Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用于订阅者管理的动态配置文件

动态配置文件概述

动态配置文件是一组特性,用作一种模板,用于创建、更新或删除可用于为宽带应用提供动态订阅者访问和服务的配置。使用这些配置文件,您可以整合一个客户端或一组客户端的所有公共属性,并同时应用属性或动态创建的对象。创建配置文件后,它们驻留在配置文件库的路由器上。

您可以使用两种动态配置文件(客户端配置文件和服务配置文件)动态管理订阅者。这两种配置文件类型均在[edit dynamic-profiles]层次结构级别上配置,并且相互独立。除了动态客户端配置文件外,是否还使用动态服务配置文件取决于你们如何支持订户之间的差异化以及打包订阅者服务的方式。

注意:

动态配置文件术语可能会让人混淆。

  • 动态客户端配置文件也可以正确地称为动态订阅者配置文件。

  • 尽管动态客户端配置文件有时称为客户端访问配置文件,但该术语会导致在 [编辑访问配置文件] 层次结构级别上配置的访问配置文件 profile-name出现混淆。访问配置文件用于配置订阅者访问的身份验证、核算和授权参数、某些会话属性以及 L2TP 和 PPP 会话特定于客户端的属性。使用 access-profile 语句在各种配置级别应用访问配置文件。

动态客户端配置文件和动态服务配置文件

动态客户端和动态服务配置文件之间的主要区别如下:

  • 动态客户端配置文件将配置并应用于客户端应用配置;例如 DHCP、DHCPv6、L2TP LNS、PPPoE、静态订阅者和 VLAN。配置文件的内容将应用于订阅者会话的逻辑接口。通常,动态客户端配置文件支持对应用配置文件的逻辑接口进行动态实例化,但客户端配置文件也可应用于静态用户逻辑接口。

    动态客户端配置文件可包含除下 [edit dynamic-profiles profile-name]的任何 variables variable-name部分。

  • 动态服务配置文件仅包含与服务相关的配置,它们是动态客户端配置文件中可用配置的子集。它们不包括订阅者会话的其他配置属性。您不能使用服务配置文件来创建或修改逻辑接口。动态服务配置文件是对创建逻辑接口后使用的动态客户端配置文件的补充。

    动态服务配置文件可以在以下部分 [edit dynamic-profiles profile-name]下包括: class-of-servicefirewallprotocolsservicesvariables

动态客户端配置文件和动态服务配置文件可使用的变量类型也不同:

  • 动态客户端配置文件可以包含预定义变量默认值,这些默认值为瞻博网络配置文件中包含的预定义变量定义默认值。当 RADIUS 未为变量返回值时,将使用配置文件中的默认值。有关 预定义变量 的信息,请参阅 动态变量概述和在动态配置文件中 为预定义变量配置默认值。

  • 动态服务配置文件可以包含用户定义的变量,这些变量在函数调用中的作用类似于参数。RADIUS 服务器可以提供这些可变值,以支持针对每个订阅者进行更专业化的自定义。您还可以为这些变量设置默认值,当 RADIUS 不提供值时使用。有关 用户定义的变量的信息,请参阅动态配置文件中的 用户定义变量。

  • 动态客户端配置文件不包括用户定义的变量。动态服务配置文件不包括预定义的变量默认值。

表 1 列出了访问配置文件和服务配置文件支持的变量类型。

表 1:动态配置文件中支持的变量类型

动态配置文件类型

Junos OS 预定义变量(本地)

Junos OS 预定义变量 (RADIUS)

用户定义变量

访问配置文件

是的

是的

是的

服务配置文件

是的

是的

表 2 列出了访问配置文件和服务配置文件支持的默认值、表达式和唯一标识符。

表 2:动态配置文件支持的默认值和表达式

动态配置文件类型

默认值

表达 式

唯一标识符

访问配置文件

是(仅限 RADIUS 预定义变量)

是(仅限调度器图和调度器图)

服务配置文件

是(仅限用户定义的变量)

是(仅限服务激活)

是(仅限防火墙过滤器)

动态将服务应用于订阅者会话

您可以通过以下方式配置要应用于订阅者会话的服务:

  • 在动态客户端配置文件中包括订阅者会话的服务配置。例如,您可以配置服务等级 (CoS) 等第 2 层服务,以及动态防火墙过滤器等 3 层服务。第 3 层服务适用于 DHCP、DHCPv6 和 PPPoE 订阅者的协商地址系列。请参阅 变更 CoS 服务概述

    注意:

    动态客户端配置文件不能引用动态服务配置文件。它只能直接包括服务配置。

  • 使用 RADIUS 配置应用动态服务配置文件。当订阅者进行身份验证时,在 RADIUS Access-Accept 消息中返回的瞻博网络激活服务 VSA (26-65),可以引用动态服务配置文件并选择性地传递服务的其他参数。对于 DHCP 和 PPPoE 会话,将在激活会话的地址族时应用此服务配置文件。请参阅 使用 RADIUS 的动态服务管理

    您可以使用另一个瞻博网络 VSA(停用服务 (26-66) 来停用接入接受消息中的服务。

  • 在 RADIUS 授权变更 (CoA) 消息中使用瞻博网络 VSA 应用服务配置文件。您可以使用 CoA 消息激活 (VSA 26-65) 或停用 (VSA 26-66) 服务。例如,在建立会话后,订阅者可以选择加入或退出服务。请参阅 RADIUS 发起的授权变更 (CoA) 概述

  • 通过在 service-profile DHCP 本地服务器、DHCP 中继代理、L2TP 或静态订阅者的配置中包含引用配置文件的语句来应用动态服务配置文件。例如,请参阅 指定静态订阅者组服务配置文件为使用内联服务接口的 LNS 会话配置 L2TP 隧道组在 LNS 上配置 L2TP 访问配置文件

动态配置文件覆盖

从 Junos OS 14.1 版开始,您可以在 RADIUS 客户端配置文件名称 VSA [26-174] 中指定不同的动态配置文件,以便 RADIUS 覆盖配置的客户端动态配置文件。RADIUS 将此 VSA 返回到 AAA,以及 Access-Accept 消息中的其他客户端会话属性。随后,AAA 会覆盖客户端的会话数据库条目中的相应配置文件名称属性,并且将实例化此新配置文件,而不是最初配置的配置文件。

动态配置文件版本创建

您可以创建订阅者当前正在使用的动态配置文件的新版本。在层次结构级别启用 [edit system] 动态配置文件版本创建。启用后,您可以在路由器上创建任何动态配置文件的多个版本。在动态配置文件修改后登录的任何订阅者都使用最新版本的动态配置文件。已激活的订阅者将继续使用旧版本的动态配置文件,直至其退出或会话终止。

创建动态配置文件版本时,请记住以下几点:

  • 在路由器上创建或使用任何动态配置文件之前,必须启用或禁用动态配置文件版本创建。不支持在配置动态配置文件后启用或禁用动态配置文件版本创建。

    注意:

    必须先从路由器配置中移除所有动态配置文件,然后才能为配置了任何动态配置文件的路由器启用或禁用动态配置文件版本创建。

  • 动态配置文件的每个版本都作为新配置文件存储在配置文件数据库中。

  • 新配置文件版本的名称是通过将字符串附加到原始基本动态配置文件名称来派生的。此字符串包含两个美元符号 ($) 字符,用于标识配置文件名称的版本字段。这两个字符后跟数字字符,表示动态配置文件的“版本号”(例如 01)。

  • 系统自动生成动态配置文件的版本号。

  • 您修改的动态配置文件始终存储为最新版本。您无法创建修改后的动态配置文件并将其保存为早期版本。例如,如果在使用中修改动态配置文件的版本 3,则动态配置文件将保存为版本 4。

  • 您只能修改动态配置文件的最新版本。

  • 版本号的最大值为 99999。但是,对于每个配置文件,一次仅支持 10 个有效版本。

  • 如果您修改的动态配置文件版本没有被任何订阅者使用,则配置文件将被提交的更改覆盖,而无需创建新版本。

  • 到达动态配置文件的第 99999 次修改版本后,对动态配置文件的任何进一步修改都会导致覆盖该最终版本。如果最终版本在使用中,提交时任何修改尝试都失败。

  • 仅当动态配置文件的版本均未使用时,您才能删除该动态配置文件。

  • 动态配置文件版本功能支持平滑重启和统一 ISSU。

动态配置文件语义检查

变量会动态应用于动态配置文件,无法使用现有 CLI 命令进行检查。语义检查可验证动态配置文件中的一些变量,以帮助识别潜在的配置错误。

在提交期间和配置文件实例化期间执行语义检查。提交时间检查可确保变量显示在动态配置文件中的正确位置。在配置文件实例化之前执行的检查可确保替换变量的值正确无误。对值执行的检查包括以下内容:

  • 范围验证

  • 变量类型验证

  • 存在强制变数

  • 变量与正则表达式匹配

提交时间检查失败会导致显示并记录在 /var/log/messages 文件中的错误消息,而提交失败。实例化失败会导致将错误记录到 /var/log/messages 文件中,而配置文件实例化失败。

配置基本动态配置文件

本主题介绍如何创建基本的动态配置文件。基本配置文件必须包含配置文件名称,并且同时具有层级包含的接口变量名称(例如$junos-interface-ifd-name)和层级的[edit dynamic-profiles profile-name interfaces variable-interface-name unit]逻辑接口变量名称(如$junos-underlying-interface-unit$junos-interface-unit)。[edit dynamic-profiles profile-name interfaces

为初始客户端访问配置动态配置文件之前:

  1. 配置您希望 DHCP 客户端在访问网络时使用的必要路由器接口。

    有关可用于动态配置文件的接口类型及配置方式的信息,请参阅 DHCP 订阅者接口概述

  2. 配置您希望配置文件在验证 DHCP 客户端以访问组播网络时使用的所有 RADIUS 值。

    请参阅 RADIUS 服务器和订阅者访问参数

要配置基本动态配置文件:

  1. 为配置文件命名。
  2. interface-name使用路由器使用内部$junos-interface-ifd-name变量定义语句,以匹配接收接口的接口名称。
  3. unit使用内部变量定义语句:

    • 引用现有接口时,请指定 $junos-underlying-interface-unit 路由器用于匹配接收接口的单元值的变量。

    • 创建动态接口时,请指定 $junos-interface-unit 路由器用于为接口生成单元值时的变量。

相关文档

版本历史记录表
释放
描述
14.1
从 Junos OS 14.1 版开始,您可以在 RADIUS 客户端配置文件名称 VSA [26-174] 中指定不同的动态配置文件,以便 RADIUS 覆盖配置的客户端动态配置文件。