使用 RADIUS 进行动态服务管理
使用 RADIUS 动态请求进行订阅者访问管理
RADIUS 动态请求提供了一种集中管理订阅者会话的有效方法。AAA 服务框架的 RADIUS 动态请求支持允许 RADIUS 服务器通过向路由器发送未经请求的请求消息来启动与用户相关的作,例如终止作。如果没有 RADIUS 动态请求功能,断开 RADIUS 用户连接的唯一方法是与路由器断开连接,这在大型网络中可能既麻烦又耗时。
在典型的客户端-服务器 RADIUS 环境中,路由器充当客户端并发起发送到远程 RADIUS 服务器的请求。但是,使用 RADIUS 动态请求时,角色会相反。例如,在断开连接作期间,远程 RADIUS 服务器充当客户端并发起请求(断开连接作) — 路由器充当关系中的服务器。
您可以创建访问配置文件以将路由器配置为支持 RADIUS 动态请求。此配置使路由器能够从远程 RADIUS 服务器接收以下类型的消息并对其执行作:
访问-接受消息 — 根据订阅者登录时收到的 RADIUS 访问-接受消息中的属性动态激活服务。
授权变更 (CoA) 消息 — 根据 CoA 消息中的属性动态修改活动会话。CoA 消息可以包括服务创建请求、删除请求、RADIUS 属性和瞻博网络 VSA。
断开消息 — 立即终止特定订阅者会话。
默认情况下,路由器会监控 UDP 端口 3799 以查找来自 RADIUS 服务器的 CoA 请求。您还可以为 RADIUS 服务器配置非默认端口。您必须为所有 RADIUS 服务器使用默认端口,或者为所有 RADIUS 服务器配置相同的非默认端口。此规则适用于全局访问和访问配置文件级别。
任何其他配置都将导致提交检查失败。不支持多个端口号,即不同服务器使用不同的端口号。
Radius 动态请求的优势
通过向订阅者会话发送主动更改(包括属性更改、服务激活、服务停用和会话终止),实现对订阅者会话的简化集中管理。
也可以看看
配置 RADIUS 发起的动态请求支持
路由器使用指定的RADIUS身份验证服务器列表进行身份验证和动态请求作。默认情况下,路由器会监控 UDP 端口 3799 的动态请求,也称为授权变更 (CoA) 请求。
要配置 RADIUS 动态请求支持:
指定 RADIUS 服务器的 IP 地址。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3
要将路由器配置为支持来自多个 RADIUS 服务器的动态请求,请执行以下作:
指定多个 RADIUS 服务器的 IP 地址。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3 192.168.10.15
配置动态请求端口时,必须执行以下作之一:
在全局访问级别和所有访问配置文件中,对所有 RADIUS 服务器使用默认端口。
为全局访问级别和所有访问配置文件中的所有服务器配置相同的非默认端口。
任何其他配置都将导致提交检查失败。不支持多个端口号,即不同服务器使用不同的端口号。
要指定全局动态请求端口,请执行以下作:
[edit access] user@host# set radius-server server-address dynamic-request-port port-number
要为特定访问配置文件指定动态请求端口:
[edit access] user@host# set profile profile-name radius-server server-address dynamic-request-port port-number
请考虑以下场景:
以下配置为全局服务器和访问配置文件中的其他服务器使用默认端口。这是有效的配置。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set profile ap1 radius-server 192.0.2.3
以下配置为全局服务器和访问配置文件中的另一台服务器指定非默认端口 50201。这是有效的配置。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.3 dynamic-request-port 50201
以下配置为服务器全局指定端口 50201,为 ap1 访问配置文件中的同一服务器指定端口 51133。这是无效的配置,提交检查失败,因为不支持多个非默认端口。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.1 dynamic-request-port 51133
以下配置将默认端口 3799 用于全局一台服务器,将端口 51133 用于全局另一台服务器。这是无效的配置,提交检查失败,因为对于所有服务器,您必须配置默认端口或相同的非默认端口。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set radius-server 192.0.2.3 dynamic-request-port 51133
也可以看看
RADIUS 发起的授权变更 (CoA) 概述
AAA 服务框架使用 CoA 消息来动态修改活动订阅者会话。例如,CoA 消息中的 RADIUS 属性可能会指示框架创建、修改或终止订阅者服务。您还可以使用 CoA 消息来设置或修改当前订阅者服务的使用阈值。
CoA 消息
动态请求支持使路由器能够接收和处理来自外部 RADIUS 服务器的未经请求的 CoA 消息。RADIUS 启动的 CoA 消息在请求和响应消息中使用以下代码:
CoA 请求 (43)
CoA-ACK (44)
CoA-NAK (45)
授权变更资格
要完成用户授权的更改,请指定标识属性和会话属性。标识属性用于标识用户。会话属性指定要对订阅者的会话执行的作(激活或停用),还包括会话的任何客户端属性(例如,QoS 属性)。AAA服务框架处理实际请求。
表 1 显示了 CoA作的识别属性。
属性 |
描述 |
|---|---|
用户名 [RADIUS 属性 1] |
订阅者用户名。 |
Acct-Session-ID [RADIUS 属性 44] |
特定用户会话。 |
使用 Acct-Session-ID 属性来识别订阅者会话比使用 User-Name 属性更为明确。使用用户名作为标识符时,CoA作将应用于使用指定用户名登录的第一个会话。但是,由于订阅者可能有多个会话与同一用户名相关联,因此第一个会话可能不是 CoA作的正确会话。
使用 Acct-Session-ID 属性时,它可识别特定的订阅者会话,从而避免该潜在错误。尽管 Acct-Session-ID 属性除了会话 ID 之外还可以包括接口说明符(当属性采用描述格式时),但仅会话 ID 用于订阅者匹配。例如,如果订阅者的订阅者会话 ID 54785为 ,则当 Acct-Session-ID 属性为 54785 (十进制格式)、 jnpr demux0.1073759682:54785 或(描述格式)或 any value:54785 确实为(描述格式)时,将匹配订阅者。
表 2 显示了 CoA作的会话属性。您包含的任何其他客户端属性都取决于您的特定会话要求。
属性 |
描述 |
|---|---|
激活服务 [瞻博网络 VSA 26-65] |
为订阅者激活的服务。 |
停用服务 [瞻博网络 VSA 26-66] |
为订阅者停用的服务。 |
服务量 [瞻博网络 VSA 26-67] |
可以使用服务的流量(以 MB 为单位);当超过音量时,服务将停用。 |
服务超时 [瞻博网络 VSA 26-68] |
服务可以处于活动状态的秒数;超时到期时,服务将停用。 |
服务量千兆字 [瞻博网络 VSA 26-179] |
可以使用该服务的流量(以 4GB 为单位);当超过音量时,服务将停用。 |
更新服务 [瞻博网络 VSA 26-180] |
现有服务的新服务值和时间配额。 |
消息交换
路由器上的 RADIUS 服务器和 AAA 服务框架使用 UDP 交换消息。RADIUS 服务器发送的 CoA-Request 消息的格式与为断开作发送的 Disconnect-Request 数据包的格式相同。
响应是 CoA-ACK 或 CoA-NAK 消息:
如果 AAA 服务框架成功更改授权,则响应是带有 CoA-ACK 消息的 RADIUS 格式的数据包,并将数据过滤器应用于会话。
如果 AAA 服务框架不成功、请求格式错误或缺少属性,则响应是带有 CoA-NAK 消息的 RADIUS 格式数据包。
AAA 服务框架为每个订阅者一次处理一个动态请求。如果框架在处理同一订阅者的先前请求时收到第二个动态请求(另一个 CoA 或一个断开请求),则框架会使用 CoA-NAK 消息进行响应。从 Junos OS 15.1R5 版开始,CoA-Request 重试消息将被忽略,并且不会发送 CoA-NAK 作为响应。
批量 CoA 交易
从 Junos OS 17.2R1 版开始,将支持批量 CoA 请求,以提高 BNG 上基于 RADIUS 的用户服务的处理效率。批量 CoA 功能支持累积一系列 CoA 请求,并自动批量提交所有这些请求。
批量 CoA 请求中的所有服务必须适用于同一订阅者会话。
批量 CoA 交易对于商业服务特别有价值。基于 RADIUS 的用户服务使用瞻博网络 VSA,即激活服务 (26-65) 和停用服务 (26-66)。VSA 在登录期间的 RADIUS-Accept 消息中提供,或在登录后的 CoA 请求中提供。
对于基于动态服务配置文件的传统服务,任一 RADIUS 消息中可轻松容纳多达 12 个服务激活。但是,企业使用的基于 op-script 的服务通常具有超过任一消息容量的扩展要求。这意味着,指定和激活给定订阅者会话中所需的所有服务可能需要使用一条 Accept-Access 消息和多个 CoA 请求。
每个 CoA 请求消息独立于同一订阅者会话中之前和将来的 CoA 请求。在提供 CoA 响应之前,将处理消息中的所有服务激活和停用。CoA 请求提供了一种以增量方式修改订阅者会话的方法,而不会影响已存在的现有服务。
对于基于 op-script 的服务,服务会话由 authd 和 essmd 进程协同创建,以便最后一个作启动提交以应用 CoA 请求生成的所有静态业务逻辑接口。由于提交时间通常是应用静态业务服务的最大部分,因此将尽可能多的服务激活或停用打包在 RADIUS 消息中,以便有效地使用提交窗口。在提交作完成之前,BNG 无法接受后续的 CoA 请求,以便为同一订阅者会话应用其他业务服务。
批量 CoA 通过对批量事务中的所有服务使用单个提交作来提高提交处理的效率。批量事务具有将一系列请求作为单个元请求进行管理的效果。它推迟提交处理,直到收到批量事务中的最终 CoA 请求。
批量 CoA 要求每个单独的请求都包含一个瞻博网络批量 CoA-Transaction-ID VSA (26–194) 实例。此 VSA 将请求标识为属于同一批量事务;26–194 在批量系列中的所有 CoA 请求中必须具有相同的值。会话中每个连续的批量事务都必须具有不同的标识符;例如,三个连续的批量交易可以具有 1、2 和 1 的 ID,但不能具有 1、1 和 2 的连续 ID。在实践中,Bulk-CoA-Transaction-Id 值通常会为多个批量事务递增,但这不是必需的。给定用户会话中使用的 ID 值也可用于不同的用户会话。
批量事务中的每个 CoA 请求都有自己的唯一标识符,由每个 CoA 中的批量 CoA 标识符 VSA (26–195) 的单个实例提供。ID 的一系列递增值是典型的,但不会强制执行。可以在给定会话内和会话之间重复使用值。该系列中的最终 CoA 请求通过 Bulk-CoA-Identifier 的值为 0xFFFFFFFF 来识别。
RADIUS 发起的授权变更的好处
支持将属性值的更改动态推送到订阅者会话,以及动态激活和停用订阅者服务。
也可以看看
RADIUS 发起的断开连接概述
本节介绍 AAA 服务框架对 RADIUS 发起的断开连接动态请求的支持。AAA 服务框架使用断开消息来动态终止活动订阅者会话。
断开消息
为了集中控制远程访问用户的断开连接,路由器上的 RADIUS 动态请求功能接收并处理来自 RADIUS 服务器的未经请求的消息。
动态请求功能使用现有格式的 RADIUS 断开连接请求和响应消息。RADIUS 发起的断开连接在其 RADIUS 请求和响应消息中使用以下代码:
断开连接请求 (40)
断开连接确认 (41)
断开 NAK (42)
断开连接的资格
要使 AAA 服务框架断开用户连接,Disconnect-Request 消息必须包含具有计费会话 ID 的属性。Disconnect-Request 消息可以包含会话 ID 的 Acct-Session-Id (44) 属性或 Acct-Multi-Session-Id (50) 属性,或两者兼而有之。如果请求中同时存在 Acct-Session-Id 和 Acct-Multi-Session-Id 属性,则路由器会使用这两个属性。如果请求中也存在用户名 (1) 属性,则使用用户名和计费会话 ID 来执行断开连接。AAA服务框架处理实际请求。
消息交换
RADIUS 服务器和 AAA 服务框架使用 UDP 交换消息。RADIUS 服务器发送的 Disconnect-Request 消息的格式与为更改授权作发送的 CoA-Request 数据包格式相同。
断开连接响应是 Disconnect-ACK 或 Disconnect-NAK 消息:
如果 AAA 服务框架成功断开用户连接,则响应是带有 Disconnect-ACK 消息的 RADIUS 格式的数据包。
如果 AAA 服务框架无法断开用户连接、请求格式错误或请求中缺少属性,则响应是带有 Disconnect-NAK 消息的 RADIUS 格式的数据包。
AAA 服务框架为每个订阅者一次处理一个动态请求。如果框架在处理同一订阅者的先前请求(CoA 或另一个 Disconnect-Request)时收到第二个动态请求,则框架会使用 Disconnect-NAK 消息进行响应。
RADIUS 启动断开连接的好处
使 RADIUS 服务器能够动态终止订阅者会话。这种集中式订阅者管理功能简化了大量订阅者的处理,因为操作员终止将需要对路由器执行作。
也可以看看
订阅者服务的使用阈值
从 Junos OS 14.1 版开始,订阅者管理允许您在动态激活服务或 RADIUS CoA作修改现有服务时建立使用阈值,从而管理订阅者服务。当达到指定阈值时,服务将停用。
订阅者管理支持两种类型的使用阈值:流量和时间。您可以使用瞻博网络 VSA 来设置使用阈值。对于动态激活的服务,VSA 以 RADIUS 访问接受消息的形式传输,或者在现有服务的 RADIUS 发起的 CoA 请求消息中传输。卷阈值设置在停用服务之前可以使用该服务的总输入和输出流量的最大量。时间阈值设置服务可以处于活动状态的最长时间长度。 表 3 显示了用于音量和时间阈值的 VSA。
属性编号 |
属性名称 |
描述 |
value |
|---|---|---|---|
26-67 |
服务量 |
可以使用服务的输入和输出流量(以 MB 为单位);当超过音量时,服务将停用。标记为 VSA,支持 8 个标记 (1-8)。路由器每隔 10 分钟轮询一次流量。 |
|
26-68 |
服务超时 |
服务可以处于活动状态的秒数;超时到期时,服务将停用。标记为 VSA,支持 8 个标记 (1-8)。 |
|
26-179 |
服务量-千兆字 |
可以使用该服务的输入和输出流量(以 4GB 为单位);当超过音量时,服务将停用。标记为 VSA,支持 8 个标记 (1-8)。路由器每隔 10 分钟轮询一次流量。 |
|
26-180 |
更新服务 |
现有服务的新服务值和时间配额。标记为 VSA,支持 8 个标记 (1-8)。 |
字符串: service-name |
也可以看看
订阅者会话登录和服务激活失败概述
当订阅者尝试登录并通过 RADIUS 身份验证时,访问接受消息可能包括要为特定网络系列激活的 RADIUS 激活服务 VSA (26-65) 中的服务。根据配置和服务类型,未能激活服务可能会导致订阅者登录被拒绝。
您可以在 ] 层次结构级别使用service activation[edit access profile profile-name radius options该语句来配置激活失败后的行为。
使用以下选项为两种类型的服务分别配置此行为:
dynamic-profile— 此服务类型在用户访问配置文件应用的动态配置文件中配置。extensible-service— 此服务类型在可扩展用户服务管理器 (ESSM)作脚本中配置。这些服务通常会为企业订阅者配置新接口。
使用以下选项指定成功激活这些服务是订阅者登录访问的必需还是可选:
required-at-login- 需要激活。任何原因发生故障都会导致该网络家族的 Network-Family-Activate-Request 失败。如果没有其他网络家族已为用户激活,则客户端应用程序将注销该用户。这是服务类型的默认行为dynamic-profile。optional-at-login- 激活可选。由于配置错误导致的故障不会阻止地址族的激活;它允许订阅者访问。任何其他原因导致故障会导致网络家族激活失败。如果没有其他网络家族已为用户激活,则客户端应用程序将注销该用户。这是服务类型的默认行为extensible-service。
与激活订阅者安全策略(用于将流量镜像到中介设备)相关的故障不会影响受策略约束的订阅者的访问。
此配置不适用于通过 RADIUS CoA 请求、JSRC 推送-配置文件-请求 (PPR) 消息或订阅者安全策略激活的服务。
对于 dynamic-profile 服务类型,配置错误包括:
