Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Servidores RADIUS e parâmetros para acesso ao assinante

Configurar parâmetros e opções para servidores RADIUS é uma parte importante da configuração de gerenciamento de assinantes. Depois de definir os servidores de autenticação e contabilidade, você configura opções para todos os servidores RADIUS. Você também configura perfis de acesso que permitem especificar parâmetros de autenticação, autorização e configuração de contabilidade para assinantes ou grupos de assinantes. As configurações de perfil substituem as configurações globais. Embora algumas opções estejam disponíveis em nível global e no nível de perfil de acesso, muitas opções estão disponíveis apenas em perfis de acesso.

Depois de criar um perfil de acesso, você deve especificar onde o perfil é usado com uma declaração access-profile ; isso é conhecido como anexar o perfil. Os perfis de acesso podem ser atribuídos em vários níveis. Por exemplo, alguns dos lugares que você pode anexar perfis de acesso

  • Globalmente para uma instância de roteamento.

  • Em perfis dinâmicos.

  • Em um mapa de domínio, que mapeia opções de acesso e parâmetros de sessão para sessões de assinantes.

  • Nas interfaces para VLANs dinâmicas e VLANs dinâmicas empilhadas.

  • Na interface ou em um grupo de assinantes para assinantes com interfaces estaticamente configuradas para provisionamento dinâmico de serviços.

  • Sobre agentes de retransmissão DHCP e servidores locais DHCP para clientes ou assinantes DHCP.

Como você pode anexar perfis de acesso em muitos níveis, o perfil de acesso mais específico tem precedência sobre quaisquer outras atribuições de perfil para evitar conflitos. A autenticação e a contabilidade não são executadas a menos que você anexe o perfil.

Autenticação radius e definição de servidor de contabilidade

Quando você usa o RADIUS para gerenciamento de assinantes, você deve definir um ou mais servidores RADIUS externos com os quais o roteador se comunica para autenticação e contabilidade de assinantes. Além de especificar o endereço IPv4 ou IPv6 do servidor, você pode configurar opções e atributos que determinam como o roteador interage com os servidores especificados.

Você pode definir servidores RADIUS e opções de conectividade no nível de [edit access radius-server] hierarquia, no nível de [edit access profile name radius-server] hierarquia ou em ambos os níveis.

Nota:

O processo AAA (authd) determina quais definições de servidor usar da seguinte forma:

  • Quando as definições do servidor RADIUS estão presentes apenas em [edit access radius-server], o authd usa essas definições.

  • Quando as definições do servidor RADIUS estão presentes apenas no perfil de acesso, o authd usa essas definições.

  • Quando as definições do servidor RADIUS estão presentes no [edit access radius-server] perfil de acesso e no perfil de acesso, o authd usa apenas as definições de perfil de acesso.

Para usar um servidor RADIUS, você deve designá-lo como um servidor de autenticação, um servidor de contabilidade ou ambos, em um perfil de acesso. Você deve fazer isso pelos servidores, independentemente de serem definidos em um perfil de acesso ou no nível de [edit access radius-server] hierarquia.

Definir servidores RADIUS e especificar como o roteador interage com o servidor:

Nota:

Esse procedimento mostra apenas o nível de [edit access radius-server] hierarquia. Você pode configurar opcionalmente qualquer um desses parâmetros no nível de [edit access profile profile-name] radius-server] hierarquia. Você pode fazer isso, além da configuração global ou em vez da configuração global. Quando você aplica um perfil, as configurações de perfil substituem a configuração global.

  1. Especifique o endereço IPv4 ou IPv6 do servidor RADIUS.
  2. (Opcional) Configure o número da porta de contabilidade do servidor RADIUS.
  3. (Opcional) Configure o número de porta que o roteador usa para entrar em contato com o servidor RADIUS.
  4. Configure o segredo (senha) necessário que o roteador local passa para o cliente RADIUS. Segredos fechados entre aspas podem conter espaços.
  5. (Opcional) Configure o número máximo de solicitações pendentes que um servidor RADIUS pode manter. Uma solicitação pendente é uma solicitação à qual o servidor RADIUS ainda não respondeu.
  6. Configure o endereço de origem para o servidor RADIUS. Cada solicitação RADIUS enviada a um servidor RADIUS usa o endereço de origem especificado. O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador.
  7. (Opcional) Configure valores de tentativa e tempo limite para autenticação e mensagens de contabilidade.
    1. Configure quantas vezes o roteador tenta entrar em contato com um servidor RADIUS quando não tiver recebido resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um servidor RADIUS antes de tentar novamente o contato.
    Nota:

    A duração máxima de retrama (o número de tentativas vezes maior que o tempo limite) não pode exceder 2700 segundos. Uma mensagem de erro é exibida se você configurar uma duração mais longa.

    Nota:

    As retry configurações e timeout as configurações se aplicam a mensagens de autenticação e contabilidade, a menos que você configure a accounting-retry declaração e a accounting-timeout declaração. Nesse caso, as configurações e timeout as retry configurações se aplicam apenas a mensagens de autenticação.

  8. (Opcional) Configure valores de tentativa e tempo limite para mensagens contábeis separadas das configurações para mensagens de autenticação.
    Nota:

    Você deve configurar as declarações e as accounting-retry accounting-timeout declarações. Se você não fizer isso, o valor configurado é ignorado em favor dos valores configurados com as declarações e timeout declaraçõesretry.

    1. Configure quantas vezes o roteador tenta enviar mensagens de contabilidade para o servidor de contabilidade RADIUS quando ele não tiver recebido resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um servidor de contabilidade RADIUS antes de tentar novamente a solicitação.
  9. (Opcional) Configure o roteador para entrar em contato com o servidor RADIUS para solicitações de pré-automação de identificação de linha lógica (LLID). Veja a identificação da linha lógica RADIUS.
  10. (Opcional) Configure a porta que o roteador monitora para solicitações dinâmicas (CoA) do servidor especificado. Veja o gerenciamento dinâmico de serviços com RADIUS.

Configuração de opções aplicáveis a todos os servidores RADIUS

Você pode configurar opções RADIUS que se aplicam a todos os servidores RADIUS globalmente.

Para configurar as opções RADIUS globalmente:

  1. Especifique se você deseja configurar opções RADIUS.
  2. (Opcional) Configure a taxa na qual as solicitações de atualização intermediária radius são enviadas ao servidor.
  3. (Opcional) Configure o desvio máximo permitido do intervalo de atualização configurado que o roteador envia atualizações de contabilidade intermediárias para o servidor RADIUS. A tolerância é relativa ao intervalo de atualização configurado.

    Por exemplo, se a tolerância for definida para 60 segundos, o roteador envia atualizações de contabilidade intermediárias não antes de 30 segundos antes do intervalo de atualização configurado. Quando um assinante faz login, a primeira atualização de contabilidade interina pode ser enviada até 30 segundos antes (em média 15 segundos antes).

    Você configura o intervalo de atualização com a declaração de intervalo de atualização no nível de [edit access profile profile-name accounting] hierarquia.

  4. (Opcional) Configure o número de solicitações por segundo que o roteador pode enviar para todos os servidores RADIUS configurados coletivamente. Limitar o fluxo de solicitações do roteador para os servidores RADIUS permite que você impeça que os servidores RADIUS sejam alagados com solicitações.
  5. (Opcional) Configure o número de segundos que o roteador espera depois que um servidor se tornar inalcançável antes de verificar novamente a conexão. Se o roteador chegar ao servidor quando o intervalo de reversão expirar, o servidor será usado de acordo com a ordem da lista de servidores.
    Nota:

    Você também pode configurar o revert-interval em um perfil de acesso para substituir esse valor global. Veja a configuração de opções de perfil de acesso para interações com servidores RADIUS.

  6. (Opcional) Configure a duração de um período durante o qual servidores de autenticação RADIUS sem resposta ainda não são considerados inalcançáveis ou inalcançáveis. Você pode variar o período dependendo se deseja redirecionar as solicitações de autenticação mais rapidamente para outro servidor ou fornecer ao servidor sem resposta mais tempo para recuperar e responder.
  7. (Opcional) Configure um valor NAS-Port exclusivo em todos os roteadores da série MX na rede. Você pode configurar um valor nas portas que é exclusivo apenas dentro do roteador, ou exclusivo entre os diferentes roteadores MX da rede.

Configurando um período de carência de tempo limite para especificar quando os servidores RADIUS são considerados inalcançáveis ou inalcançáveis

Quando um servidor de autenticação RADIUS não responde a nenhuma das tentativas de uma determinada solicitação de autenticação e tempos fora, o authd observa o tempo de referência, mas não marca imediatamente o servidor como desligado (se outros servidores estiverem disponíveis) ou inalcançável (se for o único servidor configurado). Em vez disso, um temporizador de período de carência configurável começa no momento da referência. O período de carência é liberado se o servidor responder a uma solicitação subseqüente antes do término do período.

Durante o período de carência, o servidor não está marcado como inalcançável ou inalcançável. Cada vez que o servidor sai para solicitações subseqüentes a esse servidor, authd verifica se o período de carência expirou. Quando a verificação determina que o período de carência expirou e o servidor ainda não respondeu a uma solicitação, o servidor é marcado como inalcançável ou inalcançável.

Usando um curto período de carência, você pode abandonar mais rapidamente um servidor sem resposta e solicitações de autenticação diretas para outros servidores disponíveis. Um longo período de carência dá a um servidor mais oportunidades de responder e pode evitar abandonar desnecessariamente um recurso. Você pode especificar um período de carência mais longo quando tiver apenas um ou um pequeno número de servidores configurados.

Para configurar o período de carência durante o qual um servidor RADIUS sem resposta não está marcado como inalcançável ou para baixo:

  • Especifique a duração do período de carência.

Configuração de opções de perfil de acesso para interações com servidores RADIUS

Você pode usar um perfil de acesso para especificar opções que o roteador usa ao se comunicar com servidores de autenticação e contabilidade RADIUS para acesso ao assinante. Este procedimento descreve opções disponíveis apenas em perfis de acesso. Para opções disponíveis tanto no perfil de acesso quanto no nível global, consulte os servidores RADIUS e parâmetros para acesso ao assinante.

Para configurar opções de autenticação RADIUS e servidor de contabilidade:

  1. Especifique se você deseja configurar opções RADIUS.
  2. (Opcional) Configure o formato que o roteador usa para identificar a sessão de contabilidade. O identificador pode estar em um dos seguintes formatos:
    • decimal— O formato padrão. Por exemplo, 435264

    • description— No formato, jnpr interface-specifier:subscriber-session-id. Por exemplo, jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure o caráter de delimiter que o roteador insere entre valores no atributo RADIUS 31 (Calling-Station-Id).
  4. (Opcional) Configure as informações que o roteador inclui no atributo RADIUS 31 (Calling-Station-Id).
  5. (Opcional) Configure o roteador para usar o comportamento opcional que insere o desafio aleatório gerado pelo NAS no campo autenticador de solicitações de pacotes de solicitação de acesso, em vez de enviar o desafio aleatório como atributo CHAP-Challenge (atributo RADIUS 60) em pacotes de solicitação de acesso. Esse comportamento opcional exige que o valor do desafio seja de 16 bytes; caso contrário, a declaração é ignorada e o desafio é enviado como atributo do DESAFIO CHAP.
  6. (Opcional) Configure o método que o roteador usa para acessar servidores de autenticação e contabilidade RADIUS quando vários servidores estiverem configurados:
    • direct— O método padrão, no qual não há balanceamento de carga. O primeiro servidor configurado é o servidor principal; servidores são acessados por ordem de configuração. Se o servidor primário for inalcançável, o roteador tenta alcançar o segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por solicitações de roteador rotativo entre a lista de servidores RADIUS configurados. O servidor escolhido para acesso é girado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como primário para a primeira solicitação de autenticação, mas para a segunda solicitação, o segundo servidor configurado é tratado como primário e assim por diante. Com esse método, todos os servidores configurados recebem, em média, aproximadamente o mesmo número de solicitações para que nenhum único servidor tenha que lidar com todas as solicitações.

      Nota:

      Quando um servidor RADIUS na lista de round-robin se torna inalcançável, o próximo servidor alcançável na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação porque ele está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor usado ocupa a carga de dois servidores.

    • Para configurar o método que o roteador usa para acessar servidores contábeis RADIUS:

    • Para configurar o método que o roteador usa para acessar servidores de autenticação RADIUS:

  7. (Opcional) Configure o roteador para usar o comportamento opcional quando uma operação de CoA não conseguir aplicar uma mudança solicitada a uma variável dinâmica do perfil do cliente.

    O comportamento opcional é que o gerenciamento de assinantes não aplica nenhuma alteração nas variáveis dinâmicas do perfil do cliente na solicitação de CoA e, em seguida, responde com um NACK. O comportamento padrão é que o gerenciamento de assinantes não aplica a atualização incorreta, mas aplica as outras alterações nas variáveis dinâmicas do perfil do cliente e, em seguida, responde com uma mensagem ACK.

  8. (Opcional) Configure o roteador para usar um tipo de virtual porta física para autenticar clientes. O tipo de porta é passado no atributo RADIUS 61 (TIPO NAS-Port). Por padrão, o roteador passa por um tipo de porta no ethernet atributo RADIUS 61.
    Nota:

    Esta declaração tem precedência sobre a nas-port-type declaração se você incluir ambos no mesmo perfil de acesso.

  9. (Opcional) Especifique as informações excluídas da descrição da interface que o roteador passa para RADIUS para inclusão no atributo RADIUS 87 (NAS-Port-ID). Por padrão, a descrição da interface inclui informações de adaptador, canal e subinterface.
  10. (Opcional) Para assinantes de PPP de pilha dupla, inclua o IPv4-Release-Release-Control VSA (26-164) na Solicitação de Acesso que é enviada durante a alocação de endereços IP sob demanda e nas mensagens de contabilidade intermediária que são enviadas para relatar uma mudança de endereço.

    Opcionalmente, configure uma mensagem incluída no IPv4-Release-Release-Control VSA (26-164) quando for enviada ao servidor RADIUS

    A configuração desta declaração não tem efeito quando a alocação ou alocação de endereços IP sob demanda não está configurada.

  11. (Opcional) Adicione a linha de acesso VSAs da Juniper Networks às mensagens de autenticação e solicitação de contabilidade RADIUS para assinantes. Se o roteador não recebeu e processou os atributos ANCP correspondentes do nó de acesso, a AAA fornece apenas o seguinte nessas mensagens RADIUS:
    • Taxa de QoS calculada a jusante (IANA 4874, 26-141)— velocidade de transmissão consultiva configurada padrão.

    • Taxa de QoS calculada a montante (IANA 4874, 26-142)— o aviso configurado padrão recebe velocidade.

    A partir do Junos OS Release 19.2R1, a opção juniper-access-line-attributes substitui a opção juniper-dsl-attributes . Para compatibilidade reversa com scripts existentes, a opção juniper-dsl-attributes redireciona para a nova juniper-access-line-attributes opção. Recomendamos que você use juniper-access-line-attributes.

    Nota:

    A opção juniper-access-line-attributes não é compatível com o Junos OS Release 19.1 ou versões anteriores. Isso significa que, se você tiver configurado juniper-access-line-attributes a opção no Junos OS Release 19.2 ou versões superiores, você deve executar as seguintes etapas para rebaixar para o Junos OS Release 19.1 ou versões anteriores:

    1. Exclua a opção juniper-access-line-attributes de todos os perfis de acesso que o incluam.

    2. Realize o rebaixamento de software.

    3. Adicione a opção juniper-dsl-attributes aos perfis de acesso afetados.

  12. (Opcional) Configure o valor para o atributo RADIUS do cliente 32 (NAS-Identifier), que é usado para solicitações de autenticação e contabilidade.
  13. (Opcional) Configure o cliente RADIUS para usar o formato estendido para o atributo RADIUS 5 (NAS-Port) e especifique a largura dos campos no atributo NAS-Port, que especifica o número de porta física do NAS que está autenticando o usuário.
    • Para assinantes da Ethernet:

    • Para assinantes de caixas eletrônicos:

  14. (Opcional) Configure o caráter de delimiter que o roteador insere entre valores no atributo RADIUS 87 (NAS-Port-Id).
  15. (Opcional) Configure as informações opcionais que o roteador inclui no atributo RADIUS 87 (NAS-Port-Id). Você pode especificar uma ou mais opções para aparecer na ordem padrão. Como alternativa, você pode especificar as opções e o pedido em que elas aparecem. Os pedidos são mutuamente exclusivos e a configuração falha se você configurar um NAS-Port-ID que inclua valores em ambos os tipos de pedido.
  16. (Opcional) Configure o tipo de porta incluído no atributo RADIUS 61 (TIPO NAS-Port). Isso especifica o tipo de porta que o roteador usa para autenticar assinantes.
    Nota:

    Esta declaração é ignorada se você configurar o ethernet-port-type-virtual mesmo perfil de acesso.

  17. (Opcional) Configure o LAC para substituir o formato de Chamada-Estação-ID configurado pelo valor enviado no número de chamada L2TP AVP 22. Você pode substituir o formato Calling-Station-ID e configurar o LAC para usar a ACI, a ARI ou a ACI e a ARI que são recebidas do cliente L2TP no pacote PADR. Você também pode especificar um delimiter para usar entre componentes da cadeia AVP e um valor de recuo a ser usado quando os componentes de substituição configurados não são recebidos no pacote PADR.
    Nota:

    Consulteoverride o formato Calling-Station-ID para o número de chamada AVP para obter mais informações.

  18. (Opcional) Substitua o valor do atributo RADIUS NAS-IP-Address (4) na LNS com o valor do endereço IP de endpoint LAC da sessão se estiver presente no banco de dados da sessão. Se não estiver presente, o valor do atributo original é usado.
  19. (Opcional) Substitua o valor do atributo RADIUS NAS-Port (5) na LNS com o valor do banco de dados de sessão se as informações da porta LAC NAS forem transmitidas para a LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original é usado.
  20. (Opcional) Substitua o valor do atributo RADIUS NAS-Port-Type (61) no LNS com o valor do banco de dados de sessão se as informações da porta LAC NAS forem transmitidas para a LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original é usado.
  21. (Opcional) Configure um personagem de delimiter para a cadeia de ID de circuito remoto quando você usar a remote-circuit-id-format declaração para configurar a string a usar em vez do ID de estação de chamada em L2TP número de chamada AVP 22. Se mais de um valor for configurado para o formato de ID de circuito remoto, o personagem delimiter é usado como um separador entre os valores concatenados na seqüência de ID de circuito remoto resultante.
    Nota:

    Você deve configurar a override calling-circuit-id remote-circuit-id declaração para que o formato de ID de circuito remoto seja usado no número de chamada AVP.

  22. (Opcional) Configure o valor de retorno para o LAC para enviar o número de chamada L2TP AVP 22, a configuração de Calling-Station-ID ou a interface subjacente padrão. O uso do valor de recuo é acionado quando os componentes da cadeia de substituição configurada com a remote-circuit-id-format declaração — a ACI, a ARI ou a ACI e a ARI — não são recebidos pelo LAC no pacote PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure o formato da seqüência que substitui o formato Calling-Station-ID no número de chamada L2TP AVP. Você pode especificar a ACI, a ARI ou a ACI e a ARI.
    Nota:

    Você deve configurar a override calling-circuit-id remote-circuit-id declaração para que o formato de ID de circuito remoto seja usado no número de chamada AVP.

  24. (Opcional) Configure o número de segundos que o roteador espera depois que um servidor se tornar inalcançável antes de fazer outra tentativa de alcançar o servidor. Se o servidor for acessível, ele será usado de acordo com a ordem da lista de servidores.
    Nota:

    Você também pode configurar essa opção para todos os servidores RADIUS. Veja opções de configuração aplicáveis a todos os servidores RADIUS.

  25. (Opcional) Configure se o assinante recém-autenticado pode fazer login com sucesso quando falhas de ativação de serviço relacionadas a erros de configuração ocorrem durante o processamento authd da solicitação de ativação para a família de endereços do assinante. Você pode especificar esse comportamento para serviços configurados em perfis dinâmicos ou em scripts de operação do Extensible Subscriber Services Manager (ESSM):
    • optional-at-login— A ativação de serviços é opcional. A falha de ativação devido a erros de configuração não impede a ativação da família de endereços; permite o acesso ao assinante. Falhas de ativação de serviços devido a causas diferentes de erros de configuração fazem com que a ativação da família de rede falhe. A tentativa de login é encerrada a menos que outra família de endereços já esteja ativa para o assinante.

    • required-at-login— É necessário ativação de serviços. A falha de ativação por qualquer motivo faz com que a ativação da família de rede falhe. A tentativa de login é encerrada a menos que outra família de endereços já esteja ativa para o assinante.

  26. (Opcional) Especifique que o atributo RADIUS 5 (NAS-Port) inclui o S-VLAN ID, além do VLAN ID, para assinantes em interfaces Ethernet.

Configurando um ID de estação de chamada com opções adicionais

Use esta seção para configurar um valor alternativo para o atributo Calling-Station-ID (RADIUS IETF 31) em um perfil de acesso no roteador da Série MX.

Você pode configurar o Calling-Station-ID para incluir uma ou mais das seguintes opções, em qualquer combinação, naedit access profile profile-name radius options calling-station-id-format [] hierarquia:

  • Identificador de circuito do agente (agent-circuit-id)— Identificador do nó de acesso do assinante e da linha de assinantes digitais (DSL) no nó de acesso. A cadeia de identificador de circuito (ACI) do agente é armazenada no campo de opção DHCP 82 de mensagens DHCP para tráfego DHCP, ou no DSL Forum Agent-Circuit-ID VSA [26-1] do PPPoE Active Discovery Initiation (PADI) e pacotes de controle PPPoE Active Discovery Request (PADR) para tráfego PPPoE.

  • Agente identificador remoto (agent-remote-id)— Identificador do assinante na interface de multiplexador de acesso de linha de assinante digital (DSLAM) que iniciou a solicitação do serviço. A cadeia de identificador remoto (ARI) do agente é armazenada no campo de opção DHCP 82 para tráfego DHCP ou no DSL Forum Agent-Remote-ID VSA [26-2] para tráfego de PPPoE.

  • Descrição da interface (interface-description)— Valor da interface.

  • Descrição do texto da interface (interface-text-description)— Descrição de texto da interface. A descrição do texto da interface é configurada separadamente, usando a set interfaces interface-name description description declaração ou a set interfaces interface-name unit unit-number description description declaração

  • Endereço MAC (mac-address)— endereço MAC do dispositivo de origem para o assinante.

  • Identificador NAS (nas-identifier)— Nome do NAS que originou a autenticação ou solicitação de contabilidade. Nas-Identifier é o atributo RADIUS IETF 32.

  • VLAN (stacked-vlan)empilhada — ID VLAN empilhada.

  • VLAN (vlan)— VLAN ID.

Se você configurar o formato do Calling-Station-ID com mais de um valor opcional, um personagem hash (#) é o delimiter padrão que o roteador usa como um separador entre os valores concatenados na seqüência de Calling-Station-ID resultante. Opcionalmente, você pode configurar um personagem de delimiter alternativo para o Calling-Station-ID usar. O exemplo a seguir mostra a ordem de saída quando você configura vários valores opcionais:

Para configurar um perfil de acesso para fornecer informações opcionais no Calling-Station-ID:

  1. Especifique o perfil de acesso que deseja configurar.
  2. Especifique se você deseja configurar opções RADIUS.
  3. Especifique o caráter sem cambalhota para usar como o delimiter entre os valores concatenatados no Calling-Station-ID.

    Por padrão, o gerenciamento de assinantes usa o personagem hash (#) como o delimiter em strings Calling-Station-ID que contêm mais de um valor opcional.

  4. Configure o valor para o NAS-Identifier (atributo RADIUS 32), que é usado para autenticação e solicitações de contabilidade.
  5. Especifique se você deseja configurar o formato do Calling-Station-ID.
  6. (Opcional) Inclua a descrição do texto da interface no Calling-Station-ID.
  7. (Opcional) Inclua o valor da descrição da interface no Calling-Station-ID.
  8. (Opcional) Inclua o identificador de circuito do agente no Calling-Station-ID.
  9. (Opcional) Inclua o identificador remoto do agente no Calling-Station-ID.
  10. (Opcional) Inclua o valor do identificador NAS configurado no Calling-Station-ID.
  11. (Opcional) Inclua o ID VLAN empilhado no Calling-Station-ID.
  12. (Opcional) Inclua o ID VLAN no Calling-Station-ID.
  13. (Opcional) Inclua o endereço MAC no Calling-Station-ID.

Exemplo: Chamada de estação-ID com opções adicionais em um perfil de acesso

O exemplo a seguir cria um perfil de acesso chamado varejista01 que configura uma string Calling-Station-ID que inclui o NAS-Identifier (fox), descrição da interface, identificador de circuito de agente e opções de identificador remoto do agente.

A sequência de Calling-Station-ID resultante é formatada da seguinte forma:

fox*ge-1/2/0.100:100*as007*ar921

Onde:

  • O valor do NAS-Identifier é fox.

  • O personagem delimiter Calling-Station-ID é * (asterisco).

  • O valor da descrição da interface é ge-1/2/0.100:100.

  • O valor do identificador de circuito do agente é as007.

  • O valor do identificador remoto do agente é ar921.

Considere um exemplo em que todas as opções estão configuradas, mas nenhum valor está disponível para o Agente-Circuito-ID, o Agente-Id remoto ou o identificador VLAN empilhado. Os outros valores são os seguintes:

  • Identificador nas — solarium

  • descrição da interface — ge-1/0/0.1073741824:101

  • descrição de texto de interface — interface de exemplo

  • Endereço MAC — 00:00:5E:00:53:00

  • Identificador de VLAN — 101

Esses valores resultam no seguinte Calling-Station-ID:

Filtragem de atributos RADIUS e VSAs de mensagens RADIUS

Atributos padrão e atributos específicos do fornecedor (VSAs) recebidos em mensagens RADIUS têm precedência sobre valores de atributos provisionados internamente. Os atributos de filtragem consistem em escolher ignorar determinados atributos quando são recebidos em pacotes Access Accept e excluir determinados atributos de serem enviados ao servidor RADIUS. Ignorar os atributos recebidos do servidor RADIUS permite que seus valores provisionados localmente sejam usados. Excluir atributos de serem enviados é útil, por exemplo, para atributos que não mudam para a vida útil de um assinante. Ele permite reduzir o tamanho do pacote sem perda de informações.

Você pode especificar atributos RADIUS padrão e VSAs que o roteador ou switch ignora posteriormente quando são recebidos em mensagens radius access-accept. Você também pode especificar atributos e VSAs que o roteador ou switch exclui de tipos de mensagens RADIUS especificados . A exclusão significa que o roteador ou switch não inclui o atributo em mensagens especificadas que envia ao servidor RADIUS.

A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA, respectivamente. Com este método de configuração flexível, você pode configurar qualquer atributo padrão e VSA suportado por sua plataforma a ser ignorado ou excluído. A configuração não surtiu efeito se você configurar atributos, fornecedores e VSAs sem suporte.

O método legado permite configurar apenas esses atributos e VSAs para os quais a sintaxe de declaração inclui uma opção específica. Consequentemente, você pode usar o método legado para ignorar apenas um subconjunto de todos os atributos que podem ser recebidos em mensagens de aceitação de acesso.

Para configurar os atributos ignorados ou excluídos pelo roteador ou switch:

  1. Especifique se você deseja configurar o RADIUS no perfil de acesso.
  2. Especifique se deseja configurar como os atributos RADIUS são filtrados.
  3. (Opcional) Especifique um ou mais atributos que você deseja que seu roteador ou switch ignore quando os atributos estão nas mensagens de aceitação de acesso.
    • Método legado: especifique a opção dedicada para atribuir:

    • Método flexível: especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA:

  4. (Opcional) Configure um atributo que você deseja que seu roteador ou switch exclua de um ou mais tipos de mensagem RADIUS especificados. Você não pode configurar uma lista de atributos, mas pode especificar uma lista de tipos de mensagens para cada atributo.
    • Método legado: especifique a opção dedicada para o tipo de atributo e mensagem:

    • Método flexível: especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA, o número VSA e o tipo de mensagem:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para ignorar o atributo RADIUS padrão, o Framed-IP-Netmask (9) e os VSAs da Juniper Networks, nome de política de ingresso (26-10) e nome de política de saída (26-11).

  • Método legado:

  • Método flexível:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para excluir o atributo RADIUS padrão, o Framed-IP-Netmask (9) e os VSAs da Juniper Networks, nome de política de ingresso (26-10) e Egress-Policy-Name (26-11).

  • Método legado:

  • Método flexível: especifique o número de atributo padrão ou o ID do fornecedor atribuído por IANA, o número VSA e o tipo de mensagem:

O que acontece se você especificar um atributo com ambos os métodos no mesmo perfil? A configuração eficaz é a OR lógica dos dois métodos. Considere o exemplo a seguir para o atributo padrão, o tempo de atraso da contabilidade (41):

O resultado é que o atributo é excluído de todos os quatro tipos de mensagem: contabilidade-off, contabilidade ativa, início da contabilidade e parada contábil. O efeito é o mesmo que se uma das seguintes configurações for usada:

Tabela de histórico de lançamento
Lançamento
Descrição
18.1R1
A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número de atributo padrão ou o ID do fornecedor atribuído por IANA e o número VSA, respectivamente.