Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用于订阅者访问的 RADIUS 服务器和参数

为 RADIUS 服务器配置参数和选项是订阅者管理配置的主要部分。定义身份验证和计费服务器后,为所有 RADIUS 服务器配置选项。您还可以配置访问配置文件,以便为订阅者或订阅者组指定订阅者访问身份验证、授权和计费配置参数。配置文件设置将覆盖全局设置。尽管某些选项在全局级别和访问配置文件级别都可用,但许多选项仅在访问配置文件中可用。

创建访问配置文件后,必须指定配置文件与 access-profile 语句一起使用的位置;这称为附加配置文件。可以在各个级别分配访问配置文件。例如,您可以在一些位置附加访问配置文件

  • 全局的路由实例。

  • 在动态配置文件中。

  • 在域映射中,用于映射订阅者会话的访问选项和会话参数。

  • 在动态 VLAN 和动态堆栈 VLAN 的接口上。

  • 在接口上或用户组中,对于具有静态配置接口用于动态服务调配的用户。

  • 在 DHCP 客户端或订阅者的 DHCP 中继代理和 DHCP 本地服务器上。

由于您可以在多个级别附加访问配置文件,因此最具体的访问配置文件优先于任何其他配置文件分配,以避免冲突。除非附加配置文件,否则身份验证和计费不会运行。

RADIUS 身份验证和计费服务器定义

使用 RADIUS 进行订阅者管理时,必须定义路由器与之通信的一个或多个外部 RADIUS 服务器,以便进行订阅者身份验证和计费。除了指定服务器的 IPv4 或 IPv6 地址外,您还可以配置选项和属性,以确定路由器如何与指定服务器交互。

您可以在层次结构级别、[edit access profile name radius-server]层次结构级别或两级定义 RADIUS 服务器和连接选项[edit access radius-server]

注意:

AAA 进程 (authd) 确定要使用的服务器定义,如下所示:

  • 当 RADIUS 服务器定义仅存在于 中 [edit access radius-server]时,authd 将使用这些定义。

  • 当 RADIUS 服务器定义仅存在于访问配置文件中时,authd 将使用这些定义。

  • 当 RADIUS 服务器定义同时 [edit access radius-server] 存在于访问配置文件中和访问配置文件中时,authd 仅使用访问配置文件定义。

要使用 RADIUS 服务器,必须在访问配置文件中将其指定为身份验证服务器和/或计费服务器。无论服务器是在访问配置文件中还是在 [edit access radius-server] 层次结构级别上定义,都必须对服务器执行此操作。

要定义 RADIUS 服务器并指定路由器与服务器的交互方式,请执行以下操作:

注意:

此过程仅 [edit access radius-server] 显示层次结构级别。您可以选择性地在 [edit access profile profile-name] radius-server] 层次结构级别配置其中任何参数。除了全局设置之外,还可以代替全局设置执行此操作。应用配置文件时,配置文件设置将覆盖全局配置。
  1. 指定 RADIUS 服务器的 IPv4 或 IPv6 地址。
  2. (可选)配置 RADIUS 服务器记帐端口号。
  3. (可选)配置路由器用于联系 RADIUS 服务器的端口号。
  4. 配置本地路由器传递到 RADIUS 客户端的必要密钥(密码)。用引号括起来的机密可以包含空格。
  5. (可选)配置 RADIUS 服务器可以维护的最大未完成请求数。未完成的请求是 RADIUS 服务器尚未响应的请求。
  6. 配置 RADIUS 服务器的源地址。发送到 RADIUS 服务器的每个 RADIUS 请求都使用指定的源地址。源地址是在其中一个路由器接口上配置的有效 IPv4 或 IPv6 地址。
  7. (可选)配置身份验证和计费消息的重试和超时值。
    1. 配置路由器在未收到响应时尝试联系 RADIUS 服务器的次数。
    2. 配置路由器等待从 RADIUS 服务器接收响应的时间,然后再重试联系。
    注意:

    最大重试持续时间(重试次数乘以超时长度)不能超过 2700 秒。如果配置更长的持续时间,则会显示一条错误消息。
    注意:

    retrytimeout设置适用于身份验证消息和计费消息,除非您同时accounting-retry配置语句和语accounting-timeout句。在这种情况下,retrytimeout 设置仅适用于身份验证消息。
  8. (可选)配置计费消息的重试和超时值,与身份验证消息的设置分开。
    注意:

    您必须同时配置和 accounting-retryaccounting-timeout句。否则,将忽略您配置的值,而改为使用 和 timeout 语句配置的retry值。
    1. 配置路由器在未收到响应时尝试向 RADIUS 计费服务器发送计费消息的次数。
    2. 配置路由器等待从 RADIUS 计费服务器接收响应的时间,然后再重试请求。
  9. (选答)将路由器配置为联系 RADIUS 服务器以获取逻辑线路识别 (LLID) 预身份验证请求。 请参阅 RADIUS 逻辑线路标识
  10. (选答)配置路由器监控来自指定服务器的动态 (CoA) 请求的端口。请参阅 使用 RADIUS 进行动态服务管理

配置适用于所有 RADIUS 服务器的选项

您可以配置适用于全球所有 RADIUS 服务器的 RADIUS 选项。

要全局配置 RADIUS 选项,请执行以下操作:

  1. 指定要配置 RADIUS 选项。
  2. (可选)配置将 RADIUS 临时更新请求发送到服务器的速率。
  3. (可选)配置路由器向 RADIUS 服务器发送临时记帐更新时所允许的与配置的更新间隔的最大偏差。容差相对于配置的更新间隔。

    例如,如果容差设置为 60 秒,则路由器发送临时记帐更新的时间不会早于配置的更新间隔 30 秒。当订阅者登录时,第一个临时会计更新最多可以提前 30 秒发送(平均提前 15 秒)。

    您可以在层次结构级别使用 update-interval 语句 [edit access profile profile-name accounting] 配置更新间隔。

  4. (可选)配置路由器每秒可集中发送到所有配置的 RADIUS 服务器的请求数。通过限制从路由器到 RADIUS 服务器的请求流,可以防止 RADIUS 服务器被请求淹没。
  5. (可选)配置在服务器无法访问后,路由器等待的秒数,然后再重新检查连接。如果路由器在还原间隔到期时到达服务器,则将根据服务器列表的顺序使用服务器。
    注意:

    您还可以在访问配置文件中配置以 revert-interval 覆盖此全局值。请参阅 配置与 RADIUS 服务器交互的访问配置文件选项
  6. (可选)配置未响应的 RADIUS 身份验证服务器尚未被视为无法访问或关闭的时间段的持续时间。您可以根据是要更快地将身份验证请求重定向到另一台服务器,还是为无响应的服务器提供更多时间来恢复和响应来更改时间。

    有关详细信息,请参阅 配置超时宽限期以指定何时将 RADIUS 服务器视为关闭或无法访问

  7. (可选)配置一个 NAS 端口值,该值在网络中的所有 MX 系列路由器中都是唯一的。您可以配置一个 NAS 端口值,该值仅在路由器内是唯一的,也可以在网络中的不同 MX 路由器之间唯一。

    有关详细信息,请参阅 为订阅者启用唯一 NAS 端口属性(RADIUS 属性 5 )。

配置超时宽限期以指定 RADIUS 服务器被视为关闭或无法访问的时间

当 RADIUS 身份验证服务器无法响应给定身份验证请求的任何尝试并超时时,authd 会记录参考时间,但不会立即将服务器标记为关闭(如果其他服务器可用)或无法访问(如果它是唯一配置的服务器)。相反,可配置的宽限期计时器从参考时间开始。如果服务器在宽限期到期之前响应后续请求,则宽限期将被清除。

在宽限期内,服务器不会标记为关闭或无法访问。每次服务器对该服务器的后续请求超时时,authd 都会检查宽限期是否已过期。当检查确定宽限期已过期且服务器仍未响应请求时,服务器将被标记为无法访问或关闭。

使用较短的宽限期可以让您更快地放弃无响应的服务器,并将身份验证请求定向到其他可用服务器。较长的宽限期使服务器有更多机会进行响应,并可能避免不必要地放弃资源。当您只有一台或少量已配置的服务器时,您可以指定更长的宽限期。

要配置未响应的 RADIUS 服务器未被标记为无法访问或关闭的宽限期,请执行以下操作:

  • 指定宽限期的持续时间。

配置访问配置文件选项以便与 RADIUS 服务器进行交互

您可以使用访问配置文件指定路由器在与 RADIUS 身份验证和计费服务器通信以进行订阅者访问时使用的选项。此过程介绍仅在访问配置文件中可用的选项。有关在访问配置文件和全局级别都可用的选项,请参阅 订阅者访问的 RADIUS 服务器和参数

要配置 RADIUS 身份验证和计费服务器选项,请执行以下操作:

  1. 指定要配置 RADIUS 选项。
  2. (可选)配置路由器用于识别计费会话的格式。标识符可以采用以下格式之一:

    • decimal- 默认格式。例如 435264

    • description- 格式为, jnpr interface-specifier:subscriber-session-id。例如 jnpr fastEthernet 3/2.6:1010101010101

  3. (可选)配置路由器在 RADIUS 属性 31 (Calling-Station-ID) 中的值之间插入的分隔符。
  4. (可选)配置路由器包含在 RADIUS 属性 31 (Calling-Station-ID) 中的信息。

    有关详细信息,请参阅 使用其他选项配置呼叫站 ID

  5. (可选)将路由器配置为使用可选行为,即将 NAS 生成的随机质询插入 Access-Request 数据包的 Request Authenticator 字段,而不是在 Access-Request 数据包中将随机质询作为 CHAP-Challenge 属性(RADIUS 属性 60)发送。此可选行为要求质询的值必须为 16 个字节;否则,该语句将被忽略,质询将作为 CHAP-Challenge 属性发送。
  6. (可选)配置路由器在配置多个服务器时用于访问 RADIUS 身份验证和计费服务器的方法:

    • direct- 默认方法,其中没有负载平衡。配置的第一台服务器是主服务器;服务器按配置顺序进行访问。如果无法访问主服务器,路由器会尝试访问第二个配置的服务器,依此类推。

    • round-robin- 通过在已配置的 RADIUS 服务器列表之间轮换路由器请求来提供负载平衡的方法。根据上次使用的服务器轮换选择访问的服务器。列表中的第一台服务器被视为第一个身份验证请求的主服务器,但对于第二个请求,配置的第二个服务器被视为主服务器,依此类推。使用此方法,所有配置的服务器平均接收大致相同数量的请求,因此没有单个服务器必须处理所有请求。

      注意:

      当轮询列表中的 RADIUS 服务器无法访问时,轮询列表中的下一个可访问服务器将用于当前请求。同一台服务器也用于下一个请求,因为它位于可用服务器列表的顶部。因此,在服务器发生故障后,使用的服务器将占用两台服务器的负载。

    • 要配置路由器用于访问 RADIUS 计费服务器的方法,请执行以下操作:

    • 要配置路由器用于访问 RADIUS 身份验证服务器的方法,请执行以下操作:

  7. (可选)将路由器配置为当 CoA 操作无法将请求的更改应用于客户端配置文件动态变量时,使用可选行为。

    可选行为是订阅者管理不会对 CoA 请求中的客户端配置文件动态变量应用任何更改,然后使用 NACK 进行响应。默认行为是订阅者管理不会应用不正确的更新,而是将其他更改应用于客户端配置文件动态变量,然后使用 ACK 消息进行响应。

  8. (可选)将路由器配置为使用物理端口类型来 virtual 验证客户端。端口类型在 RADIUS 属性 61 (NAS-Port-Type) 中传递。默认情况下,路由器传递 RADIUS 属性 61 中的端口类型 ethernet
    注意:

    如果将 nas-port-type 语句包含在同一个访问配置文件中,则此语句优先于这两个语句。
  9. (可选)指定从路由器传递给 RADIUS 的接口说明中排除的信息,以便包含在 RADIUS 属性 87 (NAS-Port-ID) 中。默认情况下,接口描述包括适配器、通道和子接口信息。
  10. (可选)对于双栈 PPP 用户,将 IPv4-Release-Control VSA (26–164) 包含在按需 IP 地址分配期间发送的访问请求中,以及为报告地址更改而发送的临时计费消息中。

    (可选)配置将 IPv4-Release-Control VSA (26–164) 发送到 RADIUS 服务器时包含在该消息中的消息

    如果未配置按需 IP 地址分配或解除分配,则此语句的配置无效。

  11. (可选)将瞻博网络接入线路 VSA 添加到订阅者的 RADIUS 身份验证和计费请求消息中。如果路由器尚未从接入节点接收并处理相应的 ANCP 属性,则 AAA 仅在这些 RADIUS 消息中提供以下内容:

    • Downstream-Calculated-QoS-Rate (IANA 4874, 26-141) — 默认配置的公告传输速度。

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142) — 默认配置的公告接收速度。

    从 Junos OS 19.2R1 版开始,该 juniper-access-line-attributes 选项将取代该 juniper-dsl-attributes 选项。为了向后兼容现有脚本, juniper-dsl-attributes 该选项将重定向到新 juniper-access-line-attributes 选项。我们建议您使用 juniper-access-line-attributes

    注意:

    juniper-access-line-attributes 选项不向后兼容 Junos OS 19.1 或更低版本。这意味着,如果您在 Junos OS 19.2 或更高版本中配置 juniper-access-line-attributes 了选项,则必须执行以下步骤才能降级到 Junos OS 19.1 或更低版本:

    1. 从包含该 juniper-access-line-attributes 选项的所有访问配置文件中删除该选项。

    2. 执行软件降级。

    3. juniper-dsl-attributes将选项添加到受影响的访问配置文件。
  12. (可选)配置用于身份验证和计费请求的客户端 RADIUS 属性 32(NAS 标识符)的值。
  13. (可选)将 RADIUS 客户端配置为对 RADIUS 属性 5 (NAS-Port) 使用扩展格式,并指定 NAS-Port 属性中的字段宽度,该属性指定用于指定对用户进行身份验证的 NAS 的物理端口号。

    • 对于以太网用户:

    • 对于 ATM 用户:

  14. (可选)配置路由器在 RADIUS 属性 87 (NAS-Port-ID) 中的值之间插入的分隔符。
  15. (可选)配置路由器包含在 RADIUS 属性 87 (NAS-Port-ID) 中的可选信息。您可以指定按默认顺序显示的一个或多个选项。或者,您可以指定选项及其显示顺序。这些顺序是互斥的,如果配置的 NAS-Port-ID 包含两种类型的顺序中的值,则配置将失败。

    有关详细信息,请参阅 使用附加选项配置 NAS-Port-ID配置可选值在 NAS-Port-ID 中显示的顺序

  16. (可选)配置 RADIUS 属性 61 (NAS-Port-Type) 中包含的端口类型。这指定路由器用于对订阅者进行身份验证的端口类型。
    注意:

    如果在同一访问配置文件中配置此 ethernet-port-type-virtual 语句,则忽略此语句。
  17. (可选)配置 LAC 以覆盖在 L2TP 主叫号码 AVP 22 中发送的值的配置的 Calling-Station-ID 格式。您可以覆盖 Calling-Station-ID 格式,并将 LAC 配置为使用从 PADR 数据包中的 L2TP 客户端接收的 ACI、ARI 或 ACI 和 ARI 。您还可以指定要在 AVP 字符串的组件之间使用的分隔符,以及在 PADR 数据包中未收到已配置的覆盖组件时使用的回退值。
    注意:

