Mapeando domínios de assinantes para opções de acesso e sessão

Para configurar um mapa de domínio para o gerenciamento de assinantes:

O gerenciamento de assinantes oferece suporte a um recurso de mapa de domínio curinga que permite configurar um mapeamento de domínio baseado em uma correspondência curinga parcial. Quando não há correspondência exata entre o nome do domínio do assinante e um mapa de domínio configurado, o gerenciamento de assinantes procura uma correspondência parcial entre o nome do domínio do assinante e um mapa de domínio curinga.

Para criar o mapa de domínio curinga, você inclui o personagem curinga asterisco quando configura o nome do mapa de domínio, como, domain map example*. Você pode inserir o personagem curinga em qualquer lugar do mapa de domínio, e o curinga pode representar zero ou qualquer número de caracteres. O asterisco é o único personagem curinga suportado.

Por exemplo, a declaração domain map example*northern.com de configuração cria um mapa de domínio curinga que é uma combinação parcial para todos os nomes de domínio que começam com example e terminam com northern.com, como examplenorthern.com, example-northern.come example1234northern.com. No entanto, se você mover o personagem curinga no nome do mapa de domínio para domain map example-northern*.com, isso cria uma combinação mais restritiva que requer que os nomes de domínio parciais de correspondência comecem com example-northern, como example-northern555.com ou example-northern-alpha.com.

O mapeamento de domínio curinga também é útil quando o gerenciamento de assinantes deriva nomes de usuário de assinantes do DHCPv4 Agent Remote ID (opção 82 suboption 2) ou do DHCPv6 Remote-ID (opção 37). Nesses casos, o nome de usuário resultante está no formato subscriberID|service-plan|accountID|unused; por exemplo, EricSmith|premiumTier1|314159265|0000 (onde o | personagem é o delimiter). Neste exemplo, o gerenciamento de assinantes analisa o nome de usuário da esquerda para a direita e identifica o domínio do assinante como premiumTier1|314159265|0000. Para criar um mapa de domínio curinga usado para este assinante, você pode configurar domain map premiumTier1*.

O exemplo a seguir descreve como quatro assinantes são mapeados para diferentes domínios.

Por exemplo, existem três mapas de domínio configurados; o mapa de default domínio, um mapa de domínio nomeado example3000.come um mapa de domínio curinga chamado example*. Os assinantes são mapeados conforme mostrado na lista a seguir:

• eric@example3000.com — existe uma correspondência exata do mapa de domínio, para que o assinante seja mapeado para o domínio example3000.com.

• jack@example1001.com — não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, de modo que o assinante é mapeado para o domínio example*curinga.

• ginger@example-western.com — não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, de modo que o assinante também é mapeado para o domínio example*curinga.

• sunshine@test.com— Não há correspondência exata, nem uma correspondência parcial com o domínio curinga, de modo que o assinante seja mapeado para o default domínio.

Para configurar um mapa de domínio curinga:

Você usa perfis de acesso para especificar as regras e opções de acesso (por exemplo, o servidor de autenticação RADIUS e atributos) que o roteador aplica às sessões de assinantes. O recurso de mapa de domínio permite que você aplique um perfil de acesso específico para assinantes em um determinado domínio.

Os perfis de acesso podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica os perfis de acesso com base nas regras de precedência mostradas na Tabela 2.

Para incluir um perfil de acesso em um mapa de domínio:

Você pode usar o recurso do mapa de domínio para especificar o pool de endereços que o roteador usa para alocar endereço para sessões de assinantes. O pool de endereços pode incluir faixas de endereço IPv4 e IPv6.

Os pools de endereços podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica o pool de endereços com base nas regras de precedência mostradas na Tabela 3.

Para especificar o pool de endereços usado para um mapa de domínio:

Um perfil dinâmico define o conjunto de características que fornecem acesso dinâmico e serviços para sessões de assinantes (como classe de serviço, protocolos e suporte de interface). O recurso do mapa de domínio permite que você aplique um perfil dinâmico específico com base em domínios de assinantes.

Os perfis dinâmicos são configurados na [edit dynamic-profiles] hierarquia e podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica os perfis dinâmicos com base nas regras de precedência mostradas na Tabela 4.

Para incluir um perfil dinâmico em um mapa de domínio:

Por padrão, um mapa de domínio usa o sistema lógico do assinante/instância de roteamento como o contexto em que o authd daemon envia solicitações de autenticação e contabilidade AAA. Você pode configurar opcionalmente o mapa de domínio para direcionar as solicitações AAA para um contexto específico, com base no nome do domínio do assinante. Especificar um contexto AAA não padrão permite que você gerencie o fluxo de trabalho e a carga de tráfego e faça mudanças com eficiência para um grande número de assinantes. Por exemplo, depois de atualizar seus serviços RADIUS, você pode configurar um mapa de domínio para especificar que todos os assinantes do domínio example.com agora são autenticados por um servidor RADIUS em um contexto AAA específico.

