Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

PPPoE 加入者セッション ロックアウトの概要

PPPoE 加入者セッション ロックアウトは、 PPPoE カプセル化タイプのロックアウトとも呼ばれ、失敗した、または短命な静的または動的 PPPoE 加入者セッションが一定期間再接続することを一時的に防止(ロックアウト)します。 ロックアウト期間と呼ばれるこの期間は、数式から導き出され、連続した再接続失敗の数に基づいて指数関数的に増加します。

PPPoE加入者セッションロックアウト( ショートサイクル保護とも呼ばれます)は、VLAN、VLAN多重化(デモックス)、PPP-over-Ethernet-over-ATM(PPPoE-over-ATM)動的加入者インターフェイスに対して設定できます。

この概要では、PPPoE 加入者セッション ロックアウトを設定するために理解する必要がある概念について説明し、以下のトピックについて説明します。

PPPoE 加入者セッション ロックアウトを使用するメリット

PPPoE 加入者セッション ロックアウトには、次のような利点があります。

  • 以下により、ルーターへの過度の負荷を軽減します。

    • PPPoE 制御パケットの処理に必要なリソースを削減して、短命な接続のネゴシエーションと終了を実現

    • 失敗した、または短命な加入者セッションに対して、 サービスクラス (CoS)やファイアウォールフィルターなどのサービスの割り当てと割り当て解除に必要なリソースを削減する

    • 失敗した、または短命な加入者セッションを一時的に延期し、正常に完了できるセッションを優先すること。

  • RADIUSやDiameterなどの外部認証、許可、アカウンティング(AAA)サーバーへの過度の負荷を軽減します。

    • 同じ加入者に対して繰り返し発生する失敗または短命のPPPoE加入者セッションの結果として

    • これらの接続の認証と終了に必要なリソースを削減することで

  • 同じPPPoE基盤インターフェイス上の他のPPPセッションを中断することなく、単一の障害または短命のPPPセッションのロックアウトを可能にします

    PPPoE 加入者セッション ロックアウトは、基礎となるインターフェイス上の固有の MAC(メディア アクセス制御)送信元アドレスまたは ACI(エージェント回線識別子)値によって各加入者セッションを識別するため、ルーターは問題のある PPP セッションのみをロックアウトし、同じ基礎となるインターフェイス上の他の PPP セッションが接続のネゴシエーションに成功できるようにすることができます。

PPPoE 加入者セッションの寿命が短くなる原因となる条件

加入者セッションが短命になる原因となる可能性のある条件には、以下のものがあります。

  • RADIUSデータベースに対応するエントリーがないことや、不適切なログイン試行による、RADIUSなどの外部AAAサーバーからの認証拒否

  • 動的プロファイルまたは RADIUS レコード内の設定エラー

  • 動的なPPPoE加入者インターフェイスを作成するためのメモリリソースが不足しています

  • 動的PPPoE加入者インターフェイス内のプロトコル障害またはエラー

  • ログインに成功した直後にクライアントがログアウトします。このアクションにより、インターフェイスが破棄される前に、完全な動的PPPoE加入者インターフェイスが作成されます

PPPoE 加入者セッション ロックアウトの仕組み

PPPoE 加入者セッション ロックアウトは、デフォルトでルーターで無効になっています。PPPoE 加入者セッション ロックアウトを有効にすると、ルーターは以下を実行します。

  1. 短時間の加入者セッション( 短周期イベントとも呼ばれます)を検出します。

    短命な加入者セッションが検出され、一部または完全に作成され、150秒以内にルーターによって終了します。ルーターは、PPPoE基礎インターフェイス上の固有のMACソースアドレスまたはACI値によって、各PPPoE加入者セッションを識別します。

  2. 繰り返される短サイクルイベント間の時間を追跡して、後続の短サイクルイベントのロックアウト時間を長くするかどうかを判断します。

  3. デフォルトまたは設定されたロックアウト期間、および同じ加入者に対して繰り返し発生する連続したショートサイクルイベントの数に基づいて、各ショートサイクルイベントにタイムペナルティを適用します。

  4. ルーターへの接続を防止して、指定されたPPPoE加入者を一時的にロックアウトします。

    ロックアウト中、ルーターはロックアウト期間が終了するまでPPPoE加入者セッションのネゴシエーションパケットをドロップします。ロックアウト期間が終了すると、PPPoE 加入者セッションとそれに関連する MAC 送信元アドレスまたは ACI 値が接続の通常のネゴシエーションを再開します。

ACIベースインターフェイスでのPPPoE加入者セッションロックアウト

デフォルトでは、ルーターはPPPoE基礎インターフェイス上の一意のMAC送信元アドレスを使用して加入者セッションを識別します。基礎となるインターフェイスのACI文字列に基づいて加入者セッションロックアウトを設定でき、同じ世帯からのすべてのPPPoE加入者セッションをロックアウトできます。

ACI文字列は、PPPoE Active Discovery Initiation(PADI)およびPPPoE Active Discovery Request(PADR)制御パケットのDSLフォーラムのAgent-Circuit-ID VSA [26-1](オプション0x105)に含まれています。このオプションは、PPPoE PADIおよびPADR制御パケットで同じACI文字列を共有する基礎となるインターフェイス上のすべてのPPPoE加入者セッションをロックアウトします。

