Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

options (Access Profile)

Sintaxe

Nível de hierarquia

Descrição

Configure as opções usadas pelos servidores de autenticação e contabilidade RADIUS.

Opções

accounting-session-id-format

(Série EX, apenas série MX) Configure o formato que o roteador ou switch usa para identificar a sessão de contabilidade. O padrão é decimal.

  • Valores:

    • decimal — Use o formato decimais.

    • descrição — Use o formato genérico na forma: jnpr interface-specifier:subscriber-session-id.

calling-station-id-delimiter

(Série MX, apenas série T) A partir do Junos OS Release 13.1, especifique o caractere que o roteador usa como um separador entre os valores concatenados na string Calling-Station-ID (RADIUS IETF attribute 31). O roteador usa o delimiter quando configura mais de um valor na calling-station-id-format declaração. O padrão é o caractere hash (#).

  • Valores:

    • delimiter-character— Caractere a ser usado para o delimiter. Você deve incluir o personagem delimiter entre aspas (" ").

chap-challenge-in-request-authenticator

(somente na Série MX) A partir do Junos OS Release 15.1, configure o authd processo para inserir o desafio aleatório gerado pelo NAS no campo De autenticador de solicitações de pacotes de solicitação de acesso, se o valor do desafio for de 16 bytes de comprimento. Se você habilitar a chap-challenge-in -request-authenticator declaração e o desafio aleatório não tiver 16 bytes de comprimento, authd ignore a declaração e use o comportamento padrão, que insere o desafio aleatório como atributo CHAP-Challenge (atributo RADIUS 60) em pacotes de solicitação de acesso.

client-accounting-algorithm

(Série EX, Série MX, SRX3xx e SRX550HMonly) A partir do Junos OS Release 13.2X50-D10 para switches da Série EX, configure o método de acesso que o roteador usa para acessar servidores contábeis RADIUS. O padrão é a opção direct . O comportamento padrão se aplica a dispositivos que não oferecem suporte a essa opção de configuração.

  • Valores:

    • direto — Use o método direto.

    • round-robin — Use o método round-robin.

client-authentication-algorithm

(Série EX, Série M, apenas série MX) A partir do Junos OS Release 13.2X50-D10 para switches da Série EX, configure o método que o autenticador usa para acessar servidores de autenticação RADIUS quando houver vários servidores configurados. Inicialmente, um cliente RADIUS envia uma solicitação a um servidor de autenticação ou contabilidade RADIUS. O roteador ou switch, que atua como autenticador, aguarda uma resposta do servidor antes de enviar outra solicitação.

Quando existem várias conexões de servidor RADIUS configuradas para um cliente, o autenticador tenta alcançar os diferentes servidores na ordem em que eles estão configurados. Se não houver resposta do primeiro servidor RADIUS, o autenticador tenta alcançar o próximo servidor RADIUS. Esse processo se repete até que o cliente tenha acesso concedido ou não haja mais servidores configurados.

Se o direct método estiver configurado, o autenticador sempre trata o primeiro servidor da lista como o servidor principal. O autenticador passa para o segundo servidor apenas se a tentativa de alcançar o primeiro servidor falhar. Se o round-robin método estiver configurado, o servidor escolhido primeiro será girado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como primário para a primeira solicitação de autenticação, mas para a segunda solicitação, o segundo servidor configurado é tratado como primário e assim por diante. Com esse método, todos os servidores configurados recebem aproximadamente o mesmo número de solicitações em média para que nenhum servidor único tenha que lidar com todas as solicitações.

Nota:

O round-robin método de acesso não é suportado em switches da Série EX.

  • Padrão: O padrão é a opção direct .

  • Valores:

    • direto — Use o método de acesso direto. O autenticador entra em contato com o primeiro servidor RADIUS da lista para cada solicitação, o segundo servidor se o primeiro falhar e assim por diante.

    • round-robin — Use o método round-robin. O autenticador entra em contato com o primeiro servidor RADIUS para a primeira solicitação, o segundo servidor para a segunda solicitação e assim por diante.

coa-dynamic-variable-validation

(Série EX, Série M, apenas série MX) A partir do Junos OS Release 13.2X50-D10 para switches da Série EX, especifique que quando uma operação coA inclui uma mudança para uma variável dinâmica de perfil de cliente que não pode ser aplicada (como uma atualização para um filtro inexistente), o roteador não aplica nenhuma alteração nas variáveis dinâmicas do perfil do cliente na solicitação e responde com uma mensagem NACK.

  • Padrão: Se você não configurar essa declaração, o roteador não aplica nenhuma atualização variável incorreta, mas faz qualquer outra alteração nas variáveis dinâmicas do perfil do cliente e responde com uma mensagem ACK.

ethernet-port-type-virtual

(Série EX, Série M, Série Monly) Especifique a porta física que o roteador ou switch usa para autenticar os clientes. O roteador ou switch passa por um tipo de porta no ethernet atributo RADIUS 61 (NAS-Port-Type) por padrão. Esta declaração especifica um tipo de porta.virtual

Nota:

Essa declaração tem precedência sobre a nas-port-type declaração se você incluir ambas as declarações no mesmo perfil de acesso.

A opção client-authentication-algorithm está indisponível em dispositivos da série SRX. O método de acesso direto é usado se vários servidores de autenticação RADIUS estiverem configurados.
access-loop-id-local

Especifique que a Id remota do agente e o agente-circuito-Id são gerados localmente quando esses valores não estão presentes no banco de dados do cliente.

ip-address-change-notify

(somente na Série MX) A partir do Junos OS Release 13.1, para alocação de endereços sob demanda para assinantes de PPP de pilha dupla, especifique que o BNG inclui o IPv4-Release-Control VSA (26-164) na solicitação de acesso que é enviada durante a alocação de endereços IP sob demanda e nas mensagens de contabilidade provisória que são enviadas para relatar uma mudança de endereço. A configuração desta declaração não surtiu efeito quando a alocação ou alocação de endereços IP sob demanda não está configurada.

Configure opcionalmente uma mensagem que está incluída no VSA quando for enviada ao servidor RADIUS.

  • Padrão: Essa funcionalidade é desativada por padrão.

  • Valores: message— Mensagem VSA.

  • Gama: Até 32 caracteres.

juniper-access-line-attributes

Configure a AAA para adicionar a linha de acesso VSAs da Juniper Networks às mensagens de autenticação RADIUS e solicitação de contabilidade para assinantes. Se o roteador não tiver recebido e processado os atributos ANCP correspondentes do nó de acesso, a AAA fornece apenas o seguinte nessas mensagens RADIUS:

  • Taxa de QoS calculada a downstream (IANA 4874, 26-141)— velocidade de transmissão consultiva configurada padrão.

  • Taxa de QoS calculada em upstream (IANA 4874, 26-142)— o aviso configurado padrão recebe velocidade.

Nota:

A partir do Junos OS Release 19.2R1, a opção juniper-access-line-attributes substitui a opção juniper-dsl-attributes . A diferença entre essas opções é que juniper-dsl-attributes oferece suporte apenas às TLVs DSL recebidas na mensagem de status da porta ANCP. A opção juniper-access-line-attributes oferece suporte a TLVs PON, além de TLVs DSL, e será extensível a tecnologias de acesso futuras.

Para retrocompatibilidade com scripts existentes, a opção juniper-dsl-attributes redireciona para a nova juniper-access-line-attributes opção. Recomendamos que você use juniper-access-line-attributes.

Nota:

A opção juniper-access-line-attributes não é compatível com o Junos OS Release 19.1 ou versões anteriores. Isso significa que se você tiver a opção configurada juniper-access-line-attributes no Junos OS Release 19.2 ou versões superiores, você deve executar as seguintes etapas para rebaixar para o Junos OS Release 19.1 ou versões anteriores:

  1. Exclua a opção juniper-access-line-attributes de todos os perfis de acesso que a incluam.

  2. Realize o rebaixamento de software.

  3. Adicione a opção juniper-dsl-attributes aos perfis de acesso afetados.

  • Padrão: A linha de acesso VSAs da Juniper Networks não é adicionada às mensagens de autenticação RADIUS e solicitação de contabilidade. No entanto, o DSL Forum VSA — se disponível — é adicionado às mensagens RADIUS por padrão.

nas-identifier

(Série EX, Série MX, apenas série SRX) Configure o valor para o atributo RADIUS do cliente 32 (NAS-Identifier). Este atributo é usado para solicitações de autenticação e contabilidade. Esta declaração foi introduzida no Junos OS Release 15.1X49-D110 para dispositivos SRX300, SRX320, SRX340, SRX345 e série SRX550M.

  • Valores: identifier-value— String para usar para solicitações de autenticação e contabilidade.

  • Faixa: 1 a 64 caracteres.

nas-port-id-delimiter

(somente na Série MX) A partir do Junos OS Release 11.4, especifique o caractere que o roteador usa como separador entre os valores concatenados na string NAS-Port-ID. O roteador usa o delimiter quando configura mais de um valor na nas-port-id-format declaração. O padrão é o caractere hash (#). Essa declaração foi introduzida no Junos OS Release 13.2X50-D10 para switches da Série EX.

  • Valores: delimiter-character— Caractere usado para o delimiter.

remote-circuit-id-delimiter

(somente na Série MX) A partir da versão 13.3R1 do Junos OS na Série MX, configure um personagem delimiter para a corda de ID do circuito remoto quando você usa a remote-circuit-id-format declaração para configurar a string a ser usada em vez do ID de Calling-Station em L2TP chamando número AVP 22. Se mais de um valor for configurado para o formato de ID de circuito remoto, o caractere delimiter é usado como um separador entre os valores concatenados na seqüência de ID de circuito remoto resultante. O padrão é o caractere hash (#).

  • Valores: delimiter— Caractere de delimiter para ser usado entre componentes da corda de ID do circuito remoto.

remote-circuit-id-fallback

(somente na Série MX) A partir da versão 13.3R1 do Junos OS na Série MX, configure o valor de retorno para o LAC para enviar o número de chamadas L2TP AVP 22, seja o Calling-Station-ID configurado ou a interface subjacente padrão. O uso do valor de recuo é desencadeado quando os componentes da string de override que você configurou com a remote-circuit-id-format declaração — a ACI, a ARI ou tanto a ACI quanto a ARI — não são recebidos pelo LAC no pacote PPPoE Active Discovery Request (PADR).

  • Valores:

    • configurada chamada de estação-id — Envie o ID configurado de Calling-Station-ID na AVP de número de chamadas.

    • padrão — Envie o valor da interface subjacente no número de chamadas AVP.

remote-circuit-id-format

(somente na Série MX) A partir do Junos OS Release 13.3R1 on MX Series, configure o formato da string que substitui o formato Calling-Station-ID no Calling Number AVP 22 enviado pelo LAC para a LNS no pacote ICRQ quando uma sessão L2TP estiver sendo estabelecida. Você pode especificar a ACI, a ARI ou a ACI e a ARI. Esta declaração permite desacoplar o valor AVP 22 do atributo RADIUS Calling-Station-ID (31); os valores para AVP 22 e o atributo Calling-Station-ID são os mesmos quando você usa a declaração para configurar a calling-station-id-format AVP 22.

Nota:

Você deve configurar a override calling-circuit-id remote-circuit-id declaração para o formato de ID de circuito remoto a ser usado no número de chamada AVP.

