Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Gerenciamento dinâmico de serviços com RADIUS

Usando solicitações dinâmicas RADIUS para gerenciamento de acesso do assinante

As solicitações dinâmicas RADIUS fornecem uma maneira eficiente de gerenciar centralmente as sessões do assinante. O suporte a solicitações dinâmicas RADIUS do AAA Service Framework permite que os servidores RADIUS iniciem operações relacionadas ao usuário, como uma operação de encerramento, enviando mensagens de solicitação não solicitadas ao roteador. Sem o recurso de solicitação dinâmica RADIUS, a única maneira de desconectar um usuário do RADIUS é do roteador, o que pode ser complicado e demorado em grandes redes.

Em um ambiente RADIUS cliente-servidor típico, o roteador funciona como o cliente e inicia as solicitações enviadas ao servidor RADIUS remoto. No entanto, ao usar solicitações dinâmicas RADIUS, as funções são invertidas. Por exemplo, durante uma operação de desconexão, o servidor RADIUS remoto atua como o cliente e inicia a solicitação (a ação de desconexão) — o roteador funciona como o servidor na relação.

Você cria um perfil de acesso para configurar o roteador para suportar solicitações dinâmicas RADIUS. Essa configuração permite que o roteador receba e atue nos seguintes tipos de mensagens de servidores RADIUS remotos:

  • Mensagens de aceitação de acesso — ative dinamicamente serviços com base em atributos em mensagens de aceitação de acesso RADIUS recebidas quando um assinante faz login.

  • Mensagens de mudança de autorização (CoA) — modifique dinamicamente as sessões ativas com base em atributos nas mensagens CoA. As mensagens de CoA podem incluir solicitações de criação de serviço, solicitações de exclusão, atributos RADIUS e VSAs da Juniper Networks.

  • Desconectar mensagens — encerre imediatamente sessões específicas do assinante.

Por padrão, o roteador monitora a porta UDP 3799 para solicitações de CoA de servidores RADIUS. Você também pode configurar uma porta não padrão para servidores RADIUS. Você deve usar a porta padrão para todos os servidores RADIUS ou configurar a mesma porta não padrão para todos os servidores RADIUS. Essa regra se aplica nos níveis de acesso global e perfil de acesso.

Observação:

Qualquer outra configuração resulta em uma falha na verificação de confirmação. Não há suporte para vários números de porta, ou seja, números de porta diferentes para servidores diferentes.

Benefícios das solicitações dinâmicas Radius

Permite o gerenciamento central simplificado de sessões de assinantes enviando alterações não solicitadas para sessões de assinantes, incluindo alterações em atributos, ativação de serviço, desativação de serviço e encerramento de sessão.

Veja também

Configuração do suporte a solicitações dinâmicas iniciadas por RADIUS

O roteador usa a lista de servidores de autenticação RADIUS especificados para operações de autenticação e solicitação dinâmica. Por padrão, o roteador monitora a porta UDP 3799 para solicitações dinâmicas, também conhecidas como solicitações de Mudança de Autorização (CoA).

Para configurar o suporte a solicitações dinâmicas do RADIUS:

  • Especifique o endereço IP do servidor RADIUS.

Para configurar o roteador para suportar solicitações dinâmicas de mais de um servidor RADIUS:

  • Especifique os endereços IP de vários servidores RADIUS.

Ao configurar portas de solicitação dinâmica, você deve fazer o seguinte:

  • Use a porta padrão para todos os servidores RADIUS no nível de acesso global e em todos os perfis de acesso.

  • Configure a mesma porta não padrão para todos os servidores no nível de acesso global e em todos os perfis de acesso.

Observação:

Qualquer outra configuração resulta em uma falha na verificação de confirmação. Não há suporte para vários números de porta, ou seja, números de porta diferentes para servidores diferentes.

Para especificar uma porta de solicitação dinâmica global:

Para especificar a porta de solicitação dinâmica para um perfil de acesso específico:

Considere os seguintes cenários:

  • A configuração a seguir usa a porta padrão para um servidor globalmente e um servidor diferente no perfil de acesso. Esta é uma configuração válida.

