NESTA PÁGINA
Protocolo base do diameter
Visão geral do protocolo de base do diameter
O protocolo Diameter é definido em RFC 3588, Diameter Base Protocol, e oferece uma alternativa ao RADIUS que é mais flexível e extensível. O protocolo base Diameter oferece serviços básicos a um ou mais aplicativos (também chamados de funções) que são executados em uma instância de Diameter diferente. O aplicativo individual oferece a funcionalidade AAA estendida. Os aplicativos que usam o Diameter incluem Gx-Plus, JSRC, NASREQ, PTSP e S6a. A partir do Junos OS Release 13.1R1, os assinantes desencadeados por pacotes e o recurso de controle de políticas (PTSP) não são mais suportados.
Os pares do diameter comunicam-se por uma conexão confiável da camada de transporte de TCP trocando mensagens de Diameter que transmitem status, solicitações e reconhecimentos por meio de AVPs padrão e AVPs específicos para aplicativos. A configuração da camada de transporte de diameter é baseada em elementos de rede (DNEs) do Diameter; várias DNEs por instância de Diameter são suportadas. Atualmente, apenas a instância master diameter predefinida é suportada, mas você pode configurar valores alternativos para muitos dos valores de instância master Diameter.
Cada DNE consiste em uma lista priorizada de pares e um conjunto de rotas que definem como o tráfego é encaminhado. Cada rota associa um destino a uma função (aplicativo), uma partição de funções e uma métrica. Quando um aplicativo envia uma mensagem para um destino roteado, todas as rotas dentro da instância de protocolo da Diameter são analisadas para correspondência. Quando a melhor rota para o destino foi selecionada, a mensagem é encaminhada por meio do DNE que inclui essa rota.
Várias rotas para o mesmo destino podem existir em um determinado DNE e em DNEs diferentes. No caso de várias rotas que correspondam a uma solicitação de encaminhamento, a melhor rota é selecionada da seguinte forma:
A rota com a métrica mais baixa é selecionada.
Em caso de empate, a rota com a pontuação de especificação mais alta é selecionada.
Em caso de outro empate, então os nomes das DNEs são comparados em ordem lexicográfica. A rota no DNE com o menor valor é selecionada. Por exemplo, dne-austin tem um valor menor do que dne-boston.
Se as rotas estiverem vinculadas ao mesmo DNE, os nomes de rota serão comparados em ordem lexicográfica. A rota com o menor valor é selecionada.
A pontuação de especificação de uma rota é 0 por padrão. Os pontos são adicionados à pontuação da seguinte forma:
Se o reino de destino estiver compatível com a solicitação, adicione 1.
Caso o host de destino corresponda à solicitação, adicione 2.
Se a função corresponde à solicitação, adicione 3.
Se a partição da função corresponder à solicitação, adicione 4.
Várias rotas para o mesmo destino podem existir em um determinado DNE e em DNEs diferentes. No caso de várias rotas que correspondam a uma solicitação de encaminhamento, a Diameter seleciona a melhor rota da seguinte forma:
O diameter compara a métrica das rotas e seleciona a rota com a métrica mais baixa.
Se várias rotas tiverem a mesma métrica mais baixa, a Diameter selecionará a rota mais qualificada. O Diameter avalia vários atributos da rota para determinar uma pontuação que reflete como especificamente cada rota corresponde à solicitação. Por padrão, a pontuação de uma rota é 0. Os pontos são adicionados à pontuação da seguinte forma:
Se o reino de destino estiver compatível com a solicitação, adicione 1.
Caso o host de destino corresponda à solicitação, adicione 2.
Se a função corresponde à solicitação, adicione 3.
Se a partição da função corresponder à solicitação, adicione 4.
Se várias rotas forem igualmente qualificadas, a Diameter compara os nomes das DNEs em ordem lexicográfica e seleciona a rota no DNE que tem o menor valor. Por exemplo, dne-austin tem um valor menor do que dne-boston.
Se as rotas estiverem vinculadas dentro do mesmo DNE, a Diameter comparará os nomes de rotas em ordem lexicográfica e selecionará a rota com o menor valor.
Quando o estado de qualquer DNE muda, a busca por rotas para todos os destinos é reavaliada. Todas as mensagens pendentes para destinos roteados são redirecionadas conforme necessário ou descartadas.
Para configurar um elemento da rede Diameter, inclua a network-element declaração no nível de [edit diameter] hierarquia e, em seguida, inclua a route declaração no nível de [edit diameter network-element element-name forwarding] hierarquia.
Para configurar uma rota para o DNE, inclua ( destination opcional), (opcional) function e metric declarações no nível de [edit diameter network-element element-name forwarding route dne-route-name] hierarquia.
Especifique os pares de Diameter associados ao DNE, incluindo uma ou mais peer declarações no nível hierárquico [edit diameter network-element element-name] .
Definir a prioridade para cada peer com a priority declaração no nível de [edit diameter network-element element-name peer peer-name] hierarquia.
O diameter exige que você configure informações sobre o nó de origem; este é o nó de endpoint que origina o Diameter para a instância Diameter. Inclua as host declarações e realm declarações no nível de [edit diameter] hierarquia para configurar a origem do Diameter.
Você pode configurar opcionalmente um ou mais transportes para especificar o endereço de origem (local) da conexão da camada de transporte. Para configurar um transporte diameter, inclua a transport declaração no nível de [edit diameter] hierarquia. Em seguida, inclua a address declaração no nível hierárquica [edit diameter transport transport-name] .
Você pode especificar opcionalmente um sistema lógico e uma instância de roteamento para a conexão, incluindo as declarações e routing-instance declarações logical-system no nível de [edit diameter transport transport-name] hierarquia. Por padrão, a Diameter usa o sistema lógico padrão e a instância de roteamento padrão (usando a tabela de roteamento principal inet.0). O sistema lógico e a instância de roteamento para a conexão de transporte devem combinar com o peer ou um erro de configuração é relatado.
