Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Dynamische Profile für die Abonnentenverwaltung

Dynamische Profile – Überblick

Bei einem dynamischen Profil handelt es sich um eine Reihe von Merkmalen, die als eine Art Vorlage dienen, mit der Sie eine Konfiguration erstellen, aktualisieren oder entfernen können, mit der Sie dynamischen Abonnentenzugriff und -dienste für Breitbandanwendungen bereitstellen können. Mit diesen Profilen können Sie alle allgemeinen Attribute eines Kunden oder einer Gruppe von Kunden konsolidieren und die Attribute oder dynamisch erstellten Objekte gleichzeitig anwenden. Nachdem Profile erstellt wurden, befinden sie sich auf dem Router in einer Profilbibliothek.

Sie können Abonnenten dynamisch mit zwei Arten von dynamischen Profilen verwalten: Clientprofile und Dienstprofile. Beide Profiltypen werden auf Hierarchieebene [edit dynamic-profiles] konfiguriert und sind unabhängig voneinander. Ob Sie zusätzlich zu Ihren dynamischen Clientprofilen dynamische Dienstprofile verwenden, hängt davon ab, wie Sie die Differenzierung zwischen den Abonnenten unterstützen und wie Sie Ihre Abonnentendienste verpacken.

Anmerkung:

Die Terminologie dynamischer Profile kann verwirrend sein.

  • Ein dynamisches Clientprofil kann korrekt auch als dynamisches Abonnentenprofil bezeichnet werden.

  • Obwohl dynamische Clientprofile manchmal als Clientzugriffsprofile bezeichnet werden, führt dieser Begriff zu Verwirrung mit den Zugriffsprofilen, die auf der Hierarchieebene [Zugriffsprofil profile-namebearbeiten] konfiguriert sind. Zugriffsprofile werden verwendet, um Authentifizierungs-, Kontoführungs- und Autorisierungsparameter für den Abonnentenzugriff, einige Sitzungsattribute und clientspezifische Eigenschaften für L2TP- und PPP-Sitzungen zu konfigurieren. Zugriffsprofile werden mit der access-profile Anweisung auf verschiedenen Konfigurationsebenen angewendet.

Dynamische Client- und Serviceprofile

Die Hauptunterschiede zwischen dynamischen Client- und dynamischen Dienstprofilen sind die folgenden:

  • Ein dynamisches Clientprofil wird bereitgestellt und auf die Konfiguration der Clientanwendung angewendet. zum Beispiel DHCP, DHCPv6, L2TP LNS, PPPoE, statische Teilnehmer und VLANs. Der Inhalt des Profils wird auf die logische Schnittstelle für die Abonnentensitzung angewendet. In den meisten Fällen ermöglichen dynamische Clientprofile die dynamische Instanziierung logischer Schnittstellen, auf die das Profil angewendet wird, aber Clientprofile können auch auf statische logische Abonnentenschnittstellen angewendet werden.

    Ein dynamisches Clientprofil kann alle Bereiche unter [edit dynamic-profiles profile-name]enthalten, mit Ausnahme von variables variable-name.

  • Dynamische Dienstprofile umfassen nur dienstbezogene Konfigurationen, die eine Teilmenge der in dynamischen Clientprofilen verfügbaren Konfigurationen darstellen. Sie enthalten keine anderen Konfigurationsattribute für eine Abonnentensitzung. Sie können ein Serviceprofil nicht verwenden, um eine logische Schnittstelle zu erstellen oder zu ändern. Ein dynamisches Serviceprofil fungiert als Ergänzung zu dynamischen Mandantenprofilen, das nach dem Anlegen logischer Schnittstellen verwendet wird.

    Ein dynamisches Serviceprofil kann die folgenden Zeilengruppen enthalten[edit dynamic-profiles profile-name]: class-of-service, firewall, protocolsservices, und variables.

Dynamische Clientprofile und dynamische Serviceprofile unterscheiden sich auch in den Arten von Variablen, die sie verwenden können:

  • Dynamische Clientprofile können Predefined-Variable-Defaults enthalten, die Standardwerte für vordefinierte Variablen von Juniper Networks definieren, die im Profil enthalten sind. Die Standardwerte im Profil werden verwendet, wenn RADIUS keinen Wert für die Variable zurückgibt. Weitere Informationen zu vordefinierten Variablen finden Sie unter Übersicht über dynamische Variablen und Konfigurieren von Standardwerten für vordefinierte Variablen in einem dynamischen Profil .

  • Dynamische Dienstprofile können benutzerdefinierte Variablen enthalten, die sich wie Parameter in einem Funktionsaufruf verhalten. Die Variablenwerte können vom RADIUS-Server bereitgestellt werden, um speziellere Anpassungen pro Abonnent zu ermöglichen. Sie können auch Standardwerte für diese Variablen festlegen, die verwendet werden sollen, wenn RADIUS den Wert nicht bereitstellt. Weitere Informationen zu benutzerdefinierten Variablen finden Sie unter Benutzerdefinierte Variablen in dynamischen Profilen.

  • Dynamische Clientprofile enthalten keine benutzerdefinierten Variablen. Dynamische Dienstprofile enthalten keine vordefinierten variablenseitigen Standardwerte.

In Tabelle 1 sind die Variablentypen aufgeführt, die von Zugriffsprofilen und Dienstprofilen unterstützt werden.

Tabelle 1: Unterstützte Variablentypen in dynamischen Profilen

Typ des dynamischen Profils

Vordefinierte Variable für Junos OS (lokal)

Vordefinierte Variable für Junos OS (RADIUS)

Benutzerdefinierte Variable

Zugriffsprofil

Ja

Ja

Ja

Serviceprofil

Ja

Nein

Ja

Tabelle 2 listet die Standardwerte, Ausdrücke und eindeutigen Bezeichner auf, die von Zugriffsprofilen und Dienstprofilen unterstützt werden.

Tabelle 2: In dynamischen Profilen unterstützte Standardwerte und Ausdrücke

Typ des dynamischen Profils

Standardwerte

Ausdrücke

Eindeutige Identifikatoren

Zugriffsprofil

Ja (nur vordefinierte RADIUS-Variablen)

Nein

Ja (nur Scheduler und Scheduler-Maps)

Serviceprofil

Ja (nur benutzerdefinierte Variablen)

Ja (nur Dienstaktivierung)

Ja (nur Firewall-Filter)

Dynamisches Anwenden von Services auf Abonnentensitzungen

Es gibt mehrere Möglichkeiten, Services zu konfigurieren, die auf Abonnentensitzungen angewendet werden sollen:

  • Schließen Sie Dienstkonfigurationen für die Abonnentensitzung in ein dynamisches Clientprofil ein. Sie können beispielsweise Layer 2-Services wie Class of Service (CoS) und Layer 3-Services wie dynamische Firewall-Filter konfigurieren. Layer 3-Services werden für die ausgehandelte Adressfamilie für DHCP-, DHCPv6- und PPPoE-Abonnenten angewendet. Weitere Informationen finden Sie unter Ändern der CoS-Services – Übersicht.

    Anmerkung:

    Ein dynamisches Clientprofil kann nicht auf ein dynamisches Dienstprofil verweisen. Sie kann nur Servicekonfigurationen direkt enthalten.

  • Wenden Sie ein dynamisches Serviceprofil mithilfe Ihrer RADIUS-Konfiguration an. Der Juniper Networks Activate-Service VSA (26-65), der in der RADIUS Access-Accept-Nachricht zurückgegeben wird, wenn sich der Abonnent authentifiziert, kann auf ein dynamisches Serviceprofil verweisen und optional zusätzliche Parameter für den Service übergeben. Für DHCP- und PPPoE-Sitzungen wird dieses Dienstprofil angewendet, wenn die Adressfamilie der Sitzung aktiviert ist. Weitere Informationen finden Sie unter Dynamisches Servicemanagement mit RADIUS.

    Sie können einen anderen Juniper Networks VSA, Deactivate-Service (26-66), verwenden, um Services in der Meldung "Zugriff akzeptieren" zu deaktivieren.

  • Wenden Sie ein Serviceprofil mit einem Juniper Networks VSA in einer RADIUS-CoA-Nachricht (Change of Authorization) an. Sie können eine CoA-Nachricht verwenden, um Services zu aktivieren (VSA 26-65) oder zu deaktivieren (VSA 26-66). Beispielsweise kann sich ein Abonnent nach Einrichtung der Sitzung für oder gegen einen Dienst anmelden. Weitere Informationen finden Sie in der Übersicht über die von RADIUS initiierte Änderung der Autorisierung (CoA).

  • Wenden Sie ein dynamisches Dienstprofil an, indem Sie die service-profile Anweisung zum Verweisen auf das Profil in die Konfigurationen für lokale DHCP-Server, DHCP-Relay-Agenten, L2TP- oder statische Abonnenten aufnehmen. Weitere Informationen finden Sie z. B. unter Angeben des Dienstprofils für statische Abonnentengruppen, Konfigurieren einer L2TP-Tunnelgruppe für LNS-Sitzungen mit Inline Services-Schnittstellen und Konfigurieren eines L2TP-Zugriffsprofils auf dem LNS.

Dynamische Profilüberschreibungen

Ab Junos OS Version 14.1 können Sie in der RADIUS Client-Profile-Name VSA [26-174] ein anderes dynamisches Profil angeben, damit RADIUS ein konfiguriertes dynamisches Clientprofil überschreibt. RADIUS gibt diesen VSA mit anderen Clientsitzungsattributen in der Access-Accept-Nachricht an AAA zurück. AAA überschreibt anschließend das entsprechende Profilnamensattribut im Sitzungsdatenbankeintrag für den Client, und dieses neue Profil wird anstelle des ursprünglich konfigurierten Profils instanziiert.

Erstellung dynamischer Profilversionen

Sie können neue Versionen von dynamischen Profilen erstellen, die derzeit von Abonnenten verwendet werden. Die Erstellung dynamischer Profilversionen ist auf Hierarchieebene [edit system] aktiviert. Wenn diese Option aktiviert ist, können Sie mehrere Versionen beliebiger dynamischer Profile auf dem Router erstellen. Jeder Abonnent, der sich nach einer Änderung des dynamischen Profils anmeldet, verwendet die neueste Version des dynamischen Profils. Abonnenten, die bereits aktiv sind, verwenden weiterhin die ältere Version des dynamischen Profils, bis sie sich abmelden oder ihre Sitzung beendet wird.

Beachten Sie beim Erstellen von Versionen dynamischer Profile Folgendes:

  • Sie müssen die Erstellung dynamischer Profilversionen aktivieren oder deaktivieren, bevor Sie dynamische Profile auf dem Router erstellen oder verwenden können. Das Aktivieren oder Deaktivieren der Erstellung dynamischer Profilversionen nach der Konfiguration dynamischer Profile wird nicht unterstützt.

    Anmerkung:

    Bevor Sie die Erstellung dynamischer Profilversionen für einen Router, auf dem dynamische Profile konfiguriert sind, aktivieren oder deaktivieren können, müssen Sie zunächst alle dynamischen Profile aus der Routerkonfiguration entfernen.

  • Jede Version eines dynamischen Profils wird in der Profildatenbank als neues Profil gespeichert.

  • Der Name der neuen Profilversion wird abgeleitet, indem eine Zeichenfolge an den ursprünglichen Namen des dynamischen Basisprofils angehängt wird. Diese Zeichenfolge enthält zwei Dollarzeichen ($), um das Versionsfeld des Profilnamens zu identifizieren. Auf diese beiden Zeichen folgen numerische Zeichen, die die "Versionsnummer" des dynamischen Profils darstellen (z. B. 01).

  • Die Versionsnummer des dynamischen Profils wird vom System automatisch generiert.

  • Das dynamische Profil, das Sie ändern, wird immer als neueste Version gespeichert. Es ist nicht möglich, ein geändertes dynamisches Profil zu erstellen und als frühere Version zu speichern. Wenn Sie z. B. Version drei eines dynamischen Profils ändern, während es verwendet wird, wird das dynamische Profil als Version vier gespeichert.

  • Sie können nur die neueste Version eines dynamischen Profils ändern.

  • Der Maximalwert für die Versionsnummer ist 99999. Für jedes Profil werden jedoch jeweils nur 10 aktive Versionen unterstützt.

  • Wenn die Version des dynamischen Profils, die Sie ändern, von keinem Abonnenten verwendet wird, wird das Profil mit den bestätigten Änderungen überschrieben, ohne dass eine neue Version erstellt wird.

  • Nach dem Erreichen der 99999. geänderten Version eines dynamischen Profils führen alle weiteren Änderungen am dynamischen Profil dazu, dass diese endgültige Version überschrieben wird. Wenn die endgültige Version verwendet wird, schlagen alle Änderungsversuche beim Commit fehl.

  • Sie können ein dynamisches Profil nur löschen, wenn keine seiner Versionen verwendet wird.

  • Das Feature für die dynamische Profilversion unterstützt einen ordnungsgemäßen Neustart und eine einheitliche ISSU.

Dynamische semantische Profilprüfung

Variablen werden dynamisch auf dynamische Profile angewendet und können nicht mit vorhandenen CLI-Befehlen überprüft werden. Die semantische Prüfung validiert einige Variablen in dynamischen Profilen, um potenzielle Konfigurationsfehler zu identifizieren.

Semantische Prüfungen werden während des Commits und während der Profilinstanziierung durchgeführt. Commit-Zeitüberprüfungen stellen sicher, dass Variablen an der richtigen Stelle innerhalb des dynamischen Profils angezeigt werden. Prüfungen, die vor der Profilinstanziierung durchgeführt werden, stellen sicher, dass die Werte, die die Variablen ersetzen, korrekt sind. Zu den Überprüfungen, die an den Werten durchgeführt werden, gehören die folgenden:

  • Bereichsvalidierung

  • Validierung von Variablentypen

  • Vorhandensein von Variablen, wo sie obligatorisch sind

  • Variablenabgleich mit regulären Ausdrücken

Ein Fehler bei der Überprüfung der Commitzeit führt dazu, dass eine Fehlermeldung angezeigt und in der /var/log/messages Datei protokolliert wird und der Commit fehlschlägt. Ein Instanziierungsfehler führt dazu, dass ein Fehler in der /var/log/messages Datei protokolliert wird und die Profilinstanziierung fehlschlägt.

Konfigurieren eines einfachen dynamischen Profils

In diesem Thema wird beschrieben, wie ein dynamisches Basisprofil erstellt wird. Ein Basisprofil muss einen Profilnamen enthalten und sowohl einen Schnittstellenvariablennamen (z. B $junos-interface-ifd-name. ) auf der [edit dynamic-profiles profile-name interfaces Hierarchieebene als auch einen logischen Schnittstellenvariablennamen (z $junos-underlying-interface-unit . B. oder $junos-interface-unit) auf der [edit dynamic-profiles profile-name interfaces variable-interface-name unit] Hierarchieebene enthalten.

Bevor Sie dynamische Profile für den ersten Clientzugriff konfigurieren:

  1. Konfigurieren Sie die erforderlichen Routerschnittstellen, die DHCP-Clients beim Zugriff auf das Netzwerk verwenden sollen.

    Unter Übersicht über DHCP-Abonnentenschnittstellen finden Sie Informationen zu den Schnittstellentypen, die Sie mit dynamischen Profilen verwenden können, und zu deren Konfiguration.

  2. Konfigurieren Sie alle RADIUS-Werte, die die Profile bei der Überprüfung von DHCP-Clients für den Zugriff auf das Multicastnetzwerk verwenden sollen.

    Siehe RADIUS-Server und Parameter für den Abonnentenzugriff

So konfigurieren Sie ein dynamisches Basisprofil:

  1. Benennen Sie das Profil.
  2. Definieren Sie die interface-name Anweisung mit der internen $junos-interface-ifd-name Variablen, die vom Router verwendet wird, um mit dem Schnittstellennamen der empfangenden Schnittstelle übereinzustimmen.
  3. Definieren Sie die unit Anweisung mit der internen Variablen:

    • Wenn Sie auf eine vorhandene Schnittstelle verweisen, geben Sie die Variable an, die $junos-underlying-interface-unit vom Router verwendet wird, um dem Einheitswert der empfangenden Schnittstelle zu entsprechen.

    • Geben Sie beim Erstellen dynamischer Schnittstellen die Variable an, die $junos-interface-unit vom Router zum Generieren eines Einheitswerts für die Schnittstelle verwendet wird.

    oder

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
14.1
Ab Junos OS Version 14.1 können Sie in der RADIUS Client-Profile-Name VSA [26-174] ein anderes dynamisches Profil angeben, damit RADIUS ein konfiguriertes dynamisches Clientprofil überschreibt.