  • Valores:

    • agent-circuit-id — especifica o uso da string de ACI que identifica com exclusividade o nó de acesso do assinante e a linha de assinante digital (DSL) no nó de acesso. Para tráfego de PPPoE, a cadeia de ACI está nos pacotes de controle de Agente-Circuito-ID VSA (26-1) do PPPoE Active Discovery Initiation (PADI) e PPPoE Active Discovery Request (PADR).

    • id remoto do agente — especifica o uso da string ARI que identifica o assinante na interface de multiplexador de acesso de linha de assinante digital (DSLAM) que iniciou a solicitação do serviço. A corda do identificador remoto (ARI) do agente é armazenada no DSL Forum Agent-Remote-ID VSA [26-2] para tráfego PPPoE.

service-activation

(somente na Série MX) A partir do Junos OS Release 16.2, especifique se os assinantes podem fazer login mesmo quando falhas de ativação de serviço relacionadas a erros de configuração ocorrem durante o processamento de solicitação de ativação familiar, authd para um assinante recém-autenticado. Os erros de configuração incluem sintaxe ausente ou incorreta, referências ausentes ou incompletas a perfis dinâmicos e variáveis ausentes ou incompletas.

Nota:

Essa configuração não se aplica aos serviços ativados por meio de solicitações radius CoA, mensagens JSRC Push-Profile-Request (PPR) ou políticas seguras para assinantes.

Você pode habilitar configurações separadas para serviços de login de assinantes para dois service-activation tipos: dynamic-profile e extensible-service. Você configura os serviços do dynamic-profile tipo no perfil dinâmico no nível de [edit dynamic-profiles] hierarquia; o perfil é usado para fornecer acesso dinâmico ao assinante e serviços para aplicativos de banda larga. O extensible-service tipo é para serviços empresariais configurados em um script de operação e provisionados pelo daemon Extensible Subscriber Services Manager (essmd).

  • Padrão:

    O comportamento padrão depende do tipo de serviço:

    • Para extensible-service serviços: optional-at-login.

    • Para dynamic-profile serviços: required-at-login.

  • Valores:

    • opcional no login — a ativação do serviço é opcional. A falha decorrente de erros de configuração não impede a ativação da família de endereços; permite o acesso ao assinante. A falha por qualquer outro motivo faz com que a ativação da família de rede falhe. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo do cliente registrará o assinante.

    • necessário para o login — a ativação do serviço é necessária. A falha por qualquer motivo faz com que a solicitação de ativação da família de rede para essa família de rede seja reprovada. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo do cliente registrará o assinante.

vlan-nas-port-stacked-format

(somente na Série MX) Configure o atributo RADIUS 5 (NAS-Port) para incluir o S-VLAN ID, além do VLAN ID, para assinantes em interfaces Ethernet.

As declarações restantes são explicadas separadamente. Procure por uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.

Nível de privilégio exigido

administrador — Para visualizar essa declaração na configuração.

controle de administrador — para adicionar essa declaração à configuração.

Informações de versão

Declaração introduzida no Junos OS Release 9.1.

juniper-dsl-attributes apresentado no Junos OS Release 11.4.

nas-port-id-delimiter apresentado no Junos OS Release 11.4. Declaração introduzida no Junos OS Release 13.2X50-D10 para switches da Série EX.

calling-station-id-delimiter apresentado no Junos OS Release 13.1.

ip-address-change-notify apresentado no Junos OS Release 13.1.

coa-dynamic-variable-validation, client-authentication-algorithme client-accounting-algorithm introduzido no Junos OS Release 13.2X50-D10 para switches da Série EX.

remote-circuit-id-delimiter, remote-circuit-id-fallbacke remote-circuit-id-format apresentado no Junos OS Release 13.3R1 na Série MX.

chap-challenge-in-request-authenticator apresentado no Junos OS Release 15.1.

nas-identifier apresentado no Junos OS Release 15.1X49-D110 para dispositivos SRX300, SRX320, SRX340, SRX345 e série SRX550M.

service-activation apresentado no Junos OS Release 16.2.

juniper-access-line-attributes apresentado no Junos OS Release 19.2R1.