Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Dynamisches Servicemanagement mit RADIUS

Verwendung von dynamischen RADIUS-Anforderungen für die Anwenderzugriffsverwaltung

Dynamische RADIUS-Anforderungen bieten eine effiziente Möglichkeit, Anwender-Sitzungen zentral zu verwalten. Die dynamische Unterstützung von RADIUS-Anforderungen des AAA Service Framework ermöglicht es RADIUS-Servern, benutzerbezogene Vorgänge zu initiieren, z. B. einen Beendigungsvorgang, indem sie unerwünschte Anforderungsnachrichten an den Router senden. Ohne die dynamische Anforderungsfunktion von RADIUS kann ein RADIUS-Benutzer nur vom Router getrennt werden, was in großen Netzwerken umständlich und zeitaufwändig sein kann.

In einer typischen Client-Server-RADIUS-Umgebung fungiert der Router als Client und initiiert Anfragen, die an den Remote-RADIUS-Server gesendet werden. Bei Verwendung von dynamischen RADIUS-Anforderungen sind die Rollen jedoch vertauscht. Während eines Trennungsvorgangs fungiert beispielsweise der entfernte RADIUS-Server als Client und initiiert die Anforderung (die Trennungsaktion) – der Router fungiert als Server in der Beziehung.

Sie erstellen ein Zugriffsprofil, um den Router für die Unterstützung dynamischer RADIUS-Anforderungen zu konfigurieren. Diese Konfiguration ermöglicht es dem Router, die folgenden Arten von Nachrichten von Remote-RADIUS-Servern zu empfangen und darauf zu reagieren:

  • Access-Accept-Nachrichten: Aktivieren Sie Services dynamisch basierend auf Attributen in RADIUS Access-Accept-Nachrichten, die empfangen werden, wenn sich ein Anwender anmeldet.

  • Change-of-Authorization (CoA)-Meldungen: Dynamische Änderung aktiver Sitzungen basierend auf Attributen in CoA-Nachrichten. CoA-Nachrichten können Serviceerstellungsanfragen, Löschanforderungen, RADIUS-Attribute und Juniper Networks VSAs enthalten.

  • Nachrichten trennen: Bestimmte Anwender-Sitzungen werden sofort beendet.

Standardmäßig überwacht der Router den UDP-Port 3799 auf CoA-Anforderungen von RADIUS-Servern. Sie können auch einen nicht standardmäßigen Port für RADIUS-Server konfigurieren. Sie müssen entweder den Standardport für alle RADIUS-Server verwenden oder denselben nicht standardmäßigen Port für alle RADIUS-Server konfigurieren. Diese Regel gilt sowohl für den globalen Zugriff als auch für das Zugriffsprofil.

Hinweis:

Jede andere Konfiguration führt zu einem Fehler bei der Commit-Überprüfung. Mehrere Portnummern, d. h. unterschiedliche Portnummern für verschiedene Server, werden nicht unterstützt.

Vorteile von dynamischen Radius-Anfragen

Ermöglicht eine vereinfachte zentrale Verwaltung von Anwender-Sitzungen durch Senden unerwünschter Änderungen an Anwender-Sitzungen, einschließlich Änderungen von Attributen, Service-Aktivierung, Service-Deaktivierung und -Beendigung.

Siehe auch

Konfigurieren des von RADIUS initiierten dynamischen Anforderungssupports

Der Router verwendet die Liste der angegebenen RADIUS-Authentifizierungsserver sowohl für die Authentifizierung als auch für dynamische Anforderungsvorgänge. Standardmäßig überwacht der Router den UDP-Port 3799 auf dynamische Anforderungen, die auch als CoA-Anforderungen (Change of Authorization) bezeichnet werden.

So konfigurieren Sie die Unterstützung für dynamische RADIUS-Anforderungen:

  • Geben Sie die IP-Adresse des RADIUS-Servers an.

So konfigurieren Sie den Router für die Unterstützung dynamischer Anforderungen von mehr als einem RADIUS-Server:

  • Geben Sie die IP-Adressen mehrerer RADIUS-Server an.

Wenn Sie dynamische Anforderungsports konfigurieren, müssen Sie einen der folgenden Schritte ausführen:

  • Verwenden Sie den Standardport für alle RADIUS-Server sowohl auf der globalen Zugriffsebene als auch in allen Zugriffsprofilen.

