EN ESTA PÁGINA
Beneficios de usar el bloqueo de sesión de suscriptor de PPPoE
Condiciones que causan sesiones de suscriptor de PPPoE de corta duración
Bloqueo de sesión de suscriptor ppPoE en interfaces basadas en ACI
Bloqueo de sesión de suscriptor ppPoE y protección de duplicados
Uso de identificadores de tipo de encapsulación para borrar o mostrar la condición de bloqueo
Descripción general del bloqueo de la sesión de suscriptor de PPPoE
El bloqueo de la sesión de suscriptor ppPoE, también llamado bloqueo de tipo de encapsulación PPPoE, evita temporalmente (bloquea) que una sesión de suscriptor PPPoE estática o dinámica fallida o de corta duración se vuelva a conectar durante un cierto período de tiempo. Este período de tiempo, conocido como período de bloqueo, se deriva de una fórmula y aumenta exponencialmente en función del número de fallas de reconexión sucesivas.
Puede configurar el bloqueo de sesión de suscriptor PPPoE, también conocido como protección de ciclo corto, para las interfaces dinámicas de suscriptor de VLAN, demultiplexing (demux) y PPP-over-Ethernet-over-ATM (PPPoE-over-ATM).
En esta descripción general, se describen los conceptos que debe comprender para configurar el bloqueo de sesión de suscriptores PPPoE, y cubre los siguientes temas:
Beneficios de usar el bloqueo de sesión de suscriptor de PPPoE
El bloqueo de sesión de suscriptor ppPoE ofrece las siguientes ventajas:
Reduce la carga excesiva en el enrutador de la siguiente manera:
Reducción de los recursos necesarios para procesar paquetes de control PPPoE para negociar y terminar conexiones de corta duración
Reducir los recursos necesarios para asignar y distribuir servicios, como clase de servicio (CoS) y filtros de firewall, para sesiones de suscriptores fallidas o de corta duración
Postergar temporalmente las sesiones de suscriptor fallidas o de corta duración a favor de sesiones que puedan completarse con éxito.
Reduce la carga excesiva en servidores externos de autenticación, autorización y contabilidad (AAA), como RADIUS o Diameter:
Como resultado de sesiones de suscriptor ppPoE fallidas o de corta duración que se producen repetidamente para el mismo suscriptor
Al reducir los recursos necesarios para autenticar y terminar estas conexiones
Permite el bloqueo de una sola sesión PPP fallida o de corta duración sin interrumpir otras sesiones PPP en la misma interfaz PPPoE subyacente
Dado que el bloqueo de sesión de suscriptor ppPoE identifica a cada sesión de suscriptor por su dirección de origen única de control de acceso a medios (MAC) en la interfaz subyacente o por su valor de identificador de circuito de agente (ACI), el enrutador puede bloquear solo la sesión PPP infractora a la vez que habilita otras sesiones PPP en la misma interfaz subyacente para negociar correctamente la conexión.
Condiciones que causan sesiones de suscriptor de PPPoE de corta duración
Las condiciones que pueden causar una sesión de suscriptor de corta duración incluyen:
Denegaciones de autenticación de servidores AAA externos, como RADIUS, debido a la ausencia de una entrada correspondiente en la base de datos RADIUS o debido a intentos de inicio de sesión incorrectos
Errores de configuración dentro de un perfil dinámico o registro RADIUS
Recursos de memoria insuficientes para crear una interfaz de suscriptor PPPoE dinámica
Falla de protocolo o error en la interfaz de suscriptor ppPoE dinámica
El cliente cierra sesión poco después de iniciar sesión correctamente; esta acción crea una interfaz de suscriptor PPPoE dinámica completa antes de que la interfaz se derribe
Cómo funciona el bloqueo de sesión de suscriptor de PPPoE
El bloqueo de sesión de suscriptor ppPoE está deshabilitado en el enrutador de forma predeterminada. Cuando habilita el bloqueo de sesión de suscriptor ppPoE, el enrutador hace lo siguiente:
Detecta una sesión de suscriptor de corta duración, también conocida como evento de ciclo corto.
Se detecta una sesión de suscriptor de corta duración, parcial o completamente creada, y el enrutador termina en un plazo de 150 segundos. El enrutador identifica a cada sesión del suscriptor PPPoE por su dirección mac fuente única en la interfaz subyacente PPPoE o por su valor ACI.
Rastrea el tiempo entre los eventos de ciclo corto repetidos para determinar si se aumenta el tiempo de bloqueo para un evento posterior de ciclo corto.
Aplica una penalización de tiempo por cada evento de ciclo corto según un período de bloqueo predeterminado o configurado y la cantidad de eventos de ciclo corto consecutivos que se producen de forma repetida para el mismo suscriptor.
Bloquea temporalmente al suscriptor de PPPoE especificado al impedir la conexión al enrutador.
Durante el bloqueo, el enrutador pierde los paquetes de negociación para la sesión del suscriptor PPPoE hasta que expire el período de bloqueo. Cuando caduca el período de bloqueo, la sesión del suscriptor PPPoE y su dirección MAC asociada o valor ACI reanudan la negociación normal de la conexión.
Bloqueo de sesión de suscriptor ppPoE en interfaces basadas en ACI
De forma predeterminada, el enrutador identifica una sesión de suscriptor mediante la dirección mac de origen única en la interfaz PPPoE subyacente. Puede configurar el bloqueo de la sesión del suscriptor según la cadena ACI de la interfaz subyacente, lo que le permite bloquear todas las sesiones de suscriptores PPPoE del mismo hogar.
