Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用于订阅者管理的动态配置文件

动态配置文件概述

动态配置文件是充当一种模板的一组特征,使您能够创建、更新或删除可用于为宽带应用程序提供动态订阅者访问和服务的配置。使用这些配置文件可以合并一个客户端或一组客户端的所有通用属性,并同时应用这些属性或动态创建的对象。创建配置文件后,它们将驻留在路由器的配置文件库中。

您可以使用两种动态配置文件动态管理订阅者: 客户端配置文件 和服务 配置文件。这两种配置文件类型都是在 [edit dynamic-profiles] 层次结构级别上配置的,并且彼此独立。除了动态客户端配置文件之外,是否使用动态服务配置文件,取决于如何支持订阅者之间的差异化以及如何打包订阅者服务。

动态客户端配置文件也可以正确地称为动态订阅者配置文件。

动态客户端配置文件有时称为客户端访问配置文件。但是,它们与在 [edit access profile profile-name] 层次结构级别上配置的访问配置文件不同。访问配置文件用于配置订阅者访问的身份验证、计费和授权参数、某些会话属性以及 L2TP 和 PPP 会话的客户端特定属性。访问配置文件可通过 access-profile 语句在各种配置级别上应用。

动态客户端配置文件和动态服务配置文件

动态客户端和动态服务配置文件之间的主要区别如下:

  • 预配动态客户端配置文件并将其应用于客户端应用程序配置;例如,DHCP、DHCPv6、L2TP LNS、PPPoE、静态订阅者和 VLAN。配置文件的内容将应用于订阅者会话的逻辑接口。通常情况下,动态客户端配置文件支持应用配置文件的逻辑接口的动态实例化,但客户端配置文件也可以应用于静态用户逻辑接口。

    动态客户端配置文件可以包括 下的任何节 [edit dynamic-profiles profile-name],但 除外 variables variable-name

  • 动态服务配置文件仅包括与服务相关的配置,这些配置是动态客户端配置文件中可用配置的子集。它们不包括订阅者会话的其他配置属性。您无法使用服务配置文件创建或修改逻辑接口。动态服务配置文件可作为动态客户端配置文件的补充,在创建逻辑接口后使用。

    动态服务配置文件可以在[edit dynamic-profiles profile-name]以下部分下包含以下class-of-service部分:、firewallprotocolsservicesvariables和。

动态客户端配置文件和动态服务配置文件可以使用的变量类型也不同:

  • 动态客户端配置文件可以包含预定义变量默认值,用于定义配置文件中包含的瞻博网络预定义变量的默认值。当 RADIUS 未返回变量的值时,将使用配置文件中的默认值。有关预定义变量的信息,请参阅 动态变量概述在动态配置文件中配置预定义变量的默认值

  • 动态服务配置文件可以包括用户定义的变量,这些变量的作用类似于函数调用中的参数。可变值可由 RADIUS 服务器提供,以支持针对每个订阅者的更专业自定义。您还可以为这些变量设置默认值,以便在 RADIUS 未提供该值时使用。有关用户定义变量的信息,请参阅 动态配置文件中的用户定义变量

  • 动态客户端配置文件不包括用户定义的变量。动态服务配置文件不包括预定义的变量默认值。

表 1 列出了访问配置文件和服务配置文件支持的变量类型。

表 1:动态配置文件中支持的变量类型

动态配置文件的类型

Junos OS 预定义变量(本地)

Junos OS 预定义变量 (RADIUS)

用户定义变量

访问配置文件

是的

是的

是的

服务配置文件

是的

是的

表 2 列出了访问配置文件和服务配置文件支持的默认值、表达式和唯一标识符。

表 2:动态配置文件中支持的默认值和表达

动态配置文件的类型

默认值

表达 式

唯一标识符

访问配置文件

是(仅限 RADIUS 预定义变量)

是(仅限调度程序和调度程序图)

服务配置文件

是(仅限用户定义的变量)

是(仅限服务激活)

是(仅限防火墙过滤器)

动态将服务应用于订阅者会话

您可以通过以下几种方式配置要应用于订阅者会话的服务:

  • 在动态客户端配置文件中包括订阅者会话的服务配置。例如,可以配置第 2 层服务(如服务等级 (CoS))和第 3 层服务(如动态防火墙过滤器)。第 3 层服务适用于 DHCP、DHCPv6 和 PPPoE 用户的协商地址族。请参阅 更改 CoS 服务概述

    注意:

    动态客户端配置文件不能引用动态服务配置文件。它只能直接包含服务配置。

  • 使用 RADIUS 配置应用动态服务配置文件。订阅者进行身份验证时,在 RADIUS Access-Accept 消息中返回的瞻博网络激活服务 VSA (26-65) 可以引用动态服务配置文件,并可选择传递服务的其他参数。对于 DHCP 和 PPPoE 会话,此服务配置文件将在激活会话的地址族时应用。请参阅 使用 RADIUS 进行动态服务管理

    您可以使用另一个瞻博网络 VSA(Deactivate-Service (26-66))在“访问接受”消息中停用服务。

  • 在 RADIUS 授权变更 (CoA) 消息中应用带有瞻博网络 VSA 的服务配置文件。您可以使用 CoA 消息激活 (VSA 26-65) 或停用 (VSA 26-66) 服务。例如,订阅者可以在建立会话后选择加入或退出服务。请参阅 RADIUS 发起的授权变更 (CoA) 概述

  • 应用动态服务配置文件,方法是在 service-profile DHCP 本地服务器、DHCP 中继代理、L2TP 或静态订阅者的配置中包含引用该配置文件的语句。例如,请参阅 指定静态用户组服务配置文件为具有内联服务接口的 LNS 会话配置 L2TP 隧道组在 LNS 上配置 L2TP 访问配置文件

动态配置文件覆盖

从 Junos OS 14.1 版开始,可以在 RADIUS Client-Profile-Name VSA [26-174] 中指定不同的动态配置文件,以使 RADIUS 覆盖配置的客户端动态配置文件。RADIUS 将此 VSA 返回给 AAA,并在 Access-Accept 消息中带有其他客户端会话属性。AAA 随后会覆盖客户端会话数据库条目中的相应配置文件名称属性,并且将实例化此新配置文件,而不是最初配置的配置文件。

动态配置文件版本创建

您可以创建订阅者当前正在使用的动态配置文件的新版本。在 [edit system] 层次结构级别启用动态配置文件版本创建。启用后,您可以在路由器上创建任何动态配置文件的多个版本。任何在修改动态配置文件后登录的订阅者都将使用最新版本的动态配置文件。已处于活动状态的订阅者将继续使用旧版本的动态配置文件,直到他们注销或会话终止。

创建动态配置文件的版本时,请记住以下几点:

  • 在路由器上创建或使用任何动态配置文件之前,必须启用或禁用动态配置文件版本创建。不支持在配置动态配置文件后启用或禁用动态配置文件版本创建。

    注意:

    在为配置了任何动态配置文件的路由器启用或禁用动态配置文件版本创建之前,必须先从路由器配置中移除所有动态配置文件。

  • 动态配置文件的每个版本都作为新配置文件存储在配置文件数据库中。

  • 通过将字符串追加到原始基本动态配置文件名称,派生了新配置文件版本的名称。此字符串包含两个美元符号 ($) 字符,用于标识配置文件名称的版本字段。这两个字符后面跟着数字字符,表示动态配置文件的“版本号”(例如,01)。

  • 系统会自动生成动态配置文件的版本号。

  • 您修改的动态配置文件始终存储为最新版本。您无法创建修改过的动态配置文件并将其另存为早期版本。例如,如果在使用动态配置文件时修改其版本三,则动态配置文件将另存为版本四。

  • 您只能修改动态配置文件的最新版本。

  • 版本号的最大值为 99999。但是,对于每个配置文件,一次仅支持 10 个活动版本。

  • 如果任何订阅者均未使用您修改的动态配置文件版本,则该配置文件将被提交的更改覆盖,而不会创建新版本。

  • 达到动态配置文件的第 99999 个修改版本后,对动态配置文件的任何进一步修改都会导致覆盖该最终版本。如果最终版本正在使用中,则任何修改尝试在提交时都会失败。

  • 仅当动态配置文件的任何版本均未使用时,才能删除该配置文件。

  • 动态配置文件版本功能支持平滑重启和统一 ISSU。

动态配置文件语义检查

变量将动态应用于动态配置文件,无法使用现有 CLI 命令进行检查。语义检查可验证动态配置文件中的某些变量,以帮助识别潜在的配置错误。

语义检查在提交和配置文件实例化期间执行。提交时间检查可确保变量出现在动态配置文件中的正确位置。在配置文件实例化之前执行的检查可确保替换变量的值正确无误。对值执行的检查包括:

  • 范围验证

  • 变量类型验证

  • 变量是必需的变量的存在

  • 变量与正则表达式匹配

提交时间检查失败会导致在文件中显示并记录 /var/log/messages 错误消息,并且提交失败。实例化失败会导致在文件中记录 /var/log/messages 错误,并且配置文件实例化失败。

配置基本动态配置文件

本主题介绍如何创建基本动态配置文件。基本配置文件必须包含配置文件名称,并且在层次结构级别包含接口变量名称(如 $junos-interface-ifd-name),在层次结构级别包含逻辑接口变量名称(如$junos-underlying-interface-unit$junos-interface-unit[edit dynamic-profiles profile-name interfaces variable-interface-name unit]或)。[edit dynamic-profiles profile-name interfaces

在为初始客户端访问配置动态配置文件之前:

  1. 配置您希望 DHCP 客户端在访问网络时使用的必要路由器接口。

    有关可用于动态配置文件的接口类型以及如何配置这些接口的信息,请参阅 DHCP 用户接口概述

  2. 配置您希望配置文件在验证 DHCP 客户端以访问组播网络时使用的所有 RADIUS 值。

    请参阅 订阅者访问的 RADIUS 服务器和参数

要配置基本动态配置文件,请执行以下作:

  1. 为配置文件命名。
  2. 使用路由器用于匹配接收接口的接口名称的内部$junos-interface-ifd-name变量定义interface-name语句。
  3. 使用内部变量定义 unit 语句:

    • 引用现有接口时,请指定 $junos-underlying-interface-unit 路由器使用的变量以匹配接收接口的单位值。

    • 创建动态接口时,请指定 $junos-interface-unit 路由器用于为接口生成单元值的变量。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
14.1
从 Junos OS 14.1 版开始,可以在 RADIUS Client-Profile-Name VSA [26-174] 中指定不同的动态配置文件,以使 RADIUS 覆盖配置的客户端动态配置文件。