NESTA PÁGINA
Especificando uma instância de roteamento/sistema lógico AAA em um mapa de domínio
Especificando uma instância de roteamento/sistema lógico alvo em um mapa de domínio
Especificando um perfil de switch de túnel em um mapa de domínio
Suporte de resiliência para assinantes PPPoE/DHCP/L2TP em desativação de PFE (MX960 e MX10004)
Configuração do uso de nomes de domínio e reino para mapas de domínio
Especificando a ordem de análise para nomes de domínio e reino
Especificando a direção de análise para nomes de domínio e reino
Alterar o nome de usuário e a senha para simplificar o provisionamento fora do chassi
Mapeamento de domínios de assinantes para opções de acesso e sessão
Visão geral do mapeamento de domínios
O mapeamento de domínios permite configurar um mapa que especifica opções de acesso e parâmetros específicos para a sessão. O mapa é baseado no nome de domínio das sessões de assinantes — o roteador aplica as opções e parâmetros mapeados às sessões para assinantes que têm os domínios especificados. Por exemplo, você pode configurar um mapa de domínio baseado no nome example.com
do domínio. As opções e parâmetros nesse mapa de domínio são então aplicados quando os assinantes com o nome de domínio especificado (por exemplo, bob@example.com
, raj@example.com
e juan@example.com
) solicitam um serviço AAA.
O nome de usuário de um assinante é tipicamente composto por duas partes — o nome do usuário seguido pelo nome de domínio do usuário, que são separados por um personagem delimiter. O nome de domínio está sempre à direita do delimiter de domínio. Por exemplo, no nome do usuário, juan@example.com
o nome juan
do usuário é seguido pelo nome example.com
de domínio, e os dois são separados pelo @
personagem delimiter.
No entanto, alguns sistemas usam um formato de nome de usuário no qual o nome precedes de domínio do usuário é nome. Para evitar confusão com o uso típico de nome de domínio, esse tipo de nome de domínio anterior é referido como um nome de reino, e o nome do reino está à esquerda do delimitador do reino. Por exemplo, no nome do usuário, top321-example.com/mary
a top321-example.com
parte é o nome do reino, mary
é o nome do usuário, e o /
personagem é o personagem delimiter.
O mapa de domínio oferece eficiência e permite que você faça alterações para um grande número de assinantes em uma única operação. Por exemplo, se um pool de atribuição de endereços se esgotar devido ao número de assinantes que obtêm endereços no pool, você pode criar um mapa de domínio que especifica que os assinantes em um determinado domínio obtêm endereços de um pool diferente. Em outro uso do mapa de domínio, você pode criar um novo perfil dinâmico e, em seguida, configurar o mapa de domínio para especificar quais assinantes (por seu domínio) usam esse perfil dinâmico.
A partir do Junos OS Release 21.3R1, você pode configurar subdomains em um mapa de domínio. Em um subdomain, você pode configurar perfis de acesso por VLAN ou para uma faixa de VLAN. Esse aprimoramento oferece flexibilidade para diferenciar os usuários em um domínio e fornecer serviços diferentes com base nos perfis dos usuários.
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão. A documentação para o recurso de mapeamento de domínio de gerenciamento de assinantes descreve o uso e target-logical-system
as declarações para configurar o aaa-logical-system
mapeamento em um sistema lógico não padrão. Essas declarações são para extensões futuras do gerenciamento de assinantes.
A Tabela 1 descreve as opções e parâmetros de acesso que você pode configurar no mapa de domínio.
Opção |
Descrição |
---|---|
Instância de roteamento/sistema lógico AAA |
Instância lógica de sistema/roteamento em que a AAA envia solicitações de autenticação e contabilidade para as sessões de assinantes. O gerenciamento de assinantes é suportado apenas no sistema lógico padrão. |
Perfil de acesso |
Perfil de acesso aplicado às sessões de assinantes. |
Pool de endereços |
Pool de endereços usado para alocar endereços aos assinantes. |
Regras de nome de domínio e reino |
Regras para uso de nomes de domínio e reino, incluindo despojamento de nomes de domínio, delimiters suportados e direção de parse (delimiters e a direção do parse estão configuradas globalmente). |
Perfil dinâmico |
Perfil dinâmico aplicado a sessões de assinantes. |
Parâmetros do PADN |
Informações de rota de PPPoE para sessões de assinantes. |
Instância de roteamento/sistema lógico alvo |
Instância lógica de sistema/roteamento à qual a interface do assinante é anexada. O gerenciamento de assinantes é suportado apenas no sistema lógico padrão. |
Perfil do túnel |
Perfil de túnel aplicado a sessões de assinantes. |
- Tipos de mapas de domínio e sua ordem de precedência
- Mapa de domínio de curinga
- Mapa de domínio padrão
- Mapa de domínio para nomes de usuário de assinantes sem nome de domínio ou reino
- Entender mapas de domínio e contextos de instâncias lógicas de sistema/roteamento
- Benefícios do uso de mapas de domínio
Tipos de mapas de domínio e sua ordem de precedência
A partir do Junos OS Release 16.1, o gerenciamento de assinantes usa uma ordem específica ao procurar um mapa de domínio que corresponda ao nome do domínio do assinante. A lista a seguir mostra essa ordem:
Mapa exato de domínio de correspondência — o nome de domínio do assinante é uma combinação exata com um mapa de domínio configurado.
Mapa de domínio de curinga — o nome de domínio do assinante é uma combinação parcial com um mapa de domínio curinga.
default
mapa de domínio — o nome de domínio do assinante não é uma correspondência exata nem uma correspondência parcial de curinga a um mapa de domínio.
Se o nome de usuário assinante não tiver um nome de domínio, então nenhuma pesquisa será realizada e o assinante estiver associado ao mapa de none
domínio, se configurado.
Mapa de domínio de curinga
A partir do Junos OS Release 16.1, o recurso de mapa de domínio curinga permite que você especifique um nome de domínio que é usado pelos assinantes quando não há correspondência exata com o nome de domínio do assinante. Por exemplo, se você criar um mapa de domínio curinga com o nomexyz*.example.com
, assinantes com os nomes xyz.example.com
de domínio, xyz-eastern.example.com
xyz-1234.example.com
e xyz-northern.example.com
todos forem mapeados para esse domínio curinga se não houver correspondência exata para os nomes de domínio dos assinantes. Você pode inserir o caractere curinga de asterisco em qualquer lugar do mapa de domínio para criar a especificação de correspondência desejada. O mapeamento de domínio curinga também é usado nos casos em que os nomes de assinantes são derivados do DHCPv4 Agent Remote ID (opção 82 suboption 2) ou do DHCPv6 Remote-ID (opção 37).
Mapa de domínio padrão
Você pode configurar um mapa de domínio padrão que o roteador usa para assinantes cujo nome de domínio ou reino não corresponda explicitamente a nenhum mapa de domínio existente, e também não é uma correspondência parcial com um mapa de domínio curinga. Especifique o nome default
como domain map domain-map-name
.
Por exemplo, você pode configurar o mapa de domínio padrão para fornecer suporte limitado de recursos para assinantes convidados, como um pool de endereços específico usado para convidados ou a instância de roteamento que fornece serviços AAA. Quando o roteador não pode fornecer uma correspondência exata ou curinga para o assinante convidado, o roteador usa as regras especificadas na configuração padrão do mapa de domínio para lidar com a solicitação do assinante convidado.
Mapa de domínio para nomes de usuário de assinantes sem nome de domínio ou reino
Em alguns casos, um nome de usuário assinante pode não incluir um nome de domínio ou nome de reino — você pode configurar um mapa de domínio específico que o roteador usa para esses assinantes. Especifique o nome none
como domain map domain-map-name
.
Entender mapas de domínio e contextos de instâncias lógicas de sistema/roteamento
Você pode usar um mapa de domínio para gerenciar a instância lógica de sistema/roteamento que o gerenciamento de assinantes usa para contextos AAA e assinantes. O gerenciamento de assinantes é suportado apenas no sistema lógico padrão, para que você gerencie os contextos configurando a instância de roteamento. A lista a seguir descreve os dois tipos de contextos:
Contexto do assinante — a instância lógica de sistema/roteamento em que a interface do assinante é colocada. Para a maioria das sessões dinâmicas de assinantes, o contexto inicial da sessão de assinantes é o sistema lógico padrão e a instância de roteamento padrão. Uma exceção é a LNS, na qual o contexto inicial para uma sessão de LNS dinâmica (PPP sobre L2TP) é o mesmo que a interface peer (a interface voltada para LAC). Portanto, para sessões de LNS, se a interface de peer usa uma instância de roteamento não padrão, então o contexto inicial da sessão de assinantes também usa essa instância de roteamento não padrão.
Contexto AAA — A instância lógica de sistema/roteamento que a sessão do assinante usa para interações RADIUS, como autenticação e solicitações de contabilidade. Por padrão, o contexto AAA é o mesmo que o contexto inicial do assinante. Portanto, para todas as sessões de assinantes que não sejam sessões de LNS dinâmicas, a autenticação e a autorização são realizadas no contexto padrão da instância lógica de sistema/roteamento, a menos que a instância de roteamento padrão seja explicitamente alterada.
Você pode configurar opcionalmente um mapa de domínio para usar um contexto AAA ou assinante específico. Por exemplo, se uma sessão de LNS dinâmica for criada inicialmente em uma instância de roteamento não padrão (porque o contexto inicial do assinante usa a instância de roteamento não padrão), você pode usar a target-routing-instance
declaração para configurar o mapa de domínio para colocar o assinante na instância de roteamento padrão. Ou, por razões de segurança, você pode querer ter todas as interações RADIUS em um contexto específico. Neste caso, você usaria a aaa-routing-instance
declaração para configurar o mapa de domínio para mudar o contexto AAA inicial para a nova instância de roteamento.
Usar mapas de domínio para gerenciar contextos AAA e assinantes também é útil em ambientes de atacado de camada 3. Por exemplo, você pode querer colocar interfaces VLAN dinâmicas em diferentes instâncias de roteamento não padrão, mantendo todas as interações RADIUS na instância de roteamento padrão. Neste exemplo, o contexto AAA inicial está na instância de roteamento padrão, mas a autorização RADIUS coloca a sessão VLAN do assinante em uma instância de roteamento não padrão. Você pode então incluir a aaa-routing-instance
declaração no mapa de domínio para especificar que o contexto AAA usa a instância de roteamento padrão para a sessão de VLAN dinâmica. A sessão de assinantes não mudou e permanece na instância de roteamento sem padrão.
Benefícios do uso de mapas de domínio
Mapas de domínios simplificam o gerenciamento de assinantes em escala, permitindo que você faça alterações para um grande número de assinantes em uma única operação.
Os mapas de domínio oferecem granularidade na aplicação de mudanças em grupos específicos de assinantes com base nas definições do seu mapa.
Configuração de um mapa de domínio
Para configurar um mapa de domínio para o gerenciamento de assinantes:
Configuração de um mapa de domínio de curinga
O gerenciamento de assinantes oferece suporte a um recurso de mapa de domínio curinga que permite configurar um mapeamento de domínio baseado em uma correspondência curinga parcial. Quando não há correspondência exata entre o nome de domínio do assinante e um mapa de domínio configurado, o gerenciamento de assinantes procura uma correspondência parcial entre o nome do domínio do assinante e um mapa de domínio curinga.
Para criar o mapa de domínio curinga, você inclui o caractere curinga asterisco quando configura o nome do mapa de domínio, como. domain map example*
Você pode inserir o caractere curinga em qualquer lugar do mapa de domínio, e o curinga pode representar zero ou qualquer número de caracteres. O asterisco é o único personagem curinga suportado.
Por exemplo, a declaração domain map example*northern.com
de configuração cria um mapa de domínio curinga que é uma correspondência parcial para todos os nomes de domínio que começam com example
e terminam com northern.com
, como examplenorthern.com
, example-northern.com
e example1234northern.com
. No entanto, se você mover o caractere curinga no nome do mapa de domínio para domain map example-northern*.com
, isso cria uma correspondência mais restritiva que exige que os nomes de domínio de correspondência parcial comecem com example-northern
, como example-northern555.com
ou example-northern-alpha.com
.
O mapeamento de domínio de curinga também é útil quando o gerenciamento de assinantes obtive nomes de usuário assinantes do DHCPv4 Agent Remote ID (opção 82 suboption 2) ou do DHCPv6 Remote-ID (opção 37). Nesses casos, o nome de usuário resultante está no formato subscriberID|service-plan|accountID|unused
; por exemplo, EricSmith|premiumTier1|314159265|0000
(onde o |
personagem é o delimiter). Neste exemplo, o gerenciamento de assinantes analisa o nome de usuário da esquerda para a direita e identifica o domínio do assinante como premiumTier1|314159265|0000
. Para criar um mapa de domínio curinga usado para este assinante, você pode configurar domain map premiumTier1*
.
O exemplo a seguir descreve como quatro assinantes são mapeados em diferentes domínios.
Para este exemplo, existem três mapas de domínio configurados; o mapa de default
domínio, um mapa de domínio chamado example3000.com
, e um mapa de domínio curinga chamado example*
. Os assinantes são mapeados conforme mostrado na lista a seguir:
eric@example3000.com — há uma correspondência exata do mapa de domínio, para que o assinante seja mapeado para o domínio
example3000.com
.jack@example1001.com — não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, de modo que o assinante é mapeado para o domínio
example*
curinga.ginger@example-western.com — não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, de modo que o assinante também é mapeado para o domínio
example*
curinga.sunshine@test.com — não há correspondência exata, nem há uma correspondência parcial com o domínio curinga, de modo que o assinante é mapeado para o
default
domínio.
Para configurar um mapa de domínio curinga:
Especificando um perfil de acesso em um mapa de domínio
Você usa perfis de acesso para especificar as regras e opções de acesso (por exemplo, o servidor de autenticação RADIUS e atributos) que o roteador se aplica às sessões de assinantes. O recurso de mapa de domínio permite que você aplique um perfil de acesso específico para assinantes em um determinado domínio.
Os perfis de acesso podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica os perfis de acesso com base nas regras de precedência mostradas na Tabela 2.
Precedência (de alto a baixo) |
Como o perfil de acesso é aplicado |
---|---|
1 |
Especificado pelo atributo RADIUS Redirect-VRouter-Name (VSA 26-25) |
2 |
Estrofe especificada na configuração do mapa de domínio |
3 |
Especificada indiretamente na estrofe de configuração do mapa de domínio pelo mapeamento de instâncias lógicas de sistema/roteamento AAA |
4 |
Especificada na estrofe de configuração do cliente |
5 |
Especificada na estrofe de configuração de instâncias lógicas de sistema/roteamento |
Para incluir um perfil de acesso em um mapa de domínio:
Especificando um pool de endereços em um mapa de domínio
Você pode usar o recurso do mapa de domínio para especificar o pool de endereços que o roteador usa para alocar endereço para sessões de assinantes. O pool de endereços pode incluir intervalos de endereçoS IPv4 e IPv6.
Os pools de endereços podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica o pool de endereços com base nas regras de precedência mostradas na Tabela 3.