  • A configuração a seguir especifica a porta não padrão 50201 para um servidor globalmente e um servidor diferente no perfil de acesso. Esta é uma configuração válida.

  • A configuração a seguir especifica a porta 50201 globalmente para um servidor e a porta 51133 para o mesmo servidor no perfil de acesso ap1. Essa é uma configuração inválida e a verificação de confirmação falha, pois não há suporte para várias portas não padrão.

  • A configuração a seguir usa a porta padrão 3799 para um servidor globalmente e a porta 51133 para outro servidor globalmente. Essa é uma configuração inválida e a verificação de confirmação falha, pois para todos os servidores você deve configurar a porta padrão ou a mesma porta não padrão.

Veja também

Visão geral da alteração de autorização (CoA) iniciada pelo RADIUS

A Estrutura de Serviço AAA usa mensagens CoA para modificar dinamicamente as sessões ativas do assinante. Por exemplo, atributos RADIUS em mensagens CoA podem instruir a estrutura a criar, modificar ou encerrar um serviço de assinante. Você também pode usar mensagens CoA para definir ou modificar limites de uso para serviços de assinante atuais.

Mensagens de CoA

O suporte dinâmico a solicitações permite que o roteador receba e processe mensagens CoA não solicitadas de servidores RADIUS externos. As mensagens de CoA iniciadas pelo RADIUS usam os seguintes códigos em mensagens de solicitação e resposta:

  • Solicitação de CoA (43)

  • CoA-ACK (44)

  • CoA-NAK (45)

Qualificações para Mudança de Autorização

Para concluir a alteração de autorização de um usuário, especificar atributos de identificação e atributos de sessão. Os atributos de identificação identificam o assinante. Os atributos de sessão especificam a operação (ativação ou desativação) a ser executada na sessão do assinante e também incluem quaisquer atributos de cliente para a sessão (por exemplo, atributos de QoS). A Estrutura de Serviço AAA lida com a solicitação real.

A Tabela 1 mostra os atributos de identificação para as operações de CoA.

Tabela 1: Atributos de identificação

Atributo

Descrição

Nome de usuário [atributo RADIUS 1]

Nome de usuário do assinante.

Acct-Session-ID [atributo RADIUS 44]

Sessão de assinante específica.
Observação:

Usar o atributo Acct-Session-ID para identificar a sessão do assinante é mais explícito do que usar o atributo User-Name. Quando você usa o nome de usuário como identificador, a operação CoA é aplicada à primeira sessão que foi conectada com o nome de usuário especificado. No entanto, como um assinante pode ter várias sessões associadas ao mesmo nome de usuário, a primeira sessão pode não ser a sessão correta para a operação de CoA.

Quando você usa o atributo Acct-Session-ID, ele identifica a sessão específica do assinante, evitando esse possível erro. Embora o atributo Acct-Session-ID possa incluir um especificador de interface além do ID da sessão — quando o atributo está no formato de descrição — somente o ID da sessão é usado para correspondência do assinante. Por exemplo, se o assinante tiver um ID de sessão de assinante de , o assinante será correspondido quando o atributo Acct-Session-ID for 54785 (formato decimal), ou jnpr demux0.1073759682:54785 (formato de descrição), ou mesmo any value:54785 (formato de 54785descrição).

A Tabela 2 mostra os atributos de sessão para operações de CoA. Quaisquer atributos de cliente adicionais que você incluir dependem de seus requisitos de sessão específicos.

Tabela 2: Atributos da sessão

Atributo

Descrição

Serviço de ativação [Juniper Networks VSA 26-65]

Serviço a ser ativado para o assinante.

Serviço de desativação [Juniper Networks VSA 26-66]

Serviço a desativar para o assinante.

Volume de serviço [Juniper Networks VSA 26-67]

Quantidade de tráfego, em MB, que pode utilizar o serviço; O serviço é desativado quando o volume é excedido.

