Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

RADIUS 逻辑线路识别

RADIUS 逻辑线路标识符 (LLID) 概述

逻辑线路识别 (LLID) 功能可帮助服务提供商为那些经常从一条物理线路移动到另一条物理线路的用户维护可靠且最新的客户数据库。LLID 旨在为服务提供商提供用户接入线路的可配置呼叫站 ID。呼叫站 ID 派生自物理线路位置和用户客户端的信息。当用户频繁移动物理位置时,从服务提供商设施中派生的线路信息对于接入线路批发商管理接入线路所有权来说并不友好。LLID 功能基于虚拟端口 (LLID),而不是用户使用的物理线路。LLID 通过服务提供商(通常是批发商)提供 AAA 驱动的线路信息管理。

LLID 是一个字母数字字符串,基于用户用户名和电路 ID。LLID 在逻辑上标识用户线路,并映射到服务提供商客户数据库中用户的物理线路。当用户移动到不同的位置和不同的物理线路时,数据库将会更新,以将 LLID 映射到新的物理线路。由于用户的 LLID 保持不变,它为服务提供商提供了一种安全可靠的方法来跟踪用户并维护准确的客户数据库。订阅者管理支持通过 PPPoE、PPPoA 和 LAC 的 PPP 订阅者的 LLID 功能。

要将 LLID 分配给用户,路由器会发出两个 RADIUS 访问请求。第一个请求是预身份验证请求,用于从 RADIUS 预身份验证服务器获取 LLID。第二个请求是发送到 RADIUS 身份验证服务器的标准身份验证请求。

以下步骤序列描述了订阅者管理如何获取和使用 LLID。此过程假定路由器上已启用预身份验证,并且已配置 RADIUS 预身份验证和身份验证服务器。

  1. PPP 用户向路由器发送 Authentication-Request 消息。

  2. 路由器向 RADIUS 预身份验证服务器发送 Access-Request 消息,以获取订阅者的 LLID。

  3. 预身份验证服务器在 Access-Accept 消息的 Calling-Station-Id 属性(RADIUS 属性 31)中将 LLID 返回给路由器。

    注意:

    此步骤包括 Calling-Station-Id 属性的非标准用法。此属性通常存在于 RADIUS 请求消息(如 Access-Request)中,而不存在于响应消息中。此外,路由器会忽略预认证 Access-Accept 消息中返回的所有 RADIUS 属性(呼叫站 ID 除外)。此外,路由器上配置的任何 radius options 内容(如 calling-station-id-format)对预验证请求中的 Calling-Station-Id 属性没有影响。

  4. 路由器在第二个访问请求消息中对呼叫站ID(LLID)进行编码,并将该消息发送到RADIUS身份验证服务器。此身份验证请求是 Calling-Station-Id 属性的标准用法。

  5. RADIUS 身份验证服务器向路由器返回 Access-Accept 消息。Access-Accept 消息包括订阅者会话的属性。

    注意:

    RADIUS 身份验证服务器成功对预身份验证的用户进行身份验证后,所有后续 RADIUS 请求消息(如 Accounting-Request 消息)都将在 Calling-Station-Id 属性中包含 LLID。

注意:

对于隧道式 PPP 用户,作为 L2TP 接入集中器 (LAC) 的路由器将 LLID 编码为主叫号码 AVP(L2TP 属性 22),并将属性在传入呼叫请求 (ICRQ) 数据包中发送至 L2TP 网络服务器 (LNS)。预身份验证请求成功后,路由器始终在 L2TP 主叫号码 AVP 中对 LLID 进行编码。

LLID 预认证请求的 RADIUS 属性

表 1 列出了用于获取用户 LLID 的预身份验证请求中使用的 RADIUS IETF 属性,并介绍了属性中包含的信息。在某些情况下,预身份验证会使用与 IETF 说明不同的信息属性,该表指示了 RADIUS 属性的任何非标准用法。

表 1: LLID 预身份验证请求的 RADIUS 属性

属性编号

属性名称

描述

1

用户名

(属性的非标准使用。与 LLID 关联的用户的标识信息,格式如下。

nas-port:nas-ip-address:nas-port-id

示例: nas-port:198.51.100.117:ge-1/0/5:100

注意:

在预身份验证期间,路由器会从 User-Name 属性中去除任何动态生成的信息。

2

用户密码

(属性的非标准使用。要进行身份验证的用户的密码。

示例:始终设置为 juniper

4

NAS-IP 地址

请求用户身份验证的网络访问服务器 (NAS) 的 IP 地址

示例: 198.51.100.117

5

NAS 端口

对用户进行身份验证的 NAS 的物理端口号。始终解释为位字段

6

服务类型

用户请求的服务类型或要提供的服务类型。

示例: gold-service

61

NAS 端口类型

NAS 用于对用户进行身份验证的物理端口类型。您可以使用该 ethernet-port-type-virtual 语句将其配置为 virtual (类型 5)。

77

连接信息

(属性的非标准使用。用户名。

示例: jdoe@xyzcorp.example.com

87

NAS-端口-ID

用于标识对用户进行身份验证的 NAS 物理接口的文本字符串。包括任何动态生成的信息。

示例: ge 1/0/5:100

配置逻辑线路识别 (LLID) 预身份验证

逻辑线路识别 (LLID) 功能使服务提供商能够基于虚拟端口(LLID)而不是按用户使用的物理端口跟踪用户。LLID 由您在访问配置文件中配置的 RADIUS 预身份验证服务器分配。

要将路由器配置为支持 LLID 功能的预身份验证,请执行以下作:

注意:

如果已将 Calling-Station-ID 属性配置 radius attributes exclude 为从 RADIUS 访问请求消息中排除 Calling-Station-ID 属性,则无法在此过程中配置预认证语句。

  1. 指定要用于支持用户预身份验证的访问配置文件。

  2. 指定路由器使用受支持的预身份验证方法的顺序。 radius 是唯一受支持的身份验证方法。

  3. 指定要配置 RADIUS 支持。

  4. 指定用于预身份验证的 RADIUS 服务器的 IP 地址。

    注意:

    预身份验证功能使用 retry 为 RADIUS 身份验证服务器配置的 和 timeout 参数。

  5. (选答)显示 AAA 预身份验证统计信息。

  6. (选答)验证 RADIUS 预身份验证服务器的配置。

为 LLID 预认证请求配置端口和密码

您可以将作为 RADIUS 客户端运行的路由器配置为在两个不同的 UDP 端口上使用不同的密钥密码联系 RADIUS 服务器,以执行身份验证和预身份验证请求。与配置身份验证和计费请求的端口号类似,您可以定义一个唯一的端口号,路由器使用该端口号与 RADIUS 服务器联系,以进行逻辑线路识别 (LLID) 预身份验证请求。您还可以为预身份验证请求定义唯一密码。如果未为预身份验证目的配置单独的 UDP 端口或密钥,则将使用为身份验证消息配置的相同 UDP 端口和密钥。

要配置用于联系 RADIUS 服务器以进行预身份验证请求的唯一 UDP 端口号,请在 或 [edit access profile profile-name radius-server server-address] 层次结构级别包含[edit access radius-server server-address]preauthentication-port port-number语句。

  • 要为所有接入配置文件指定 UDP 端口:

  • 要为特定访问配置文件指定 UDP 端口:

要配置用于联系 RADIUS 预身份验证服务器的密码,请在 [edit access radius-server server-address][edit access profile profile-name radius-server server-address]层次结构级别包含preauthentication-secret password该语句。

  • 要为所有访问配置文件指定密码:

  • 要为特定访问配置文件指定密码:

验证和管理 LLID 预认证配置

目的

显示与逻辑线路识别 (LLID) 预身份验证相关的统计信息和配置信息。

行动

  • 要显示 LLID 预身份验证统计信息:

  • 要显示有关预认证服务器的信息: