PPPoE 加入者セッション ロックアウトのロックアウト期間について

PPPoE 加入者セッションのロックアウト期間

ロックアウト期間の長さは、デフォルトまたは設定されたロックアウト時間と、同じサブスクライバに対して繰り返し発生する連続した短いサイクル(短命)イベントの数に基づきます。PPPoE 基盤となるインターフェイスに PPPoE 加入者セッション ロックアウトを設定するための ステートメントを含める short-cycle-protection 場合、デフォルトのロックアウト時間範囲である 1 〜 300 秒(5 分)を使用するか、デフォルト以外のロックアウト時間を 1 〜 86,400 秒(24 時間)の範囲で設定してデフォルトのロックアウト期間を上書きできます。

短いサイクルのイベントごとにルーターが適用するロックアウト時間のペナルティは、イベントによって異なります。たとえば、PPPoE 加入者が 1 時間に 1 回ログインして電子メールをチェックし、その後すぐにログアウトするなど、一部の短いサイクルのイベントは、通常の加入者の動作を表します。ルーターは、これらのタイプのイベントに対して加入者に顕著なペナルティを課すことはありません。

これとは対照的に、その他の短いサイクルのイベントは、パスワードの入力ミス、自動再試行を繰り返す顧客宅内機器(CPE)、インターネットへの不正アクセスの悪意のある試みなどの理由で、ルーターへのログイン試行が繰り返された結果です。このような短周期のイベントでは、ルーターは、短い時間間隔から開始して指数関数的に増加するロックアウト時間のペナルティを適用します。このような場合、最初のロックアウト時間は十分に短く、たとえば、正しいパスワードを入力する前にパスワードを数回間違えた加入者に著しくペナルティを課すことを回避できます。

たとえば、デフォルトのロックアウト時間範囲である 1 〜 300 秒を使用すると、ルータの増加するロックアウト期間は、1 秒、2 秒、4 秒、8 秒、16 秒、32 秒、64 秒、128 秒、256  秒、最後に 300  秒(5 分)になります。

ルーターがPPPoE加入者セッションのロックアウト期間を決定する方法

ルーターは、次のルールを使用して、存続期間の短い PPPoE 加入者セッションの PPPoE 加入者セッションのロックアウト期間を決定します。

• ロックアウト期間は、次の式から導き出されます。

  (最小ロックアウト時間) * (2 ^ n-1)

  ここで n 、 は、同じサブスクライバーに対する連続する短いサイクルのイベントの数を表します。ルーターは、MAC 送信元アドレスによって PPPoE 加入者セッションを識別します。これは、基盤となる PPPoE インターフェイス上で一意である必要があります(ACI 値)。

• ルーターは、 n 短いサイクルのイベント間の時間が 15 分以内または最大ロックアウト時間のいずれか大きい方の場合の値をインクリメントします。

• 短いサイクルのイベント間の時間が 15 分または最大ロックアウト時間を超えると、の値は n 1 に戻ります。この状態は、 lockout grace period.

• ロックアウト期間が、構成された最大ロックアウト時間を超えることはありません。

  たとえば、設定された(デフォルト以外の)ロックアウト時間が 20〜120 秒の範囲の場合、ルータで増加するロックアウト期間は、20 秒、40 秒、80 秒、最後に 120     秒(2 分)です。

• A short-cycle event が検出され、部分的または完全に作成され、150 秒以内にルーターによって終了します。ルーターは、ショートサイクルイベント間の時間を追跡して、同じ加入者に対する後続のショートサイクルイベントのロックアウト時間を増やすかどうかを決定します。

  メモ：

  計算されたロックアウト時間が最大ロックアウト時間以上の場合、ルーターは次の短いサイクルイベントまでの時間が15 分または最大ロックアウト時間値のいずれか大きい方を超えるまで、最大ロックアウト時間値を使用します。その時点で、ロックアウト時間は最小ロックアウト時間値に戻ります。

• 最小ロックアウト時間の値は、最大ロックアウト時間値を超えることはできません。

  最小ロックアウト時間と最大ロックアウト時間の値が等しい場合、ロックアウト時間はその値に固定されます。