Tempo limite de serviço [Juniper Networks VSA 26-68]

Número de segundos que o serviço pode estar ativo; O serviço é desativado quando o tempo limite expira.

Gigapalavras de volume de serviço [Juniper Networks VSA 26-179]

Quantidade de tráfego, em unidades de 4GB, que podem utilizar o serviço; O serviço é desativado quando o volume é excedido.

Serviço de atualização [Juniper Networks VSA 26-180]

Novos valores de serviço e cotas de tempo para o serviço existente.

Troca de mensagens

O servidor RADIUS e a estrutura de serviço AAA no roteador trocam mensagens usando UDP. A mensagem CoA-Request enviada pelo servidor RADIUS tem o mesmo formato que o pacote Disconnect-Request enviado para uma operação de desconexão.

A resposta é uma mensagem CoA-ACK ou CoA-NAK:

  • Se a estrutura de serviço AAA alterar a autorização com êxito, a resposta será um pacote formatado em RADIUS com uma mensagem CoA-ACK e o filtro de dados será aplicado à sessão.

  • Se o AAA Service Framework não for bem-sucedido, a solicitação estiver malformada ou os atributos estiverem ausentes, a resposta será um pacote formatado em RADIUS com uma mensagem CoA-NAK.

Observação:

A Estrutura de Serviços AAA processa uma solicitação dinâmica por vez por assinante. Se a estrutura receber uma segunda solicitação dinâmica (outro CoA ou uma Disconnect-Request) durante o processamento de uma solicitação anterior para o mesmo assinante, a estrutura responderá com uma mensagem CoA-NAK. A partir do Junos OS Release 15.1R5, as mensagens de repetição de CoA-Request são ignoradas e nenhum CoA-NAK é enviado em resposta a elas.

Transações de CoA em massa

A partir do Junos OS Release 17.2R1, as solicitações de CoA em massa são suportadas para melhorar a eficiência de processamento de serviços de assinante baseados em RADIUS no BNG. A funcionalidade de CoA em massa permite o acúmulo de uma série de solicitações de CoA e confirma todas elas juntas, em massa, automaticamente.

Todos os serviços em uma solicitação de CoA em massa devem ser para a mesma sessão de assinante.

As transações de CoA em massa são particularmente valiosas para serviços empresariais. Os serviços de assinante baseados em RADIUS usam os VSAs da Juniper Networks, Activate-Service (26-65) e Deactivate-Service (26-66). Os VSAs são fornecidos em mensagens RADIUS-Accept durante o login ou em solicitações de CoA após o login.

Para serviços convencionais e dinâmicos baseados em perfis de serviço, até 12 ativações de serviço podem caber facilmente em qualquer uma das mensagens RADIUS. No entanto, os serviços baseados em op-script usados pelas empresas normalmente têm requisitos de dimensionamento que excedem a capacidade de qualquer mensagem. Isso significa que especificar e ativar todos os serviços necessários em uma determinada sessão de assinante pode exigir o uso de uma mensagem Accept-Access e várias solicitações de CoA.

Cada mensagem de solicitação de CoA é independente de solicitações de CoA anteriores e futuras na mesma sessão do assinante. Todas as ativações e desativações de serviço em uma mensagem são processadas antes que uma resposta de CoA seja oferecida. A solicitação de CoA fornece uma maneira de modificar incrementalmente uma sessão de assinante sem afetar os serviços existentes que já estão presentes.

Para serviços baseados em op-script, as sessões de serviço são criadas colaborativamente pelos processos authd e essmd, de modo que a última operação inicie uma confirmação para aplicar todas as interfaces lógicas de negócios estáticas resultantes da solicitação CoA. Como o tempo de confirmação é geralmente a maior parte da aplicação de um serviço de negócios estático, há uma vantagem em empacotar quantas ativações ou desativações de serviço couber em uma mensagem RADIUS para usar com eficiência a janela de confirmação. Até que a operação de confirmação seja concluída, o BNG não poderá aceitar uma solicitação de CoA subsequente para aplicar serviços de negócios adicionais para a mesma sessão de assinante.

