RADIUS 身份验证和计费基本配置
为订阅者访问配置身份验证和计费参数
您可以使用访问配置文件为订阅者访问管理功能配置身份验证和计费支持。通过访问配置文件,您可以指定用于身份验证和计费的方法类型。您还可以配置订阅者访问管理如何收集和使用计费统计信息。
要为订阅者访问配置身份验证和计费:
指定订阅者访问的身份验证和计费方法
您可以指定订阅者访问管理使用的身份验证和计费方法。
您可以配置多种身份验证和计费方法— authentication-order
和 accounting order
语句指定订阅者访问管理功能使用这些方法的顺序。例如,首先执行的身份验证条目 radius password
指定 RADIUS 身份验证;如果超时(例如,如果 RADIUS 服务器无法访问),则尝试本地身份验证 (password
)。但是,如果某个方法拒绝身份验证尝试,则不会尝试后续方法。如果将 password
配置为要尝试的第一种方法,则身份验证始终被接受或拒绝;在任一情况下,均不会尝试其他方法。
您可以使用语句指定以下身份验证方法 authentication-order
:
radius
- 使用外部 RADIUS 服务器的基于 RADIUS 的身份验证。password
- 使用本地配置和存储的用户名和密码进行本地身份验证。订阅者访问管理在 Junos OS 18.2R1 版之前不支持
password
该选项。从 Junos OS 18.2R1 版开始,您可以使用password
选项为个别订阅者提供本地身份验证,通常情况下,您没有外部身份验证和授权服务器,或者想要使用本地身份验证作为外部身份验证的备份。在这种情况下,您可以使用访问配置文件中的语句选项subscriber username
配置实际订阅者密码password
。在早期版本中,必须始终指定radius
身份验证方法。
您可以指定以下计费方法:
radius
- 使用外部 RADIUS 服务器的基于 RADIUS 的计费。
要为订阅者访问管理配置身份验证和计费方法,
为订阅者访问指定 RADIUS 身份验证和计费服务器
您可以指定一个或多个 RADIUS 身份验证或计费服务器用于订阅者访问管理。
要配置 RADIUS 身份验证和计费支持:
要配置多个 RADIUS 身份验证或计费服务器:
指定用于身份验证或计费的所有 RADIUS 服务器的 IP 地址。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.251 192.168.1.252 user@host# set accounting-server 192.168.1.250 192.168.1.251
为订阅者配置本地身份验证和授权
从 Junos OS 18.2R1 版开始,可以为订阅者配置本地身份验证和有限本地授权。本地身份验证支持 MX 系列路由器上的订阅者管理和服务当前支持的所有订阅者类型。本地身份验证和授权在以下情况下很有用:
当您不想使用外部身份验证和授权服务器时。
如果您希望本地身份验证和授权在 RADIUS 身份验证失败时提供备份方法。
将网络从运行 JunosE 软件的 E 系列路由器迁移到运行 Junos OS 的 MX 系列路由器时。
通过将选项authentication-order
配置为password
访问配置文件的方法,为订阅者启用本地身份验证和授权。然后,为要在本地进行身份验证的每个订阅者配置密码。当与访问配置文件关联的订阅者登录时,将把登录用户名与配置的用户名进行比较。如果匹配,则会将登录密码与配置的密码进行比较。证书不匹配导致本地身份验证故障;即订阅者用户名或密码不匹配
本地身份验证可以采用以下任一形式:
用户密码身份验证 — 配置的密码用于验证订阅者的登录密码。
质询握手身份验证 (CHAP) — 配置的密码用作质询密钥,用于验证订阅者的质询密码和质询响应证书。
您还可以选择在身份验证成功时将多个属性(如地址池、逻辑系统或路由实例)配置为针对订阅者进行本地授权。如果未为本地授权配置地址或地址池,则地址分配基于网络匹配或分配给路由实例的第一个地址池。
本地身份验证和授权支持最多 100 个订阅者的机箱范围。如果在未配置的访问配置文件 authentication-order password
中配置订阅者,则不会进行本地身份验证,但这些订阅者会根据系统限制 100 个订阅者进行本地身份验证。
要配置本地身份验证和授权:
您可以使用以下命令 show
显示有关本地身份验证的信息:
show network-access aaa statistics authentication detail
- 显示本地身份验证的故障统计信息。show network-access requests statistics
- 显示本地身份验证和本地重新身份验证统计信息,例如接收的请求以及成功和失败响应的数量。show network-access aaa statistics re-authentication
- 显示重新身份验证统计信息,但它们来自本地身份验证和 RADIUS。