Teste e solução de problemas AAA
Teste e solução de problemas de configuração AAA
O gerenciamento de assinantes oferece suporte a um recurso de teste que permite verificar a configuração AAA de um assinante. Você pode usar o recurso de teste para verificar as configurações AAA do assinante e para ajudar a solucionar ou isolar problemas de login do assinante. O processo de teste AAA cria uma pseudo-sessão que autentica o assinante, aloca um endereço para o assinante e emite um pacote de início de contabilidade. Em seguida, o processo emite uma solicitação de parada contábil, libera o endereço e encerra a pseudosessão.
Os resultados do teste AAA fornecem detalhes sobre os atributos que o gerenciamento de assinantes atribui ao assinante durante o login. Os atributos podem ser atribuídos por RADIUS, um perfil dinâmico, configuração de interface estática ou podem ser atribuídos estaticamente. Você pode testar a configuração AAA para assinantes DHCP, PPP e authd-lite. Para clientes L2TP, o processo de teste AAA exibe todos os parâmetros do túnel, mas não cria uma sessão de túnel real.
Os test aaa comandos suportam todos os atributos de origem RADIUS, tanto atributos padrão da IETF quanto VSAs da Juniper Networks. Os atributos recebidos são exibidos na saída. Para obter informações sobre atributos RADIUS padrão, consulte Atributos RADIUS IETF suportados pela estrutura de serviço AAA. Para obter informações sobre os VSAs da Juniper Networks, consulte VSAs da Juniper Networks suportados pela estrutura de serviços AAA.
Os test aaa comandos não suportam contabilidade de tempo de volume (Juniper Networks VSA 26-69 com um valor de 2). Se a contabilidade de tempo de volume estiver configurada para o assinante de teste, o test comando substituirá as estatísticas por estatísticas de contabilidade somente de tempo.
Testando uma configuração AAA de assinante
Finalidade
Exiba os atributos AAA que o gerenciamento de assinantes atribui ao assinante durante o login.
O exemplo a seguir testa a configuração AAA para um assinante PPP. Você pode usar o test aaa dhcp user comando para realizar um teste semelhante para assinantes DHCP e o test aaa authd-lite user comando para testar assinantes authd-lite.
Ação
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
Você pode usar a agent-remote-id ari opção com os comandos e test aaa ppp user para verificar a test aaa dhcp user autenticação do assinante DHCP e PPP nas redes que suportam o DSL Forum Agent-Remote-Id (VSA 26-2).
Se você especificar o DSL Forum Agent-Remote-Id, a saída incluirá o valor especificado. Se você não especificar o VSA, o valor Agent-Remote-Id será mostrado como NULL.
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
O exemplo a seguir mostra a saída quando a concessão de autenticação falha devido a uma senha inválida:
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
Para algumas redes, como uma rede de Camada 2 com assinantes VLAN-OOB, o RADIUS é configurado para fornecer o endereço do assinante em um perfil de cliente com o VSA Client-Profile-Name (26–174). Na configuração padrão, o teste falha quando não recebe um endereço de assinante diretamente do RADIUS. Para testar com sucesso esses assinantes, você deve incluir a no-address-request opção. A saída do comando exibe o nome do perfil do cliente no campo Perfil dinâmico e o nome da instância de roteamento transmitida pelo VSA do roteador virtual (26-1) no campo Instância de roteamento.
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
A partir do Junos OS Release 19.3R1, o formato de saída XML mudou. Cada nome de atributo do servidor RADIUS tem um valor de atributo associado. Cada um desses pares agora é delimitado pela tag <radius-server-data>. A nova tag facilita o reconhecimento dos pares nome/valor, tanto para operadoras quanto para clientes de API.
Talvez seja necessário alterar todos os scripts que usam a saída XML para funcionar corretamente com o novo formato.
O exemplo a seguir mostra um trecho da saída XML de exemplo no formato antigo:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
O exemplo a seguir mostra um trecho da saída XML de exemplo no novo formato:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.