Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Identificação de linha lógica RADIUS

Visão geral do identificador de linha lógica (LLID) RADIUS

O recurso de identificação de linha lógica (LLID) ajuda os provedores de serviços a manter um banco de dados de clientes confiável e atualizado para os assinantes que mudam frequentemente de uma linha física para outra. O LLID foi projetado para fornecer ao provedor de serviços um ID de estação de chamada configurável para a linha de acesso do assinante. Uma ID de calling station é derivada do local físico da linha e das informações do cliente assinante. As informações de linha derivadas da instalação do provedor de serviços não são amigáveis para o atacadista da linha de acesso gerenciar a propriedade da linha de acesso quando os assinantes mudam frequentemente de local físico. O recurso LLID é baseado em uma porta virtual — o LLID — em vez da linha física usada pelo assinante. O LLID fornece gerenciamento de informações de linha orientado por AAA com um provedor de serviços (geralmente um atacadista).

O LLID é uma cadeia de caracteres alfanumérica baseada no nome de usuário do assinante e na ID do circuito. O LLID identifica logicamente a linha do assinante e é mapeado para a linha física do assinante no banco de dados do cliente do provedor de serviços. Quando o assinante se move para um local diferente e uma linha física diferente, o banco de dados é atualizado para mapear o LLID para a nova linha física. Como o LLID do assinante permanece constante, ele fornece aos provedores de serviços um meio seguro e confiável para rastrear assinantes e manter um banco de dados preciso de clientes. O gerenciamento de assinantes oferece suporte ao recurso LLID para assinantes PPP em PPPoE, PPPoA e LAC.

Para atribuir um LLID a um assinante, o roteador emite duas solicitações de acesso RADIUS. A primeira solicitação é uma solicitação de pré-autenticação, que obtém o LLID de um servidor de pré-autenticação RADIUS. A segunda solicitação é a solicitação de autenticação padrão enviada ao servidor de autenticação RADIUS.

A sequência de etapas a seguir descreve como o gerenciamento de assinantes obtém e usa o LLID. O procedimento pressupõe que a pré-autenticação esteja habilitada no roteador e que os servidores de pré-autenticação e autenticação RADIUS estejam configurados.

  1. O assinante PPP envia uma mensagem de solicitação de autenticação ao roteador.

  2. O roteador envia uma mensagem de solicitação de acesso ao servidor de pré-autenticação RADIUS para obter um LLID para o assinante.

  3. O servidor de pré-autenticação retorna o LLID para o roteador no atributo Calling-Station-Id (atributo RADIUS 31) na mensagem Access-Accept.

    Observação:

    Esta etapa inclui um uso não padrão do atributo Calling-Station-Id. Esse atributo normalmente está presente em mensagens de solicitação RADIUS, como uma solicitação de acesso, não em mensagens de resposta. Além disso, o roteador ignora todos os atributos RADIUS, exceto o Calling-Station-Id, que são retornados na mensagem de pré-autenticação Access-Accept. Além disso, qualquer radius options um configurado no roteador, como calling-station-id-format, não tem efeito sobre o atributo Calling-Station-Id na solicitação de pré-autenticação.

  4. O roteador codifica o Calling-Station-Id (o LLID) em uma segunda mensagem de solicitação de acesso e envia a mensagem para o servidor de autenticação RADIUS. Essa solicitação de autenticação é o uso padrão do atributo Calling-Station-Id.

  5. O servidor de autenticação RADIUS retorna uma mensagem de aceitação de acesso ao roteador. A mensagem Access-Accept inclui atributos para a sessão do assinante.

    Observação:

    Depois que o assinante pré-autenticado tiver sido autenticado com êxito pelo servidor de autenticação RADIUS, todas as mensagens de solicitação RADIUS subsequentes, como mensagens de solicitação de contabilidade, incluirão o LLID no atributo Calling-Station-Id.

Observação:

Para assinantes PPP com túnel, o roteador, atuando como um concentrador de acesso L2TP (LAC), codifica o LLID no número de chamada AVP (atributo L2TP 22) e envia o atributo para o servidor de rede L2TP (LNS) em um pacote de solicitação de chamada de entrada (ICRQ). Após uma solicitação de pré-autenticação bem-sucedida, o roteador sempre codifica o LLID no AVP do número de chamada L2TP.

Atributos RADIUS para solicitações de pré-autenticação LLID

A Tabela 1 lista os atributos RADIUS IETF usados em uma solicitação de pré-autenticação para obter o LLID de um assinante e descreve as informações incluídas nos atributos. Em alguns casos, a pré-autenticação usa um atributo para informações diferentes da descrição da IETF — a tabela indica qualquer uso não padrão de atributos RADIUS.

Tabela 1: Atributos RADIUS para solicitações de pré-autenticação LLID

Número do atributo

Nome do atributo

Descrição

1

Nome de usuário

(Uso não padrão do atributo.) Informações de identificação para o usuário associado ao LLID, no seguinte formato.

nas-port:nas-ip-address:nas-port-id

Exemplo: nas-port:198.51.100.117:ge-1/0/5:100

Observação:

O roteador retira todas as informações geradas dinamicamente do atributo User-Name durante a pré-autenticação.

2

Senha de usuário

(Uso não padrão do atributo.) Senha do usuário a ser autenticado.

Exemplo: Sempre definido como juniper

4

Endereço IP NAS

Endereço IP do servidor de acesso à rede (NAS) que está solicitando a autenticação do usuário

Exemplo: 198.51.100.117

5

Porta NAS

Número da porta física do NAS que está autenticando o usuário. Sempre interpretado como um campo de bits

6

Tipo de serviço

Tipo de serviço que o usuário solicitou ou o tipo de serviço a ser prestado.

Exemplo: gold-service

61

Tipo de porta NAS

Tipo de porta física que o NAS está usando para autenticar o usuário. Você pode usar a ethernet-port-type-virtual instrução para configurar isso como virtual (tipo 5).

77

Informações de conexão

(Uso não padrão do atributo.) O nome de usuário.

Exemplo: jdoe@xyzcorp.example.com

87

ID da porta NAS

Cadeia de caracteres de texto que identifica a interface física do NAS que está autenticando o usuário. Inclui qualquer informação gerada dinamicamente.

Exemplo: ge 1/0/5:100

Configuração da pré-autenticação de identificação de linha lógica (LLID)

O recurso de identificação de linha lógica (LLID) permite que os provedores de serviços rastreiem assinantes com base em uma porta virtual — a LLID — em vez da porta física usada pelo assinante. O LLID é atribuído por um servidor de pré-autenticação RADIUS, que você configura em um perfil de acesso.

Para configurar o roteador para oferecer suporte à pré-autenticação para o recurso LLID:

Observação:

Você não pode configurar as declarações de pré-autenticação neste procedimento se tiver configurado a radius attributes exclude declaração para excluir o atributo Calling-Station-ID das mensagens de solicitação de acesso RADIUS.

  1. Especifique o perfil de acesso que você deseja usar para o suporte à pré-autenticação do assinante.

  2. Especifique a ordem na qual o roteador usa os métodos de pré-autenticação suportados. radius é o único método de autenticação com suporte.

  3. Especifique que você deseja configurar o suporte a RADIUS.

  4. Especifique o endereço IP do servidor RADIUS usado para pré-autenticação.

    Observação:

    O recurso de pré-autenticação usa os retry parâmetros e timeout configurados para o servidor de autenticação RADIUS.

  5. (Opcional) Exiba estatísticas de pré-autenticação AAA.

  6. (Opcional) Verifique a configuração do servidor de pré-autenticação RADIUS.

Configurando uma porta e senha para solicitações de pré-autenticação LLID

Você pode configurar um roteador que opera como o cliente RADIUS para entrar em contato com um servidor RADIUS para solicitações de autenticação e pré-autenticação em duas portas UDP diferentes e usando senhas secretas diferentes. Semelhante à configuração dos números de porta para solicitações de autenticação e estatística, você pode definir um número de porta exclusivo que o roteador usa para entrar em contato com o servidor RADIUS para solicitações de pré-autenticação de identificação de linha lógica (LLID). Você também pode definir uma senha exclusiva para solicitações de pré-autenticação. Se você não configurar uma porta UDP ou segredo separado para fins de pré-autenticação, a mesma porta UDP e segredo que você configurar para mensagens de autenticação será usado.

Para configurar um número de porta UDP exclusivo a ser usado para entrar em contato com o servidor RADIUS para solicitações de pré-autenticação, inclua a preauthentication-port port-number instrução no [edit access radius-server server-address] nível da hierarquia or [edit access profile profile-name radius-server server-address] .

  • Para especificar a porta UDP para todos os perfis de acesso:

  • Para especificar a porta UDP para um perfil de acesso específico:

Para configurar a senha a ser usada para entrar em contato com o servidor de pré-autenticação RADIUS, inclua a preauthentication-secret password declaração no nível de [edit access radius-server server-address] ou [edit access profile profile-name radius-server server-address] hierarquia.

  • Para especificar a senha para todos os perfis de acesso:

  • Para especificar a senha para um perfil de acesso específico:

Verificando e gerenciando a configuração de pré-autenticação LLID

Finalidade

Exiba estatísticas e informações de configuração relacionadas à pré-autenticação de identificação de linha lógica (LLID).

Ação

  • Para exibir estatísticas de pré-autenticação LLID:

  • Para exibir informações sobre servidores de pré-autenticação: