NESTA PÁGINA
Visão geral da configuração de Assinantes em Interfaces Estáticas
Exemplo: configuração de assinantes estáticos para acesso de assinante
Especificando o perfil de acesso global do assinante estático
Especificando o perfil dinâmico global do assinante estático
Habilitação de vários assinantes em uma interface lógica VLAN para todos os assinantes estáticos
Configurando a senha de autenticação global do assinante estático
Especificando o perfil de acesso do grupo de assinantes estáticos
Especificando o perfil dinâmico do grupo de assinantes estáticos
Especificando o perfil de serviço do grupo de assinantes estáticos
Habilitando vários assinantes em uma interface lógica VLAN para um grupo de assinantes estáticos
Configurando a senha de autenticação do grupo de assinantes estáticos
Configurando o nome de usuário do grupo de assinantes estáticos
JSRC e Assinantes em Interfaces Estáticas
Visão geral dos assinantes em interfaces estáticas
Você pode associar assinantes a interfaces configuradas estaticamente e fornecer ativação e desativação de serviços dinâmicos para esses assinantes. Quando a interface estática é ativada, o evento é tratado como um login de assinante. Quando a interface fica inativa, ela é tratada como um logout de assinante.
Você pode configurar os assinantes estáticos para serem autenticados e autorizados por meio do RADIUS. Nesse caso, o RADIUS pode ativar e desativar serviços com mensagens de alteração de autorização (CoA). No entanto, essa configuração não impede que a interface apareça e encaminhe o tráfego. Além disso, os parâmetros de autorização não são impostos na interface do assinante.
Como alternativa, é possível usar o JSRC para ativação e desativação de serviços dinâmicos para esses assinantes. Depois que os assinantes estiverem presentes no banco de dados de sessão (SDB), o JSRC poderá relatar os assinantes ao SAE para que o software SRC possa gerenciar os assinantes posteriormente.
As seguintes diretrizes se aplicam a assinantes estáticos:
Os assinantes estáticos são suportados apenas em interfaces Ethernet, interfaces demux estáticas e interfaces pseudowire em túneis lógicos (PS/LT). O suporte a PS/LT, introduzido no Junos OS Release 18.3R1, permite o gerenciamento completo de assinantes (equivalente a assinantes dinâmicos) para assinantes provisionados estaticamente cujo tráfego é transportado por modelos de acesso IP/MPLS.
Apenas um assinante estático pode existir em uma determinada interface.
Uma interface não pode aparecer em mais de um grupo.
Os assinantes estáticos não podem ser criados em interfaces dinâmicas.
Os assinantes estáticos devem trabalhar com o JSRC. Inclua a provisioning-order jsrc instrução no nível de [edit access profile profile-name] hierarquia para permitir que o JSRC manipule os assinantes na direção do software SRC.
Se a solicitação de autenticação falhar para um assinante estático, um temporizador não configurável de 60 minutos começará a contagem regressiva. A solicitação é reemitida quando o temporizador expira. Essa ação se repete enquanto a interface estiver operacionalmente ativa.
Você pode forçar um logout do assinante estático emitindo o request services static-subscribers logout interface interface-name comando. Um assinante estático também pode ser desconectado pela AAA ou por um gerenciador de política externa. Em ambos os casos, nenhum logon subsequente pode ocorrer na interface subjacente até que você redefina o estado emitindo o request services static-subscribers login interface interface-name comando ou o roteador ou o processo seja reinicializado.
Você pode fazer logout de um grupo de interfaces emitindo o request services static-subscriber logout group group-name comando. Posteriormente, você pode fazer login em um grupo de interfaces emitindo o request services static-subscriber login group group-name comando.
Nenhuma nova instrução CLI é necessária para configurar o perfil dinâmico para assinantes estáticos. O perfil dinâmico pode ser muito simples; Ele é ativado no login e desativado no logout. Se você não configurar um perfil, o junos-default-profile será ativado automaticamente.
Durante um evento de comutação do Mecanismo de Roteamento (GRES) gracioso, os assinantes estáticos ativos são recuperados, os assinantes inativos são limpos e o logout continua para os assinantes que estavam no processo de logout.
Inclua a static-subscribers declaração no nível da [edit system services] hierarquia para configurar assinantes estáticos. Inclua a traceoptions declaração no nível da [edit system processes static-subscribers] hierarquia para configurar operações de rastreamento para assinantes estáticos.
Você pode configurar o perfil de acesso, o perfil dinâmico, o perfil de serviço e os parâmetros de autenticação para todos os assinantes estáticos ou para um grupo específico de assinantes estáticos:
Para configurar o perfil de acesso que dispara serviços AAA para o assinante estático para todos os assinantes estáticos, inclua a
access-profiledeclaração no nível da[edit system services static-subscribers]hierarquia. Como alternativa, inclua essa declaração no nível da[edit system services static-subscribers group group-name]hierarquia para aplicar o perfil a um grupo específico e substituir uma configuração de nível superior.Para configurar o perfil dinâmico que é instanciado quando o assinante estático faz login para todos os assinantes estáticos, inclua a
dynamic-profileinstrução no nível da[edit system services static-subscribers]hierarquia. Como alternativa, inclua essa declaração no nível da[edit system services static-subscribers group group-name]hierarquia para aplicar o perfil a um grupo específico e substituir uma configuração de nível superior. Não especifique um perfil dinâmico que crie uma interface dinâmica.Para configurar o perfil de serviço para todos os assinantes estáticos no nível global e no nível do grupo, inclua a
service-profiledeclaração no[edit system services static-subscribers group group-name] hierarchy level.Para configurar os parâmetros de autenticação que disparam uma mensagem de solicitação de acesso para AAA para todos os assinantes estáticos, inclua a
authenticationdeclaração no nível da[edit system services static-subscribers]hierarquia. Como alternativa, inclua a declaração no nível da hierarquia para configurar a[edit system services static-subscribers group group-name]autenticação para um grupo específico e substituir uma configuração de nível superior. Se você não configurar a autenticação, por padrão, o nome da interface será modificado e usado como o nome de usuário padrão para a sessão do assinante e a solicitação de autenticação.
Os parâmetros de autenticação configuráveis incluem a senha e detalhes de como o nome de usuário é formado. Inclua a password declaração no nível da [edit system services static-subscribers authentication] hierarquia para configurar a senha de autenticação para todos os assinantes estáticos. Como alternativa, inclua a declaração no nível da hierarquia para configurar a [edit system services static-subscribers group group-name authentication] autenticação para um grupo específico e substituir uma configuração de nível superior.
O nome de usuário enviado à AAA para autenticação deve incluir pelo menos um dos seguintes atributos:
Nome de domínio
Prefixo do usuário
Nome da interface
Nome do sistema lógico
Nome da instância de roteamento
Para configurar como o nome de usuário é formado para todos os assinantes estáticos, inclua as instruções desejadas no nível da [edit system services static-subscribers authentication] hierarquia: domain-name, user-prefix, logical-system-name, ou routing-instance-name. Como alternativa, inclua as declarações desejadas no nível da [edit system services static-subscribers group group-name authentication] hierarquia para configurar o nome de usuário para um grupo específico e substituir uma configuração de nível superior.
Se você alterar a configuração de autenticação para um grupo existente ou para assinantes estáticos globalmente, a alteração não terá efeito sobre os assinantes estáticos existentes. As alterações são aplicadas somente a todos os novos logons que são tentados depois que você confirma as alterações.
Uma configuração de grupo deve especificar todas as interfaces que você espera que ofereçam suporte a assinantes estáticos. Inclua a interface instrução no nível de [edit system services static-subscribers group group-name] hierarquia para especificar as interfaces. Essa instrução permite que você especifique uma única interface ou um intervalo de interfaces.
Você também deve configurar estaticamente essas interfaces antes que qualquer assinante estático possa ser suportado nelas. Você deve configurar as interfaces estáticas no mesmo sistema lógico e instância de roteamento que o grupo que inclui as interfaces.
Se você alterar as interfaces incluídas em um grupo de interfaces existente, os assinantes estáticos existentes serão automaticamente desconectados e novamente quando você confirmar as alterações. No entanto, as alterações feitas na configuração da interface em si não afetam o estado de login ou logout do assinante estático associado a essa interface.
Por padrão, não há suporte para vários assinantes na mesma interface lógica de VLAN. Se você quiser dar suporte a esse comportamento, poderá gerenciar vários assinantes em uma única interface lógica de duas maneiras. Você pode mesclar atributos como filtros de firewall e atributos de CoS para os vários assinantes ou substituir os atributos atuais pelos de um novo assinante sempre que um novo assinante fizer login na interface lógica de VLAN subjacente.
Para habilitar a mesclagem de atributos para todas as interfaces estáticas, inclua a
aggregate-clients mergeinstrução no nível da[edit system services static-subscribers]hierarquia. Como alternativa, inclua essa declaração no nível da hierarquia para habilitar a[edit system services static-subscribers group group-name]mesclagem de atributos para um grupo específico de interfaces estáticas e substituir uma configuração de nível superior.Para habilitar a substituição de atributo para todas as interfaces estáticas, inclua a
aggregate-clients replaceinstrução no nível da[edit system services static-subscribers]hierarquia. Como alternativa, inclua essa declaração no nível da hierarquia para habilitar a[edit system services static-subscribers group group-name]substituição de atributo para um grupo específico de interfaces estáticas e substituir uma configuração de nível superior.
Benefícios dos assinantes em interfaces estáticas
Oferece aos assinantes estáticos a capacidade de configurar o perfil de serviço.
Fornece ativação dinâmica de serviço para os assinantes associados com interfaces configuradas estaticamente.
Oferece vantagem competitiva com conformidade com RFC.
Visão geral da configuração de Assinantes em Interfaces Estáticas
Este tópico descreve o procedimento para configurar assinantes em interfaces estáticas (assinantes estáticos).
Antes de configurar assinantes em interfaces estáticas, execute as seguintes tarefas:
Configure as interfaces estáticas nas quais você deseja criar e gerenciar assinantes.
Crie um perfil de acesso para disparar serviços AAA para assinantes estáticos.
Crie um perfil dinâmico que é instanciado quando os assinantes estáticos fazem login.
Para configurar assinantes estáticos:
Exemplo: configuração de assinantes estáticos para acesso de assinante
Este exemplo mostra uma configuração de assinante estático.
Configure o perfil de acesso a ser usado para assinantes estáticos.
access { profile access5 { provisioning-order jsrc; accounting { order radius; } authentication { order radius; } } }Configure o perfil dinâmico a ser usado para assinantes estáticos.
Se você não configurar esse perfil, o perfil padrão, junos-default-profile, será usado.
Configure as interfaces estáticas nas quais colocar os assinantes estáticos em camadas.
Configure os parâmetros que se aplicam globalmente a todos os assinantes estáticos no contexto de configuração.
static-subscribers { access-profile access5; dynamic-profile dyn-profile-1; authentication { password $ABC123; username-include { user-prefix Building5; interface; logical-system-name; routing-instance-name; domain-name example.com; } } }Se você quiser substituir os parâmetros globais para determinados assinantes estáticos, crie um grupo de interfaces estáticas para esses assinantes e configure os parâmetros a serem aplicados a esse grupo. Repita esta etapa para quantos grupos forem necessários.
static-subscribers { group boston { interface ge-1/0/1.1 upto ge-1/0/1.102 interface ge-1/0/1.6 exclude interface ge-1/0/1.70 upto ge-1/0/1.80 exclude access-profile boston-acs; dynamic-profile dyn-profile-2; authentication { password $ABC123; username-include { user-prefix 2ndFloor; interface; logical-system-name; routing-instance-name; domain-name example.net; } } } }Configure opções de rastreamento para eventos de assinante estático.
static-subscribers { traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
Especificando o perfil de acesso global do assinante estático
Você especifica um perfil de acesso criado anteriormente que aciona serviços AAA para todos os assinantes estáticos. Esse valor pode ser substituído para um grupo de assinantes estáticos quando um perfil diferente é configurado para esse grupo.
Para especificar o perfil de acesso usado para todos os assinantes estáticos:
Especifique o nome do perfil.
[edit system services static-subscribers] user@host# set access-profile access5
Especificando o perfil dinâmico global do assinante estático
Você especifica um perfil dinâmico criado anteriormente que é instanciado quando um assinante estático faz login. Esse perfil é usado para todos os assinantes estáticos. Esse valor pode ser substituído para um grupo de assinantes estáticos quando um perfil diferente é configurado para esse grupo.
Para especificar o perfil dinâmico usado para todos os assinantes estáticos:
Especifique o nome do perfil.
[edit system services static-subscribers] user@host# set dynamic-profile dyn-profile-1
Habilitação de vários assinantes em uma interface lógica VLAN para todos os assinantes estáticos
Para uma determinada interface, apenas um único assinante estático (ou grupo) está conectado. Embora não recomendemos essa prática, você pode ter outros tipos de assinantes configurados na mesma interface, como um assinante DHCP gerenciado pelo aplicativo DHCP. Você pode usar a aggregate-clients instrução para estender o perfil dinâmico para todos os assinantes estáticos para permitir que vários assinantes compartilhem a mesma interface lógica VLAN.
Você pode especificar que atributos (como CoS ou firewall) para os vários assinantes sejam mesclados para a interface lógica. Ou seja, os perfis de vários assinantes de diferentes tipos são instanciados na interface, mas os atributos de perfil de cada um são mesclados. Como alternativa, você pode especificar que o perfil instanciado do assinante atual seja substituído pelo perfil de um novo assinante que faz login usando a mesma interface lógica. Essa configuração pode ser substituída para um grupo de assinantes estáticos quando uma configuração diferente é aplicada a esse grupo.
A aggregate-clients declaração não é suportada para gerenciamento aprimorado de assinantes.
Para permitir que vários assinantes compartilhem a mesma interface lógica VLAN para todos os assinantes estáticos, siga um destes procedimentos:
Especifique que os vários atributos de assinante sejam mesclados para a interface lógica.
[edit system services static-subscribers dynamic-profile dyn-profile-1] user@host# set aggregate-clients merge
Especifique que toda a interface lógica seja substituída quando um novo assinante fizer login na rede usando a mesma interface lógica de VLAN.
[edit system services static-subscribers dynamic-profile dyn-profile-3] user@host# set aggregate-clients replace
Configurando a senha de autenticação global do assinante estático
Você configura uma senha incluída na mensagem Access-Request enviada ao AAA para autenticar todos os assinantes estáticos. Esse valor pode ser substituído para um grupo de assinantes estáticos quando uma senha diferente é configurada para esse grupo.
Para especificar a senha de autenticação usada para todos os assinantes estáticos:
Especifique a senha.
[edit system services static-subscribers authentication] user@host# set password $ABC123
Configurando o nome de usuário global do assinante estático
Você configura como o nome de usuário é formado. O nome de usuário serve como nome de usuário para todos os assinantes estáticos criados e está incluído na mensagem de solicitação de acesso enviada à AAA para autenticar todos os assinantes estáticos. Esse valor pode ser substituído para um grupo de assinantes estáticos quando um nome de usuário diferente é configurado para esse grupo.
O nome de usuário deve incluir pelo menos um dos elementos possíveis. O valor de cada elemento é concatenado em uma ordem específica; A string resultante é o nome de usuário. Se você especificar sua inclusão, o nome da interface, o nome do sistema lógico, o nome da instância de roteamento e as tags VLAN serão derivados do contexto de configuração. Os elementos são ordenados da seguinte forma (mostrados com o delimitador padrão):
user-prefix.interface.outer-tag–inner-tag.logical-system-name.routing-instance-name@domain-name
Para configurar o nome de usuário para todos os assinantes estáticos:
Considere a seguinte configuração:
[edit system services static-subscribers authentication username-include] user@host# set user-prefix Building5 user@host# set interface user@host# set logical-system-name user@host# set routing-instance-name user@host# set domain-name campus.example.com
Configurado no sistema lógico padrão e na instância de roteamento mestre para a interface ge-0/1/1.100, esta configuração de exemplo gera o seguinte nome de usuário:
Building5.ge-0-1-1-100.default.master@campus.example.com
Agora, considere uma configuração diferente, em que a interface estática tem uma VLAN de marca dupla, com uma ID de VLAN externa de 4040 e uma ID de VLAN interna de 3000:
[edit system services static-subscribers authentication username-include] user@host# set user-prefix Floor12 user@host# set domain-name Bldg5.example.com user@host# set vlan-tags user@host# set delimiter $
Esta configuração de exemplo gera o seguinte nome de usuário:
Floor12$4040-3000@Bldg5.example.com
Mesmo que um delimitador de $ esteja configurado, as IDs VLAN externas e internas são sempre separadas por - e o nome de domínio é sempre separado dos elementos anteriores por @.
Criando um grupo de assinantes estáticos
Você pode substituir a configuração aplicada globalmente aos assinantes estáticos criando um grupo de assinantes estáticos que consiste em um conjunto de interfaces configuradas estaticamente. Em seguida, você pode aplicar uma configuração comum para o grupo com valores diferentes dos valores globais para perfis de acesso e dinâmicos, senha e nome de usuário.
Para configurar um grupo de interfaces para assinantes estáticos:
Especificando o perfil de acesso do grupo de assinantes estáticos
Você pode substituir o perfil de acesso global configurado especificando um perfil diferente para um grupo de assinantes estáticos. O perfil de acesso aciona serviços AAA para esse grupo de assinantes estáticos.
Para especificar o perfil de acesso usado para um grupo de assinantes estáticos:
Especifique o nome do perfil.
[edit system services static-subscribers group boston] user@host# set access-profile boston-acs
Especificando o perfil dinâmico do grupo de assinantes estáticos
Você pode substituir o perfil dinâmico global configurado especificando um perfil diferente para um grupo de assinantes estáticos. O perfil dinâmico é instanciado quando qualquer assinante estático no grupo faz login.
Para especificar o perfil dinâmico usado para um grupo de assinantes estáticos:
Especifique o nome do perfil.
[edit system services static-subscribers group boston] user@host# set dynamic-profile dyn-profile-2
Especificando o perfil de serviço do grupo de assinantes estáticos
Quando o servidor de política externa está indisponível, você pode atribuir um perfil de serviço dinâmico padrão a ser aplicado a uma sessão de assinante estático, especificando o perfil de serviço do Junos OS Release 17.4R1 em diante. O perfil de serviço pode ser especificado no nível do grupo e no nível global. Especifique service-profile a declaração no nível de [edit system services static-subscribers group group-name] hierarchy level
Para especificar o perfil de serviço usado para um grupo de assinantes estáticos:
Especifique o nome do perfil de serviço dinâmico.
[edit system services static-subscribers group group-name] user@host# set service-profile service-profile-name
Habilitando vários assinantes em uma interface lógica VLAN para um grupo de assinantes estáticos
Para uma determinada interface, apenas um único grupo de assinantes estáticos (ou assinantes estáticos) está conectado. Embora não recomendemos essa prática, você pode ter outros tipos de assinantes configurados na mesma interface, como um assinante DHCP gerenciado pelo aplicativo DHCP. Você pode usar a aggregate-clients instrução para estender o perfil dinâmico de um grupo de assinantes estáticos para permitir que vários assinantes compartilhem a mesma interface lógica de VLAN.
Você pode especificar que atributos (como CoS ou firewall) para os vários assinantes sejam mesclados para a interface lógica. Ou seja, os perfis de vários assinantes de diferentes tipos são instanciados na interface, mas os atributos de perfil de cada um são mesclados. Como alternativa, você pode especificar que o perfil instanciado do grupo de assinantes atual seja substituído pelo perfil de um novo assinante que faz logon usando a mesma interface lógica. Essa configuração substitui a configuração aplicada a todos os assinantes estáticos que não são membros do grupo.
Para permitir que vários assinantes compartilhem a mesma interface lógica VLAN para um grupo de assinantes estáticos, siga um destes procedimentos:
Especifique que os vários atributos de assinante sejam mesclados para a interface lógica.
[edit system services static-subscribers group boston dynamic-profile dyn-profile-2] user@host# set aggregate-clients merge
Especifique que toda a interface lógica seja substituída quando um novo assinante fizer login na rede usando a mesma interface lógica de VLAN.
[edit system services static-subscribers group boston dynamic-profile dyn-profile-4] user@host# set aggregate-clients replace
Configurando a senha de autenticação do grupo de assinantes estáticos
Você pode substituir a senha de autenticação global configurada especificando uma senha diferente para um grupo de assinantes estáticos. Essa senha é incluída na mensagem de solicitação de acesso enviada à AAA para autenticar todos os assinantes estáticos do grupo.
Para especificar a senha de autenticação usada para um grupo de assinantes estáticos:
Especifique a senha.
[edit system services static-subscribers group boston authentication] user@host# set password $ABC123
Configurando o nome de usuário do grupo de assinantes estáticos
Você pode substituir o nome de usuário global configurado especificando um nome de usuário diferente para um grupo de assinantes estáticos. O nome de usuário serve como o nome de usuário para um grupo de assinantes estáticos que é criado e está incluído na mensagem de solicitação de acesso enviada à AAA para autenticar esse grupo.
O nome de usuário deve incluir pelo menos um dos elementos possíveis. O valor de cada elemento é concatenado em uma ordem específica; A string resultante é o nome de usuário. Se você especificar sua inclusão, o nome da interface, o nome do sistema lógico, o nome da instância de roteamento e as tags VLAN serão derivados do contexto de configuração. Os elementos são ordenados da seguinte forma (mostrados com o delimitador padrão):
user-prefix.interface.outer-tag–inner-tag.logical-system-name.routing-instance-name@domain-name
Para configurar o nome de usuário para um grupo de assinantes estáticos:
Considere a seguinte configuração para o grupo de assinantes: shipping
[edit system services static-subscribers group shipping authentication username-include] user@host# set user-prefix warehouse3 user@host# set interface user@host# set logical-system-name user@host# set routing-instance-name user@host# set domain-name campus.example.com
Configurada no sistema lógico padrão e na instância de roteamento R5 para a interface ge-0/1/2.50, esta configuração de exemplo gera o seguinte nome de usuário:
warehouse3.ge-0-1-2-50.default.R5@campus.example.com
Agora considere uma configuração diferente para o mesmo grupo de assinantes, em que a interface estática tem uma VLAN de marca única com uma ID de VLAN externa de 2101:
[edit system services static-subscribers group shipping authentication username-include] user@host# set user-prefix warehouse3 user@host# set domain-name Bldg5.example.com user@host# set vlan-tags user@host# set delimiter %
Esta configuração de exemplo gera o seguinte nome de usuário:
warehouse3%2101@Bldg5.example.com
Mesmo que um delimitador de % esteja configurado, o nome de domínio é sempre separado dos elementos anteriores por @.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.