動的 VLAN の加入者パケット タイプ認証トリガー
デフォルトでは、VLAN認証は、VLANおよび加入者インターフェイスをインスタンス化する動的プロファイルの ステートメントで指定された accept
パケットタイプのいずれかによってトリガーされます。特定のビジネスケースでは、複数のパケットタイプを含む一般的な動的プロファイルが必要になる場合がありますが、場合によっては顧客の一部のみに対してのみVLANを認証する必要があります。ステートメントを packet-types
使用して、目的のサブセットを指定できます。
パケット タイプ トリガーの用途の例
以下の 2 つの使用事例では、特定の加入者に対してのみ VLAN を認証し、他の加入者には認証しない場合の状況について説明します。
Conserving resources in a mixed access model—混合アクセス モデルでは、動的 VLAN を使用して、PPPoE 加入者、IPoE 加入者、IPv6oE 加入者、またはその他の加入者タイプにサービスを提供できます。一般的に、PPPoE 加入者は一般ユーザーであり、IP 加入者はビジネス 顧客です。これらの加入者向けに動的 VLAN 認証とプロファイルのインスタンス化を理解することで、システム リソースを節約し、拡張制限への影響を回避できます。
デフォルトでは、設定されたVLAN範囲またはスタックVLAN範囲に基づいて、インターフェイスに対して認証が設定されます。そのため、VLAN 作成をトリガーするパケット タイプに関係なく、範囲内で作成されたすべての動的 VLAN を認証する必要があります。動的VLAN認証により、CoSやフィルターなどのRADIUSソースサービスのプロビジョニングが可能になるため、これはIPoEおよびIPv6oEの加入者にとって適切に機能します。しかし、PPPoE 加入者は PPP によって認証されるため、動的 VLAN 認証は不要になり、システム リソースが無駄になります。
動的 VLAN 認証を必要な VLAN のみに制限することで、この無駄を回避できます。
packet-types
ステートメントでは、VLANインターフェイスで受け入れ可能なパケットタイプのサブセットのみが認証をトリガーできるように指定できます。たとえば、この異種混合アクセス モデルでは、VLAN 動的プロファイルは PPPoE、IPoE、および IPv6oE パケットを受け入れます。ステートメントをpacket-types
使用して、IPoEまたはIPv6oEパケットのみがVLAN認証を開始できることを指定すると、PPPoE VLANは認証のためにRADIUSに送信されません。Overriding dynamic profiles in a mixed access modelパケットタイプトリガーのもう1つの用途は、特定の加入者に対して設定された動的プロファイルを上書きすることです。これを実現するには、PPPoE 加入者のニーズに合わせて 1 つの動的プロファイルを作成し、IPoE 加入者用に別の動的プロファイルを作成します。PPPoE 加入者は、このモデルの加入者の大部分を構成しているため、PPPoE によって調整された動的プロファイルが VLAN インターフェイスに適用されます。ジュニパーネットワークスのクライアントプロファイル名 VSA に IP プロファイルを含める [26-174]ステートメントを設定して、
packet-types
IPパケットのみがVLAN認証をトリガーするように指定します。IPoEパケットを受信すると、RADIUSはVLANを認証します。RADIUSは、クライアントプロファイル名VSAに含まれる上書きプロファイルと、Access-Acceptメッセージ内の他のセッション属性を返します。VLAN自動構成プロセスは、IPoE加入者のIPプロファイルをインスタンス化することでPPPoEプロファイルを上書きします。
VLAN 作成と認証のパケット タイプ
表 1 は、VLAN 作成用に設定されたパケット タイプに応じて、VLAN 認証に設定できるパケット タイプを示しています。
VLAN 作成のパケット タイプ |
VLAN認証のパケットタイプ |
---|---|
|
、 、 |
|
または |
|
または |
|
または |
|
または |
|
|
VLAN の作成またはdhcp-v6
認証に と inet
と inet6
の両方dhcp-v4
をパケット タイプとして同時に設定することはできません。
次のいずれかの場合に、すべての VLAN で認証が実行されます。
認証をトリガーするパケット タイプは指定しません。
オプションは、
any
VLAN の作成と認証の両方で設定します。
一般的に、VLANの作成をトリガーするように設定されたタイプのパケットが、VLAN認証をトリガーするように設定されたパケットタイプのいずれかと一致する場合、VLAN認証が実行されます。ただし、設定されたパケットの特定の組み合わせでは、認証をトリガーするために特定のパケットが必要です。 表 2 は、 これらの特別なケースを示しています。
VLAN作成のためのパケットタイプ |
VLAN認証のパケットタイプ |
認証のトリガーに必要なパケット |
---|---|---|
|
|
すべての IPv4 パケット |
|
|
すべての IPv6 パケット |
|
|
DHCP 検出 |
|
|
DHCPv6 の勧誘 |
|
|
DHCP 検出 |
|
|
DHCPv6 の勧誘 |
|
|
DHCP 検出 |
|
|
DHCPv6 の勧誘 |