动态配置文件及其属性的解析错误。
缺少必需用户变量。
对不存在的动态配置文件的引用。
动态配置文件中的语义检查失败。
对于 extensible-service 服务类型,配置错误包括:
解析作脚本的错误。
提交失败。
要激活服务,authd 会向订阅者管理基础架构 (SMI) 发送相应服务的激活请求。例如,如果请求是针对 IPv4 系列的,则仅请求激活 IPv4 服务。反过来,SMI 向与服务关联的服务器守护程序(如 cosd 或 filterd)发送请求。守护程序返回的结果确定服务激活是成功还是失败。
当所有服务器守护程序都报告成功时,SMI 会向 authd 报告成功,并激活服务。
如果任何服务器守护程序报告配置错误,并且没有守护程序报告非配置错误,则 SMI 向 authd 报告配置错误。服务未激活,但根据配置,网络家族激活可能会成功。
如果任何服务器守护程序报告非配置错误,那么 SMI 会向 authd 报告失败,并且不会激活服务。
服务和网络家族激活流程
当用户登录时,authd 必须在用户通过身份验证后激活相应的地址族。客户端应用(如 DHCP 或 PPP)可以请求激活单个网络家族(IPv4 或 IPv6),也可以按顺序请求激活这两个网络家族。网络家族的成功激活与相关服务的激活有关。以下步骤介绍了将 authd 配置为使用 RADIUS 进行身份验证的过程:
订阅者尝试登录。
客户端应用程序向 authd 请求身份验证。
authd 向 RADIUS 服务器发送 Access-Request 消息。
RADIUS 服务器向 authd 发送包含 RADIUS 激活服务 VSA (26-65) 的 Access-Accept 消息。
authd 缓存服务激活属性并向客户端应用程序发送授权。
客户端应用程序发送 IPv4 或 IPv6 地址族的第一个 Network-Family-Activate 请求。此请求有时称为客户端激活请求。
Authd 会审核缓存的服务激活属性,并向订阅者管理基础架构 (SMI) 发送相应服务的激活请求。例如,如果请求是针对 IPv4 系列的,则仅请求激活 IPv4 服务。反过来,SMI 向与服务关联的服务器守护程序(如 cosd 或 filterd)发送请求。
authd 接下来要做什么取决于服务激活请求是否失败,以及该服务是可选的还是必需的。
当服务激活由于配置错误而失败且该服务是可选的时:
authd 删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到故障服务的干扰。
authd 发送 ACK 以响应家族激活请求,并激活家族。
订阅者登录继续进行。
当由于配置错误导致服务激活失败且需要该服务时:
authd 删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到故障服务的干扰。
authd 发送 NACK 以响应家族激活,这会导致客户端应用程序终止订阅者的登录。
当服务激活由于非配置错误而失败,并且该服务是可选的或必需的:
authd 删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到故障服务的干扰。
authd 发送 NACK 以响应家族激活,这会导致客户端应用程序终止订阅者的登录。
服务激活成功后:
authd 激活服务。
authd 发送 ACK 以响应家族激活请求,并激活家族。
订阅者登录继续进行。
除非需要服务激活但失败,导致家族激活在第一个请求中失败,否则客户端应用程序可能会发送第二个请求,但仅限于第一次未请求的家族。如果第一个请求是针对 IPv4 的,那么第二个请求只能针对 IPv6。如果第一个请求是针对 IPv6 的,那么第二个请求只能针对 IPv4。
Authd 审核缓存的服务激活属性,并请求激活与请求的地址族关联的服务。
authd 接下来要做什么取决于服务激活请求是否失败,以及该服务是可选的还是必需的。
当服务激活由于配置错误而失败且该服务是可选的时:
authd 删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到故障服务的干扰。
authd 发送 ACK 以响应家族激活请求,并激活家族。
订阅者登录继续进行。
当由于配置错误导致服务激活失败且需要该服务时:
authd 删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到故障服务的干扰。
authd 发送 NACK 以响应家族激活。因为这是第二个家族激活请求,所以第一个家族激活的结果决定了接下来会发生什么:
如果第一个家族激活成功且该订阅者已登录,则第二个请求失败不会停止当前订阅者登录。此事件也不会导致 authd 注销前一个(第一个请求)订阅者。
如果第一个家族激活不成功,则第二个请求失败会导致客户端应用程序终止当前订阅者登录。
当服务激活由于非配置错误而失败,并且该服务是可选的或必需的:
authd 删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到故障服务的干扰。
authd 发送 NACK 以响应家族激活,这会导致客户端应用程序终止订阅者的登录。
服务激活成功后:
authd 激活服务。
authd 发送 ACK 以响应家族激活请求,并激活家族。
订阅者登录继续进行。
配置服务激活失败如何影响订阅者登录
您可以配置订阅者登录期间可选服务激活失败如何影响登录结果。这些可选服务是用户初始登录期间显示在 RADIUS 访问接受消息中的 RADIUS 激活服务 VSA (26-65) 引用的服务。
您可以将这两种服务激活类型配置为必需或可选。
dynamic-profile— 这些服务配置在用户访问配置文件应用的动态配置文件中,以便为宽带应用程序提供用户访问和服务。默认情况下,成功登录需要激活服务。服务激活期间的配置错误会导致网络家族无法激活,并导致用户登录失败。extensible-service—这些服务由可扩展订阅者服务管理器 (ESSM) 守护程序 (essmd) 为业务订阅者处理的作脚本应用。默认情况下,服务激活是可选的,订阅者成功登录。
service-activation语句配置仅影响由于动态配置文件或 ESSM作脚本中的配置错误而导致的激活失败。非配置错误导致的故障始终会导致订阅者拒绝访问并终止登录尝试。
要配置动态配置文件服务的行为,请执行下列作之一:
指定服务激活是可选的。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile optional-at-login
指定需要激活服务(默认值)。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile required-at-login
要配置 ESSM 服务的行为,请执行下列作之一:
指定需要激活服务。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service required-at-login
指定服务激活是可选的(默认)。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service optional-at-login
也可以看看
动态请求的错误原因代码(RADIUS 属性 101)
当 RADIUS 启动的 CoA 或断开连接作不成功时,路由器会在发回 RADIUS 服务器的 CoA-NAK 或 Disconnect-NAK 消息中包含错误原因属性(RADIUS 属性 101)。如果检测到的错误未映射到受支持的错误原因属性之一,则路由器将发送不带错误原因属性的消息。 表 4 描述了错误原因代码。
代码 |
value |
描述 |
|---|---|---|
401 |
不支持的属性 |
请求包含不受支持的属性(例如,第三方属性)。 |
402 |
缺少属性 |
请求中缺少关键属性(例如,会话标识属性)。 |
404 |
请求无效 |
请求的其他某些方面无效,例如,如果一个或多个属性的格式不正确。 |
503 |
未找到会话上下文 |
请求中标识的会话上下文在路由器上不存在。 |
504 |
会话上下文不可移除 |
由请求中的属性标识的订阅者由不受支持的组件拥有。 |
506 |
资源不可用 |
由于缺少可用的 NAS 资源(如内存),无法接受请求。 |
也可以看看
验证 RADIUS 动态请求统计信息
目的
显示 RADIUS 动态请求统计信息和信息。
行动
要显示 RADIUS 动态请求统计信息,请执行以下作:
user@host>show network-access aaa statistics dynamic-requests
也可以看看
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。