Conservación de direcciones IPv4 para suscriptores PPP de doble pila mediante la asignación de direcciones IPv4 bajo demanda
Conservación de direcciones IPv4 para suscriptores PPP de doble pila mediante la asignación de direcciones IPv4 bajo demanda
En un caso de red de acceso de doble pila sobre PPP, la sesión de doble pila permanece en ejecución mientras la sesión IPv4 o IPv6 esté activa. De forma predeterminada, cuando un suscriptor finaliza la sesión IPv4, el BNG conserva la dirección IPv4 asignada por AAA al iniciar sesión. La dirección no se libera mientras se ejecuta la sesión PPP de doble pila. Si la sesión IPv4 se renegocia mientras la sesión se está ejecutando, se asigna la misma dirección IPv4 a la sesión IPv4 del suscriptor. Esta funcionalidad da como resultado un uso ineficiente de las direcciones IPv4.
Puede conservar direcciones IPv4 configurando el enrutador para liberar la dirección IPv4 si un suscriptor ya no utiliza un servicio IPv4. Esta función proporciona asignación o desasignación de direcciones IP a petición después de la autenticación PPP inicial y la asignación de direcciones o prefijos IPv6.
La configuración a petición no surte efecto cuando la dirección IP de destino (par) se configura estáticamente en la familia inet de la interfaz PPP.
Descripción general de la negociación y liberación de direcciones IPv4 bajo demanda para suscriptores de PPP estáticos
En este tema se describe cómo funciona la asignación y desasignación de direcciones IPv4 bajo demanda para suscriptores PPP estáticos de doble pila.
- Negociación de dirección IPv4 para suscriptores PPP estáticos
- Liberación de direcciones IPv4 para suscriptores PPP estáticos
Negociación de dirección IPv4 para suscriptores PPP estáticos
El proceso para la negociación de direcciones IPv4 para una familia de inet estática y una dirección a través de una interfaz PPP estática es el siguiente:
Se establece el protocolo de control de vínculo PPP (LCP) y se negocia con éxito un protocolo de control IPv6.
La puerta de enlace de red de banda ancha (BNG) recibe una solicitud de configuración de protocolo de protocolo de Internet (IPCP) con una opción de dirección IPv4 0.0.0.0 del equipo local del cliente (CPE).
El BNG envía una solicitud de configuración IPCP con una opción de dirección IPv4 local al CPE.
El BNG envía un mensaje de solicitud de acceso con el VSA de control de liberación IPv4 (26-164) (si está configurado) al servidor de RADIUS.
El BNG recibe un ACK de configuración IPCP del CPE.
El BNG recibe un mensaje de aceptación de acceso del servidor de RADIUS.
Si se recibe un atributo Framed-IP-Address, el BNG realiza una comprobación de dirección duplicada (si está configurado). Si una comprobación de dirección duplicada se completa con éxito, PPP continúa la negociación IPCP con el CPE. De lo contrario, toda la sesión PPP se desactiva mediante el envío de una solicitud de terminación LCP al CPE.
Si se recibe un atributo Framed-Pool, la dirección IPv4 se asigna desde el grupo de direcciones locales especificado configurado en el BNG. Si el conjunto de direcciones IP no está configurado en el BNG y no hay ningún otro grupo de IP disponible, el BNG envía un mensaje de rechazo de protocolo LCP al CPE.
Si no se recibe ni un atributo Framed-IP-Address ni un atributo Framed-Pool, el BNG asigna una dirección IPv4 desde uno de los grupos de direcciones locales configurados. Si el BNG no puede asignar una dirección IPv4, el BNG envía un mensaje de rechazo de protocolo LCP al CPE.
Si los filtros ADFv4 están presentes en el mensaje de aceptación de acceso, deben volver a instalarse para ese suscriptor en el BNG.
Si hay direcciones DNS IPv4 principal y secundaria en el mensaje de aceptación de acceso, ambas deben actualizarse para ese suscriptor en el BNG. Si hay una dirección DNS principal IPv4 o una dirección DNS secundaria IPv4 en el mensaje de aceptación de acceso, solo es necesario actualizar la dirección DNS correspondiente para ese suscriptor.
