayor probabilidad de colisión de direcciones. Recomendamos que no superponga direcciones de origen de RADIUS con grupos de direcciones locales.

La reassign-on-match opción funciona de la siguiente manera:

  1. Un suscriptor negocia el acceso con una dirección IP determinada.

  2. El enrutador determina si esa dirección está en uso y de dónde proviene.

    • Cuando un suscriptor ya ha iniciado sesión con esa dirección, la dirección no forma parte de un grupo configurado localmente y la protección de direcciones está habilitada:

      • El enrutador envía un NAK al nuevo suscriptor, rechazando la solicitud.

      • El enrutador envía una solicitud de desconexión al suscriptor existente. La solicitud de desconexión incluye un ID de terminación para informar la causa del cierre de sesión.

      • El nuevo suscriptor (rechazado) puede renegociar y se le asigna la dirección IP.

    • Cuando un suscriptor ya ha iniciado sesión con esa dirección y la dirección se asignó desde un grupo de direcciones local:

      • El enrutador envía un NAK al nuevo suscriptor, rechazando la solicitud.

      • El enrutador no envía una solicitud de desconexión al suscriptor existente.

Cuando se agrega reassign-on-match a una configuración de protección de direcciones duplicadas existente, esta surte efecto inmediatamente para los suscriptores existentes. Del mismo modo, si elimina reassign-on-match de una configuración, surtirá efecto inmediatamente, de modo que una solicitud de acceso posterior con una dirección en uso no dé lugar a la terminación del suscriptor existente.

Para habilitar la reasignación de direcciones:

Ver también

Ejemplo: Configuración de un conjunto de asignación de direcciones

Requisitos

Cree el conjunto de asignación de direcciones de acceso de red. Para expandir el grupo automáticamente cuando alcance el 100 % de uso, para hacer coincidir los nuevos rangos de grupo con el tamaño original del grupo, use una máscara de red diferente para cada grupo.

Nota: Existe una restricción para el rango de IP cuando vinculamos dos grupos de asignación de direcciones. No podemos crear 2 grupos de direcciones con el mismo prefijo de red. Podemos crear grupos de direcciones con diferentes prefijos de red y vincularlos si es necesario.

Descripción general

Configuración

En este ejemplo se muestra una configuración de agrupación de asignación de direcciones que crea dos agrupaciones, una para clientes DHCP IPv4 (isp_1) y una segunda agrupación (chi-fiber-ra) que se utiliza para el anuncio del enrutador.

Configuración rápida de CLI

En este ejemplo, southeast se crea un conjunto de asignación de direcciones IPv4 denominado isp-1, que contiene dos intervalos de direcciones con nombre y northeast. El conjunto de asignación de direcciones también contiene un enlace estático para el clientehost host.example.net. La configuración del grupo ISP_1 también incluye la dhcp-attributes instrucción, que indica que el grupo se utiliza para clientes DHCP. Si la entrada de la opción 82 circuit-id coincide con la cadena fiber, DHCP asigna al cliente una dirección del northeast rango. Si la opción 82 circuit-id coincide con la cadenacable_net, DHCP asigna una dirección del southeast rango.

El segundo conjunto de asignación de direcciones creado en este ejemplo es chi-fiber-ra. La neighbor-discovery-router-advertisement instrucción al principio de la sintaxis especifica que este conjunto de asignación de direcciones con nombre se utiliza para el anuncio del enrutador. La sintaxis al final del ejemplo configura el conjunto de asignación de direcciones denominado chi-fiber-ra.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.2R1
A partir de la versión 19.2R1 de Junos OS, la trampa de dirección fuera de dirección no se envía a menos que se configuren tanto el umbral de utilización alta como el umbral de utilización reducida.
18.4R1
A partir de la versión 18.4R1 de Junos OS, puede habilitar opcionalmente la reasignación de una dirección que esté actualmente en uso cuando la protección de direcciones está configurada si incluye la reassign-on-match opción.
18.1R1
A partir de la versión 18.1R1 de Junos OS, el mecanismo de búsqueda de una dirección disponible avanza a través de una cadena de agrupaciones vinculadas. Este comportamiento permite que DHCP busque direcciones de forma contigua.
18.1R1
A partir de Junos OS versión 18.1R1, puede excluir una dirección especificada o un rango de direcciones consecutivas para impedir que se asignen desde un conjunto de direcciones.
18.1R1
A partir de Junos OS versión 18.1, el comportamiento cambia en cuanto a cómo buscar y asignar una dirección libre en una cadena de conjuntos de direcciones.
14.1
A partir de Junos OS versión 14.1, si utiliza AAA para proporcionar direcciones IPv4, puede habilitar la protección de direcciones duplicadas para evitar que las direcciones se utilicen más de una vez.