Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Servidores RADIUS e parâmetros para acesso ao assinante

Configurar parâmetros e opções para servidores RADIUS é uma parte importante da configuração de gerenciamento de assinantes. Após definir os servidores de autenticação e contabilidade, você configura opções para todos os servidores RADIUS. Você também configura perfis de acesso que permitem especificar parâmetros de autenticação, autorização e configuração de contabilidade para assinantes ou grupos de assinantes. As configurações de perfil se sobrepõem às configurações globais. Embora algumas opções estejam disponíveis tanto no nível global quanto no nível de perfil de acesso, muitas opções estão disponíveis apenas em perfis de acesso.

Depois de criar um perfil de acesso, você deve especificar onde o perfil é usado com uma declaração access-profile ; isso é conhecido como anexação do perfil. Os perfis de acesso podem ser atribuídos em vários níveis. Por exemplo, alguns dos lugares em que você pode anexar perfis de acesso

  • Globalmente para uma instância de roteamento.

  • Em perfis dinâmicos.

  • Em um mapa de domínio, que mapeia opções de acesso e parâmetros de sessão para sessões de assinantes.

  • Nas interfaces para VLANs dinâmicas e VLANs empilhadas dinâmicas.

  • Na interface ou em um grupo de assinantes para assinantes com interfaces estaticamente configuradas para provisionamento dinâmico de serviços.

  • Sobre agentes de transmissão DHCP e servidores locais DHCP para clientes ou assinantes DHCP.

Como você pode anexar perfis de acesso em muitos níveis, o perfil de acesso mais específico tem precedência sobre quaisquer outras atribuições de perfil para evitar conflitos. A autenticação e a contabilidade não são executadas a menos que você anexe o perfil.

Definição de servidor de autenticação e contabilidade RADIUS

Ao usar o RADIUS para gerenciamento de assinantes, você deve definir um ou mais servidores RADIUS externos com os quais o roteador se comunica para autenticação e contabilidade de assinantes. Além de especificar o endereço IPv4 ou IPv6 do servidor, você pode configurar opções e atributos que determinam como o roteador interage com os servidores especificados.

Você pode definir servidores RADIUS e opções de conectividade no nível de [edit access radius-server] hierarquia, no nível de [edit access profile name radius-server] hierarquia ou em ambos os níveis.

Nota:

O processo AAA (authd) determina quais definições de servidor usar da seguinte forma:

  • Quando as definições do servidor RADIUS estão presentes apenas em [edit access radius-server], o authd usa essas definições.

  • Quando as definições do servidor RADIUS estão presentes apenas no perfil de acesso, o authd usa essas definições.

  • Quando as [edit access radius-server] definições do servidor RADIUS estão presentes no perfil de acesso e no perfil de acesso, o authd usa apenas as definições de perfil de acesso.

Para usar um servidor RADIUS, você deve designá-lo como um servidor de autenticação, um servidor de contabilidade ou ambos, em um perfil de acesso. Você deve fazer isso pelos servidores, independentemente de serem definidos em um perfil de acesso ou no nível hierárquico [edit access radius-server] .

Definir servidores RADIUS e especificar como o roteador interage com o servidor:

Nota:

Este procedimento mostra apenas o nível de [edit access radius-server] hierarquia. Você pode configurar opcionalmente qualquer um desses parâmetros no nível de [edit access profile profile-name] radius-server] hierarquia. Você pode fazer isso, seja na configuração global ou em vez da configuração global. Quando você aplica um perfil, as configurações de perfil se sobrepõem à configuração global.
  1. Especifique o endereço IPv4 ou IPv6 do servidor RADIUS.
  2. (Opcional) Configure o número da porta de contabilidade do servidor RADIUS.
  3. (Opcional) Configure o número de porta que o roteador usa para entrar em contato com o servidor RADIUS.
  4. Configure o segredo (senha) necessário que o roteador local passa para o cliente RADIUS. Segredos fechados entre aspas podem conter espaços.
  5. (Opcional) Configure o número máximo de solicitações pendentes que um servidor RADIUS pode manter. Uma solicitação pendente é uma solicitação à qual o servidor RADIUS ainda não respondeu.
  6. Configure o endereço fonte para o servidor RADIUS. Cada solicitação RADIUS enviada a um servidor RADIUS usa o endereço de origem especificado. O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador.
  7. (Opcional) Configure valores de nova tentativa e tempo limite para mensagens de autenticação e contabilidade.
    1. Configure quantas vezes o roteador tenta entrar em contato com um servidor RADIUS quando não tiver recebido nenhuma resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um servidor RADIUS antes de tentar novamente o contato.
    Nota:

    A duração máxima de nova tentativa (o número de retries vezes o comprimento do tempo limite) não pode exceder 2700 segundos. Uma mensagem de erro é exibida se você configurar uma duração mais longa.
    Nota:

    As configurações e timeout as retry configurações se aplicam a mensagens de autenticação e contabilidade, a menos que você configure a accounting-retry declaração e a accounting-timeout declaração. Nesse caso, as configurações e timeout as retry configurações se aplicam apenas a mensagens de autenticação.
  8. (Opcional) Configure valores de nova tentativa e tempo limite para mensagens contábeis separadas das configurações para mensagens de autenticação.
    Nota:

    Você deve configurar as declarações e as accounting-retry accounting-timeout declarações. Se você não fizer isso, então o valor que você configura é ignorado em favor dos valores configurados com as declarações e timeout declaraçõesretry.
    1. Configure quantas vezes o roteador tenta enviar mensagens contábeis para o servidor de contabilidade RADIUS quando não tiver recebido nenhuma resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um servidor de contabilidade RADIUS antes de tentar novamente a solicitação.
  9. (Opcional) Configure o roteador para entrar em contato com o servidor RADIUS para solicitações de pré-configuração de identificação de linha lógica (LLID). Veja a identificação da linha lógica RADIUS.
  10. (Opcional) Configure a porta que o roteador monitora para solicitações dinâmicas (CoA) do servidor especificado. Veja gerenciamento dinâmico de serviços com RADIUS.

Configuração de opções aplicáveis a todos os servidores RADIUS

Você pode configurar opções RADIUS que se aplicam a todos os servidores RADIUS globalmente.

Para configurar as opções RADIUS globalmente:

  1. Especifique se deseja configurar as opções RADIUS.
  2. (Opcional) Configure a taxa na qual as solicitações de atualização provisória RADIUS são enviadas ao servidor.
  3. (Opcional) Configure o desvio máximo permitido do intervalo de atualização configurado que o roteador envia atualizações de contabilidade provisórias para o servidor RADIUS. A tolerância é relativa ao intervalo de atualização configurado.

    Por exemplo, se a tolerância for definida para 60 segundos, então o roteador envia atualizações de contabilidade provisórias não antes de 30 segundos antes do intervalo de atualização configurado. Quando um assinante faz login, a primeira atualização provisória de contabilidade pode ser enviada até 30 segundos antes (em média 15 segundos antes).

    Você configura o intervalo de atualização com a declaração de intervalo de atualização no nível de [edit access profile profile-name accounting] hierarquia.

  4. (Opcional) Configure o número de solicitações por segundo que o roteador pode enviar a todos os servidores RADIUS configurados coletivamente. Limitar o fluxo de solicitações do roteador para os servidores RADIUS permite que você impeça que os servidores RADIUS sejam inundados com solicitações.
  5. (Opcional) Configure o número de segundos que o roteador espera após um servidor se tornar inalcançável antes de verificar novamente a conexão. Se o roteador chegar ao servidor quando o intervalo de reversão expirar, o servidor será usado de acordo com a ordem da lista de servidores.
    Nota:

    Você também pode configurar o revert-interval em um perfil de acesso para substituir esse valor global. Veja configuração de opções de perfil de acesso para interações com servidores RADIUS.
  6. (Opcional) Configure a duração de um período durante o qual os servidores de autenticação RADIUS sem resposta ainda não são considerados inalcançáveis ou desativados. Você pode variar o período dependendo se deseja redirecionar solicitações de autenticação mais rapidamente para outro servidor ou fornecer ao servidor sem resposta mais tempo para recuperar e responder.

    Consulte a configuração de um período de carência de tempo limite para especificar quando os servidores RADIUS são considerados desativados ou inalcançáveis para obter mais informações.

  7. (Opcional) Configure um valor NAS-Port exclusivo em todos os roteadores da série MX na rede. Você pode configurar um valor NAS-Port exclusivo dentro do roteador, ou exclusivo entre os diferentes roteadores MX da rede.

    Veja habilitar atributos exclusivos de porta NAS (RADIUS Attribute 5) para assinantes para obter mais informações.

Configurando um período de carência de tempo limite para especificar quando os servidores RADIUS são considerados desativados ou inalcançáveis

Quando um servidor de autenticação RADIUS não responde a nenhuma das tentativas de uma determinada solicitação de autenticação e tempos fora, o authd observa o tempo de referência, mas não marca imediatamente o servidor como desativado (se outros servidores estiverem disponíveis) ou inalcançável (se for o único servidor configurado). Em vez disso, um tempor de carência configurável começa no momento da referência. O período de carência é liberado se o servidor responder a uma solicitação subsequente antes do término do período.

Durante o período de carência, o servidor não está marcado como desativado ou inalcançável. Cada vez que o servidor sai para solicitações subsequentes a esse servidor, o authd verifica se o período de carência expira. Quando a verificação determina que o período de carência venceu e o servidor ainda não respondeu a uma solicitação, o servidor fica marcado como inalcançável ou desativado.

O uso de um curto período de carência permite que você abandone mais rapidamente um servidor sem resposta e solicitações de autenticação diretas para outros servidores disponíveis. Um longo período de carência oferece a um servidor mais oportunidades de resposta e pode evitar abandonar desnecessariamente um recurso. Você pode especificar um período de carência mais longo quando tiver apenas um ou um pequeno número de servidores configurados.

Para configurar o período de carência durante o qual um servidor RADIUS sem resposta não está marcado como inalcançável ou desativado:

  • Especifique a duração do período de carência.

Configuração de opções de perfil de acesso para interações com servidores RADIUS

Você pode usar um perfil de acesso para especificar opções que o roteador usa ao se comunicar com servidores de autenticação RADIUS e contabilidade para acesso ao assinante. Este procedimento descreve opções disponíveis apenas em perfis de acesso. Para obter opções disponíveis tanto no perfil de acesso quanto no nível global, veja servidores RADIUS e parâmetros para acesso ao assinante.

Para configurar opções de servidor de autenticação RADIUS e contabilidade:

  1. Especifique se deseja configurar as opções RADIUS.
  2. (Opcional) Configure o formato que o roteador usa para identificar a sessão de contabilidade. O identificador pode estar em um dos seguintes formatos:

    • decimal— O formato padrão. Por exemplo 435264

    • description— No formato, jnpr interface-specifier:subscriber-session-id. Por exemplo jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure o caractere delimiter que o roteador insere entre valores no atributo RADIUS 31 (Calling-Station-Id).
  4. (Opcional) Configure as informações que o roteador inclui no atributo RADIUS 31 (Calling-Station-Id).

    Consulte a configuração de uma ID de estação de chamada com opções adicionais para obter informações detalhadas.

  5. (Opcional) Configure o roteador para usar o comportamento opcional que insere o desafio aleatório gerado pelo NAS no campo De autenticação de solicitação de pacotes de solicitação de acesso, em vez de enviar o desafio aleatório como atributo CHAP-Challenge (atributo RADIUS 60) em pacotes de solicitação de acesso. Esse comportamento opcional exige que o valor do desafio seja de 16 bytes; caso contrário, a declaração é ignorada e o desafio é enviado como atributo DO DESAFIO DA CAPE.
  6. (Opcional) Configure o método que o roteador usa para acessar servidores de autenticação e contabilidade RADIUS quando vários servidores estiverem configurados:

    • direct— O método padrão, no qual não há balanceamento de carga. O primeiro servidor configurado é o servidor principal; os servidores são acessados por ordem de configuração. Se o servidor primário for inalcançável, o roteador tenta alcançar o segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por solicitações de roteador rotativo entre a lista de servidores RADIUS configurados. O servidor escolhido para acesso é rotacionado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como primário para a primeira solicitação de autenticação, mas para a segunda solicitação, o segundo servidor configurado é tratado como primário e assim por diante. Com esse método, todos os servidores configurados recebem aproximadamente o mesmo número de solicitações em média para que nenhum servidor único tenha que lidar com todas as solicitações.

      Nota:

      Quando um servidor RADIUS na lista de round-robin se torna inalcançável, o próximo servidor acessível na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor que é usado ocupa a carga de dois servidores.

    • Para configurar o método que o roteador usa para acessar servidores de contabilidade RADIUS:

    • Para configurar o método que o roteador usa para acessar servidores de autenticação RADIUS:

  7. (Opcional) Configure o roteador para usar o comportamento opcional quando uma operação de CoA não puder aplicar uma alteração solicitada a uma variável dinâmica do perfil do cliente.

    O comportamento opcional é que o gerenciamento de assinantes não aplica nenhuma alteração nas variáveis dinâmicas do perfil do cliente na solicitação de CoA e depois responde com um NACK. O comportamento padrão é que o gerenciamento de assinantes não aplica a atualização incorreta, mas aplica as outras alterações nas variáveis dinâmicas do perfil do cliente e, em seguida, responde com uma mensagem ACK.

  8. (Opcional) Configure o roteador para usar um tipo de virtual porta física para autenticar clientes. O tipo de porta é passado no atributo RADIUS 61 (TIPO NAS-Porta). Por padrão, o roteador passa por um tipo de porta no ethernet atributo RADIUS 61.
    Nota:

    Essa declaração tem precedência sobre a declaração do tipo nas-portas se você incluir ambos no mesmo perfil de acesso.
  9. (Opcional) Especifique as informações excluídas da descrição da interface que o roteador passa para RADIUS para inclusão no atributo RADIUS 87 (NAS-Port-ID). Por padrão, a descrição da interface inclui informações de adaptador, canal e subinterface.
  10. (Opcional) Para assinantes PPP de pilha dupla, inclua o VSA de controle de versão IPv4 (26-164) na solicitação de acesso enviada durante a alocação de endereços IP sob demanda e nas mensagens de contabilidade provisória que são enviadas para relatar uma mudança de endereço.

    Opcionalmente, configure uma mensagem que está incluída no IPv4-Release-Control VSA (26-164) quando for enviada ao servidor RADIUS

    A configuração desta declaração não surtiu efeito quando a alocação ou alocação de endereços IP sob demanda não está configurada.

  11. (Opcional) Adicione a linha de acesso VSAs da Juniper Networks às mensagens de autenticação RADIUS e solicitação de contabilidade para assinantes. Se o roteador não tiver recebido e processado os atributos ANCP correspondentes do nó de acesso, a AAA fornece apenas o seguinte nessas mensagens RADIUS:

    • Taxa de QoS calculada a downstream (IANA 4874, 26-141)— velocidade de transmissão consultiva configurada padrão.

    • Taxa de QoS calculada em upstream (IANA 4874, 26-142)— o aviso configurado padrão recebe velocidade.

    A partir do Junos OS Release 19.2R1, a opção juniper-access-line-attributes substitui a opção juniper-dsl-attributes . Para retrocompatibilidade com scripts existentes, a opção juniper-dsl-attributes redireciona para a nova juniper-access-line-attributes opção. Recomendamos que você use juniper-access-line-attributes.

    Nota:

    A opção juniper-access-line-attributes não é compatível com o Junos OS Release 19.1 ou versões anteriores. Isso significa que se você tiver a opção configurada juniper-access-line-attributes no Junos OS Release 19.2 ou versões superiores, você deve executar as seguintes etapas para rebaixar para o Junos OS Release 19.1 ou versões anteriores:

    1. Exclua a opção juniper-access-line-attributes de todos os perfis de acesso que a incluam.

    2. Realize o rebaixamento de software.

    3. Adicione a opção juniper-dsl-attributes aos perfis de acesso afetados.
  12. (Opcional) Configure o valor para o atributo RADIUS 32 (NAS-Identifier), usado para solicitações de autenticação e contabilidade.
  13. (Opcional) Configure o cliente RADIUS para usar o formato estendido para o atributo RADIUS 5 (NAS-Port) e especifique a largura dos campos no atributo NAS-Port, que especifica o número de porta física do NAS que está autenticando o usuário.

    • Para assinantes da Ethernet:

    • Para assinantes de ATM:

  14. (Opcional) Configure o caractere delimiter que o roteador insere entre valores no atributo RADIUS 87 (NAS-Port-Id).
  15. (Opcional) Configure as informações opcionais que o roteador inclui no atributo RADIUS 87 (NAS-Port-Id). Você pode especificar uma ou mais opções para aparecer na ordem padrão. Como alternativa, você pode especificar as opções e a ordem em que elas aparecem. Os pedidos são mutuamente exclusivos e a configuração falha se você configurar um NAS-Port-ID que inclua valores em ambos os tipos de ordem.

    Veja a configuração de um NAS-Port-ID com opções adicionais e configuração da ordem em que os valores opcionais aparecem no NAS-Port-ID para obter informações detalhadas.

  16. (Opcional) Configure o tipo de porta que está incluído no atributo RADIUS 61 (TIPO NAS-Porta). Isso especifica o tipo de porta que o roteador usa para autenticar os assinantes.
    Nota:

    Essa declaração é ignorada se você configurar o ethernet-port-type-virtual mesmo perfil de acesso.
  17. (Opcional) Configure o LAC para substituir o formato de Calling-Station-ID configurado pelo valor enviado no L2TP Calling Number AVP 22. Você pode substituir o formato Calling-Station-ID e configurar o LAC para usar a ACI, a ARI ou tanto a ACI quanto a ARI que são recebidas do cliente L2TP no pacote PADR. Você também pode especificar um delimiter para usar entre componentes da string AVP e um valor de retorno a ser usado quando os componentes de substituição configurados não forem recebidos no pacote PADR.
    Nota:

    Consulte Override no formato de chamada-estação-ID para o número de chamadas AVP para obter mais informações.
  18. (Opcional) Substitua o valor do atributo RADIUS NAS-IP-Address (4) no LNS com o valor do endereço IP de endpoint LAC da sessão se estiver presente no banco de dados da sessão. Se não estiver presente, o valor do atributo original é usado.
  19. (Opcional) Substitua o valor do atributo RADIUS NAS-Port (5) no LNS com o valor do banco de dados de sessão se as informações da porta LAC NAS forem transmitidas para a LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original é usado.
  20. (Opcional) Substitua o valor do atributo RADIUS NAS-Port-Type (61) no LNS com o valor do banco de dados de sessão se as informações da porta LAC NAS forem transmitidas para a LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original é usado.
  21. (Opcional) Configure um personagem de delimiter para a string de ID de circuito remoto quando você usar a remote-circuit-id-format declaração para configurar a string a ser usada em vez do ID da estação de chamada em L2TP Chamando número AVP 22. Se mais de um valor for configurado para o formato de ID de circuito remoto, o caractere delimiter é usado como um separador entre os valores concatenados na seqüência de ID de circuito remoto resultante.
    Nota:

    Você deve configurar a override calling-circuit-id remote-circuit-id declaração para o formato de ID de circuito remoto a ser usado no número de chamada AVP.
  22. (Opcional) Configure o valor de retorno para o LAC para enviar o número de chamadas L2TP AVP 22, seja a interface de chamada-estação-ID configurada ou a interface subjacente padrão. O uso do valor de recuo é desencadeado quando os componentes da string de override que você configurou com a remote-circuit-id-format declaração — a ACI, a ARI ou tanto a ACI quanto a ARI — não são recebidos pelo LAC no pacote PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure o formato da string que substitui o formato Calling-Station-ID no L2TP Calling Number AVP. Você pode especificar a ACI, a ARI ou a ACI e a ARI.
    Nota:

    Você deve configurar a override calling-circuit-id remote-circuit-id declaração para o formato de ID de circuito remoto a ser usado no número de chamada AVP.
  24. (Opcional) Configure o número de segundos que o roteador espera após um servidor se tornar inalcançável antes de fazer outra tentativa de alcançar o servidor. Se o servidor for então acessável, ele será usado de acordo com a ordem da lista de servidores.
    Nota:

    Você também pode configurar essa opção para todos os servidores RADIUS. Veja opções de configuração para servidores RADIUS.
  25. (Opcional) Configure se o assinante recém-autenticado pode fazer login com sucesso quando falhas de ativação de serviço relacionadas a erros de configuração ocorrem durante o processamento authd da solicitação de ativação para a família de endereços do assinante. Você pode especificar esse comportamento para serviços configurados em perfis dinâmicos ou em scripts de operação do Gerenciador de serviços de assinante extensível (ESSM):

    • optional-at-login— A ativação do serviço é opcional. A falha de ativação devido a erros de configuração não impede a ativação da família de endereços; permite o acesso ao assinante. Falhas de ativação de serviços devido a causas que não sejam erros de configuração fazem com que a ativação da família de rede falhe. A tentativa de login é terminada a menos que outra família de endereços já esteja ativa para o assinante.

    • required-at-login— A ativação do serviço é necessária. A falha de ativação por qualquer motivo faz com que a ativação da família de rede falhe. A tentativa de login é terminada a menos que outra família de endereços já esteja ativa para o assinante.

  26. (Opcional) Especifique que o atributo RADIUS 5 (NAS-Port) inclui o ID S-VLAN, além do VLAN ID, para assinantes em interfaces Ethernet.

Configuração de uma chamada-station-ID com opções adicionais

Use esta seção para configurar um valor alternativo para o atributo Calling-Station-ID (RADIUS IETF 31) em um perfil de acesso no roteador da Série MX.

Você pode configurar o Calling-Station-ID para incluir uma ou mais das seguintes opções, em qualquer combinação, na [edit access profile profile-name radius options calling-station-id-format] hierarquia:

  • Identificador de circuito de agente (agent-circuit-id)— Identificador do nó de acesso do assinante e da linha de assinante digital (DSL) no nó de acesso. A corda do identificador de circuito do agente (ACI) é armazenada no campo de opção DHCP 82 de mensagens DHCP para tráfego DHCP, ou no DSL Forum Agent-Circuit-ID VSA [26-1] do PPPoE Active Discovery Initiation (PADI) e pacotes de controle de PPPoE Active Discovery Request (PADR) para tráfego de PPPoE.

  • Agente identificador remoto (agent-remote-id)— Identificador do assinante na interface de multiplexador de acesso de linha de assinante digital (DSLAM) que iniciou a solicitação do serviço. A cadeia de identificador remoto (ARI) do agente é armazenada no campo de opção DHCP 82 para tráfego DHCP ou no DSL Forum Agent-Remote-ID VSA [26-2] para tráfego de PPPoE.

  • Descrição da interface (interface-description)— Valor da interface.

  • Descrição do texto da interface (interface-text-description)— Descrição do texto da interface. A descrição do texto da interface está configurada separadamente, usando a set interfaces interface-name description description declaração ou a set interfaces interface-name unit unit-number description description declaração

  • Endereço MAC (mac-address)— endereço MAC do dispositivo de origem para o assinante.

  • Identificador NAS (nas-identifier)— Nome do NAS que originou a autenticação ou solicitação de contabilidade. O identificador NAS é o atributo RADIUS IETF 32.

  • VLAN (stacked-vlan)empilhado — ID VLAN empilhado.

  • VLAN (vlan)— ID VLAN.

Se você configurar o formato do Calling-Station-ID com mais de um valor opcional, um caractere de hash (#) é o delimiter padrão que o roteador usa como um separador entre os valores concatonados na seqüência de ID de Calling-Station resultante. Opcionalmente, você pode configurar um personagem de delimiter alternativo para usar o Calling-Station-ID. O exemplo a seguir mostra a ordem de saída quando você configura vários valores opcionais:

Para configurar um perfil de acesso para fornecer informações opcionais no Calling-Station-ID:

  1. Especifique o perfil de acesso que deseja configurar.
  2. Especifique se deseja configurar as opções RADIUS.
  3. Especifique o personagem não desdestabelhado para usar como o delimiter entre os valores concatenados no Calling-Station-ID.

    Por padrão, o gerenciamento de assinantes usa o caractere hash (#) como o delimiter em strings Calling-Station-ID que contêm mais de um valor opcional.

  4. Configure o valor para o NAS-Identifier (atributo RADIUS 32), que é usado para solicitações de autenticação e contabilidade.
  5. Especifique se deseja configurar o formato do Calling-Station-ID.
  6. (Opcional) Inclua a descrição do texto da interface no Calling-Station-ID.
  7. (Opcional) Inclua o valor de descrição da interface no Calling-Station-ID.
  8. (Opcional) Inclua o identificador de circuito do agente no Calling-Station-ID.
  9. (Opcional) Inclua o identificador remoto do agente no Calling-Station-ID.
  10. (Opcional) Inclua o valor do identificador NAS configurado no Calling-Station-ID.
  11. (Opcional) Inclua o ID VLAN empilhado no Calling-Station-ID.
  12. (Opcional) Inclua o ID de VLAN no Calling-Station-ID.
  13. (Opcional) Inclua o endereço MAC no ID da estação de chamada.

Exemplo: Chamada de estação-ID com opções adicionais em um perfil de acesso

O exemplo a seguir cria um perfil de acesso chamado varejista01 que configura uma string Calling-Station-ID que inclui o NAS-Identifier (fox), descrição da interface, identificador de circuito de agentes e opções de identificador remoto de agentes.

A sequência de Calling-Station-ID resultante é formatada da seguinte forma:

fox*ge-1/2/0.100:100*as007*ar921

onde:

  • O valor do NAS-Identifier é fox.

  • O personagem delimiter Calling-Station-ID é * (asterisco).

  • O valor da descrição da interface é ge-1/2/0.100:100.

  • O valor do identificador de circuito do agente é as007.

  • O valor do identificador remoto do agente é ar921.

Considere um exemplo em que todas as opções estão configuradas, mas nenhum valor está disponível para o Agente-Circuito-ID, a Id remota do agente ou o identificador VLAN empilhado. Os outros valores são os seguintes:

  • Identificador NAS — solarium

  • descrição da interface — ge-1/0/0,1073741824:101

  • descrição de texto de interface — interface de exemplo

  • Endereço MAC — 00:00:5E:00:53:00

  • Identificador de VLAN — 101

Esses valores resultam no seguinte Calling-Station-ID:

Filtragem de atributos RADIUS e VSAs de mensagens RADIUS

Atributos padrão e atributos específicos do fornecedor (VSAs) recebidos em mensagens RADIUS têm precedência sobre valores de atributos provisionados internamente. Os atributos de filtragem consistem em optar por ignorar determinados atributos quando eles são recebidos em pacotes de aceitação de acesso e excluir determinados atributos de serem enviados ao servidor RADIUS. Ignorar os atributos recebidos do servidor RADIUS permite que seus valores provisionados localmente sejam usados. Excluir atributos de serem enviados é útil, por exemplo, para atributos que não mudam para a vida útil de um assinante. Ele permite reduzir o tamanho do pacote sem perda de informações.

Você pode especificar atributos RADIUS e VSAs padrão que o roteador ou switch ignora posteriormente quando eles são recebidos em mensagens de aceitação de acesso RADIUS. Você também pode especificar atributos e VSAs que o roteador ou switch exclui de tipos de mensagem RADIUS especificados . A exclusão significa que o roteador ou switch não inclui o atributo em mensagens especificadas que ele envia para o servidor RADIUS.

A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA, respectivamente. Com este método de configuração flexível, você pode configurar qualquer atributo padrão e VSA suportados por sua plataforma a serem ignorados ou excluídos. A configuração não surtiu efeito se você configurar atributos, fornecedores e VSAs sem suporte.

O método legado permite que você configure apenas esses atributos e VSAs para os quais a sintaxe de declaração inclui uma opção específica. Consequentemente, você pode usar o método legado para ignorar apenas um subconjunto de todos os atributos que podem ser recebidos em mensagens de acesso aceito.

Para configurar os atributos ignorados ou excluídos pelo seu roteador ou switch:

  1. Especifique se deseja configurar o RADIUS no perfil de acesso.
  2. Especifique se deseja configurar como os atributos RADIUS são filtrados.
  3. (Opcional) Especifique um ou mais atributos que você deseja que seu roteador ou switch ignore quando os atributos estão em mensagens de aceitação de acesso.

    • Método legado: Especifique a opção dedicada para atributos:

    • Método flexível: Especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA:

  4. (Opcional) Configure um atributo que deseja que seu roteador ou switch exclua de um ou mais tipos de mensagem RADIUS especificados. Você não pode configurar uma lista de atributos, mas pode especificar uma lista de tipos de mensagens para cada atributo.

    • Método legado: especifique a opção dedicada para o tipo de atributo e mensagem:

    • Método flexível: especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA, o número VSA e o tipo de mensagem:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para ignorar o atributo RADIUS padrão, o enlace emoldurado-IP-Netmask (9) e os VSAs da Juniper Networks, nome de política de entrada (26-10) e nome de política de saída (26-11).

  • Método legado:

  • Método flexível:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para excluir o atributo RADIUS padrão, o enquadrado-IP-Netmask (9) e os VSAs da Juniper Networks, nome de política de entrada (26-10) e nome de política de saída (26-11).

  • Método legado:

  • Método flexível: especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA, o número VSA e o tipo de mensagem:

O que acontece se você especificar um atributo com ambos os métodos no mesmo perfil? A configuração eficaz é a OR lógica dos dois métodos. Considere o exemplo a seguir para o atributo padrão, tempo de atraso na contabilidade (41):

O resultado é que o atributo é excluído de todos os quatro tipos de mensagem: Contabilidade off, Contabilidade ativa, Início de contabilidade e parada de contabilidade. O efeito é o mesmo que se uma das seguintes configurações for usada:

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
18.1R1
A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA, respectivamente.