Cada peer diameter é especificado por um nome. Os atributos de peer incluem endereço e a porta TCP de destino usada por conexões ativas a este peer. Para configurar um peer do Diameter, inclua a peer declaração no nível de [edit diameter] hierarquia e, em seguida, inclua o e connect-actively as address declarações no nível de [edit diameter peer peer-name] hierarquia.
Para configurar a conexão ativa, inclua as e transport as port declarações no nível de [edit diameter peer peer-name connect-actively] hierarquia. O transporte atribuído identifica o endereço de origem da camada de transporte usado para estabelecer conexões ativas com os pares. transport Declarações.
Benefícios do uso do diameter
O diameter permite uma carga menor na rede e servidores relatando informações de uso em uma frequência muito menor em comparação com o RADIUS. O RADIUS envolve atualizações periódicas independentemente das mudanças de uso. Aplicações como a Gx permitem definir limites com a correlação de pushes de estatísticas de uso do roteador para o PCRF. O PCRF pode então fazer ajustes apropriados aos serviços e custos.
Os serviços sem fio e o carregamento normalmente são executados com aplicativos Diameter, mas os serviços de telefonia fixa geralmente utilizam uma infraestrutura baseada em RADIUS. Clientes com ofertas de telefonia fixa e sem fio podem reduzir a complexidade e o custo de manter infraestruturas separadas, migrando suas operações de telefonia fixa para sua infraestrutura sem fio baseada em Diameter.
Os aplicativos executados sobre o Diameter tendem a ser stateful (alguns podem ser, como o NASREQ), enquanto o RADIUS não é stateful.
Vários protocolos de aplicativos podem ser executados sobre o Diameter, como NASREQ, Gx, Gy, JSRC e S6a.
Espaço de atributo maior do que o RADIUS, que permite um número maior de atributos padrão e específicos do fornecedor (AVPs) do que o RADIUS. O Diameter também oferece suporte aos atributos padrão RADIUS, reservando AVPs de 1 a 255 para eles.
Mensagens usadas por aplicativos de uso
O Junos OS oferece suporte aos seguintes aplicativos Diameter:
JSRC — um aplicativo Juniper Networks Diameter registrado na IANA (http://www.iana.org) como Juniper Policy-Control-JSRC, com um ID de 16777244. Ele se comunica com o SAE (peer SRC remoto).
PTSP — um aplicativo Juniper Networks Diameter registrado na IANA (http://www.iana.org) como Juniper JGx, com um ID de 16777273. Ele se comunica com o SAE (peer SRC remoto). A partir do Junos OS Release 13.1R1, os assinantes desencadeados por pacotes e o recurso de controle de políticas (PTSP) não são mais suportados.
Gx-Plus — um aplicativo que estende a interface 3GPP Gx para casos de uso de fio. O 3GPP Gx está registrado na IANA (http://www.iana.org). Ele se comunica com um PCRF.
Se os dados de um determinado AVP incluídos em uma mensagem não estiverem disponíveis para o roteador, o Gx-Plus simplesmente omite a AVP da mensagem que envia para o PCRF. Se o PCRF determinar que não tem informações suficientes para fazer uma determinação, ele pode negar a solicitação. As mensagens de resposta do Diameter incluem o AVP de Código de Resultado (AVP 268); os valores desta AVP transmitem sucesso, falha ou erros ao solicitante.
NASREQ — um protocolo de autenticação, autorização e contabilidade baseado em diameter definido na RFC 7155. O Junos OS oferece suporte apenas à autenticação e autorização.
A Juniper Networks também registrou o aplicativo Juniper-Session-Recovery (16777296) e dois novos códigos de comando (8388628 para Juniper-Session-Events e 8388629 para Juniper-Session-Discovery) com o IANA (http://www.iana.org).
A Tabela 1 descreve as mensagens do Diameter que os aplicativos usam.
Mensagem de árflui |
Código |
Aplicação |
Descrição |
|---|---|---|---|
AA-Request (AAR) |
265 |
JSRC, NASREQ, PTSP |
Solicite do aplicativo ao SAE um novo login de assinante ou durante a sincronização de aplicativos SAE. A solicitação pode ser um dos três tipos: autorização de endereço, solicitação de provisionamento ou sincronização. |
AA-Answer (AAA) |
265 |
JSRC, NASREQ, PTSP |
Resposta do SAE à mensagem AA-Request do aplicativo. |
Solicitação de sessão de aborto (ASR) |
274 |
JSRC, NASREQ, PTSP |
Solicite do SAE ao aplicativo para registrar um assinante provisionado. |
Aborto-resposta de sessão (ASA) |
274 |
JSRC, NASREQ, PTSP |
Resposta do aplicativo à mensagem ASR do SAE. Se o aplicativo enviar a solicitação de logotipo para AAA, a mensagem ASA inclui uma notificação de sucesso (ACK). Se o logotipo falhar, a mensagem ASA inclui uma notificação de falha (NAK). |
Solicitação de contabilidade (ACR) |
271 |
JSRC, PTSP |
Solicite do SAE ao aplicativo ou do aplicativo ao SAE para obter estatísticas. |
Respostas contábeis (ACA) |
271 |
JSRC, PTSP |
Resposta à mensagem da ACR para fornecer estatísticas para cada política (serviço) instalada. |
Solicitação de troca de recursos (CER) |
257 |
Gx-Plus |
Solicite de um peer para outro quando os pares estabelecerem uma conexão de transporte; inicia a negociação de recursos. O CER anuncia a identidade e os recursos do peer, como aplicativos e mecanismos de segurança suportados. |
Resposta de troca de recursos (CEA) |
257 |
Gx-Plus |
Resposta à mensagem cer para anunciar os recursos deste peer. Se esse peer não tiver recursos em comum com o peer que enviou o CER, então ele deve definir o AVP de código de resultado para DIAMETER_NO_COMMON_APPLICATION e deve abandonar a conexão. Caso contrário, os detalhes da CEA estabelecem recursos comuns entre os pares e permitem que eles estabeleçam ainda mais a comunicação. |
Solicitação de controle de crédito (CCR) |
272 |
Gx-Plus |
Solicite do Gx-Plus ao PCRF o login, logotipo ou atualização do assinante. Uma solicitação inicial (CCR-I) é enviada quando um assinante faz login e a AAA é solicitada para ativar a sessão do assinante. A Gx-Plus retruca a mensagem CCR-I se uma mensagem CCA-I não for recebida do PCRF dentro de 10 segundos. A mensagem CCR-I é reentruída em até 3 vezes. A mensagem CCR-I inclui o atributo Id por assinatura (443) do Diameter AVP com o sub-atributo AVP de Id-Tipo de Assinatura (450) definido para 4 (END_USER_PRIVATE) e o sub atributo AVP de AVP de Id-Data por assinatura (444) definido para Se nenhum CCA-I for recebido após o envio das 4 mensagens CCR-I — a primeira mensagem mais 3 retries — então a Gx-Plus começa a enviar mensagens CCR-N. As mensagens CCR-N são remedidas para sempre até que uma resposta de sucesso ou falha seja recebida do PCRF. As mensagens CCR-N incluem o Juniper-Provisioning-Source AVP (código AVP 2101) definido para o local para notificar o PCRF de que o roteador tem autoridade para tomar uma decisão local sobre a ativação do serviço de assinantes. Uma mensagem de solicitação de atualização (CCR-U) é enviada quando um limite de uso é atingido. O CCR-U relata o uso real para todas as estatísticas. O PCRF pode retornar uma mensagem de CCA-U que inclui novos limites de monitoramento, ativações de serviços, desativações de serviços. Se o PCRF sair no relatório CCR-U, o roteador define o padrão de limite para 10 minutos. Quando a mudança nos valores de limite é menor que o mínimo, os valores são ajustados aos mínimos. Por exemplo, o aumento mínimo para duração é de 10 minutos. Um CCR-U também é enviado para informar a situação da ativação ou desativação do serviço. Quando um serviço monitorado é desativado separado do logotipo de um assinante, o CCR-U indica que o serviço não está mais ativo e inclui dados de uso do serviço. Uma solicitação de rescisão (CCR-T) é enviada no logotipo do assinante para informar ao PCRF que uma sessão de assinante provisionada está sendo terminada. As mensagens CCR-T são enviadas novamente para sempre até que uma resposta de sucesso seja recebida do PCRF. Quando um serviço monitorado é desativado como parte do logotipo do assinante, a mensagem CCR-T inclui dados de uso monitorados para o serviço, como bytes usados. |
Resposta a controle de crédito (CCA) |
272 |
Gx-Plus |
Resposta do PCRF a uma mensagem de CCR. Em resposta a uma CCR-I, o PCRF retorna uma mensagem de CCA-I que indica sucesso (DIAMETER_SUCCESS) ou falha (AUTORIZAÇÃO DE DURAÇÃO RECUSADA), dependendo se o assinante tem crédito suficiente para os serviços solicitados. Todas as outras respostas são ignoradas e o CCR-I é novamente julgado. Em resposta a uma CCR-T, o PCRF retorna uma mensagem CCA-T que indica uma rescisão bem-sucedida com um valor de 2001 (SUCESSO DO DIAMETER) no Código de Resultado AVP. Todas as outras respostas são ignoradas e o CCR-T é novamente julgado. Um CCA-N é uma resposta a um CCR-N. |
Juniper-Session-Discovery-Request (JSDR) |
8388629 |
Gx-Plus |
A Discovery solicita do PCRF ao Gx-Plus para descobrir sessões de assinantes no roteador. |
Juniper-Session-Discovery-Answer (JSDA) |
8388629 |
Gx-Plus |
Resposta do roteador para uma mensagem JSDR; descreve as informações da sessão. A AVP do código de resultado inclui um dos seguintes valores ou um valor de erro:
|
Solicitação de eventos da Juniper-Session (JSER) |
8388628 |
Gx-Plus |
Solicite do roteador ao PCRF sobre os eventos que ocorrem no roteador. Notifica o PCRF de certos eventos no roteador, incluindo o Juniper-Event-Type AVP (código AVP 2103). Os eventos relatados incluem botas frias ou quentes, solicitações explícitas de descoberta, mudanças substanciais na configuração, não resposta ou resposta a erros do PCRF e esgotamento de recursos tolerantes a falhas. |
Resposta a eventos da Juniper-Session (JSEA) |
8388628 |
Gx-Plus |
Resposta do PCRF a uma mensagem JSER. |
Solicitação de push-profile (PPR) |
288 |
JSRC, PTSP |
Solicite do SAE ao roteador para ativar ou desativar serviços para um assinante. |
Resposta a push-profile (PPA) |
288 |
JSRC, PTSP |
Resposta do roteador à mensagem PPR do SAE. Inclui a notificação de sucesso ou falha para cada um dos comandos de ativação ou desativação de serviços na solicitação. |
Re-Auth-Request (RAR) |
258 |
Gx-Plus |
Solicitação de auditoria do PCRF ao roteador para determinar se um assinante específico ainda está presente. O roteador atualiza a chave de monitoramento e os valores de limiar quando eles são recebidos na RAR. |
Re-Auth-Answer (RAA) |
258 |
Gx-Plus |
Resposta do roteador para uma mensagem RAR; indica se o assinante está ativo. A AVP de código de resultado inclui um dos seguintes valores:
|
Consulta de recursos de sessão (SRQ) |
277 |
JSRC, PTSP |
Solicite do roteador para o SAE ou do SAE até o roteador para iniciar a sincronização entre o roteador e o SAE. |
Resposta a recursos de sessão (SRR) |
277 |
JSRC, PTSP |
Resposta à mensagem SRQ para iniciar a sincronização. |
Solicitação de rescisão de sessão (STR) |
275 |
JSRC, NASREQ, PTSP |
Notificação do roteador para o SAE de que um assinante provisionado está logado. |
Resposta de encerramento de sessão (STA) |
275 |
JSRC, NASREQ, PTSP |
Resposta do SAE à mensagem STR do roteador. Inclui êxito ou notificação de falha. |
Aplicações de AVPs e de espessura
O diameter transmite informações incluindo vários pares de valor de atributo (AVPs) em mensagens Diameter, da mesma forma que o RADIUS transmite informações em atributos IETF RADIUS padrão e atributos específicos do fornecedor (VSAs). A Tabela 2 lista os AVPs padrão de diameter usados em interações com os aplicativos de diameter suportados. O largura reserva atributos de AVP de 0 a 255 para atributos RADIUS que são implementados em Diameter; os números do atributo Diameter são os mesmos dos atributos RADIUS padrão correspondentes. Os atributos numerados acima de 255 não têm atributo RADIUS padrão correspondente. A partir do Junos OS Release 13.1R1, os assinantes desencadeados por pacotes e o recurso de controle de políticas (PTSP) não são mais suportados.