  • Konfigurieren Sie denselben nicht standardmäßigen Port für alle Server sowohl auf der globalen Zugriffsebene als auch in allen Zugriffsprofilen.

Hinweis:

Jede andere Konfiguration führt zu einem Fehler bei der Commit-Überprüfung. Mehrere Portnummern, d. h. unterschiedliche Portnummern für verschiedene Server, werden nicht unterstützt.

So geben Sie einen globalen dynamischen Anforderungsport an:

So geben Sie den dynamischen Anforderungsport für ein bestimmtes Zugriffsprofil an:

Stellen Sie sich die folgenden Szenarien vor:

  • In der folgenden Konfiguration wird der Standardport sowohl für einen globalen Server als auch für einen anderen Server im Zugriffsprofil verwendet. Dies ist eine gültige Konfiguration.

  • Die folgende Konfiguration gibt den nicht standardmäßigen Port 50201 sowohl für einen globalen Server als auch für einen anderen Server im Zugriffsprofil an. Dies ist eine gültige Konfiguration.

  • Die folgende Konfiguration gibt Port 50201 global für einen Server und Port 51133 für denselben Server im ap1-Zugriffsprofil an. Dies ist eine ungültige Konfiguration und die Commit-Prüfung schlägt fehl, da mehrere nicht standardmäßige Ports nicht unterstützt werden.

  • In der folgenden Konfiguration wird der Standardport 3799 für einen Server weltweit und Port 51133 für einen anderen Server weltweit verwendet. Dies ist eine ungültige Konfiguration und die Commit-Prüfung schlägt fehl, da Sie für alle Server entweder den Standardport oder denselben Nichtstandardport konfigurieren müssen.

Siehe auch

Übersicht über die von RADIUS initiierte Änderung der Autorisierung (Change of Authorization, CoA)

Das AAA Service Framework verwendet CoA-Nachrichten, um aktive Anwender-Sitzungen dynamisch zu ändern. Beispielsweise können RADIUS-Attribute in CoA-Nachrichten das Framework anweisen, einen Anwenderdienst zu erstellen, zu ändern oder zu beenden. Sie können CoA-Nachrichten auch verwenden, um Nutzungsschwellenwerte für aktuelle Anwender-Services festzulegen oder zu ändern.

CoA-Meldungen

Die Unterstützung für dynamische Anforderungen ermöglicht es dem Router, unerwünschte CoA-Nachrichten von externen RADIUS-Servern zu empfangen und zu verarbeiten. RADIUS-initiierte CoA-Nachrichten verwenden die folgenden Codes in Anforderungs- und Antwortnachrichten:

  • CoA-Antrag (43)

  • CoA-ACK (44)

  • CoA-NAK (45)

Voraussetzungen für die Änderung der Berechtigung

Um die Berechtigungsänderung für einen Benutzer abzuschließen, geben Sie Identifikationsattribute und Sitzungsattribute an. Die Identifikationsattribute identifizieren den Anwender. Sitzungsattribute geben den Vorgang (Aktivierung oder Deaktivierung) an, der für die Sitzung des Anwenders ausgeführt werden soll, und enthalten auch alle Clientattribute für die Sitzung (z. B. QoS-Attribute). Das AAA Service Framework verarbeitet die eigentliche Anfrage.

Tabelle 1 zeigt die Identifikationsmerkmale für CoA-Operationen.

Tabelle 1: Identifikationsmerkmale

Attribut

Beschreibung

Benutzername [RADIUS-Attribut 1]

Benutzername des Abonnenten.

Acct-Session-ID [RADIUS-Attribut 44]

Spezifische Sitzung für Anwender.
Hinweis:

Die Verwendung des Acct-Session-ID-Attributs zur Identifizierung der Anwender-Sitzung ist eindeutiger als die Verwendung des User-Name-Attributs. Wenn Sie den Benutzernamen als Kennung verwenden, wird der CoA-Vorgang auf die erste Sitzung angewendet, die mit dem angegebenen Benutzernamen angemeldet wurde. Da einem Anwender jedoch mehrere Sitzungen mit demselben Benutzernamen zugeordnet sein können, ist die erste Sitzung möglicherweise nicht die richtige Sitzung für den CoA-Vorgang.

Wenn Sie das Acct-Session-ID-Attribut verwenden, identifiziert es die spezifische Abonnentensitzung und vermeidet diesen potenziellen Anwender. Obwohl das Acct-Session-ID-Attribut zusätzlich zur Sitzungs-ID einen Schnittstellenbezeichner enthalten kann, wird bei vorliegendem Attribut nur die Sitzungs-ID für den Abgleich von Anwendern verwendet. Wenn der Anwender beispielsweise die Sitzungs-ID des Anwenders hat54785, wird der Anwender abgeglichen, wenn das Attribut Acct-Session-ID (Dezimalformat) oder jnpr demux0.1073759682:54785 (Beschreibungsformat) oder tatsächlich any value:54785 (Beschreibungsformat) ist 54785 .

Tabelle 2 zeigt die Sitzungsattribute für CoA-Vorgänge. Alle zusätzlichen Clientattribute, die Sie einbeziehen, hängen von Ihren speziellen Sitzungsanforderungen ab.

Tabelle 2: Sitzungsattribute

Attribut

Beschreibung

Activate-Service [Juniper Networks VSA 26-65]

Dienst für den Anwender zu aktivieren.

Deactivate-Service [Juniper Networks VSA 26-66]

Service für den Anwender zu deaktivieren.

Service-Volumen [Juniper Networks VSA 26-67]

Menge des Datenverkehrs in MB, der den Dienst nutzen kann; Der Service wird deaktiviert, wenn die Lautstärke überschritten wird.

Service-Timeout [Juniper Networks VSA 26-68]

Anzahl der Sekunden, in denen der Dienst aktiv sein kann; Der Dienst wird deaktiviert, wenn das Timeout abläuft.

Service-Volume-Gigawords [Juniper Networks VSA 26-179]

Datenverkehrsmenge in 4-GB-Einheiten, die den Dienst nutzen können; Der Service wird deaktiviert, wenn die Lautstärke überschritten wird.

Update-Service [Juniper Networks VSA 26-180]

Neue Werte für Service- und Zeitkontingente für bestehenden Service.

Nachrichtenaustausch

Der RADIUS-Server und das AAA Service Framework auf dem Router tauschen Nachrichten mithilfe von UDP aus. Die vom RADIUS-Server gesendete CoA-Request-Nachricht hat das gleiche Format wie das Disconnect-Request-Paket, das für einen Trennungsvorgang gesendet wird.

Die Antwort ist entweder eine CoA-ACK- oder eine CoA-NAK-Nachricht:

  • Wenn das AAA Service Framework die Autorisierung erfolgreich ändert, ist die Antwort ein RADIUS-formatiertes Paket mit einer CoA-ACK-Nachricht, und der Datenfilter wird auf die Sitzung angewendet.

  • Wenn AAA Service Framework nicht erfolgreich ist, die Anforderung falsch formatiert ist oder Attribute fehlen, ist die Antwort ein RADIUS-formatiertes Paket mit einer CoA-NAK-Nachricht.

Hinweis:

Das AAA Service Framework verarbeitet jeweils eine dynamische Anforderung pro Anwender. Wenn das Framework eine zweite dynamische Anforderung (entweder eine weitere CoA oder eine Disconnect-Request) empfängt, während eine vorherige Anfrage für denselben Anwender verarbeitet wird, antwortet das Framework mit einer CoA-NAK-Nachricht. Ab Junos OS Version 15.1R5 werden CoA-Request-Wiederholungsmeldungen ignoriert und es wird kein CoA-NAK als Antwort darauf gesendet.

CoA-Transaktionen in großen Mengen

Ab Junos OS Version 17.2R1 werden CoA-Massenanforderungen unterstützt, um die Verarbeitungseffizienz von RADIUS-basierten Anwender-Services auf der BNG zu verbessern. Die Bulk-CoA-Funktion ermöglicht die Akkumulation einer Reihe von CoA-Anfragen und committet sie alle zusammen automatisch in großen Mengen.

Alle Services in einer Massen-CoA-Anforderung müssen für dieselbe Anwender-Sitzung gelten.

CoA-Massentransaktionen sind besonders wertvoll für Unternehmensdienstleistungen. RADIUS-basierte Anwender-Services nutzen die Juniper Networks VSAs, Activate-Service (26-65) und Deactivate-Service (26-66). Die VSAs werden in RADIUS-Accept-Nachrichten während der Anmeldung oder in CoA-Anfragen nach der Anmeldung bereitgestellt.

Bei herkömmlichen, dynamischen, auf Serviceprofilen basierenden Services passen bis zu 12 Serviceaktivierungen problemlos in jede RADIUS-Nachricht. Die von Unternehmen verwendeten op-skriptbasierten Dienste haben jedoch in der Regel Skalierungsanforderungen, die die Kapazität beider Nachrichten übersteigen. Dies bedeutet, dass das Angeben und Aktivieren aller in einer bestimmten Anwender Sitzung benötigten Services die Verwendung einer Accept-Access-Nachricht und mehrerer CoA-Anforderungen erfordern kann.

Jede CoA-Anforderungsnachricht ist unabhängig von früheren und zukünftigen CoA-Anforderungen in derselben Anwender Sitzung. Alle Serviceaktivierungen und -deaktivierungen in einer Nachricht werden verarbeitet, bevor eine CoA-Antwort angeboten wird. Die CoA-Anforderung bietet eine Möglichkeit, eine Anwendersitzung inkrementell zu ändern, ohne dass sich dies auf vorhandene Services auswirkt, die bereits vorhanden sind.

Bei op-script-basierten Services werden die Servicesitzungen von den authd- und essmd-Prozessen gemeinsam erstellt, sodass der letzte Vorgang einen Commit initiiert, um alle resultierenden statischen geschäftslogischen Schnittstellen aus der CoA-Anforderung anzuwenden. Da die Commit-Zeit im Allgemeinen den größten Teil der Anwendung eines statischen Business Service ausmacht, ist es von Vorteil, so viele Serviceaktivierungen oder -deaktivierungen zu packen, wie in eine RADIUS-Nachricht passen, um das Commit-Fenster effizient zu nutzen. Bis zum Abschluss des Commitvorgangs kann die BNG keine nachfolgende CoA-Anforderung zum Anwenden zusätzlicher Geschäftsdienste für dieselbe Anwendersitzung akzeptieren.

Massen-CoA verbessert die Effizienz der Commit-Verarbeitung durch die Verwendung einer einzigen Commit-Aktion für alle Services in der Bulk-Transaktion. Die Massentransaktion hat den Effekt, dass eine Reihe von Anfragen als einzelne Metaanforderung verwaltet wird. Es verschiebt die Commit-Verarbeitung, bis die letzte CoA-Anforderung in der Massentransaktion empfangen wird.

Massen-CoA erfordert, dass jede einzelne Anforderung eine einzelne Instanz der Bulk-CoA-Transaction-Id VSA von Juniper Networks (26–194) enthält. Diese VSA identifiziert Anfragen als zur selben Massentransaktion gehörend. 26–194 muss in allen CoA-Anforderungen in der Massenserie denselben Wert haben. Jede nachfolgende Massentransaktion in der Sitzung muss eine andere Kennung haben. Beispielsweise können drei aufeinanderfolgende Massentransaktionen die IDs 1, 2 und 1 haben, aber nicht die aufeinanderfolgenden IDs 1, 1 und 2. In der Praxis wird der Bulk-CoA-Transaction-Id-Wert in der Regel für mehrere Massentransaktionen erhöht, dies ist jedoch nicht erforderlich. Ein ID-Wert, der in einer bestimmten Anwender-Sitzung verwendet wird, kann auch in verschiedenen Anwender-Sitzungen verwendet werden.

Jede CoA-Anforderung innerhalb einer Massentransaktion hat ihre eigene eindeutige Kennung, die von einer einzelnen Instanz des Bulk-CoA-Identifier VSA (26–195) in jeder CoA bereitgestellt wird. Eine zunehmende Reihe von Werten für die ID ist typisch, wird aber nicht erzwungen. Werte können innerhalb einer bestimmten Sitzung und zwischen Sitzungen wiederverwendet werden. Die letzte CoA-Anforderung in der Serie wird durch den Wert 0xFFFFFFFF für den Bulk-CoA-Identifier identifiziert.

Vorteile der von Radius initiierten Berechtigungsänderung

Ermöglicht das dynamische Pushen von Änderungen an Attributwerten in Anwender-Sitzungen sowie die dynamische Aktivierung und Deaktivierung von Anwender-Services.

Siehe auch

Übersicht über die von RADIUS initiierte Trennung

In diesem Abschnitt wird die Unterstützung des AAA Service Framework für dynamische Trennungsanforderungen beschrieben, die von RADIUS initiiert werden. Das AAA Service Framework verwendet Trennungsmeldungen, um aktive Anwender-Sitzungen dynamisch zu beenden.

Nachrichten trennen

Um die Trennung von RAS-Teilnehmern zentral zu steuern, empfängt und verarbeitet die dynamische Anforderungsfunktion von RADIUS auf dem Router unerwünschte Nachrichten von RADIUS-Servern.

Das Feature für dynamische Anforderungen verwendet das vorhandene Format von RADIUS-Trennungsanforderungs- und -antwortnachrichten. Die von RADIUS initiierte Trennung verwendet die folgenden Codes in ihren RADIUS-Anforderungs- und -Antwortnachrichten:

  • Trennungs-Anfrage (40)

  • Trenn-ACK (41)

  • Trenn-NAK (42)

Voraussetzungen für Disconnect

Damit das AAA Service Framework einen Benutzer trennen kann, muss die Disconnect-Request-Nachricht ein Attribut mit einer Buchhaltungssitzungs-ID enthalten. Die Disconnect-Request-Nachricht kann ein Acct-Session-Id-Attribut (44) oder ein Acct-Multi-Session-Id-Attribut (50) für die Sitzungs-ID oder beides enthalten. Wenn sowohl die Attribute Acct-Session-Id als auch Acct-Multi-Session-Id in der Anforderung vorhanden sind, verwendet der Router beide Attribute. Wenn das Attribut Benutzername (1) auch in der Anforderung vorhanden ist, werden der Benutzername und die Buchhaltungssitzungs-ID verwendet, um die Trennung durchzuführen. Das AAA Service Framework verarbeitet die eigentliche Anfrage.

Nachrichtenaustausch

Der RADIUS-Server und das AAA Service Framework tauschen Nachrichten mithilfe von UDP aus. Die vom RADIUS-Server gesendete Disconnect-Request-Nachricht hat das gleiche Format wie das CoA-Request-Paket, das für einen Autorisierungsänderungsvorgang gesendet wird.

Die Trennungsantwort ist entweder eine Disconnect-ACK- oder eine Disconnect-NAK-Nachricht:

  • Wenn das AAA Service Framework den Benutzer erfolgreich trennt, ist die Antwort ein RADIUS-formatiertes Paket mit einer Disconnect-ACK-Nachricht.

  • Wenn das AAA Service Framework die Verbindung zum Benutzer nicht trennen kann, die Anforderung fehlerhaft ist oder Attribute in der Anforderung fehlen, ist die Antwort ein RADIUS-formatiertes Paket mit einer Disconnect-NAK-Nachricht.

Hinweis:

Das AAA Service Framework verarbeitet jeweils eine dynamische Anforderung pro Anwender. Wenn das Framework eine zweite dynamische Anforderung empfängt, während eine vorherige Anforderung (entweder eine CoA oder eine andere Disconnect-Request) für denselben Anwender verarbeitet wird, antwortet das Framework mit einer Disconnect-NAK-Nachricht.

Vorteile von Radius-initiierten Trennungen

Ermöglicht einem RADIUS-Server das dynamische Beenden von Anwender-Sitzungen. Diese zentralisierte Funktion zur Verwaltung von Anwendern vereinfacht die Handhabung einer großen Anzahl von Abonnenten, da die Kündigung durch den Betreiber andernfalls Maßnahmen am Router erfordern würde.

Siehe auch

Nutzungsschwellenwerte für Anwenderservices

Ab Junos OS Version 14.1 können Sie mit der Anwender-Verwaltung Anwender-Services verwalten, indem Sie Nutzungsschwellenwerte festlegen, wenn ein Service dynamisch aktiviert wird oder wenn ein bestehender Service durch eine RADIUS-CoA-Aktion geändert wird. Der Dienst wird deaktiviert, wenn der angegebene Schwellenwert erreicht ist.

Die Abonnentenverwaltung unterstützt zwei Arten von Nutzungsschwellenwerten: Datenverkehrsvolumen und Zeit. Sie verwenden Juniper Networks VSAs, um die Nutzungsschwellenwerte festzulegen. Die VSAs werden in RADIUS Access-Accept-Nachrichten für dynamisch aktivierte Services oder in RADIUS-initiierten CoA-Request-Nachrichten für vorhandene Services übertragen. Der Volumenschwellenwert legt die maximale Menge des gesamten Eingabe- und Ausgabedatenverkehrs fest, der den Dienst verwenden kann, bevor der Dienst deaktiviert wird. Ein Zeitschwellenwert legt die maximale Zeitdauer fest, für die der Dienst aktiv sein kann. Tabelle 3 zeigt die VSAs, die für Volumen- und Zeitschwellenwerte verwendet werden.

Tabelle 3: Juniper Netzwerk-VSAs für Service-Schwellenwerte

Attributnummer

Attributname

Beschreibung

Wert

26-67

Service-Volumen

Menge des Eingabe- und Ausgabedatenverkehrs in MB, der den Dienst verwenden kann; Der Service wird deaktiviert, wenn die Lautstärke überschritten wird. Tagged VSA, das 8 Tags unterstützt (1-8). Der Router fragt den Datenverkehr in 10-Minuten-Intervallen ab.

  • Bereich = 0 bis 16777215 MB

  • 0 = keine Begrenzung

26-68

Service-Timeout

Anzahl der Sekunden, in denen der Dienst aktiv sein kann; Der Dienst wird deaktiviert, wenn das Timeout abläuft. Tagged VSA, das 8 Tags unterstützt (1-8).

  • Bereich = 0 bis 16777215 Sekunden

  • 0 = keine Zeitüberschreitung

26-179

Service-Volumen-Gigawörter

Menge des Ein- und Ausgabedatenverkehrs in 4-GB-Einheiten, die den Dienst nutzen können; Der Service wird deaktiviert, wenn die Lautstärke überschritten wird. Tagged VSA, das 8 Tags unterstützt (1-8). Der Router fragt den Datenverkehr in 10-Minuten-Intervallen ab.

  • Bereich = 0 bis 16777215 4-GB-Einheiten

  • 0 = keine Begrenzung

26-180

Update-Service

Neue Werte von Dienst- und Zeitkontingenten für einen vorhandenen Dienst. Tagged VSA, das 8 Tags unterstützt (1-8).

Schnur: service-name

Siehe auch

Anmeldungen von Anwendersitzungen und Serviceaktivierungsfehlern – Übersicht

Wenn ein Anwender versucht, sich anzumelden und von RADIUS authentifiziert wird, kann die Access-Accept-Nachricht Services im RADIUS Activate-Service VSA (26-65) enthalten, die für eine bestimmte Netzwerkfamilie aktiviert werden sollen. Je nach Konfiguration und Diensttyp kann das Versäumnis, einen Dienst zu aktivieren, dazu führen, dass die Anmeldung des Anwenders verweigert wird.

Sie können die service activation Anweisung auf der [edit access profile profile-name radius optionsHierarchieebene ] verwenden, um das Verhalten nach einem Aktivierungsfehler zu konfigurieren.

Verwenden Sie die folgenden Optionen, um dieses Verhalten für zwei Arten von Diensten separat zu konfigurieren:

  • dynamic-profile– Dieser Servicetyp ist im dynamischen Profil konfiguriert, das vom Zugriffsprofil des Anwenders angewendet wird.

  • extensible-service– Dieser Servicetyp ist in einem ESSM-Betriebsskript (Extensible Subscriber Services Manager) konfiguriert. Diese Services konfigurieren häufig neue Schnittstellen für Business-Abonnenten.

Verwenden Sie die folgenden Optionen, um festzulegen, ob eine erfolgreiche Aktivierung dieser Dienste für den Anmeldezugriff des Anwenders erforderlich oder optional ist:

  • required-at-login– Aktivierung ist erforderlich. Ein Fehler aus irgendeinem Grund führt dazu, dass die Network-Family-Activate-Request für diese Netzwerkfamilie fehlschlägt. Wenn für den Anwender noch keine andere Netzwerkfamilie aktiv ist, meldet die Clientanwendung den Anwender ab. Dies ist das Standardverhalten für den dynamic-profile Servicetyp.

  • optional-at-login– Die Aktivierung ist optional. Ein Fehler aufgrund von Konfigurationsfehlern verhindert nicht die Aktivierung der Adressfamilie. Er ermöglicht den Zugriff für Anwender. Ein Fehler aus einem anderen Grund führt dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Wenn für den Anwender noch keine andere Netzwerkfamilie aktiv ist, meldet die Clientanwendung den Anwender ab. Dies ist das Standardverhalten für den extensible-service Servicetyp.

Hinweis:

Fehler im Zusammenhang mit der Aktivierung Anwender sicheren Richtlinien (für die Spiegelung des Datenverkehrs auf ein Vermittlungsgerät) haben keine Auswirkungen auf den Zugriff durch Abonnenten, die der Richtlinie unterliegen.

