Einführung in die Anwenderverwaltung

Überblick über das Anwendermanagement

Die Junos OS-Anwenderverwaltungsfunktion von Juniper Networks bietet Abonnentenzugriff, Authentifizierung sowie Erstellung, Aktivierung und Deaktivierung von Services. Sie können auch Buchhaltungsinformationen und Statistiken für Abonnenten-Servicesitzungen erfassen.

Die Anwenderzugriffsfunktion unterstützt sowohl CLI- als auch AAA-basierte Konfigurationen (wie RADIUS) für Abonnenten. Der Zugriff und die Services beginnen, wenn der Router eine Nachricht von einem Client empfängt (z. B. eine DHCP-Erkennungsnachricht). Für RADIUS-Clients können RADIUS Access-Accept-Nachrichten und Change-of-Authorization-Request-Nachrichten (CoA-Request) Abonnentensitzungen erstellen, ändern und löschen sowie Servicesitzungen aktivieren und deaktivieren. Sie können CLI-Befehle verwenden, um ein dynamisches Profil zu erstellen, das als Vorlage mit Benutzerattributen fungiert.

Ein Abonnentenservice basiert auf der Kombination aus einem definierten dynamischen Profil und Attributen, die durch Authentifizierung konfiguriert werden. Dynamische Profile können dynamische Firewall-Filter, Class-of-Service-Einstellungen (CoS) und Protokolleinstellungen (IGMP) umfassen, die Zugriffsbeschränkungen für Abonnenten und den Umfang eines Service definieren, der dem Abonnenten nach dem Abruf des Zugriffs gewährt wird.

Die Anwenderzugriffsfunktion bietet Service Providern und Abonnenten den folgenden Komfort und Flexibilität:

Service Provider können Services und Zugangstechnologie trennen und unrentable Pauschalabrechnungen beseitigen. Sie erhalten die Möglichkeit, services effizient zu entwerfen, zu verwalten und bereitzustellen, die die Abonnenten wünschen, und dann den Abonnenten basierend auf Verbindungszeit, Bandbreite und dem tatsächlich verwendeten Service in Rechnung zu stellen.
Abonnenten profitieren durch den Zugriff auf mehrere Services gleichzeitig. Abhängig von der Service Provider-Konfiguration können sich Die Abonnenten dynamisch mit verschiedenen Services verbinden und diese trennen, wann sie möchten und so lange sie wollen. Die Abonnenten können basierend auf dem Servicelevel und der Nutzung abgerechnet werden, anstatt unabhängig von der Nutzung einen festgelegten Preis in Rechnung zu stellen.

Weitere Informationen zur Lizenzierung für das Anwendermanagement finden Sie unter Übersicht über die Lizenzierung des Anwenderzugriffs und Konfigurieren des Routers zur strikten Durchsetzung der Anwenderskalierungslizenz. Allgemeine Informationen zum Lizenzmanagement finden Sie im Lizenzleitfaden von Juniper . Weitere Informationen finden Sie in den Produktdatenblättern oder wenden Sie sich an Ihr Juniper Account Team oder Juniper Partner.

Nutzungsbedingungen und Akronyms für Abonnenten

Tabelle 1 definiert die Begriffe und Akronyme, die in dieser Diskussion über den Abonnentenzugriff verwendet werden.

Tabelle 1: Abonnementzugangsbedingungen und Akronyme
Begriff	Definition
AAA-Methode für die Anwenderauthentifizierung	Die AAA-Methode, die Authentifizierung (z. B. RADIUS VSAs im Access-Accept-Paket) verwendet, um einen Abonnenten zu überprüfen und einen Dienst zu aktivieren, wenn sich der Anwender anmeldet.
Dynamisches Profil	Eine Vorlage, die eine Reihe von Merkmalen definiert, die mit Autorisierungsattributen kombiniert werden und statischen Schnittstellen dynamisch zugewiesen werden, um dynamischen Abonnentenzugriff und Services für Breitbandanwendungen bereitzustellen.
RADIUS CoA-Methode	Die Methode, die RADIUS CoA-Request-Nachrichten und VSAs zur Aktivierung eines Service für einen bereits angemeldeten Abonnenten verwendet.
Zugangstechnologie für Anwender	Die Technologie, die von einem Abonnenten für den Zugriff auf Services verwendet wird (z. B. DHCP).

AAA Service Framework und Anwenderverwaltung – Übersicht

Sie verwenden AAA Service Framework für Authentifizierung, Autorisierung, Buchhaltung, Adresszuweisung und dynamische Serviceanfrage, die vom BNG für den Netzwerkzugriff verwendet wird. Das Framework unterstützt Authentifizierung und Autorisierung über externe Server wie RADIUS. Das Framework unterstützt außerdem CoA für Buchhaltung und dynamische Anfragen sowie Trennungsvorgänge über externe Server und Adresszuweisung durch eine Kombination aus lokalen Adresszuweisungspools und RADIUS.

Das BNG interagiert mit externen Servern, um zu bestimmen, wie einzelne Abonnenten auf das Breitbandnetzwerk zugreifen. Der Router erhält außerdem Informationen von externen Servern für Folgendes:

Methoden für Authentifizierung und Abrechnung.
Erhebung und Verwendung von Buchhaltungsstatistiken
Wie dynamische Anfragen bearbeitet werden.

Class-of-Service und Anwenderverwaltung – Überblick

Class of Service (CoS) ermöglicht es Ihnen, den Datenverkehr in Klassen aufzuteilen und bei Überlastung verschiedene Durchsatzstufen und akzeptable Paketverluste zu bieten. CoS bietet auch die Möglichkeit, differenzierte Services zu verwenden, wenn die Bereitstellung des bestmöglichen Datenverkehrs nicht ausreicht. Sie können den Services-Router auch so konfigurieren, dass er hierarchische Planung für Abonnenten bereitstellt, indem Sie Warteschlangen dynamisch hinzufügen oder löschen, wenn Abonnenten Services benötigen.

Indem Sie ein dynamisches Profil verwenden, können Sie allen Abonnenten in Ihrem Netzwerk Standard-CoS-Parameter bereitstellen, wenn sie sich anmelden. Sie können beispielsweise ein dynamisches Zugriffsprofil konfigurieren, um anzugeben, dass alle Abonnenten einen grundlegenden Datenservice erhalten. Wenn Sie RADIUS-Variablen im dynamischen Profil verwenden, können Sie den Service für diese Abonnenten bei der Anmeldung aktivieren. Sie können auch Variablen verwenden, um ein Serviceprofil zu konfigurieren, das es Abonnenten ermöglicht, einen Service zu aktivieren oder ein Upgrade auf verschiedene Services über RADIUS-Meldungen zur Änderung der Autorisierung (CoA) nach der ersten Anmeldung zu ermöglichen.

Konfigurieren des Abonnentenzugriffs

Dieses Thema bietet einen umfassenden Überblick über einige der häufigen Konfigurationsaufgaben für den Anwenderzugriff und die Verwaltung. Detaillierte Informationen finden Sie in den folgenden Junos OS-Benutzerleitfäden:

So konfigurieren Sie den Abonnentenzugriff:

Konfigurieren Sie das Clientzugriffsprotokoll.
- Konfigurieren Sie den lokalen DHCP-Server.
  
  Siehe Grundlegendes zu den Unterschieden zwischen Legacy-DHCP und erweitertem DHCP.
- Dhcp-Relay konfigurieren.
  
  Siehe Erweiterte Übersicht über DHCP-Relay-Agent.
- Konfigurieren Sie PPP.
  
  Siehe Konfigurieren von Eigenschaften logischer Schnittstellen und Konfigurieren von PPPoE
Konfigurieren Sie Anwenderauthentifizierung, Abrechnung und Adressierung.
1. Radius konfigurieren:
  1. Geben Sie die RADIUS-Server an.
    
    Siehe Angeben von RADIUS-Authentifizierungs- und Abrechnungsservern für den Abonnentenzugriff.
  2. Geben Sie optionale Serverattribute an.
    
    Siehe Konfigurieren von Authentifizierungs- und Abrechnungsparametern für den Abonnentenzugriff.
  3. (Optional) Konfigurieren Sie die CoA-Funktion für den RADIUS-Server mit dynamischer Anforderung, um den Service nach der Anmeldung zu ändern oder zu deaktivieren.
    
    Siehe Konfigurieren von RADIUS-initiierter dynamischer Anforderungsunterstützung.
  4. Konfigurieren Sie das Abonnentenbuchhaltung (RADIUS-Accounting).
    
    Siehe Konfigurieren von Sitzungsbuchungen pro Anwender.
2. Adressierung konfigurieren:
  - Siehe Übersicht über die Konfiguration des Adresszuweisungspools.
Erstellen und verwalten Sie dynamische Profile für Zugriff und Service.
1. Konfigurieren Sie ein grundlegendes dynamisches Profil.
  
  Siehe Konfigurieren eines dynamischen Basic-Profils.
  
  Siehe Beispiel: Minimum PPPoE Dynamic Profile
2. Konfigurieren Sie ein dynamisches Profil für den Zugriff.
  
  Siehe Konfigurieren des dynamischen DHCP-Client-Zugriffs auf ein Multicast-Netzwerk.
3. Konfigurieren Sie ein dynamisches Profil für Services.
  
  Siehe Definieren verschiedener Serviceebenen für DHCP-Abonnenten.
4. Konfigurieren Sie einen Standard-Abonnentendienst.
  
  Siehe Konfigurieren eines Standard-Abonnentendienstes.
5. Konfigurieren Sie die statischen Abonnentenschnittstellen, auf die im dynamischen Profil verwiesen wird.
6. Geben Sie die Schnittstellennamen- und Einheitenvariablen an, die der Router verwendet, um die eingehende Schnittstelle eines Anwenders dynamisch zuzuordnen.
7. Hinzufügen, Ändern oder Löschen dynamischer Profilwerte zur Verwaltung des Abonnentenzugriffs und der Services.

Der Router aktiviert oder ändert den Abonnentendienst dynamisch mithilfe der RADIUS-Konfiguration.

Wenn sich der Anwender anmeldet, aktiviert der Router den Service dynamisch.

Siehe Dynamisches Servicemanagement mit RADIUS.
Wenn RADIUS CoA konfiguriert wurde, kann der Router den Service für einen Abonnenten dynamisch ändern.

Siehe RADIUS-initiierte Änderung der Autorisierung (CoA)-Übersicht.

Abbildung 1 zeigt die Konfigurationsreihenfolge, die Sie für den DHCP-basierten Abonnentenzugriff durchführen. Es zeigt auch die dynamische Konfiguration, die vom Router durchgeführt wird.

Abbildung 1: Workflow Subscriber Access Configuration Workflow

zur Konfiguration des Anwenderzugriffs

Anwenderaktivierung und Servicemanagement in einem Zugriffsnetzwerk

Die Abonnentenzugriffsfunktion nutzt dynamische Profile, um Abonnenten zu aktivieren und Services zu verwalten.

Ein dynamisches Profil ist eine Reihe von Merkmalen, die in einer Vorlage definiert sind und die der Router verwendet, um dynamischen Abonnentenzugriff und -services bereitzustellen.

Durch die Verwendung dynamischer Profile können Sie:

Definieren des Zugriffs für Ihr Netzwerk
Definieren verschiedener Servicelevel für Anwender
Vorabbereitstellungsservices, die Sie später aktivieren können

Mit AAA-basiertem Login (RADIUS-basierte Anmeldung oder RADIUS CoA) können Sie Folgendes erreichen:

Bieten Sie Abonnenten eine dynamische Aktivierung und Deaktivierung basierend auf der Serviceauswahl
Bieten Sie eine größere Flexibilität und effiziente Verwaltung für eine große Anzahl von Anwendern und Services

Komponenten eines dynamischen Profils
Router-vordefinierte Variablen, die von dynamischen Profilen verwendet werden

Komponenten eines dynamischen Profils

Sie können dynamische Profile verwenden, um verschiedene Routerkomponenten für den Abonnentenzugriff zu definieren.

Diese Komponenten umfassen die folgenden Komponenten:

Dynamische Firewall-Filter: Enthält Ein- und Ausgabefilter zur Durchsetzung von Regeln, die festlegen, ob Pakete, die eine Schnittstelle über den Router übertragen, zugelassen oder verweigert werden sollen. Um dynamische Firewall-Filter auf die Anwenderschnittstelle anzuwenden, konfigurieren Sie statische Ein- und Ausgabe-Firewall-Filter und verweisen auf diese Filter in dynamischen Profilen.
Dynamic Class of Service (CoS): Enthält CoS-Werte, die einen Service für einen Abonnenten definieren. Sie können beispielsweise die Shaping-Rate für den Datenverkehr in einem Videodienst konfigurieren, indem Sie auf CoS-Anweisungen in einem dynamischen Profil verweisen.
Dynamisches Signaling-Protokoll: Enthält eine dynamische IGMP-Konfiguration für Host-to-Router-Signalübertragung für IPv4 zur Unterstützung von IP-Multicasting.

Router-vordefinierte Variablen, die von dynamischen Profilen verwendet werden

Der Router enthält viele vordefinierte Variablen. Diese Variablen ermöglichen die dynamische Zuordnung bestimmter schnittstellenspezifischer Werte zu eingehenden Abonnentenanfragen. Sie müssen diese vordefinierten Variablen in bestimmten Anweisungen innerhalb eines dynamischen Profils angeben. Wenn ein Client auf den Router zutrifft, ersetzt die dynamische Profilkonfiguration die vordefinierte Variable durch die tatsächlichen Daten aus einem eingehenden Client-Datenpaket und einer Konfiguration (lokal und RADIUS).

AUF DIESER SEITE