Número do atributo |
Diameter AVP |
Aplicação |
Descrição |
Tipo |
|---|---|---|---|---|
1 |
Nome do usuário |
Gx-Plus, JSRC, NASREQ |
Especifica o nome de usuário. Para um assinante gerenciado pela AAA, o valor é o nome de login do assinante. Para uma interface estática, o valor é o nome da interface, que é usado como nome de login do assinante. |
UTF8String |
2 |
Senha do usuário |
NASREQ |
Especifica a senha do usuário a ser autenticada ou a entrada do usuário em uma troca de autenticação multi-redonda. |
OctetString |
4 |
Endereço NAS-IP |
NASREQ |
Especifica o endereço IP do NAS que está autenticando o usuário. |
IpAddress |
6 |
Tipo de serviço |
NASREQ |
Especifica o tipo de serviço solicitado pelo usuário ou o tipo de serviço a ser fornecido. Um desses AVP pode estar presente em uma solicitação ou resposta de autenticação ou autorização. Um NAS não é necessário para implementar todos esses tipos de serviço. |
Enumerado |
8 |
Endereço IP emoldurado |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica o endereço IPv4 configurado para o assinante. Esse é o mesmo valor do atributo radius emoldurado de endereço IP [8]. |
OctetString |
9 |
Massa de rede IP emoldurada |
NASREQ |
Identifica os quatro octets do netmask IPv4. |
OctetString |
11 |
ID de filtro |
NASREQ |
Especifica o nome da lista de filtros para um usuário. Pretende-se ser legível pelo ser humano. Zero ou mais AVPs de Id de filtro podem ser enviados em uma mensagem de resposta de autorização. |
UTF8String |
12 |
MTU emoldurado |
NASREQ |
Especifica a unidade de transmissão máxima (MTU) a ser configurada para o usuário, quando ela não é negociada por alguns outros meios (como o PPP). |
Não assinado32 |
22 |
Rota emoldurada |
NASREQ |
Especifica as informações de roteamento US-ASCII de 7 bits. |
UTF8String |
25 |
Classe |
NASREQ |
Devolu informações de estado de um servidor Diameter para o dispositivo de acesso. |
OctetString |
27 |
Tempo limite de sessão |
NASREQ |
Especifica o número máximo de segundos de serviço fornecidos ao usuário antes do término da sessão. |
Não assinado32 |
28 |
Tempo limite ocioso |
NASREQ |
Especifica o número máximo de segundos consecutivos de conexão ociosa que é permitido ao usuário antes do término da sessão ou antes que um prompt seja emitido. |
Não assinado32 |
32 |
Identificador NAS |
NASREQ |
Especifica a identidade do NAS que fornece serviços ao usuário. |
DiamIdent |
44 |
ID da Acct-Session |
NASREQ |
Especifica o conteúdo do atributo RADIUS Acct-Session-Id. |
OctetString |
50 |
Acct-Multi-Session-ID |
NASREQ |
Conecta várias sessões de contabilidade relacionadas, onde cada sessão tem uma ID de sessão única, mas a mesma AVP de Acct-Multi-Session-Id. |
UTF8String |
55 |
Data-hora do evento |
Gx-Plus, JSRC, PTSP |
Especifica a hora do evento que desencadeou a mensagem em que este AVP está incluído. O tempo é indicado em segundos desde 1º de janeiro de 1900, 00:00 UTC. |
Hora |
60 |
DESAFIO CAPE |
NASREQ |
Especifica o desafio PPP Challenge-Authentication Protocol (CHAP) enviado pelo NAS ao peer DAP. |
OctetString |
61 |
Tipo de porta NAS |
NASREQ |
Especifica o tipo de porta em que o NAS está autenticando o usuário. |
Enumerado |
62 |
Limite de porta |
NASREQ |
Especifica o número máximo de portas que o NAS fornece ao usuário. |
Não assinado32 |
78 |
Símbolo de configuração |
NASREQ |
Indica o tipo de perfil de usuário usado. |
OctetString |
85 |
Intervalo interino de acct |
JSRC, PTSP |
Especifica o número de segundos entre cada atualização de contabilidade provisória para esta sessão. O roteador usa as seguintes diretrizes para contabilidade provisória:
|
Não assinado32 |
87 |
Id nas-portas |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica a porta do NAS que autentica o usuário. Esse é o mesmo valor do atributo RADIUS NAS-Port-Id [87]. |
UTF8String |
88 |
Grupo emoldurado |
NASREQ |
Especifica o nome de um pool de endereços atribuído para usar para atribuir um endereço ao usuário. Se um NAS não oferece suporte a vários pools de endereços, o NAS ignora essa AVP. Os pools de endereços geralmente são usados para endereços IP, mas podem ser usados para outros protocolos se o NAS suportar pools para esses protocolos. |
OctetString |
97 |
Prefixo emoldurado-IPv6 |
NASREQ |
Especifica o prefixo IPv6 configurado para o usuário. |
OctetString |
99 |
Rota IPv6 emoldurada |
NASREQ |
Especifica as informações de roteamento EUA-ASCII configuradas para o usuário no NAS. |
UTF8String |
100 |
Grupo IPv6 emoldurado |
NASREQ |
Especifica o nome de um pool atribuído a ser usado para atribuir um prefixo IPv6 para o usuário. Se o dispositivo de acesso não oferece suporte a vários pools de prefixo, ele deve ignorar este AVP. |
OctetString |
258 |
ID de Auth-Application |
NASREQ |
Especifica o suporte da parte de autenticação e autorização de um aplicativo. |
Não assinado32 |
263 |
ID de sessão |
Gx-Plus, JSRC, NASREQ, PTSP |
Especifica o identificador de sessão do assinante. O roteador atribui o valor para identificar exclusivamente uma sessão de assinantes. |
UTF8String |
264 |
Origin-Host |
NASREQ |
Especifica o host que origina uma mensagem do Diameter. |
DiamIdent |
268 |
Código de resultado |
Gx-Plus, JSRC, NASREQ, PTSP |
Indica se uma solicitação foi concluída com sucesso. Fornece um código de erro se a solicitação falhar. As seguintes aulas são reconhecidas pela Diameter:
Aulas não reconhecidas, que começam com numerais de 6 a 9 ou 0, são tratadas como falhas permanentes. JSRC e PTSP oferecem suporte aos seguintes valores; todos os valores de não sucesso são tratados como falhas permanentes:
A JSRC também oferece suporte ao seguinte valor, que é tratado como uma falha permanente:
O Gx-Plus oferece suporte aos seguintes valores para erros em uma resposta a PCRF; quando esses valores são recebidos ou a resposta é malformada ou irreconhecível, a solicitação é retruca.
