将订阅者域映射到接入和会话选项
域映射概述
通过域映射,您可以配置一个映射来指定访问选项和会话特定参数。该映射基于订阅者会话的域名 — 路由器将映射的选项和参数应用于具有指定域的用户的会话。例如,您可以配置基于 域名 example.com的域映射。然后,当具有指定域名(例如、bob@example.comraj@example.com和 juan@example.com)的订阅者请求 AAA 服务时,将应用该域映射中的选项和参数。
订阅者的用户名通常由两部分组成:用户名后跟用户域名,用分隔符分隔。域名始终位于域分隔符的右侧。例如,在用户名中, juan@example.com用户名 juan 后跟域名 example.com,两者用 @ 分隔符分隔。
但是,某些系统使用用户名格式,其中域名precedes为用户名。为了避免与典型的域名用法混淆,这种类型的前面的域名被称为领域名称,领域名称位于领域分隔符的左侧。例如,在用户名中,top321-example.com/marytop321-example.com部分是领域名称,mary是用户名,/字符是分隔符。
域映射可提高效率,并使您能够在一次操作中为大量订阅者进行更改。例如,如果地址分配池由于从池中获取地址的订阅者数量过多而耗尽,则可以创建一个域映射,指定特定域中的订阅者从其他池中获取地址。在域映射的其他用法中,您可以创建一个新的动态配置文件,然后配置域映射以指定哪些订阅者(按其域)使用该动态配置文件。
从 Junos OS 21.3R1 版开始,您可以在域映射下配置子域。在子域中,您可以为每个 VLAN 或 VLAN 范围配置访问配置文件。此增强功能使您能够灵活地区分域中的用户,并根据用户的配置文件提供不同的服务。
订阅者管理仅在默认逻辑系统中受支持。订阅者管理域映射功能的文档介绍了如何使用 aaa-logical-system 和 target-logical-system 语句配置到非默认逻辑系统的映射。这些语句用于将来扩展的订阅者管理。
表 1 介绍了可在域映射中配置的访问选项和参数。
选择 |
描述 |
|---|---|
AAA 逻辑系统/路由实例 |
AAA 在其中为订阅者会话发送身份验证和计费请求的逻辑系统/路由实例。 订阅者管理仅在默认逻辑系统中受支持。 |
访问配置文件 |
应用于订阅者会话的访问配置文件。 |
地址池 |
用于将地址分配给订阅者的地址池。 |
域和领域名称规则 |
域和领域名称使用规则,包括域名剥离、支持的分隔符和解析方向(分隔符和解析方向是全局配置的)。 |
动态配置文件 |
应用于订阅者会话的动态配置文件。 |
PADN 参数 |
订阅者会话的 PPPoE 路由信息。 |
目标逻辑系统/路由实例 |
用户接口连接到的逻辑系统/路由实例。 订阅者管理仅在默认逻辑系统中受支持。 |
隧道配置文件 |
应用于订阅者会话的隧道配置文件。 |
域映射的类型及其优先级顺序
从 Junos OS 16.1 版开始,订阅者管理在搜索与订阅者域名匹配的域映射时使用特定顺序。以下列表显示了该顺序:
完全匹配域映射 - 订阅者域名与配置的域映射完全匹配。
通配符域映射 - 订阅者域名与通配符域映射部分匹配。
default域映射 - 订阅者域名既不是与域映射的完全匹配,也不是部分通配符匹配。
如果订阅者用户名没有域名,则不会执行搜索,并且订阅者将与域映射(如果已配置)相关联 none 。
通配符域映射
从 Junos OS 16.1 版开始,当通配符域映射功能与订阅者的域名不完全匹配时,您可以指定订阅者使用的域名。例如,如果创建名为 xyz*.example.com的通配符域映射,则域名为 、、 xyz-eastern.example.com和 xyz-northern.example.com 的订阅者xyz.example.comxyz-1234.example.com将全部映射到该通配符域,前提是订阅者的域名没有完全匹配。您可以在域映射中的任意位置插入星号通配符,以创建所需的匹配规范。如果订阅者名称派生自 DHCPv4 代理远程 ID(选项 82 子选项 2)或 DHCPv6 远程 ID(选项 37),也会使用通配符域映射。
默认域映射
您可以配置一个默认域映射,路由器用于域或领域名称不显式匹配任何现有域映射,且与通配符域映射不部分匹配的订阅者使用。将名称 default 指定为 domain map domain-map-name.
例如,您可以将默认域映射配置为为访客订阅者提供有限的功能支持,例如用于访客的特定地址池或提供 AAA 服务的路由实例。当路由器无法为来宾订阅者提供精确匹配或通配符匹配时,路由器将使用默认域映射配置中指定的规则来处理来宾订阅者的请求。
没有域或领域名称的订阅者用户名的域映射
在某些情况下,订阅者用户名可能不包含域名或领域名称,您可以配置路由器用于这些订阅者的特定域映射。将名称 none 指定为 domain map domain-map-name.
了解域映射和逻辑系统/路由实例上下文
您可以使用域映射来管理订阅者管理用于 AAA 和订阅者上下文的逻辑系统/路由实例。订阅者管理仅在默认逻辑系统中受支持,因此您可以通过配置路由实例来管理上下文。以下列表描述了两种类型的上下文:
用户上下文 — 用户接口所在的逻辑系统/路由实例。对于大多数动态订阅者会话,初始订阅者会话上下文是默认逻辑系统和默认路由实例。一个例外是 LNS,其中动态 LNS 会话(PPP over L2TP)的初始上下文与对等接口(面向 LAC 的接口)相同。因此,对于 LNS 会话,如果对等接口使用非默认路由实例,则订阅者会话的初始上下文也会使用该非默认路由实例。
AAA 上下文 — 订阅者会话用于 RADIUS 交互(如身份验证和计费请求)的逻辑系统/路由实例。默认情况下,AAA 上下文与初始订阅者上下文相同。因此,对于除动态 LNS 会话以外的所有订阅者会话,身份验证和授权都将在默认逻辑系统/路由实例上下文中执行,除非默认路由实例发生显式更改。
您可以选择性地配置域映射以使用特定的订阅者或 AAA 上下文。例如,如果动态 LNS 会话最初是在非默认路由实例中创建的(因为初始订阅者上下文使用非默认路由实例),则可以使用该 target-routing-instance 语句配置域映射,以便将订阅者置于默认路由实例中。或者,出于安全原因,您可能希望在特定上下文中进行所有 RADIUS 交互。在这种情况下,您将使用 aaa-routing-instance 语句配置域映射,以便将初始 AAA 上下文更改为新的路由实例。
在第 3 层批发环境中,使用域映射管理 AAA 和订阅者环境也很有用。例如,您可能希望将动态 VLAN 接口放置在不同的非默认路由实例中,同时将所有 RADIUS 交互保留在默认路由实例中。在此示例中,初始 AAA 上下文位于默认路由实例中,但 RADIUS 授权会将订阅者 VLAN 会话置于非默认路由实例中。然后,您可以将语句包含在 aaa-routing-instance 域映射中,以指定 AAA 上下文对动态 VLAN 会话使用默认路由实例。订阅者会话保持不变,并保留在非默认路由实例中。
使用域映射的好处
域映射使您能够在一次操作中对大量订阅者进行更改,从而简化了大规模订阅者的管理。
域映射可根据地图定义将更改应用于特定的订阅者组。
配置域映射
要为订阅者管理配置域映射,请执行以下操作:
配置通配符域映射
订阅者管理支持通配符域映射功能,通过该功能可以配置基于部分通配符匹配的域映射。当订阅者域名与配置的域映射之间没有完全匹配时,订阅者管理接下来将查找订阅者域名与通配符域映射之间的部分匹配。
要创建通配符域映射,请在配置域映射名称时包含星号通配符,例如 domain map example*。您可以在域映射中的任意位置插入通配符,通配符可以表示零或任意数量的字符。星号是唯一受支持的通配符。
例如,配置语句 domain map example*northern.com 创建一个通配符域映射,该映射与所有以 example 、 开头和结尾 northern.com的域名(如 examplenorthern.com、 example-northern.com和 example1234northern.com)进行部分匹配。但是,如果将域映射名称中的通配符移动到 domain map example-northern*.com,则会产生限制性更强的匹配,该匹配要求部分匹配的域名以 example-northern开头,例如 example-northern555.com 或 example-northern-alpha.com。
当订阅者管理从 DHCPv4 代理远程 ID(选项 82 子选项 2)或 DHCPv6 远程 ID(选项 37)派生订阅者用户名时,通配符域映射也很有用。在这些情况下,生成的用户名的格式 subscriberID|service-plan|accountID|unused为 ;例如, EricSmith|premiumTier1|314159265|0000 (其中 | 字符是分隔符)。在此示例中,订阅者管理从左至右解析用户名,并将订阅者的域标识为 premiumTier1|314159265|0000。要创建用于此订阅者的通配符域映射,您可以配置 domain map premiumTier1*。
以下示例介绍如何将四个订阅者映射到不同的域。
在此示例中,配置了三个域映射;域 default 映射、名为 example3000.com的域映射和名为 example*的通配符域映射。订阅者的映射如以下列表所示:
eric@example3000.com - 存在精确的域映射匹配,因此订阅者将映射到域
example3000.com。jack@example1001.com - 没有完全匹配,但与通配符域存在部分匹配,因此订阅者将映射到通配符域
example*。ginger@example-western.com - 没有完全匹配,但与通配符域存在部分匹配,因此订阅者也映射到通配符域
example*。sunshine@test.com - 没有完全匹配,也没有与通配符域的部分匹配,因此订阅者将映射到
default域。
要配置通配符域映射,请执行以下操作:
在域映射中指定访问配置文件
您可以使用访问配置文件指定路由器应用于订阅者会话的访问规则和选项(例如,RADIUS 身份验证服务器和属性)。域映射功能允许您为特定域中的订阅者应用特定的访问配置文件。
可以通过多种不同的方式指定或修改访问配置文件。如果发生冲突,路由器会根据 表 2 中所示的优先级规则应用接入配置文件。
优先级(从高到低) |
如何应用访问配置文件 |
|---|---|
1 |
由 RADIUS Redirect-VRouter-Name 属性 (VSA 26-25) 指定 |
2 |
在域映射配置节中指定 |
3 |
在域映射配置节中由 AAA 逻辑系统/路由实例映射间接指定 |
4 |
在客户端配置节中指定 |
5 |
在逻辑系统/路由实例配置节中指定 |
要在域映射中包含访问配置文件,请执行以下操作:
在域映射中指定地址池
您可以使用域映射功能指定路由器用于为订阅者会话分配地址的地址池。地址池可以包括 IPv4 和 IPv6 地址范围。
可以通过多种不同的方式指定或修改地址池。如果发生冲突,路由器会根据 表 3 中所示的优先规则应用地址池。
优先级(从高到低) |
如何提供地址池引用 |
|---|---|
1 |
由 RADIUS Framed-Pool 属性(RADIUS 属性 88)指定 |
2 |
在域映射配置节中配置 |
3 |
在客户端配置部分中指定(按地址匹配规则) |
要指定用于域映射的地址池,请执行以下操作:
在域映射中指定动态配置文件
动态配置文件定义为订阅者会话提供动态访问和服务(例如服务等级、协议和接口支持)的一组特征。域映射功能允许您基于订阅者域应用特定的动态配置文件。
动态配置文件在层次结构中 [edit dynamic-profiles] 配置,可以通过多种不同的方式指定或修改。如果发生冲突,路由器将根据 表 4 中所示的优先级规则应用动态配置文件。
优先级(从高到低) |
如何应用动态配置文件 |
|---|---|
1 |
由 RADIUS 虚拟路由器属性 (VSA 26-1) 或 Redirect-VRouter-Name 属性 (VSA 26-25) 指定 |
2 |
在域映射配置节中指定 |
3 |
在客户端配置节中指定 |
要在域映射中包含动态配置文件,请执行以下操作:
在域映射中指定 AAA 逻辑系统/路由实例
缺省情况下,域映射使用订阅者逻辑系统/路由实例作为守护程序发送 AAA 身份验证和计费请求的上下文 authd 。您可以根据订阅者域名选择性地配置域映射,以将 AAA 请求定向到特定上下文。通过指定非默认 AAA 上下文,您可以管理工作流和流量负载,并有效地为大量订阅者进行更改。例如,升级 RADIUS 服务后,您可以配置域映射,以指定域 example.com 中的所有订阅者现在都由特定 AAA 上下文中的 RADIUS 服务器进行身份验证。
更改 AAA 上下文不会更改订阅者上下文。您可以使用语 target-logical-system 句为订阅者显式配置逻辑系统/路由实例。
要配置用于 AAA 请求的逻辑系统/路由实例上下文,请执行以下操作:
订阅者管理仅在默认逻辑系统中受支持。
在域映射中指定目标逻辑系统/路由实例
默认情况下,路由器会将订阅者置于开始用户协商的接口的逻辑系统/路由实例上下文中。稍后,您可以使用域映射或 RADIUS 身份验证服务器来更改订阅者上下文的路由实例。
订阅者管理仅在默认逻辑系统中受支持,但是您可以将域映射配置为使用非默认路由实例。此外,如果已配置非默认路由实例,则可以将域映射配置为使用默认路由实例。
要配置用于订阅者接口的逻辑系统/路由实例上下文,请执行以下操作:
订阅者管理仅在默认逻辑系统中受支持。
在域映射中指定通道配置文件
隧道配置文件指定路由器应用于订阅者会话的隧道定义(例如,一组 L2TP 隧道及其属性)。通过域映射功能,您可以将特定的隧道配置文件应用于特定域中的订阅者。
由 RADIUS 服务器在 Tunnel-Group 属性 (VSA 26-64) 中指定的隧道配置文件优先于域映射中指定的隧道配置文件。
要在域映射中包含隧道配置文件,请执行以下操作:
另见
在域映射中指定通道交换机配置文件
隧道交换配置文件用于确定来自 LAC 的 L2TP 订阅者会话中的数据包是否被切换到具有不同目标 LNS 的其他会话。隧道交换配置文件还可以指定当数据包切换到第二个隧道时如何处理某些 L2TP AVP。通过域映射功能,可以将特定的通道交换机配置文件应用于特定域中的订阅者。
由隧道交换机配置文件 VSA (26-91) 中的 RADIUS 服务器指定的隧道交换机配置文件优先于域映射中指定的隧道交换机配置文件。如果除了隧道交换机配置文件 VSA (26-91) 之外还接收隧道组 VSA (26–64),则隧道交换机配置文件 VSA (26-91) 优先于隧道组 VSA (26-64),从而确保用户采用隧道交换而不是 LAC 隧道。
要在域映射中包含通道交换机配置文件,请执行以下操作:
另见
配置域映射的域和领域名称用法
您可以配置路由器如何确定用于域映射功能的域名。在全局级别,您可以指定用于域映射的规则。通过全局规则,您可以指定路由器可以识别为域或领域名称分隔符的其他字符,并指定路由器用于解析域或领域名称的方向。解析域或领域名称的目的是识别路由器用作订阅者域名的单个唯一名称,无论名称的来源是典型域名格式 (joseph@example.com) 还是领域名称格式 (example.com\marilyn)。路由器将生成的域名用于域映射查找和处理等操作。在域映射级别,您还可以启用域名剥离。域名剥离指定路由器在对域映射执行任何其他处理之前,先从订阅者用户名中删除解析的域或领域名称。
要为域映射配置域名使用规则,请执行以下操作:
指定域和领域名称分隔符
分隔符是用于分隔订阅者用户名与域或领域名称的字符。分隔符通常用于域或领域名称解析或域名剥离。您最多可以指定八个分隔符,路由器用于识别域映射的域或领域名称。如果未配置任何分隔符,路由器将默认使用 @ 该字符作为域名。领域名称没有默认分隔符。
例如,您的网络可能包括订阅者 bob@test.com、 pete!example.com和 test.net\maria。在这种情况下,您需要将路由器配置为识别字符 @ 和 ! 作为域名分隔符,并将 \ 字符配置为领域名称分隔符。
指定分隔符时,请记住以下准则:
不能使用分号 (;) 作为分隔符。
如果配置可选域名分隔符,如果要继续将其用作分隔符,还必须指定
@字符(默认分隔符)。如果配置可选域名分隔符,然后取消配置,路由器会将域映射分隔符设置回默认
@字符。
要为域映射配置域和领域名称分隔符,请执行以下操作:
指定域名和领域名称的解析顺序
路由器解析用户名域或领域名称,以便识别路由器用作订阅者域名的单个唯一名称,无论名称的来源是典型域名格式 (joseph@example.com) 还是领域名称格式 (example.com\marilyn)。您可以指定路由器是先在订阅者用户名中搜索域名还是领域名称。如果路由器未找到指定的名称(例如,您指定 realm-first 了,但用户名中没有领域名称),则路由器将搜索第二种类型的名称(在本例中为域名)。如果路由器未找到领域名称或域名,则没有可用于域映射操作的域。
要配置域映射的域名解析方向,请执行以下操作:
指定域名和领域名称的解析方向
