RADIUS 逻辑线路识别
RADIUS 逻辑线路标识符 (LLID) 概述
逻辑线路识别 (LLID) 功能可帮助服务提供商为频繁从一条物理线路转移到另一条物理线路的用户维护可靠且最新的客户数据库。LLID 旨在为服务提供商提供用户接入线路的可配置呼叫站 ID。呼叫站 ID 派生自物理线路位置和订阅者客户端的信息。当用户频繁移动物理位置时,从服务提供商设施获得的线路信息对于接入线路批发商管理接入线路所有权并不友好。LLID 功能基于虚拟端口(LLID),而不是用户使用的物理线路。LLID 通过服务提供商(通常是批发商)提供 AAA 驱动的线路信息管理。
LLID 是基于用户名和电路 ID 的字母数字字符串。LLID 在逻辑上标识用户线路,并映射到服务提供商客户数据库中用户的物理线路。当用户移动到不同的位置和不同的物理线路时,数据库将更新以将 LLID 映射到新的物理线路。由于用户的 LLID 保持不变,它为服务提供商提供了一种安全可靠的方法来跟踪用户并维护准确的客户数据库。订阅者管理支持通过 PPPoE、PPPoA 和 LAC 的 PPP 订阅者的 LLID 功能。
要将 LLID 分配给用户,路由器会发出两个 RADIUS 访问请求。第一个请求是预身份验证请求,它从 RADIUS 预身份验证服务器获取 LLID。第二个请求是发送到 RADIUS 身份验证服务器的标准身份验证请求。
以下步骤顺序介绍订阅者管理如何获取和使用 LLID。该过程假定路由器上已启用预身份验证,并且已配置 RADIUS 预身份验证和身份验证服务器。
PPP 订阅者向路由器发送 Authentication-Request 消息。
路由器向 RADIUS 预身份验证服务器发送 Access-Request 消息,以获取用户的 LLID。
预身份验证服务器在 Access-Accept 消息的 Calling-Station-Id 属性(RADIUS 属性 31)中将 LLID 返回给路由器。
注意:此步骤包括对 Calling-Station-Id 属性的非标准使用。此属性通常存在于 RADIUS 请求消息(如 Access-Request)中,而不是响应消息中。此外,路由器会忽略预身份验证访问-接受消息中返回的 Calling-Station-ID 以外的所有 RADIUS 属性。此外,在路由器上配置的任何 radius options 内容(如 calling-station-id-format)对预身份验证请求中的 Calling-Station-Id 属性没有影响。
路由器在第二个 Access-Request 消息中对 Calling-Station-ID(LLID)进行编码,并将该消息发送到 RADIUS 身份验证服务器。此身份验证请求是 Calling-Station-Id 属性的标准用法。
RADIUS 身份验证服务器向路由器返回 Access-Accept 消息。Access-Accept 消息包含订阅者会话的属性。
注意:RADIUS 身份验证服务器成功对预身份验证订阅者进行身份验证后,所有后续 RADIUS 请求消息(如 Accounting-Request 消息)都将在 Calling-Station-Id 属性中包含 LLID。
对于隧道 PPP 用户,路由器作为 L2TP 接入集中器 (LAC),将 LLID 编码为主叫号码 AVP(L2TP 属性 22),并将属性以来电请求 (ICRQ) 数据包的形式发送到 L2TP 网络服务器 (LNS)。预身份验证请求成功后,路由器始终对 L2TP 呼叫号码 AVP 中的 LLID 进行编码。
LLID 预身份验证请求的 RADIUS 属性
表 1 列出了用于获取订阅者 LLID 的预身份验证请求中的 RADIUS IETF 属性,并介绍了这些属性中包含的信息。在某些情况下,预身份验证会使用与 IETF 说明不同的信息属性 - 该表指示 RADIUS 属性的任何非标准使用。
属性编号 |
属性名称 |
描述 |
---|---|---|
1 |
用户名 |
(属性的非标准用法。与 LLID 关联的用户的标识信息,格式如下。
例:
注意:
在预身份验证期间,路由器会去除 User-Name 属性中任何动态生成的信息。 |
2 |
用户密码 |
(属性的非标准用法。要验证的用户的密码。 示例:始终设置为 |
4 |
NAS-IP 地址 |
请求用户身份验证的网络访问服务器 (NAS) 的 IP 地址 例: |
5 |
NAS 端口 |
用于对用户进行身份验证的 NAS 的物理端口号。始终解释为位字段 |
6 |
服务类型 |
用户请求的服务类型或要提供的服务类型。 例: |
61 |
NAS 端口类型 |
NAS 用于验证用户身份的物理端口类型。您可以使用 |
77
|
连接信息 |
(属性的非标准用法。用户名。 例: |
87 |
NAS-端口 ID |
用于标识用于验证用户身份的 NAS 物理接口的文本字符串。包括任何动态生成的信息。 例: |
配置逻辑线路识别 (LLID) 预身份验证
逻辑线路识别 (LLID) 功能使服务提供商能够基于虚拟端口(LLID)而不是用户使用的物理端口来跟踪用户。LLID 由您在访问配置文件中配置的 RADIUS 预身份验证服务器分配。
要将路由器配置为支持 LLID 功能的预身份验证,请执行以下操作:
如果已将预身份验证语句配置 radius attributes exclude
为从 RADIUS 访问请求消息中排除 Calling-Station-ID 属性,则无法在此过程中配置预身份验证语句。
指定要用于订阅者预身份验证支持的访问配置文件。
[edit]
user@host# edit access profile profile-name
指定路由器使用受支持的预身份验证方法的顺序。 radius 是唯一受支持的身份验证方法。
[edit access profile profile-name]
user@host# set preauthentication-order radius
指定要配置 RADIUS 支持。
[edit access profile profile-name]
user@host# edit radius
指定用于预身份验证的 RADIUS 服务器的 IP 地址。
[edit access profile profile-name radius]
user@host# set preauthentication-server 192.168.100.10
注意:预身份验证功能使用为 RADIUS 身份验证服务器配置的
retry
和timeout
参数。(选答)显示 AAA 预身份验证统计信息。
user@host>
show network-access aaa statistics preauthentication
Preauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(选答)验证 RADIUS 预身份验证服务器的配置。
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
为 LLID 预认证请求配置端口和密码
您可以将作为 RADIUS 客户端运行的路由器配置为联系 RADIUS 服务器,以便在两个不同的 UDP 端口上使用不同的密钥密码发出身份验证和预身份验证请求。与配置身份验证和计费请求的端口号类似,您可以定义一个唯一的端口号,路由器使用该端口号与 RADIUS 服务器联系以获取逻辑线路标识 (LLID) 预身份验证请求。您还可以为预身份验证请求定义唯一密码。如果未为预身份验证目的配置单独的 UDP 端口或密钥,则将使用为身份验证消息配置的同一 UDP 端口和密钥。
要配置用于联系 RADIUS 服务器以获取预身份验证请求的唯一 UDP 端口号,请在 [edit access radius-server server-address]
或 [edit access profile profile-name radius-server server-address]
层次结构级别包含preauthentication-port port-number
语句。
要为所有访问配置文件指定 UDP 端口,请执行以下操作:
[edit access] radius-server server-address { preauthentication-port port-number; }
要为特定访问配置文件指定 UDP 端口,请执行以下操作:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
要配置用于联系 RADIUS 预身份验证服务器的密码,请在 [edit access radius-server server-address]
或[edit access profile profile-name radius-server server-address]
层次结构级别包含语preauthentication-secret password
句。
要指定所有访问配置文件的密码,请执行以下操作:
[edit access] radius-server server-address { preauthentication-secret password; }
要指定特定访问配置文件的密码,请执行以下操作:
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }