Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Gerenciamento dinâmico de serviços com RADIUS

Usando solicitações dinâmicas radius para gerenciamento de acesso ao assinante

As solicitações dinâmicas radius oferecem uma maneira eficiente de gerenciar centralmente as sessões de assinantes. O suporte de solicitação dinâmica RADIUS da AAA Service Framework permite que os servidores RADIUS iniciem operações relacionadas ao usuário, como uma operação de encerramento, enviando mensagens de solicitação não solicitadas ao roteador. Sem o recurso de solicitação dinâmica RADIUS, a única maneira de desconectar um usuário RADIUS é do roteador, o que pode ser complicado e demorado em redes grandes.

Em um ambiente RADIUS típico do cliente-servidor, o roteador funciona como cliente e inicia solicitações enviadas ao servidor RADIUS remoto. No entanto, ao usar solicitações dinâmicas RADIUS, as funções são invertidas. Por exemplo, durante uma operação de desconexão, o servidor RADIUS remoto funciona como o cliente e inicia a solicitação (a ação de desconexão) — o roteador funciona como o servidor no relacionamento.

Você cria um perfil de acesso para configurar o roteador para oferecer suporte a solicitações dinâmicas RADIUS. Essa configuração permite que o roteador receba e aja sobre os seguintes tipos de mensagens de servidores RADIUS remotos:

  • Mensagens de aceitação de acesso — ative serviços dinamicamente com base em atributos nas mensagens RADIUS Access-Accept recebidas quando um assinante faz login.

  • Mensagens de mudança de autorização (CoA) — modifique dinamicamente sessões ativas com base em atributos em mensagens de CoA. As mensagens de CoA podem incluir solicitações de criação de serviços, solicitações de exclusão, atributos RADIUS e VSAs da Juniper Networks.

  • Desconecte mensagens — encerre imediatamente sessões específicas de assinantes.

Por padrão, o roteador monitora a porta UDP 3799 para solicitações de CoA de servidores RADIUS. Você também pode configurar uma porta sem desdestabilize para servidores RADIUS. Você deve usar a porta padrão para todos os servidores RADIUS ou configurar a mesma porta sem falhas para todos os servidores RADIUS. Essa regra se aplica aos níveis globais de acesso e perfil de acesso.

Nota:

Qualquer outra configuração resulta em uma falha de verificação de compromisso. Vários números de porta — ou seja, diferentes números de porta para servidores diferentes — não são suportados.

Benefícios das solicitações da Radius Dynamic

Permite o gerenciamento central simplificado das sessões de assinantes enviando alterações não solicitadas às sessões de assinantes, incluindo mudanças nos atributos, ativação de serviços, desativação de serviços e encerramento de sessão.

Veja também

Configuração do suporte a solicitações dinâmicas iniciadas por RADIUS

O roteador usa a lista de servidores de autenticação RADIUS especificados para operações de autenticação e solicitação dinâmica. Por padrão, o roteador monitora a porta UDP 3799 para solicitações dinâmicas, também conhecidas como solicitações de Mudança de Autorização (CoA).

Para configurar o suporte à solicitação dinâmica RADIUS:

  • Especifique o endereço IP do servidor RADIUS.

Para configurar o roteador para dar suporte a solicitações dinâmicas de mais de um servidor RADIUS:

  • Especifique os endereços IP de vários servidores RADIUS.

Ao configurar portas de solicitação dinâmicas, você deve fazer um dos seguintes:

  • Use a porta padrão para todos os servidores RADIUS em nível de acesso global e em todos os perfis de acesso.

  • Configure a mesma porta sem cambalhota para todos os servidores, tanto no nível de acesso global quanto em todos os perfis de acesso.

Nota:

Qualquer outra configuração resulta em uma falha de verificação de compromisso. Vários números de porta — ou seja, diferentes números de porta para servidores diferentes — não são suportados.

Para especificar uma porta de solicitação dinâmica global:

Para especificar a porta de solicitação dinâmica para um perfil de acesso específico:

Considere os seguintes cenários:

  • A configuração a seguir usa a porta padrão para um servidor globalmente e um servidor diferente no perfil de acesso. Esta é uma configuração válida.

  • A configuração a seguir especifica a porta 50201 sem desdestabiliza um servidor globalmente e um servidor diferente no perfil de acesso. Esta é uma configuração válida.

  • A configuração a seguir especifica a porta 50201 globalmente para um servidor e uma porta 51133 para o mesmo servidor no perfil de acesso ap1. Esta é uma configuração inválida e a verificação de confirmação falha, porque várias portas não indestabelecidas não são suportadas.

  • A configuração a seguir usa a porta padrão 3799 para um servidor globalmente e a porta 51133 para outro servidor globalmente. Esta é uma configuração inválida e a verificação de confirmação falha, porque para todos os servidores você deve configurar a porta padrão ou a mesma porta sem falhas.

Veja também

Visão geral da mudança de autorização (CoA) iniciada pelo RADIUS

A AAA Service Framework usa mensagens de CoA para modificar dinamicamente sessões de assinantes ativos. Por exemplo, os atributos RADIUS nas mensagens de CoA podem instruir a estrutura a criar, modificar ou encerrar um serviço de assinante. Você também pode usar mensagens de CoA para definir ou modificar limites de uso para serviços de assinantes atuais.

Mensagens de CoA

O suporte dinâmico à solicitação permite que o roteador receba e processe mensagens de CoA não solicitadas de servidores RADIUS externos. As mensagens de CoA iniciadas pelo RADIUS usam os seguintes códigos em mensagens de solicitação e resposta:

  • Solicitação de CoA (43)

  • CoA-ACK (44)

  • CoA-NAK (45)

Qualificações para mudança de autorização

Para completar a mudança de autorização para um usuário, você especifica atributos de identificação e atributos de sessão. Os atributos de identificação identificam o assinante. Os atributos de sessão especificam a operação (ativação ou desativação) para realizar na sessão do assinante e também incluem quaisquer atributos do cliente para a sessão (por exemplo, atributos QoS). A Estrutura de Serviços AAA lida com a solicitação real.

A Tabela 1 mostra os atributos de identificação das operações de CoA.

Tabela 1: Atributos de identificação

Atributo

Descrição

Nome do usuário [atributo RADIUS 1]

Nome de usuário do assinante.

Acct-Session-ID [atributo RADIUS 44]

Sessão específica para assinantes.
Nota:

Usar o atributo Acct-Session-ID para identificar a sessão do assinante é mais explícito do que usar o atributo Nome do Usuário. Quando você usa o Nome do Usuário como identificador, a operação coa é aplicada à primeira sessão que foi registrada com o nome de usuário especificado. No entanto, como um assinante pode ter várias sessões associadas ao mesmo nome de usuário, a primeira sessão pode não ser a sessão correta para a operação da CoA.

Quando você usa o atributo Acct-Session-ID, ele identifica a sessão de assinantes específica, evitando esse erro em potencial. Embora o atributo Acct-Session-ID possa incluir um especificador de interface, além do ID de sessão — quando o atributo está no formato de descrição — apenas o ID de sessão é usado para correspondência de assinantes. Por exemplo, se o assinante tiver um ID de sessão de assinante, 54785o assinante será combinado quando o atributo Acct-Session-ID é 54785 (formato decimal) ou jnpr demux0.1073759682:54785 (formato de descrição) ou, de fato any value:54785 , (formato de descrição).

A Tabela 2 mostra os atributos da sessão para as operações de CoA. Quaisquer atributos adicionais do cliente que você incluir dependem de seus requisitos de sessão específicos.

Tabela 2: Atributos da sessão

Atributo

Descrição

Ativar o serviço [Juniper Networks VSA 26-65]

Serviço a ser ativado para o assinante.

Desativação de serviço [Juniper Networks VSA 26-66]

Serviço para desativar para o assinante.

Volume de serviço [Juniper Networks VSA 26-67]

Quantidade de tráfego, em MB, que pode usar o serviço; o serviço é desativado quando o volume é excedido.

Tempo limite de serviço [Juniper Networks VSA 26-68]

Número de segundos em que o serviço pode estar ativo; o serviço é desativado quando o tempo limite expira.

Gigawords de volume de serviço [Juniper Networks VSA 26-179]

Quantidade de tráfego, em unidades de 4GB, que podem usar o serviço; o serviço é desativado quando o volume é excedido.

Serviço de atualização [Juniper Networks VSA 26-180]

Novos valores de serviço e cotas de tempo para o serviço existente.

Troca de mensagens

O servidor RADIUS e a Aaa Service Framework nas mensagens de troca de roteador usando UDP. A mensagem de CoA-Request enviada pelo servidor RADIUS tem o mesmo formato do pacote Desconectar-solicitação que é enviado para uma operação de desconexão.

A resposta é um CoA-ACK ou uma mensagem CoA-NAK:

  • Se a AAA Service Framework mudar com sucesso a autorização, a resposta será um pacote em formato RADIUS com uma mensagem CoA-ACK, e o filtro de dados é aplicado à sessão.

  • Se a estrutura de serviço AAA não tiver sucesso, a solicitação estiver malformada ou os atributos estiverem faltando, a resposta será um pacote em formato RADIUS com uma mensagem CoA-NAK.

Nota:

A AAA Service Framework processa uma solicitação dinâmica de cada vez por assinante. Se a estrutura receber uma segunda solicitação dinâmica (ou outro CoA ou uma Solicitação de Desconexão) enquanto processa uma solicitação anterior para o mesmo assinante, a estrutura responderá com uma mensagem CoA-NAK. A partir do Junos OS Release 15.1R5, as mensagens de remissão da CoA-Request são ignoradas e nenhuma CoA-NAK é enviada em resposta a elas.

Transações de CoA em massa

A partir do Junos OS Release 17.2R1, as solicitações de CoA em massa são suportadas para melhorar a eficiência de processamento dos serviços de assinantes baseados em RADIUS no BNG. A funcionalidade coa em massa permite o acúmulo de uma série de solicitações de CoA e compromete todos eles juntos, em massa, automaticamente.

As transações de CoA em massa são particularmente valiosas para serviços empresariais. Os serviços de assinantes baseados em RADIUS usam os VSAs da Juniper Networks, Activate-Service (26-65) e Deactivate-Service (26-66). Os VSAs são fornecidos em mensagens RADIUS-Accept durante o login ou em solicitações de CoA após o login.

Para serviços convencionais e dinâmicos baseados em perfil de serviço, até 12 ativações de serviço podem se encaixar facilmente em qualquer mensagem RADIUS. No entanto, os serviços baseados em script de operações usados pelas empresas normalmente têm requisitos de escalonamento que excedem a capacidade de qualquer mensagem. Isso significa que especificar e ativar todos os serviços necessários em uma determinada sessão de assinantes pode exigir o uso de uma mensagem de aceitação e várias solicitações de CoA.

Cada mensagem de solicitação de CoA é independente das solicitações anteriores e futuras da CoA na mesma sessão de assinantes. Todas as ativações e desativações de serviços em uma mensagem são processadas antes que uma resposta à CoA seja oferecida. A solicitação da CoA fornece uma maneira de modificar gradualmente uma sessão de assinantes sem afetar os serviços existentes que já estão presentes.

Para serviços baseados em op-script, as sessões de serviço são criadas de forma colaborativa pelos processos de authd e essmd de modo que a última operação inicie um compromisso de aplicar todas as interfaces lógicas de negócios estáticas resultantes a partir da solicitação da CoA. Como o tempo de comprometimento é geralmente a maior parte da aplicação de um serviço de negócios estático, existe uma vantagem em empacotar tantas ativações ou desativações de serviços que se encaixam em uma mensagem RADIUS para usar eficientemente a janela de compromisso. Até que a operação de compromisso seja concluída, o BNG não pode aceitar uma solicitação de CoA subseqüente para aplicar serviços comerciais adicionais para a mesma sessão de assinantes.

A CoA em massa melhora a eficiência do processamento de compromissos usando uma única ação de compromisso para todos os serviços na transação em massa. A transação em massa tem o efeito de gerenciar uma série de solicitações como uma única meta-solicitação. Ele adia o processamento de compromisso até que a solicitação final de CoA na transação em massa seja recebida.

O CoA em massa exige que cada solicitação individual contenha uma única instância do Juniper Networks Bulk-CoA-Transaction-Id VSA (26-194). Este VSA identifica solicitações como pertencentes à mesma transação em massa; 26-194 deve ter o mesmo valor em todas as solicitações de CoA na série em massa. Cada transação em massa sucessiva na sessão deve ter um identificador diferente; por exemplo, três transações em massa sucessivas podem ter IDs de 1, 2 e 1, mas não podem ter IDs sucessivas de 1, 1 e 2. Na prática, o valor do Bulk-CoA-Transaction-Id normalmente é incrementado para várias transações em massa, mas isso não é necessário. Um valor de ID usado em uma determinada sessão de assinante também pode ser usado em diferentes sessões de assinantes.