ACI値に基づくPPPoE加入者セッションロックアウトは、MACソースアドレスがPPPoE基盤インターフェイス上で一意でない場合に有効です。例えば:

  • すべてのPPPoEインターワーキング機能セッションのMACアドレスにDSLAMデバイスのMACアドレスが含まれているPPPoEインターワーキング機能セッション

  • アクセスノード(通常はDSLAMデバイス)が、セキュリティ目的でカスタマー構内機器(CPE)から受信したPPPoEパケットのMAC送信元アドレスを独自のMACアドレスで上書きする設定

  • N:1(サービス VLAN)構成で、異なる世帯間で MAC 送信元アドレスが重複している。この設定では、ルーターが MAC 送信元アドレスと ACI 値の組み合わせを使用して加入者を一意に識別する必要がある

PPPoE 加入者セッションのロックアウトと重複保護

複製保護は、ルーターでデフォルトで無効になっています。同じメディアアクセス制御(MAC)アドレスを持つPPPoE加入者セッションがすでにアクティブな場合、同じPPPoE基礎インターフェイス上で別のPPPoE加入者セッションがアクティブになるのを防ぎます。PPPoE 加入者セッション ロックアウトを設定する場合、重複保護を有効にして、アクティブな各 PPPoE セッションの MAC ソース アドレスが基礎となるインターフェイス上で一意になるようにすることをお勧めします。

PPPoE 加入者セッション ロックアウトが設定されている場合、ルーターは固有の MAC 送信元アドレスによって加入者セッションを識別します。ルーターが短時間(短サイクル)の加入者セッションを検出した場合、そのMAC送信元アドレスにデフォルトまたは設定されたロックアウト期間を適用し、再接続を一時的に防止します。MAC送信元アドレスが基礎となるインターフェイスで一意でない場合、同じMAC送信元アドレスを持つ複数のPPPoE加入者セッションもロックアウトの影響を受ける可能性があります。

動的加入者VLANの自動削除後のロックアウト条件の持続

[edit interfaces interface-name auto-configure]階層レベルでremove-when-no-subscribersステートメントを発行することで、PPPoEクライアントセッションを持たない加入者VLANの自動削除を設定できます。PPPoE 加入者セッション ロックアウトもインターフェイスで設定されている場合、ルーターが動的 VLAN または VLAN デモックス 加入者インターフェイスを削除した後も、ロックアウト条件は持続します。

クライアントセッションなしでPPPoE加入者セッションのロックアウトと加入者VLANの自動削除の両方を設定すると、影響を受ける加入者セッションのロックアウト条件は、基礎となるインターフェイスでロックアウト中の各PPPoEクライアントのロックアウトタイマーが期限切れになるまで持続します。すべてのタイマーが期限切れになる前に VLAN または VLAN デモックス 加入者インターフェイスを再度作成した場合、新しく作成された加入者インターフェイスのロックアウト条件は維持されます。

ロックアウト条件をクリアまたは表示するためのカプセル化タイプ識別子の使用

特定のMACソースアドレスまたはACI値、すべてのMACソースアドレスまたはACI値、またはUNIXベースの正規表現に一致するACI値のロックアウト条件を、 clear pppoe lockout vlan-identifier または clear pppoe lockout atm-identifier コマンドでそれぞれVLANまたはATMのカプセル化タイプ識別子オプションを指定することで解除できます。同様に、 show pppoe lockout vlan-identifier または show pppoe lockout atm-identifier コマンドにカプセル化タイプの識別子オプションを含めることで、ロックアウト条件と影響を受ける加入者セッションのステータスに関する情報を表示できます。カプセル化タイプのロックアウト識別子を指定することで、加入者セッションの基盤となるインターフェイスが存在しない場合に、ロックアウト条件をクリアまたは表示できます。

VLANおよびVLAN demux加入者インターフェイスのVLANカプセル化タイプでは、識別子オプションは次のとおりです。

  • デバイス名(物理インターフェイスまたは集合型イーサネットバンドル)

  • S-VLAN ID(外部タグ)

  • VLAN ID(内部タグ)

PPPoE-over-ATM 加入者インターフェイスの ATM カプセル化タイプでは、識別子オプションは次のとおりです。

  • デバイス名(物理インターフェイスまたは集合型イーサネットバンドル)

  • 仮想パス識別子(VPI)

  • 仮想回線識別子(VCI)

ロックアウト条件の終了

ACI値または一意のMAC送信元アドレスによって識別されるPPPoE加入者セッションがロックアウト中の場合、以下のいずれかが発生する場合を 除き 、すべてのロックアウトタイマーが期限切れになるまでロックアウト条件が持続します。

  • clear pppoe lockout操作コマンドを発行することで、ロックアウト条件を管理上クリアします。

  • ロックアウト中の加入者セッションが設定されているインターフェイスモジュールをリセットします。

ロックアウト条件をクリアするか、インターフェイスモジュールをリセットすると、ルーターは基礎となるインターフェイス上のすべてのPPPoE加入者セッションのロックアウトを終了し、影響を受けるすべての加入者セッションのロックアウト履歴をクリアします。

関連ドキュメント