Diameter Base 协议
Diameter 基本协议概述
Diameter 协议在 RFC 3588 Diameter Base Protocol 中定义,提供了一种更灵活RADIUS扩展的替代方案。Diameter 基本协议为在不同 Diameter 实例中运行的一个或多个应用程序(也称为功能)提供基本服务。单个应用程序提供扩展的AAA功能。使用 Diameter 的应用程序包括 Gx-Plus、JSRC、NASREQ、PTSP 和 S6a。从Junos OS版本13.1R1,将不再支持数据包触发的用户和策略控制 (PTSP) 功能。
Diameter 对等方通过可靠的 TCP 传输层连接进行通信,通过标准 Diameter AVP 和应用程序特定 AVP 交换 Diameter 消息,以传递状态、请求和确认。Diameter 传输层配置基于 Diameter 网络元素 (DNEs);支持每个 Diameter 实例的多个 DNEs。目前仅支持预定义 的主 Diameter 实例,但是您可以为许多主 Diameter 实例值配置替代值。
每个 DNE 都由一个优先级排序的对等方列表和一组路由组成,用于定义信息流转发方法。每个路由将目标与功能(应用程序)、功能分区和指标关联。当应用程序向路由目标发送消息时,Diameter 协议实例内的所有路由将检查是否匹配。选择最佳目标路由后,邮件通过包含该路由的 DNE 进行转发。
到达同一目的地的多个路由可以存在于给定的 DNE 中和不同的 DNEs 中。如果多个路由符合转发请求,则选择最佳路由,如下所示:
选择具有最低度量的路由。
如果平局,则选择规格得分最高的路由。
万一发生其他平局,则用词汇顺序比较 DNES 的名称。选择 DNE 中最低值中的路由。例如,dne-austin 的值比 dne-boston 低。
如果路由在相同的 DNE 中绑定,则用词汇顺序比较路由名称。选择具有最低值的路由。
默认情况下,路由的规格分数为 0。分数将按如下方式添加到分数中:
如果目标领域与请求匹配,请添加 1。
如果目标主机与请求匹配,请添加 2。
如果功能与请求匹配,请添加 3。
如果功能分区与请求匹配,请添加 4。
到达同一目的地的多个路由可以存在于给定的 DNE 中和不同的 DNEs 中。如果多个路由符合转发请求,Diameter 会按如下方式选择最佳路由:
Diameter 比较路由的度量值,并选择具有最低度量的路由。
如果多个路由都有相同的最低指标,Diameter 会选择最符合资格的路由。Diameter 评估路由的多个属性,以确定反映每个路由如何具体匹配请求的分数。默认情况下,路由的分数为 0。分数将按如下方式添加到分数中:
如果目标领域与请求匹配,请添加 1。
如果目标主机与请求匹配,请添加 2。
如果功能与请求匹配,请添加 3。
如果功能分区与请求匹配,请添加 4。
如果多个路由具有等价关系,Diameter 将按词汇顺序比较 DNES 的名称,然后在 DNE 中选择具有最低值的路由。例如,dne-austin 的值比 dne-boston 低。
如果路由在相同的 DNE 内绑定,Diameter 将路由名称按词汇顺序进行比较,然后选择具有最低值的路由。
当任何 DNE 的状态发生变化时,将重新评估所有目的地的路由查找。所有未解决的路由到路由目标的消息将根据需要重新路由或丢弃。
要配置 Diameter 网络元素,请包含 network-element [edit diameter] 层级的 语句,然后在 route 层次结构级别包含 [edit diameter network-element element-name forwarding] 语句。
要为 DNE destination 配置路由,请包括在 层次结构级别中包括 (可选)、 function (metric[edit diameter network-element element-name forwarding route dne-route-name]可选) 和 语句。
在层次结构级别包含一个或多个语句,指定与 DNE peer [edit diameter network-element element-name] 关联的 Diameter 对等方。
将 语句在层次结构级别中 priority 设置为每个对等方 [edit diameter network-element element-name peer peer-name] 的优先级。
Diameter 要求您配置有关源节点的信息;这就是为 Diameter 实例发起 Diameter 的端点节点在 层次结构 host 级别 realm 中包括 和 [edit diameter] 语句以配置 Diameter 源。
您可以选择配置一个或多个 传输, 以指定传输层连接的源(本地)地址。要配置 Diameter 传输,请包含 transport 层级的 [edit diameter] 语句。然后在 层次结构 address 级别包含 [edit diameter transport transport-name] 语句。
您可通过在 层次结构logical-systemrouting-instance级别包含 和 语句来为连接指定逻辑系统和路由[edit diameter transport transport-name]实例。默认情况下,Diameter 使用默认逻辑系统和默认路由实例(使用主 inet.0 路由表)。传输连接的逻辑系统和路由实例必须与对等方匹配,或者报告配置错误。
每个 Diameter 对等方都由一个名称指定。对等方属性包括地址和目的 TCP 端口,活动连接用于此对等方。要配置 Diameter 对等方,请包含 peer [edit diameter] address 层级的 语句,然后在 层次结构级别包含 和 connect-actively [edit diameter peer peer-name] 语句。
要配置活动连接,在 层次结构 port transport [edit diameter peer peer-name connect-actively] 级别中包括 和 语句。分配的传输标识传输层源地址,用于建立与对等方的活动连接。 transport 语句。
使用 Diameter 的好处
与使用数据相比,Diameter 以更低的频率报告使用情况信息,降低了网络和RADIUS。RADIUS涉及与使用变更无关的定期更新。通过 Diameter 应用程序(例如 Gx),您可以设置阈值,将使用统计信息从路由器推送到 PCRF 相关联。然后 PCRF 可以适当调整服务和成本。
无线服务和收费通常在 Diameter 应用中执行,但有线服务一般RADIUS基于路由器的基础架构。有线和无线产品的客户将其有线操作迁移到基于 Diameter 的现有无线基础架构,从而降低了维护独立基础架构的复杂性和成本。
在 Diameter 运行的应用程序往往是有状态的应用程序(有些应用程序可能是 NASREQ),而RADIUS状态的应用程序。
可通过 Diameter 运行多个应用程序协议,例如 NASREQ、Gx、Gy、JSRC 和 S6a。
属性空间比RADIUS,其支持比应用程序更多的标准和供应商特定属性 (AVP) RADIUS。Diameter 还支持RADIUS标准属性,为它们保留 1 到 255 个 AVP。
Diameter 应用程序使用的消息
Junos OS支持以下 Diameter 应用程序:
JSRC — 使用 瞻博网络 注册到 IANA (http://www.iana.org) 的 瞻博网络 Diameter 应用程序,id 为 16777244。它可与 SAE(远程 SRC 对等方)进行通信。
PTSP — 一瞻博网络 Diameter 应用程序,在 IANA (http://www.iana.org) 作为 瞻博网络 JGx 注册,ID 为 16777273。它可与 SAE(远程 SRC 对等方)进行通信。从Junos OS版本13.1R1,将不再支持数据包触发的用户和策略控制 (PTSP) 功能。
Gx-Plus — 针对有线用例扩展 3GPP Gx 接口的应用。3GPP Gx 使用 IANA 注册 (http://www.iana.org)。它与 PCRF 通信。
如果消息中包含的特定 AVP 的数据无法供路由器使用,Gx-Plus 只会在发送给 PCRF 的消息中省略该 AVP。如果 PCRF 确定其信息不足以做出确定,则可能会拒绝该请求。Diameter 答案消息包括结果代码 AVP (AVP 268);此 AVP 的价值将成功、失败或错误传达给请求者。
NASREQ — RFC 7155 中定义的基于 Diameter 的认证、授权和核算协议。Junos OS仅支持身份验证和授权。
瞻博网络 还注册了 瞻博网络 会话恢复应用程序 (16777296) 和两个新的命令代码(8388628 用于 瞻博网络-会话事件,8388629 用于 瞻博网络-会话发现)IANA (http://www.iana.org)。
表 1 说明了应用程序使用的 Diameter 消息。
Diameter 消息 |
代码 |
应用 |
描述 |
|---|---|---|---|
AA 请求 (AAR) |
265 |
JSRC、NASREQ、PTSP |
在新的订阅者登录时或 SAE 应用程序同步期间,从应用程序向 SAE 请求。该请求可以是三种类型的其中之一:地址授权、调配-请求或同步。 |
AA-Answer (AAA) |
265 |
JSRC、NASREQ、PTSP |
SAE 对应用程序的 AA 请求消息的响应。 |
中止会话请求 (ASR) |
274 |
JSRC、NASREQ、PTSP |
向应用程序请求从 SAE 注销已配置订阅者。 |
中止会话答案 (ASA) |
274 |
JSRC、NASREQ、PTSP |
从应用程序到 SAE 的 ASR 消息的响应。如果应用程序将注销请求AAA,ASA 消息将包含成功通知 (ACK)。如果注销失败,ASA 消息将包含故障通知 (NAK)。 |
核算请求 (ACR) |
271 |
JSRC、PTSP |
从 SAE 向应用程序请求,或从应用程序向 SAE 请求进行统计数据。 |
核算答案 (ACA) |
271 |
JSRC、PTSP |
响应 ACR 消息,提供每个已安装策略(服务)的统计信息。 |
功能交换请求 (CER) |
257 |
Gx-Plus |
当对等方建立传输连接时,从一个对等方到另一个对等方请求;启动功能协商。CER 宣布对等方的身份和功能,如支持的应用程序和安全机制。 |
功能交换答案 (CEA) |
257 |
Gx-Plus |
对 CER 消息的响应,宣布此对等方的功能。如果此对等方与发送 CER 的对等方没有共同的功能,则必须将结果代码 AVP 设置为DIAMETER_NO_COMMON_APPLICATION,然后丢弃连接。否则,CEA 详细信息将建立对等方之间的通用功能,并使他们能够进一步建立通信。 |
积分控制请求 (CRC) |
272 |
Gx-Plus |