Precedência (de alto a baixo) |
Como a referência do grupo de endereços é fornecida |
---|---|
1 |
Especificado pelo atributo RADIUS Framed-Pool (atributo RADIUS 88) |
2 |
Configurada na estrofe de configuração do mapa de domínio |
3 |
Especificada na estrofe de configuração do cliente (por regras de correspondência de endereço) |
Para especificar o pool de endereços usado para um mapa de domínio:
Especificando um perfil dinâmico em um mapa de domínio
Um perfil dinâmico define o conjunto de características que fornecem acesso dinâmico e serviços para sessões de assinantes (como classe de serviço, protocolos e suporte de interface). O recurso de mapa de domínio permite que você aplique um perfil dinâmico específico com base em domínios de assinantes.
Os perfis dinâmicos são configurados na [edit dynamic-profiles]
hierarquia e podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica os perfis dinâmicos com base nas regras de precedência mostradas na Tabela 4.
Precedência (de alto a baixo) |
Como o perfil dinâmico é aplicado |
---|---|
1 |
Especificado pelo atributo RADIUS Virtual-Router (VSA 26-1) ou pelo atributo de nome de redirecionamento-VRouter (VSA 26-25) |
2 |
Estrofe especificada na configuração do mapa de domínio |
3 |
Especificada na estrofe de configuração do cliente |
Incluir um perfil dinâmico em um mapa de domínio:
Especificando uma instância de roteamento/sistema lógico AAA em um mapa de domínio
Por padrão, um mapa de domínio usa a instância de roteamento/sistema lógico do assinante como o contexto em que o authd
daemon envia solicitações de autenticação AAA e contabilidade. Você pode configurar opcionalmente o mapa de domínio para direcionar solicitações AAA a um contexto específico, com base no nome de domínio do assinante. Especificar um contexto AAA não padrão permite que você gerencie o fluxo de trabalho e a carga de tráfego e faça mudanças de forma eficiente para um grande número de assinantes. Por exemplo, depois de atualizar seus serviços RADIUS, você pode configurar um mapa de domínio para especificar que todos os assinantes no domínio example.com
agora são autenticados por um servidor RADIUS em um contexto AAA específico.
Mudar o contexto AAA não muda o contexto do assinante. Você usa a target-logical-system
declaração para configurar explicitamente a instância lógica de sistema/roteamento para assinantes.
Para configurar o contexto lógico de instâncias de sistema/roteamento usado para solicitações AAA:
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão.
Especificando uma instância de roteamento/sistema lógico alvo em um mapa de domínio
Por padrão, o roteador coloca um assinante no contexto lógico do sistema/instância de roteamento da interface em que as negociações de assinantes começam. Posteriormente, você pode alterar a instância de roteamento do contexto do assinante através do uso de um mapa de domínio ou do servidor de autenticação RADIUS.
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão, no entanto, você pode configurar o mapa de domínio para usar uma instância de roteamento não padrão. Além disso, se uma instância de roteamento não padrão já estiver configurada, você pode configurar o mapa de domínio para usar a instância de roteamento padrão.
Para configurar o contexto de instâncias lógicas de sistema/roteamento usado para a interface de um assinante:
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão.
Especificando um perfil de túnel em um mapa de domínio
Os perfis de túnel especificam definições de túnel (por exemplo, um conjunto de túneis L2TP e seus atributos) que o roteador se aplica às sessões de assinantes. O recurso de mapa de domínio permite que você aplique um perfil de túnel específico aos assinantes em um determinado domínio.
Um perfil de túnel especificado por um servidor RADIUS no atributo Tunnel-Group (VSA 26-64) tem precedência sobre o perfil do túnel especificado no mapa de domínio.
Incluir um perfil de túnel em um mapa de domínio:
Veja também
Especificando um perfil de switch de túnel em um mapa de domínio
Os perfis do switch de túnel determinam se os pacotes em uma sessão de assinante L2TP de um LAC são trocados para outra sessão que tenha uma LNS de destino diferente. O perfil do switch de túnel também pode especificar como certos AVPs L2TP são tratados quando os pacotes são trocados para um segundo túnel. O recurso de mapa de domínio permite que você aplique um perfil específico de switch de túnel aos assinantes em um determinado domínio.
