Descripción general de la venta al por mayor de capa 2 con VLAN desencadenadas por ANCP

Autorización de RADIUS para VLAN desencadenadas por ANCP

Cuando un suscriptor inicia sesión, el mensaje de solicitud de acceso que se envía al servidor de RADIUS incluye un nombre de usuario y, opcionalmente, una contraseña generada localmente en el enrutador. Puede configurar el enrutador para crear un nombre de usuario único con el valor de TLV de ANCP (Access-Loop-Circuit-ID, Access-Loop-Remote-ID o ambos) tal como se recibió en el mensaje ANCP Port Up desde el nodo de acceso. Alternativamente, si configura el enrutador para transmitir atributos de bucle de acceso de origen ANCP como VSA de Juniper Networks (en este caso, Acc-Loop-Cir-ID (26-110) y Acc-Loop-Remote-ID (26-182), el mensaje de solicitud de acceso incluye suficiente información de línea de acceso única para que el servidor de RADIUS determine si el bucle de acceso se vende al por mayor a un minorista o se mantiene para el mayorista.

El servidor RADIUS responde a la solicitud de acceso con uno de los siguientes mensajes:

• Access-Accept: en este caso, la VLAN desencadenada por el mensaje de puerto ascendente se vende al por mayor a un NSP comercial. La autorización es similar a la de las sesiones PPPoE. Access-Accept incluye el VSA del enrutador virtual (26-1) con un valor que corresponde a la instancia de enrutamiento única y no predeterminada del NSP. Opcionalmente, el mensaje puede incluir servicios de cliente, como atributos para CoS parametrizados, filtros y políticas de firewall para la interfaz lógica y activaciones de servicios de capa 2.

• Access-Reject: en este caso, la VLAN desencadenada por el mensaje de puerto activo es uno de los propios suscriptores del mayorista o RADIUS se niega a conceder acceso a la red. En cualquier caso, la entrada VLAN se elimina del SDB de ANCP. A menos que se reciba primero un mensaje de puerto inactivo, el enrutador ignorará los mensajes de puerto activo posteriores para este suscriptor. Sin embargo, la detección automática de VLAN apilada dinámica convencional se puede iniciar mediante una negociación de protocolo de acceso, como PPPoE.

Creación de instancias de una VLAN dinámica, con detección automática y desencadenada por ANCP

Cuando el servidor de RADIUS devuelve un mensaje de aceptación de acceso, se crea una instancia del perfil dinámico asignado al intervalo de VLAN de detección automática con los siguientes resultados:

1. Se crea la interfaz lógica de VLAN dinámica que representa el servicio al por mayor de capa 2 dentro de la instancia de enrutamiento única del NSP.

2. Una interfaz física orientada al núcleo se selecciona mediante un método de distribución de carga ponderada del conjunto de interfaces elegibles asignadas a la instancia de enrutamiento del NSP. Una interfaz física es apta cuando está operativa y tiene al menos una etiqueta VLAN disponible para su asignación.

3. La etiqueta VLAN externa con detección automática y orientada al acceso se asigna a una etiqueta VLAN interna única. La etiqueta VLAN externa se deriva del TLV binario con ID de circuito de acceso que se encuentra en el mensaje de puerto arriba de ANCP. La etiqueta VLAN interna se asigna desde el rango de VLAN configurado para la interfaz física frontal del núcleo.

4. La etiqueta VLAN interna se intercambia con (reemplaza) la etiqueta VLAN externa cuando el tráfico del suscriptor se tuneliza al NSP. En el perfil dinámico, la variable $junos-inner-vlan-map-idpredefinida . proporciona la etiqueta VLAN interna

5. La etiqueta VLAN externa con detección automática se intercambia por la etiqueta VLAN interna cuando los paquetes descendentes del NSP (que incluyen la etiqueta VLAN interna asignada) se reenvían al suscriptor.

   Puede configurar cada interfaz física frontal con un rango de hasta 4094 ID de VLAN. El rango de intercambio de VLAN interno se asigna a la interfaz física localmente. Esto significa que los rangos internos de VLAN para diferentes interfaces físicas pueden superponerse entre sí de manera completa, parcial o no superponerse en absoluto.

6. Opcionalmente, antes de que los paquetes de suscriptor se reenvíen a un NSP, el identificador de protocolo de etiqueta VLAN (TPID) externo en los paquetes de suscriptor se puede intercambiar con un TPID para cumplir los requisitos de un NSP individual. En este caso, el valor original se intercambia con el TPID de NSP para los paquetes reenviados al suscriptor.

7. Una etiqueta VLAN adicional, el ID de VLAN troncal, se utiliza internamente para identificar la interfaz física frontal del núcleo aprovisionada, de modo que el tráfico del suscriptor pueda tunelizarse a la interfaz asignada. En el perfil dinámico, este ID lo proporciona la variable predefinida, $junos-vlan-map-id. Este identificador diferencia entre varias interfaces físicas troncales orientadas al núcleo para el mismo NSP.

8. Cualquier servicio del cliente, como filtros de CoS o firewall, se aplica a la sesión del suscriptor. Opcionalmente, estos servicios se especifican en la configuración de RADIUS y se transmiten en el mensaje de RADIUS como VSA de Juniper Networks.

9. La sesión de VLAN se activa después de crear y configurar la interfaz lógica para la sesión de VLAN dinámica. La activación de la sesión inicia un mensaje de inicio de contabilidad de RADIUS. Todos los servicios que se recibieron de RADIUS durante la autorización ahora se activan.

10. Una vez creada la VLAN dinámica, los mensajes posteriores de puerto ANCP ascendente no provocan una reautorización de la sesión de VLAN dinámica. En su lugar, cuando el agente de ANCP recibe otro mensaje de puerto arriba para el bucle de acceso, actualiza el SDB de ANCP con cualquier cambio en los atributos de ANCP.