|
Não assinado32 |
269 |
Nome do produto |
Gx-Plus |
Especifica o valor para o campo nome do produto nas mensagens Capability Exchange Request (CER) e Capability Exchange Answer (CEA). O valor é sempre JUNOS, a menos que um nome diferente esteja configurado com a opção Se você alterar o nome do produto, o roteador desconecta todas as conexões existentes com peers da Diameter e se reconecta usando o novo nome. |
UTF8String |
277 |
Estado da Auth-Session |
JSRC, NASREQ, PTSP |
Indica se o estado da sessão AAA é mantido.
|
Enumerado |
279 |
VP com falha |
NASREQ |
Especifica informações de depuração nos casos em que uma solicitação é recusada ou não totalmente processada devido a informações errôneas em uma AVP específica. O valor da AVP de código de resultado fornece informações sobre o motivo da falha da AVP-AVP. |
Agrupados |
281 |
Mensagem de erro |
NASREQ |
Especifica uma mensagem de erro legível pelo ser humano que pode acompanhar uma AVP de código de resultado. A AVP de mensagem de erro não se destina a ser útil em tempo real; não espere que as entidades de rede analisem a mensagem. |
UTF8String |
283 |
Destination-Realm |
NASREQ |
Especifica o reino do Diameter para o qual a mensagem Diameter é roteada. |
DiamIdent |
293 |
Host de destino |
NASREQ |
Especifica o host para o qual uma mensagem do Diamter é roteada. |
DiamIdent |
295 |
Causa de rescisão |
JSRC, NASREQ, PTSP |
Indica o motivo pelo qual uma sessão foi terminada no dispositivo de acesso.
|
Enumerado |
296 |
Origin-Realm |
NASREQ |
Identifica o reino do Diameter do originador de uma mensagem Diameter. |
DiamIdent |
402 |
CAPE-Auth |
NASREQ |
Especifica as informações necessárias para autenticar um usuário usando o CHAP. |
Agrupados |
415 |
Número de solicitação de CC |
Gx-Plus |
Identifica uma solicitação em uma sessão. A combinação de Session-Id e CC-Request-Type é globalmente única. O número é incrementado para cada solicitação durante a sessão. O número é redefinido quando ocorre um evento de alta disponibilidade de um roteador. |
Não assinado32 |
416 |
Tipo de solicitação cc |
Gx-Plus |
Especifica o tipo de solicitação de controle de crédito:
|
Enumerado |
431 |
Unidade de serviço concedido |
Gx-Plus |
Contém o valor que pode ser fornecido de uma ou mais das seguintes unidades solicitadas especificadas pelo cliente: CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Incluído em mensagens de CCA-I e pode ser incluído em mensagens CCA-U. |
Agrupados |
443 |
Id por assinatura |
Gx-Plus |
Contém os seguintes sub-atributos que não aparecem sozinhos:
|
Agrupados |
446 |
Unidade de serviços usados |
Gx-Plus |
Contém a quantidade das unidades solicitadas que foram efetivamente usadas; medida a partir de 4 quando o serviço é ativado. As unidades são uma ou mais das seguintes unidades solicitadas especificadas pelo cliente: CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Incluído em mensagens CCR-U. |
Agrupados |
480 |
Tipo de registro de contabilidade |
JSRC, PTSP |
Especifica o tipo de registro de contabilidade de serviços:
|
Enumerado |
1001 |
Instalação de regra de carregamento |
Gx-Plus, NASREQ |
Solicita a instalação da regra (ativação do serviço) designada pela AVP de Charging-Rule-Name (1005). Este AVP tem um ID de fornecedor de 10415 (3GPP). |
Agrupados |
1002 |
Remoção de regra de carregamento |
Gx-Plus |
Solicita a remoção da regra (desativação do serviço) designada pela AVP de Charging-Rule-Name (1005). Este AVP tem um ID de fornecedor de 10415 (3GPP). |
Agrupados |
1005 |
Nome da regra de cobrança |
Gx-Plus, NASREQ |
Especifica o nome de uma regra específica que foi instalada, modificada ou removida. |
OctetString |
1066 |
Chave de monitoramento |
Gx-Plus |
Especifica qual das estruturas de monitoramento usar. Incluído no Charging-Rule-Install AVP (1001). O roteador MX não oferece suporte à agregação de estatísticas entre serviços, portanto, o valor deste AVP deve ser diferente para cada serviço. Este AVP tem um ID de fornecedor de 10415 (3GPP). |
OctetString |
1067 |
Informações de monitoramento de uso |
Gx-Plus |
Define limites de monitoramento. Quando as estatísticas de serviços correspondem a pelo menos um dos valores de serviço concedidos, o roteador envia um relatório CCR-U com as estatísticas atuais para o PCRF. Inclui a AVP de chave de monitoramento (1066) e a AVP de unidade de serviço concedido (431). Este AVP tem um ID de fornecedor de 10415 (3GPP). |
Agrupados |
Os AVPs da Juniper Networks são usados, além dos AVPs padrão do Diameter. Esses AVPs têm um ID de fornecedor (número empresarial) de 2636 ou 4874, e são semelhantes em conceito aos atributos específicos do fornecedor RADIUS (VSAs). A Tabela 3 lista os AVPs da Juniper Networks que os aplicativos Diameter suportados usam.
Número do atributo |
Diameter AVP |
ID do fornecedor |
Aplicação |
Descrição |
Tipo |
|---|---|---|---|---|---|
213 |
Peso de direcionamento de interface |
4874 |
NASREQ |
Especifique um peso para um conjunto de interface para associá-la e seus links de membros com um link agregado de membroS da Ethernet para distribuição direcionada. |
Não assinado32 |
214 |
Peso de direcionamento de interface |
4874 |
NASREQ |
Especifique um peso para uma interface para associá-la a um conjunto de interface e, portanto, com o link agregado de membro Ethernet do conjunto para distribuição direcionada. Quando um conjunto de interface não tem peso, então o valor de peso da interface para a primeira interface autorizada de assinantes é usado para o conjunto. |
Não assinado32 |
2004 |
Juniper-Service-Bundle |
2636 |
JSRC |
Especifica o nome do pacote de serviços. |
OctetString |
2010 |
Opções juniper-DHCP |
2636 |
JSRC |
Especifica as opções de DHCP do cliente. |
OctetString |
2011 |
Endereço Juniper-DHCP-GI |
2636 |
JSRC |
Especifica o endereço IP do agente de retransmissão DHCP. |
OctetString |
2020 |
Instalação de políticas da Juniper |
2636 |
JSRC, PTSP |
Especifica políticas a serem ativadas para o assinante. Inclui o nome da política da Juniper e a definição de políticas da Juniper |
Agrupados |
2021 |
Nome da política da Juniper |
2636 |
JSRC, PTSP |
Define o nome de uma decisão política. |
OctetString |
2022 |
Definição de políticas da Juniper |
2636 |
JSRC, PTSP |
Define uma decisão de política. Inclui o nome da política da Juniper, o nome do modelo da Juniper e a substituição da Juniper. |
Agrupados |
2023 |
Nome do modelo da Juniper |
2636 |
JSRC, PTSP |
Especifica o nome do perfil definido pelo roteador. O PTSP oferece suporte apenas ao modelo de |
UTF8String |
2024 |
Substituição da Juniper |
2636 |
JSRC, PTSP |
Define os atributos de substituição. Inclui o nome da substituição da Juniper e o valor de substituição da Juniper. |
OctetString |
2025 |
Nome da substituição da Juniper |
2636 |
JSRC, PTSP |
Define o nome da variável a ser substituído. |
OctetString |
2026 |
Valor de substituição da Juniper |
2636 |
JSRC, PTSP |
Define o valor da variável a ser substituída. |
OctetString |
2027 |
Remoção de políticas da Juniper |
2636 |
JSRC, PTSP |
Especifica políticas a serem desativadas para o assinante. Inclui o nome da política da Juniper. |
Agrupados |
2035 |
Falha na política da Juniper |
2636 |
JSRC, PTSP |
Especifica o nome da ativação ou desativação da política que falhou. |
OctetString |
2038 |
Sucesso de políticas da Juniper |
2636 |
JSRC, PTSP |
Especifica o nome da ativação ou desativação da política que teve sucesso. |
OctetString |
2046 |
Juniper-Logical-System |
2636 |
JSRC, PTSP |
Especifica o sistema lógico. |
UTF8String |
2047 |
Instância de roteamento da Juniper |
2636 |
JSRC, PTSP |
Especifica a instância de roteamento. |
UTF8String |
2048 |
Juniper-Jsrc-Partition |
2636 |
JSRC, PTSP |
Especifica o sistema lógico e a instância de roteamento para o assinante ou solicitação. Inclui Juniper-Logical-System e Juniper-Routing-Instance |
Agrupados |
2050 |
Tipo de solicitação da Juniper |
2636 |
JSRC, PTSP |
Descreve o tipo de solicitação:
|
Enumerado |
2051 |
Tipo de sincronização da Juniper |
2636 |
JSRC, PTSP |
Descreve o tipo de sincronização:
|
Enumerado |
2052 |
Sincronização da Juniper |
2636 |
JSRC, PTSP |
Descreve o estado da sincronização:
|
Enumerado |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
Especifica os dados estatísticos de cada política instalada para este assinante. Inclui o nome da política da Juniper. |
Agrupados |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Especifica se deve coletar dados contábeis para a política (serviço) instalada quando incluídos na AVP de instalação de políticas da Juniper:
|
Enumerado |
2058 |
ID do Estado da Juniper |
2636 |
JSRC, PTSP |
Especifica o valor atribuído a cada ciclo de sincronização com a finalidade de identificar quais mensagens descartar. Todas as solicitações solicitadas que contêm o mesmo
Nota:
Para solicitações de sincronização solicitadas, a mensagem SRQ contém o valor incrementado |
Não assinado32 |
2100 |
Roteador virtual da Juniper |
2636 |
Gx-Plus, JSRC |
Especifica o nome do roteador virtual associado à sessão. |
UTF8String |
2101 |
Fonte de provisionamento da Juniper |
2636 |
Gx-Plus |
Especifica a fonte de provisionamento para a sessão em mensagens CCR-N e JSDA:
|
Enumerado |
2102 |
Descriptor de provisionamento da Juniper |
2636 |
Gx-Plus |
Define o grupo usado em mensagens JSDA que incluem o ID da sessão e, opcionalmente, dados de fonte de provisionamento e assinante da Juniper. |
Agrupados |
2103 |
Tipo de evento da Juniper |
2636 |
Gx-Plus |
Comunica o tipo de evento em mensagens JSER:
|
Enumerado |
2104 |
Descriptor Juniper-Discovery |
2636 |
Gx-Plus |
Define o grupo usado em mensagens JSDR e JSDA que inclui parâmetros de uma solicitação de descoberta: tipo de descoberta, string de solicitação, verbosidade, resultados máximos. |
Agrupados |
2105 |
Juniper-Discovery-Type |
2636 |
Gx-Plus |