Cada solicitação de CoA dentro de uma transação em massa tem seu próprio identificador exclusivo, fornecido por uma única instância do VsA Bulk-CoA-Identifier (26-195) em cada CoA. Uma série crescente de valores para o ID é típica, mas não aplicada. Os valores podem ser reutilizados em uma determinada sessão e entre sessões. A solicitação final de CoA da série é identificada por ter um valor de 0xFFFFFFFF para o Bulk-CoA-Identifier.

Benefícios da mudança de autorização iniciada pelo Radius

Permite que mudanças nos valores de atributos sejam dinamicamente empurrados para sessões de assinantes, bem como ativação dinâmica e desativação de serviços de assinantes.

Veja também

Visão geral da desconexão iniciada pelo RADIUS

Esta seção descreve o suporte da AAA Service Framework para solicitações dinâmicas de desconexão iniciadas pelo RADIUS. A AAA Service Framework usa mensagens de desconexão para encerrar dinamicamente sessões ativas de assinantes.

Desconectar mensagens

Para controlar centralmente a desconexão de assinantes de acesso remoto, o recurso de solicitação dinâmica RADIUS no roteador recebe e processa mensagens não solicitadas dos servidores RADIUS.

O recurso de solicitação dinâmica usa o formato existente de solicitação de desconexão RADIUS e mensagens de resposta. A desconexão iniciada pelo RADIUS usa os seguintes códigos em suas mensagens de solicitação e resposta RADIUS:

  • Solicitação de desconexão (40)

  • Disconnect-ACK (41)

  • Desconecte-NAK (42)

Qualificações para desconectar

Para que a ESTRUTURA de serviço AAA desconecte um usuário, a mensagem Desconecte-solicitação deve conter um atributo com um ID de sessão contábil. A mensagem desconecte-solicitação pode conter um atributo Acct-Session-Id (44) ou um atributo Acct-Multi-Session-Id (50) para o ID da sessão ou ambos. Se os atributos Acct-Session-Id e Acct-Multi-Session-Id estiverem presentes na solicitação, o roteador usará ambos os atributos. Se o atributo Nome do Usuário (1) também estiver presente na solicitação, o nome de usuário e o ID da sessão de contabilidade serão usados para realizar a desconexão. A Estrutura de Serviços AAA lida com a solicitação real.

Troca de mensagens

O servidor RADIUS e a AAA Service Framework trocam mensagens usando UDP. A mensagem de solicitação de desconexão enviada pelo servidor RADIUS tem o mesmo formato do pacote CoA-Request que é enviado para uma operação de alteração de autorização.

A resposta de desconexão é uma desconecta-ACK ou uma mensagem Desconecte-NAK:

  • Se a Aaa Service Framework desconectar o usuário com sucesso, a resposta será um pacote em formato RADIUS com uma mensagem Disconnect-ACK.

  • Se a Estrutura de Serviço AAA não puder desconectar o usuário, a solicitação estiver malformada ou os atributos estiverem faltando na solicitação, a resposta será um pacote em formato RADIUS com uma mensagem Disconnect-NAK.

Nota:

A AAA Service Framework processa uma solicitação dinâmica de cada vez por assinante. Se a estrutura receber uma segunda solicitação dinâmica enquanto processa uma solicitação anterior (uma CoA ou outra Solicitação de Desconexão) para o mesmo assinante, a estrutura responderá com uma mensagem Disconnect-NAK.

Benefícios das desconexões iniciadas pelo raio

Permite que um servidor RADIUS encerre dinamicamente as sessões de assinantes. Esse recurso centralizado de gerenciamento de assinantes simplifica o tratamento de um grande número de assinantes, porque o encerramento da operadora exigiria ações no roteador.

Veja também

Limites de uso para serviços de assinantes

A partir do Junos OS Release 14.1, o gerenciamento de assinantes permite que você gerencie serviços de assinantes estabelecendo limites de uso quando um serviço é ativado dinamicamente ou quando um serviço existente é modificado por uma ação RADIUS CoA. O serviço é desativado quando o limite especificado é atingido.

O gerenciamento de assinantes oferece suporte a dois tipos de limites de uso: volume de tráfego e tempo. Você usa os VSAs da Juniper Networks para definir os limites de uso. Os VSAs são transmitidos em mensagens RADIUS Access-Accept para serviços ativados dinamicamente ou em mensagens de CoA-Request iniciadas pelo RADIUS para serviços existentes. O limite de volume define a quantidade máxima do tráfego total de entrada e saída que pode usar o serviço antes que o serviço seja desativado. Um limite de tempo define o tempo máximo de ativação do serviço. A Tabela 3 mostra os VSAs usados para limites de volume e tempo.