Equilibrio de carga ponderado para sesiones de suscriptor a través de interfaces físicas elegibles orientadas al núcleo

El enrutador utiliza la distribución de carga ponderada en lugar de la distribución round robin para asignar sesiones de suscriptores al por mayor de capa 2 en múltiples interfaces físicas de núcleo frontal según el peso de la interfaz. El peso de una interfaz se correlaciona con el número de etiquetas VLAN disponibles en los rangos de intercambio de ID de VLAN internos agregados (orientados hacia el núcleo) de la interfaz.

La forma en que configure los rangos de intercambio de ID de VLAN internos determina los pesos relativos de las interfaces:

• La interfaz con el mayor número de etiquetas de ID de VLAN internas disponibles tiene el peso más alto.

• La interfaz con el siguiente número más alto de etiquetas tiene el siguiente peso más alto, y así sucesivamente.

• La interfaz con el menor número de etiquetas disponibles tiene el peso más bajo.

El uso de las etiquetas de ID de VLAN internas disponibles de los rangos de intercambio en lugar del total de etiquetas de VLAN agregadas significa que los pesos relativos de las interfaces son más dinámicos. El mecanismo de distribución de carga ponderada puede responder más rápidamente a los cierres de sesión de los suscriptores, la migración de la propiedad del suscriptor de mayorista a minorista y de minorista a mayorista, las transiciones de estado de la interfaz física orientada al núcleo (incluido el movimiento a las interfaces orientadas al núcleo restantes elegibles cuando un estado de interfaz cambia de Arriba a abajo) y errores de cualquiera de las interfaces físicas orientadas al núcleo. Cuando una interfaz se recupera (pasa de abajo a arriba), la distribución de carga ponderada generalmente favorece esta interfaz para sesiones pendientes o para nuevas sesiones al por mayor de capa 2 que se produzcan posteriormente.

Con la distribución de carga ponderada, el enrutador selecciona las interfaces aleatoriamente, pero las sesiones se distribuyen entre las interfaces proporcionalmente en relación con el peso de las interfaces. El enrutador genera un número aleatorio dentro de un rango igual al total agregado de todas las etiquetas de ID de VLAN internas disponibles de los rangos de intercambio de todas las interfaces físicas orientadas al núcleo. Luego, el enrutador asocia parte del rango (un conjunto de números) con cada interfaz proporcional al peso de la interfaz. Una interfaz con un peso mayor se asocia con una porción mayor del rango (un grupo más grande) que una interfaz con un peso menor. Se selecciona una interfaz cuando el número aleatorio está en su conjunto de números asociado. Es más probable que, en promedio, el número aleatorio esté en un grupo más grande, por lo que es más probable que se seleccione una interfaz con un peso más alto (grupo más grande) que una interfaz con un peso más bajo (grupo más pequeño).

Por ejemplo, considere dos interfaces físicas orientadas al núcleo, IFD1 e IFD2. Según los rangos de intercambio de ID de VLAN internos configurados para estas dos interfaces, IFD1 tiene 1000 etiquetas VLAN disponibles e IFD2 solo tiene 500 etiquetas disponibles. Las sesiones de los suscriptores se distribuyen aleatoriamente entre las dos interfaces en función de sus pesos relativos; IFD1 tiene un peso más alto que IFD2. Dado que IFD1 tiene el doble de etiquetas disponibles que IFD2, el conjunto de números asociados con IFD1 también es el doble que para IFD2. El número aleatorio generado por el enrutador tiene el doble de probabilidades de estar en el conjunto para IFD1 que para IFD2. En consecuencia, IFD1 se ve favorecido 2: 1 sobre IFD2, y las sesiones de suscriptores tienen el doble de probabilidades de ser asignadas a IFD1 que IFD2.

Actualizaciones contables provisionales de RADIUS

Los informes contables provisionales enviados a la AAA para VLAN dinámicas con detección automática y desencadenadas fuera de banda se admiten de la misma manera que para las VLAN convencionales, dinámicas y autorizadas o sesiones de cliente (como las sesiones PPPoE). El agente de ANCP envía una notificación a AAA cuando recibe una actualización del nodo de acceso. De forma predeterminada, AAA solo notifica la actualización al servidor de RADIUS en el intervalo configurado.

Puede configurar el agente de ANCP para que, cuando notifique a AAA, se envíe inmediatamente al servidor de RADIUS un mensaje de solicitud de contabilidad de actualización provisional. Se pueden enviar actualizaciones de contabilidad provisionales inmediatas para una sesión de VLAN dinámica activada por ANCP solo cuando se produce un cambio en ciertos atributos clave de ANCP para la línea de acceso asociada que puede influir en el comportamiento del sistema. Para evitar una carga adicional en el servidor de RADIUS para cambios en atributos de ANCP menos críticos, los cambios en cualquier otro atributo de ANCP no activan mensajes de actualización provisional de contabilidad inmediatos. En su lugar, esos cambios se notifican en el siguiente mensaje programado de Accounting-Interim-Update.

Se pueden enviar actualizaciones contables provisionales inmediatas para cambios en cualquiera de los siguientes atributos ANCP para una sesión existente que corresponda a la línea de acceso (según el TLV de ID de circuito de bucle de acceso):

• Actual-Net-Data-Rate-Upstream: cuando la velocidad ascendente calculada (ajustada) da como resultado un cambio en este atributo, el mensaje de contabilidad informa del atributo en el VSA Act-Data-Rate-Up de Juniper Networks (26-113). El cambio de velocidad calculado se informa en el VSA Upstream-Calculated-QoS-Rate (26-142).

• Actual-Net-Data-Rate-Downstream: cuando la tasa descendente calculada (ajustada) da como resultado un cambio en este atributo, el mensaje de contabilidad informa del atributo en el VSA Act-Data-Rate-Dn de Juniper Networks (26-114). El cambio de velocidad calculado se informa en el VSA de velocidad de QoS calculada descendente (26-141).

Cuando la ancp-speed-change-immediate-update instrucción se configura en el [edit access profile profile-name accounting] nivel de jerarquía, se envían actualizaciones contables provisionales inmediatas de RADIUS para los cambios en los TLV Actual-Net-Data-Rate-Upstream y Real-Net-Data-Rate-Downstream.

Cuando, además, la auto-configure-trigger interface interface-name instrucción se configura en el [edit protocols ancp neighbor ip-address] nivel de jerarquía, también se envían actualizaciones contables provisionales inmediatas para los cambios en los TLV Access-Loop-Remote-ID y Access-Aggregation-Circuit-ID-Binary.

Para obtener más información acerca de las actualizaciones de contabilidad provisionales inmediatas de RADIUS, consulte Configurar actualizaciones de contabilidad provisionales inmediatas a RADIUS en respuesta a notificaciones de ANCP.

Eliminación del servicio mayorista de capa 2

Cualquiera de los siguientes eventos puede eliminar la interfaz lógica de la VLAN dinámica que representa el servicio de acceso proporcionado por el mayorista de capa 2:

• La recepción de un mensaje de puerto caído de ANCP para el bucle de acceso correspondiente. Los mismos atributos de ANCP que inician la creación de VLAN dinámica también inician la destrucción de VLAN dinámica.

  No se realiza ninguna acción para un mensaje de puerto desactivado de ANCP para el que se cumpla alguna de las siguientes condiciones:

  • No existe ninguna sesión de suscriptor correspondiente.

  • Una sesión de suscriptor correspondiente está presente, pero está en proceso de eliminación.

  • El mensaje hace referencia a una sesión convencional con detección automática (que se elimina mediante el procesamiento normal del protocolo).

• Un restablecimiento explícito de la conexión entre el agente de ANCP y el nodo de acceso, lo que desencadena un cierre de sesión masivo de todas las sesiones de VLAN dinámica afectadas que admiten las conexiones de acceso de capa 2 mayoristas. Las sesiones para los propios suscriptores del mayorista no se ven afectadas.

• La eliminación o transición a un estado operativo descendente de la interfaz física orientada al suscriptor o de la interfaz física frontal al núcleo.

• La pérdida de adyacencia entre el vecino y el agente de ANCP.

• La emisión del clear auto-configuration interfaces comando para cerrar sesión en la VLAN o el comando para forzar el clear ancp access-loop restablecimiento de un suscriptor.

• La recepción de un mensaje de desconexión iniciado por RADIUS.

Cualquiera de estos eventos también desactiva la sesión del suscriptor para evitar futuras activaciones del servicio y emite un mensaje de detención de contabilidad de RADIUS para servicios relacionados y para la sesión de suscriptor de VLAN dinámica. A continuación, se descrea una instancia del perfil dinámico para eliminar primero la interfaz lógica de VLAN dinámica y, luego, la entrada de sesión correspondiente en el SDB de VLAN.

Puede supervisar el número de sesiones de suscriptores de conexión cruzada de capa 2 por puerto. Utilice el show subscribers summary port extensive comando para mostrar el número de suscriptores por puerto por tipo de cliente (VLAN-OOB) y tipo de conexión (Corss-connected). Además, el ID de objeto jnxSubscriberPortL2CrossConnectCounter en jnxSubscriberPortCountTable en la MIB de suscriptor específica de la empresa de Juniper Networks muestra el número de sesiones de suscriptores de conexión cruzada de capa 2 en puertos que tienen sesiones activas.

Interacciones entre VLAN dentro y fuera de banda Detección automática de VLAN

La implementación al por mayor de capa 2 activada por ANCP acomoda tanto a suscriptores mayoristas de un minorista como a suscriptores pertenecientes al mayorista. Cualquier sesión de suscriptor detectada en la interfaz física de acceso puede ser una u otra. Esto significa que existe una superposición entre el intervalo de etiquetas externo de las VLAN con detección automática fuera de banda y el de las VLAN apiladas, con detección automática y dentro de la banda.

Se puede intentar tanto una sesión PPPoE como una sesión mayorista para el mismo bucle de acceso. Para evitar la carga no deseada en el enrutador y el servidor RADIUS que puede producirse cuando eso sucede, el orden de negociación de la sesión está determinado por el orden en que se reciben los paquetes (mensaje PPPoE PADI o ANCP Port Up) para la misma interfaz física orientada al acceso y la etiqueta externa VLAN.

La siguiente secuencia de sucesos se produce cuando se recibe un paquete PPPoE PADI en un canal de control en banda antes de recibir un mensaje ANCP Port Up en un canal de control fuera de banda, para el mismo bucle de acceso:

1. El recibo PADI desencadena la creación de una interfaz lógica de VLAN apilada dinámica. La negociación de PPPoE y PPP está en curso.

2. Se recibe el mensaje de puerto ANCP para el bucle de acceso. Dado que la interfaz lógica VLAN en banda correspondiente ya existe para la misma interfaz física de acceso y la etiqueta VLAN externa, el agente de ANCP simplemente almacena los atributos de la línea de acceso de ANCP y el nombre de la interfaz física en la base de datos de sesión. El agente no realiza ninguna otra acción para el mensaje mientras se mantenga la sesión PPP (interfaz lógica PPP y la interfaz lógica VLAN dinámica subyacente).

3. La negociación PPP finaliza debido a un fallo de autenticación (respuesta de rechazo de acceso de RADIUS) o a un cierre de sesión normal, lo que desencadena la limpieza de la sesión PPP y la eliminación de la interfaz lógica PPP.

4. Porque la remove-when-no-subscribers instrucción está configurada. La eliminación de la interfaz lógica PPP da como resultado la eliminación de la VLAN apilada dinámica.

5. El siguiente evento depende de si se ha intentado autorizar el mensaje de puerto activo de ANCP antes.

   • Si no se intentó la autorización anteriormente:

     1. Se crea una sesión SDB VLAN-OOB y se inicia la autorización del bucle de acceso.

     2. Todos los paquetes PPPoE PADI con excepción recibidos por la detección automática de VLAN en banda se ignoran hasta que RADIUS responde a la solicitud de autorización.

     3. El resultado de la autorización determina lo que sucede a continuación:

        • Si la autorización se realiza correctamente (RADIUS devuelve un mensaje de aceptación de acceso), se crea una interfaz lógica dinámica de capa 2 al por mayor en la instancia de enrutamiento del NSP del minorista.

        • Si se produce un error en la autorización (RADIUS devuelve un mensaje de rechazo de acceso), se limpia la sesión VLAN-OOB. El procesamiento se reanuda para cualquier paquete PADI PPPoE excepcional que posteriormente se reciba mediante la detección automática de VLAN en banda.

   • Si la autorización se intentó anteriormente, no se realiza ninguna acción porque se supone que el error de la negociación de la sesión PPP es un error de inicio de sesión fuera del contexto al por mayor de capa 2. Este comportamiento evita la autorización innecesaria en respuesta al mensaje de portabilidad ANCP cada vez que finaliza una sesión PPPoE y se limpia desde un cierre de sesión normal del suscriptor.

La siguiente secuencia de sucesos se produce cuando se recibe un mensaje ANCP Port Up en un canal de control fuera de banda antes de recibir un paquete PPPoE PADI para un bucle de acceso en un canal de control en banda, ambos para el mismo bucle de acceso:

1. La recepción del mensaje de puerto activo de ANCP activa la autorización del bucle de acceso.

2. Se recibe un paquete PPPoE PADI. El paquete se ignora porque la autorización ya está en curso para la misma interfaz física de acceso y la etiqueta VLAN externa.

3. El resultado de la autorización determina lo que sucede a continuación:

   • Si la autorización se realiza correctamente (RADIUS devuelve un mensaje de aceptación de acceso), representado por una sesión VLAN-OOB en la SDB, se inicia la creación dinámica de la interfaz lógica de VLAN para una sesión al por mayor de capa 2. Cuando se crea la interfaz, los paquetes PPPoE PADI posteriores detectados por la detección automática de VLAN en banda se ignoran y ya no se excluyen.

   • Si se produce un error en la autorización (RADIUS devuelve un mensaje de rechazo de acceso), se limpia la sesión VLAN-OOB.

     1. La recepción de un paquete PADI PPPoE posterior inicia la creación de una VLAN apilada dinámica.

     2. La negociación PPPoE y PPP se lleva a cabo y los eventos se desarrollan como de costumbre para una VLAN convencional y dinámica con detección automática.

Migración de la propiedad del suscriptor de mayorista a minorista

Los suscriptores propiedad del mayorista se conectan por medio de interfaces PPPoE dinámicas a través de VLAN dinámicas. Para cada suscriptor, se debe desconectar la sesión PPPoE y eliminar la interfaz lógica PPP correspondiente antes Los mensajes de puerto ascendente de ANCP para la misma interfaz física subyacente y la etiqueta externa de VLAN pueden servir como desencadenantes fuera de banda para la detección automática dinámica de VLAN.

Un enfoque para migrar de la propiedad al por mayor a la minorista es hacer lo siguiente:

1. Actualice la base de datos del servidor RADIUS para que la autenticación del suscriptor para las líneas de acceso pertinentes dé como resultado una respuesta de rechazo de acceso de RADIUS. Esto hace que fallen los intentos posteriores de negociar PPPoE para la línea de acceso.

2. Iniciar el cierre de sesión de las sesiones dinámicas de PPPoE; por ejemplo, mediante la emisión de una desconexión iniciada por RADIUS. Esto desencadena la limpieza de la interfaz lógica PPPoE y los servicios asociados, lo que incluye la emisión de mensajes de detención de contabilidad de RADIUS para los servicios activos y de sesión, así como la eliminación de la interfaz lógica PPPoE dinámica.

   Si la migración requiere cambiar el dispositivo CPE actual por otro, y la sesión PPPoE no se cierra correctamente, al desactivar el CPE se produce un fallo de mantenimiento de PPP en el enrutador y se activa el cierre de sesión de la sesión.

3. Quite la interfaz lógica de VLAN dinámica subyacente. Esto ocurre automáticamente cuando la remove-when-no-subscribers instrucción se incluye en el nivel de [edit interfaces interface-name auto-configure] jerarquía de la interfaz física de acceso. De lo contrario, ejecute el clear auto-configuration interfaces interface-name comando para eliminar la interfaz lógica de VLAN dinámica.

4. Active una notificación de puerto arriba para iniciar la detección, autorización y creación de VLAN dinámica mediante uno de los siguientes métodos:

   • Apague y encienda el CPE, con un retraso suficiente entre apagar y volver a encender el dispositivo, de modo que se envíe un mensaje de puerto caído seguido de un mensaje de puerto activo y el enrutador tenga tiempo suficiente para detectar una falla de mantenimiento que indique la pérdida de la sesión.

   • Emita un clear ancp access-loop comando.

   • Emita un request ancp oam port-up comando.

Migración de la propiedad del suscriptor de minorista a mayorista

Un enfoque para migrar de la propiedad minorista a la propiedad al por mayor es hacer lo siguiente:

1. Actualice la base de datos del servidor RADIUS para que la autorización dinámica de VLAN para las líneas de acceso pertinentes dé como resultado una respuesta de rechazo de acceso de RADIUS. Si lo hace, se ignorarán los mensajes de puerto ANCP ascendentes posteriores.

2. Iniciar el cierre de sesión de las sesiones de VLAN dinámica compatibles con el servicio de acceso al por mayor; por ejemplo, mediante la emisión de una desconexión iniciada por RADIUS. Esto desencadena la limpieza de la sesión, lo que incluye la emisión de mensajes de detención de contabilidad de RADIUS para la sesión, la eliminación de la interfaz lógica de VLAN dinámica y los servicios activos, y la liberación de la etiqueta VLAN interna asignada asociada con la interfaz física frontal del núcleo para asignarla a una sesión de suscriptor al por mayor de capa 2 diferente.

   Si la migración requiere cambiar el dispositivo CPE actual por otro, apagar el CPE da como resultado un mensaje de puerto caído de ANCP que activa el cierre de sesión y la limpieza.

3. Permita que los suscriptores se conecten a la red del mayorista mediante la detección automática de VLAN dinámica convencional, seguida de la negociación PPPoE y PPP y la creación de interfaces lógicas PPP.

Migración de la propiedad de suscriptores entre minoristas

Normalmente, el acceso entre minoristas de NSP se activa un reinicio de la sesión de VLAN dinámica existente. El reinicio inicia un cierre de sesión seguido de la detección, autorización y creación inmediatas de VLAN dinámicas dentro de la instancia de enrutamiento correspondiente al nuevo NSP. Un reinicio es una secuencia lógica de puerto descendente y puerto ascendente para el bucle de acceso correspondiente de la VLAN. Puede utilizar cualquiera de los siguientes métodos para reiniciar una interfaz lógica de VLAN dinámica determinada:

• Inicie un mensaje de solicitud de desconexión de RADIUS o configure el servidor de RADIUS para enviar el mensaje. El mensaje debe tener el atributo Acct-Terminate-Cause RADIUS (49) establecido en un valor de 16 (devolución de llamada). Esta causa se procesa como una desconexión (cierre de sesión) seguida inmediatamente de una reconexión (inicio de sesión) solo para las VLAN dinámicas creadas por un mensaje de puerto ascendente ANCP. Otros clientes responden a este valor con solo una desconexión.

• Incluye la opción cuando cierre la reconnect sesión de suscriptores con el clear network-access aaa subscriber comando. Puede especificar suscriptores por identificador de sesión o por nombre de usuario. Esta opción intenta volver a conectar una sesión borrada como una sesión al por mayor de capa 2 cuando la sesión del suscriptor se ha cerrado por completo. Este comportamiento equivale a emitir una desconexión iniciada por RADIUS que está configurada para volver a conectarse; es decir, cuando el mensaje incluye Acct-Terminate-Cause (atributo RADIUS 49) con un valor de devolución de llamada (16).

• Active un mensaje de puerto caído seguido de un mensaje de puerto activo mediante uno de los siguientes métodos:

  • Apague y encienda el CPE, con un retraso suficiente entre apagar y volver a encender el dispositivo, de modo que se envíe un mensaje de puerto caído seguido de un mensaje de puerto activo y el enrutador tenga tiempo suficiente para detectar una falla de mantenimiento que indique la pérdida de la sesión.

  • Emita un clear ancp access-loop comando.

Modificación del identificador de línea de acceso o del identificador de VLAN de puerto

Cuando se modifica el identificador de línea o el identificador de VLAN de puerto para un bucle de acceso, el nodo de acceso informa del cambio en un mensaje de puerto ascendente al agente de ANCP. El mensaje transmite el ID de línea en el TLV Access-Loop-Remote-ID y el ID de VLAN de puerto en el TLV binario Access-Aggregation-Circuit-ID.

El nodo de acceso debe enviar un mensaje de puerto caído para el bucle de acceso antes de modificar cualquiera de los atributos de identificación de una sesión existente. El mensaje de puerto caído activa la limpieza de la sesión al por mayor de capa 2 correspondiente. Si el nodo de acceso no envía un puerto caído en este caso, el siguiente comportamiento tiene el mismo efecto que insertar el mensaje de puerto caído que el nodo de acceso no pudo enviar:

• Para un cambio de ID de línea, el agente ANCP trata la reconfiguración como un mensaje lógico de puerto descendente para la línea de acceso identificada por el ID remoto de bucle de acceso anterior, seguido de un mensaje de puerto activo para la línea de acceso identificada por el nuevo ID remoto de bucle de acceso.

• Para un cambio de ID de VLAN de puerto, el agente ANCP trata la reconfiguración como un mensaje lógico de puerto caído para la línea de acceso identificada por el anterior Access-Aggregation-Circuit-Id-Binary, seguido de un mensaje de puerto activo para la línea de acceso identificada por el nuevo Access-Aggregation-Circuit-Id-Binary.

En cualquier caso, el agente de ANCP notifica al daemon de configuración automática (autoconfd), que realiza las acciones siguientes:

1. Cierra la sesión al por mayor de capa 2 correspondiente.

2. Envía un mensaje de detención de contabilidad de RADIUS con las estadísticas finales de las sesiones de servicio asociadas y la sesión del cliente.

3. Quita la interfaz lógica de VLAN dinámica.

4. Intenta restablecer la sesión al por mayor de capa 2 mediante una secuencia de inicio de sesión, incluida la autenticación, la creación de la interfaz lógica de VLAN dinámica, la activación de cualquier servicio y, si se realiza correctamente, el envío de mensajes de inicio de contabilidad de RADIUS para las sesiones de servicio y cliente.

Debe cerrar la sesión de PPPoE correspondiente a la línea de acceso con los identificadores anteriores, incluso si el nodo de acceso envía el mensaje de puerto caído adecuado cuando cambian los valores.

Desconexión de sesiones PPPoE e intento automático de reconexión como sesiones de venta al por mayor de capa 2

Puede utilizar mensajes de desconexión iniciados por RADIUS para desconectar y cerrar sesión de sesiones PPPoE existentes e intentar restablecerlas como sesiones al por mayor de capa 2. Utilice los mensajes de rechazo de acceso para impedir el acceso de los suscriptores de PPPoE e intente volver a conectarse como una sesión al por mayor de capa 2. Utilice esta característica cuando desee migrar sesiones de PPPoE a la capa 2 al por mayor. Tanto el mensaje de desconexión iniciado por RADIUS como el de rechazo de acceso deben incluir Acct-Terminate-Cause (atributo de RADIUS 49) con un valor de devolución de llamada (16); la devolución de llamada provoca el intento de reconexión. La remove-when-no-subscribers instrucción debe configurarse en la interfaz física subyacente.

1. El comportamiento inicial de los mensajes es el siguiente:

   • Mensaje de rechazo de acceso: cuando se recibe un PADI PPPoE y se solicita una nueva sesión PPPoE, RADIUS responde al mensaje de solicitud de acceso con un mensaje de rechazo de acceso. La sesión se rechaza, se cierra la sesión por completo y se elimina la interfaz lógica de VLAN dinámica subyacente.

   • Mensaje de desconexión iniciado por RADIUS: cuando se recibe un mensaje de desconexión iniciado por RADIUS para una sesión PPPoE existente, se cierra la sesión PPPoE dinámica y se elimina la interfaz lógica de VLAN dinámica subyacente.

2. La siguiente acción es la misma para ambos mensajes:

   • Si se recibió un mensaje de puerto arriba de ANCP para la línea de acceso correspondiente, el enrutador intenta autorizar la línea de acceso y crear una interfaz lógica VLAN dinámica al por mayor de capa 2 en lugar de la interfaz lógica VLAN dinámica subyacente que se quitó.

   • Si no se ha recibido un mensaje de puerto arriba, esta acción se aplaza hasta que se reciba el mensaje.

   • Si se recibe un PADI PPPoE antes de un mensaje ANCP Port Up, RADIUS responde a la solicitud de acceso para una nueva sesión PPPoE con un mensaje de rechazo de acceso. La sesión se rechaza, se cierra la sesión por completo y se elimina la interfaz lógica de VLAN dinámica subyacente.

Si se recibe el mensaje de desconexión o rechazo de acceso iniciado por RADIUS para una sesión que no es PPPoE, como DHCP, la sesión se desconecta, pero se ignora la solicitud de reconexión. No se hace ningún intento de establecer una sesión al por mayor de capa 2.

Si la desconexión iniciada por RADIUS no incluye Acct-Terminate-Cause con un valor de devolución de llamada, la renegociación PPPoE después de la desconexión puede realizarse correctamente, pero si se recibe un mensaje ANCP Port Up para la línea de acceso antes de que se establezca una sesión PPPoE, se intenta una sesión al por mayor de capa 2.

Como alternativa a la desconexión iniciada por RADIUS, puede cerrar sesión de PPPoE manualmente con el clear network-access aaa subscriber comando. Especifique el suscriptor por nombre de usuario o ID de sesión. Cuando incluye la reconnect opción, intenta volver a conectar la sesión borrada como una sesión al por mayor de capa 2 cuando la sesión del suscriptor se haya cerrado por completo.

Consecuencias de una transición de estado en la interfaz física de acceso

El siguiente comportamiento se produce cuando el estado de la interfaz física orientada al acceso cambia de Arriba a Abajo:

• La VLAN convencional en banda se detiene automáticamente para la interfaz.

• Se ignoran los mensajes de puerto arriba de origen ANCP para la interfaz. La acción en mensajes de puerto arriba nuevos o no procesados se aplaza hasta que la interfaz pasa al estado Up. Si la conexión ANCP está en banda con el tráfico de suscriptor en la interfaz, todo el tráfico de ANCP se detiene; si la interrupción dura lo suficiente, se pierde la adyacencia del ANCP.

• Todas las sesiones al por mayor de capa 2 que se asignan a la interfaz se tratan como si el agente de ANCP recibiera un mensaje de puerto caído para la línea de acceso correspondiente. Cada sesión está sujeta a cierre de sesión. Si se cierra la sesión depende del temporizador de retención de pérdida de adyacencia de ANCP. El temporizador comienza a ejecutarse cuando el agente ANCP detecta la transición de estado a Inactivo. El suscriptor continúa usando la sesión original si se cumplen las tres condiciones siguientes antes de que expire el temporizador:

  1. La interfaz física vuelve a funcionar.

  2. Se restablece la adyacencia del ANCP.

  3. Se recibe un mensaje de puerto activo en la interfaz.

  De lo contrario, autoconfd realiza las siguientes acciones:

  1. Cierra la sesión.

  2. Envía un mensaje de detención de contabilidad de RADIUS con las estadísticas finales de las sesiones de servicio asociadas y la sesión del cliente.

  3. Quita la interfaz lógica de VLAN dinámica.

  Estas sesiones se pueden restablecer cuando la interfaz física se recupere, a menos que se reciba un mensaje de puerto ANCP inactivo.

• El daemon de configuración automática no elimina automáticamente las interfaces lógicas de VLAN dinámicas y con detección automática. Las interfaces para las VLAN al por mayor de capa 2 desencadenadas por ANCP se mantienen porque se supone que una interrupción es de corta duración. Si la interrupción no es de corta duración, un mensaje de puerto caído posterior desconecta la sesión y elimina la interfaz.

  En el caso de las VLAN dinámicas de detección automática convencionales, la interfaz solo se elimina cuando la remove-when-no-subscribers instrucción está configurada en la interfaz física de acceso frontal y se eliminan todas las referencias a la interfaz lógica VLAN desde una interfaz o sesión lógica superior. Este mecanismo no se aplica a las VLAN al por mayor de capa 2 desencadenadas por ANCP porque no tienen referencias de sesión superior.

El siguiente comportamiento se produce cuando el estado de la interfaz física orientada al acceso cambia de Abajo a Arriba:

1. La detección automática de VLAN en banda convencional se reanuda para la interfaz. Las sesiones PPPoE propiedad del proveedor de acceso que se cerraron debido a la transición de Arriba a Abajo pueden renegociarse y someterse a una secuencia de inicio de sesión completa.

2. Se toman las acciones adecuadas para todos los mensajes de puerto activo de ANCP de la interfaz, incluidos los mensajes que se aplazaron debido al estado inactivo anterior de la interfaz. Si la conexión ANCP está en banda con el tráfico del suscriptor, se reanuda todo el tráfico ANCP.

3. El reenvío se reanuda para cualquier interfaz lógica de VLAN dinámica con detección automática que no se eliminó cuando la interfaz dejó de funcionar.

La eliminación de una interfaz física orientada al acceso activa el cierre de sesión y la eliminación de todas las interfaces lógicas de VLAN dinámica superior y sus sesiones correspondientes.

Consecuencias de una transición de estado de arriba a abajo en la interfaz física orientada al núcleo

El siguiente comportamiento se produce cuando el estado de la interfaz física orientada al núcleo cambia de Arriba a Abajo:

• La interfaz física frontal ya no es elegible para asignar líneas de acceso nuevas o pendientes en esta instancia de enrutamiento según la autorización de RADIUS original.

• Todas las sesiones al por mayor de capa 2 que se asignan a la interfaz se tratan como si el agente de ANCP recibiera una secuencia de mensajes de puerto descendente o puerto ascendente para la línea de acceso correspondiente. Cada sesión está sujeta a cierre de sesión. Si se cierra la sesión depende del temporizador de retención de pérdida de adyacencia de ANCP. El temporizador comienza a ejecutarse cuando el agente ANCP detecta la transición de estado a Inactivo. El suscriptor continúa usando la sesión original si se cumplen las tres condiciones siguientes antes de que expire el temporizador:

  1. La interfaz física vuelve a funcionar.

  2. Se restablece la adyacencia del ANCP.

  3. Se recibe un mensaje de puerto activo en la interfaz.

  De lo contrario, autoconfd realiza las siguientes acciones:

  1. Cierra la sesión.

  2. Elimina la entrada de sesión del SDB.

  3. Envía un mensaje de detención de contabilidad de RADIUS con las estadísticas finales de las sesiones de servicio asociadas y la sesión del cliente.

  4. Quita la interfaz lógica de VLAN dinámica.

• A continuación, autoconfd intenta migrar las sesiones a las conexiones disponibles en cualquier interfaz física externa elegible restante que esté asignada a la misma instancia de enrutamiento:

  1. La solicitud original se coloca en una cola de reintento.

  2. Se intenta una secuencia de inicio de sesión para cada sesión, que incluye la autenticación, la creación de interfaces lógicas de VLAN dinámicas, la activación de cualquier servicio y el envío de mensajes de inicio de contabilidad de RADIUS para las sesiones de servicio y cliente.

     • Si la secuencia de inicio de sesión se realiza correctamente, la solicitud se elimina de la cola de reintentos.

     • Si se produce un error en el inicio de sesión, se cierra la sesión, se elimina la entrada de sesión del SDB y la línea de acceso correspondiente se establece en estado pendiente.

  Cuando se utilizan todas las conexiones disponibles (cuando no hay más etiquetas VLAN disponibles de los rangos de intercambio de ID de VLAN internos configurados), como resultado de reconexiones exitosas, no se intenta conectar ninguna sesión al por mayor de capa 2 restante. Aunque la autenticación puede realizarse correctamente, la creación de interfaces lógicas de VLAN dinámicas falla durante la creación de instancias de perfil. En este caso, la sesión está fuera, la entrada de sesión se elimina del SDB y la línea de acceso correspondiente se establece en un estado pendiente.

• Las líneas de acceso pendientes que representan estas sesiones no migradas se pueden restablecer si la interfaz se recupera o si hay conexiones VLAN adicionales disponibles; por ejemplo, mediante un cambio de configuración que aumenta el rango de intercambio del ID de VLAN interno para una o más interfaces físicas de núcleo restantes, o agrega nuevas interfaces físicas de núcleo. Sin embargo, si el agente de ANCP recibe un mensaje de puerto caído para una línea de acceso pendiente, la sesión correspondiente no se restablece.

Puede utilizar el show auto-configuration out-of-band pending comando para mostrar un recuento de líneas de acceso pendientes por instancia de enrutamiento.

Consecuencias de una transición de estado de abajo a arriba en la interfaz física orientada al núcleo

El siguiente comportamiento se produce cuando el estado de la interfaz física orientada al núcleo cambia de Abajo a Arriba:

• La interfaz física ahora es elegible para asignar nuevas sesiones de suscriptor al por mayor de capa 2.

• El agente de ANCP notifica al daemon de configuración automática (autoconfd), el cual intenta restablecer las sesiones al por mayor de capa 2 que corresponden a la línea de acceso pendiente mediante el inicio de una secuencia de inicio de sesión convencional. Esta secuencia incluye la autenticación, la creación de interfaces lógicas de VLAN dinámicas, la activación de cualquier servicio y el envío de mensajes de inicio de contabilidad de RADIUS para las sesiones de servicio y cliente.

• Las sesiones pendientes se siguen restableciendo hasta que no queda ninguna o se produce un error, generalmente debido al agotamiento de las etiquetas VLAN internas de los rangos de intercambio en la interfaz. En este último caso, las sesiones se cierran sesión, la entrada de la sesión se elimina del SDB y la línea de acceso se establece en estado pendiente.

Puede utilizar el show auto-configuration out-of-band pending comando para mostrar un recuento de líneas de acceso pendientes por instancia de enrutamiento.

Estos comportamientos también ocurren en los siguientes casos:

• Habrá recursos de conexión VLAN adicionales disponibles mediante un cambio de configuración que aumenta el rango de intercambio del ID de VLAN interno para una o más interfaces físicas de núcleo restantes, o agrega nuevas interfaces físicas de núcleo. La interfaz física recién agregada debe estar en estado Activo para asumir cualquier sesión al por mayor de capa 2.

• Se recibe una desconexión iniciada por RADIUS para una sesión al por mayor de capa 2 existente asignada a esta instancia de enrutamiento y se cierra la sesión (solo desconectar). Para una desconexión con un calificador de reconexión, la sesión afectada tiene preferencia para volver a conectarse sobre las líneas de acceso pendientes.

• Se emite el comando , clear ancp access-loopo request ancp oam port-up se request auto-configuration reconnect-pendingemite.

Pérdida de adyacencia TCP ANCP

El agente ANCP puede perder su adyacencia TCP con un vecino en cualquiera de las siguientes circunstancias:

• El nodo de acceso renegocia la conexión; por ejemplo, como resultado de una pérdida de sincronización. La renegociación hace que el estado local cambie de establecido a no establecido. El estado vuelve a establecerse cuando la sesión se renegocia correctamente.

• Se recibe un mensaje de fin de archivo (EOF) en el socket que indica que la adyacencia está cerrada. Esto puede producirse cuando se elimina la configuración de ANCP en el nodo de acceso.

• Se produce una falla de mantenimiento de adyacencia. Cuando no se recibe respuesta durante tres encuestas consecutivas, se declara perdida la adyacencia.

El agente de ANCP trata la pérdida de adyacencia como si hubiera recibido un mensaje de puerto caído para cada bucle de acceso representado por la conexión de ANCP. El agente notifica a autoconfd, que realiza las siguientes acciones:

• Cierra la sesión al por mayor de capa 2 desencadenada por esta conexión ANCP.

• Envía un mensaje de detención de contabilidad de RADIUS con las estadísticas finales de las sesiones de servicio asociadas y la sesión del cliente.

• Quita la interfaz lógica de VLAN dinámica.

Si la interfaz física orientada al acceso o al núcleo asignada está en el estado Inactivo, las sesiones pendientes desencadenadas por esta conexión ANCP no se podrán restablecer cuando la interfaz se recupere al estado Activo.

Las interfaces lógicas VLAN dinámicas y convencionales con detección automática, como las que admiten sesiones PPPoE, no se ven afectadas por la pérdida de adyacencia TCP.

Si se restablece la adyacencia, el comportamiento esperado es una reproducción completa de los mensajes de puerto caído y puerto activo para todas las líneas de acceso configuradas asociadas. Se restablecen las sesiones al por mayor de capa 2 para las que el agente de ANCP recibe mensajes de Port Up.

Puede mitigar los efectos de las pérdidas de adyacencia a corto plazo configurando un tiempo de espera de pérdida de adyacencia. El temporizador se inicia cuando se pierde la adyacencia. Aunque se pierda la adyacencia, las sesiones establecidas se mantienen mientras se ejecuta el temporizador, a menos que se reciba un mensaje de puerto caído para la línea de acceso correspondiente.

Cualquier línea de acceso para la que el agente ANCP no haya recibido un mensaje de puerto activo en el momento en que expire el temporizador se trata como si el agente hubiera recibido un mensaje de puerto activo para la línea. El agente de ANCP notifica a autoconfd, que realiza las siguientes acciones:

• Cierra la sesión al por mayor de capa 2 que corresponda a la línea de acceso.

• Envía un mensaje de detención de contabilidad de RADIUS con las estadísticas finales de las sesiones de servicio asociadas y la sesión del cliente.

• Quita la interfaz lógica de VLAN dinámica.

Los mensajes de Port Up recibidos después de que expire el temporizador vuelven a rellenar la tabla de líneas de acceso SDB y restablecen las sesiones al por mayor de capa 2

El temporizador de retención de pérdida de adyacencia sirve para los siguientes propósitos:

• Amortigua el efecto de la pérdida de adyacencia de corta duración, manteniendo así las sesiones existentes de capa 2 al por mayor.

• Detecta la eliminación de una configuración de línea de acceso en el nodo de acceso. Por ejemplo, en algunas circunstancias es posible que desee eliminar la configuración de una línea de acceso en un vecino. Primero desconecte la sesión de ANCP entre un vecino y el BNG, quite la configuración en el vecino y, luego, restaure la conexión de ANCP con el BNG. El vecino no emite un mensaje de puerto caído. si el temporizador de espera de pérdida de adyacencia está configurado, el agente de ANCP detecta una línea de acceso para la que no ha recibido un mensaje de puerto activo o puerto caído y, en consecuencia, activa el cierre de sesión y la eliminación de la sesión al por mayor de capa 2 correspondiente.