用于订阅者调配和核算的 JSRC
瞻博网络会话和资源控制 (SRC) 和 JSRC 概述
瞻博网络会话和资源控制 (SRC) 环境提供一个管理用户及其服务的中央管理点。SRC 软件在控制器瞻博网络 C Series上运行。SRC 软件使用 Diameter 协议在路由平台上的本地 SRC 对等方与 瞻博网络 控制器上的远程 SRC 对等方C Series通信。本地 SRC 对等方称为 JSRC,是该AAA的一部分。远程 SRC 对等方是服务激活引擎 (SAE);SAE 在 SRC 环境中充当控制代理。JSRC 和 SAE 联合提供远程控制实施功能 (RCEF)。
JSRC 的职责如下:
向 SAE 请求地址授权。
从 SAE 请求服务激活。
根据 SAE 指定激活和停用服务。JSRC 可以使用相同的服务(动态配置文件)名称激活多个策略。
可选择报告服务核算的量统计信息。
按 SAE 指定的操作注销订阅者。
使用新服务激活和停用的状态更新 SAE。
与 SAE 同步订阅者状态和服务信息。
在用户退出时通知 SAE。
SRC 软件使 SAE 可激活和停用订阅者服务(由 SRC 策略说明)和退出订阅者。SAE 只能控制通过 SAE 配置的资源。因此,SAE 仅收到有关 JSRC 请求从 SAE 进行调配的订阅者的信息。例如,当用户登录,但是配置不需要会话激活路径包含 SAE 调配时,SAE 不会接收有关此订阅者的信息,并且无法控制订阅者会话。
同样,SAE 只能控制其已激活的订阅者服务。当服务未从 SAE(例如RADIUS激活的服务)中激活时,SAE 接收不提供有关服务的信息,并且无法控制相关信息。
SAE 还可指示 JSRC 收集每个服务会话的核算统计信息。
一个或多个基于 Diameter 的应用程序(功能)可同时在路由器上运行。
使用 JSRC 的好处
允许使用 MX 系列路由器充当 瞻博网络 和资源控制 (SRC) 环境中的本地对等方,从而集中管理订阅者及其服务。
JSRC 针对订阅者访问的硬件要求
JSRC 在 MX 系列 5G 瞻博网络 上通用路由平台。JSRC 当前支持静态和动态接口上的订阅者会话。
了解 JSRC-SAE 交互
本主题介绍在 JSRC(本地 SRC 对等方)和 SAE(远程 SRC 对等方)之间交换的 Diameter 消息序列,这些消息与用户访问交互以执行以下任务:
订阅者登录
服务激活
服务停用
再同步
SAE 发起的用户登录
统计数据收集和报告
订阅者发起的注销
订阅者登录
JSRC 授权适用于不同的订阅者类型:
同时配置 和
authorization-order jsrcauthentication-order在访问配置文件中时,授权顺序仅适用于受配置文件影响的 DHCP 订阅者,而认证顺序仅适用于非 DHCP 订阅者。仅当您在
authorization-order jsrc访问配置文件中配置时,授权令适用于受该配置文件影响的所有订阅者。
当用户尝试登录时,协议守护程序将认证请求AAA。JSRC 又向 SAE 发送 Diameter AA 请求消息。SAE 返回 Diameter AA-Answer 消息,可包含帧 IP 地址属性和 瞻博网络-DHCP-Options AVP(AVP 代码 2010)。JSRC 将忽略此 AA-Answer 消息中包含的任何其他可选 AVP。
在 层次结构级别中包括 语句时,将为 DHCP(和 SSC) provisioning-order [edit access profile profile-name] 订阅者启用 JSRC 调配。当应用程序请求 AAA 激活订阅者会话时,JSRC 会发送一则 AA 请求消息,其中包含 瞻博网络-Request-Type AVP (AVP 代码 2050),其中的值表示向 SAE 请求服务调配。
如果接受请求,SAE 会返回一则 AA-Answer 消息,其中包含 ACK;如果请求被拒,则包含 NAK。如果接受请求,AA-Answer 消息将包含 瞻博网络-Policy-Install AVP(AVP 代码 2020),用于指定要连接到订阅者接口的服务。包含此 AVP 时,SAE 将结果代码 AVP 设置至 1001 (DIAMETER_MULTI_ROUND_AUTH)。此代码表示 JSRC 必须向 SAE 再发送一条 AA 请求消息,以通过文件报告策略实例化(服务激活)AAA。JSRC 将忽略此 AA-Answer 消息中包含的任何其他可选 AVP。SAE 返回一条 AA-Answer 消息来确认此第二条 AA-Request 消息。
订阅者服务激活和停用
SAE 策略调配订户服务。订阅者登录后,SAE 可以向 JSRC 发送一则 PPR 消息来激活或停用服务。给定 PPR 可以包括激活服务的 瞻博网络-Policy-Install AVP(AVP 代码 2020),以及激活服务的 瞻博网络-Policy-Remove AVP(AVP 代码 2027)以停用服务,或停用服务两者(对于不同服务)。PPR 不能包含这些 AVP 中的三个(安装、卸下或混合)。
JSRC 完成 PPR 中请求的任务后,向 SAE 发送一则 PPA 消息。PPA 表示 PPR 中请求的操作的成败。
如果使用 RADIUS 或 CLI停用 SAE 的服务,SAE 就会与路由引擎上的订阅者状态不一致。
订阅者重新同步
在重新同步期间,JSRC 会向 SAE 通知为已配置订阅者处于活动状态的服务。JSRC 或 SAE 发起再同步。
SAE 在启动时或备份 SAE 因主要 SAE 的资源限制或情况而接管会话控制时,启动重新代码化。SAE 会清除其所有条目数据库,为同步做好准备。
JSRC 在 JSRC 启动时启动再AAA,例如当设备启动或重新启动。
JSRC 还可以在另外一种情况下启动再同步。当多 SAE 环境中 SAE 处于活动状态时,必须将 SRQ 作为第一条消息发送给 JSRC。然后,JSRC 将锁定活动 SAE 的源主机 AVP。如果 JSRC 收到来自任何其他 SAE 的消息,如源主机 AVP 指示,则随后会触发重新同步。如果活动 SAE 与备用 SAE 之间的通信中断,则发生此类事件。
两个实体都通过发送 SRQ 消息启动再同步。接收方使用 SRR 消息回复。发送 SRR 后,无论 SAE 或 JSRC 是否启动同步,JSRC 都将为会话数据库中每个调配的订阅者发送 AA-Request 消息。AA-Request 消息包括一个瞻博网络服务的策略-安装 AVP。SAE 会返回一则带有 ACK 的 AA-Answer 消息,以确认接收。
由 SAE 终止的订阅者会话
当 SAE 终止订阅者会话时,会向 JSRC 发送 ASR 消息。JSRC 会使AAA向 DHCP(或 SSC) 客户端应用程序发送注销请求。当 DHCP 客户端应用程序接受注销请求时,JSRC 在发送给 SAE 的 ASR 消息中包含一个 ACK,以表明成功。如果 DHCP 客户端应用程序不接受请求,则 JSRC 在 ASR 中包含 NAK 以表明失败。DHCP 客户端应用程序负责启动实际登录顺序,并AAA。
按服务规则收集并报告统计信息
统计信息可以从路由器发送至 SAE,也可从 SAE 发送至路由器。Diameter 核算请求 (ACR) 和核算答案 (ACA) 消息都包括 瞻博网络-Acct-Record AVP(AVP 代码 2053),用于识别请求核算信息的策略(服务)。
订阅者注销
当 DHCP(或 SSC) 客户端应用程序向 AAA 发送订阅者注销通知时,JSRC 会发送一条 STR 消息,通知 SAE 已配置的用户会话正在终止。SAE 将 STA 消息返回 JSRC,JSRC 会通知 DHCP 日志输出完成。
JSRC 为双栈订阅者配置
从 Junos OS dualstack-support [edit jsrc] 18.1R1 版开始,您可以在 层级包含 语句,以配置双堆栈订阅者 JSRC 配置,以便借助单个 JSRC 会话报告有关给定订阅者单独堆栈的信息。在早期版本中,DHCPv4 和 DHCPv6 堆栈被视为单个订阅者;远程 SRC 对等方 (SAE) 不会通知仅一个家族还是两个家族处于活动状态。统计信息以两个家族的聚合形式报告,而不是按家族分隔。从版本Junos OS开始18.1R1的行为与早期版本中的行为相同。
这种双堆栈调配行为不能与其他版本向后兼容。 第 2 页上的表 1 列出了配置双堆栈支持且未配置时的行为差异(默认)。
配置的双堆栈支持 |
未配置双堆栈支持 |
|---|---|
激活第一个网络系列时,只会将初始请求中该家族的地址发送到调配服务器。 |
激活第一个网络系列时,从调配服务器(SAE;远程 SRC 对等方)请求调配。 |
激活第二个网络系列时,发送特殊家族激活数据包,通知调配服务器该系列处于活动状态。 |
当第二个网络系列被激活时,不会向调配服务器报告任何数据。 |
当下一个网络系列停用时,发送一个特殊系列停用数据包,通知调配服务器该系列不再活动。 |
当下一个网络系列停用时,不会向调配服务器报告任何内容。 |
单独报告 IPv4 和 IPv6 统计信息。 |
将订阅者和服务统计数据作为 IPv4 和 IPv6 统计信息的聚合报告。 |
JSRC 双堆栈调配的好处
使 SAE 能够了解目前订阅者哪些网络系列处于活动状态。
可按地址族收集准确的核算统计数据,而不是包括这两个家族的统计信息的聚合计数。
配置双堆栈支持时发送的 AA 请求消息
配置 dualstack-support 后,Diameter AA-Request (AAR) 配置消息将发送至 SAE,其中包括:
当前活动网络家族以及正在被激活的家族的 IPv4 或 IPv6 地址。如果 AAR 消息中不包含任一地址类型,则意味着相应的网络家族处于非活动状态,并且发送请求时不会激活。
对于 IPv4 寻址,当用户的会话数据库条目中提供以下 Diameter ACP 时:
帧 IP 地址 (AVP 8)
Framed-IP-Netmask (AVP 9)
对于 IPv6 寻址,在订阅者会话数据库条目中提供时瞻博网络 Diameter ACP 和 瞻博网络 Diameter ACP:
框架-IPv6 地址 (AVP 168)
框架-IPv6 前缀 (AVP 97)
委托-IPv6 前缀 (AVP 123)
瞻博网络-IPv6-Ndra-Prefix (AVP 2200)
瞻博网络帧-IPv6-Netmask (AVP 2201)
当用户的会话瞻博网络条目中提供时,以下为 Diameter ACP:
瞻博网络代理电路 ID (AVP 2202)
瞻博网络远程电路 ID (AVP 2203)
瞻博网络-Request-Type AVP (2636:2050) 中的以下新值之一,在非活动网络系列激活或现有网络系列停用时通知 SAE:
4 —NETWORK_FAMILY_ACTIVATE
5 —NETWORK_FAMILY_DEACTIVATE
通知中仅包含正在激活或停用的家族的寻址。
注意:激活的第一个网络系列不会发送激活通知。停用通知不会为停用的最后一个系列发送。
当 AAR 消息用于同步和恢复时,仅针对该用户的当前活动地址族的寻址。AAR 消息不包括针对停用族的寻址。
配置双堆栈支持时的核算请求消息
配置 dualstack-support 时,Diameter 核算请求 (ACR) 消息始终包含 IPv4 和 IPv6 统计信息,即使该值为零时也始终。
报告订阅者会话生命周期的统计数据,而不仅仅是网络系列会话的生命周期统计数据。当其中一个网络系列处于非活动状态时,JSRC 将继续报告非活动家族的最后统计信息值以及活动网络家族的当前统计信息。如果停用的家族再次处于活动状态,新家族统计信息将添加到现有值中。
以下瞻博网络 Diameter ACP(IANA企业编号 2636)用于报告 IPv6 统计信息:
核算-IPv6-Input-八位位组属性 (2204)
核算-IPv6-输出八位位组属性 (2205)
核算-IPv6-Input-Pkts 属性 (2206)
核算-IPv6-Output-Pkts 属性 (2207)
未配置时,不使用这些 dualstack-support IPv6 ACP。在这种情况下,IPv6 统计信息与相应 IPv4 ACP 中的 IPv4 统计信息聚合在一起。
配置双堆栈支持时的网络系列激活和停用通知
在激活网络家族时,以下顺序描述客户端和身份验证进程(守护程序)行为:
订阅者启动登录。
路由器上的客户端应用程序(如 PPP 或 DHCP)会向身份验证和授权 (AA) 请求进行验证。
经过身份验证的进程将配置的 AA 请求发送,并将响应返回给客户端应用程序,然后客户端应用程序将返回响应给订阅者。
客户端应用程序使用来自客户端动态配置文件的信息在路由器上构建和配置订阅者接口。
客户端应用程序将发送第一个网络系列激活请求进行身份验证。
身份验证进程向 SAE 发送调配请求,其中包含要激活的家族的地址。由于身份验证会发送第一个家族激活的调配请求,因此也无需发送家族激活通知。
SAE 会返回已授权的用户激活的策略(服务)。
身份验证流程将激活这些服务,并将家族激活 ACK 响应发送到客户端应用程序。
客户端应用程序可能会发送其他网络家族的家族激活请求。
身份验证流程将激活该特定网络系列的任何服务,然后向客户端应用程序发送系列激活 ACK 响应。
然后,身份验证流程会向 SAE 发送一个家族激活通知,其中会提供第二个家族的地址。AAR 消息包括值为 NETWORK_FAMILY_ACTIVATE 4 (瞻博网络) 的"请求类型 AVP"(2636:2050)。通知仅包含此系列的地址。
要停用,客户端应用程序仅在两个网络系列处于活动状态时发送系列停用请求。身份验证进程可应请求停用网络系列(以及任何关联服务),并将该家族的地址发送 SAE 系列停用通知。AAR 消息包括值为 NETWORK_FAMILY_DEACTIVATE 5 (瞻博网络)的"请求类型 AVP"(2636:2050)。通知仅包含此系列的地址。
但是,当最后一个网络系列停用时,客户端会发送终止请求,这会使身份验证者将 JSRC-Acct-Stop 消息发送到 SAE。因此,无需身份验证以发送系列停用通知。
JSRC 配置概述
您可以将 JSRC 客户端应用程序配置为与会话和资源控制 (SRC) 一起工作,以集中管理订阅者和服务。JSRC 请求远程 SRC 对等方(SAE)的地址和服务授权、激活和停用 SAE 指定的服务、按 SAE 指定的注销订阅者,以及将订阅者状态和服务信息与 SAE 同步。
要配置 JSRC:
配置 JSRC 分区
JSRC 在特定的逻辑系统内工作:路由实例上下文,称为分区。
目前仅支持单个分区;您必须在默认逻辑系统:路由实例环境中进行配置。
配置 JSRC 分区之前,请执行以下任务:
在 层次结构级别配置
[edit diameter]Diameter 实例。请参阅 Configuring Diameter 。
JSRC 分区的配置包括命名分区,然后将 Diameter 实例、SAE 主机名和 SAE 领域与分区关联。
要配置 JSRC 分区,
将分区分配给 JSRC
您必须将配置的 JSRC 分区与要配置的 JSRC 实例关联。
将分区分配给 JSRC 之前,请执行以下任务:
配置 JSRC 分区。请参阅 配置 JSRC 分区
要分配 JSRC 分区,
指定分区名称。
[edit jsrc] user@host# set jsrc-partition partition1
借助 JSRC 授权订阅者
您可以配置AAA在 SRC 环境中使用 JSRC,在用户验证 DHCP 用户AAA时,从 SAE 请求授权。配置 JSRC 授权时,AAA将忽略任何配置的认证顺序设置。
配置 JSRC 授权之前,请执行以下任务:
在 层次结构级别创建订阅者
[edit access profile]访问配置文件。在 DHCP 本地服务器
username-include或 DHCP 中继的认证配置中使用 语句定义订阅者用户名。
要配置 JSRC 授权:
在
jsrc配置文件中指定作为授权方法。[edit access profile dhcpsub1] user@host# set authorization-order jsrc
通过 JSRC 配置订阅者
您可以配置AAA在 SRC 环境中使用 JSRC,以从 SAE 请求调配,为经过认证的订阅者实例化服务。
为订阅者配置 JSRC 配置之前,请执行以下任务:
在 层次结构级别创建订阅者
[edit access profile]访问配置文件。
要配置 JSRC 调配:
在
jsrc配置文件中指定作为调配方法。[edit access profile dhcpsub1] user@host# set provisioning-order jsrc
为双栈订阅者配置 JSRC
默认情况下,JSRC 为双栈订阅者配置将 DHCPv4 和 DHCPv6 堆栈视为单个订阅者。远程 SRC 对等方 (SAE) 不会通知仅一个家族还是两个家族处于活动状态。统计信息以两个家族的聚合形式报告,而不是按家族分隔。
从 Junos OS 版本18.1R1开始,您可以配置双堆栈支持,以便 JSRC 使用单个 JSRC 会话报告有关给定订阅者单独堆栈的信息。
为 JSRC 配置双堆栈支持时,Diameter AA-Request (AAR) 配置消息发送至 SAE 包括 Diameter ACP (IANA 企业编号 2636),用于传达会话数据库中可用的 IPv4 和 IPv6 寻址信息。
对于 IPv4,这包括以下 AVP:
帧 IP 地址 (AVP 8)
Framed-IP-Netmask (AVP 9)
对于 IPv6,这包括以下 AVP:
框架-IPv6 地址 (AVP 168)
框架-IPv6 前缀 (AVP 97)
委托-IPv6 前缀 (AVP 123)
瞻博网络-IPv6-Ndra-Prefix (AVP 2200)
瞻博网络帧-IPv6-Netmask (AVP 2201)
JSRC 还包括有关在会话数据库中可用的接入线路的信息,方式为 瞻博网络-代理电路 Id (AVP 2202) 和 瞻博网络-远程电路 ID (AVP 2203)。
激活第一个网络系列后,JSRC 只会将此家族的地址在初始请求中发送给调配服务器。激活第二个网络系列时,AAR 消息包含 瞻博网络-Request-Type AVP (2050),值为 4 表示家族激活。当下一个家族停用时,同一个 AVP 发送时,值为 5 以表示停用。
要配置 JSRC 调配以按系列报告双栈订阅者信息:
支持双堆栈支持。
[edit jsrc] user@host# set dualstack-support
从 JSRC 的 Diameter 消息中排除 AVP
从 Junos OS 14.2 版开始,您可以将路由器配置为从从 JSRC 发送至 SAE 的 Diameter 消息中排除 ACP。
目前,仅支持用户名 (1) AVP。
要配置 JSRC 以排除 Diameter 消息中的 AVP,
JSRC 的服务核算
服务会话表示特定订阅者的服务。服务会话存在于订阅者会话上下文中。JSRC 根据 SAE(远程 SRC 对等方)指定来激活和停用服务。JSRC 可以按数量收集和报告服务核算数据。JSRC 核算要求将典型防火墙过滤器或快速更新防火墙过滤器配置为对服务数据包计数—服务数据包信息提供数量统计信息。
JSRC 仅支持服务会话的卷统计信息核算。不支持时间统计和订阅者核算。
JSRC 服务核算支持基于服务激活/停用和临时核算的核算。
服务激活/停用核算 — 启用核算时,JSRC 在激活服务时向 SAE 发送核算启动消息,在停用服务时发送核算停止消息。启动消息将启动核算会话并提供服务会话的初始信息。停止消息将终止核算会话,并报告最终(累积)核算数据。
临时核算 — 当为服务会话启用临时核算时,JSRC 会以指定的间隔向 SAE 发送临时核算消息,以报告此时可用的累积核算信息。未为相应的服务会话启用核算时,将忽略临时核算。
JSRC 服务核算在服务激活时开始,在服务处于活动状态时保持有效。SAE 指定使用 瞻博网络-Policy-Install AVP(AVP 代码 2020)为订阅者激活的服务(策略)。当此 AVP 包括 瞻博网络-Acct-Collect AVP(AVP 代码 2054)时,JSRC 将启动服务激活/停用核算。
当"策略-瞻博网络安装"AVP 包括 Acct-Interim-Interval AVP(AVP 代码 85)时,JSRC 会启动临时核算。在这种情况下,JSRC 会以 AVP 中指定的间隔更新核算值,范围为 600 至 86,400 秒。为双堆栈用例报告聚合计数器。
JSRC 和 SAE 交换 Diameter 核算请求 (ACR) 和核算答案 (ACA) 消息,用于通信核算数据。这两条消息瞻博网络-Acct-Record AVP(AVP 代码 2053),用于识别请求核算信息的服务。
JSRC 发送 ACR 消息向 SAE 报告核算数据。ACR 消息包括核算记录类型 AVP(AVP 代码 480),用于指定它要发送的核算记录类型。激活服务后,此 AVP 的值START_RECORD。当服务停用时,服务的值为 STOP_RECORD。对于临时核算,ACR 消息会以指定的核算间隔发送,并且 AVP 的值INTERIM_RECORD。
除了指定核算记录类型之外,ACR 消息还包括用于指定所需统计信息的标准 RADIUS 属性:Acct-Input-Octets [42]、Acct-Output-Octets [43]、Acct-Input-Packets [47]、Acct-Output-Packets [48] 和 Acct-Session-Time [46]。
SAE 将 ACA 消息返回 JSRC,确认 ACR 消息的接收。
访问配置文件指定订阅者访问身份验证和核算参数。当服务通过 JSRC 激活时,核算报告可发送至 SAE 或RADIUS。默认配置将报告发送到 SAE;您也可在访问配置文件中包含 语句 service accounting-order activation-protocol 来配置此。要改为向服务器发送RADIUS,请将 语句 service accounting-order radius 包括在访问配置文件中。
当服务通过 RADIUS 而不是 JSRC 激活时,服务会话的核算报告将发送到RADIUS服务器。
使用 JSRC 配置服务核算
除了此处显示的配置之外,JSRC 服务核算的网络环境还包括防火墙过滤器的配置,以对统计信息、Diameter、JSRC、订阅者服务、RADIUS 和 SRC 计数。
您可以配置 JSRC 报告服务会话的核算统计信息。
要配置 JSRC 的服务核算,