O CoA em massa melhora a eficiência do processamento de confirmação usando uma única ação de confirmação para todos os serviços na transação em massa. A transação em massa tem o efeito de gerenciar uma série de solicitações como uma única meta-solicitação. Ele adia o processamento de confirmação até que a solicitação CoA final na transação em massa seja recebida.

O CoA em massa requer que cada solicitação individual contenha uma única instância do VSA Bulk-CoA-Transaction-Id da Juniper Networks (26–194). Esse VSA identifica solicitações como pertencentes à mesma transação em massa; 26–194 devem ter o mesmo valor em todas as solicitações de CoA na série em massa. Cada transação em massa sucessiva na sessão deve ter um identificador diferente; por exemplo, três transações em massa sucessivas podem ter IDs de 1, 2 e 1, mas não podem ter IDs sucessivas de 1, 1 e 2. Na prática, o valor Bulk-CoA-Transaction-Id normalmente é incrementado para várias transações em massa, mas isso não é necessário. Um valor de ID usado em uma determinada sessão de assinante também pode ser usado em diferentes sessões de assinante.

Cada solicitação de CoA em uma transação em massa tem seu próprio identificador exclusivo, fornecido por uma única instância do VSA Bulk-CoA-Identifier (26–195) em cada CoA. Uma série crescente de valores para a ID é típica, mas não imposta. Os valores podem ser reutilizados em uma determinada sessão e entre sessões. A solicitação CoA final na série é identificada por ter um valor de 0xFFFFFFFF para o Bulk-CoA-Identifier.

Benefícios da alteração de autorização iniciada pelo Radius

Permite que as alterações nos valores de atributos sejam enviadas dinamicamente para as sessões do assinante, bem como a ativação e desativação dinâmicas dos serviços do assinante.

Veja também

Visão geral da desconexão iniciada por RADIUS

Esta seção descreve o suporte do AAA Service Framework para solicitações dinâmicas de desconexão iniciadas pelo RADIUS. O AAA Service Framework usa mensagens de desconexão para encerrar dinamicamente sessões ativas do assinante.

Desconectar mensagens

Para controlar centralmente a desconexão de assinantes de acesso remoto, o recurso de solicitação dinâmica RADIUS no roteador recebe e processa mensagens não solicitadas de servidores RADIUS.

O recurso de solicitação dinâmica usa o formato existente de mensagens de solicitação e resposta de desconexão do RADIUS. A desconexão iniciada pelo RADIUS usa os seguintes códigos em suas mensagens de solicitação e resposta do RADIUS:

  • Solicitação de desconexão (40)

  • Desconectar-ACK (41)

  • Desconectar-NAK (42)

Qualificações para desconexão

Para que o AAA Service Framework desconecte um usuário, a mensagem Disconnect-Request deve conter um atributo com uma ID de sessão de contabilidade. A mensagem Disconnect-Request pode conter um atributo Acct-Session-Id (44) ou um atributo Acct-Multi-Session-Id (50) para o ID da sessão ou ambos. Se os atributos Acct-Session-Id e Acct-Multi-Session-Id estiverem presentes na solicitação, o roteador usará os dois atributos. Se o atributo User-Name (1) também estiver presente na solicitação, o nome de usuário e o ID da sessão de contabilidade serão usados para executar a desconexão. A Estrutura de Serviço AAA lida com a solicitação real.

Troca de mensagens

O servidor RADIUS e o AAA Service Framework trocam mensagens usando UDP. A mensagem Disconnect-Request enviada pelo servidor RADIUS tem o mesmo formato que o pacote CoA-Request enviado para uma operação de alteração de autorização.

A resposta de desconexão é uma mensagem Disconnect-ACK ou Disconnect-NAK:

  • Se o AAA Service Framework desconectar o usuário com êxito, a resposta será um pacote formatado em RADIUS com uma mensagem Disconnect-ACK.

  • Se a estrutura de serviços AAA não puder desconectar o usuário, a solicitação estiver malformada ou os atributos estiverem ausentes da solicitação, a resposta será um pacote formatado em RADIUS com uma mensagem Disconnect-NAK.

Observação:

A Estrutura de Serviços AAA processa uma solicitação dinâmica por vez por assinante. Se a estrutura receber uma segunda solicitação dinâmica durante o processamento de uma solicitação anterior (um CoA ou outra Disconnect-Request) para o mesmo assinante, a estrutura responderá com uma mensagem Disconnect-NAK.

Benefícios das desconexões iniciadas por raio

Permite que um servidor RADIUS encerre dinamicamente sessões de assinante. Esse recurso de gerenciamento centralizado de assinantes simplifica o manuseio de um grande número de assinantes porque, caso contrário, a terminação do operador exigiria ação no roteador.

Veja também

Limites de uso para serviços de assinante

A partir do Junos OS Release 14.1, o gerenciamento de assinantes permite que você gerencie serviços de assinantes estabelecendo limites de uso quando um serviço é ativado dinamicamente ou quando um serviço existente é modificado por uma ação de CoA RADIUS. O serviço é desativado quando o limite especificado é atingido.

O gerenciamento de assinantes oferece suporte a dois tipos de limites de uso: volume e tempo de tráfego. Você usa VSAs da Juniper Networks para definir os limites de uso. Os VSAs são transmitidos em mensagens de aceitação de acesso RADIUS para serviços ativados dinamicamente ou em mensagens de solicitação de CoA iniciadas pelo RADIUS para serviços existentes. O limite de volume define a quantidade máxima do tráfego total de entrada e saída que pode usar o serviço antes que o serviço seja desativado. Um limite de tempo define o período máximo de tempo que o serviço pode estar ativo. A Tabela 3 mostra os VSAs usados para limites de volume e tempo.

Tabela 3: VSAs de rede da Juniper usados para limites de serviço

Número do atributo

Nome do atributo

Descrição

Valor

26-67

Volume de serviço

Quantidade de tráfego de entrada e saída, em MB, que pode usar o serviço; O serviço é desativado quando o volume é excedido. VSA marcado, que suporta 8 tags (1-8). O roteador pesquisa o tráfego em intervalos de 10 minutos.

  • intervalo = 0 a 16777215 MB

  • 0 = sem limite

26-68

Tempo limite do serviço

Número de segundos que o serviço pode estar ativo; O serviço é desativado quando o tempo limite expira. VSA marcado, que suporta 8 tags (1-8).

  • Intervalo = 0 a 16777215 segundos

  • 0 = sem tempo limite

26-179

Gigawords de volume de serviço

Quantidade de tráfego de entrada e saída, em unidades de 4GB, que podem utilizar o serviço; O serviço é desativado quando o volume é excedido. VSA marcado, que suporta 8 tags (1-8). O roteador pesquisa o tráfego em intervalos de 10 minutos.

  • intervalo = 0 a 16777215 unidades de 4 GB

  • 0 = sem limite

26-180

Serviço de atualização

Novos valores de serviço e cotas de tempo para um serviço existente. VSA marcado, que suporta 8 tags (1-8).

cadeia de caracteres: service-name

Veja também

Visão geral de logins de sessão de assinantes e falhas de ativação de serviço

Quando um assinante tenta efetuar login e é autenticado pelo RADIUS, a mensagem de Aceitação de Acesso pode incluir serviços no RADIUS Activate-Service VSA (26-65) a serem ativados para uma família de rede específica. Dependendo da configuração e do tipo de serviço, a falha na ativação de um serviço pode resultar na negação do login do assinante.

Você pode usar a service activation instrução no [edit access profile profile-name radius optionsnível de hierarquia ] para configurar o comportamento subsequente a uma falha de ativação.

Use as seguintes opções para configurar esse comportamento separadamente para dois tipos de serviços:

  • dynamic-profile— Esse tipo de serviço é configurado no perfil dinâmico que é aplicado pelo perfil de acesso do assinante.

