借助 RADIUS 进行动态服务管理
使用 RADIUS 动态请求进行订阅者访问管理
RADIUS 动态请求提供了一种集中管理订阅者会话的有效方式。AAA 服务框架的 RADIUS 动态请求支持允许 RADIUS 服务器通过向路由器发送未经请求的请求消息来启动与用户相关的操作,例如终止操作。如果没有 RADIUS 动态请求功能,则断开 RADIUS 用户的唯一方法是与路由器断开连接,这在大型网络中可能既麻烦又耗时。
在典型的客户端-服务器 RADIUS 环境中,路由器充当客户端并发起发送到远程 RADIUS 服务器的请求。但是,在使用 RADIUS 动态请求时,角色是相反的。例如,在断开连接操作期间,远程 RADIUS 服务器充当客户端并发起请求(断开连接操作)——路由器在关系中充当服务器。
您可以创建访问配置文件,以便将路由器配置为支持 RADIUS 动态请求。此配置使路由器能够接收来自远程 RADIUS 服务器的以下类型的消息并对其进行处理:
访问-接受消息 — 根据订阅者登录时收到的 RADIUS 访问-接受消息中的属性动态激活服务。
授权变更 (CoA) 消息 — 根据 CoA 消息中的属性动态修改活动会话。CoA 消息可以包括服务创建请求、删除请求、RADIUS 属性和瞻博网络 VSA。
断开消息 — 立即终止特定订阅者会话。
默认情况下,路由器会监控 UDP 端口 3799 中是否有来自 RADIUS 服务器的 CoA 请求。您还可以为 RADIUS 服务器配置非默认端口。您必须为所有 RADIUS 服务器使用默认端口,或者为所有 RADIUS 服务器配置相同的非默认端口。此规则适用于全局访问和访问配置文件级别。
任何其他配置都会导致提交检查失败。不支持多个端口号,即不同服务器使用不同的端口号。
Radius 动态请求的优势
通过向订阅者会话发送未经请求的更改(包括属性更改、服务激活、服务停用和会话终止方面的更改),简化订阅者会话的集中管理。
另见
配置 RADIUS 发起的动态请求支持
路由器使用指定的 RADIUS 身份验证服务器列表进行身份验证和动态请求操作。默认情况下,路由器会监控 UDP 端口 3799 的动态请求,也称为授权变更 (CoA) 请求。
要配置 RADIUS 动态请求支持,请执行以下操作:
指定 RADIUS 服务器的 IP 地址。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3
要将路由器配置为支持来自多个 RADIUS 服务器的动态请求,请执行以下操作:
指定多个 RADIUS 服务器的 IP 地址。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3 192.168.10.15
配置动态请求端口时,必须执行下列操作之一:
对全局访问级别和所有访问配置文件中的所有 RADIUS 服务器使用默认端口。
在全局访问级别和所有访问配置文件中为所有服务器配置相同的非默认端口。
任何其他配置都会导致提交检查失败。不支持多个端口号,即不同服务器使用不同的端口号。
要指定全局动态请求端口,请执行以下操作:
[edit access] user@host# set radius-server server-address dynamic-request-port port-number
要为特定访问配置文件指定动态请求端口,请执行以下操作:
[edit access] user@host# set profile profile-name radius-server server-address dynamic-request-port port-number
请考虑以下方案:
以下配置将默认端口用于访问配置文件中的全局服务器和其他服务器。这是有效的配置。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set profile ap1 radius-server 192.0.2.3
以下配置为访问配置文件中的全局服务器和其他服务器指定非默认端口 50201。这是有效的配置。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.3 dynamic-request-port 50201
以下配置为 AP1 访问配置文件中的服务器指定全局端口 50201,为同一台服务器指定端口 51133。这是无效的配置,提交检查失败,因为不支持多个非默认端口。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.1 dynamic-request-port 51133
