Mapeamento de domínios de assinantes para opções de acesso e sessão

Para configurar um mapa de domínio para gerenciamento de assinantes:

O gerenciamento de assinantes oferece suporte a um recurso de mapa de domínio curinga que permite configurar um mapeamento de domínio baseado em uma correspondência parcial de curinga. Quando não há correspondência exata entre o nome de domínio do assinante e um mapa de domínio configurado, o gerenciamento de assinantes procura uma correspondência parcial entre o nome de domínio do assinante e um mapa de domínio curinga.

Para criar o mapa de domínio curinga, inclua o caractere curinga asterisco ao configurar o nome do mapa de domínio, como domain map example*. Você pode inserir o caractere curinga em qualquer lugar dentro do mapa de domínio, e o curinga pode representar zero ou qualquer número de caracteres. O asterisco é o único caractere curinga com suporte.

Por exemplo, a instrução domain map example*northern.com de configuração cria um mapa de domínio curinga que é uma correspondência parcial para todos os nomes de domínio que começam com example e terminam com northern.com, como examplenorthern.com, example-northern.com, e example1234northern.com. No entanto, se você mover o caractere curinga no nome do mapa de domínio para domain map example-northern*.com, isso criará uma correspondência mais restritiva que requer que os nomes de domínio correspondentes parciais comecem com example-northern, como example-northern555.com ou example-northern-alpha.com.

O mapeamento de domínio curinga também é útil quando o gerenciamento de assinantes deriva nomes de usuário de assinantes do ID remoto do agente DHCPv4 (opção 82, subopção 2) ou do ID remoto DHCPv6 (opção 37). Nesses casos, o nome de usuário resultante está no formato subscriberID|service-plan|accountID|unused; por exemplo, EricSmith|premiumTier1|314159265|0000 (onde o | caractere é o delimitador). Neste exemplo, o gerenciamento de assinantes analisa o nome de usuário da esquerda para a direita e identifica o domínio do assinante como premiumTier1|314159265|0000. Para criar um mapa de domínio curinga usado para esse assinante, você pode configurar domain map premiumTier1*o .

O exemplo a seguir descreve como quatro assinantes são mapeados para domínios diferentes.

Para este exemplo, há três mapas de domínio configurados; o mapa de domínio, um mapa de domínio chamado example3000.com, e um mapa de domínio curinga default chamado example*. Os assinantes são mapeados conforme mostrado na lista a seguir:

• eric@example3000.com — Há uma correspondência exata no mapa de domínio, portanto, o assinante é mapeado para o domínio example3000.com.

• jack@example1001.com — Não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, portanto, o assinante é mapeado para o domínio example*curinga.

• ginger@example-western.com — Não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, portanto, o assinante também é mapeado para o domínio example*curinga.

• sunshine@test.com — Não há correspondência exata, nem há uma correspondência parcial com o domínio curinga, portanto, o assinante é mapeado para o default domínio.

Para configurar um mapa de domínio curinga:

Você usa perfis de acesso para especificar as regras e opções de acesso (por exemplo, o servidor de autenticação RADIUS e os atributos) que o roteador aplica às sessões do assinante. O recurso de mapa de domínio permite que você aplique um perfil de acesso específico para assinantes em um domínio específico.

Os perfis de acesso podem ser especificados ou modificados de várias maneiras diferentes. Se ocorrerem conflitos, o roteador aplica os perfis de acesso com base nas regras de precedência mostradas na Tabela 2.

Para incluir um perfil de acesso em um mapa de domínio:

Você pode usar o recurso de mapa de domínio para especificar o pool de endereços que o roteador usa para alocar endereço para sessões de assinante. O pool de endereços pode incluir intervalos de endereços IPv4 e IPv6.

Os pools de endereços podem ser especificados ou modificados de várias maneiras diferentes. Se ocorrerem conflitos, o roteador aplica o pool de endereços com base nas regras de precedência mostradas na Tabela 3.

Para especificar o pool de endereços utilizado para um mapa de domínio:

Um perfil dinâmico define o conjunto de características que fornecem acesso dinâmico e serviços para sessões de assinantes (como classe de serviço, protocolos e suporte a interface). O recurso de mapa de domínio permite que você aplique um perfil dinâmico específico com base em domínios de assinante.

Os perfis dinâmicos são configurados [edit dynamic-profiles] na hierarquia e podem ser especificados ou modificados de várias maneiras diferentes. Se ocorrerem conflitos, o roteador aplica os perfis dinâmicos com base nas regras de precedência mostradas na Tabela 4.