  • extensible-service— Esse tipo de serviço é configurado em um script de operação do ESSM (Extensible Subscriber Services Manager). Esses serviços geralmente configuram novas interfaces para assinantes empresariais.

Use as seguintes opções para especificar se a ativação bem-sucedida desses serviços é obrigatória ou opcional para acesso de login do assinante:

  • required-at-login—A ativação é necessária. A falha por qualquer motivo faz com que a Network-Family-Activate-Request para essa família de redes falhe. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo cliente fará logout do assinante. Esse é o comportamento padrão para o dynamic-profile tipo de serviço.

  • optional-at-login— A ativação é opcional. A falha devido a erros de configuração não impede a ativação da família de endereços; Ele permite o acesso do assinante. A falha por qualquer outro motivo faz com que a ativação da família de rede falhe. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo cliente fará logout do assinante. Esse é o comportamento padrão para o extensible-service tipo de serviço.

Observação:

As falhas associadas à ativação de políticas seguras do assinante (para espelhar o tráfego em um dispositivo de mediação) não afetam o acesso dos assinantes sujeitos à política.

Essa configuração não se aplica a serviços ativados por meio de solicitações RADIUS CoA, mensagens JSRC Push-Profile-Request (PPR) ou políticas de segurança do assinante.

Para o tipo de serviço, os dynamic-profile erros de configuração incluem o seguinte:

  • Erros de análise do perfil dinâmico e seus atributos.

  • Variáveis de usuário obrigatórias ausentes.

  • Referências a perfis dinâmicos que não existem.

  • Falhas de verificação semântica no perfil dinâmico.

Para o tipo de serviço, os extensible-service erros de configuração incluem o seguinte:

  • Erros de análise do script de operação.

  • Falhas de confirmação.

Para ativar um serviço, o authd envia uma solicitação de ativação dos serviços apropriados para a infraestrutura de gerenciamento de assinantes (SMI). Por exemplo, se a solicitação for para a família IPv4, ela solicitará a ativação apenas dos serviços IPv4. Por sua vez, o SMI envia solicitações aos daemons do servidor associados ao serviço, como cosd ou filterd. Os resultados retornados pelos daemons determinam se a ativação do serviço é um sucesso ou uma falha.

  • Quando todos os daemons de servidor relatam sucesso, o SMI relata sucesso ao authd e o serviço é ativado.

  • Se algum daemon de servidor relatar um erro de configuração e nenhum daemon relatar um erro de não configuração, o SMI relatará um erro de configuração ao authd. O serviço não está ativado, mas dependendo da configuração, a ativação da família de rede pode ser bem-sucedida.

  • Se algum daemon de servidor relatar um erro de não configuração, o SMI relatará falha no authd e o serviço não será ativado.

Processo de ativação da família de serviços e redes

Quando um assinante faz login, o authd precisa ativar a família de endereços correspondente após a autenticação do assinante. O aplicativo cliente, como DHCP ou PPP, pode solicitar a ativação de uma única família de rede, IPv4 ou IPv6, ou pode solicitar sequencialmente que ambas as famílias sejam ativadas. A ativação bem-sucedida da família da rede está relacionada à ativação de serviços associados. As etapas a seguir descrevem o processo quando o authd é configurado para usar o RADIUS para autenticação:

  1. Um assinante tenta efetuar login.

    1. O aplicativo cliente solicita a autenticação do authd.

    2. authd envia uma mensagem de solicitação de acesso ao servidor RADIUS.

    3. O servidor RADIUS envia uma mensagem de aceitação de acesso ao authd que inclui o RADIUS Activate-Service VSA (26-65).

    4. O authd armazena em cache os atributos de ativação do serviço e envia uma concessão ao aplicativo cliente.

  2. O aplicativo cliente envia a primeira solicitação Network-Family-Activate, para a família de endereços IPv4 ou IPv6. Às vezes, essa solicitação é chamada de solicitação de ativação do cliente.