Para configurar o contexto lógico do sistema/instância de roteamento usado para solicitações AAA:

Por padrão, o roteador coloca um assinante no contexto lógico do sistema/instância de roteamento da interface em que as negociações de assinantes começam. Mais tarde, você pode alterar a instância de roteamento do contexto do assinante por meio do uso de um mapa de domínio ou do servidor de autenticação RADIUS.

O gerenciamento de assinantes é suportado apenas no sistema lógico padrão, no entanto, você pode configurar o mapa de domínio para usar uma instância de roteamento não padrão. Além disso, se uma instância de roteamento não padrão já estiver configurada, você pode configurar o mapa de domínio para usar a instância de roteamento padrão.

Para configurar o contexto lógico do sistema/instância de roteamento usado para a interface de um assinante:

Os perfis de túnel especificam definições de túnel (por exemplo, um conjunto de túneis L2TP e seus atributos) que o roteador aplica às sessões de assinantes. O recurso de mapa de domínio permite que você aplique um perfil de túnel específico aos assinantes em um determinado domínio.

Incluir um perfil de túnel em um mapa de domínio:

Os perfis do switch de túnel determinam se os pacotes em uma sessão de assinantes L2TP de um LAC são trocados para outra sessão que tem uma LNS de destino diferente. O perfil do switch de túnel também pode especificar como certos AVPs L2TP são tratados quando os pacotes são trocados para um segundo túnel. O recurso de mapa de domínio permite aplicar um perfil específico de switch de túnel aos assinantes em um determinado domínio.

Para incluir um perfil de switch de túnel em um mapa de domínio:

Você pode configurar como o roteador determina os nomes de domínio usados para o recurso de mapeamento de domínios. Em nível global, você pode especificar regras usadas para mapas de domínio. As regras globais permitem especificar caracteres adicionais que o roteador pode reconhecer como delimiters de nomes de domínio ou reino e especificar a direção que o roteador usa para analisar nomes de domínio ou reino. O objetivo de analisar um nome de domínio ou reino é identificar um nome único e único que o roteador usa como nome de domínio do assinante, independentemente de a origem do nome estar no formato típico de nome de domínio (joseph@example.com) ou no formato de nome do reino (example.com\marilyn). O roteador usa o nome de domínio resultante para operações como a busca e o processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nomes de domínio. A remoção do nome do domínio especifica que o roteador remove o domínio ou nome de reino analisado do nome de usuário do assinante antes de realizar qualquer processamento adicional para o mapa de domínio.

Para configurar regras de uso de nomes de domínio para mapas de domínio:

Um delimiter é o personagem que separa um nome de usuário assinante do domínio ou nome do reino. Os delimiters são comumente usados para análise de nomes de domínio ou reino ou remoção de nomes de domínio. Você pode especificar um máximo de oito delimiters que o roteador usa para reconhecer nomes de domínio ou reino para um mapa de domínio. Se você não configurar nenhum delimiters, o roteador usará o @ personagem por padrão para nomes de domínio. Não há um delimiter padrão para nomes de reinos.

Por exemplo, sua rede pode incluir os assinantes bob@test.comepete!example.comtest.net\maria. Neste caso, você configuraria o roteador para reconhecer os caracteres @ e ! como delimiters de nome de domínio, e o \ personagem como um delimiter de nome de reino.

Tenha em mente as seguintes diretrizes ao especificar os delimiters:

• Você não pode usar o ponto e vírgula (;) como um delimiter.

• Se você configurar delimiters opcionais de nome de domínio, você também deve especificar o @ personagem (o delimiter padrão) se você quiser continuar a usá-lo como um delimiter.

• Se você configurar delimiters de nome de domínio opcionais e depois desconfigá-los, o roteador define o delimiter do mapa de domínio de volta ao personagem padrão @ .

Para configurar delimiters de nomes de domínio e reino para mapas de domínio:

O roteador analisa o domínio de nome de usuário ou nome de reino para identificar um nome único e único que o roteador usa como nome de domínio do assinante, independentemente de a fonte do nome estar no formato típico de nome de domínio (joseph@example.com) ou no formato de nome do reino (example.com\marilyn). Você pode especificar se o roteador pesquisa primeiro o nome de usuário do assinante para um nome de domínio ou para um nome de reino. Se o roteador não encontrar o nome especificado (por exemplo, você especifica realm-first e não há nome de reino no nome do usuário), então o roteador pesquisa o segundo tipo de nome (nome do domínio, neste caso). Se o roteador não encontrar um nome de reino ou um nome de domínio, não haverá domínio que possa ser usado para operações de mapeamento de domínios.

Para configurar a direção de análise de nome de domínio para mapas de domínio:

Você pode especificar a direção em que o roteador executa a operação de análise que usa para identificar nomes de domínio ou reino de assinantes para mapas de domínio. Durante a operação de análise, o roteador pesquisa o nome do usuário até reconhecer um delimiter. Em seguida, considera qualquer coisa à direita do delimiter como o domínio. Por padrão, o roteador analisa da direita para a esquerda, começando pelo personagem mais à direita no nome do usuário.

O roteador usa o nome de domínio de um assinante para realizar operações de busca e processamento de mapas de domínio. Você pode configurar como o roteador identifica um nome de domínio único quando o nome do usuário é apresentado em um formato de nome de domínio tradicional ou um nome de reino. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome do domínio; por exemplo, joe@example.com. No formato de nome do reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome do reino; por exemplo, example.com@joe. O objetivo de analisar um nome de domínio ou reino é identificar um único nome que o roteador usa como nome de domínio do assinante, independentemente de a origem do nome ser o nome ou nome de domínio original do usuário. O roteador usa o nome de domínio resultante para operações como a busca e o processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nomes de domínio.

A direção de análise de domínio que você usa é importante quando há nomes de domínio aninhados. Por exemplo, para o nome user1@test.com@example.comde usuário, a análise da direita para a esquerda produz um nome de domínio de example.com. Para o mesmo nome de usuário, a análise da esquerda para a direita produz um nome de domínio de test.com@example.com.

Para configurar a direção de análise de nome de domínio para mapas de domínio:

Você pode configurar o roteador para tirar o nome de domínio de nomes de usuário antes que qualquer serviço AAA seja usado. A remoção de nomes de domínio é feita para mapas de domínio. O roteador usa os delimiters e a direção de análise que você configura globalmente para determinar o nome de domínio que é removido. Por exemplo, se o roteador usar o delimiter padrão e a direção right-to-leftde análise, o nome user1@example.com de usuário será despojado.user1

Para configurar o roteador para tirar o nome de domínio de nomes de usuário em um mapa de domínio:

Para alguns casos de uso, você pode querer provisionar nomes de usuário de assinantes L2TP LAC e senhas de autenticação fora do chassi do roteador. Você pode tirar a parte do usuário do nome do usuário e substituir a senha do usuário.

Você pode configurar como o roteador identifica a porção do usuário a ser despojada quando o nome de usuário é apresentado no formato de nome de domínio tradicional ou no formato de nome do reino. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome do domínio; por exemplo, joe@example.com. No formato de nome do reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome do reino; por exemplo, example.com@joe.

Você pode especificar a direção em que o roteador executa a operação de análise que usa para identificar a porção do usuário do nome de usuário. Durante a operação de análise, o roteador pesquisa o nome do usuário até reconhecer um delimiter. Por padrão, o roteador analisa da esquerda para a direita, começando pelo personagem mais à esquerda no nome do usuário. Tudo à esquerda do delimiter é a parte do usuário. Essa direção funciona para o formato de nome de domínio tradicional. Com essa configuração, o roteador identifica e tira joe da joe@example.com.

Para nomes de usuário no formato de nome do reino, você precisa mudar a direção de análise para right-to-left. O roteador analisa da direita para a esquerda, começando pelo personagem mais à direita no nome de usuário. Quando o roteador reconhece o delimiter, ele considera qualquer coisa à direita do delimiter como a porção do usuário. Com essa configuração, o roteador identifica e tira Joe da example.com@joe.

Para configurar a porção do usuário a ser retirada do nome de usuário para todos os nomes de usuário associados a um mapa de domínio:

Especifique a direção de análise que você deseja que o roteador use:

• Use left-to-right quando o nome de usuário estiver no formato típico de nome de domínio, no qual o nome do domínio segue o nome do usuário.

• Use right-to-left quando o nome de usuário estiver no formato de nome do reino, no qual o nome do reino precede o nome do usuário.

Você pode especificar uma nova senha para substituir a senha existente para autenticar qualquer assinante associado ao mapa de domínio. Para substituir a senha:

• Especifique a senha de substituição para autenticação do PAP.

• Especifique a senha de substituição para autenticação de CHAP.