Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS 身份验证和计费基本配置

为订阅者访问配置身份验证和计费参数

您可以使用访问配置文件为订阅者访问管理功能配置身份验证和计费支持。通过访问配置文件,您可以指定用于身份验证和计费的方法类型。您还可以配置订阅者访问管理如何收集和使用计费统计信息。

要为订阅者访问配置身份验证和计费:

  1. 指定要使用的身份验证和计费方法。
  2. 指定如何收集核算统计信息。

指定订阅者访问的身份验证和计费方法

您可以指定订阅者访问管理使用的身份验证和计费方法。

您可以配置多种身份验证和计费方法— authentication-orderaccounting order 语句指定订阅者访问管理功能使用这些方法的顺序。例如,首先执行的身份验证条目 radius password 指定 RADIUS 身份验证;如果超时(例如,如果 RADIUS 服务器无法访问),则尝试本地身份验证 (password)。但是,如果某个方法拒绝身份验证尝试,则不会尝试后续方法。如果将 password 配置为要尝试的第一种方法,则身份验证始终被接受或拒绝;在任一情况下,均不会尝试其他方法。

您可以使用语句指定以下身份验证方法 authentication-order

  • radius- 使用外部 RADIUS 服务器的基于 RADIUS 的身份验证。

  • password- 使用本地配置和存储的用户名和密码进行本地身份验证。

    订阅者访问管理在 Junos OS 18.2R1 版之前不支持password该选项。从 Junos OS 18.2R1 版开始,您可以使用password选项为个别订阅者提供本地身份验证,通常情况下,您没有外部身份验证和授权服务器,或者想要使用本地身份验证作为外部身份验证的备份。在这种情况下,您可以使用访问配置文件中的语句选项subscriber username配置实际订阅者密码password。在早期版本中,必须始终指定radius身份验证方法。

您可以指定以下计费方法:

  • radius- 使用外部 RADIUS 服务器的基于 RADIUS 的计费。

要为订阅者访问管理配置身份验证和计费方法,

  1. 指定身份验证方法及其使用顺序。
  2. 指定计费方法。

为订阅者访问指定 RADIUS 身份验证和计费服务器

您可以指定一个或多个 RADIUS 身份验证或计费服务器用于订阅者访问管理。

要配置 RADIUS 身份验证和计费支持:

  1. 指定要配置 RADIUS 支持。
  2. 指定用于身份验证的 RADIUS 服务器的 IP 地址。
  3. 指定用于核算的 RADIUS 服务器的 IP 地址。

要配置多个 RADIUS 身份验证或计费服务器:

  • 指定用于身份验证或计费的所有 RADIUS 服务器的 IP 地址。

为订阅者配置本地身份验证和授权

从 Junos OS 18.2R1 版开始,可以为订阅者配置本地身份验证和有限本地授权。本地身份验证支持 MX 系列路由器上的订阅者管理和服务当前支持的所有订阅者类型。本地身份验证和授权在以下情况下很有用:

  • 当您不想使用外部身份验证和授权服务器时。

  • 如果您希望本地身份验证和授权在 RADIUS 身份验证失败时提供备份方法。

  • 将网络从运行 JunosE 软件的 E 系列路由器迁移到运行 Junos OS 的 MX 系列路由器时。

通过将选项authentication-order配置为password访问配置文件的方法,为订阅者启用本地身份验证和授权。然后,为要在本地进行身份验证的每个订阅者配置密码。当与访问配置文件关联的订阅者登录时,将把登录用户名与配置的用户名进行比较。如果匹配,则会将登录密码与配置的密码进行比较。证书不匹配导致本地身份验证故障;即订阅者用户名或密码不匹配

本地身份验证可以采用以下任一形式:

  • 用户密码身份验证 — 配置的密码用于验证订阅者的登录密码。

  • 质询握手身份验证 (CHAP) — 配置的密码用作质询密钥,用于验证订阅者的质询密码和质询响应证书。

您还可以选择在身份验证成功时将多个属性(如地址池、逻辑系统或路由实例)配置为针对订阅者进行本地授权。如果未为本地授权配置地址或地址池,则地址分配基于网络匹配或分配给路由实例的第一个地址池。

注意:

本地身份验证和授权支持最多 100 个订阅者的机箱范围。如果在未配置的访问配置文件 authentication-order password 中配置订阅者,则不会进行本地身份验证,但这些订阅者会根据系统限制 100 个订阅者进行本地身份验证。

要配置本地身份验证和授权:

  1. 启用本地身份验证。

    如果只希望使用本地身份验证,请将配置为 password 唯一的身份验证方法。如果您希望本地身份验证在该方法超时时备份 RADIUS 身份验证,则必须将配置为 radius 第一种方法和第 password 二种方法,如:

    如果配置为 password 第一种方法,则身份验证始终被接受或拒绝。无论哪种情况,都不会尝试第二种方法。

  2. 为订阅者配置本地密码。
  3. (可选)为订阅者配置 IPv4 地址。
  4. (可选)配置地址池,为订阅者分配 IPv4 地址。
  5. (可选)配置地址池,为订阅者分配路由器通告 IPv6 前缀或 DHCPv6 IA_NA/128 地址。
  6. (可选)配置地址池以在本地分配委托的 IPv6 前缀。
  7. (可选)配置逻辑系统,如果需要,将路由实例分配给订阅者。
  8. (可选)为订阅者配置路由实例。

您可以使用以下命令 show 显示有关本地身份验证的信息:

  • show network-access aaa statistics authentication detail- 显示本地身份验证的故障统计信息。

  • show network-access requests statistics- 显示本地身份验证和本地重新身份验证统计信息,例如接收的请求以及成功和失败响应的数量。

  • show network-access aaa statistics re-authentication- 显示重新身份验证统计信息,但它们来自本地身份验证和 RADIUS。

版本历史记录表
释放
描述
18.2R1
从 Junos OS 18.2R1 版开始,可以为订阅者配置本地身份验证和有限本地授权。