Um perfil de switch de túnel especificado por um servidor RADIUS no Tunnel Switch-Profile VSA (26-91) tem precedência sobre o perfil do switch de túnel especificado no mapa de domínio. Se o Tunnel-Group VSA (26-64) for recebido, além do Tunnel Switch-Profile VSA (26-91), o Switch-Profile VSA (26-91) tem precedência sobre o Tunnel-Group VSA (26-64), garantindo que os assinantes sejam trocados por túneis em vez de tunelamento LAC.
Incluir um perfil de switch de túnel em um mapa de domínio:
Veja também
Suporte de resiliência para assinantes PPPoE/DHCP/L2TP em desativação de PFE (MX960 e MX10004)
A partir do Junos OS Release 24.4R1, os aprimoramentos oferecem suporte à resiliência dos serviços de assinantes em roteadores da série MX com placas ASIC baseadas em trio em cenários em que um Mecanismo de encaminhamento de pacotes (PFE) fica desativado. Atualmente, esse recurso é suportado até placas de linha baseadas em MPC7(EA). Os PFEs são desativados devido a vários erros, que incluem erros de ECC (Código de Correção de Erros), erros de paridade ou problemas de tempo limite, resultando na não-funcional PFE e invalidação de sua memória.
Quando um PFE em uma placa de linha é desativado:
-
Não há impacto na funcionalidade de assinante existente se pelo menos um link agregado de Ethernet (AE) estiver presente no PFE ativo.
- O novo login de assinantes é contínuo se pelo menos um link da Ethernet agregada (AE) estiver presente no PFE ativo.
O suporte ao recurso inclui:
-
Operações de assinantes Os assinantes, incluindo aqueles que usam DHCP, PPPoE e L2TP, podem permanecer operacionais se houver pelo menos um link de membro da AE presente no PFE ativo, mesmo que outros links de membros estejam no PFE desativado.
-
Redistribuição de tráfego O grupo de agregação de enlaces aprimorado (LAG) e a infraestrutura AE garantem que o tráfego seja redistribuído entre os links de membro ativos restantes quando o PFE for desativado para um dos links ativos da AE.
-
Continuidade da sessãoSessões de manutenção, como Inline Keep Alive para PPPoE e BFD inline (detecção de encaminhamento bidirecional) para DHCP, permanecem ativas enquanto houver pelo menos um link de membro da AE presente no PFE ativo. O tráfego de assinantes continua a fluir normalmente.
-
Estabilidade do assinante Os assinantes permanecem ativos e o tráfego continua sem interrupção, mesmo que o PFE seja desativado para um dos links ativos da AE, desde que haja pelo menos um link presenteem um PFE ativo.
-
Suporte para o modo Esse recurso oferece suporte a configurações ativas e de backup ativo para links de membros da AEchild.
-
Compatibilidade com VLAN: os aprimoramentos se aplicam a interfaces VLAN dinâmicas, VLAN estática e VLAN estáticas.
-
Redundância e tolerância a falhas: desativar um único PFE não interrompe a operação de outros PFEs dentro do mesmo FPC (Concentrador PIC flexível) ou em outros FPCs, garantindo disponibilidade de serviço contínua e tolerância a falhas. O FPC deve ser reiniciado para recuperar o PFE.
-
Essas melhorias reforçam a confiabilidade e a robustez dos serviços de rede, garantindo que a conectividade dos assinantes permaneça funcional mesmo quando os PFEs são desativados.
Configuração do uso de nomes de domínio e reino para mapas de domínio
Você pode configurar como o roteador determina os nomes de domínio que são usados para o recurso de mapeamento de domínio. No nível global, você pode especificar regras usadas para mapas de domínio. As regras globais permitem que você especifique caracteres adicionais que o roteador pode reconhecer como delimiters de nome de domínio ou reino e especificar a direção que o roteador usa para analisar nomes de domínio ou reino. O objetivo de analisar um domínio ou nome de reino é identificar um nome único e único que o roteador usa como nome de domínio do assinante, independentemente de a fonte do nome estar no formato típico de nome de domínio (joseph@example.com) ou no formato de nome do reino (example.com™marilyn). O roteador usa o nome de domínio resultante para operações como a busca e processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nomes de domínio. A separação de nomes de domínio especifica que o roteador remove o domínio analisado ou o nome de reino do nome de usuário do assinante antes de realizar qualquer processamento adicional para o mapa de domínio.
Para configurar regras de uso de nomes de domínio para mapas de domínio:
Especificando delimiters de nome de domínio e reino
Um delimiter é o personagem que separa um nome de usuário assinante do domínio ou nome do reino. Os delimiters são comumente usados para análise de nomes de domínio ou reino ou despojamento de nomes de domínio. Você pode especificar no máximo oito delimiters que o roteador usa para reconhecer nomes de domínio ou reino para um mapa de domínio. Se você não configurar nenhum delimiters, o roteador usa o @
caractere por padrão para nomes de domínio. Não há delimiter padrão para nomes de reinos.
Por exemplo, sua rede pode incluir os assinantes bob@test.com
pete!example.com
etest.net\maria
. Neste caso, você configuraria o roteador para reconhecer os caracteres @
e !
como delimiters de nome de domínio, e o \
personagem como um dirigível nome de reino.
Tenha em mente as seguintes diretrizes ao especificar os delimiters:
Você não pode usar o ponto e vírgula (;) como um delimitador.
Se você configurar os delimiters de nome de domínio opcionais, você também deve especificar o
@
caractere (o delimiter padrão) se quiser continuar a usá-lo como um delimitador.Se você configurar os delimiters de nome de domínio opcionais e depois desconfigá-los, o roteador definirá o delimiter do mapa de domínio de volta ao caractere padrão
@
.
Para configurar delimiters de nomes de domínio e reino para mapas de domínio:
Especificando a ordem de análise para nomes de domínio e reino
O roteador analisa o domínio de nome de usuário ou nome de reino a fim de identificar um nome único e único que o roteador usa como nome de domínio do assinante, independentemente de a fonte do nome estar no formato típico de nome de domínio (joseph@example.com) ou no formato de nome do reino (example.com™marilyn). Você pode especificar se o roteador pesquisa primeiro o nome de usuário do assinante por um nome de domínio ou se há um nome de reino. Se o roteador não encontrar o nome especificado (por exemplo, você especifica realm-first
e não há nome de reino no nome do usuário), o roteador pesquisa o segundo tipo de nome (nome de domínio, neste caso). Se o roteador não encontrar um nome de reino ou um nome de domínio, então não haverá domínio que possa ser usado para operações de mapeamento de domínio.
Para configurar a direção de análise de nomes de domínio para mapas de domínio:
Especificando a direção de análise para nomes de domínio e reino
Você pode especificar a direção em que o roteador realiza a operação de análise que usa para identificar nomes de domínio ou reino de assinantes para mapas de domínio. Durante a operação de análise, o roteador pesquisa o nome de usuário até reconhecer um delimiter. Em seguida, considera qualquer coisa à direita do delimitador como o domínio. Por padrão, o roteador analisa da direita para a esquerda, começando pelo caractere mais à direita no nome do usuário.
O roteador usa o nome de domínio de um assinante para realizar operações de busca e processamento de mapas de domínio. Você pode configurar como o roteador identifica um nome de domínio único quando o nome do usuário é apresentado em um formato de nome de domínio tradicional ou nome de reino. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome de domínio; por exemplo, joe@example.com. No formato de nome de reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome do reino; por exemplo, example.com@joe. O objetivo de analisar um domínio ou nome de reino é identificar um único nome que o roteador usa como nome de domínio do assinante, independentemente de a fonte do nome ser o nome de domínio ou nome original do usuário. O roteador usa o nome de domínio resultante para operações como a busca e processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nomes de domínio.
A direção de análise de domínio que você usa é importante quando há nomes de domínio aninhados. Por exemplo, para o nome user1@test.com@example.com
de usuário, a análise da direita para a esquerda produz um nome de domínio de example.com
. Para o mesmo nome de usuário, a análise da esquerda para a direita produz um nome de domínio de test.com@example.com
.
Essa operação é semelhante à análise da parte do usuário de um nome de usuário, mas a direção padrão e os resultados são diferentes.
Para configurar a direção de análise de nomes de domínio para mapas de domínio:
Habilitando o despojamento de nomes de domínio
Você pode configurar o roteador para tirar o nome de domínio de nomes de usuário antes que qualquer serviço AAA seja usado. A remoção de nomes de domínio é feita para mapas de domínio. O roteador usa os delimiters e a direção de análise que você configura globalmente para determinar o nome de domínio que é removido. Por exemplo, se o roteador usar o delimiter padrão e a direção right-to-left
de análise, o nome user1@example.com
de usuário será despojado user1
.
Para configurar o roteador para tirar o nome de domínio de nomes de usuário em um mapa de domínio:
Alterar o nome de usuário e a senha para simplificar o provisionamento fora do chassi
Para alguns casos de uso, você pode querer provisionar nomes de usuário de assinantes L2TP LAC e senhas de autenticação fora do chassi do roteador. Você pode tirar a parte do usuário do nome de usuário e substituir a senha do usuário.
Você pode configurar como o roteador identifica a parte do usuário a ser despojada quando o nome de usuário é apresentado no formato de nome de domínio tradicional ou no formato de nome do reino. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome de domínio; por exemplo, joe@example.com. No formato de nome de reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome do reino; por exemplo, example.com@joe.
Você pode especificar a direção em que o roteador realiza a operação de análise que usa para identificar a parte do usuário do nome do usuário. Durante a operação de análise, o roteador pesquisa o nome de usuário até reconhecer um delimiter. Por padrão, o roteador analisa da esquerda para a direita, começando pelo caractere mais à esquerda no nome de usuário. Tudo à esquerda do delimitador é a parte do usuário. Essa direção funciona para o formato de nome de domínio tradicional. Com essa configuração, o roteador identifica e tira joe de joe@example.com.
Para nomes de usuário no formato de nome de reino, você precisa mudar a direção de análise para right-to-left
. O roteador analisa da direita para a esquerda, começando pelo personagem mais à direita no nome de usuário. Quando o roteador reconhece o delimiter, ele considera qualquer coisa à direita do delimitador como parte do usuário. Com essa configuração, o roteador identifica e tira joe de example.com@joe.
Esta operação é semelhante à operação de análise de nomes/reinos de domínio, mas a direção padrão e os resultados são diferentes da análise de nome/reino do domínio.
A parte do usuário é despojada apenas para o nome de usuário enviado a um servidor externo para autenticação. O nome de usuário não pingado é usado para operações contábeis.
Para configurar a parte do usuário a ser retirada do nome de usuário para todos os nomes de usuário associados a um mapa de domínio:
Especifique a direção de análise que você deseja que o roteador use:
Use
left-to-right
quando o nome de usuário estiver no formato típico de nome de domínio, no qual o nome de domínio segue o nome do usuário.[edit access domain map domain-map-name] user@host# set strip-username left-to-right
Use
right-to-left
quando o nome de usuário estiver no formato de nome de reino, no qual o nome do reino precede o nome do usuário.[edit access domain map domain-map-name] user@host# set strip-username right-to-left
Você pode especificar uma nova senha para substituir a senha existente para autenticar qualquer assinante associado ao mapa de domínio. Para substituir a senha:
Especifique a senha de substituição para autenticação do PAP.
[edit access domain map map-name] user@host# set override-password password
-
Especifique a senha de substituição para autenticação DOC.
[edit access domain map map-name] user@host# set override-chap-password password
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.