Servidores RADIUS e parâmetros para acesso ao assinante
Configurar parâmetros e opções para servidores RADIUS é uma parte importante da configuração de gerenciamento de assinantes. Depois de definir os servidores de autenticação e contabilidade, você configura opções para todos os servidores RADIUS. Você também configura perfis de acesso que permitem especificar parâmetros de autenticação, autorização e configuração de contabilidade para assinantes ou grupos de assinantes. As configurações de perfil substituem as configurações globais. Embora algumas opções estejam disponíveis em nível global e no nível de perfil de acesso, muitas opções estão disponíveis apenas em perfis de acesso.
Depois de criar um perfil de acesso, você deve especificar onde o perfil é usado com uma declaração access-profile
; isso é conhecido como anexar o perfil. Os perfis de acesso podem ser atribuídos em vários níveis. Por exemplo, alguns dos lugares que você pode anexar perfis de acesso
Globalmente para uma instância de roteamento.
Em perfis dinâmicos.
Em um mapa de domínio, que mapeia opções de acesso e parâmetros de sessão para sessões de assinantes.
Nas interfaces para VLANs dinâmicas e VLANs dinâmicas empilhadas.
Na interface ou em um grupo de assinantes para assinantes com interfaces estaticamente configuradas para provisionamento dinâmico de serviços.
Sobre agentes de retransmissão DHCP e servidores locais DHCP para clientes ou assinantes DHCP.
Como você pode anexar perfis de acesso em muitos níveis, o perfil de acesso mais específico tem precedência sobre quaisquer outras atribuições de perfil para evitar conflitos. A autenticação e a contabilidade não são executadas a menos que você anexe o perfil.
Autenticação radius e definição de servidor de contabilidade
Quando você usa o RADIUS para gerenciamento de assinantes, você deve definir um ou mais servidores RADIUS externos com os quais o roteador se comunica para autenticação e contabilidade de assinantes. Além de especificar o endereço IPv4 ou IPv6 do servidor, você pode configurar opções e atributos que determinam como o roteador interage com os servidores especificados.
Você pode definir servidores RADIUS e opções de conectividade no nível de [edit access radius-server]
hierarquia, no nível de [edit access profile name radius-server]
hierarquia ou em ambos os níveis.
O processo AAA (authd) determina quais definições de servidor usar da seguinte forma:
Quando as definições do servidor RADIUS estão presentes apenas em
[edit access radius-server]
, o authd usa essas definições.Quando as definições do servidor RADIUS estão presentes apenas no perfil de acesso, o authd usa essas definições.
Quando as definições do servidor RADIUS estão presentes no
[edit access radius-server]
perfil de acesso e no perfil de acesso, o authd usa apenas as definições de perfil de acesso.
Para usar um servidor RADIUS, você deve designá-lo como um servidor de autenticação, um servidor de contabilidade ou ambos, em um perfil de acesso. Você deve fazer isso pelos servidores, independentemente de serem definidos em um perfil de acesso ou no nível de [edit access radius-server]
hierarquia.
Definir servidores RADIUS e especificar como o roteador interage com o servidor:
Esse procedimento mostra apenas o nível de [edit access radius-server]
hierarquia. Você pode configurar opcionalmente qualquer um desses parâmetros no nível de [edit access profile profile-name] radius-server]
hierarquia. Você pode fazer isso, além da configuração global ou em vez da configuração global. Quando você aplica um perfil, as configurações de perfil substituem a configuração global.
Configuração de opções aplicáveis a todos os servidores RADIUS
Você pode configurar opções RADIUS que se aplicam a todos os servidores RADIUS globalmente.
Para configurar as opções RADIUS globalmente:
Configurando um período de carência de tempo limite para especificar quando os servidores RADIUS são considerados inalcançáveis ou inalcançáveis
Quando um servidor de autenticação RADIUS não responde a nenhuma das tentativas de uma determinada solicitação de autenticação e tempos fora, o authd observa o tempo de referência, mas não marca imediatamente o servidor como desligado (se outros servidores estiverem disponíveis) ou inalcançável (se for o único servidor configurado). Em vez disso, um temporizador de período de carência configurável começa no momento da referência. O período de carência é liberado se o servidor responder a uma solicitação subseqüente antes do término do período.
Durante o período de carência, o servidor não está marcado como inalcançável ou inalcançável. Cada vez que o servidor sai para solicitações subseqüentes a esse servidor, authd verifica se o período de carência expirou. Quando a verificação determina que o período de carência expirou e o servidor ainda não respondeu a uma solicitação, o servidor é marcado como inalcançável ou inalcançável.
Usando um curto período de carência, você pode abandonar mais rapidamente um servidor sem resposta e solicitações de autenticação diretas para outros servidores disponíveis. Um longo período de carência dá a um servidor mais oportunidades de responder e pode evitar abandonar desnecessariamente um recurso. Você pode especificar um período de carência mais longo quando tiver apenas um ou um pequeno número de servidores configurados.
Para configurar o período de carência durante o qual um servidor RADIUS sem resposta não está marcado como inalcançável ou para baixo:
Especifique a duração do período de carência.
[edit access radius-options] user@host# set timeout-grace seconds
Configuração de opções de perfil de acesso para interações com servidores RADIUS
Você pode usar um perfil de acesso para especificar opções que o roteador usa ao se comunicar com servidores de autenticação e contabilidade RADIUS para acesso ao assinante. Este procedimento descreve opções disponíveis apenas em perfis de acesso. Para opções disponíveis tanto no perfil de acesso quanto no nível global, consulte os servidores RADIUS e parâmetros para acesso ao assinante.
Para configurar opções de autenticação RADIUS e servidor de contabilidade:
Configurando um ID de estação de chamada com opções adicionais
Use esta seção para configurar um valor alternativo para o atributo Calling-Station-ID (RADIUS IETF 31) em um perfil de acesso no roteador da Série MX.
Você pode configurar o Calling-Station-ID para incluir uma ou mais das seguintes opções, em qualquer combinação, naedit access profile profile-name radius options calling-station-id-format
[] hierarquia:
Identificador de circuito do agente (
agent-circuit-id
)— Identificador do nó de acesso do assinante e da linha de assinantes digitais (DSL) no nó de acesso. A cadeia de identificador de circuito (ACI) do agente é armazenada no campo de opção DHCP 82 de mensagens DHCP para tráfego DHCP, ou no DSL Forum Agent-Circuit-ID VSA [26-1] do PPPoE Active Discovery Initiation (PADI) e pacotes de controle PPPoE Active Discovery Request (PADR) para tráfego PPPoE.Agente identificador remoto (
agent-remote-id
)— Identificador do assinante na interface de multiplexador de acesso de linha de assinante digital (DSLAM) que iniciou a solicitação do serviço. A cadeia de identificador remoto (ARI) do agente é armazenada no campo de opção DHCP 82 para tráfego DHCP ou no DSL Forum Agent-Remote-ID VSA [26-2] para tráfego de PPPoE.Descrição da interface (
interface-description
)— Valor da interface.Descrição do texto da interface (
interface-text-description
)— Descrição de texto da interface. A descrição do texto da interface é configurada separadamente, usando aset interfaces interface-name description description
declaração ou aset interfaces interface-name unit unit-number description description
declaraçãoEndereço MAC (
mac-address
)— endereço MAC do dispositivo de origem para o assinante.Identificador NAS (
nas-identifier
)— Nome do NAS que originou a autenticação ou solicitação de contabilidade. Nas-Identifier é o atributo RADIUS IETF 32.VLAN
(stacked-vlan)
empilhada — ID VLAN empilhada.VLAN
(vlan)
— VLAN ID.
Se você configurar o formato do Calling-Station-ID com mais de um valor opcional, um personagem hash (#) é o delimiter padrão que o roteador usa como um separador entre os valores concatenados na seqüência de Calling-Station-ID resultante. Opcionalmente, você pode configurar um personagem de delimiter alternativo para o Calling-Station-ID usar. O exemplo a seguir mostra a ordem de saída quando você configura vários valores opcionais:
nas-identifier#interface description#interface text description#agent-circuit-id#agent-remote-id#mac address#stacked vlan#vlan
Para configurar um perfil de acesso para fornecer informações opcionais no Calling-Station-ID:
Exemplo: Chamada de estação-ID com opções adicionais em um perfil de acesso
O exemplo a seguir cria um perfil de acesso chamado varejista01 que configura uma string Calling-Station-ID que inclui o NAS-Identifier (fox
), descrição da interface, identificador de circuito de agente e opções de identificador remoto do agente.
[edit access profile retailer01 radius options] nas-identifier "fox"; calling-station-id-delimiter "*"; calling-station-id format { nas-identifier; interface-description; agent-circuit-id; agent-remote-id; }
A sequência de Calling-Station-ID resultante é formatada da seguinte forma:
fox*ge-1/2/0.100:100*as007*ar921
Onde:
O valor do NAS-Identifier é
fox
.O personagem delimiter Calling-Station-ID é
*
(asterisco).O valor da descrição da interface é
ge-1/2/0.100:100
.O valor do identificador de circuito do agente é
as007
.O valor do identificador remoto do agente é
ar921
.
Considere um exemplo em que todas as opções estão configuradas, mas nenhum valor está disponível para o Agente-Circuito-ID, o Agente-Id remoto ou o identificador VLAN empilhado. Os outros valores são os seguintes:
Identificador nas — solarium
descrição da interface — ge-1/0/0.1073741824:101
descrição de texto de interface — interface de exemplo
Endereço MAC — 00:00:5E:00:53:00
Identificador de VLAN — 101
Esses valores resultam no seguinte Calling-Station-ID:
solarium#ge-1/0/0.1073741824:101#example-interface###00-00-5E-00-53-00##101
Filtragem de atributos RADIUS e VSAs de mensagens RADIUS
Atributos padrão e atributos específicos do fornecedor (VSAs) recebidos em mensagens RADIUS têm precedência sobre valores de atributos provisionados internamente. Os atributos de filtragem consistem em escolher ignorar determinados atributos quando são recebidos em pacotes Access Accept e excluir determinados atributos de serem enviados ao servidor RADIUS. Ignorar os atributos recebidos do servidor RADIUS permite que seus valores provisionados localmente sejam usados. Excluir atributos de serem enviados é útil, por exemplo, para atributos que não mudam para a vida útil de um assinante. Ele permite reduzir o tamanho do pacote sem perda de informações.
Você pode especificar atributos RADIUS padrão e VSAs que o roteador ou switch ignora posteriormente quando são recebidos em mensagens radius access-accept. Você também pode especificar atributos e VSAs que o roteador ou switch exclui de tipos de mensagens RADIUS especificados . A exclusão significa que o roteador ou switch não inclui o atributo em mensagens especificadas que envia ao servidor RADIUS.
A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA, respectivamente. Com este método de configuração flexível, você pode configurar qualquer atributo padrão e VSA suportado por sua plataforma a ser ignorado ou excluído. A configuração não surtiu efeito se você configurar atributos, fornecedores e VSAs sem suporte.
O método legado permite configurar apenas esses atributos e VSAs para os quais a sintaxe de declaração inclui uma opção específica. Consequentemente, você pode usar o método legado para ignorar apenas um subconjunto de todos os atributos que podem ser recebidos em mensagens de aceitação de acesso.
Para configurar os atributos ignorados ou excluídos pelo roteador ou switch:
O exemplo a seguir compara os métodos de configuração legados e flexíveis para ignorar o atributo RADIUS padrão, o Framed-IP-Netmask (9) e os VSAs da Juniper Networks, nome de política de ingresso (26-10) e nome de política de saída (26-11).
Método legado:
[edit access profile prof-ign radius attributes] user@host# set ignore framed-ip-netmask input-filter output-filter
Método flexível:
[edit access profile prof-ign radius attributes] user@host# set ignore standard-attribute 9 user@host# set ignore vendor-id 4874 vendor-attribute [ 10 11 ]
O exemplo a seguir compara os métodos de configuração legados e flexíveis para excluir o atributo RADIUS padrão, o Framed-IP-Netmask (9) e os VSAs da Juniper Networks, nome de política de ingresso (26-10) e Egress-Policy-Name (26-11).
Método legado:
[edit access profile prof-exc radius attributes] user@host# set exclude framed-ip-netmask accounting-stop user@host# set exclude input-filter [ accounting-start accounting-stop ] user@host# set exclude output-filter [ accounting-start accounting-stop ]
Método flexível: especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA, o número VSA e o tipo de mensagem:
[edit access profile prof-exc radius attributes] user@host# set exclude standard-attribute 9 packet-type accounting-stop user@host# set exclude vendor-id 4874 vendor-attribute 10 packet-type [ accounting-start accounting-stop ] user@host# set exclude vendor-id 4874 vendor-attribute 11 packet-type [ accounting-start accounting-stop ]
O que acontece se você especificar um atributo com ambos os métodos no mesmo perfil? A configuração eficaz é a OR lógica dos dois métodos. Considere o exemplo a seguir para o atributo padrão, o tempo de atraso da contabilidade (41):
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on ] user@host# set exclude standard-attribute 41 packet-type [ accounting-start accounting-stop ]
O resultado é que o atributo é excluído de todos os quatro tipos de mensagem: contabilidade-off, contabilidade ativa, início da contabilidade e parada contábil. O efeito é o mesmo que se uma das seguintes configurações for usada:
-
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on accounting-start accounting-stop ]
-
[edit access profile prof-3 radius attributes] user@host# set exclude standard-attribute 41 packet-type [ accounting-off accounting-on accounting-start accounting-stop ]