Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Servidores RADIUS e parâmetros para acesso do assinante

A configuração de parâmetros e opções para servidores RADIUS é uma parte importante da configuração de gerenciamento de assinantes. Depois de definir os servidores de autenticação e contabilidade, você configura opções para todos os servidores RADIUS. Você também configura perfis de acesso que permitem especificar parâmetros de configuração de autenticação, autorização e contabilidade de acesso de assinante para assinantes ou grupos de assinantes. As configurações de perfil substituem as configurações globais. Embora algumas opções estejam disponíveis tanto no nível global quanto no nível do perfil de acesso, muitas opções estão disponíveis apenas em perfis de acesso.

Depois de criar um perfil de acesso, você deve especificar onde o perfil é usado com uma access-profile instrução; isso é conhecido como anexar o perfil. Os perfis de acesso podem ser atribuídos em vários níveis. Por exemplo, alguns dos lugares onde você pode anexar perfis de acesso

  • Globalmente para uma instância de roteamento.

  • Em perfis dinâmicos.

  • Em um mapa de domínio, que mapeia opções de acesso e parâmetros de sessão para sessões de assinante.

  • Nas interfaces para VLANs dinâmicas e VLANs dinâmicas empilhadas.

  • Na interface ou em um grupo de assinantes para assinantes com interfaces configuradas estaticamente para provisionamento dinâmico de serviços.

  • Em agentes de retransmissão DHCP e servidores locais DHCP para clientes ou assinantes DHCP.

Como você pode anexar perfis de acesso em vários níveis, o perfil de acesso mais específico tem precedência sobre qualquer outra atribuição de perfil para evitar conflitos. A autenticação e a contabilidade não são executadas a menos que você anexe o perfil.

Autenticação RADIUS e definição do servidor de contabilidade

Ao usar o RADIUS para gerenciamento de assinantes, você deve definir um ou mais servidores RADIUS externos com os quais o roteador se comunica para autenticação e contabilidade de assinantes. Além de especificar o endereço IPv4 ou IPv6 do servidor, você pode configurar opções e atributos que determinam como o roteador interage com os servidores especificados.

Você pode definir servidores RADIUS e opções de conectividade no nível de [edit access radius-server] hierarquia, no nível de [edit access profile name radius-server] hierarquia ou em ambos os níveis.

Observação:

O processo AAA (authd) determina quais definições de servidor usar da seguinte maneira:

  • Quando as definições do servidor RADIUS estão presentes apenas no [edit access radius-server], o authd usa essas definições.

  • Quando as definições do servidor RADIUS estão presentes apenas no perfil de acesso, o authd usa essas definições.

  • Quando as definições de servidor RADIUS estão presentes em ambos e [edit access radius-server] no perfil de acesso, o authd usa apenas as definições de perfil de acesso.

Para usar um servidor RADIUS, você deve designá-lo como um servidor de autenticação, um servidor de contabilidade ou ambos, em um perfil de acesso. Você deve fazer isso para servidores, independentemente de eles estarem definidos em um perfil de acesso ou no nível de [edit access radius-server] hierarquia.

Para definir servidores RADIUS e especificar como o roteador interage com o servidor:

Observação:

Este procedimento mostra apenas o [edit access radius-server] nível de hierarquia. Opcionalmente, você pode configurar qualquer um desses parâmetros no nível da [edit access profile profile-name] radius-server] hierarquia. Você pode fazer isso além da configuração global ou em vez da configuração global. Quando você aplica um perfil, as configurações de perfil substituem a configuração global.
  1. Especifique o endereço IPv4 ou IPv6 do servidor RADIUS.
  2. (Opcional) Configure o número da porta de contabilidade do servidor RADIUS.
  3. (Opcional) Configure o número da porta que o roteador usa para entrar em contato com o servidor RADIUS.
  4. Configure o segredo necessário (senha) que o roteador local passa para o cliente RADIUS. Os segredos entre aspas podem conter espaços.
  5. (Opcional) Configure o número máximo de solicitações pendentes que um servidor RADIUS pode manter. Uma solicitação pendente é uma solicitação à qual o servidor RADIUS ainda não respondeu.
  6. Configure o endereço de origem do servidor RADIUS. Cada solicitação RADIUS enviada a um servidor RADIUS usa o endereço de origem especificado. O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador.
  7. (Opcional) Configure valores de repetição e tempo limite para mensagens de autenticação e estatística.
    1. Configure quantas vezes o roteador tenta entrar em contato com um servidor RADIUS quando não recebeu resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um servidor RADIUS antes de tentar novamente o contato.
    Observação:

    A duração máxima da repetição (o número de tentativas vezes a duração do tempo limite) não pode exceder 2700 segundos. Uma mensagem de erro será exibida se você configurar uma duração mais longa.
    Observação:

    As retry configurações e timeout se aplicam às mensagens de autenticação e contabilidade, a menos que você configure a accounting-retry instrução e a accounting-timeout instrução. Nesse caso, as retry configurações e timeout se aplicam somente às mensagens de autenticação.
  8. (Opcional) Configure valores de repetição e tempo limite para mensagens de contabilidade separadas das configurações para mensagens de autenticação.
    Observação:

    Você deve configurar as accounting-retry declarações e as accounting-timeout instruções. Caso contrário, o valor configurado será ignorado em favor dos valores configurados com as retry instruções and timeout .
    1. Configure quantas vezes o roteador tenta enviar mensagens de contabilidade para o servidor de contabilidade RADIUS quando não recebeu resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um servidor de contabilidade RADIUS antes de tentar novamente a solicitação.
  9. (Opcional) Configure o roteador para entrar em contato com o servidor RADIUS para solicitações de pré-autenticação de identificação de linha lógica (LLID). Consulte Identificação de linha lógica RADIUS.
  10. (Opcional) Configure a porta que o roteador monitora para solicitações dinâmicas (CoA) do servidor especificado. Consulte Gerenciamento dinâmico de serviços com RADIUS.

Configurando opções que se aplicam a todos os servidores RADIUS

Você pode configurar opções RADIUS que se aplicam a todos os servidores RADIUS globalmente.

Para configurar opções de RADIUS globalmente:

  1. Especifique que deseja configurar as opções de RADIUS.
  2. (Opcional) Configure a taxa na qual as solicitações de atualização provisória do RADIUS são enviadas ao servidor.
  3. (Opcional) Configure o desvio máximo permitido do intervalo de atualização configurado para o qual o roteador envia atualizações contábeis provisórias ao servidor RADIUS. A tolerância é relativa ao intervalo de atualização configurado.

    Por exemplo, se a tolerância for definida como 60 segundos, o roteador enviará atualizações contábeis provisórias não antes de 30 segundos antes do intervalo de atualização configurado. Quando um assinante faz login, a primeira atualização contábil provisória pode ser enviada até 30 segundos antes (em média, 15 segundos antes).

    Você configura o intervalo de atualização com a update-interval declaração no nível da [edit access profile profile-name accounting] hierarquia.

  4. (Opcional) Configure o número de solicitações por segundo que o roteador pode enviar a todos os servidores RADIUS configurados coletivamente. Limitar o fluxo de solicitações do roteador para os servidores RADIUS permite que você evite que os servidores RADIUS sejam inundados com solicitações.
  5. (Opcional) Configure o número de segundos que o roteador aguarda depois que um servidor se torna inacessível antes de verificar novamente a conexão. Se o roteador atingir o servidor quando o intervalo de reversão expirar, o servidor será usado de acordo com a ordem da lista de servidores.
    Observação:

    Você também pode configurar o revert-interval em um perfil de acesso para substituir esse valor global. Consulte Configuração de opções de perfil de acesso para interações com servidores RADIUS.
  6. (Opcional) Configure a duração de um período durante o qual os servidores de autenticação RADIUS que não respondem ainda não são considerados inacessíveis ou inativos. Você pode variar o período dependendo se deseja redirecionar solicitações de autenticação mais rapidamente para outro servidor ou fornecer ao servidor que não responde mais tempo para se recuperar e responder.

    Consulte Configurando um período de carência de tempo limite para especificar quando os servidores RADIUS são considerados inativos ou inacessíveis para obter mais informações.

  7. (Opcional) Configure um valor de porta NAS que seja exclusivo em todos os roteadores da série MX na rede. Você pode configurar um valor de porta NAS que seja exclusivo apenas no roteador ou exclusivo nos diferentes roteadores MX da rede.

    Consulte Habilitando Atributos de Porta NAS Exclusivos (Atributo RADIUS 5) para Assinantes para obter mais informações.

Configurando um período de carência de tempo limite para especificar quando os servidores RADIUS são considerados inativos ou inacessíveis

Quando um servidor de autenticação RADIUS falha ao responder a qualquer uma das tentativas de uma determinada solicitação de autenticação e atinge o tempo limite, o authd anota o tempo de referência, mas não marca imediatamente o servidor como inativo (se outros servidores estiverem disponíveis) ou inacessível (se for o único servidor configurado). Em vez disso, um temporizador de período de carência configurável é iniciado no horário de referência. O período de carência será limpo se o servidor responder a uma solicitação subsequente antes que o período expire.

Durante o período de carência, o servidor não é marcado como inativo ou inacessível. Cada vez que o servidor atinge o tempo limite para solicitações subsequentes a esse servidor, o authd verifica se o período de carência expirou. Quando a verificação determina que o período de carência expirou e o servidor ainda não respondeu a uma solicitação, o servidor é marcado como inacessível ou inativo.

O uso de um período de carência curto permite que você abandone mais rapidamente um servidor que não responde e direcione solicitações de autenticação para outros servidores disponíveis. Um longo período de carência dá a um servidor mais oportunidades de responder e pode evitar o abandono desnecessário de um recurso. Você pode especificar um período de carência mais longo quando tiver apenas um ou um pequeno número de servidores configurados.

Para configurar o período de carência durante o qual um servidor RADIUS que não responde não é marcado como inacessível ou inativo:

  • Especifique a duração do período de carência.

Configuração de opções de perfil de acesso para interações com servidores RADIUS

Você pode usar um perfil de acesso para especificar as opções que o roteador usa ao se comunicar com os servidores de autenticação e contabilidade RADIUS para acesso do assinante. Este procedimento descreve as opções que estão disponíveis apenas em perfis de acesso. Para obter as opções disponíveis no perfil de acesso e no nível global, consulte Servidores RADIUS e parâmetros para acesso ao assinante.

Para configurar as opções do servidor de autenticação e contabilidade RADIUS:

  1. Especifique que deseja configurar as opções de RADIUS.
  2. (Opcional) Configure o formato que o roteador usa para identificar a sessão de contabilidade. O identificador pode estar em um dos seguintes formatos:

    • decimal— O formato padrão. Por exemplo, 435264

    • description—No formato, jnpr interface-specifier:subscriber-session-id. Por exemplo, jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure o caractere delimitador que o roteador insere entre os valores no atributo RADIUS 31 (Calling-Station-Id).
  4. (Opcional) Configure as informações que o roteador inclui no atributo RADIUS 31 (Calling-Station-Id).

    Consulte Configurando um Calling-Station-ID com Opções Adicionais para obter informações detalhadas.

  5. (Opcional) Configure o roteador para usar o comportamento opcional que insere o desafio aleatório gerado pelo NAS no campo Request Authenticator de pacotes Access-Request, em vez de enviar o desafio aleatório como o atributo CHAP-Challenge (atributo RADIUS 60) em pacotes Access-Request. Esse comportamento opcional requer que o valor do desafio seja de 16 bytes; caso contrário, a instrução será ignorada e o desafio será enviado como o atributo CHAP-Challenge.
  6. (Opcional) Configure o método que o roteador usa para acessar os servidores de autenticação e contabilidade RADIUS quando vários servidores estiverem configurados:

    • direct— O método padrão, no qual não há balanceamento de carga. O primeiro servidor configurado é o servidor primário; Os servidores são acessados em ordem de configuração. Se o servidor primário estiver inacessível, o roteador tentará acessar o segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga girando as solicitações do roteador entre a lista de servidores RADIUS configurados. O servidor escolhido para acesso é alternado com base em qual servidor foi usado por último. O primeiro servidor na lista é tratado como primário para a primeira solicitação de autenticação, mas para a segunda solicitação, o segundo servidor configurado é tratado como primário e assim por diante. Com esse método, todos os servidores configurados recebem aproximadamente o mesmo número de solicitações em média, de modo que nenhum servidor único precisa lidar com todas as solicitações.

      Observação:

      Quando um servidor RADIUS na lista round-robin se torna inacessível, o próximo servidor acessível na lista round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha de servidor, o servidor usado ocupa a carga de dois servidores.

    • Para configurar o método que o roteador usa para acessar os servidores de contabilidade RADIUS:

    • Para configurar o método que o roteador usa para acessar servidores de autenticação RADIUS:

  7. (Opcional) Configure o roteador para usar o comportamento opcional quando uma operação de CoA não puder aplicar uma alteração solicitada a uma variável dinâmica do perfil do cliente.

    O comportamento opcional é que o gerenciamento de assinantes não aplica nenhuma alteração às variáveis dinâmicas do perfil do cliente na solicitação CoA e, em seguida, responde com um NACK. O comportamento padrão é que o gerenciamento de assinantes não aplica a atualização incorreta, mas aplica as outras alterações às variáveis dinâmicas do perfil do cliente e, em seguida, responde com uma mensagem ACK.

  8. (Opcional) Configure o roteador para usar um tipo de porta física para virtual autenticar clientes. O tipo de porta é passado no atributo RADIUS 61 (NAS-Port-Type). Por padrão, o roteador passa um tipo de ethernet porta no atributo RADIUS 61.
    Observação:

    Essa instrução terá precedência sobre a nas-port-type declaração se você incluir ambas no mesmo perfil de acesso.
  9. (Opcional) Especifique as informações excluídas da descrição da interface que o roteador passa para o RADIUS para inclusão no atributo 87 do RADIUS (NAS-Port-ID). Por padrão, a descrição da interface inclui informações de adaptador, canal e subinterface.
  10. (Opcional) Para assinantes PPP de pilha dupla, inclua o IPv4-Release-Control VSA (26–164) na solicitação de acesso enviada durante a alocação de endereço IP sob demanda e nas mensagens de contabilidade provisória enviadas para relatar uma alteração de endereço.

    Opcionalmente, configure uma mensagem incluída no IPv4-Release-Control VSA (26–164) quando ela for enviada ao servidor RADIUS

    A configuração dessa declaração não tem efeito quando a alocação ou desalocação de endereço IP sob demanda não está configurada.

  11. (Opcional) Adicione VSAs de linha de acesso da Juniper Networks às mensagens de solicitação de autenticação e contabilidade RADIUS para assinantes. Se o roteador não tiver recebido e processado os atributos ANCP correspondentes do nó de acesso, a AAA fornecerá apenas o seguinte nessas mensagens RADIUS:

    • Downstream-Calculated-QoS-Rate (IANA 4874, 26-141)— Velocidade de transmissão de aviso configurada padrão.

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142) — Velocidade de recebimento de consultoria configurada padrão.

    A partir do Junos OS Release 19.2R1, a juniper-access-line-attributes opção substitui a juniper-dsl-attributes opção. Para compatibilidade com versões anteriores com scripts existentes, a opção redireciona juniper-dsl-attributes para a nova juniper-access-line-attributes opção. Recomendamos que você use juniper-access-line-attributeso .

    Observação:

    A juniper-access-line-attributes opção não é compatível com versões anteriores do Junos OS versão 19.1 ou versões anteriores. Isso significa que, se você configurou juniper-access-line-attributes a opção no Junos OS Release 19.2 ou versões superiores, você deve realizar os seguintes passos para fazer o downgrade para o Junos OS Release 19.1 ou versões anteriores:

    1. Exclua a juniper-access-line-attributes opção de todos os perfis de acesso que a incluem.

    2. Execute o downgrade do software.

    3. Adicione a juniper-dsl-attributes opção aos perfis de acesso afetados.
  12. (Opcional) Configure o valor para o atributo RADIUS do cliente 32 (NAS-Identifier), que é usado para solicitações de autenticação e estatística.
  13. (Opcional) Configure o cliente RADIUS para usar o formato estendido para o atributo RADIUS 5 (NAS-Port) e especifique a largura dos campos no atributo NAS-Port, que especifica o número da porta física do NAS que está autenticando o usuário.

    • Para assinantes Ethernet:

    • Para assinantes de caixas eletrônicos:

  14. (Opcional) Configure o caractere delimitador que o roteador insere entre os valores no atributo RADIUS 87 (NAS-Port-Id).
  15. (Opcional) Configure as informações opcionais que o roteador inclui no atributo RADIUS 87 (NAS-Port-Id). Você pode especificar uma ou mais opções para aparecer na ordem padrão. Como alternativa, você pode especificar as opções e a ordem em que elas aparecem. Os pedidos são mutuamente exclusivos e a configuração falhará se você configurar um ID de porta NAS que inclua valores em ambos os tipos de pedido.

    Consulte Configuração de um ID de porta NAS com opções adicionais e Configuração da ordem em que os valores opcionais aparecem no ID da porta NAS para obter informações detalhadas.

  16. (Opcional) Configure o tipo de porta incluído no atributo RADIUS 61 (NAS-Port-Type). Isso especifica o tipo de porta que o roteador usa para autenticar assinantes.
    Observação:

    Essa declaração será ignorada se você configurar o ethernet-port-type-virtual no mesmo perfil de acesso.
  17. (Opcional) Configure o LAC para substituir o formato de ID da estação de chamada configurado para o valor enviado no número de chamada L2TP AVP 22. Você pode substituir o formato Calling-Station-ID e configurar o LAC para usar a ACI, o ARI ou a ACI e o ARI recebidos do cliente L2TP no pacote PADR. Você também pode especificar um delimitador a ser usado entre os componentes da string AVP e um valor de fallback a ser usado quando os componentes de substituição configurados não forem recebidos no pacote PADR.
    Observação:

    Consulte Substituir o formato Calling-Station-ID para o AVP do número de chamada para obter mais informações.
  18. (Opcional) Substitua o valor do atributo RADIUS NAS-IP-Address (4) no LNS pelo valor do endereço IP do endpoint LAC da sessão, se ele estiver presente no banco de dados da sessão. Se não estiver presente, o valor do atributo original será usado.
  19. (Opcional) Substitua o valor do atributo RADIUS NAS-Port (5) no LNS pelo valor do banco de dados de sessão se as informações da porta LAC NAS foram transmitidas para o LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original será usado.
  20. (Opcional) Substitua o valor do atributo RADIUS NAS-Port-Type (61) no LNS pelo valor do banco de dados de sessão se as informações da porta LAC NAS foram transmitidas para o LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original será usado.
  21. (Opcional) Configure um caractere delimitador para a string de ID do circuito remoto ao usar a remote-circuit-id-format instrução para configurar a string a ser usada em vez da ID da estação de chamada no número de chamada L2TP AVP 22. Se mais de um valor estiver configurado para o formato de ID do circuito remoto, o caractere delimitador será usado como um separador entre os valores concatenados na cadeia de caracteres de ID do circuito remoto resultante.
    Observação:

    Você deve configurar a override calling-circuit-id remote-circuit-id declaração para o formato de ID do circuito remoto a ser usado no AVP do número de chamada.
  22. (Opcional) Configure o valor de fallback para o LAC enviar o número de chamada L2TP AVP 22, o Calling-Station-ID configurado ou a interface subjacente padrão. O uso do valor de fallback é acionado quando os componentes da string de substituição configurada com a remote-circuit-id-format declaração — a ACI, o ARI ou a ACI e o ARI — não são recebidos pelo LAC no pacote PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure o formato da cadeia de caracteres que substitui o formato Calling-Station-ID no AVP do número de chamada L2TP. Você pode especificar a ACI, a ARI ou a ACI e a ARI.
    Observação:

    Você deve configurar a override calling-circuit-id remote-circuit-id declaração para o formato de ID do circuito remoto a ser usado no AVP do número de chamada.
  24. (Opcional) Configure o número de segundos que o roteador aguarda depois que um servidor se torna inacessível antes de fazer outra tentativa de acessar o servidor. Se o servidor estiver acessível, ele será usado de acordo com a ordem da lista de servidores.
    Observação:

    Você também pode configurar essa opção para todos os servidores RADIUS. Consulte Configurando Opções para Servidores RADIUS.
  25. (Opcional) Configure se o assinante recém-autenticado pode efetuar login com êxito quando ocorrerem falhas de ativação de serviço relacionadas a erros de configuração durante o processamento authd da solicitação de ativação para a família de endereços do assinante. Você pode especificar esse comportamento para serviços configurados em perfis dinâmicos ou em scripts de operação do ESSM (Extensible Subscriber Services Manager):

    • optional-at-login— A ativação do serviço é opcional. A falha de ativação devido a erros de configuração não impede a ativação da família de endereços; Ele permite o acesso do assinante. Falhas de ativação de serviço devido a causas diferentes de erros de configuração fazem com que a ativação da família de rede falhe. A tentativa de login é encerrada, a menos que outra família de endereços já esteja ativa para o assinante.

    • required-at-login— É necessária a ativação do serviço. A falha de ativação por qualquer motivo faz com que a ativação da família de rede falhe. A tentativa de login é encerrada, a menos que outra família de endereços já esteja ativa para o assinante.

  26. (Opcional) Especifique que o atributo RADIUS 5 (Porta NAS) inclui o ID do S-VLAN, além do ID do VLAN, para assinantes em interfaces Ethernet.

Configurando um Calling-Station-ID com opções adicionais

Use esta seção para configurar um valor alternativo para o Calling-Station-ID (atributo RADIUS IETF 31) em um perfil de acesso no roteador da Série MX.

Você pode configurar o Calling-Station-ID para incluir uma ou mais das seguintes opções, em qualquer combinação, naedit access profile profile-name radius options calling-station-id-format [] hierarquia:

  • Identificador de circuito do agente (agent-circuit-id) — Identificador do nó de acesso do assinante e da linha de assinante digital (DSL) no nó de acesso. A string do identificador de circuito do agente (ACI) é armazenada no campo DHCP opção 82 de mensagens DHCP para tráfego DHCP ou no fórum DSL Agent-Circuit-ID VSA [26-1] de pacotes de controle PPPoE Active Discovery Initiation (PADI) e PPPoE Active Discovery Request (PADR) para tráfego PPPoE.

  • Identificador remoto do agente (agent-remote-id) — Identificador do assinante na interface do multiplexador de acesso de linha de assinante digital (DSLAM) que iniciou a solicitação de serviço. A cadeia de caracteres do identificador remoto (ARI) do agente é armazenada no campo DHCP opção 82 para tráfego DHCP ou no Fórum DSL Agent-Remote-ID VSA [26-2] para tráfego PPPoE.

  • Descrição da interface (interface-description)— Valor da interface.

  • Descrição do texto da interface (interface-text-description) — Descrição do texto da interface. A descrição do texto da interface é configurada separadamente, usando a instrução ou a set interfaces interface-name description description set interfaces interface-name unit unit-number description description instrução

  • endereço MAC (mac-address) — endereço MAC do dispositivo de origem para o assinante.

  • Identificador de NAS (nas-identifier) — Nome do NAS que originou a solicitação de autenticação ou contabilidade. NAS-Identifier é o atributo RADIUS IETF 32.

  • VLAN (stacked-vlan)empilhada — ID da VLAN empilhada.

  • VLAN (vlan)— ID DA VLAN.

Se você configurar o formato do Calling-Station-ID com mais de um valor opcional, um caractere de hash (#) é o delimitador padrão que o roteador usa como separador entre os valores concatenados na cadeia de caracteres Calling-Station-ID resultante. Opcionalmente, você pode configurar um caractere delimitador alternativo para o Calling-Station-ID usar. O exemplo a seguir mostra a ordem de saída quando você configura vários valores opcionais:

Para configurar um perfil de acesso para fornecer informações opcionais no Calling-Station-ID:

  1. Especifique o perfil de acesso que você deseja configurar.
  2. Especifique que deseja configurar as opções de RADIUS.
  3. Especifique o caractere não padrão a ser usado como delimitador entre os valores concatenados no Calling-Station-ID.

    Por padrão, o gerenciamento de assinantes usa o caractere de hash (#) como o delimitador em cadeias de caracteres Calling-Station-ID que contêm mais de um valor opcional.

  4. Configure o valor para o NAS-Identifier (atributo RADIUS 32), que é usado para solicitações de autenticação e estatística.
  5. Especifique que deseja configurar o formato do ID da estação de chamada.
  6. (Opcional) Inclua a descrição do texto da interface no ID da estação de chamada.
  7. (Opcional) Inclua o valor da descrição da interface no Calling-Station-ID.
  8. (Opcional) Inclua o identificador de circuito do agente no ID da estação de chamada.
  9. (Opcional) Inclua o identificador remoto do agente no Calling-Station-ID.
  10. (Opcional) Inclua o valor do identificador NAS configurado no Calling-Station-ID.
  11. (Opcional) Inclua o ID de VLAN empilhado no Calling-Station-ID.
  12. (Opcional) Inclua o ID da VLAN no ID da estação de chamada.
  13. (Opcional) Inclua o endereço MAC no ID da estação de chamada.

Exemplo: Calling-Station-ID com opções adicionais em um perfil de acesso

O exemplo a seguir cria um perfil de acesso chamado retailer01 que configura uma cadeia de caracteres Calling-Station-ID que inclui as opções NAS-Identifier (fox), descrição da interface, identificador de circuito do agente e identificador remoto do agente.

A cadeia de caracteres Calling-Station-ID resultante é formatada da seguinte maneira:

fox*ge-1/2/0.100:100*as007*ar921

onde:

  • O valor do NAS-Identifier é fox.

  • O caractere delimitador Calling-Station-ID é * (asterisco).

  • O valor da descrição da interface é ge-1/2/0.100:100.

  • O valor do identificador do circuito do agente é as007.

  • O valor do identificador remoto do agente é ar921.

Considere um exemplo em que todas as opções estão configuradas, mas nenhum valor está disponível para o Agent-Circuit-ID, o Agent-Remote-ID ou o identificador VLAN empilhado. Os outros valores são os seguintes:

  • Identificador NAS — solário

  • Descrição da interface — GE-1/0/0.1073741824:101

  • Descrição do texto da interface — interface de exemplo

  • endereço MAC—00:00:5E:00:53:00

  • Identificador de VLAN — 101

Esses valores resultam no seguinte Calling-Station-ID:

Filtragem de atributos RADIUS e VSAs de mensagens RADIUS

Os atributos padrão e os atributos específicos do fornecedor (VSAs) recebidos em mensagens RADIUS têm precedência sobre os valores de atributo provisionados internamente. A filtragem de atributos consiste em optar por ignorar determinados atributos quando eles são recebidos em pacotes de aceitação de acesso e excluir determinados atributos de serem enviados ao servidor RADIUS. Ignorar atributos recebidos do servidor RADIUS permite que seus valores provisionados localmente sejam usados. A exclusão de atributos do envio é útil, por exemplo, para atributos que não são alterados durante o tempo de vida de um assinante. Ele permite que você reduza o tamanho do pacote sem perda de informações.

Você pode especificar atributos RADIUS padrão e VSAs que o roteador ou switch ignora posteriormente quando são recebidos em mensagens de aceitação de acesso RADIUS. Você também pode especificar atributos e VSAs que o roteador ou switch exclui dos tipos de mensagem RADIUS especificados. Exclusão significa que o roteador ou switch não inclui o atributo nas mensagens especificadas que ele envia ao servidor RADIUS.

A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número do atributo padrão ou o ID do fornecedor atribuído pela IANA e o número VSA, respectivamente. Com esse método de configuração flexível, você pode configurar qualquer atributo padrão e VSA suportados por sua plataforma para serem ignorados ou excluídos. A configuração não terá efeito se você configurar atributos, fornecedores e VSAs não suportados.

O método legado permite configurar apenas os atributos e VSAs para os quais a sintaxe da instrução inclui uma opção específica. Consequentemente, você pode usar o método herdado para ignorar apenas um subconjunto de todos os atributos que podem ser recebidos em mensagens de aceitação de acesso.

Para configurar os atributos ignorados ou excluídos pelo seu roteador ou switch:

  1. Especifique que deseja configurar o RADIUS no perfil de acesso.
  2. Especifique que deseja configurar como os atributos RADIUS são filtrados.
  3. (Opcional) Especifique um ou mais atributos que você deseja que seu roteador ou switch ignore quando os atributos estiverem em mensagens de aceitação de acesso.

    • Método herdado: Especifique a opção dedicada para o atributo:

    • Método flexível: Especifique o número do atributo padrão ou o ID do fornecedor atribuído pela IANA e o número VSA:

  4. (Opcional) Configure um atributo que você deseja que seu roteador ou switch exclua de um ou mais tipos de mensagem RADIUS especificados. Não é possível configurar uma lista de atributos, mas é possível especificar uma lista de tipos de mensagem para cada atributo.

    • Método herdado: Especifique a opção dedicada para atributo e tipo de mensagem:

    • Método flexível: Especifique o número do atributo padrão ou o ID do fornecedor atribuído pela IANA, o número VSA e o tipo de mensagem:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para ignorar o atributo RADIUS padrão, Framed-IP-Netmask (9), e os VSAs da Juniper Networks, Ingress-Policy-Name (26-10) e Egress-Policy-Name (26-11).

  • Método legado:

  • Método flexível:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para excluir o atributo RADIUS padrão, Framed-IP-Netmask (9), e os VSAs da Juniper Networks, Ingress-Policy-Name (26-10) e Egress-Policy-Name (26-11).

  • Método legado:

  • Método flexível: Especifique o número do atributo padrão ou o ID do fornecedor atribuído pela IANA, o número VSA e o tipo de mensagem:

O que acontece se você especificar um atributo com os dois métodos no mesmo perfil? A configuração efetiva é o OR lógico dos dois métodos. Considere o seguinte exemplo para o atributo padrão, tempo de atraso contábil (41):

O resultado é que o atributo é excluído de todos os quatro tipos de mensagem: Accounting-Off, Accounting-On, Accounting-Start e Accounting-Stop. O efeito é o mesmo que se uma das seguintes configurações for usada:

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
18.1R1
A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir atributos padrão RADIUS e VSAs, especificando o número do atributo padrão ou o ID do fornecedor atribuído pela IANA e o número VSA, respectivamente.