在订阅者登录、注销或更新时,从 Gx-Plus 请求到 PCRF。 当用户登录并请求AAA激活订阅用户的会话时,将发送初始请求 (CRC-I)。如果 CCA-I 消息在 10 秒之内未从 PCRF 接收,Gx-Plus 将重试 CRC-I 消息。CRC-I 消息的重试次数为 3 次。 CRC-I 消息包括 Diameter AVP 订阅 Id 属性 (443),其中将订阅 Id-Type Diameter AVP 子属性 (450) 设置为 4 (END_USER_PRIVATE),以及将订阅 Id-Data Diameter AVP 子属性 (444) 如果发送 4 条 CRC-I 消息(第一条消息加上 3 次重试)后,未接收到 CCA-I,则 Gx-Plus 开始发送 CRC-N 消息。4555-N 消息将永远重新重试,直至 PCRF 收到成功或失败响应。CRC-N 消息包括设置为本地的 瞻博网络-Provisioning-Source AVP (AVP 代码 2101),以通知 PCRF 路由器有权就订阅者服务激活在本地做出决策。 当达到使用阈值时,将发送更新请求 (CRC-U) 消息。CRC-U 报告所有统计信息的实际使用情况。PCRF 可返回包括新监控阈值、服务激活、服务停用的 CCA-U 消息。 如果 PCRF 在 CRC-U 报告上过长,路由器将阈值设置为 10 分钟。如果阈值的变化小于最低,则这些值将调整为最低。例如,持续时间的最小增加为 10 分钟。 还会发送一个 CRC-U,报告服务激活或停用的状态。当受监控服务从订阅者注销中单独停用时,CRC-U 表示服务不再活动,包括服务的使用数据。 在订阅者登录时发送终止请求 (CRC-T),通知 PCRF 已终止已配置订阅者会话。4555-T 消息将永远重新重试,直至 PCRF 收到成功响应。 在作为订阅者注销的一部分停用受监控服务时,CRC-T 消息将包含服务的受监控使用数据,例如使用的字节。 |
学分控制答案 (CCA) |
272 |
Gx-Plus |
从 PCRF 回复到 400-1300-1500 的 300 多条短信。 作为对 CRC-I 的回应,PCRF 会返回一条 CCA-I 消息,消息指示成功 (DIAMETER_SUCCESS) 或失败(DIAMETER 授权已拒绝),具体取决于订阅者对于所请求的服务是否有足够的学分。所有其他响应将被忽略,并且 CRC-I 将重试。 作为对 CRC-T 的回应,PCRF 在结果代码 AVP 中返回一条 CCA-T 消息,表示成功终止,值为 2001 (DIAMETER SUCCESS)。所有其他响应将被忽略,并且 CRC-T 将重新重试。 CCA-N 是响应 400-N 的一种服务。 |
瞻博网络会话发现-请求 (JSDR) |
8388629 |
Gx-Plus |
从 PCRF 到 Gx-Plus 的发现请求,可发现路由器上的订阅者会话。 |
瞻博网络会话发现-答案 (JSDA) |
8388629 |
Gx-Plus |
从路由器回复 JSDR 消息;介绍了会话信息。结果代码 AVP 包括以下值之一或错误值:
|
瞻博网络会话-事件请求 (JSER) |
8388628 |
Gx-Plus |
有关在路由器上发生事件的请求至 PCRF。通过包括 瞻博网络-Event-Type AVP(AVP 代码 2103)来通知路由器上的某些事件。报告的事件包括冷启动或暖启动、显式发现请求、重大配置更改、PCRF 中的非响应或错误响应以及容错资源耗尽。 |
瞻博网络会话-事件-答案 (JSEA) |
8388628 |
Gx-Plus |
从 PCRF 回复 JSER 消息。 |
推送配置文件请求 (PPR) |
288 |
JSRC、PTSP |
向路由器请求为订阅者激活或停用服务。 |
推送配置文件答案 (PPA) |
288 |
JSRC、PTSP |
路由器对 SAE PPR 消息的响应。包括请求中每个服务激活或停用命令的成功或失败通知。 |
重新身份验证请求 (一次 一次) |
258 |
Gx-Plus |
从 PCRF 到路由器的审核请求,以确定是否有特定订阅者。 当监控密钥和阈值在 一个 一起接收时,路由器会更新它们。 |
重新身份验证 -答案 (RAA) |
258 |
Gx-Plus |
从路由器回复 一条 一条消息;指示用户是否处于活动状态。结果代码 AVP 包括以下值之一:
|
会话资源查询 (SRQ) |
277 |
JSRC、PTSP |
从路由器向 SAE 请求,或从 SAE 向路由器请求,以启动路由器与 SAE 之间的同步。 |
会话资源回复 (SRR) |
277 |
JSRC、PTSP |
响应 SRQ 消息以开始同步。 |
会话终止请求 (STR) |
275 |
JSRC、NASREQ、PTSP |
从路由器到 SAE 的已配置用户已注销的通知。 |
会话终止答案 (STA) |
275 |
JSRC、NASREQ、PTSP |
从 SAE 到路由器 STR 消息的响应。包括成功或失败通知。 |
Diameter AVP 和 Diameter 应用
Diameter 通过将各种属性-值对 (AVP) 包括在 Diameter 消息中来传达信息,其方式RADIUS以标准 IETF RADIUS 属性和供应商特定属性 (VSA) 中传达信息的方式。 表 2 列出了与受支持的 Diameter 应用程序的交互中使用的标准 Diameter ACP。Diameter 保留 AVP 属性编号 0 到 255,用于RADIUS Diameter 中实施的 AVP 属性;Diameter 属性编号与相应标准组属性RADIUS相同。编号大于 255 的属性没有相应的标准RADIUS属性。从Junos OS版本13.1R1,将不再支持数据包触发的用户和策略控制 (PTSP) 功能。
属性编号 |
Diameter AVP |
应用 |
描述 |
类型 |
|---|---|---|---|---|
1 |
用户名 |
Gx-Plus、JSRC、NASREQ |
指定用户名。对于由 AAA管理的订阅者,该值是用户的登录名称。对于静态接口,该值是接口名称,用作用户的登录名称。 |
UTF8String |
2 |
用户密码 |
NASREQ |
指定要认证的用户的密码或用户在多轮身份验证交换中的输入。 |
八位位位结构 |
4 |
NAS-IP 地址 |
NASREQ |
指定用户认证NAS的 IP 地址。 |
IPAddress |
6 |
服务类型 |
NASREQ |
指定服务类型请求的信息或服务类型的指定选项。认证或授权请求或响应中可能存在一个此类 AVP。不需要NAS来实施所有这些服务类型。 |
枚举 |
8 |
帧 IP 地址 |
Gx-Plus、JSRC、NASREQ、PTSP |
标识为订阅者配置的 IPv4 地址。该值与帧RADIUS IP 地址属性 [8] 的值相同。 |
八位位位结构 |
9 |
框架-IP-Netmask |
NASREQ |
标识 IPv4 netmask 的四个八位位组。 |
八位位位结构 |
11 |
过滤器 ID |
NASREQ |
指定用户过滤器列表的名称。它旨在供人类阅读。授权答案消息中可发送零个或多个过滤器 ID ACP。 |
UTF8String |
12 |
有帧MTU |
NASREQ |
指定未通过其他最大传输单元(如 PPP)MTU时要配置的组 (MTU)。 |
未签名32 |
22 |
有帧路由 |
NASREQ |
指定 7 位 US-ASCII 路由信息。 |
UTF8String |
25 |
类 |
NASREQ |
将 Diameter 服务器的状态信息返回给接入设备。 |
八位位位结构 |
27 |
会话超时 |
NASREQ |
指定在会话终止之前提供给用户的最大服务秒数。 |
未签名32 |
28 |
空闲超时 |
NASREQ |
指定在会话终止或发出提示之前允许用户的连续最大空闲连接秒数。 |
未签名32 |
32 |
NAS标识符 |
NASREQ |
指定向NAS服务的网络的身份。 |
直径识别 |
44 |
Acct-Session-ID |
NASREQ |
指定 Acct-Session-Id 属性RADIUS的内容。 |
八位位位结构 |
50 |
Acct-Multi-Session-ID |
NASREQ |
链接多个相关核算会话,其中每个会话都有唯一的会话 ID,但相同的 Acct-Multi-Session-Id AVP。 |
UTF8String |
55 |
事件时间戳 |
Gx-Plus、JSRC、PTSP |
指定触发包含此 AVP 的消息的事件时间。时间表示为自 1900 年 1 月 1 日 00:00 UTC 以来的秒数。 |
时间 |
60 |
CHAP 挑战赛 |
NASREQ |
指定由协议发送至 CHAP 对等方的 PPP 质询握手认证协议 (CHAP) NAS。 |
八位位位结构 |
61 |
NAS端口类型 |
NASREQ |
指定用户认证所基于NAS的类型。 |
枚举 |
62 |
端口限制 |
NASREQ |
指定网络向NAS提供的最大端口数。 |
未签名32 |
78 |
配置令牌 |
NASREQ |
指示使用的配置文件类型。 |
八位位位结构 |
85 |
Acct-临时间隔 |
JSRC、PTSP |
指定此会话的每个临时核算更新之间的秒数。 路由器使用以下准则进行临时核算:
|
未签名32 |
87 |
NAS端口 ID |
Gx-Plus、JSRC、NASREQ、PTSP |
识别用于对用户NAS的端口。该值与端口RADIUS NAS Id 属性 [87] 的值相同。 |
UTF8String |
88 |
有帧池 |
NASREQ |
指定用于为用户分配地址的已分配地址池的名称。如果NAS组不支持多个地址池,NAS此 AVP。地址池通常用于 IP 地址,但如果协议支持NAS,则可用于其他协议。 |
八位位位结构 |
97 |
有帧 IPv6 前缀 |
NASREQ |
指定为用户配置的 IPv6 前缀。 |
八位位位结构 |
99 |
有帧 IPv6-路由 |
NASREQ |
指定为网络用户配置的 US-ASCII 路由NAS。 |
UTF8String |
100 |
有帧 IPv6 池 |
NASREQ |
指定用于为用户分配 IPv6 前缀的已分配池的名称。如果接入设备不支持多个前缀池,则必须忽略此 AVP。 |
八位位位结构 |
258 |
身份验证应用程序 ID |
NASREQ |
指定对应用程序的身份验证和授权部分的支持。 |
未签名32 |
263 |
会话 ID |
Gx-Plus、JSRC、NASREQ、PTSP |
指定订阅者会话标识符。路由器将分配值以唯一识别订阅者会话。 |
UTF8String |
264 |
原始主机 |
NASREQ |
指定发起 Diameter 消息的主机。 |
直径识别 |
268 |
结果代码 |
Gx-Plus、JSRC、NASREQ、PTSP |
指示请求是否成功完成。在请求失败时提供错误代码。 Diameter 认可以下等级:
以lsls 6–9 或 0 开头的未解决的类将视为永久性故障处理。 JSRC 和 PTSP 支持以下值;所有非成功值都被视为永久性故障:
JSRC 还支持以下被视为永久性故障的值:
Gx-Plus 支持以下 PCRF 响应发生错误的值;当收到这些值或者响应格式错误或不可表示时,将重新重试请求。
|
未签名32 |
269 |
产品名称 |
Gx-Plus |
指定功能交换请求 (CER) 和容量交换答案 (CEA) 消息中的"产品名称"字段的值。值始终为 JUNOS,除非在 如果更改产品名称,路由器将断开与 Diameter 对等方的所有现有连接,然后使用新名称重新连接。 |
UTF8String |
277 |
身份验证会话状态 |
JSRC、NASREQ、PTSP |
指示是否AAA会话状态。
|
枚举 |
279 |
故障 AVP |
NASREQ |
指定在请求因特定 AVP 中的误发信息而拒绝或未完全处理时调试信息。结果代码 AVP 的值提供有关故障 AVP 原因的信息。 |
分组 |
281 |
错误消息 |
NASREQ |
指定随结果代码 AVP 附带的人类可读错误消息。错误消息 AVP 并非旨在实时使用,不需要网络实体来解析消息。 |
UTF8String |
283 |
目标领域 |
NASREQ |
指定 Diameter 消息路由到的 Diameter 领域。 |
直径识别 |
293 |
目标主机 |
NASREQ |
指定将 Diamter 消息路由到的主机。 |
直径识别 |
295 |
终止原因 |
JSRC、NASREQ、PTSP |
指示会话在访问设备上终止的原因。
|
枚举 |
296 |
起源领域 |
NASREQ |
标识 Diameter 消息发起方的 Diameter 领域。 |
直径识别 |
402 |
CHAP-Auth |
NASREQ |
指定使用 CHAP 认证用户所需的信息。 |
分组 |
415 |
CC 请求编号 |
Gx-Plus |
在会话中识别请求。会话 Id 和 CC-Request-Type 的组合在全球独一无二。会话过程中,每个请求的编号递增。发生路由器高可用性事件时,该编号将重置。 |
未签名32 |
416 |
CC 请求类型 |
Gx-Plus |
指定积分控制请求的类型:
|
枚举 |
431 |
授予服务单元 |
Gx-Plus |
包含由客户端指定的以下一个或多个请求单元提供的数量:CC-Input-八位位组、CC-输出八位位组、CC-Time 或 CC-Total 八位位组。CCA-I 消息中包含,可包含在 CCA-U 消息中。 |
分组 |
443 |
订阅 ID |
Gx-Plus |
包含不会单独显示以下子属性:
|
分组 |
446 |
使用服务单元 |
Gx-Plus |
包含实际使用的请求单元的数量;在服务激活时从 4 测得。这些单元是客户端指定的以下一个或多个请求单元:CC-Input-八位位组、CC-输出八位位组、CC-Time 或 CC-Total 八位位组。CRC-U 消息中包含的内容。 |
分组 |
480 |
核算记录类型 |
JSRC、PTSP |
指定服务核算的帐户记录类型:
|
枚举 |
1001 |
收费规则安装 |
Gx-Plus、NASREQ |
请求安装由包括的收费规则名称 AVP (1005) 指定的规则(激活服务)。此 AVP 的供应商 ID 为 10415 (3GPP)。 |
分组 |
1002 |
收费规则消除 |
Gx-Plus |
请求移除由包括的收费规则名称 AVP (1005) 指定的规则(停用服务)。此 AVP 的供应商 ID 为 10415 (3GPP)。 |
分组 |
1005 |
收费规则名称 |
Gx-Plus、NASREQ |
指定已安装、修改或删除的特定规则的名称。 |
八位位位结构 |
1066 |
监控 - 密钥 |
Gx-Plus |
指定要使用的监控结构。收费规则安装 AVP (1001) 中提供。MX 路由器不支持跨服务聚合统计信息,因此此 AVP 的价值必须不同于每项服务。此 AVP 的供应商 ID 为 10415 (3GPP)。 |
八位位位结构 |
1067 |
使用情况监控信息 |
Gx-Plus |
设置监控阈值。当服务统计信息至少与获授予的服务值之一匹配时,路由器会向 PCRF 发送一份带当前统计信息的 CRC-U 报告。包括监控密钥 AVP (1066) 和授予服务单元 AVP (431)。此 AVP 的供应商 ID 为 10415 (3GPP)。 |
分组 |
瞻博网络 Diameter ACP 之外,还使用 ACP。这些 AVP 的供应商 ID(企业编号)为 2636 或 4874,在概念上类似于RADIUS特定供应商属性 (VSA)。 表 3 列出了瞻博网络 Diameter 应用程序使用的 ACP。
属性编号 |
Diameter AVP |
供应商 ID |
应用 |
描述 |
类型 |
|---|---|---|---|---|---|
213 |
接口集目标权重 |
4874 |
NASREQ |
指定接口集的权重,将其及其成员链路与聚合以太网成员链路关联以用于目标分配。 |
未签名32 |
214 |
接口目标权重 |
4874 |
NASREQ |
指定接口的权重,将其与接口集关联,由此与该接口集的聚合以太网成员链路关联以用于目标分配。当接口集没有权重时,则第一个授权用户接口的接口权重值用于该设置。 |
未签名32 |
2004 |
瞻博网络服务套件 |
2636 |
JSRC |
指定服务捆绑包的名称。 |
八位位位结构 |
2010 |
瞻博网络-DHCP-Options |
2636 |
JSRC |
指定客户端的 DHCP 选项。 |
八位位位结构 |
2011 |
瞻博网络-DHCP-GI 地址 |
2636 |
JSRC |
指定 DHCP 中继代理的 IP 地址。 |
八位位位结构 |
2020 |
瞻博网络策略安装 |
2636 |
JSRC、PTSP |
指定要为订阅者激活的策略。包括 瞻博网络-Policy-name 和 瞻博网络-Policy-Definition |
分组 |
2021 |
瞻博网络-策略-名称 |
2636 |
JSRC、PTSP |
定义策略决策的名称。 |
八位位位结构 |
2022 |
瞻博网络-策略定义 |
2636 |
JSRC、PTSP |
定义策略决策。包括瞻博网络-Policy-Name、瞻博网络-Template-Name 和 瞻博网络-替代。 |
分组 |
2023 |
瞻博网络-Template-Name |
2636 |
JSRC、PTSP |
指定路由器定义的配置文件名称。PTSP 仅支持策略 |
UTF8String |
2024 |
瞻博网络替代 |
2636 |
JSRC、PTSP |
定义替代属性。包括瞻博网络替代名称和瞻博网络替代值。 |
八位位位结构 |
2025 |
瞻博网络替代名称 |
2636 |
JSRC、PTSP |
定义要更换的变量的名称。 |
八位位位结构 |
2026 |
瞻博网络替代值 |
2636 |
JSRC、PTSP |
定义要更换的变量的值。 |
八位位位结构 |
2027 |
瞻博网络策略-删除 |
2636 |
JSRC、PTSP |
指定要针对订阅者停用的策略。包含 瞻博网络-Policy-Name。 |
分组 |
2035 |
瞻博网络策略故障 |
2636 |
JSRC、PTSP |
指定出现故障的策略激活或停用的名称。 |
八位位位结构 |
2038 |
瞻博网络策略-成功 |
2636 |
JSRC、PTSP |
指定成功的策略激活或停用的名称。 |
八位位位结构 |
2046 |
瞻博网络逻辑系统 |
2636 |
JSRC、PTSP |
指定逻辑系统。 |
UTF8String |
2047 |
瞻博网络路由实例 |
2636 |
JSRC、PTSP |
指定路由实例。 |
UTF8String |
2048 |
瞻博网络-Jsrc-分区 |
2636 |
JSRC、PTSP |
指定订阅者或请求的逻辑系统和路由实例。包括瞻博网络逻辑系统和瞻博网络路由实例 |
分组 |
2050 |
瞻博网络请求类型 |
2636 |
JSRC、PTSP |
描述请求类型:
|
枚举 |
2051 |
瞻博网络同步类型 |
2636 |
JSRC、PTSP |
描述同步类型:
|
枚举 |
2052 |
瞻博网络同步 |
2636 |
JSRC、PTSP |
描述同步状态:
|
枚举 |
2053 |
瞻博网络-Acct-Record |
2636 |
JSRC、PTSP |
指定为此订阅者安装的每个策略的统计信息数据。包含 瞻博网络-Policy-Name。 |
分组 |
2054 |
瞻博网络-Acct-Collect |
2636 |
JSRC、PTSP |
指定是否收集已安装策略(服务)的核算数据(包含在 瞻博网络-Policy-Install AVP 中):
|
枚举 |
2058 |
瞻博网络状态 ID |
2636 |
JSRC、PTSP |
指定分配给每个同步周期的值,以便识别要丢弃的消息。包含相同内容的所有请求均
注意:
对于请求的同步请求,SRQ 消息包含递增 |
未签名32 |
2100 |
瞻博网络虚拟路由器 |
2636 |
Gx-Plus、JSRC |
指定与会话关联的虚拟路由器的名称。 |
UTF8String |
2101 |
瞻博网络资源 |
2636 |
Gx-Plus |
指定 CRC-N 和 JSDA 消息中的会话的调配源:
|
枚举 |
2102 |
瞻博网络配置-描述符 |
2636 |
Gx-Plus |
定义 JSDA 消息中使用的组,其中包含会话 ID,可选择瞻博网络资源配置源和订阅者数据。 |
分组 |
2103 |
瞻博网络-事件类型 |
2636 |
Gx-Plus |
在 JSER 消息中传达事件类型:
|
枚举 |
2104 |
瞻博网络发现-描述符 |
2636 |
Gx-Plus |
定义 JSDR 和 JSDA 消息中使用的组,其中包含发现请求的参数:发现类型、请求字符串、详细程度、最大结果。 |
分组 |
2105 |
瞻博网络发现类型 |
2636 |
Gx-Plus |
指定 JSDR 和 JSDA 消息的发现子命令:
|
枚举 |
2106 |
瞻博网络行为级别 |
2636 |
Gx-Plus |
指定 JSDR 和 JSDA 消息的级别:
|
枚举 |
2107 |
瞻博网络字符串 A |
2636 |
Gx-Plus |
指定根据上下文解释的通用字符串。 |
UTF8String |
2108 |
瞻博网络字符串 B |
2636 |
Gx-Plus |
指定根据上下文解释的通用字符串。 |
UTF8String |
2109 |
瞻博网络字符串-C |
2636 |
Gx-Plus |
指定根据上下文解释的通用字符串。 |
UTF8String |
2110 |
瞻博网络未签名32-A |
2636 |
Gx-Plus |
指定根据上下文解释的通用、未签名的 32 位整数。 |
未签名32 |
2111 |
瞻博网络-未签名32-B |
2636 |
Gx-Plus |
指定根据上下文解释的通用、未签名的 32 位整数。 |
未签名32 |
2112 |
瞻博网络未签名32-C |
2636 |
Gx-Plus |
指定根据上下文解释的通用、未签名的 32 位整数。 |
未签名32 |
2200 |
瞻博网络-IPv6-Ndra 前缀 |
2636 |
JSRC |
如果订阅者会话数据库 IPv6Prefix 条目中提供,此 AVP 包含在发送至 SAE 的 AAR 调配请求消息中。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
IPv6Prefix |
2201 |
瞻博网络帧-IPv6-Netmask |
2636 |
JSRC |
如果订阅者会话数据库 IPv6Address 条目中提供,此 AVP 包含在发送至 SAE 的 AAR 调配请求消息中。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
IPv6Address |
2202 |
瞻博网络代理电路 ID |
2636 |
JSRC |
按访问节点和用户线识别订阅者。如果在用户的会话数据库条目中提供,此 AVP 包含在发送至 SAE 的 AAR 调配请求消息中。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
八位位位结构 |
2203 |
瞻博网络代理-远程 ID |
2636 |
JSRC |
标识访问节点上的订阅者。如果在用户的会话数据库条目中提供,此 AVP 包含在发送至 SAE 的 AAR 调配请求消息中。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
八位位位结构 |
2204 |
瞻博网络-Acct-IPv6-Input-Octets |
2636 |
JSRC |
接口上接收的 IPv6 八位位组数。此 AVP 包含在发送至 SAE 的 ACR 核算请求消息中,即使该值为零时也包括在内。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
未签名64 |
2205 |
瞻博网络-Acct-IPv6-Output-Octets |
2636 |
JSRC |
接口上发送的 IPv6 八位位组数。此 AVP 包含在发送至 SAE 的 ACR 核算请求消息中,即使该值为零时也包括在内。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
未签名64 |
2206 |
瞻博网络-Acct-IPv6-Input-Pkt |
2636 |
JSRC |
接口上接收的 IPv6 数据包数。此 AVP 包含在发送至 SAE 的 ACR 核算请求消息中,即使该值为零时也包括在内。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
未签名64 |
2207 |
瞻博网络-Acct-IPv6-Output-Pkt |
2636 |
JSRC |
接口上发送的 IPv6 数据包数。此 AVP 包含在发送至 SAE 的 ACR 核算请求消息中,即使该值为零时也包括在内。 此 AVP 仅在启用 JSRC 双堆栈支持时使用。 |
未签名64 |
Tekelec AVP 仅用于 Gx-Plus。这些 AVP 的企业编号为 21274。 表 4 列出了 Tekelec AVP。这四个变量用于为用户定义的服务变量CoS替代值。
属性编号 |
Diameter AVP |
应用 |
描述 |
类型 |
|---|---|---|---|---|
5555 |
Tekelec-Charging-Rule-自认为名称 |
Gx-Plus |
定义要更换的服务变量的名称。 |
八位位位结构 |
5556 |
Tekelec-Charging-Rule-参数-值 |
Gx-Plus |
定义要更换的服务变量的值。 |
八位位位结构 |
5557 |
Tekelec-Charging-Rule-自认为 |
Gx-Plus |
定义用于替换服务变量的置换属性。包括 Tekelec-Charging-Rule-Argument-name AVP (5555) 和 Tekelec-Charging-Rule-Value AVP (5556)。 |
分组 |
5558 |
Tekelec-Charging-Rule-With-自参数 |
Gx-Plus |
请求安装由包括的收费规则名称 AVP (1005) 指定的规则(激活服务)。请求的服务变量替代由可选的包含 Tekelec-Charging-Rule-Argument AVP (5557) 提供。 |
分组 |
配置 Diameter
通过指定端点源、远程对等方、传输层连接以及将路由与对等方相关联的网络元素,可配置 Diameter。目前仅支持主 Diameter 实例。只能在默认路由实例环境中为此 Diameter 实例配置替代值。
要配置 Diameter 基本协议,
配置 Diameter 实例的来源属性
您可以配置为 Diameter 实例发起 Diameter 消息的端点节点的识别特征。主机名由 Diameter 实例提供为源主机 AVP 的值。通过 Diameter 实例,该领域作为原始领域 AVP 提供的值。
要配置 Diameter 实例的源属性,请进行以下配置:
配置 Diameter 对等体
您可以配置 Diameter 发送消息的对等方。Diameter 使用默认逻辑系统和路由实例。默认情况下,端口 3868 用于与对等方的活动连接。
要为 Diameter 实例配置远程对等方:
例如,对等方 p3 的以下配置指定了 IPv4 地址、路由实例 ri8、目标端口 49152、传输 t6(example.com 中主机 1 的来源)并包括消息中的源状态 AVP。
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
配置 Diameter 传输
您可以为 Diameter 实例配置一个或多个传输,以为本地连接设置 IPv4 或 IPv6 地址,并可选择配置逻辑系统或路由实例环境。Diameter 使用默认逻辑系统和路由实例。传输连接的逻辑系统和路由实例必须与对等方匹配,或者报告配置错误。多个对等方可以共享同一传输。
要配置 Diameter 实例的传输:
例如,以下传输 t1 配置指定 IPv6 地址、逻辑系统 ls5 和路由实例 ri10。
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
配置 Diameter 网络元素
Diameter 网络元素 (DNE) 由相关应用程序(在 CLI 中称为功能)、一个优先级排序对等方列表和一组转发规则组成。转发规则通过一组关联的目标、应用程序和指标定义单个路由。每个机箱必须至少配置一个 DNE,以启动 Diameter 进程 (jdiameterd)。
配置 Diameter 网络元素之前,请执行以下任务:
定义 Diameter 对等方。请参阅 Configuring Diameter 对等方 。
要配置 Diameter 网络元素:
示例:配置 S6a 应用程序
此示例演示如何在 SRX 系列设备上配置基于 Diameter 的身份验证 S6a 应用程序,以从订阅者服务器检索身份验证信息。
要求
概述
此示例将创建 S6a 分区并指定端点源、远程对等方以及将路由与对等方相关联的网络元素,以控制 S6a 消息的直径转发。您还会创建 S6a 分区以仅支持主 Diameter 实例。只能在默认路由实例 master 环境中为 Diameter 实例配置替代值。
配置
配置接入配置文件和 Diameter 应用参数
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下CLI 编辑器 。
要配置访问配置文件和 Diameter 应用参数:
指定用于认证顺序的访问配置文件。
[edit access-profile] user@host# set s6a_test
指定认证方法的使用顺序。
[edit access profile] user@host# set s6a_test authentication-order s6a
创建分区或指定现有分区的名称。
[edit access] user@host# set s6a partition partition_name
配置 s6a 分区的目标领域。
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
配置 s6a 分区的目标主机。
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
为 s6a 分区指定 Diameter 实例。
[edit access] user@host# set s6a partition partition_name diameter-instance master
注意:目前仅支持默认 Diameter
master实例。对未解决的请求数量设置限制。
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
在 s6a 停止尝试发送订阅者注销消息之前,配置以秒为秒的时间量。
[edit access] user@host# set s6a partition partition_name response-timeout 20
包括发起 Diameter 消息的领域的名称。
[edit diameter] user@host# set origin realm zzz.com
包括发起 Diameter 消息的主机名称。
[edit diameter] user@host# set origin host s6a.zzz.com
指定网络元素的名称。
[edit diameter] user@host# set network-element ne3
将 Diameter 对等方与网络元素进行关联。
[edit diameter] user@host# set network-element peer p3
设置对等方的优先级。
[edit diameter] user@host# set network-element peer p3 priority 100
根据定义的转发规则,指定可以通过网络元素到达的路由。
[edit diameter] user@host# set network-element ne3 forwarding route r0
指定路由的度量值。
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
指定 Diameter 对等方的 IP 地址。
[edit diameter] user@host# set peer p3 address 192.0.0.244
指定 Diameter 为与对等方的活动连接使用的端口。
[edit diameter] user@host# set peer p3 connect-actively port 63101
结果
在配置模式下,输入 和 命令以确认 show access 您的 show diameter 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
如果完成设备配置,请从配置 commit 模式输入 。
配置冗余以太网接口
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器 。
要配置冗余以太网接口:
配置冗余以太网接口。
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
结果
在配置模式下,输入 命令以确认您的 show interfaces 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
如果完成设备配置,请从配置 commit 模式输入 。
配置安全区域和安全策略以允许 S6a Diameter 应用程序
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器 。
要配置安全策略和区域:
在 reth1.0 接口上设置系统服务和协议。
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
在 reth0.0 接口上设置系统服务和协议。
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
配置安全策略。
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
结果
在配置模式下,输入 命令以确认您的 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
如果完成设备配置,请从配置 commit 模式输入 。
验证
验证 S6a 状态
目的
要确认配置工作正常,请执行以下任务:
行动
在操作模式下,输入 show network-access s6a state、 show network-access s6a statistics和 show network-access s6a statistics extensive 命令检查 s6a 应用程序的网络访问状态和统计信息。
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
意义
show network-access s6a state、 show network-access s6a statistics和 show network-access s6a statistics extensive 命令显示 S6a 应用程序状态以及从订阅服务器检索到的认证信息的统计数据。