    有关详细信息,请参阅 覆盖主叫号码 AVP 的呼叫站 ID 格式
  18. (可选)将 LNS 上的 RADIUS NAS-IP-ADDRESS 属性 (4) 的值覆盖为会话的 LAC 端点 IP 地址值(如果该地址存在于会话数据库中)。如果不存在,则使用原始属性值。
  19. (可选)如果 LAC NAS 端口信息已在 Cisco Systems NAS 端口信息 AVP (100) 中将 LAC NAS 端口信息传送到 LNS,则用会话数据库中的值覆盖 LNS 上的 RADIUS NAS-Port 属性 (5)。如果不存在,则使用原始属性值。
  20. (可选)如果 LAC NAS 端口信息已传达到 Cisco Systems NAS 端口信息 AVP (100) 中的 LNS,则将 LNS 上的 RADIUS NAS-Port-Type 属性值 (61) 覆盖为会话数据库中的值。如果不存在,则使用原始属性值。
  21. (可选)当您使用 remote-circuit-id-format 语句来配置要使用的字符串,而不是 L2TP 呼叫号码 AVP 22 中的呼叫站 ID 时,请为远程电路 ID 字符串配置分隔符。如果为远程电路 ID 格式配置了多个值,则分隔符将用作生成的远程电路 ID 字符串中串联值之间的分隔符。
    注意:

    您必须为要在主叫号码 AVP 中使用的远程电路 ID 格式配置 override calling-circuit-id remote-circuit-id 语句。
  22. (可选)配置 LAC 的回退值,以便在 L2TP 呼叫号码 AVP 22 中发送,可以是配置的呼叫站 ID,也可以是默认底层接口。如果 PPPoE 主动发现请求 (PADR) 数据包中的 LAC 未收到使用语 remote-circuit-id-format 句配置的替代字符串的组件(ACI、ARI 或 ACI 和 ARI),则会触发回退值的使用。
  23. (可选)配置覆盖 L2TP 主叫号码 AVP 中的 Calling-Station-ID 格式的字符串格式。您可以指定 ACI、ARI 或同时指定 ACI 和 ARI。
    注意:

    您必须为要在主叫号码 AVP 中使用的远程电路 ID 格式配置 override calling-circuit-id remote-circuit-id 语句。
  24. (可选)配置路由器在服务器变得无法访问后等待的秒数,然后再尝试访问服务器。如果服务器随后可访问,则按照服务器列表的顺序使用它。
    注意:

    您还可以为所有 RADIUS 服务器配置此选项。请参阅 为 RADIUS 服务器配置选项
  25. (可选)配置在自动处理订阅者地址族的激活请求期间,发生与配置错误相关的服务激活失败时,配置新经过身份验证的订阅者是否可以成功登录。您可以为动态配置文件或可扩展订阅者服务管理器 (ESSM) 操作脚本中配置的服务指定此行为:

    • optional-at-login—服务激活是可选的。由于配置错误导致的激活失败不会阻止地址族的激活;它允许订阅者访问。由于配置错误以外的原因导致的服务激活失败会导致网络家族激活失败。登录尝试将终止,除非订户的另一个地址族已处于活动状态。

    • required-at-login—需要激活服务。无论出于何种原因,激活失败都会导致网络家族激活失败。登录尝试将终止,除非订户的另一个地址族已处于活动状态。

  26. (可选)指定 RADIUS 属性 5 (NAS-Port) 除了 VLAN ID 外,还包括以太网接口上用户的 S-VLAN ID。

使用其他选项配置呼叫站 ID

使用此部分为 MX 系列路由器上的访问配置文件中的呼叫站 ID(RADIUS IETF 属性 31)配置替代值。

您可以将 Calling-Station-ID 配置为在 [edit access profile profile-name radius options calling-station-id-format] 层次结构中以任意组合形式包含以下一个或多个选项:

  • 代理电路标识符 (agent-circuit-id) — 用户接入节点和接入节点上的数字用户线 (DSL) 的标识符。代理电路标识符 (ACI) 字符串存储在 DHCP 流量的 DHCP 消息的 DHCP option 82 字段中,或者存储在 PPPoE 主动发现发起 (PADI) 和 PPPoE 主动发现请求 (PADR) 控制数据包的 DSL 论坛 Agent-Circuit-ID VSA [26-1] 中。

  • 代理远程标识符 (agent-remote-id) — 发起服务请求的数字用户线路接入复用器 (DSLAM) 接口上的用户标识符。代理远程标识符 (ARI) 字符串存储在 DHCP 流量的 DHCP option 82 字段中,或者存储在 PPPoE 流量的 DSL 论坛 Agent-Remote-ID VSA [26-2] 中。

  • 接口说明 (interface-description) - 接口的值。

  • 接口文本说明 (interface-text-description) - 接口的文本说明。接口文本描述是单独配置的,使用 set interfaces interface-name description description 语句或语 set interfaces interface-name unit unit-number description description

  • MAC 地址 (mac-address) — 用户源设备的 MAC 地址。

  • NAS 标识符 (nas-identifier) — 发起认证或计费请求的 NAS 的名称。NAS 标识符为 RADIUS IETF 属性 32。

  • 堆叠 VLAN (stacked-vlan)— 堆叠 VLAN ID。

  • VLAN (vlan)—VLAN ID。

如果使用多个可选值配置 Calling-Station-ID 的格式,则哈希字符 (#) 是默认分隔符,路由器在生成的 Calling-Station-ID 字符串中用作串联值之间的分隔符。或者,您可以为要使用的呼叫站 ID 配置备用分隔符。以下示例显示了配置多个可选值时输出的顺序:

要配置访问配置文件以在 Calling-Station-ID 中提供可选信息,请执行以下操作:

  1. 指定要配置的访问配置文件。
  2. 指定要配置 RADIUS 选项。
  3. 指定要用作 Calling-Station-ID 中串联值之间的分隔符的非默认字符。

    默认情况下,订阅者管理使用哈希字符 (#) 作为包含多个可选值的 Calling-Station-ID 字符串中的分隔符。

  4. 配置用于身份验证和计费请求的 NAS 标识符(RADIUS 属性 32)的值。
  5. 指定要配置 Calling-Station-ID 的格式。
  6. (可选)在 Calling-Station-ID 中包含接口文本描述。
  7. (可选)在 Calling-Station-ID 中包含接口描述值。
  8. (可选)在呼叫站 ID 中包括代理电路标识符。
  9. (可选)在 Calling-Station-ID 中包含座席远程标识符。
  10. (可选)在Calling-Station-ID中包括配置的NAS标识符值。
  11. (可选)在呼叫站 ID 中包括堆叠的 VLAN ID。
  12. (可选)在呼叫站 ID 中包括 VLAN ID。
  13. (可选)在Calling-Station-ID中包括MAC 地址。

示例:在访问配置文件中使用其他选项调用 Station-ID

以下示例创建名为 retailer01 的访问配置文件,该配置文件配置一个 Calling-Station-ID 字符串,其中包含 NAS 标识符 (fox)、接口描述、代理电路标识符和代理远程标识符选项。

生成的 Calling-Station-ID 字符串的格式如下:

fox*ge-1/2/0.100:100*as007*ar921

哪里:

  • NAS 标识符值为 fox

  • Calling-Station-ID 分隔符为 * (星号)。

  • 接口说明值为 ge-1/2/0.100:100

  • 代理电路标识符值为 as007

  • 代理远程标识符值为 ar921

考虑一个示例,其中配置了所有选项,但没有可用于 Agent-Circuit-ID、Agent-Remote-ID 或堆叠 VLAN 标识符的值。其他值如下:

  • NAS 标识符 — 日光浴室

  • 接口说明 — ge-1/0/0.1073741824:101

  • 接口文本说明 — 示例-interface

  • MAC 地址—00:00:5E:00:53:00

  • VLAN 标识符 - 101

这些值将导致以下 Calling-Station-ID:

过滤 RADIUS 消息中的 RADIUS 属性和 VSA

RADIUS 消息中接收的标准属性和供应商特定属性 (VSA) 优先于内部调配的属性值。过滤属性包括在访问接受数据包中接收到某些属性时选择 忽略 这些属性,以及 排除某些属性 发送到 RADIUS 服务器。忽略从 RADIUS 服务器接收的属性可以改用本地设置的值。例如,对于在订阅者的生存期内不会更改的属性,从发送中排除属性非常有用。它使您能够在不丢失信息的情况下减小数据包大小。

您可以指定标准 RADIUS 属性和 VSA,路由器或交换机随后在 RADIUS 访问-接受消息中收到这些属性和 VSA 时会 忽略 这些属性和 VSA。您还可以指定路由器或交换机从指定 RADIUS 消息类型 中排除 的属性和 VSA。排除意味着路由器或交换机在发送到 RADIUS 服务器的指定消息中不包含该属性。

从 Junos OS 18.1R1 版开始,您可以将路由器或交换机配置为忽略或排除 RADIUS 标准属性和 VSA,方法是分别指定标准属性编号或 IANA 分配的供应商 ID 和 VSA 编号。借助这种灵活的配置方法,您可以将平台支持的任何标准属性和 VSA 配置为忽略或排除。如果配置不受支持的属性、供应商和 VSA,则配置无效。

旧方法允许您仅配置语句语法包含特定选项的那些属性和 VSA。因此,您可以使用旧方法仅忽略可在 Access-Accept 消息中接收的所有属性的子集。

要配置被路由器或交换机忽略或排除的属性,请执行以下操作:

  1. 指定要在访问配置文件中配置 RADIUS。
  2. 指定要配置如何筛选 RADIUS 属性。
  3. (可选)指定希望路由器或交换机在 Access-Accept 消息中时忽略的一个或多个属性。

    • 旧版方法:为属性指定专用选项:

    • 灵活的方法:指定标准属性编号或 IANA 分配的供应商 ID 和 VSA 编号:

  4. (可选)配置希望路由器或交换机从一个或多个指定的 RADIUS 消息类型中排除的属性。您无法配置属性列表,但可以为每个属性指定消息类型列表。

    • 旧版方法:为属性和消息类型指定专用选项:

    • 灵活的方法:指定标准属性编号或 IANA 分配的供应商 ID、VSA 编号和消息类型:

以下示例比较了忽略标准 RADIUS 属性 Framed-IP-Netmask (9) 和瞻博网络 VSA、Ingress-Policy-Name (26-10) 和 Egress-Policy-Name (26-11) 的传统配置方法和灵活配置方法。

  • 旧版方法:

  • 灵活的方法:

以下示例比较了传统配置方法和灵活配置方法,以排除标准 RADIUS 属性 Framed-IP-Netmask (9) 和瞻博网络 VSA、Ingress-Policy-Name (26-10) 和 Egress-Policy-Name (26-11)。

  • 旧版方法:

  • 灵活的方法:指定标准属性编号或 IANA 分配的供应商 ID、VSA 编号和消息类型:

如果在同一配置文件中使用这两种方法指定属性,会发生什么情况?有效配置是两种方法的逻辑 OR。请考虑以下示例,了解标准属性 accounting-delay-time (41):

结果是,该属性将从所有四种消息类型中排除:Accounting-Off、Accounting-On、Accounting-Start 和 Accounting-Stop。效果与使用以下任一配置时相同:

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
18.1R1
从 Junos OS 18.1R1 版开始,您可以将路由器或交换机配置为忽略或排除 RADIUS 标准属性和 VSA,方法是分别指定标准属性编号或 IANA 分配的供应商 ID 和 VSA 编号。