静态接口上的 JSRC 和订阅者

您可以将用户与静态配置的接口相关联，并为这些用户提供动态服务激活和停用。当静态接口启动时，事件将被视为订阅者登录。当接口出现故障时，系统会将其视为订阅者注销。

您可以配置静态订阅者，以便通过 RADIUS 进行身份验证和授权。在这种情况下，RADIUS 可以使用授权变更 （CoA） 消息激活和停用服务。但是，此配置不会阻止接口启动和转发流量。此外，不会在用户接口上强加授权参数。

或者，您可以使用 JSRC 为这些订阅者动态激活和停用服务。当用户出现在会话数据库 （SDB） 中后，JSRC 可以向 SAE 报告用户，以便 SRC 软件随后可以管理用户。

以下准则适用于静态订阅者：

• 静态用户仅在以太网接口、静态多路分离接口和逻辑隧道 （PS/LT） 伪线接口上受支持。PS/LT 支持在 Junos OS 18.3R1 版中引入，可为流量通过 IP/MPLS 访问模型传输的静态配置订阅者实现全面订阅者管理（相当于动态订阅者）。

• 给定接口上只能存在一个静态用户。

• 一个接口不能出现在多个组中。

• 无法通过动态接口创建静态用户。

静态订阅者旨在与 JSRC 配合使用。在层次结构级别包含[edit access profile profile-name] 该provisioning-order jsrc语句，以使 JSRC 能够按照 SRC 软件的方向处理订阅者。

如果静态用户的身份验证请求失败，则 60 分钟不可配置的计时器将开始倒计时。计时器到期时，将重新发出请求。只要接口正常运行，就会重复此作。

您可以通过发出 request services static-subscribers logout interface interface-name 命令强制注销静态用户。静态订阅者也可以由 AAA 或外部策略管理器注销。在这两种情况下，在您通过发出 request services static-subscribers login interface interface-name 命令重置状态或重新启动路由器或进程之前，无法在底层接口上进行后续登录。

您可以通过发出 request services static-subscriber logout group group-name 命令注销接口组。随后，您可以通过发出 request services static-subscriber login group group-name 命令登录一组接口。

无需新的 CLI 语句即可为静态用户配置动态配置文件。动态配置文件可以非常简单;它在登录时激活，在注销时停用。如果未配置配置文件，则 会自动激活 junos-default-profile 。

在 平滑路由引擎切换 （GRES） 事件期间，活动静态订阅者将被恢复，非活动订阅者将被清理，并且正在注销的订阅者将继续注销。

在层次结构级别包含[edit system services]该static-subscribers语句以配置静态订阅者。在层次结构级别包含[edit system processes static-subscribers]该traceoptions语句，以便为静态用户配置跟踪作。

您可以为所有静态用户或一组特定的静态用户配置访问配置文件、动态配置文件、服务配置文件和身份验证参数：

• 要配置为所有静态订阅者触发静态用户 AAA 服务的访问配置文件，请在层次结构级别包含[edit system services static-subscribers]该access-profile语句。或者，在层次结构级别包含[edit system services static-subscribers group group-name]此语句，以将配置文件应用于特定组并覆盖顶级配置。

• 要配置静态用户登录时为所有静态用户实例化的动态配置文件，请在层次结构级别包含[edit system services static-subscribers]该dynamic-profile语句。或者，在层次结构级别包含[edit system services static-subscribers group group-name]此语句，以将配置文件应用于特定组并覆盖顶级配置。不要指定用于创建动态接口的动态配置文件。

• 要在全局级别和组级别为所有静态用户配置服务配置文件，请将语 service-profile 句 [edit system services static-subscribers group group-name] hierarchy level包含在 。

• 要配置为所有静态用户触发 AAA 访问请求消息的身份验证参数，请在层次结构级别包含[edit system services static-subscribers]该authentication语句。或者，在层次结构级别包含[edit system services static-subscribers group group-name]该语句，以便为特定组配置身份验证并覆盖顶级配置。如果未配置身份验证，则默认情况下将修改接口名称并将其用作订阅者会话和身份验证请求的默认用户名。

可配置的身份验证参数包括密码和用户名形成方式的详细信息。在层次结构级别包含[edit system services static-subscribers authentication]该password语句，以便为所有静态订阅者配置身份验证密码。或者，在层次结构级别包含[edit system services static-subscribers group group-name authentication]该语句，以便为特定组配置身份验证并覆盖顶级配置。

发送到 AAA 进行身份验证的用户名必须至少包含以下属性之一：

• 域名

• 用户前缀

• 接口名称

• 逻辑系统名称

• 路由实例名称

要配置所有静态用户名的形成方式，请在 [edit system services static-subscribers authentication] 层次结构级别包含所需的语句： domain-name、 user-prefix、 logical-system-name或 routing-instance-name。或者，在层次结构级别包含 [edit system services static-subscribers group group-name authentication] 所需的语句，以便为特定组配置用户名并覆盖顶级配置。

如果全局更改现有组或静态用户的身份验证配置，则此更改不会影响现有静态用户。更改仅应用于提交更改后尝试的任何新登录。

组配置必须指定期望支持静态用户的所有接口。在层次结构级别包含interface[edit system services static-subscribers group group-name]该语句以指定接口。通过此语句，您可以指定单个接口或一系列接口。

您还必须对这些接口进行静态配置，然后才能支持任何静态用户。您必须在与包含接口的组相同的逻辑系统和路由实例中配置静态接口。

如果更改现有接口组中包含的接口，则现有静态订阅者会自动注销，然后在您提交更改时重新登录。但是，对接口本身的配置所做的更改不会影响与该接口关联的静态用户的登录或注销状态。

默认情况下，同一 VLAN 逻辑接口不支持多个用户。如果您希望支持此行为，则可通过以下两种方式之一管理单个逻辑接口上的多个订阅者。您可以合并多个订阅者的属性，例如防火墙过滤器和 CoS 属性，也可以在新订阅者登录底层 VLAN 逻辑接口时将当前属性替换为新订阅者的属性。

• 要为所有静态接口启用属性合并，请在层次结构级别包含[edit system services static-subscribers]该aggregate-clients merge语句。或者，在层次结构级别包含[edit system services static-subscribers group group-name]此语句，以为一组特定的静态接口启用属性合并并覆盖顶级配置。

• 要为所有静态接口启用属性替换，请在层次结构级别包含[edit system services static-subscribers]该aggregate-clients replace语句。或者，在层次结构级别包含[edit system services static-subscribers group group-name]此语句，以为一组特定的静态接口启用属性替换并覆盖顶级配置。

此示例显示静态用户配置。

1. 配置要用于静态订阅者的访问配置文件。

2. 配置要用于静态订阅者的动态配置文件。

   如果未配置此配置文件，将使用默认配置文件 junos-default-profile。

3. 配置要在其上对静态用户进行分层的静态接口。

4. 配置全局应用于配置上下文中所有静态用户的参数。

5. 如果要覆盖某些静态用户的全局参数，请为这些用户创建一组静态接口，并配置要应用于该组的参数。根据需要对任意数量的组重复此步骤。

6. 为静态订阅者事件配置跟踪选项。