Teste e resolução de problemas AAA
Teste e resolução de problemas de configuração AAA
O gerenciamento de assinantes oferece suporte a um recurso de teste que permite verificar a configuração AAA de um assinante. Você pode usar o recurso de teste para verificar as configurações AAA do assinante e ajudar a solucionar ou isolar problemas de login do assinante. O processo de teste AAA cria uma pseudo sessão que autentica o assinante, aloca um endereço para o assinante e emite um pacote inicial de contabilidade. Em seguida, o processo emite uma solicitação de parada de contabilidade, libera o endereço e encerra a pseudo sessão.
Os resultados dos testes AAA fornecem detalhes sobre os atributos que o gerenciamento de assinantes atribui ao assinante durante o login. Os atributos podem ser atribuídos pelo RADIUS, um perfil dinâmico, configuração de interface estática ou podem ser atribuídos estaticamente. Você pode testar a configuração AAA para assinantes DHCP, PPP e authd-lite. Para clientes L2TP, o processo de teste AAA exibe todos os parâmetros do túnel, mas não cria uma sessão de túnel real.
Os test aaa comandos oferecem suporte a todos os atributos de origem RADIUS, ambos atributos padrão IETF e VSAs da Juniper Networks. Os atributos recebidos são exibidos na saída. Para obter informações sobre atributos RADIUS padrão, veja atributos RADIUS IETF suportados pela estrutura de serviço AAA. Para obter informações sobre os VSAs da Juniper Networks, veja VSAs da Juniper Networks com o suporte da estrutura de serviço AAA.
Os test aaa comandos não oferecem suporte à contabilidade em tempo de volume (Juniper Networks VSA 26-69 com valor de 2). Se a contabilidade de tempo de volume estiver configurada para o assinante do teste, o test comando substitui as estatísticas por estatísticas contábeis somente por tempo.
Teste da configuração AAA de um assinante
Propósito
Exibir os atributos AAA que o gerenciamento de assinantes atribui ao assinante durante o login.
O exemplo a seguir testa a configuração AAA para um assinante PPP. Você pode usar o test aaa dhcp user comando para realizar um teste semelhante para assinantes DHCP e o test aaa authd-lite user comando para testar assinantes authd-lite.
Ação
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
Você pode usar a opção agent-remote-id ari com o e test aaa ppp user comandos test aaa dhcp user para verificar a autenticação de assinantes DHCP e PPP nessas redes que oferecem suporte ao DSL Forum Agent-Remote-Id (VSA 26-2).
Se você especificar o DSL Forum Agent-Remote-Id, a saída inclui o valor especificado. Se você não especificar o VSA, o valor da ID remota do agente será mostrado como NULL.
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
O exemplo a seguir mostra a saída quando a concessão de autenticação falha devido a uma senha inválida:
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
Para algumas redes, como uma rede de Camada 2 com assinantes VLAN-OOB, o RADIUS é configurado para fornecer o endereço do assinante em um perfil de cliente com o VSA de nome do cliente (26-174). Na configuração padrão, o teste falha quando não recebe um endereço de assinante diretamente do RADIUS. Para testar com sucesso esses assinantes, você deve incluir a opção no-address-request . A saída de comando exibe o nome do perfil do cliente no campo Perfil Dinâmico e o nome da instância de roteamento transmitida pelo Virtual-Router VSA (26-1) no campo de instância de roteamento.
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
A partir do Junos OS Release 19.3R1, o formato de saída XML mudou. Cada nome de atributo do servidor RADIUS tem um valor de atributo associado. Cada um desses pares agora é fechado pela tag > dados <radius-servidor. A nova tag facilita o reconhecimento dos pares de nome/valor, tanto para operadores quanto para clientes de API.
Você pode precisar alterar quaisquer scripts que usem a saída XML para funcionar corretamente com o novo formato.
O exemplo a seguir mostra um trecho da saída XML da amostra no formato antigo:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
O exemplo a seguir mostra um trecho da saída XML da amostra no novo formato:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.