Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS servidores e parâmetros para acesso ao assinante

Configurar parâmetros e opções para RADIUS servidores é uma parte importante da configuração de gerenciamento do assinante. Depois de definir a autenticação e os servidores de contabilidade, você configura opções para todos os RADIUS servidores. Você também configura perfis de acesso que permitem especificar parâmetros de autenticação de acesso ao assinante, autorização e configuração de contabilidade para assinantes ou grupos de assinantes. As configurações de perfil sobrepõem configurações globais. Embora algumas opções sejam disponíveis em nível global e de perfil de acesso, muitas opções estão disponíveis apenas em perfis de acesso.

Depois de criar um perfil de acesso, você access-profile deve especificar onde o perfil é usado com uma declaração; isso é conhecido como anexar o perfil. Os perfis de acesso podem ser atribuídos em vários níveis. Por exemplo, alguns dos locais onde você pode anexar perfis de acesso

  • Globalmente para uma instância de roteamento.

  • Em perfis dinâmicos.

  • Em um mapa de domínio, que mapeia opções de acesso e parâmetros de sessão para sessões de assinante.

  • Nas interfaces para VLANs dinâmicas e VLANs empilhadas dinâmicas.

  • Na interface ou em um grupo de assinantes para assinantes com interfaces estáticas configuradas para provisionamento dinâmico de serviços.

  • Nos agentes de retransmissão DHCP e servidores locais DHCP para clientes ou assinantes DHCP.

Como você pode anexar perfis de acesso em muitos níveis, o perfil de acesso mais específico tem precedência sobre qualquer outra atribuição de perfil para evitar conflito. Autenticação e contabilidade não são executados a menos que você conecte o perfil.

RADIUS autenticação e definição de servidor de contabilidade

Quando você usa RADIUS para gerenciamento de assinantes, você deve definir um ou mais servidores de RADIUS externos com os quais o roteador se comunica para autenticação e contabilidade de assinantes. Além de especificar o endereço IPv4 ou IPv6 do servidor, você pode configurar opções e atributos que determinam como o roteador interage com os servidores especificados.

Você pode definir RADIUS de servidores [edit access radius-server] e opções de conectividade no nível da hierarquia, no [edit access profile name radius-server] nível da hierarquia ou em ambos os níveis.

Nota:

O AAA de dados (authd) determina quais definições de servidor devem ser usadas da seguinte forma:

  • Quando RADIUS de servidor estão presentes apenas em [edit access radius-server], authd usa essas definições.

  • Quando RADIUS de servidor estão presentes apenas no perfil de acesso, a authd usa essas definições.

  • Quando RADIUS de servidor estão presentes, [edit access radius-server] tanto no perfil de acesso como no perfil de acesso, a authd usa apenas as definições do perfil de acesso.

Para usar um RADIUS de dados, você deve designá-lo como um servidor de autenticação, um servidor de contabilidade ou ambos, em um perfil de acesso. Você deve fazer isso com os servidores, independentemente de eles ser definidos em um perfil de acesso ou em nível [edit access radius-server] de hierarquia.

Para definir RADIUS servidores e especificar como o roteador interage com o servidor:

Nota:

Esse procedimento mostra apenas o nível [edit access radius-server] da hierarquia. Opcionalmente, você pode configurar qualquer um desses parâmetros no nível [edit access profile profile-name] radius-server] da hierarquia. Você pode fazer isso, além da configuração global ou não da configuração global. Quando você aplica um perfil, as configurações de perfil sobrepõem a configuração global.

  1. Especifique o endereço IPv4 ou IPv6 do RADIUS servidor.
  2. (Opcional) Configure o número de porta RADIUS de contabilidade do servidor.
  3. (Opcional) Configure o número de porta que o roteador usa para entrar em contato com o RADIUS servidor.
  4. Configure a senha (senha) necessária que o roteador local passa para o RADIUS cliente. Segredos entre aspas podem conter espaços.
  5. (Opcional) Configure o número máximo de solicitações em aberto que um RADIUS servidor pode manter. Uma solicitação pendente é uma solicitação à qual o servidor RADIUS ainda não respondeu.
  6. Configure o endereço de origem para o RADIUS servidor. Cada RADIUS enviada a um servidor RADIUS usa o endereço de origem especificado. O endereço de origem é um endereço IPv4 ou IPv6 válido configurado em uma das interfaces do roteador.
  7. (Opcional) Configure valores de ressarção e tempo de saída para mensagens de autenticação e contabilidade.
    1. Configure quantas vezes o roteador tenta entrar em contato com um RADIUS servidor quando não recebeu resposta.
    2. Configure o tempo que o roteador espera para receber uma resposta de um RADIUS antes de tentar novamente o contato.
    Nota:

    A duração máxima de repetir (o número de retries vezes o tempo limite) não pode exceder 2700 segundos. Uma mensagem de erro é exibida se você configurar uma duração mais longa.

    Nota:

    As retry e as timeout configurações aplicam-se a mensagens de autenticação e de contabilidade, a menos que você configure accounting-retry a declaração e a accounting-timeout declaração. Nesse caso, as e as retry configurações aplicam-se timeout apenas a mensagens de autenticação.

  8. (Opcional) Configure valores de ressarção e tempo de saída para mensagens de contabilidade separados das configurações para mensagens de autenticação.
    Nota:

    Você deve configurar as declarações accounting-retry e as accounting-timeout declarações. Caso não faça isso, o valor configurado por você é ignorado em favor dos valores configurados com as e retry declarações timeout .

    1. Configure quantas vezes o roteador tenta enviar mensagens de contabilidade para o RADIUS de contabilidade quando não recebeu resposta.
    2. Configure quanto tempo o roteador espera para receber uma resposta de um RADIUS de contabilidade antes de tentar novamente a solicitação.
  9. (Opcional) Configure o roteador para entrar em contato com o RADIUS para solicitações de pré-autenticação de linha lógica (LLID). Consulte RADIUS de linha lógica.
  10. (Opcional) Configure a porta que o roteador monitora para solicitações dinâmicas (CoA) do servidor especificado. Consulte o gerenciamento de serviços dinâmicos com RADIUS.

Configuração de opções que se aplicam a todos os RADIUS servidores

Você pode configurar opções RADIUS aplicadas a todos os RADIUS em todo o mundo.

Para configurar RADIUS opções globalmente:

  1. Especifique se você deseja configurar RADIUS opções.
  2. (Opcional) Configure a taxa com a qual RADIUS solicitações de atualização interinas são enviadas ao servidor.
  3. (Opcional) Configure o desvio máximo permitido do intervalo de atualização configurado que o roteador envia atualizações de contabilidade interinas para o RADIUS servidor. A tolerância é relativa ao intervalo de atualização configurado.

    Por exemplo, se a tolerância for definida como 60 segundos, o roteador enviará atualizações de contabilidade interinas antes de 30 segundos antes do intervalo de atualização configurado. Quando um assinante faz login, a primeira atualização de contabilidade interina pode ser enviada com até 30 segundos de início (em média, 15 segundos antes).

    Você configura o intervalo de atualização com a instrução update-interval no nível [edit access profile profile-name accounting] da hierarquia.

  4. (Opcional) Configure o número de solicitações por segundo que o roteador pode enviar para todos os servidores RADIUS configurados coletivamente. Limitar o fluxo de solicitações do roteador até os servidores RADIUS permite que você impeça que os servidores RADIUS de serem inundados por solicitações.
  5. (Opcional) Configure o número de segundos que o roteador espera depois que um servidor se tornar inalcançável antes de remarcar a conexão. Se o roteador chegar ao servidor quando o intervalo de reversão expirar, o servidor será usado de acordo com a ordem da lista de servidores.
    Nota:

    Você também pode configurar o perfil de revert-interval acesso para sobrepor esse valor global. Consulte Configurando opções de perfil de acesso para interações com RADIUS servidores.

  6. (Opcional) Configure a duração de um período durante o qual os servidores de autenticação não responsivos RADIUS ainda não sejam considerados inalcançáveis ou inativos. Você pode variar o período, dependendo se deseja redirecionar solicitações de autenticação mais rapidamente para outro servidor ou fornecer ao servidor não responsivo mais tempo para recuperação e resposta.
  7. (Opcional) Configure um valor NAS de porta única em todos os roteadores da série MX na rede. Você pode configurar um valor NAS de porta única dentro do roteador ou exclusivo nos diferentes roteadores MX da rede.

Configurando um período de carência de intervalo para especificar quando RADIUS servidores são considerados inalcançáveis ou inalcançáveis

Quando um servidor de autenticação RADIUS falha em responder a qualquer uma das tentativas de uma determinada solicitação de autenticação e um tempo de saída, o authd observa o tempo de referência, mas ele não marca imediatamente o servidor como down (se outros servidores estão disponíveis) ou inalcançáveis (se ele for o único servidor configurado). Em vez disso, um tempo de carência configurável começa no tempo de referência. O período de carência é desagravado se o servidor responder a uma solicitação posterior antes do período expirar.

Durante o período de carência, o servidor não é marcado como down ou inalcançável. Cada vez que o servidor faz o tempo de saída para solicitações posteriores a esse servidor, a authd verifica se o período de carência expirou. Quando a verificação determina se o período de carência expirou e se o servidor ainda não respondeu a uma solicitação, o servidor fica marcado como inalcançável ou inalcançável.

Usar um curto período de carência permite que você abandone mais rapidamente um servidor não responsivo e solicitações diretas de autenticação para outros servidores disponíveis. Um longo período de carência oferece a um servidor mais oportunidades para responder e pode evitar o abandono descarado de um recurso. Você pode especificar um período de carência mais longo quando tiver apenas um ou um pequeno número de servidores configurados.

Para configurar o período de carência durante o qual um servidor RADIUS não responsivo não é marcado como inalcançável ou inalcançável:

  • Especifique a duração do período de carência.

Configuração de opções de perfil de acesso para interações com RADIUS servidores

Você pode usar um perfil de acesso para especificar opções que o roteador usa ao se comunicar com RADIUS autenticação e servidores de contabilidade para acesso ao assinante. Esse procedimento descreve opções disponíveis apenas em perfis de acesso. Para opções disponíveis em nível global e de perfil de acesso, consulte RADIUS servidores e parâmetros para acesso ao assinante.

Para configurar RADIUS de autenticação e servidor de contabilidade:

  1. Especifique se você deseja configurar RADIUS opções.
  2. (Opcional) Configure o formato que o roteador usa para identificar a sessão de contabilidade. O identificador pode estar em um dos seguintes formatos:
    • decimal— O formato padrão. Por exemplo, 435264

    • description—No formato, jnpr interface-specifier:subscriber-session-id. Por exemplo, jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure o caractere de desbaixo que o roteador insere entre valores no RADIUS atributo 31 (Id de chamada-estação).
  4. (Opcional) Configure as informações que o roteador inclui no RADIUS atributo 31 (Id de chamada da estação).
  5. (Opcional) Configure o roteador para usar o comportamento opcional que insere o desafio aleatório gerado pelo NAS no campo Solicitação Autenticador de pacotes Access-Request, em vez de enviar o desafio aleatório como atributo CHAP-Challenge (RADIUS atributo 60) nos pacotes Access-Request. Esse comportamento opcional exige que o valor do desafio seja de 16 bytes; caso contrário, a declaração é ignorada e o desafio é enviado como atributo CHAP-Challenge.
  6. (Opcional) Configure o método que o roteador usa para acessar RADIUS servidores de autenticação e contabilidade quando vários servidores estão configurados:
    • direct— O método padrão, no qual não existe balanceamento de carga. O primeiro servidor configurado é o servidor principal; os servidores são acessados por ordem de configuração. Caso o servidor principal não seja inalcançável, o roteador tenta chegar ao segundo servidor configurado e assim por diante.

    • round-robin— O método que fornece balanceamento de carga por meio de solicitações de roteador rotativo entre a lista de servidores RADIUS configurados. O servidor escolhido para acesso é rodado com base em qual servidor foi usado por último. O primeiro servidor da lista é tratado como uma primária para a primeira solicitação de autenticação, mas, para a segunda solicitação, o segundo servidor configurado é tratado como principal e assim por diante. Com esse método, todos os servidores configurados recebem em média o mesmo número de solicitações para que nenhum único servidor tenha que lidar com todas as solicitações.

      Nota:

      Quando um RADIUS da lista de servidores round-robin fica inacessível, o próximo servidor alcançável na lista de round-robin é usado para a solicitação atual. Esse mesmo servidor também é usado para a próxima solicitação, porque está no topo da lista de servidores disponíveis. Como resultado, após uma falha no servidor, o servidor que é usado ocupa a carga de dois servidores.

    • Para configurar o método que o roteador usa para acessar RADIUS de contabilidade:

    • Para configurar o método que o roteador usa para acessar RADIUS de autenticação:

  7. (Opcional) Configure o roteador para usar o comportamento opcional quando uma operação de CoA não conseguir aplicar uma mudança solicitada a uma variável dinâmica do perfil do cliente.

    O comportamento opcional é que o gerenciamento do assinante não aplica alterações às variáveis dinâmicas do perfil do cliente na solicitação de CoA e depois responde com um NACK. O comportamento padrão é que o gerenciamento do assinante não aplica a atualização incorreta, mas aplica as outras alterações às variáveis dinâmicas do perfil do cliente e depois responde com uma mensagem ACK.

  8. (Opcional) Configure o roteador para usar um tipo de porta física para virtual autenticar clientes. O tipo de porta é passado no RADIUS atributo 61 (NAS-Port-Type). Por padrão, o roteador passa um tipo de porta ethernet no RADIUS atributo 61.
    Nota:

    Essa declaração tem precedência sobre a declaração nas-port-type se você incluir ambos no mesmo perfil de acesso.

  9. (Opcional) Especifique as informações que são excluídas da descrição da interface que o roteador passa para RADIUS para inclusão no atributo 87 do RADIUS (NAS-Port-ID). Por padrão, a descrição da interface inclui informações de adaptador, canal e subinterface.
  10. (Opcional) Para assinantes de PPPs de dupla pilha, inclua a VSA de controle de liberação de IPv4 (26 a 164) na solicitação de acesso enviada durante a alocação de endereços IP sob demanda e nas mensagens de contabilidade intermediária enviadas para relatar uma mudança de endereço.

    Opcionalmente, configure uma mensagem incluída no VSA de IPv4-Release-Control (26 a 164) quando for enviada ao servidor RADIUS

    A configuração desta instrução não tem efeito quando a alocação ou a alocação de endereços IP sob demanda não estiver configurada.

  11. (Opcional) Adicione VSAs Juniper Networks linha de acesso às RADIUS de autenticação e solicitação de contabilidade para assinantes. Caso o roteador não tenha recebido e processado os atributos ANCP correspondentes do nó de acesso, a AAA fornece apenas as seguintes mensagens de RADIUS:
    • Taxa de QoS downstream-calculated (IANA 4874, 26-141)— Velocidade de transmissão de consultoria configurada padrão.

    • Taxa de QoS upstream-calculated (IANA 4874, 26-142)— Velocidade de recebimento de consultoria configurada padrão.

    A partir da versão 19.2R1 Junos OS, a juniper-access-line-attributes opção substitui a juniper-dsl-attributes opção. Para compatibilidade reversa com os scripts existentes, a opção juniper-dsl-attributes redireciona para a nova juniper-access-line-attributes opção. Recomendamos que você use juniper-access-line-attributes.

    Nota:

    A juniper-access-line-attributes opção não é compatível com o Junos OS Release 19.1 ou versões anteriores. juniper-access-line-attributes Isso significa que, se você tiver configurado a opção no Junos OS Release 19.2 ou versões superiores, você deve executar as etapas a seguir para fazer o downgrade para Junos OS Release 19.1 ou versões anteriores:

    1. Elimine a juniper-access-line-attributes opção de todos os perfis de acesso que a incluam.

    2. Realize o downgrade do software.

    3. Adicione a juniper-dsl-attributes opção aos perfis de acesso afetados.

  12. (Opcional) Configure o valor para o atributo RADIUS cliente 32 (NAS-Identificador), usado para solicitações de autenticação e contabilidade.
  13. (Opcional) Configure o cliente RADIUS para usar o formato estendido para RADIUS atributo 5 (NAS-Porta) e especifique a largura de campos no atributo NAS-Port, que especifica o número de porta física da NAS que está autenticando o usuário.
    • Para assinantes de Ethernet:

    • Para assinantes de ATM:

  14. (Opcional) Configure o caractere de deslimiter que o roteador insere entre valores no RADIUS atributo 87 (NAS-Port-Id).
  15. (Opcional) Configure as informações opcionais que o roteador inclui no RADIUS atributo 87 (NAS-Port-Id). Você pode especificar uma ou mais opções para aparecer no pedido padrão. Como alternativa, você pode especificar as opções e a ordem na qual elas aparecem. Os pedidos são mutuamente exclusivos e a configuração falha se você configurar uma ID-porta-NAS que inclui valores em ambos os tipos de pedido.

    Consulte Configurar uma ID de NAS-porta com opções adicionais e configurar o pedido no qual valores opcionais aparecem no ID de NAS-porta para informações detalhadas.

  16. (Opcional) Configure o tipo de porta incluído no RADIUS atributo 61 (NAS-Port-Type). Isso especifica o tipo de porta que o roteador usa para autenticar assinantes.
    Nota:

    Essa declaração é ignorada se você configurar o ethernet-port-type-virtual mesmo perfil de acesso.

  17. (Opcional) Configure o LAC para substituir o formato ID de chamada configurada para o valor enviado no número de chamada de L2TP AVP 22. Você pode substituir o formato ID da estação de chamada e configurar o LAC para usar a ACI, o ARI ou a ACI e o ARI que são recebidos do cliente L2TP no pacote PADR. Você também pode especificar um deslimiter a ser usado entre componentes da string AVP e um valor de reposição a ser usado quando os componentes de substituição configurados não são recebidos no pacote PADR.
    Nota:

    Consulte o formato ID da estação de chamada para obter mais informações.

  18. (Opcional) Sobrescreva o valor do atributo RADIUS NAS-IP-Address (4) no LNS com o valor do endereço IP de endpoint LAC da sessão se estiver presente no banco de dados de sessão. Se não estiver presente, o valor do atributo original será usado.
  19. (Opcional) Sobrescreva o valor do atributo RADIUS NAS-Port (5) no LNS com o valor do banco de dados de sessão se as informações de porta LAC NAS foram transmitidas ao LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original será usado.
  20. (Opcional) Sobrescreva o valor do atributo RADIUS NAS-Port-Type (61) no LNS com o valor do banco de dados de sessão se as informações de porta LAC NAS foram transmitidas ao LNS no Cisco Systems NAS Port Info AVP (100). Se não estiver presente, o valor do atributo original será usado.
  21. (Opcional) Configure um caractere delimiter para a string de ID remote-circuit-id-format de circuito remoto quando você usar a instrução para configurar a string a ser usada em vez de uma ID da estação de chamada em L2TP, número de chamada AVP 22. Se mais de um valor estiver configurado para o formato ID de circuito remoto, o caractere de desbaixador será usado como um separador entre os valores concatenados na string de ID do circuito remoto resultante.
    Nota:

    Você deve configurar a override calling-circuit-id remote-circuit-id instrução para o formato de ID de circuito remoto a ser usado no número de chamada AVP.

  22. (Opcional) Configure o valor de retorno para o LAC a ser enviado no número de chamada L2TP AVP 22, seja a ID configurada para estações de chamada ou a interface subjacente padrão. O uso do valor de rebaixamento remote-circuit-id-format é acionado quando os componentes da string de substituição configurados com a instrução — a ACI, o ARI ou a ACI e o ARI — não são recebidos pelo LAC no pacote PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure o formato da string que sobrescreve o formato ID de chamada-estação no número de chamada de L2TP AVP. Você pode especificar a ACI, o ARI ou a ACI e o ARI.
    Nota:

    Você deve configurar a override calling-circuit-id remote-circuit-id instrução para o formato de ID de circuito remoto a ser usado no número de chamada AVP.

  24. (Opcional) Configure o número de segundos que o roteador espera depois que um servidor se tornar inalcançável antes de fazer outra tentativa de chegar ao servidor. Se o servidor for então alcançável, ele será usado de acordo com a ordem da lista de servidores.
    Nota:

    Você também pode configurar essa opção para todos os RADIUS servidores. Consulte as opções de configuração aplicadas a todos os RADIUS servidores.

  25. (Opcional) Configure se o assinante recém-autenticado pode fazer login com sucesso quando ocorrerem falhas de ativação de serviço relacionadas a erros de configuração durante o processamento authd da solicitação de ativação da família de endereços do assinante. Você pode especificar esse comportamento para serviços configurados em perfis dinâmicos ou nos scripts de operação Extensible Subscriber Services Manager (ESSM:
    • optional-at-login— A ativação do serviço é opcional. A falha na ativação devido a erros de configuração não impede a ativação da família de endereços; ela permite acesso ao assinante. Falhas na ativação de serviço devido a outras causas que não os erros de configuração podem causar falha na ativação da família da rede. A tentativa de login é terminada, a menos que outra família de endereços já esteja ativa para o assinante.

    • required-at-login— É necessário ativação do serviço. Falha na ativação por qualquer motivo faz com que a ativação da família da rede seja falha. A tentativa de login é terminada, a menos que outra família de endereços já esteja ativa para o assinante.

  26. (Opcional) Especifique RADIUS atributo 5 (NAS-porta) inclui a ID S-VLAN, além da ID VLAN, para assinantes em interfaces Ethernet.

Configurando uma ID de estação de chamada com opções adicionais

Use esta seção para configurar um valor alternativo para o atributo ID da chamada-estação (RADIUS IETF 31) em um perfil de acesso no roteador da série MX .

Você pode configurar a ID da estação de chamada para incluir uma ou mais das seguintes opções, em qualquer combinação, na hierarquia [edit access profile profile-name radius options calling-station-id-format]:

  • Identificador de circuito de agente (agent-circuit-id)— Identificador do nó de acesso do assinante e da linha de assinante digital (DSL) no nó de acesso. A string identificador de circuito agente (ACI) é armazenada no campo DHCP option 82 de mensagens DHCP para tráfego DHCP ou nos pacotes de controle DSL Forum Agent-Circuit-ID VSA [26-1] do PPPoE Active Discovery Initiation (PADI) e dos pacotes de controle PPPoE Active Discovery Request (PADR) para tráfego PPPoE.

  • Identificador remoto de agente (agent-remote-id)— Identificador do assinante na interface DSLAM (Digital Subscriber Line Access Multiplexer, Multiplexador de acesso à linha do assinante digital) que ativou a solicitação de serviço. A cadeia de identificadores remotos (ARI) do agente é armazenada no campo opção DHCP 82 para tráfego DHCP ou no DSL Forum Agent-Remote-ID VSA [26-2] para tráfego PPPoE.

  • Descrição da interface (interface-description)— Valor da interface.

  • Descrição do texto da interface (interface-text-description)— Descrição de texto da interface. A descrição do texto da interface está configurada separadamente, usando a instrução set interfaces interface-name description description ou a set interfaces interface-name unit unit-number description description declaração

  • endereço MAC (mac-address)— endereço MAC do dispositivo de origem para o assinante.

  • NAS identificador (nas-identifier)— Nome da NAS que originou a autenticação ou solicitação de contabilidade. NAS-Identifier é RADIUS IETF atributo 32.

  • VLAN empilhado (stacked-vlan)— ID VLAN empilhado.

  • VLAN (vlan)— ID VLAN.

Se você configurar o formato da ID da estação de chamada com mais de um valor opcional, um caractere hash (#) é o deslimitro padrão que o roteador usa como um separador entre os valores concatenados na string ID da chamada da estação de chamada. Opcionalmente, você pode configurar um caractere de delimiter alternativo para a ID de chamada-estação a ser usada. O exemplo a seguir mostra a ordem de saída ao configurar vários valores opcionais:

Para configurar um perfil de acesso para fornecer informações opcionais no ID da estação de chamada:

  1. Especifique o perfil de acesso que deseja configurar.
  2. Especifique se você deseja configurar RADIUS opções.
  3. Especifique o caractere não-padrão a ser usado como o deslimitro entre os valores concatenados no ID da chamada-station.

    Por padrão, o gerenciamento do assinante usa o caractere hash (#) como o delimiter em cadeias de ID de chamada de estação de chamada que contêm mais de um valor opcional.

  4. Configure o valor para o NAS-Identifier (RADIUS atributo 32), usado para solicitações de autenticação e contabilidade.
  5. Especifique que deseja configurar o formato da ID da estação de chamada.
  6. (Opcional) Inclua a descrição do texto da interface na ID de chamada da estação de chamada.
  7. (Opcional) Inclua o valor da descrição da interface no ID da estação de chamada.
  8. (Opcional) Inclua o identificador de circuito do agente na ID da estação de chamada.
  9. (Opcional) Inclua o identificador remoto do agente na ID da estação de chamada.
  10. (Opcional) Inclua o valor NAS identificador de chamada na ID da estação de chamada.
  11. (Opcional) Inclua a ID VLAN empilhada no ID da estação de chamada.
  12. (Opcional) Inclua a ID de VLAN na ID da estação de chamada.
  13. (Opcional) Inclua o endereço MAC na ID da estação de chamada.

Exemplo: ID de chamada de estação com opções adicionais em um perfil de acesso

O exemplo a seguir cria um perfil de acesso chamado varejista01 que configura uma string ID-Station-Chamada que inclui o NAS-Identifier (fox), descrição da interface, identificador de circuito de agente e opções de identificador remoto do agente.

A string ID da chamada da estação de chamada é formatada da seguinte forma:

fox*ge-1/2/0.100:100*as007*ar921

Onde:

  • O valor NAS-Identificador de dados é fox.

  • O caractere Delimiter Calling-Station-ID é * (asterisk).

  • O valor da descrição da interface é ge-1/2/0.100:100.

  • O valor do identificador de circuito do agente é as007.

  • O valor do identificador remoto do agente é ar921.

Considere um exemplo em que todas as opções estão configuradas, mas não há valores disponíveis para o Agent-Circuit-ID, o Agent-Remote-Id ou o identificador VLAN empilhado. Os outros valores são os seguinte:

  • NAS identificador — solário

  • descrição da interface — ge-1/0/0.1073741824:101

  • descrição do texto da interface — interface por exemplo

  • Endereço MAC — 00:00:5E:00:53:00

  • Identificador de VLAN — 101

Esses valores resultam na seguinte ID de Chamada-Estação:

Filtragem de RADIUS atributos e VSAs a partir de RADIUS mensagens

Atributos padrão e atributos específicos do fornecedor (VSAs) recebidos RADIUS as mensagens têm precedência sobre os valores de atributo provisionados internamente. Os atributos de filtragem consistem em escolher ignorar determinados atributos quando são recebidos nos pacotes Access Accept e excluir determinados atributos de serem enviados ao RADIUS servidor. Ignorar os atributos recebidos do servidor RADIUS permite que seus valores provisionados localmente sejam usados. Excluir atributos de serem enviados é útil, por exemplo, para atributos que não mudam durante a vida útil de um assinante. Ele permite reduzir o tamanho do pacote sem perda de informações.

Você pode especificar atributos RADIUS padrão e VSAs que o roteador ou switch ignoram depois quando são recebidos em RADIUS mensagens Access-Accept. Você também pode especificar atributos e VSAs que o roteador ou switch exclui dos tipos de RADIUS de mensagens. Exclusão significa que o roteador ou switch não inclui o atributo nas mensagens especificadas enviadas ao RADIUS servidor.

A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir RADIUS atributos padrão e VSAs especificando o número de atributo padrão ou a ID do fornecedor atribuído IANA e o número VSA, respectivamente. Com esse método de configuração flexível, você pode configurar qualquer atributo padrão e a VSA suportada pela sua plataforma ser ignorada ou excluída. A configuração não terá efeito se você configurar atributos, fornecedores e VSAs não compatíveis.

O método legado permite configurar apenas esses atributos e VSAs para os quais a sintaxe da declaração inclui uma opção específica. Portanto, você pode usar o método legado para ignorar apenas um subconjunto de todos os atributos que podem ser recebidos em mensagens Access-Accept.

Para configurar os atributos ignorados ou excluídos pelo roteador ou switch:

  1. Especifique se você deseja configurar RADIUS no perfil de acesso.
  2. Especifique que deseja configurar como RADIUS atributos são filtrados.
  3. (Opcional) Especifique um ou mais atributos que você deseja que seu roteador ou switch ignore quando os atributos estão em mensagens Access-Accept.
    • Método legado: especifique uma opção dedicada para o atributo:

    • Método flexível: especifique o número de atributo padrão ou a ID do fornecedor IANA atribuído à IANA e o número VSA:

  4. (Opcional) Configure um atributo que você deseja que seu roteador ou switch seja excluído de um ou mais tipos de RADIUS de mensagem. Não é possível configurar uma lista de atributos, mas você pode especificar uma lista de tipos de mensagem para cada atributo.
    • Método legado: especifique uma opção dedicada para atributo e tipo de mensagem:

    • Método flexível: especifique o número de atributo padrão ou IANA ID de fornecedor atribuído à IANA, o número VSA e o tipo de mensagem:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para ignorar o atributo de RADIUS padrão, o Framed-IP-Netmask (9) e os VSAs de Juniper Networks, nome de entrada-política (26-10) e Nome da saída-política (26-11).

  • Método legado:

  • Método flexível:

O exemplo a seguir compara os métodos de configuração legados e flexíveis para excluir o atributo de RADIUS padrão, o Framed-IP-Netmask (9) e os VSAs de Juniper Networks, nome de entrada-política (26-10) e Nome da saída-política (26-11).

  • Método legado:

  • Método flexível: especifique o número de atributo padrão ou IANA ID de fornecedor atribuído à IANA, o número VSA e o tipo de mensagem:

O que acontece se você especificar um atributo com ambos os métodos no mesmo perfil? A configuração eficaz é a OR lógica dos dois métodos. Considere o exemplo a seguir para o atributo padrão, tempo de atraso da contabilidade (41):

O resultado é que o atributo é excluído de todos os quatro tipos de mensagens: Accounting-Off, Accounting-On, Accounting-Start e Accounting-Stop. O efeito é o mesmo que se uma das seguintes configurações for usada:

Tabela de histórico de lançamento
Lançamento
Descrição
18.1R1
A partir do Junos OS Release 18.1R1, você pode configurar o roteador ou switch para ignorar ou excluir RADIUS atributos padrão e VSAs especificando o número de atributo padrão ou a ID do fornecedor atribuído IANA e o número VSA, respectivamente.