Descripción general del bloqueo de sesión del suscriptor PPPoE

Beneficios de usar el bloqueo de sesión del suscriptor PPPoE

El bloqueo de sesión de suscriptor PPPoE ofrece los siguientes beneficios:

• Reduce la carga excesiva en el enrutador al:

  • Reducción de los recursos necesarios para procesar paquetes de control PPPoE para negociar y terminar conexiones de corta duración

  • Reducir los recursos necesarios para asignar y desasignar servicios, como filtros de clase de servicio (CoS) y firewall, para sesiones de suscriptor fallidas o de corta duración

  • Aplazar temporalmente las sesiones de suscriptores fallidas o de corta duración en favor de sesiones que pueden completarse correctamente.

• Reduce la carga excesiva en servidores externos de autenticación, autorización y contabilidad (AAA), como RADIUS o Diameter:

  • Como resultado de sesiones de suscriptores PPPoE fallidas o de corta duración que ocurren repetidamente para el mismo suscriptor

  • Al reducir los recursos necesarios para autenticar y terminar estas conexiones

• Permite el bloqueo de una sola sesión PPP fallida o de corta duración sin interrumpir otras sesiones PPP en la misma interfaz subyacente PPPoE

  Dado que el bloqueo de sesión de suscriptor PPPoE identifica cada sesión de suscriptor ya sea por su dirección de origen de control de acceso a medios (MAC) única en la interfaz subyacente o por su valor de identificador de circuito de agente (ACI), el enrutador puede bloquear solo la sesión PPP ofensiva mientras habilita otras sesiones PPP en la misma interfaz subyacente para negociar correctamente la conexión.

Condiciones que provocan sesiones de suscriptor PPPoE de corta duración

Las condiciones que pueden causar una sesión de suscriptores de corta duración incluyen:

• Denegaciones de autenticación de servidores AAA externos, como RADIUS, debido a la ausencia de una entrada correspondiente en la base de datos de RADIUS o debido a intentos de inicio de sesión incorrectos

• Errores de configuración en un perfil dinámico o registro RADIUS

• Recursos de memoria insuficientes para crear una interfaz dinámica de suscriptor PPPoE

• Fallo o error de protocolo dentro de la interfaz dinámica de suscriptor PPPoE

• El cliente cierra la sesión poco después de un inicio de sesión exitoso; esta acción crea una interfaz de suscriptor PPPoE dinámica completa antes de que la interfaz se desactive

Cómo funciona el bloqueo de sesión de suscriptor PPPoE

El bloqueo de sesión de suscriptor PPPoE está deshabilitado en el enrutador de forma predeterminada. Cuando habilita el bloqueo de sesión de suscriptor PPPoE, el enrutador hace lo siguiente:

1. Detecta una sesión de suscriptor de corta duración, también conocida como evento de ciclo corto.

   Se detecta una sesión de suscriptor de corta duración, se crea parcial o completamente, y el enrutador finaliza en 150 segundos. El enrutador identifica cada sesión de suscriptor PPPoE por su dirección MAC de origen única en la interfaz subyacente PPPoE o por su valor ACI.

2. Realiza un seguimiento del tiempo entre eventos repetidos de ciclo corto para determinar si se debe aumentar el tiempo de bloqueo para un evento de ciclo corto posterior.

3. Aplica una penalización de tiempo por cada evento de ciclo corto basado en un período de bloqueo predeterminado o configurado y el número de eventos consecutivos de ciclo corto que ocurren repetidamente para el mismo suscriptor.

4. Bloquea temporalmente al suscriptor PPPoE especificado al impedir la conexión con el enrutador.

   Durante el bloqueo, el enrutador deja caer los paquetes de negociación para la sesión del suscriptor PPPoE hasta que expira el período de bloqueo. Cuando expira el período de bloqueo, la sesión del suscriptor PPPoE y su dirección MAC de origen asociada o el valor ACI reanudan la negociación normal de la conexión.

Bloqueo de sesión de suscriptor PPPoE en interfaces basadas en ACI

De forma predeterminada, el enrutador identifica una sesión de suscriptor mediante la dirección MAC de origen única en la interfaz subyacente PPPoE. Puede configurar el bloqueo de la sesión del suscriptor según la cadena ACI de la interfaz subyacente, lo que le permite bloquear todas las sesiones de suscriptor PPPoE desde el mismo hogar.

La cadena ACI está contenida en el foro DSL Agent-Circuit-ID VSA [26-1] (opción 0x105) de los paquetes de control PPPoE Active Discovery Initiation (PADI) y PPPoE Active Discovery Request (PADR). Esta opción bloquea todas las sesiones de suscriptor PPPoE en la interfaz subyacente que comparten la misma cadena ACI en sus paquetes de control PPPoE PADI y PADR.

El bloqueo de la sesión del suscriptor PPPoE basado en el valor ACI es útil cuando las direcciones de origen MAC no son únicas en la interfaz subyacente PPPoE. Por ejemplo:

• Sesiones de función de intertrabajo PPPoE en las que las direcciones MAC de todas las sesiones de función de intertrabajo PPPoE contienen la dirección MAC del dispositivo DSLAM

• Configuraciones en las que el nodo de acceso (normalmente un dispositivo DSLAM) sobrescribe la dirección MAC de origen en paquetes PPPoE recibidos del equipo local del cliente (CPE) con su propia dirección MAC por motivos de seguridad

• Direcciones MAC fuente duplicadas en hogares dispares en una configuración N:1 (VLAN de servicio), que requiere que el enrutador use una combinación de la dirección MAC fuente y el valor ACI para identificar de forma exclusiva a un suscriptor

Protección contra duplicados y bloqueo de sesión de suscriptor PPPoE

La protección duplicada, que está deshabilitada en el enrutador de forma predeterminada, impide la activación de otra sesión de suscriptor PPPoE en la misma interfaz subyacente PPPoE cuando una sesión de suscriptor PPPoE con la misma dirección MAC ya está activa en esa interfaz. Cuando configure el bloqueo de sesión de suscriptor PPPoE, le recomendamos que habilite la protección duplicada para asegurarse de que la dirección MAC de origen para cada sesión PPPoE activa sea única en la interfaz subyacente.

Con el bloqueo de sesión de suscriptor PPPoE configurado, el enrutador identifica las sesiones de suscriptores por su dirección MAC única de origen. Si el enrutador detecta una sesión de suscriptor de corta duración (ciclo corto), aplica el período de bloqueo predeterminado o configurado a esa dirección MAC de origen para impedir temporalmente la reconexión. Si la dirección MAC de origen no es única en la interfaz subyacente, es posible que el bloqueo también afecte a varias sesiones de suscriptores PPPoE con la misma dirección MAC de origen.

Persistencia de la condición de bloqueo después de la eliminación automática de las VLAN de suscriptor dinámico

Puede configurar la eliminación automática de VLAN de suscriptor que no tengan sesiones de cliente PPPoE emitiendo la remove-when-no-subscribers instrucción en el [edit interfaces interface-name auto-configure] nivel de jerarquía. Si el bloqueo de sesión de suscriptor PPPoE también está configurado en la interfaz, la condición de bloqueo persistirá incluso después de que el enrutador haya eliminado la VLAN dinámica o la interfaz de suscriptor de VLAN demux.

Cuando configure tanto el bloqueo de sesión de suscriptor PPPoE como la eliminación automática de VLAN de suscriptor sin sesiones de cliente, la condición de bloqueo para las sesiones de suscriptor afectadas persistirá hasta que expire el temporizador de bloqueo para cada cliente PPPoE que se someta a bloqueo en la interfaz subyacente. Si vuelve a crear la interfaz VLAN o VLAN demux suscriptor antes de que caduquen todos los temporizadores, la condición de bloqueo persistirá para la interfaz suscriptor recién creada.

Uso de identificadores de tipo de encapsulación para borrar o mostrar la condición de bloqueo

Puede borrar la condición de bloqueo para una dirección MAC de origen específica o un valor ACI, todas las direcciones MAC origen o valores ACI, o para un valor ACI que coincida con una expresión regular basada en UNIX especificando las opciones de identificador de tipo de encapsulación VLAN o ATM en el clear pppoe lockout vlan-identifier comando o clear pppoe lockout atm-identifier , respectivamente. Del mismo modo, puede mostrar información sobre la condición de bloqueo y el estado de las sesiones de suscriptor afectadas incluyendo opciones de identificador de tipo de encapsulación en el show pppoe lockout vlan-identifier comando o show pppoe lockout atm-identifier . La especificación de identificadores de bloqueo de tipo de encapsulación le permite borrar o mostrar la condición de bloqueo cuando no existe una interfaz subyacente para la sesión del suscriptor.

Para el tipo de encapsulación de VLAN en interfaces de suscriptor VLAN y VLAN demux, las opciones de identificador incluyen:

• Nombre del dispositivo (interfaz física o paquete de Ethernet agregado)

• ID de S-VLAN (etiqueta externa)

• ID de VLAN (etiqueta interna)

Para el tipo de encapsulación ATM en interfaces de suscriptor PPPoE sobre ATM, las opciones de identificador incluyen:

• Nombre del dispositivo (interfaz física o paquete de Ethernet agregado)

• Identificador de ruta virtual (VPI)

• Identificador de circuito virtual (VCI)

Terminación de la condición de bloqueo

Cuando una sesión de suscriptor PPPoE identificada por un valor ACI o una dirección de origen MAC única está en proceso de bloqueo, la condición de bloqueo persiste hasta que todos los temporizadores de bloqueo hayan expirado, excepto cuando ocurre cualquiera de las siguientes situaciones:

• La condición de bloqueo se borra administrativamente mediante la emisión del clear pppoe lockout comando operativo.

• Restablezca el módulo de interfaz en el que está configurada la sesión de suscriptor que se somete a bloqueo.

Cuando borra la condición de bloqueo o restablece el módulo de interfaz, el enrutador finaliza el bloqueo de todas las sesiones de suscriptor PPPoE en la interfaz subyacente y borra el historial de bloqueo de todas las sesiones de suscriptor afectadas.