Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dynamische Profile für die Anwenderverwaltung

Übersicht über dynamische Profile

Ein dynamisches Profil ist eine Reihe von Merkmalen, die als eine Art Vorlage fungiert, mit der Sie eine Konfiguration erstellen, aktualisieren oder entfernen können, mit der Sie dynamischen Abonnentenzugriff und -services für Breitbandanwendungen bereitstellen können. Mithilfe dieser Profile können Sie alle gemeinsamen Attribute eines Clients oder einer Gruppe von Clients konsolidieren und die Attribute oder dynamisch erstellten Objekte gleichzeitig anwenden. Nach dem Erstellen von Profilen befinden sie sich auf dem Router in einer Profilbibliothek.

Sie können Abonnenten dynamisch mit zwei Arten von dynamischen Profilen verwalten: Client- und Serviceprofile. Beide Profiltypen werden auf [edit dynamic-profiles] Hierarchieebene konfiguriert und sind unabhängig voneinander. Ob Sie zusätzlich zu Ihren dynamischen Client-Profilen dynamische Serviceprofile verwenden, hängt davon ab, wie Sie die Differenzierung zwischen den Abonnenten unterstützen und wie Sie Ihre Abonnentenservices paketieren.

Hinweis:

Dynamische Profilterminologie ist möglicherweise verwirrend.

  • Ein dynamisches Client-Profil kann korrekterweise auch als dynamisches Abonnentenprofil bezeichnet werden.

  • Obwohl dynamische Client-Profile manchmal als Client-Zugriffsprofile bezeichnet werden, führt dieser Begriff zu Verwirrung mit den Zugriffsprofilen, die auf [Bearbeiten-Zugriffsprofil profile-name] Hierarchieebene konfiguriert sind. Zugriffsprofile werden verwendet, um Authentifizierungs-, Abrechnungs- und Autorisierungsparameter für den Abonnentenzugriff, einige Sitzungsattribute und clientspezifische Eigenschaften für L2TP- und PPP-Sitzungen zu konfigurieren. Zugriffsprofile werden auf verschiedenen Konfigurationsebenen mit der access-profile Anweisung angewendet.

Dynamische Client-Profile und dynamische Serviceprofile

Die größten Unterschiede zwischen dynamischen Client- und dynamischen Serviceprofilen sind die folgenden:

  • Ein dynamisches Client-Profil wird bereitgestellt und auf die Clientanwendungskonfiguration angewendet. zum Beispiel DHCP, DHCPv6, L2TP LNS, PPPoE, statische Abonnenten und VLANs. Die Inhalte des Profils werden auf die logische Schnittstelle für die Abonnentensitzung angewendet. Am häufigsten ermöglichen dynamische Client-Profile die dynamische Instanziierung logischer Schnittstellen, auf die das Profil angewendet wird, aber Client-Profile können auch auf statische logische Abonnentenschnittstellen angewendet werden.

    Ein dynamisches Client-Profil kann jede der Strophen unter [edit dynamic-profiles profile-name]enthalten, mit Ausnahme von variables variable-name.

  • Dynamische Serviceprofile umfassen nur servicebezogene Konfigurationen, bei denen es sich um eine Teilmenge der Konfigurationen handelt, die in dynamischen Client-Profilen verfügbar sind. Sie enthalten keine anderen Konfigurationsattribute für eine Abonnentensitzung. Sie können ein Serviceprofil nicht zum Erstellen oder Ändern einer logischen Schnittstelle verwenden. Ein dynamisches Serviceprofil dient als Ergänzung zu dynamischen Client-Profilen, die nach der Erstellung logischer Schnittstellen verwendet werden.

    Ein dynamisches Serviceprofil kann die folgenden Strophen unter [edit dynamic-profiles profile-name]: class-of-service, firewall, protocols, und servicesvariables.

Dynamische Client-Profile und dynamische Serviceprofile unterscheiden sich auch in den Arten von Variablen, die sie verwenden können:

  • Dynamische Client-Profile können vordefinierte Variablen-Standardeinstellungen enthalten, die Standardwerte für vordefinierte Variablen von Juniper Networks definieren, die im Profil enthalten sind. Die Standardwerte im Profil werden verwendet, wenn RADIUS keinen Wert für die Variable zurücksendet. Informationen zu vordefinierten Variablen finden Sie unter Übersicht über dynamische Variablen und Konfigurieren von Standardwerten für vordefinierte Variablen in einem dynamischen Profil .

  • Dynamische Serviceprofile können benutzerdefinierte Variablen enthalten, die wie Parameter in einem Funktionsaufruf fungieren. Die Variablenwerte können vom RADIUS-Server bereitgestellt werden, um eine speziellere Anpassung pro Anwender zu unterstützen. Sie können auch Standardwerte für diese Variablen festlegen, die verwendet werden sollen, wenn RADIUS den Wert nicht bereitstellt. Informationen zu benutzerdefinierten Variablen finden Sie unter Benutzerdefinierte Variablen in dynamischen Profilen .

  • Dynamische Client-Profile enthalten keine benutzerdefinierten Variablen. Dynamische Serviceprofile enthalten keine vordefinierten Variablen-Standardeinstellungen.

Tabelle 1 listet die Arten von Variablen auf, die von Zugriffsprofilen und Serviceprofilen unterstützt werden.

Tabelle 1: Arten von Variablen, die in dynamischen Profilen unterstützt werden

Art des dynamischen Profils

Vordefinierte Junos OS-Variable (lokal)

Vordefinierte Junos OS-Variable (RADIUS)

Benutzerdefinierte Variable

Zugriffsprofil

Ja

Ja

Ja

Serviceprofil

Ja

Nein

Ja

Tabelle 2 listet die Standardwerte, Ausdrücke und eindeutigen Bezeichner auf, die von Zugriffsprofilen und Serviceprofilen unterstützt werden.

Tabelle 2: In dynamischen Profilen unterstützte Standardwerte und Ausdrücke

Art des dynamischen Profils

Standardwerte

Ausdrücke

Eindeutige Kennungen

Zugriffsprofil

Ja (nur RADIUS-vordefinierte Variablen)

Nein

Ja (nur Scheduler- und Scheduler-Karten)

Serviceprofil

Ja (nur benutzerdefinierte Variablen)

Ja (nur Serviceaktivierung)

Ja (nur Firewall-Filter)

Dynamische Anwendung von Services auf Abonnentensitzungen

Sie können Services für die Anwendung auf Abonnentensitzungen auf verschiedene Weise konfigurieren:

  • Schließen Sie Servicekonfigurationen für die Abonnentensitzung in ein dynamisches Client-Profil ein. Sie können beispielsweise Layer-2-Services wie Class of Service (CoS) und Layer-3-Services wie dynamische Firewall-Filter konfigurieren. Layer-3-Services werden für die ausgehandelte Adressfamilie für DHCP-, DHCPv6- und PPPoE-Abonnenten angewendet. Siehe Übersicht über die CoS-Services.

    Hinweis:

    Ein dynamisches Client-Profil kann kein dynamisches Serviceprofil referenzieren. Es kann nur Servicekonfigurationen direkt umfassen.

  • Wenden Sie ein dynamisches Serviceprofil mit Ihrer RADIUS-Konfiguration an. Die Juniper Networks Activate-Service VSA (26-65), die in der RADIUS-Nachricht Access-Accept zurückgegeben wird, wenn sich der Anwender authentifiziert, kann auf ein dynamisches Serviceprofil verweisen und optional zusätzliche Parameter für den Dienst übergeben. Für DHCP- und PPPoE-Sitzungen wird dieses Dienstprofil angewendet, wenn die Adressfamilie der Sitzung aktiviert ist. Siehe Dynamisches Servicemanagement mit RADIUS.

    Sie können einen anderen Juniper Networks VSA, Den Deaktivieren-Service (26-66), verwenden, um Services in der Nachricht Access Accept zu deaktivieren.

  • Wenden Sie ein Serviceprofil mit einer Juniper Networks VSA in einer RADIUS-Nachricht Zur Änderung der Autorisierung (CoA) an. Sie können eine CoA-Nachricht verwenden, um Services zu aktivieren (VSA 26-65) oder deaktivieren (VSA 26-66). Beispielsweise kann sich ein Anwender nach der Einrichtung der Sitzung für einen Service anmelden oder aus diesem heraus. Siehe RADIUS-initiierte Änderung der Autorisierung (CoA)-Übersicht.

  • Wenden Sie ein dynamisches Dienstprofil an, indem Sie die service-profile Anweisung zum Referenzieren des Profils in die Konfigurationen für lokalen DHCP-Server, DHCP-Relay-Agent, L2TP oder statische Abonnenten integrieren. Beispiel: Festlegen des statischen Abonnentengruppendienstprofils, Konfigurieren einer L2TP-Tunnelgruppe für LNS-Sitzungen mit Inline-Serviceschnittstellen und Konfigurieren eines L2TP-Zugriffsprofils auf der LNS.

Dynamisches Profil außer Kraft gesetzt

Ab Junos OS Version 14.1 können Sie ein anderes dynamisches Profil im RADIUS Client-Profile-Name VSA [26-174] angeben, damit RADIUS ein konfiguriertes dynamisches Client-Profil außer Kraft setzen kann. RADIUS gibt diese VSA mit anderen Clientsitzungsattributen in der Access-Accept-Nachricht an AAA zurück. Anschließend überschreibt AAA das entsprechende Profilname-Attribut im Sitzungsdatenbankeintrag für den Client, und dieses neue Profil wird anstelle des ursprünglich konfigurierten Profils instanziiert.

Dynamische Erstellung einer Profilversion

Sie können neue Versionen dynamischer Profile erstellen, die derzeit von Abonnenten verwendet werden. Die Erstellung einer dynamischen Profilversion ist auf [edit system] Hierarchieebene möglich. Wenn sie aktiviert ist, können Sie mehrere Versionen von dynamischen Profilen auf dem Router erstellen. Abonnenten, die sich nach einer dynamischen Profiländerung anmelden, verwenden die neueste Version des dynamischen Profils. Abonnenten, die bereits aktiv sind, verwenden weiterhin die ältere Version des dynamischen Profils, bis sie sich abmelden oder ihre Sitzung beendet.

Beachten Sie beim Erstellen von Versionen dynamischer Profile Folgendes:

  • Sie müssen die Erstellung einer dynamischen Profilversion aktivieren oder deaktivieren, bevor Sie dynamische Profile auf dem Router erstellen oder verwenden. Die Aktivierung oder Deaktivierung der Erstellung einer dynamischen Profilversion nach der Konfiguration dynamischer Profile wird nicht unterstützt.

    Hinweis:

    Bevor Sie die Erstellung einer dynamischen Profilversion für einen Router, auf dem dynamische Profile konfiguriert sind, aktivieren oder deaktivieren können, müssen Sie zunächst alle dynamischen Profile aus der Routerkonfiguration entfernen.

  • Jede Version eines dynamischen Profils wird in der Profildatenbank als neues Profil gespeichert.

  • Der Name der neuen Profilversion wird abgeleitet, indem eine Zeichenfolge an den ursprünglichen dynamischen Basisprofilnamen angefügt wird. Diese Zeichenfolge enthält zwei Dollarzeichen ($) Zeichen, um das Versionsfeld des Profilnamens zu identifizieren. Auf diese beiden Zeichen folgen numerische Zeichen, die die "Versionsnummer" des dynamischen Profils darstellen (z. B. 01).

  • Die Versionsnummer des dynamischen Profils wird automatisch vom System generiert.

  • Das dynamische Profil, das Sie ändern, wird immer als neueste Version gespeichert. Sie können ein geändertes dynamisches Profil nicht erstellen und als frühere Version speichern. Wenn Sie beispielsweise Version 3 eines dynamischen Profils während der Verwendung ändern, wird das dynamische Profil als Version 4 gespeichert.

  • Sie können nur die neueste Version eines dynamischen Profils ändern.

  • Der maximale Wert für die Versionsnummer ist 99999. Für jedes Profil werden jedoch nur 10 aktive Versionen gleichzeitig unterstützt.

  • Wenn die dynamische Profilversion, die Sie ändern, von keinem Abonnenten verwendet wird, wird das Profil mit den vorgenommenen Änderungen überschrieben, ohne eine neue Version zu erstellen.

  • Nach Dem Erreichen der 99999. modifizierten Version eines dynamischen Profils führen alle weiteren Änderungen am dynamischen Profil dazu, dass diese endgültige Version überschrieben wird. Wenn die endgültige Version verwendet wird, schlägt jede Änderung beim Commit fehl.

  • Sie können ein dynamisches Profil nur löschen, wenn keine seiner Versionen verwendet wird.

  • Die Funktion der dynamischen Profilversion unterstützt einen graceful Restart und einheitliche ISSU.

Dynamische semantische Profilprüfung

Variablen werden dynamisch auf dynamische Profile angewendet und können nicht mit vorhandenen CLI-Befehlen überprüft werden. Die semantische Prüfung validiert einige Variablen in dynamischen Profilen, um potenzielle Konfigurationsfehler zu erkennen.

Semantische Prüfungen werden während des Commits und während der Profil-Instanziierung durchgeführt. Commit-Time-Prüfungen stellen sicher, dass Variablen am richtigen Speicherort im dynamischen Profil angezeigt werden. Prüfungen, die vor der Profil-Instanziierung durchgeführt werden, stellen sicher, dass die Werte, die die Variablen ersetzen, korrekt sind. Die Werte werden wie folgt überprüft:

  • Bereichsvalidierung

  • Validierung variabler Typen

  • Vorhandensein von Variablen, bei denen sie obligatorisch sind

  • Abgleich von Variablen zu regulären Ausdrücken

Ein Fehler bei der Commit-Zeitprüfung führt dazu, dass eine Fehlermeldung angezeigt und in der /var/log/messages Datei protokolliert wird, und der Commit ist fehlgeschlagen. Ein Instanziierungsfehler führt dazu, dass ein Fehler in der /var/log/messages Datei protokolliert wird und die Profil-Instanziierung fehlschlägt.

Konfigurieren eines grundlegenden dynamischen Profils

In diesem Thema wird beschrieben, wie Sie ein grundlegendes dynamisches Profil erstellen. Ein Basisprofil muss einen Profilnamen enthalten und sowohl einen Namen der Schnittstellenvariablen (z $junos-interface-ifd-name. B. ) auf Hierarchieebene als auch den Namen der [edit dynamic-profiles profile-name interfaces logischen Schnittstellenvariablen (z $junos-underlying-interface-unit . B. oder $junos-interface-unit) auf [edit dynamic-profiles profile-name interfaces variable-interface-name unit] Hierarchieebene enthalten.

Bevor Sie dynamische Profile für den ersten Clientzugriff konfigurieren:

  1. Konfigurieren Sie die erforderlichen Routerschnittstellen, die DHCP-Clients beim Zugriff auf das Netzwerk verwenden sollen.

    Informationen zu den Schnittstellentypen, die Sie mit dynamischen Profilen verwenden können, und deren Konfiguration finden Sie in der Übersicht über die DHCP-Anwenderschnittstelle .

  2. Konfigurieren Sie alle RADIUS-Werte, die die Profile bei der Validierung von DHCP-Clients für den Zugriff auf das Multicast-Netzwerk verwenden sollen.

    Radius-Server und Parameter für den Abonnentenzugriff anzeigen

So konfigurieren Sie ein grundlegendes dynamisches Profil:

  1. Geben Sie dem Profil einen Namen.
  2. Definieren Sie die interface-name Anweisung mit der internen $junos-interface-ifd-name Variablen, die vom Router verwendet wird, um den Schnittstellennamen der Empfangenden Schnittstelle zu entsprechen.
  3. Definieren Sie die unit Anweisung mit der internen Variablen:
    • Geben Sie beim Verweisen auf eine vorhandene Schnittstelle die Variable an, die $junos-underlying-interface-unit vom Router verwendet wird, um den Einheitswert der Empfangsschnittstelle zu entsprechen.

    • Geben Sie beim Erstellen dynamischer Schnittstellen die $junos-interface-unit Variable an, die vom Router verwendet wird, um einen Einheitswert für die Schnittstelle zu generieren.

    Oder

Tabelle "Versionshistorie"
Release
Beschreibung
14.1
Ab Junos OS Version 14.1 können Sie ein anderes dynamisches Profil im RADIUS Client-Profile-Name VSA [26-174] angeben, damit RADIUS ein konfiguriertes dynamisches Client-Profil außer Kraft setzen kann.