Si no hay una dirección IPv4 disponible y el BNG recibe un mensaje de rechazo de acceso del servidor RADIUS, ocurre lo siguiente:
Si el mensaje de rechazo de acceso incluye el VSA de control de liberación IPv4 (26-164), el BNG envía una solicitud de terminación IPCP al CPE. El CPE puede entonces renegociar el PNC de IP.
Si el mensaje de rechazo de acceso no incluye el VSA de control de liberación IPv4 (26-164), el BNG envía un mensaje de rechazo de protocolo LCP al CPE. El CPE debe renegociar el vínculo LCP antes de que se le permita renegociar el NCP IP.
Si el mensaje de rechazo de acceso de RADIUS incluye el campo Terminate-Request de IPCP, el texto del atributo Responder mensaje (18) se agrega a la información en el campo Terminate-Request y se mostrará en los datos de PPP.
Si no hay respuesta del servidor RADIUS, IPCP finaliza.
El BNG envía un IPCP Configure NACK con la nueva opción de dirección IPv4 al CPE.
El servicio de política segura del suscriptor (si está presente para la familia inet) está activado.
El BNG envía inmediatamente un mensaje de contabilidad provisional (si está configurado) con el VSA IPv4-Release-Control (26-164) (si está configurado) y el atributo Framed-IP-Address al servidor de RADIUS.
El BNG recibe una solicitud de configuración IPCP con la nueva opción de dirección IPv4 del CPE.
El BNG recibe una respuesta de contabilidad provisional del servidor de RADIUS.
El BNG envía un ACK de configuración de IPCP al CPE.
Liberación de direcciones IPv4 para suscriptores PPP estáticos
El proceso para la liberación de direcciones IPv4 para la familia de inet estática y la dirección a través de la interfaz PPP estática es el siguiente:
El BNG recibe una solicitud de terminación IPCP del CPE.
El BNG envía un ACK de terminación IPCP al CPE.
Se producen las siguientes acciones:
Se elimina la instancia del servicio de política segura del suscriptor (si está presente para la familia inet).
Si se asignó una dirección IPv4 desde un conjunto de direcciones local, la dirección estará disponible.
La entrada de dirección IPv4 se borra del registro de suscriptor.
El BNG envía un mensaje de contabilidad provisional inmediato (si está configurado) con el VSA IPv4-Release-Control (26-164) (si está configurado) al servidor RADIUS y no se incluye el atributo Framed-IP-Address.
Las estadísticas de sesión de usuario se conservan para toda la sesión PPP y no se borran cuando se libera la dirección IPv4.
El BNG recibe una respuesta de contabilidad provisional del servidor de RADIUS.
No se realiza ninguna acción en el BNG independientemente de si recibe o no una respuesta del servidor de RADIUS.
Descripción general de la negociación y liberación de direcciones IPv4 bajo demanda para suscriptores de PPP dinámico
En este tema se describe cómo funciona la asignación y desasignación de direcciones IPv4 bajo demanda para suscriptores PPP dinámicos de doble pila.
- Negociación de direcciones IPv4 para suscriptores PPP dinámicos
- Liberación de dirección IPv4 para suscriptores PPP dinámicos
Negociación de direcciones IPv4 para suscriptores PPP dinámicos
El proceso para la negociación de direcciones IPv4 para una familia de inet dinámica y una dirección a través de una interfaz PPP estática es el siguiente:
Se establece el protocolo de control de vínculo PPP (LCP) y se negocia correctamente el protocolo de control IPv6.
La puerta de enlace de red de banda ancha (BNG) recibe un Protocolo de control de protocolo de Internet (IPCP) Configure la solicitud con una opción de dirección IPv4 0.0.0.0 del CPE.
El BNG envía un mensaje de solicitud de acceso con el VSA de control de liberación IPv4 (26-164) (si está configurado) al servidor de RADIUS.
El BNG recibe un mensaje de aceptación de acceso del servidor de RADIUS.
Si se recibe un atributo Framed-IP-Address, se realiza una comprobación de dirección duplicada (si está configurado) en el BNG. Si una comprobación de dirección duplicada se completa con éxito, PPP continúa la negociación IPCP con el CPE. De lo contrario, toda la sesión PPP se desactiva mediante el envío de una solicitud de terminación LCP al CPE.
Si se recibe el atributo Framed-Pool, la dirección IPv4 se asigna desde el grupo de direcciones locales especificado configurado en el BNG. Si el conjunto no está configurado en el BNG y no hay ningún otro grupo IP disponible, se envía un rechazo del protocolo IPCP al CPE.
Si no se recibe ni un atributo Framed-IP-Address ni un atributo Framed-Pool, el BNG asigna una dirección IPv4 desde uno de los grupos de direcciones locales configurados. Si el BNG no puede asignar una dirección IPv4, se envía un rechazo de protocolo IPCP al CPE.
Si los filtros ADFv4 están presentes en el mensaje de aceptación de acceso, deben volver a instalarse para ese suscriptor en la BNG.
Si hay direcciones DNS IPv4 principal y secundaria en el mensaje de aceptación de acceso, ambas deben actualizarse para ese suscriptor en el BNG. Si hay una dirección DNS principal IPv4 o una dirección DNS secundaria IPv4 en el mensaje de aceptación de acceso, solo es necesario actualizar la dirección DNS correspondiente para ese suscriptor.
Si no hay una dirección IPv4 disponible y el BNG recibe un mensaje de rechazo de acceso del servidor RADIUS, ocurre lo siguiente:
Si el mensaje de rechazo de acceso incluye el VSA de control de liberación IPv4 (26-164), el BNG envía una solicitud de terminación IPCP al CPE. El CPE puede entonces renegociar el PNC de IP.
Si el mensaje de rechazo de acceso no incluye el VSA de control de liberación IPv4 (26-164), el BNG envía un mensaje de rechazo de protocolo LCP al CPE. El CPE debe renegociar el vínculo LCP antes de que se le permita renegociar el NCP IP.
Si el mensaje de rechazo de acceso de RADIUS incluye el campo Terminate-Request de IPCP, el texto del atributo #18 de Reply Message se agrega a la información en el campo Terminate-Request y se mostrará en los datos PPP.
Si se recibe un mensaje de desafío de acceso en lugar de un mensaje de aceptación de acceso, el rechazo del protocolo IPCP se envía al CPE.
Si no hay respuesta del servidor RADIUS, IPCP finaliza.
El BNG envía un IPCP Configure NACK con la nueva opción de dirección IPv4 al CPE.
Se agregan la familia de inet dinámica y la dirección local, y se crean instancias de todos los servicios IPv4 (inet de familia) para el perfil de cliente dinámico.
El BNG envía una solicitud de configuración IPCP con una opción de dirección IPv4 local al CPE.
El BNG envía inmediatamente un mensaje de contabilidad provisional (si está configurado) con el VSA IPv4-Release-Control (26-164) (si está configurado) y un atributo Framed-IP-Address al servidor de RADIUS.
Se crean instancias de todos los servicios IPv4, como los filtros de datos ascendentes (ADF) y los filtros de firewall, para el perfil de servicio dinámico y el servicio de interceptación legal (si está presente para la familia inet) y se envían al servidor RADIUS los mensajes de inicio de contabilidad de servicio (si la contabilidad de servicio está configurada y el servicio IPv4 no forma parte de un perfil de servicio multifamiliar). Si la creación de instancias de servicio falla, IPCP finaliza y se inicia un proceso de liberación de dirección IPv4.
El BNG recibe una solicitud de configuración IPCP con una nueva opción de dirección IPv4 del CPE.
El BNG envía un ACK de configuración de IPCP al CPE.
El BNG recibe una respuesta de inicio de contabilidad de servicio del servidor de RADIUS.
El BNG recibe una respuesta de contabilidad provisional del servidor de RADIUS.
El BNG recibe un ACK de configuración IPCP del CPE.
Liberación de dirección IPv4 para suscriptores PPP dinámicos
El proceso para la liberación de direcciones IPv4 para la familia de inet dinámica y la dirección a través de una interfaz PPP estática es el siguiente:
El BNG recibe una solicitud de terminación IPCP del CPE.
El BNG envía un ACK de terminación IPCP al CPE.
Se producen las siguientes acciones:
Se eliminan todos los servicios IPv4 (inet de familia) para el perfil de cliente dinámico y se eliminan la familia de inet dinámica y la dirección local.