La cadena ACI está contenida en los paquetes de control PPPoE Active Discovery Initiation (PADI) y PPPoE Active Discovery Request (PADR) [26-1] (opción 0x105). Esta opción bloquea todas las sesiones de suscripción PPPoE en la interfaz subyacente que comparten la misma cadena ACI en sus paquetes de control PPPoE PADI y PADR.
El bloqueo de sesión de suscriptor ppPoE basado en el valor de ACI es útil cuando las direcciones de origen MAC no son únicas en la interfaz ppPoE subyacente. Por ejemplo:
Sesiones de función de intertrabajo PPPoE en las que las direcciones MAC de todas las sesiones de función entre ppPoE contienen la dirección MAC del dispositivo DSLAM
Configuraciones en las que el nodo de acceso (generalmente un dispositivo DSLAM) sobrescribe la dirección MAC de origen en paquetes PPPoE recibidos del equipo de las instalaciones del cliente (CPE) con su propia dirección MAC por motivos de seguridad
Duplicar direcciones MAC de origen en hogares dispares en una configuración N:1 (VLAN de servicio), que requiere que el enrutador use una combinación de la dirección de origen MAC y el valor ACI para identificar de forma única a un suscriptor
Bloqueo de sesión de suscriptor ppPoE y protección de duplicados
La protección duplicada, que está deshabilitada en el enrutador de forma predeterminada, impide la activación de otra sesión de suscriptor PPPoE en la misma interfaz subyacente PPPoE cuando una sesión de suscriptor PPPoE con la misma dirección de control de acceso a medios (MAC) ya está activa en esa interfaz. Cuando configure el bloqueo de sesión de suscriptor ppPoE, recomendamos que habilite la protección duplicada para asegurarse de que la dirección de origen MAC de cada sesión PPPoE activa sea única en la interfaz subyacente.
Con el bloqueo de sesión de suscriptor PPPoE configurado, el enrutador identifica las sesiones de suscriptor mediante su dirección mac de origen exclusiva. Si el enrutador detecta una sesión de suscriptor de corta duración (ciclo corto), aplica el período de bloqueo predeterminado o configurado a esa dirección MAC de origen para evitar temporalmente la reconexión. Si la dirección de origen MAC no es única en la interfaz subyacente, varias sesiones de suscriptores PPPoE con la misma dirección de origen MAC también podrían verse afectadas por el bloqueo.
Persistencia de la condición de bloqueo después de la eliminación automática de VLAN dinámicas de suscriptor
Puede configurar la eliminación automática de VLAN de suscriptores que no tengan sesiones de cliente PPPoE mediante la emisión de la remove-when-no-subscribers
instrucción en el [edit interfaces interface-name auto-configure]
nivel de jerarquía. Si el bloqueo de la sesión de suscriptor ppPoE también está configurado en la interfaz, la condición de bloqueo persiste incluso después de que el enrutador haya eliminado la interfaz de suscriptor dinámica de VLAN o VLAN demux.
Cuando se configura tanto el bloqueo de la sesión de suscriptor PPPoE como la eliminación automática de VLAN de suscriptor sin sesiones de cliente, la condición de bloqueo de las sesiones de suscriptor afectadas persiste hasta que caduca el temporizador de bloqueo para cada cliente PPPoE que se somete a bloqueo en la interfaz subyacente. Si vuelve a crear la interfaz de suscriptor VLAN o VLAN demux antes de que expiren todos los temporizadores, la condición de bloqueo persiste para la interfaz de suscriptor recién creada.
Uso de identificadores de tipo de encapsulación para borrar o mostrar la condición de bloqueo
Puede borrar la condición de bloqueo para un valor ACI o dirección MAC específico, todas las direcciones de origen MAC o valores ACI, o para un valor ACI que coincida con una expresión regular basada en UNIX especificando opciones de identificador de tipo de encapsulación VLAN o ATM en el clear pppoe lockout vlan-identifier
comando o clear pppoe lockout atm-identifier
, respectivamente. De manera similar, puede mostrar información sobre la condición de bloqueo y el estado de las sesiones de suscriptor afectadas mediante la inclusión de opciones de identificador de tipo de encapsulación en el show pppoe lockout vlan-identifier
comando o show pppoe lockout atm-identifier
. Especificar identificadores de bloqueo de tipo de encapsulación le permite borrar o mostrar la condición de bloqueo cuando no existe ninguna interfaz subyacente para la sesión del suscriptor.
Para el tipo de encapsulación de VLAN en interfaces de suscriptor VLAN y VLAN demux, las opciones de identificador incluyen:
Nombre del dispositivo (interfaz física o paquete de Ethernet agregado)
ID de S-VLAN (etiqueta externa)
ID de VLAN (etiqueta interna)
Para el tipo de encapsulación ATM en interfaces de suscriptor PPPoE-over-ATM, las opciones de identificador incluyen:
Nombre del dispositivo (interfaz física o paquete de Ethernet agregado)
Identificador de ruta virtual (VPI)
Identificador de circuito virtual (VCI)
Terminación de la condición de bloqueo
Cuando una sesión de suscriptor PPPoE identificada por un valor de ACI o una dirección MAC de origen única se somete a bloqueo, la condición de bloqueo persiste hasta que todos los temporizadores de bloqueo han vencido, excepto cuando ocurre cualquiera de los siguientes:
Despeja administrativamente la condición de bloqueo mediante la emisión del
clear pppoe lockout
comando operativo.Restablece el módulo de interfaz en el que está configurada la sesión del suscriptor que está sometida a bloqueo.
Cuando desactive la condición de bloqueo o restablezca el módulo de interfaz, el enrutador termina el bloqueo de todas las sesiones de suscriptores PPPoE en la interfaz subyacente y borra el historial de bloqueo de todas las sesiones de suscriptores afectadas.