Tabela 3: VSAs de rede da Juniper usados para limites de serviço

Número de atributo

Nome do atributo

Descrição

Valor

26-67

Volume de serviço

Quantidade de tráfego de entrada e saída, em MB, que pode usar o serviço; o serviço é desativado quando o volume é excedido. VSA marcado, que oferece suporte a 8 tags (1-8). O roteador pesquisa o tráfego em intervalos de 10 minutos.

  • faixa = 0 a 16777215 MB

  • 0 = sem limite

26-68

Tempo de serviço

Número de segundos em que o serviço pode estar ativo; o serviço é desativado quando o tempo limite expira. VSA marcado, que oferece suporte a 8 tags (1-8).

  • alcance = 0 a 16777215 segundos

  • 0 = sem tempo limite

26-179

Gigawords de volume de serviço

Quantidade de tráfego de entrada e saída, em unidades de 4GB, que podem usar o serviço; o serviço é desativado quando o volume é excedido. VSA marcado, que oferece suporte a 8 tags (1-8). O roteador pesquisa o tráfego em intervalos de 10 minutos.

  • faixa = 0 a 16777215 unidades de 4GB

  • 0 = sem limite

26-180

Serviço de atualização

Novos valores de serviço e cotas de tempo para um serviço existente. VSA marcado, que oferece suporte a 8 tags (1-8).

String: service-name

Veja também

Visão geral de logins de sessão de assinantes e falhas de ativação de serviços

Quando um assinante tenta fazer login e é autenticado pelo RADIUS, a mensagem de aceitação de acesso pode incluir serviços no RADIUS Activate-Service VSA (26-65) a ser ativado para uma família de rede específica. Dependendo da configuração e do tipo de serviço, a falha na ativação de um serviço pode resultar na negação do login do assinante.

Você pode usar a service activation declaração no [edit access profile profile-name radius optionsnível da hierarquia para configurar o comportamento subsequente a uma falha de ativação.

Use as seguintes opções para configurar esse comportamento separadamente para dois tipos de serviços:

  • dynamic-profile— Esse tipo de serviço está configurado no perfil dinâmico aplicado pelo perfil de acesso do assinante.

  • extensible-service— Esse tipo de serviço está configurado em um script de operação do Extensible Subscriber Services Manager (ESSM). Esses serviços geralmente configuram novas interfaces para assinantes empresariais.

Use as seguintes opções para especificar se a ativação bem-sucedida desses serviços é necessária ou opcional para acesso ao login do assinante:

  • required-at-login— A ativação é necessária. A falha por qualquer motivo faz com que a solicitação de ativação da família de rede para essa família de rede falhe. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo do cliente registrará o assinante. Esse é o comportamento padrão para o dynamic-profile tipo de serviço.

  • optional-at-login— A ativação é opcional. A falha devido a erros de configuração não impede a ativação da família de endereços; permite o acesso ao assinante. A falha por qualquer outro motivo faz com que a ativação da família de rede falhe. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo do cliente registrará o assinante. Esse é o comportamento padrão para o extensible-service tipo de serviço.

Nota:

Falhas associadas à ativação de políticas seguras de assinantes (para espelhar o tráfego em um dispositivo de mediação) não têm efeito no acesso por assinantes sujeitos à política.

Essa configuração não se aplica a serviços ativados por meio de solicitações RADIUS CoA, mensagens JSRC Push-Profile-Request (PPR) ou políticas seguras para assinantes.

Para o dynamic-profile tipo de serviço, os erros de configuração incluem o seguinte:

  • Analisando erros do perfil dinâmico e seus atributos.

  • Faltam variáveis de usuário obrigatórias.

  • Referências a perfis dinâmicos que não existem.

  • Falhas de verificação semânticas no perfil dinâmico.

Para o extensible-service tipo de serviço, os erros de configuração incluem o seguinte:

  • Analisando erros do script de operação.

  • Cometa falhas.

Para ativar um serviço, o authd envia uma solicitação de ativação para os serviços apropriados para a infraestrutura de gerenciamento de assinantes (SMI). Por exemplo, se a solicitação for para a família IPv4, ela solicita ativação apenas dos serviços IPv4. Por sua vez, a SMI envia solicitações para os daemons de servidor associados ao serviço, como cosd ou filtrado. Os resultados devolvidos pelos daemons determinam se a ativação do serviço é um sucesso ou uma falha.

  • Quando todos os daemons do servidor relatam o sucesso, a SMI informa o sucesso ao authd e o serviço é ativado.

  • Se algum daemon de servidor relatar um erro de configuração e nenhum daemons relatar um erro de não configuração, a SMI relata um erro de configuração authd. O serviço não é ativado, mas dependendo da configuração, a ativação da família de rede pode ter sucesso.

  • Se algum daemon de servidor relatar um erro de não configuração, o SMI relatará falha no authd e o serviço não for ativado.

Processo de ativação da família de serviços e rede

Quando um assinante faz login, o authd precisa ativar a família de endereços correspondente após a autenticação do assinante. O aplicativo do cliente, como DHCP ou PPP, pode solicitar a ativação de uma única família de rede, IPv4 ou IPv6, ou pode solicitar sequencialmente que ambas as famílias sejam ativadas. A ativação bem-sucedida da família de rede está relacionada à ativação de serviços associados. As etapas a seguir descrevem o processo quando o authd é configurado para usar o RADIUS para autenticação:

  1. Um assinante tenta fazer login.

    1. O aplicativo do cliente solicita autenticação do authd.

    2. authd envia uma mensagem de solicitação de acesso ao servidor RADIUS.

    3. O servidor RADIUS envia uma mensagem de aceitação de acesso para authd que inclui o RADIUS Activate-Service VSA (26-65).

    4. authd caches os atributos de ativação do serviço e envia uma doação para o aplicativo do cliente.

  2. O aplicativo do cliente envia a primeira solicitação de ativação da família de rede para a família de endereços IPv4 ou IPv6. Esta solicitação às vezes é referida como a solicitação de ativação do cliente.

  3. authd analisa os atributos de ativação de serviços em cache e envia uma solicitação de ativação dos serviços apropriados para a infraestrutura de gerenciamento de assinantes (SMI). Por exemplo, se a solicitação for para a família IPv4, ela solicita ativação apenas dos serviços IPv4. Por sua vez, a SMI envia solicitações para os daemons de servidor associados ao serviço, como cosd ou filtrado.

  4. O que authd faz a seguir depende se a solicitação de ativação do serviço falha e se o serviço é opcional ou necessário.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é opcional:

      1. authd elimina os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração de autorização de RADIUS (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é necessário:

      1. authd elimina os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração de autorização de RADIUS (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo do cliente encerre o login do assinante.

    • Quando a ativação do serviço falha devido a um erro de não configuração e o serviço é opcional ou necessário:

      1. authd elimina os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração de autorização de RADIUS (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo do cliente encerre o login do assinante.

    • Quando a ativação do serviço for bem sucedida:

      1. authd ativa o serviço.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

  5. A menos que a ativação do serviço fosse necessária e falhasse, fazendo com que a ativação da família falhasse na primeira solicitação, o aplicativo do cliente pode enviar uma segunda solicitação, mas apenas para a família não solicitada pela primeira vez. Se a primeira solicitação fosse para IPv4, a segunda solicitação só pode ser para IPv6. Se a primeira solicitação fosse para IPv6, a segunda solicitação só pode ser para IPv4.

  6. authd analisa os atributos de ativação de serviços em cache e a ativação de solicitações para os serviços associados à família de endereços solicitada.

  7. O que authd faz a seguir depende se a solicitação de ativação do serviço falha e se o serviço é opcional ou necessário.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é opcional:

      1. authd elimina os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração de autorização de RADIUS (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é necessário:

      1. authd elimina os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração de autorização de RADIUS (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família. Como esta é a segunda solicitação de ativação familiar, o resultado da ativação da primeira família determina o que acontece a seguir:

        • Se a ativação da primeira família foi bem-sucedida e esse assinante fez login, a falha da segunda solicitação não interrompe o login atual do assinante. Esse evento também não faz com que o usuário faça login com o assinante anterior (primeira solicitação).

        • Se a ativação da primeira família não tiver sido bem sucedida, a falha da segunda solicitação faz com que o aplicativo do cliente encerre o login do assinante atual.

    • Quando a ativação do serviço falha devido a um erro de não configuração e o serviço é opcional ou necessário:

      1. authd elimina os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração de autorização de RADIUS (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo do cliente encerre o login do assinante.

    • Quando a ativação do serviço for bem sucedida:

      1. authd ativa o serviço.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

Configuração de como falhas de ativação de serviço afetam o login do assinante

Você pode configurar como uma falha de ativação de serviços opcionais durante o login do assinante afeta o resultado do login. Esses serviços opcionais são aqueles mencionados pelo RADIUS Activate-Service VSA (26-65) que aparece na mensagem RADIUS Access-Accept durante o login inicial do assinante.

Você pode configurar esses dois tipos de ativação de serviços a serem necessários ou opcionais.

  • dynamic-profile— Esses serviços estão configurados no perfil dinâmico aplicado pelo perfil de acesso ao assinante para fornecer acesso a assinantes e serviços para aplicativos de banda larga. Por padrão, a ativação de serviços é necessária para um login bem-sucedido. Um erro de configuração durante a ativação do serviço impede que a família de rede seja ativada e faz com que o login do assinante falhe.

  • extensible-service— Esses serviços são aplicados por scripts de operação tratados pelo daemon do Extensible Subscriber Services Manager (ESSM) (essmd) para assinantes empresariais. Por padrão, a ativação de serviços é opcional para o login bem-sucedido do assinante.

Nota:

A service-activation configuração da declaração afeta apenas falhas de ativação devido a erros de configuração no perfil dinâmico ou no script de operação do ESSM. Falhas por erros de não configuração sempre resultam em negação de acesso para o assinante e encerramento da tentativa de login.

Para configurar o comportamento para serviços de perfil dinâmico, faça um dos seguintes:

  • Especifique que a ativação do serviço é opcional.

  • Especifique se a ativação do serviço é necessária (o padrão).

Para configurar o comportamento dos serviços ESSM, faça um dos seguintes:

  • Especifique se a ativação do serviço é necessária.

  • Especifique que a ativação do serviço é opcional (o padrão).

Veja também

Códigos de causa de erro (RADIUS Attribute 101) para solicitações dinâmicas

Quando uma coa iniciada por RADIUS ou uma operação de desconexão não for bem sucedida, o roteador inclui um atributo de causa de erro (atributo RADIUS 101) na mensagem CoA-NAK ou Disconnect-NAK que ele envia de volta ao servidor RADIUS. Se o erro detectado não for mapeado para um dos atributos de causa de erro suportados, o roteador envia a mensagem sem um atributo de causa de erro. A Tabela 4 descreve os códigos de causa de erro.

Tabela 4: Códigos de causa de erro (ATRIBUTO RADIUS 101)

Código

Valor

Descrição

401

Atributo sem suporte

A solicitação contém um atributo que não é suportado (por exemplo, um atributo de terceiros).

402

Atributo ausente

Um atributo crítico (por exemplo, o atributo de identificação da sessão) está ausente de uma solicitação.

404

Solicitação inválida

Algum outro aspecto da solicitação é inválido, como se um ou mais atributos não forem formatados corretamente.

503

Contexto de sessão não encontrado

O contexto da sessão identificado na solicitação não existe no roteador.

504

Contexto de sessão não removível

O assinante identificado por atributos na solicitação pertence a um componente que não é suportado.

506

Recursos indisponíveis

Uma solicitação não pôde ser honrada devido à falta de recursos NAS disponíveis (como memória).

Veja também

Verificação das estatísticas de solicitação dinâmica do RADIUS

Propósito

Exibir estatísticas e informações de solicitação dinâmica do RADIUS.

Ação

  • Para exibir estatísticas de solicitação dinâmica radius:

Veja também

Tabela de histórico de lançamento
Lançamento
Descrição
17.2R1
A partir do Junos OS Release 17.2R1, as solicitações de CoA em massa são suportadas para melhorar a eficiência de processamento dos serviços de assinantes baseados em RADIUS no BNG.
15.1R5
A partir do Junos OS Release 15.1R5, as mensagens de remissão da CoA-Request são ignoradas e nenhuma CoA-NAK é enviada em resposta a elas.
14.1
A partir do Junos OS Release 14.1, o gerenciamento de assinantes permite que você gerencie serviços de assinantes estabelecendo limites de uso quando um serviço é ativado dinamicamente ou quando um serviço existente é modificado por uma ação RADIUS CoA.