您可以指定路由器执行解析操作的方向,该操作用于识别域映射的订阅者域或领域名称。在解析操作期间,路由器会搜索用户名,直到识别出分隔符。然后,它将分隔符右侧的任何内容视为域。默认情况下,路由器从右到左进行解析,从用户名中最右侧的字符开始。
路由器使用订阅者的域名来执行域映射查找和处理操作。当用户名以传统域名格式或领域名称显示时,您可以配置路由器如何识别唯一域名。在传统域名格式中,用户名后跟域名;例如,joe@example.com。在领域名称格式中,用户名前面是域名,称为领域名称;例如,example.com@joe。解析域或领域名称的目的是识别路由器用作订阅者域名的单个名称,无论该名称的来源是用户的原始域名还是领域名称。路由器将生成的域名用于域映射查找和处理等操作。在域映射级别,您还可以启用域名剥离。
当存在嵌套域名时,您使用的域分析方向非常重要。例如,对于用户名 user1@test.com@example.com,从右到左的解析将生成 的域名为 example.com。对于同一用户名,从左到右的解析会生成 的域名为 test.com@example.com。
此操作类似于解析用户名的用户部分,但默认方向和结果不同。
要配置域映射的域名解析方向,请执行以下操作:
启用域名剥离
您可以将路由器配置为在使用任何 AAA 服务之前从用户名中删除域名。对域映射进行域名剥离。路由器使用您全局配置的分隔符和解析方向来确定要删除的域名。例如,如果路由器使用默认的分隔符和解析方向 right-to-left,则用户名 user1@example.com 将剥离为 user1。
要将路由器配置为从域映射中的用户名中删除域名,请执行以下操作:
更改用户名和密码以简化机箱外配置
对于某些用例,您可能希望在路由器机箱之外配置 L2TP LAC 订阅者用户名和身份验证密码。您可以去除用户名的用户部分并覆盖用户密码。
您可以配置当用户名以传统域名格式或领域名称格式显示时,路由器如何识别要去除的用户部分。在传统域名格式中,用户名后跟域名;例如,joe@example.com。在领域名称格式中,用户名前面是域名,称为领域名称;例如,example.com@joe。
您可以指定路由器执行用于识别用户名的用户部分的解析操作的方向。在解析操作期间,路由器会搜索用户名,直到识别出分隔符。默认情况下,路由器从左到右进行解析,从用户名中最左侧的字符开始。分隔符左侧的所有内容都是用户部分。这个方向适用于传统的域名格式。使用此配置,路由器可以识别 joe 并将其从 joe@example.com 中剥离。
对于领域名称格式的用户名,您需要将解析方向更改为 right-to-left。路由器从右到左进行解析,从用户名中最右侧的字符开始。当路由器识别到分隔符时,它会将分隔符右侧的任何内容视为用户部分。使用此配置,路由器将识别 joe 并将其从 example.com@joe 中剥离。
该操作类似于域名/领域名称解析操作,但默认方向和结果与域名/领域名称解析不同。
仅对发送到外部服务器进行身份验证的用户名的用户部分进行剥离。未剥离的用户名用于计费操作。
要配置要从与域映射关联的所有用户名的用户名中去除的用户部分,请执行以下操作:
指定您希望路由器使用的解析方向:
left-to-right当用户名采用典型域名格式时使用,其中域名跟在用户名后面。[edit access domain map domain-map-name] user@host# set strip-username left-to-right
right-to-left当用户名采用领域名称格式时使用,其中领域名称位于用户名之前。[edit access domain map domain-map-name] user@host# set strip-username right-to-left
您可以指定新密码来覆盖现有密码,以便对与域映射关联的任何订阅者进行身份验证。要覆盖密码:
指定 PAP 身份验证的覆盖密码。
[edit access domain map map-name] user@host# set override-password password
-
指定 CHAP 身份验证的覆盖密码。
[edit access domain map map-name] user@host# set override-chap-password password
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。