以下配置将默认端口 3799 用于全局一台服务器,将端口 51133 用于另一台全局服务器。这是无效的配置,提交检查失败,因为对于所有服务器,您必须配置默认端口或相同的非默认端口。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set radius-server 192.0.2.3 dynamic-request-port 51133
另见
RADIUS 发起的授权变更 (CoA) 概述
AAA 服务框架使用 CoA 消息来动态修改活动订阅者会话。例如,CoA 消息中的 RADIUS 属性可能会指示框架创建、修改或终止订阅者服务。您还可以使用 CoA 消息来设置或修改当前订阅者服务的使用阈值。
CoA 消息
动态请求支持使路由器能够接收和处理来自外部 RADIUS 服务器的未经请求的 CoA 消息。RADIUS 发起的 CoA 消息在请求和响应消息中使用以下代码:
CoA请求 (43)
辅酶A-ACK (44)
辅酶A-NAK (45)
授权变更的资格
要完成用户的授权更改,请指定标识属性和会话属性。标识属性标识订阅者。会话属性指定要在订阅者的会话上执行的操作(激活或停用),还包括会话的任何客户端属性(例如,QoS 属性)。AAA 服务框架处理实际请求。
表 1 显示了 CoA 操作的标识属性。
属性 |
描述 |
|---|---|
用户名 [RADIUS 属性 1] |
订阅者用户名。 |
acct-session-id [RADIUS 属性 44] |
特定订阅者会话。 |
使用 Acct-Session-ID 属性标识订阅者会话比使用 User-Name 属性更明确。当您使用用户名作为标识符时,CoA 操作将应用于使用指定用户名登录的第一个会话。但是,由于订阅者可能具有与同一用户名关联的多个会话,因此第一个会话可能不是 CoA 操作的正确会话。
使用 acct-session-ID 属性时,它会标识特定的订阅者会话,从而避免该潜在错误。尽管除了会话 ID 之外,Acct-Session-ID 属性还可以包含接口说明符(当属性采用描述格式时),但只有会话 ID 用于订阅者匹配。例如,如果订阅者的订阅者会话 ID 为 54785,则当 Acct-Session-ID 属性为 54785 (十进制格式)、或 jnpr demux0.1073759682:54785 (描述格式)或确实 any value:54785 (描述格式)时,订阅者将匹配。
表 2 显示了 CoA 操作的会话属性。您包含的任何其他客户端属性都取决于您的特定会话要求。
属性 |
描述 |
|---|---|
激活服务 [瞻博网络 VSA 26-65] |
为订阅者激活的服务。 |
停用服务 [瞻博网络 VSA 26-66] |
为订阅者停用服务。 |
服务量 [瞻博网络 VSA 26-67] |
可以使用服务的流量(以 MB 为单位);当超过音量时,服务将停用。 |
服务超时 [瞻博网络 VSA 26-68] |
服务可以处于活动状态的秒数;超时到期时,服务将停用。 |
服务量-千兆字 [瞻博网络 VSA 26-179] |
可以使用该服务的流量(以 4GB 为单位);当超过音量时,服务将停用。 |
更新服务 [瞻博网络 VSA 26-180] |
新的服务值和现有服务的时间配额。 |
消息交换
路由器上的 RADIUS 服务器和 AAA 服务框架使用 UDP 交换消息。RADIUS 服务器发送的 CoA-Request 消息的格式与为断开连接操作发送的 Disconnect-Request 数据包的格式相同。
响应是 CoA-ACK 或 CoA-NAK 消息:
如果 AAA 服务框架成功更改了授权,则响应为包含 CoA-ACK 消息的 RADIUS 格式数据包,并且数据过滤器将应用于会话。
如果 AAA 服务框架不成功、请求格式不正确或缺少属性,则响应为包含 CoA-NAK 消息的 RADIUS 格式数据包。
AAA 服务框架为每个订阅者一次处理一个动态请求。如果框架在处理同一订阅者的上一个请求时收到第二个动态请求(另一个 CoA 或 Disconnect-Request),则框架将使用 CoA-NAK 消息进行响应。从 Junos OS 15.1R5 版开始,CoA 请求重试消息将被忽略,并且不会发送 CoA-NAK 作为响应。
批量 CoA 交易
从 Junos OS 17.2R1 版开始,支持批量 CoA 请求,以提高 BNG 上基于 RADIUS 的用户服务的处理效率。批量 CoA 功能支持累积一系列 CoA 请求,并自动将所有请求批量提交在一起。
批量 CoA 请求中的所有服务必须用于同一订阅者会话。
批量 CoA 交易对商业服务特别有价值。基于 RADIUS 的用户服务使用瞻博网络 VSA、激活服务 (26-65) 和停用服务 (26-66)。VSA 在登录期间的 RADIUS-Accept 消息中提供,或在登录后的 CoA 请求中提供。
对于基于动态服务配置文件的传统服务,任一 RADIUS 消息中可轻松容纳多达 12 个服务激活。但是,企业使用的基于 op-script 的服务通常具有超出任一消息容量的扩展要求。这意味着,指定和激活给定订阅者会话中所需的所有服务可能需要使用接受访问消息和多个 CoA 请求。
每个 CoA 请求消息都独立于同一订阅者会话中先前和未来的 CoA 请求。在提供 CoA 响应之前,将处理邮件中的所有服务激活和停用。CoA 请求提供了一种增量修改订阅者会话的方法,而不会影响已存在的现有服务。
对于基于 op-script 的服务,服务会话由 authd 和 essmd 进程协同创建,因此最后一个操作会启动提交,以应用来自 CoA 请求的所有生成的静态业务逻辑接口。由于提交时间通常是应用静态业务服务的最大部分,因此将尽可能多的服务激活或停用打包到适合 RADIUS 消息中以有效使用提交窗口具有优势。在提交操作完成之前,BNG 无法接受后续 CoA 请求,以便为同一订阅者会话应用其他业务服务。
批量 CoA 通过对批量事务中的所有服务使用单个提交操作来提高提交处理的效率。批量事务具有将一系列请求作为单个元请求进行管理的效果。它会延迟提交处理,直到收到批量事务中的最终 CoA 请求。
批量 CoA 要求每个单独的请求都包含瞻博网络 Bulk-CoA-Transaction-Id VSA (26–194) 的单个实例。此 VSA 将请求识别为属于同一批量事务;26–194 在批量系列中的所有 CoA 请求中必须具有相同的值。会话中的每个连续批量事务必须具有不同的标识符;例如,三个连续的批量事务可以具有 ID,即 1、2 和 1,但不能具有连续的 ID,即 1、1 和 2。实际上,对于多个批量交易,Bulk-CoA-Transaction-Id 值通常会递增,但这不是必需的。在给定订阅者会话中使用的 ID 值也可用于不同的订阅者会话。
批量交易中的每个 CoA 请求都有其自己的唯一标识符,由每个 CoA 中的批量 CoA 标识符 VSA (26–195) 的单个实例提供。ID 的一系列值不断增加是典型的,但不是强制执行的。可以在给定会话内和会话之间重复使用值。该系列中的最后一个 CoA 请求通过批量 CoA 标识符的值为 0xFFFFFFFF 来标识。
Radius 发起的授权变更的好处
支持将属性值的更改动态推送到订阅者会话,以及动态激活和停用订阅者服务。
另见
RADIUS 启动的断开连接概述
本节介绍 AAA 服务框架对 RADIUS 发起的断开连接动态请求的支持。AAA 服务框架使用断开连接消息动态终止活动订阅者会话。
断开连接消息
为了集中控制远程访问用户的断开连接,路由器上的 RADIUS 动态请求功能接收并处理来自 RADIUS 服务器的未经请求的消息。
动态请求功能使用现有格式的 RADIUS 断开连接请求和响应消息。RADIUS 发起的断开连接在其 RADIUS 请求和响应消息中使用以下代码:
断开连接请求 (40)
断开-ACK (41)
断开-NAK (42)
断开连接的资格
要使 AAA 服务框架断开用户连接,Disconnect-Request 消息必须包含具有计费会话 ID 的属性。Disconnect-Request 消息可以包含会话 ID 的 Acct-Session-Id (44) 属性或 Acct-Multi-Session-Id (50) 属性,或两者兼而有之。如果请求中同时存在 Acct-Session-Id 和 Acct-Multi-Session-Id 属性,则路由器将同时使用这两个属性。如果请求中也存在用户名 (1) 属性,则使用用户名和计费会话 ID 来执行断开连接。AAA 服务框架处理实际请求。
消息交换
RADIUS 服务器和 AAA 服务框架使用 UDP 交换消息。RADIUS 服务器发送的 Disconnect-Request 消息的格式与为授权更改操作而发送的 CoA-Request 数据包的格式相同。
断开连接响应是 Disconnect-ACK 或 Disconnect-NAK 消息:
如果 AAA 服务框架成功断开用户连接,则响应是带有 Disconnect-ACK 消息的 RADIUS 格式数据包。
如果 AAA 服务框架无法断开用户连接、请求格式不正确或请求中缺少属性,则响应为带有 Disconnect-NAK 消息的 RADIUS 格式数据包。
AAA 服务框架为每个订阅者一次处理一个动态请求。如果框架在处理同一订阅者的前一个请求(CoA 或其他 Disconnect-Request)时收到第二个动态请求,则框架将使用 Disconnect-NAK 消息进行响应。
RADIUS 发起的断开连接的好处
使 RADIUS 服务器能够动态终止订阅者会话。这种集中式用户管理功能简化了大量用户的处理,因为否则运营商终止将需要对路由器采取措施。
另见
订阅者服务的使用阈值
从 Junos OS 14.1 版开始,订阅者管理使您能够在动态激活服务或由 RADIUS CoA 操作修改现有服务时建立使用阈值,从而管理订阅者服务。当达到指定的阈值时,该服务将被停用。
订阅者管理支持两种类型的使用阈值——流量、流量和时间。您可以使用瞻博网络 VSA 来设置使用阈值。对于动态激活的服务,VSA 在 RADIUS 访问-接受消息中传输,对于现有服务,VSA 在 RADIUS 发起的 CoA 请求消息中传输。音量阈值设置在停用服务之前可以使用该服务的总输入和输出流量的最大数量。时间阈值设置服务可以处于活动状态的最大时间长度。 表 3 显示了用于音量和时间阈值的 VSA。
属性编号 |
属性名称 |
描述 |
价值 |
|---|---|---|---|
26-67 |
服务量 |
可以使用该服务的输入和输出流量(以 MB 为单位);当超过音量时,服务将停用。标记 VSA,支持 8 个标记 (1-8)。路由器每隔 10 分钟轮询一次流量。 |
|
26-68 |
服务超时 |
服务可以处于活动状态的秒数;超时到期时,服务将停用。标记 VSA,支持 8 个标记 (1-8)。 |
|
26-179 |
服务量-千兆字 |
可以使用该服务的输入和输出流量(以 4GB 为单位);当超过音量时,服务将停用。标记 VSA,支持 8 个标记 (1-8)。路由器每隔 10 分钟轮询一次流量。 |
|
26-180 |
更新服务 |
现有服务的新服务值和时间配额。标记 VSA,支持 8 个标记 (1-8)。 |
字符串: service-name |
另见
订阅者会话登录和服务激活失败概述
当订阅者尝试登录并通过 RADIUS 进行身份验证时,Access-Accept 消息可能包括要为特定网络家族激活的 RADIUS Activate-Service VSA (26-65) 中的服务。根据配置和服务类型,无法激活服务可能会导致订阅者登录被拒绝。
您可以在 ] 层次结构级别使用 service activation 语句 [edit access profile profile-name radius options来配置激活失败后的行为。
使用以下选项为两种类型的服务分别配置此行为:
dynamic-profile—此服务类型在订阅者访问配置文件应用的动态配置文件中配置。extensible-service- 此服务类型在可扩展订阅者服务管理器 (ESSM) 操作脚本中配置。这些服务通常会为企业订户配置新接口。
使用以下选项指定订阅者登录访问是需要成功激活这些服务还是可选激活这些服务:
required-at-login- 需要激活。由于任何原因导致的故障都会导致该网络家族的 Network-Family-Activate-Request 失败。如果订阅者没有其他网络家族已处于活动状态,则客户端应用程序将注销该订阅者。这是服务类型的默认行为dynamic-profile。optional-at-login—激活是可选的。由于配置错误导致的故障不会阻止地址族的激活;它允许订阅者访问。由于任何其他原因导致的故障会导致网络家族激活失败。如果订阅者没有其他网络家族已处于活动状态,则客户端应用程序将注销该订阅者。这是服务类型的默认行为extensible-service。
与激活订阅者安全策略(用于将流量镜像到中介设备)相关的故障不会影响受策略约束的订阅者的访问。
此配置不适用于通过 RADIUS CoA 请求、JSRC 推送配置文件请求 (PPR) 消息或订阅者安全策略激活的服务。
dynamic-profile对于服务类型,配置错误包括:
分析动态配置文件及其属性的错误。
缺少必需的用户变量。
对不存在的动态配置文件的引用。
动态配置文件中的语义检查失败。
extensible-service对于服务类型,配置错误包括:
解析操作脚本的错误。
提交失败。
要激活服务,authd 会向订阅者管理基础结构 (SMI) 发送相应服务的激活请求。例如,如果请求针对 IPv4 系列,则仅请求激活 IPv4 服务。反过来,SMI 将请求发送到与服务关联的服务器守护程序,例如 cosd 或 filterd。守护程序返回的结果决定了服务激活是成功还是失败。
当所有服务器守护程序报告成功时,SMI 将向 authd 报告成功并激活服务。
如果任何服务器守护程序报告配置错误,而没有守护程序报告非配置错误,则 SMI 会向 authd 报告配置错误。服务未激活,但根据配置,网络家族激活可能会成功。
如果任何服务器守护程序报告非配置错误,则 SMI 会向 authd 报告失败,并且服务未激活。
服务和网络家族激活流程
当订阅者登录时,authd 必须在用户通过身份验证后激活相应的地址族。客户端应用程序(如 DHCP 或 PPP)可以请求激活单个网络家族(IPv4 或 IPv6),也可以按顺序请求激活两个家族。成功的网络家族激活与关联服务的激活有关。以下步骤描述了将 authd 配置为使用 RADIUS 进行身份验证的过程:
订阅者尝试登录。
客户端应用程序请求来自 awhd 的身份验证。
authd 向 RADIUS 服务器发送 Access-Request 消息。
RADIUS 服务器向包含 RADIUS 激活服务 VSA (26-65) 的 authd 发送 Access-Accept 消息。
AUTHD 缓存服务激活属性并向客户端应用程序发送授权。
客户端应用程序为 IPv4 或 IPv6 地址族发送第一个 Network-Family-Activate 请求。此请求有时称为客户端激活请求。
authd 审查缓存的服务激活属性,并向订阅者管理基础结构 (SMI) 发送相应服务的激活请求。例如,如果请求针对 IPv4 系列,则仅请求激活 IPv4 服务。反过来,SMI 将请求发送到与服务关联的服务器守护程序,例如 cosd 或 filterd。
authd 接下来要执行的操作取决于服务激活请求是否失败,以及该服务是可选的还是必需的。
当服务激活由于配置错误而失败且服务可选时:
AUTHD 将删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到失败服务的干扰。
authd 发送 ACK 以响应家庭激活请求,并且家庭被激活。
订阅者登录继续进行。
当服务激活由于配置错误而失败且需要服务时:
AUTHD 将删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到失败服务的干扰。
authd 发送 NACK 以响应家庭激活,这会导致客户端应用程序终止订阅者的登录。
当服务激活由于非配置错误而失败,并且服务是可选的或必需的时:
AUTHD 将删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到失败服务的干扰。
authd 发送 NACK 以响应家庭激活,这会导致客户端应用程序终止订阅者的登录。
服务激活成功后:
AUTHD 激活该服务。
authd 发送 ACK 以响应家庭激活请求,并且家庭被激活。
订阅者登录继续进行。
除非需要服务激活但失败,导致第一个请求中的家族激活失败,否则客户端应用程序可能会发送第二个请求,但仅限于第一次未请求的家庭。如果第一个请求是针对 IPv4,则第二个请求只能针对 IPv6。如果第一个请求用于 IPv6,则第二个请求只能用于 IPv4。
AUTHD 查看缓存的服务激活属性,并请求激活与请求的地址族关联的服务。
authd 接下来要执行的操作取决于服务激活请求是否失败,以及该服务是可选的还是必需的。
当服务激活由于配置错误而失败且服务可选时:
AUTHD 将删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到失败服务的干扰。
authd 发送 ACK 以响应家庭激活请求,并且家庭被激活。
订阅者登录继续进行。
当服务激活由于配置错误而失败且需要服务时:
AUTHD 将删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到失败服务的干扰。
authd 发送 NACK 以响应家庭激活。由于这是第二个家族激活请求,因此第一个家族激活的结果决定了接下来会发生什么:
如果第一次家庭激活成功,并且该订阅者登录,则第二次请求失败不会停止当前订阅者登录。此事件也不会导致 authd 注销上一个(第一个请求)订阅者。
如果第一次家庭激活不成功,则第二次请求失败会导致客户端应用程序终止当前订阅者登录。
当服务激活由于非配置错误而失败,并且服务是可选的或必需的时:
AUTHD 将删除服务的缓存服务激活属性。
注意:通过此删除,您可以使用 RADIUS 授权变更 (CoA) 请求或 CLI 命令重新发出服务请求,而不会受到失败服务的干扰。
authd 发送 NACK 以响应家庭激活,这会导致客户端应用程序终止订阅者的登录。
服务激活成功后:
AUTHD 激活该服务。
authd 发送 ACK 以响应家庭激活请求,并且家庭被激活。
订阅者登录继续进行。
配置服务激活失败如何影响订阅者登录
您可以配置订阅者登录期间可选服务的激活失败如何影响登录结果。这些可选服务是订阅者初始登录期间出现在 RADIUS Access-Accept 消息中的 RADIUS Activate-Service VSA (26-65) 所引用的服务。
您可以将这两种服务激活类型配置为必需类型或可选类型。
dynamic-profile—这些服务在由订阅者访问配置文件应用的动态配置文件中配置,以便为宽带应用提供订阅者访问和服务。默认情况下,需要激活服务才能成功登录。服务激活过程中的配置错误会阻止网络家族激活,并导致订阅者登录失败。extensible-service—这些服务由可扩展订阅者服务管理器 (ESSM) 守护程序 (essmd) 为企业订阅者处理的操作脚本来应用。默认情况下,服务激活对于成功登录是可选的。
service-activation语句配置仅影响由于动态配置文件或 ESSM 操作脚本中的配置错误而导致的激活失败。由于非配置错误导致的失败总是导致订阅者拒绝访问和终止登录尝试。
要配置动态配置文件服务的行为,请执行下列操作之一:
指定服务激活是可选的。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile optional-at-login
指定需要服务激活(默认值)。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile required-at-login
要配置 ESSM 服务的行为,请执行下列操作之一:
指定需要激活服务。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service required-at-login
指定服务激活是可选的(默认值)。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service optional-at-login
另见
动态请求的错误原因代码(RADIUS 属性 101)
当 RADIUS 发起的 CoA 或断开连接操作不成功时,路由器会在发回 RADIUS 服务器的 CoA-NAK 或 Disconnect-NAK 消息中包含错误原因属性(RADIUS 属性 101)。如果检测到的错误未映射到某个受支持的错误原因属性,则路由器发送的消息不会带有错误原因属性。 表 4 描述了错误原因代码。
法典 |
价值 |
描述 |
|---|---|---|
401 |
不支持的属性 |
请求包含不受支持的属性(例如,第三方属性)。 |
402 |
缺少属性 |
请求中缺少关键属性(例如,会话标识属性)。 |
404 |
请求无效 |
请求的某些其他方面无效,例如,如果一个或多个属性的格式不正确。 |
503 |
未找到会话上下文 |
请求中识别的会话上下文在路由器上不存在。 |
504 |
会话上下文不可移除 |
由请求中的属性标识的订阅者由不受支持的组件所有。 |
506 |
资源不可用 |
由于 NAS 资源(如内存)不足,请求无法得到满足。 |
另见
验证 RADIUS 动态请求统计信息
目的
显示 RADIUS 动态请求统计信息和信息。
行动
要显示 RADIUS 动态请求统计信息:
user@host>show network-access aaa statistics dynamic-requests
另见
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。