Especifica o subcomissão de descoberta para mensagens JSDR e JSDA:
|
Enumerado |
2106 |
Nível de verbosidade da Juniper |
2636 |
Gx-Plus |
Especifica o nível de verbosidade para mensagens JSDR e JSDA:
|
Enumerado |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Especifica uma string genérica que é interpretada de acordo com o contexto. |
UTF8String |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Especifica uma string genérica que é interpretada de acordo com o contexto. |
UTF8String |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Especifica uma string genérica que é interpretada de acordo com o contexto. |
UTF8String |
2110 |
Juniper-Unsigned32-A |
2636 |
Gx-Plus |
Especifica um inteiro genérico de 32 bits não assinado que é interpretado de acordo com o contexto. |
Não assinado32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gx-Plus |
Especifica um inteiro genérico de 32 bits não assinado que é interpretado de acordo com o contexto. |
Não assinado32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gx-Plus |
Especifica um inteiro genérico de 32 bits não assinado que é interpretado de acordo com o contexto. |
Não assinado32 |
2200 |
Juniper-IPv6-Ndra-Prefix |
2636 |
JSRC |
Se disponível na entrada IPv6Prefix do banco de dados de sessão do assinante, este AVP estará incluído em mensagens de solicitação de provisionamento AAR enviadas ao SAE. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
IPv6Prefix |
2201 |
Juniper-Framed-IPv6-Netmask |
2636 |
JSRC |
Se disponível na entrada IPv6Address do banco de dados de sessão do assinante, este AVP estará incluído nas mensagens de solicitação de provisionamento AAR enviadas ao SAE. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
IPv6Address |
2202 |
Juniper-Agent-Circuit-Id |
2636 |
JSRC |
Identifica o assinante por nó de acesso e linha de assinantes. Se disponível na entrada do banco de dados da sessão do assinante, este AVP estará incluído nas mensagens de solicitação de provisionamento AAR enviadas ao SAE. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
OctetString |
2203 |
Id remoto-agente da Juniper |
2636 |
JSRC |
Identifica o assinante no nó de acesso. Se disponível na entrada do banco de dados da sessão do assinante, este AVP estará incluído nas mensagens de solicitação de provisionamento AAR enviadas ao SAE. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
OctetString |
2204 |
Juniper-Acct-IPv6-Input-Octets |
2636 |
JSRC |
Número de octets IPv6 recebidos na interface. Este AVP está incluído em mensagens de solicitação de contabilidade ACR enviadas ao SAE, mesmo quando o valor é zero. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
Não assinado64 |
2205 |
Juniper-Acct-IPv6-Output-Octets |
2636 |
JSRC |
Número de octets IPv6 enviados na interface. Este AVP está incluído em mensagens de solicitação de contabilidade ACR enviadas ao SAE, mesmo quando o valor é zero. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
Não assinado64 |
2206 |
Juniper-Acct-IPv6-Input-Pkts |
2636 |
JSRC |
Número de pacotes IPv6 recebidos na interface. Este AVP está incluído em mensagens de solicitação de contabilidade ACR enviadas ao SAE, mesmo quando o valor é zero. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
Não assinado64 |
2207 |
Juniper-Acct-IPv6-Output-Pkts |
2636 |
JSRC |
Número de pacotes IPv6 enviados na interface. Este AVP está incluído em mensagens de solicitação de contabilidade ACR enviadas ao SAE, mesmo quando o valor é zero. Este AVP só é usado quando você habilita o suporte de dual-stack JSRC. |
Não assinado64 |
Os AVPs tekelec são usados apenas para o Gx-Plus. Esses AVPs têm um número empresarial de 21274. A Tabela 4 lista os AVPs tekelec. Essas quatro variáveis são usadas para fornecer valores de substituição para variáveis de serviço CoS definidas pelo usuário.
Número do atributo |
Diameter AVP |
Aplicação |
Descrição |
Tipo |
|---|---|---|---|---|
5555 |
Nome do argumento de regra de carregamento de tekelec |
Gx-Plus |
Define o nome da variável de serviço a ser substituído. |
OctetString |
5556 |
Tekelec-Charging-Rule-Argument-Value |
Gx-Plus |
Define o valor da variável de serviço a ser substituída. |
OctetString |
5557 |
Argumento de regra de carregamento de tekelec |
Gx-Plus |
Define os atributos de substituição usados para substituir variáveis de serviço. Inclui AVP (5555) e AVP de valor de argumento de tekelec-Charging-Charging-Rule-Argument -Value (5556). |
Agrupados |
5558 |
Tekelec-Charging-Rule-With-Arguments |
Gx-Plus |
Solicita a instalação da regra (ativação do serviço) designada pela AVP de Charging-Rule-Name (1005). As substituições de variáveis de serviço solicitadas são fornecidas pelo AVP de argumento de regra de carga (5557) incluído opcionalmente. |
Agrupados |
Configurando o diameter
Você configura o Diameter especificando a origem do endpoint, os pares remotos, a conexão da camada de transporte e elementos de rede que associam rotas com peers. Apenas a instância master Diameter é atualmente suportada. Você pode configurar valores alternativos para esta instância do Diameter apenas no contexto da instância de roteamento padrão.
Para configurar o protocolo base do Diameter:
Configurando os atributos de origem da instância de origem
Você pode configurar as características de identificação do nó de endpoint que origina mensagens de Diameter para a instância Diameter. O nome de host é fornecido como o valor para a instância Origin-Host AVP pela instância Diameter. O reino é fornecido como o valor para o Origin-Realm AVP pela instância Diameter.
Para configurar os atributos de origem para uma instância de Diameter:
Configuração de pares de diameter
Você pode configurar os pares aos quais a Diameter envia mensagens. O Diameter usa o sistema lógico padrão e a instância de roteamento. A porta 3868 é usada para conexões ativas com peers por padrão.
Para configurar um peer remoto para uma instância de Diameter:
Por exemplo, a configuração a seguir para peer p3 especifica um endereço IPv4, a instância de roteamento ri8, a porta de destino 49152, o transporte t6, uma origem do host 1 em example.com, e inclui a AVP do Estado de Origem em mensagens.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Configurando o transporte do árfluo
Você pode configurar um ou mais transportes para uma instância de Diameter para definir o endereço IPv4 ou IPv6 para a conexão local e configurar opcionalmente um sistema lógico ou contexto de instância de roteamento. O Diameter usa o sistema lógico padrão e a instância de roteamento. O sistema lógico e a instância de roteamento para a conexão de transporte devem combinar com o peer ou um erro de configuração é relatado. Vários pares podem compartilhar o mesmo transporte.
Para configurar um transporte para uma instância de Diameter:
Por exemplo, a configuração a seguir para transporte t1 especifica um endereço IPv6, sistema lógico ls5 e instância de roteamento ri10.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Configuração de elementos de rede de espessura
Um elemento de rede diameter (DNE) consiste em aplicativos associados (chamados de funções na CLI), uma lista de pares priorizados e um conjunto de regras de encaminhamento. As regras de encaminhamento definem rotas individuais por um conjunto de destinos, aplicativos e métricas associados. Pelo menos um DNE deve ser configurado por chassi para iniciar o processo de Diameter (jdiameterd).
Antes de configurar os elementos da rede Diameter, execute a seguinte tarefa:
Definir os pares de diameter. Veja configuração do diameter peers.
Para configurar um elemento da rede Diameter:
Exemplo: Configure o aplicativo S6a
Este exemplo mostra como configurar o aplicativo S6a de autenticação baseada em espessura em seu firewall da Série SRX para recuperar informações de autenticação do servidor assinante.
Requisitos
Este exemplo usa o seguinte hardware:
Qualquer firewall da Série SRX
Antes de começar, leia a visão geral do protocolo base do diameter.
Visão geral
Neste exemplo, você cria a partição S6a e especifica a origem do endpoint, os pares remotos e os elementos de rede que associam rotas com pares para controlar o encaminhamento de mensagens S6a. Você também cria a partição S6a para apenas a instância master Diameter é atualmente suportada. Você pode configurar valores alternativos para a master instância Diameter apenas no contexto da instância de roteamento padrão.
Configuração
- Configure o perfil de acesso e os parâmetros do aplicativo Diameter
- Configure interfaces de ethernet redundantes
- Configure zonas de segurança e políticas de segurança para permitir que o aplicativo S6a Diameter
Configure o perfil de acesso e os parâmetros do aplicativo Diameter
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o perfil de acesso e os parâmetros do aplicativo:
Especifique o perfil de acesso a ser usado para a ordem de autenticação.
[edit access-profile] user@host# set s6a_test
Especifique a ordem em que métodos de autenticação são usados.
[edit access profile] user@host# set s6a_test authentication-order s6a
Crie a partição ou especifique o nome de uma partição existente.
[edit access] user@host# set s6a partition partition_name
Configure o reino de destino para a partição s6a.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Configure o host de destino para a partição s6a.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Especifique a instância de Diameter para a partição s6a.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Nota:Atualmente, apenas a instância
masterpadrão do Diameter é suportada.Definir um limite no número de solicitações pendentes.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Configure a quantidade de tempo em segundos antes que o s6a pare de tentar enviar uma mensagem de logotipo do assinante.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Inclua o nome do reino que origina a mensagem Diameter.
[edit diameter] user@host# set origin realm zzz.com
Inclua o nome do host que origina a mensagem Diameter.
[edit diameter] user@host# set origin host s6a.zzz.com
Especifique o nome do elemento da rede.
[edit diameter] user@host# set network-element ne3
Associe um peer do Diameter com o elemento da rede.
[edit diameter] user@host# set network-element peer p3
Definir a prioridade para o peer.
[edit diameter] user@host# set network-element peer p3 priority 100
Especifique uma rota que pode ser alcançada através do elemento de rede com base nas regras de encaminhamento que você define.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Especifique uma métrica para a rota.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Especifique o endereço IP do peer Diameter.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Especifique a porta que o Diameter usa para conexões ativas com o peer.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show access comandos e show diameter os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configure interfaces de ethernet redundantes
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar interfaces Ethernet redundantes:
Configure interfaces Ethernet redundantes.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configure zonas de segurança e políticas de segurança para permitir que o aplicativo S6a Diameter
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar políticas e zonas de segurança:
Definir serviços e protocolos de sistema na interface reth1.0.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Definir serviços e protocolos de sistema na interface reth0.0.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Configure as políticas de segurança.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando o status do S6a
Propósito
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Ação
A partir do modo operacional, entre no show network-access s6a state, show network-access s6a statisticse show network-access s6a statistics extensive comanda para verificar o estado de acesso à rede e as estatísticas do aplicativo s6a.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Significado
O show network-access s6a state, show network-access s6a statisticse show network-access s6a statistics extensive os comandos mostram o estado do aplicativo S6a e as estatísticas das informações de autenticação recuperadas do servidor subscrito.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.