Se descrean todos los servicios IPv4, como los filtros de datos ascendentes (ADF) y los filtros de firewall para un perfil de servicio dinámico y el servicio de interceptación legal (si está presente para la familia inet). Los mensajes de detención de la contabilidad del servicio (si la contabilidad de servicio está configurada y el servicio IPv4 no forma parte de un perfil de servicio multifamiliar) se envían al servidor de RADIUS.
Si se asignó una dirección IPv4 desde un conjunto de direcciones locales, entonces está disponible.
La entrada de dirección IPv4 se borra del registro de suscriptor
El BNG envía un mensaje de contabilidad provisional inmediato (si está configurado) con el VSA IPv4-Release-Control (26-164) (si está configurado) al servidor RADIUS y no se debe incluir el atributo Framed-IP-Address.
Las estadísticas de sesión de usuario y las estadísticas de sesión de servicio para el servicio multifamiliar se conservan durante toda la sesión PPP y no se borran cuando se libera la dirección IPv4.
El BNG recibe una respuesta de contabilidad provisional del servidor de RADIUS.
No se realiza ninguna acción en el BNG, ya sea que reciba o no una respuesta del servidor de RADIUS.
Negociación IPCP con dirección IP de par opcional
Durante el funcionamiento normal de una negociación del protocolo de control de protocolo de Internet (IPCP), si el cliente del protocolo punto a punto (PPP) no solicita una dirección IP específica, el servidor de la serie MX envía una dirección IP obtenida de RADIUS o del conjunto de direcciones locales.
Normalmente, cuando el CPE negocia una dirección IP aprovisionada estáticamente, el BNG recibe una dirección IP de trama de 255.255.255.255 y, opcionalmente, una ruta de trama, durante la autorización de PPP. El CPE presenta la dirección IP WAN configurada en la opción Dirección IP del mensaje confReq de IPCP. Luego, el BNG acepta la dirección propuesta por el par.
En algunos otros casos, sin embargo, la dirección IP pública del suscriptor se aprovisiona localmente en la CPE, pero no se negocia explícitamente a través de IPNCP. Si el cliente PPP busca una dirección IP específica, al recibir un NAK del servidor, envía un mensaje confReq sin especificar la opción de dirección IP. En este caso, aunque el servidor envíe un mensaje confAck IPCP, el servidor finaliza el cliente porque el servidor requiere una dirección IP del cliente.
Puede configurar la peer-ip-address-optional instrucción para permitir que la negociación IPCP se realice correctamente aunque el par no incluya la opción de dirección IP en una solicitud de configuración IPCP para suscriptores del protocolo punto a punto sobre Ethernet (PPPoE) estáticos y dinámicos, y terminados y tunelizados. De forma predeterminada, esta instrucción está deshabilitada. Esta característica también admite alta disponibilidad (HA) y actualización de software en servicio unificada (ISSU unificada).
Si el cliente no incluye la opción de dirección IP en una solicitud de configuración IPCP y la negociación IPCP se realiza correctamente mediante la configuración de la peer-ip-address-optional instrucción, el servidor no tiene la dirección IP del cliente.
Si el cliente incluye la opción dirección IP en una solicitud de configuración IPCP, no importa si la peer-ip-address-optional instrucción está configurada, ya que el suscriptor siempre está disponible y el servidor tiene la dirección IP del cliente.
Una dirección IP de RADIUS o del grupo local se asigna al cliente y la ruta hacia ella se agrega al servidor aunque el cliente no tenga asignada esta dirección. IPCP se realiza correctamente y el suscriptor pasa a estar disponible. Si desea que el servidor tenga la ruta a la dirección IP solicitada por el cliente, utilice el atributo Framed-Route RADIUS o configure rutas estáticas. El cliente agrega o configura rutas estáticas hacia el servidor para un reenvío adecuado.
Ver también
Cómo se utilizan los atributos RADIUS durante la autenticación cuando la asignación de direcciones a petición está habilitada
A continuación se describe el comportamiento de la puerta de enlace de enlace de borde (BNG) durante la autenticación cuando la asignación de direcciones IP a petición está habilitada:
Si el servidor RADIUS devuelve un atributo Framed-IP-Address, el BNG no va al servidor RADIUS para la asignación de direcciones en la primera negociación del Protocolo de control de protocolo de Internet (IPCP). Utiliza el atributo Framed-IP-Address devuelto en el mensaje inicial de aceptación de acceso. Los mensajes de inicio de contabilidad y los mensajes periódicos de contabilidad provisional incluyen el atributo Dirección IP entramada. Los mensajes de contabilidad provisional inmediata no se envían al servidor de RADIUS. La asignación de direcciones es similar al proceso descrito para un suscriptor estático o dinámico.
Cuando se devuelve una dirección IP enmarcada desde el servidor RADIUS durante la autenticación y el equipo local del cliente (CPE) no negocia IPCP, la dirección IPv4 no se libera independientemente de si la asignación de direcciones IP a demanda está habilitada o no.
Si el servidor RADIUS devuelve un atributo Framed-Pool. el BNG no va al servidor RADIUS para la asignación de direcciones tras la primera negociación IPCP y asigna una dirección IPv4 del conjunto de direcciones locales especificado. Los mensajes de inicio de contabilidad y los mensajes periódicos de contabilidad provisional no incluyen el atributo Framed-IP-Address hasta la negociación del IPCP. Los mensajes de contabilidad provisional inmediata (si están configurados) se envían al servidor de RADIUS. La asignación de direcciones es similar al proceso descrito para un suscriptor estático o dinámico.
Si el servidor RADIUS no devuelve el atributo Framed-IP-Address o el atributo Framed-Pool. La asignación de direcciones es similar al proceso descrito para un suscriptor estático o dinámico. Dado que IPCP es el único protocolo de control de red (NCP) activo para estos suscriptores, toda la sesión PPP finaliza tras una solicitud de terminación IPCP y se envía un mensaje de detención de contabilidad al servidor RADIUS. En este caso, los mensajes de contabilidad provisional inmediata para liberar la dirección IPv4 no se envían en este caso.
Configuración de la asignación de direcciones IPv4 estáticas bajo demanda para suscriptores PPP de doble pila
Para configurar la asignación de direcciones IPv4 estáticas bajo demanda para suscriptores PPP de doble pila:
Configuración de la asignación dinámica de direcciones IPv4 bajo demanda para suscriptores PPP de doble pila
Para configurar la asignación dinámica de direcciones IPv4 bajo demanda para suscriptores PPP de doble pila:
Configuración de la asignación global de direcciones IPv4 bajo demanda para suscriptores PPP de doble pila
Para configurar la asignación de direcciones IP IPv4 estáticas bajo demanda para suscriptores PPP de doble pila a nivel del sistema:
Habilitación de mensajes de contabilidad provisionales inmediatos para cambios de dirección IPv4 a pedido
Para permitir que el BNG envíe un mensaje de contabilidad provisional inmediato:
Habilitación del control de liberación IPv4 VSA (26–164) en mensajes RADIUS
Cuando utiliza la asignación de direcciones a petición para suscriptores PPP de doble pila, puede configurar el BNG para que incluya el VSA de control de liberación IPv4 (26-164) en la solicitud de acceso que se envía durante la asignación de direcciones IP a petición y en los mensajes de contabilidad provisional que se envían para informar de un cambio de dirección.
Si no hay ninguna dirección IPv4 disponible durante la negociación para suscriptores PPP estáticos o dinámicos, el servidor RADIUS incluye este VSA en el mensaje de rechazo de acceso que envía al BNG. La consecuencia es que el BNG envía una solicitud de terminación IPCP al CPE y el CPE puede entonces renegociar IPCP.
Si no ha habilitado el envío de VSA 26-164, el mensaje de rechazo de acceso no incluye el VSA y el BNG envía un mensaje de rechazo de protocolo LCP al CPE. El CPE debe renegociar el vínculo LCP antes de que se le permita renegociar el NCP IP.
La configuración de esta instrucción no tiene ningún efecto cuando no se configura la asignación o desasignación de direcciones IP a petición.
Opcionalmente, puede configurar un mensaje que se incluya en el VSA cuando se envíe al servidor de RADIUS.
Para habilitar el VSA de control de liberación IPv4 (26-164) en mensajes RADIUS: