Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

订阅者管理的动态配置文件

动态配置文件概述

动态配置文件是一组特征,充当一种模板,使您能够创建、更新或删除可用于为宽带应用程序提供动态订阅者访问和服务的配置。使用这些配置文件可以合并客户端或客户端组的所有公共属性,并同时应用这些属性或动态创建的对象。创建配置文件后,它们将驻留在配置文件库中的路由器上。

您可以使用两种动态配置文件动态管理订阅者: 客户端配置文件服务配置文件。两种配置文件类型均在层次结构级别配置, [edit dynamic-profiles] 并且相互独立。除了动态客户端配置文件外,是否还使用动态服务配置文件取决于您如何支持订阅者之间的差异化以及如何打包订阅者服务。

动态客户端配置文件也可以正确地称为动态订阅者配置文件。

动态客户端配置文件有时称为客户端访问配置文件。但是,它们不同于在层次结构级别上 [edit access profile profile-name] 配置的访问配置文件。访问配置文件用于配置订阅者访问的身份验证、核算和授权参数、某些会话属性以及 L2TP 和 PPP 会话的客户端特定属性。通过 access-profile 语句,可以在各种配置级别应用接入配置文件。

动态客户端配置文件和动态服务配置文件

动态客户端和动态服务配置文件之间的主要区别如下:

  • 将配置动态客户端配置文件并将其应用于客户端应用程序配置;例如,DHCP、DHCPv6、L2TP LNS、PPPoE、静态订阅者和 VLAN。配置文件的内容将应用于用户会话的逻辑接口。通常,动态客户端配置文件支持应用配置文件的逻辑接口的动态实例化,但客户端配置文件也可以应用于静态用户逻辑接口。

    动态客户机配置文件可以包括 下的任何节 [edit dynamic-profiles profile-name],但 variables variable-name除外。

  • 动态服务配置文件仅包括与服务相关的配置,这些配置是动态客户端配置文件中可用配置的子集。它们不包括用户会话的其他配置属性。不能使用服务配置文件创建或修改逻辑接口。动态服务配置文件可作为创建逻辑接口后使用的动态客户端配置文件的补充。

    动态服务配置文件可以包括以下节 [edit dynamic-profiles profile-name]class-of-service、 、 firewallprotocolsservicesvariables

动态客户端配置文件和动态服务配置文件在可使用的变量类型上也有所不同:

  • 动态客户端配置文件可以包含预定义变量默认值,用于定义配置文件中包含的瞻博网络预定义变量的默认值。当 RADIUS 不返回变量值时,将使用配置文件中的默认值。有关预定义变量的信息,请参阅 动态变量概述在动态配置文件中配置预定义变量的默认值

  • 动态服务配置文件可以包含用户定义的变量,这些变量在函数调用中充当参数。变量值可由 RADIUS 服务器提供,以支持对每个订阅者进行更专业的自定义。您还可以为这些变量设置默认值,以便在 RADIUS 未提供值时使用。有关用户定义变量的信息,请参阅 动态配置文件中的用户定义变量

  • 动态客户端配置文件不包括用户定义的变量。动态服务配置文件不包括预定义变量默认值。

表 1 列出了接入配置文件和服务配置文件支持的变量类型。

表 1:动态配置文件中支持的变量类型

动态配置文件类型

Junos OS 预定义变量(本地)

Junos OS 预定义变量 (RADIUS)

用户定义变量

访问配置文件

是的

是的

是的

服务配置文件

是的

是的

表 2 列出了接入配置文件和服务配置文件支持的默认值、表达式和唯一标识符。

表 2:动态配置文件中支持的默认值和表达式

动态配置文件类型

默认值

表达式

唯一标识符

访问配置文件

是(仅限 RADIUS 预定义变量)

是(仅限调度器和调度器映射)

服务配置文件

是(仅限用户定义变量)

是(仅限服务激活)

是(仅限防火墙过滤器)

动态将服务应用于订阅者会话

您可以通过多种方式配置要应用于订阅者会话的服务:

  • 在动态客户端配置文件中包括订阅者会话的服务配置。例如,您可以配置服务等级 (CoS) 等第 2 层服务和动态防火墙过滤器等第 3 层服务。第 3 层服务用于 DHCP、DHCPv6 和 PPPoE 用户的协商地址家族。请参阅 更改 CoS 服务概述

    注意:

    动态客户端配置文件不能引用动态服务配置文件。它只能直接包含服务配置。

  • 使用 RADIUS 配置应用动态服务配置文件。瞻博网络激活服务 VSA (26-65)(在订阅者进行身份验证时,在 RADIUS 访问接受消息中返回)可以引用动态服务配置文件,并可选择为服务传递附加参数。对于 DHCP 和 PPPoE 会话,当会话的地址族被激活时,将应用此服务配置文件。请参阅 使用 RADIUS 进行动态服务管理

    您可以使用另一个瞻博网络 VSA Deactivate-Service (26-66) 停用访问接受消息中的服务。

  • 在 RADIUS 授权变更 (CoA) 消息中通过瞻博网络 VSA 应用服务配置文件。您可以使用 CoA 消息激活 (VSA 26-65) 或停用 (VSA 26-66) 服务。例如,订阅者可以在会话建立后选择加入或退出服务。请参阅 RADIUS 发起的授权变更 (CoA) 概述

  • 通过在 DHCP 本地服务器、DHCP 中继代理、L2TP 或静态用户的配置中包含 service-profile 引用配置文件的语句来应用动态服务配置文件。例如,请参阅 指定静态用户组服务配置文件为使用内联服务接口的 LNS 会话配置 L2TP 隧道组以及 在 LNS 上配置 L2TP 访问配置文件

动态配置文件覆盖

从 Junos OS 14.1 版开始,您可以在 RADIUS 客户端配置文件名称 VSA [26-174] 中指定不同的动态配置文件,以使 RADIUS 覆盖配置的客户端动态配置文件。RADIUS 将此 VSA 返回给 AAA,并在 Access-Accept 消息中使用其他客户端会话属性。AAA随后覆盖客户端会话数据库条目中相应的配置文件名称属性,并将实例化此新配置文件而不是最初配置的配置文件。

动态配置文件版本创建

您可以创建订阅者当前正在使用的动态配置文件的新版本。动态配置文件版本创建在层次结构级别启用 [edit system] 。启用后,您可以在路由器上创建任何动态配置文件的多个版本。动态配置文件修改后登录的任何订阅者都将使用最新版本的动态配置文件。已激活的订阅者将继续使用旧版本的动态配置文件,直到他们注销或会话终止。

创建动态配置文件的版本时,请记住以下几点:

  • 在路由器上创建或使用任何动态配置文件之前,必须启用或禁用动态配置文件版本创建。不支持在配置动态配置文件后启用或禁用动态配置文件版本创建。

    注意:

    在为配置了任何动态配置文件的路由器启用或禁用动态配置文件版本创建之前,必须先从路由器配置中移除所有动态配置文件。

  • 动态用户档案的每个版本都作为新用户档案存储在用户档案数据库中。

  • 新配置文件版本的名称是通过将字符串附加到原始基本动态配置文件名称来派生的。此字符串包含两个美元符号 ($) 字符,用于标识配置文件名称的版本字段。这两个字符后跟数字字符,表示动态配置文件的“版本号”(例如,01)。

  • 动态配置文件的版本号由系统自动生成。

  • 您修改的动态配置文件始终存储为最新版本。您无法创建修改后的动态配置文件并将其另存为早期版本。例如,如果在动态配置文件使用时修改其版本 3,则动态配置文件将另存为版本 4。

  • 您只能修改动态配置文件的最新版本。

  • 版本号的最大值为 99999。但是,对于每个配置文件,一次仅支持 10 个活动版本。

  • 如果您修改的动态配置文件版本未被任何订阅者使用,则配置文件将被已提交的更改覆盖,而无需创建新版本。

  • 在达到动态配置文件的第 99999 个修改版本后,对动态配置文件的任何进一步修改都会导致覆盖该最终版本。如果最终版本正在使用中,则任何修改尝试都会在提交时失败。

  • 只有当动态配置文件的任何版本都未使用时,才能删除该动态配置文件。

  • 动态配置文件版本功能支持平滑重启和统一 ISSU。

动态配置文件语义检查

变量动态应用于动态配置文件,无法使用现有 CLI 命令进行检查。语义检查可验证动态配置文件中的一些变量,以帮助识别潜在的配置错误。

在提交和配置文件实例化期间执行语义检查。提交时间检查可确保变量出现在动态配置文件中的正确位置。在配置文件实例化之前执行的检查可确保替换变量的值是正确的。对值执行的检查包括:

  • 范围验证

  • 变量类型验证

  • 存在强制性变量

  • 与正则表达式的变量匹配

提交时间检查失败会导致显示错误消息并记录在文件中 /var/log/messages ,并且提交失败。实例化失败会导致在文件中 /var/log/messages 记录错误,并且配置文件实例化失败。

配置基本动态配置文件

本主题介绍如何创建基本动态配置文件。基本配置文件必须包含配置文件名称,并且在层次结构级别中包含接口变量名称(例如 $junos-interface-ifd-name),在层次结构级别上[edit dynamic-profiles profile-name interfaces variable-interface-name unit]包含[edit dynamic-profiles profile-name interfaces逻辑接口变量名称(例如 $junos-underlying-interface-unit $junos-interface-unit或 )。

为初始客户端访问配置动态配置文件之前:

  1. 配置希望 DHCP 客户端在访问网络时使用的必要路由器接口。

    有关可与动态配置文件搭配使用的接口类型以及如何配置这些接口的信息,请参阅 DHCP 用户接口概述

  2. 配置在验证 DHCP 客户端以访问 组播 网络时希望配置文件使用的所有RADIUS值。

    请参阅用于 订阅者访问的 RADIUS 服务器和参数

要配置基本动态配置文件:

  1. 为配置文件命名。
  2. interface-name使用路由器用于匹配接收接口的接口名称的内部$junos-interface-ifd-name变量定义该语句。
  3. 使用内部变量定义unit语句:

    • 引用现有接口时,请指定 $junos-underlying-interface-unit 路由器用于匹配接收接口的单位值的变量。

    • 创建动态接口时,请指定 $junos-interface-unit 路由器用于为接口生成单位值的变量。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
14.1
从 Junos OS 14.1 版开始,您可以在 RADIUS 客户端配置文件名称 VSA [26-174] 中指定不同的动态配置文件,以使 RADIUS 覆盖配置的客户端动态配置文件。