Para incluir um perfil dinâmico em um mapa de domínio:

Por padrão, um mapa de domínio usa o sistema lógico do assinante/instância de roteamento como o contexto no qual o authd daemon envia solicitações de autenticação e estatísticas AAA. Opcionalmente, você pode configurar o mapa de domínio para direcionar solicitações AAA para um contexto específico, com base no nome de domínio do assinante. A especificação de um contexto AAA não padrão permite que você gerencie o fluxo de trabalho e a carga de tráfego e faça alterações com eficiência para um grande número de assinantes. Por exemplo, depois de atualizar seus serviços RADIUS, você pode configurar um mapa de domínio para especificar que todos os assinantes no domínio example.com agora são autenticados por um servidor RADIUS em um contexto AAA específico.

Para configurar o contexto lógico da instância de roteamento/sistema usado para solicitações AAA:

Por padrão, o roteador coloca um assinante no contexto lógico da instância de sistema/roteamento da interface na qual as negociações do assinante são iniciadas. Posteriormente, você pode alterar a instância de roteamento do contexto do assinante por meio do uso de um mapa de domínio ou do servidor de autenticação RADIUS.

O gerenciamento de assinantes é suportado apenas no sistema lógico padrão, no entanto, você pode configurar o mapa de domínio para usar uma instância de roteamento não padrão. Além disso, se uma instância de roteamento não padrão já estiver configurada, você poderá configurar o mapa de domínio para usar a instância de roteamento padrão.

Para configurar o contexto lógico da instância de sistema/roteamento usado para a interface de um assinante:

Os perfis de túnel especificam definições de túnel (por exemplo, um conjunto de túneis L2TP e seus atributos) que o roteador aplica às sessões do assinante. O recurso de mapa de domínio permite que você aplique um perfil de túnel específico aos assinantes em um domínio específico.

Para incluir um perfil de túnel em um mapa de domínio:

Os perfis de switch de túnel determinam se os pacotes em uma sessão de assinante L2TP de um LAC são comutados para outra sessão que tenha um LNS de destino diferente. O perfil do switch de túnel também pode especificar como determinados AVPs L2TP são tratados quando os pacotes são comutados para um segundo túnel. O recurso de mapa de domínio permite que você aplique um perfil de switch de túnel específico aos assinantes em um domínio específico.

Para incluir um perfil de switch de túnel em um mapa de domínio:

Você pode configurar como o roteador determina os nomes de domínio usados para o recurso de mapeamento de domínio. No nível global, você pode especificar regras que são usadas para mapas de domínio. As regras globais permitem que você especifique caracteres adicionais que o roteador pode reconhecer como delimitadores de nome de domínio ou região e especifique a direção que o roteador usa para analisar nomes de domínio ou região. O objetivo da análise de um nome de domínio ou realm é identificar um nome único e exclusivo que o roteador usa como o nome de domínio do assinante, independentemente de a origem do nome estar no formato de nome de domínio típico (joseph@example.com) ou no formato de nome realm (example.com\marilyn). O roteador usa o nome de domínio resultante para operações como pesquisa e processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nome de domínio. A remoção de nome de domínio especifica que o roteador remova o domínio analisado ou o nome de domínio do nome de usuário do assinante antes de realizar qualquer processamento adicional para o mapa de domínio.

Para configurar regras de uso de nomes de domínio para mapas de domínio:

Um delimitador é o caractere que separa um nome de usuário de assinante do nome de domínio ou região. Os delimitadores são comumente usados para análise de domínio ou nome de domínio ou remoção de nome de domínio. Você pode especificar um máximo de oito delimitadores que o roteador usa para reconhecer nomes de domínio ou de domínio para um mapa de domínio. Se você não configurar nenhum delimitador, o roteador usará o @ caractere por padrão para nomes de domínio. Não há nenhum delimitador padrão para nomes de reino.

Por exemplo, sua rede pode incluir os assinantes bob@test.com, pete!example.com, e test.net\maria. Nesse caso, você configuraria o roteador para reconhecer os caracteres @ e ! como delimitadores de nome de domínio, e o \ caractere como um delimitador de nome de domínio.

Lembre-se das seguintes diretrizes ao especificar delimitadores:

• Você não pode usar o ponto-e-vírgula (;) como um delimitador.

• Se você configurar delimitadores de nome de domínio opcionais, também deverá especificar o @ caractere (o delimitador padrão) se quiser continuar a usá-lo como um delimitador.

• Se você configurar delimitadores de nome de domínio opcionais e depois desconfigurá-los, o roteador definirá o delimitador de mapa de domínio de volta para o caractere padrão @ .

Para configurar delimitadores de nome de domínio e região para mapas de domínio:

O roteador analisa o nome de usuário, o domínio ou o nome de realm para identificar um nome único e exclusivo que o roteador usa como nome de domínio do assinante, independentemente de a origem do nome estar no formato de nome de domínio típico (joseph@example.com) ou no formato de nome de realm (example.com\marilyn). Você pode especificar se o roteador primeiro pesquisa o nome de usuário do assinante para um nome de domínio ou para um nome de domínio. Se o roteador não encontrar o nome especificado (por exemplo, você especificar realm-first e não houver nenhum nome de domínio no nome de usuário), o roteador procurará o segundo tipo de nome (nome de domínio, neste caso). Se o roteador não encontrar um nome de domínio ou um nome de domínio, não haverá domínio que possa ser usado para operações de mapeamento de domínio.

Para configurar a direção de análise de nome de domínio para mapas de domínio:

Você pode especificar a direção na qual o roteador executa a operação de análise que ele usa para identificar nomes de domínio ou de região do assinante para mapas de domínio. Durante a operação de análise, o roteador pesquisa o nome de usuário até reconhecer um delimitador. Em seguida, ele considera qualquer coisa à direita do delimitador como o domínio. Por padrão, o roteador analisa da direita para a esquerda, começando pelo caractere mais à direita do nome de usuário.

O roteador usa o nome de domínio de um assinante para realizar operações de pesquisa e processamento de mapa de domínio. Você pode configurar como o roteador identifica um nome de domínio exclusivo quando o nome do usuário é apresentado em um formato de nome de domínio tradicional ou em um nome de domínio. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome de domínio; por exemplo, joe@example.com. No formato de nome de reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome de domínio; por exemplo, example.com@joe. O objetivo da análise de um nome de domínio ou região é identificar um único nome que o roteador usa como nome de domínio do assinante, independentemente de a origem do nome ser o nome de domínio original ou o nome de região do usuário. O roteador usa o nome de domínio resultante para operações como pesquisa e processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nome de domínio.

A direção de análise de domínio que você usa é importante quando há nomes de domínio aninhados. Por exemplo, para o nome de usuário user1@test.com@example.com, a análise da direita para a esquerda produz um nome de domínio de example.com. Para o mesmo nome de usuário, a análise da esquerda para a direita produz um nome de domínio .test.com@example.com

Para configurar a direção de análise de nome de domínio para mapas de domínio:

Você pode configurar o roteador para remover o nome de domínio dos nomes de usuário antes que qualquer serviço AAA seja usado. A remoção de nomes de domínio é feita para mapas de domínio. O roteador usa os delimitadores e a direção de análise que você configura globalmente para determinar o nome de domínio que é removido. Por exemplo, se o roteador usar o delimitador padrão e a direção right-to-leftde análise , o nome de usuário user1@example.com será removido para .user1

Para configurar o roteador para remover o nome de domínio dos nomes de usuário em um mapa de domínio:

Para alguns casos de uso, você pode querer provisionar nomes de usuário de assinante L2TP LAC e senhas de autenticação fora do chassi do roteador. Você pode remover a parte do usuário do nome de usuário e substituir a senha do usuário.

Você pode configurar como o roteador identifica a parte do usuário a ser removida quando o nome de usuário é apresentado no formato de nome de domínio tradicional ou no formato de nome de domínio. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome de domínio; por exemplo, joe@example.com. No formato de nome de reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome de domínio; por exemplo, example.com@joe.

Você pode especificar a direção na qual o roteador executa a operação de análise que ele usa para identificar a parte do usuário do nome de usuário. Durante a operação de análise, o roteador pesquisa o nome de usuário até reconhecer um delimitador. Por padrão, o roteador analisa da esquerda para a direita, começando pelo caractere mais à esquerda do nome de usuário. Tudo à esquerda do delimitador é a parte do usuário. Essa direção funciona para o formato de nome de domínio tradicional. Com essa configuração, o roteador identifica e retira Joe de joe@example.com.

Para nomes de usuário no formato de nome de domínio, é necessário alterar a direção de análise para right-to-left. O roteador analisa da direita para a esquerda, começando pelo caractere mais à direita do nome de usuário. Quando o roteador reconhece o delimitador, ele considera qualquer coisa à direita do delimitador como a parte do usuário. Com essa configuração, o roteador identifica e retira Joe de example.com@joe.

Para configurar a parte do usuário a ser removida do nome de usuário para todos os nomes de usuário associados a um mapa de domínio:

Especifique a direção de análise que deseja que o roteador use:

• Use left-to-right quando o nome de usuário estiver no formato de nome de domínio típico, no qual o nome de domínio segue o nome do usuário.

• Use right-to-left quando o nome de usuário estiver no formato de nome do realm, no qual o nome do realm precede o nome do usuário.

Você pode especificar uma nova senha para substituir a senha existente para autenticar qualquer assinante associado ao mapa de domínio. Para substituir a senha:

• Especifique a senha de substituição para autenticação PAP.

• Especifique a senha de substituição para autenticação CHAP.