  3. authd revisa os atributos de ativação de serviço armazenados em cache e envia uma solicitação de ativação para os serviços apropriados para a infraestrutura de gerenciamento de assinantes (SMI). Por exemplo, se a solicitação for para a família IPv4, ela solicitará a ativação apenas dos serviços IPv4. Por sua vez, o SMI envia solicitações aos daemons do servidor associados ao serviço, como cosd ou filterd.

  4. O que authd faz a seguir depende se a solicitação de ativação do serviço falha e se o serviço é opcional ou obrigatório.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é opcional:

      1. authd exclui os atributos de ativação de serviço armazenados em cache para o serviço.

        Observação:

        Essa exclusão permite que você emita novamente a solicitação de serviço usando uma solicitação de mudança de autorização (CoA) RADIUS ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é necessário:

      1. authd exclui os atributos de ativação de serviço armazenados em cache para o serviço.

        Observação:

        Essa exclusão permite que você emita novamente a solicitação de serviço usando uma solicitação de mudança de autorização (CoA) RADIUS ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo cliente encerre o login do assinante.

    • Quando a ativação do serviço falha devido a um erro de não configuração e o serviço é opcional ou obrigatório:

      1. authd exclui os atributos de ativação de serviço armazenados em cache para o serviço.

        Observação:

        Essa exclusão permite que você emita novamente a solicitação de serviço usando uma solicitação de mudança de autorização (CoA) RADIUS ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo cliente encerre o login do assinante.

    • Quando a ativação do serviço for bem-sucedida:

      1. authd ativa o serviço.

      2. authd envia um ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

  5. A menos que a ativação do serviço tenha sido necessária e tenha falhado, fazendo com que a ativação da família falhe na primeira solicitação, o aplicativo cliente pode enviar uma segunda solicitação, mas apenas para a família não solicitada na primeira vez. Se a primeira solicitação foi para IPv4, a segunda solicitação só pode ser para IPv6. Se a primeira solicitação foi para IPv6, a segunda solicitação só pode ser para IPv4.

  6. O AUTHD revisa os atributos de ativação do serviço armazenado em cache e solicita a ativação dos serviços associados à família de endereços solicitada.

  7. O que authd faz a seguir depende se a solicitação de ativação do serviço falha e se o serviço é opcional ou obrigatório.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é opcional:

      1. authd exclui os atributos de ativação de serviço armazenados em cache para o serviço.

        Observação:

        Essa exclusão permite que você emita novamente a solicitação de serviço usando uma solicitação de mudança de autorização (CoA) RADIUS ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é necessário:

      1. authd exclui os atributos de ativação de serviço armazenados em cache para o serviço.

        Observação:

        Essa exclusão permite que você emita novamente a solicitação de serviço usando uma solicitação de mudança de autorização (CoA) RADIUS ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família. Como essa é a segunda solicitação de ativação da família, o resultado da primeira ativação da família determina o que acontece a seguir:

        • Se a primeira ativação da família tiver sido bem-sucedida e esse assinante tiver feito login, a falha da segunda solicitação não interromperá o login do assinante atual. Esse evento também não faz com que authd faça logout do assinante anterior (primeira solicitação).

        • Se a primeira ativação da família não for bem-sucedida, a falha da segunda solicitação fará com que o aplicativo cliente encerre o login do assinante atual.

    • Quando a ativação do serviço falha devido a um erro de não configuração e o serviço é opcional ou obrigatório:

      1. authd exclui os atributos de ativação de serviço armazenados em cache para o serviço.

        Observação:

        Essa exclusão permite que você emita novamente a solicitação de serviço usando uma solicitação de mudança de autorização (CoA) RADIUS ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo cliente encerre o login do assinante.

    • Quando a ativação do serviço for bem-sucedida:

      1. authd ativa o serviço.

      2. authd envia um ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. O login do assinante continua.

Configurando como as falhas de ativação de serviço afetam o login do assinante

Você pode configurar como uma falha de ativação de serviços opcionais durante o login do assinante afeta o resultado do login. Esses serviços opcionais são aqueles referenciados pelo RADIUS Activate-Service VSA (26-65) que aparece na mensagem RADIUS Access-Accept durante o login inicial do assinante.

Você pode configurar esses dois tipos de ativação de serviço para serem obrigatórios ou opcionais.

  • dynamic-profile— Esses serviços são configurados no perfil dinâmico aplicado pelo perfil de acesso do assinante para fornecer acesso e serviços ao assinante para aplicativos de banda larga. Por padrão, a ativação do serviço é necessária para o login bem-sucedido. Um erro de configuração durante a ativação do serviço impede que a família de redes seja ativada e faz com que o login do assinante falhe.

  • extensible-service— Esses serviços são aplicados por scripts de operação manipulados pelo daemon (essmd) do Extensible Subscriber Services Manager (ESSM) para assinantes empresariais. Por padrão, a ativação do serviço é opcional para login de assinante bem-sucedido.

Observação:

A service-activation configuração da instrução afeta apenas falhas de ativação devido a erros de configuração no perfil dinâmico ou no script de operação ESSM. Falhas devido a erros de não configuração sempre resultam na negação de acesso para o assinante e no encerramento da tentativa de login.

Para configurar o comportamento dos serviços de perfil dinâmico, siga um destes procedimentos:

  • Especifique que a ativação do serviço é opcional.

  • Especifique que a ativação do serviço é necessária (o padrão).

Para configurar o comportamento dos serviços ESSM, siga um destes procedimentos:

  • Especifique que a ativação do serviço é necessária.

  • Especifique que a ativação do serviço é opcional (o padrão).

Veja também

Códigos de causa de erro (atributo RADIUS 101) para solicitações dinâmicas

Quando uma operação de CoA ou desconexão iniciada pelo RADIUS não é bem-sucedida, o roteador inclui um atributo de causa de erro (atributo RADIUS 101) na mensagem CoA-NAK ou Disconnect-NAK que ele envia de volta ao servidor RADIUS. Se o erro detectado não for mapeado para um dos atributos de causa de erro suportados, o roteador enviará a mensagem sem um atributo de causa de erro. A Tabela 4 descreve os códigos de causa do erro.

Tabela 4: Códigos de causa de erro (atributo RADIUS 101)

Código

Valor

Descrição

401

Atributo não suportado

A solicitação contém um atributo que não é suportado (por exemplo, um atributo de terceiros).

402

Atributo ausente

Um atributo crítico (por exemplo, o atributo de identificação de sessão) está ausente de uma solicitação.

404

Solicitação inválida

Algum outro aspecto da solicitação é inválido, como se um ou mais atributos não estiverem formatados corretamente.

503

Contexto da sessão não encontrado

O contexto de sessão identificado na solicitação não existe no roteador.

504

Contexto de sessão não removível

O assinante identificado por atributos na solicitação pertence a um componente que não é suportado.

506

Recursos indisponíveis

Uma solicitação não pôde ser atendida devido à falta de recursos NAS disponíveis (como memória).

Veja também

Verificando as estatísticas de solicitação dinâmica do RADIUS

Finalidade

Exiba estatísticas e informações de solicitações dinâmicas do RADIUS.

Ação

  • Para exibir estatísticas de solicitação dinâmica do RADIUS:

Veja também

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
17.2R1
A partir do Junos OS Release 17.2R1, as solicitações de CoA em massa são suportadas para melhorar a eficiência de processamento de serviços de assinante baseados em RADIUS no BNG.
15.1R5
A partir do Junos OS Release 15.1R5, as mensagens de repetição de CoA-Request são ignoradas e nenhum CoA-NAK é enviado em resposta a elas.
14.1
A partir do Junos OS Release 14.1, o gerenciamento de assinantes permite que você gerencie serviços de assinantes estabelecendo limites de uso quando um serviço é ativado dinamicamente ou quando um serviço existente é modificado por uma ação de CoA RADIUS.