Diese Konfiguration gilt nicht für Services, die mittels RADIUS CoA-Anfragen, JSRC Push-Profile-Request (PPR)-Nachrichten oder Sicherheitsrichtlinien für Anwender aktiviert werden.

Für den dynamic-profile Servicetyp umfassen Konfigurationsfehler Folgendes:

  • Analysefehler des dynamischen Profils und seiner Attribute.

  • Fehlende obligatorische Benutzervariablen.

  • Verweise auf dynamische Profile, die nicht vorhanden sind.

  • Semantische Prüffehler im dynamischen Profil.

Für den extensible-service Servicetyp umfassen Konfigurationsfehler Folgendes:

  • Parsing-Fehler des Vorgangsskripts.

  • Commit-Fehler.

Um einen Service zu aktivieren, sendet authd eine Aktivierungsanfrage für die entsprechenden Services an die Anwender Management Infrastructure (SMI). Wenn die Anforderung beispielsweise für die IPv4-Familie gilt, wird nur die Aktivierung der IPv4-Dienste angefordert. Die SMI sendet wiederum Anforderungen an die Server-Daemonen, die dem Dienst zugeordnet sind, z. B. cosd oder filterd. Die von den Daemons zurückgegebenen Ergebnisse bestimmen, ob die Serviceaktivierung erfolgreich oder fehlgeschlagen ist.

  • Wenn alle Server-Daemons einen Erfolg melden, meldet SMI den Erfolg an authd und der Dienst wird aktiviert.

  • Wenn ein Server-Daemon einen Konfigurationsfehler meldet und keine Daemons einen Nichtkonfigurationsfehler melden, meldet SMI einen Konfigurationsfehler an authd. Der Dienst ist nicht aktiviert, aber je nach Konfiguration kann die Aktivierung der Netzwerkfamilie erfolgreich sein.

  • Wenn ein Server-Daemon einen Nichtkonfigurationsfehler meldet, meldet SMI einen Fehler bei der Authentifizierung und der Dienst wird nicht aktiviert.

Aktivierungsprozess für Service- und Netzwerkfamilien

Wenn sich ein Anwender anmeldet, muss authd nach der Authentifizierung des Anwenders die entsprechende Adressfamilie aktivieren. Die Clientanwendung, z. B. DHCP oder PPP, kann die Aktivierung einer einzelnen Netzwerkfamilie, IPv4 oder IPv6, oder nacheinander die Aktivierung beider Familien anfordern. Die erfolgreiche Aktivierung der Netzwerkfamilie hängt mit der Aktivierung der zugehörigen Services zusammen. Die folgenden Schritte beschreiben den Prozess, wenn authd für die Verwendung von RADIUS für die Authentifizierung konfiguriert ist:

  1. Ein Anwender versucht, sich anzumelden.

    1. Die Clientanwendung fordert die Authentifizierung von authd an.

    2. authd sendet eine Access-Request-Nachricht an den RADIUS-Server.

    3. Der RADIUS-Server sendet eine Access-Accept-Nachricht an authd, die den RADIUS Activate-Service VSA (26-65) enthält.

    4. authd speichert die Serviceaktivierungsattribute im Cache und sendet eine Erteilung an die Clientanwendung.

  2. Die Clientanwendung sendet die erste Network-Family-Activate-Anforderung für die IPv4- oder IPv6-Adressfamilie. Diese Anforderung wird manchmal als Clientaktivierungsanforderung bezeichnet.

  3. authd überprüft die zwischengespeicherten Serviceaktivierungsattribute und sendet eine Aktivierungsanforderung für die entsprechenden Services an die Anwender Management Infrastructure (SMI). Wenn die Anforderung beispielsweise für die IPv4-Familie gilt, wird nur die Aktivierung der IPv4-Dienste angefordert. Die SMI sendet wiederum Anforderungen an die Server-Daemonen, die dem Dienst zugeordnet sind, z. B. cosd oder filterd.

  4. Was authd als nächstes tut, hängt davon ab, ob die Serviceaktivierungsanforderung fehlschlägt und ob der Service optional oder erforderlich ist.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst optional ist:

      1. authd löscht die zwischengespeicherten Serviceaktivierungsattribute für den Service.

        Hinweis:

        Dieser Löschvorgang ermöglicht es Ihnen, die Serviceanforderung mithilfe einer CoA-Anforderung (RADIUS Change of Authorization) oder eines CLI Befehls erneut auszugeben, ohne dass der fehlgeschlagene Dienst eingreift.

      2. authd sendet eine Bestätigung als Antwort auf die Familienaktivierungsanfrage, und die Familie wird aktiviert.

      3. Die Anmeldung des Anwenders wird fortgesetzt.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst benötigt wird:

      1. authd löscht die zwischengespeicherten Serviceaktivierungsattribute für den Service.

        Hinweis:

        Dieser Löschvorgang ermöglicht es Ihnen, die Serviceanforderung mithilfe einer CoA-Anforderung (RADIUS Change of Authorization) oder eines CLI Befehls erneut auszugeben, ohne dass der fehlgeschlagene Dienst eingreift.

      2. authd sendet eine NACK als Antwort auf die Familienaktivierung, wodurch die Clientanwendung die Anmeldung des Anwenders beendet.

    • Wenn die Dienstaktivierung aufgrund eines Nichtkonfigurationsfehlers fehlschlägt und der Dienst entweder optional oder erforderlich ist:

      1. authd löscht die zwischengespeicherten Serviceaktivierungsattribute für den Service.

        Hinweis:

        Dieser Löschvorgang ermöglicht es Ihnen, die Serviceanforderung mithilfe einer CoA-Anforderung (RADIUS Change of Authorization) oder eines CLI Befehls erneut auszugeben, ohne dass der fehlgeschlagene Dienst eingreift.

      2. authd sendet eine NACK als Antwort auf die Familienaktivierung, wodurch die Clientanwendung die Anmeldung des Anwenders beendet.

    • Wenn die Serviceaktivierung erfolgreich ist:

      1. authd aktiviert den Dienst.

      2. authd sendet eine Bestätigung als Antwort auf die Familienaktivierungsanfrage, und die Familie wird aktiviert.

      3. Die Anmeldung des Anwenders wird fortgesetzt.

  5. Sofern die Dienstaktivierung nicht erforderlich war und fehlgeschlagen ist, wodurch die Familienaktivierung in der ersten Anforderung fehlschlägt, sendet die Clientanwendung möglicherweise eine zweite Anforderung, jedoch nur für die Familie, die beim ersten Mal nicht angefordert wurde. Wenn die erste Anforderung für IPv4 war, kann die zweite Anforderung nur für IPv6 gelten. Wenn die erste Anforderung für IPv6 war, kann die zweite Anforderung nur für IPv4 gelten.

  6. authd überprüft die zwischengespeicherten Serviceaktivierungsattribute und fordert die Aktivierung für die Services an, die der angeforderten Adressfamilie zugeordnet sind.

  7. Was authd als nächstes tut, hängt davon ab, ob die Serviceaktivierungsanforderung fehlschlägt und ob der Service optional oder erforderlich ist.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst optional ist:

      1. authd löscht die zwischengespeicherten Serviceaktivierungsattribute für den Service.

        Hinweis:

        Dieser Löschvorgang ermöglicht es Ihnen, die Serviceanforderung mithilfe einer CoA-Anforderung (RADIUS Change of Authorization) oder eines CLI Befehls erneut auszugeben, ohne dass der fehlgeschlagene Dienst eingreift.

      2. authd sendet eine Bestätigung als Antwort auf die Familienaktivierungsanfrage, und die Familie wird aktiviert.

      3. Die Anmeldung des Anwenders wird fortgesetzt.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst benötigt wird:

      1. authd löscht die zwischengespeicherten Serviceaktivierungsattribute für den Service.

        Hinweis:

        Dieser Löschvorgang ermöglicht es Ihnen, die Serviceanforderung mithilfe einer CoA-Anforderung (RADIUS Change of Authorization) oder eines CLI Befehls erneut auszugeben, ohne dass der fehlgeschlagene Dienst eingreift.

      2. authd sendet einen NACK als Antwort auf die Familienaktivierung. Da es sich um die zweite Familienaktivierungsanforderung handelt, bestimmt das Ergebnis der ersten Familienaktivierung, was als nächstes passiert:

        • Wenn die erste Familienaktivierung erfolgreich war und sich dieser Anwender angemeldet hat, wird die Anmeldung des aktuellen Anwenders nicht gestoppt, wenn die zweite Anforderung fehlschlägt. Dieses Ereignis bewirkt auch nicht, dass authd den vorherigen (ersten Anforderungs-) Anwender abmeldet.

        • Wenn die erste Familienaktivierung nicht erfolgreich war, führt ein Fehler der zweiten Anforderung dazu, dass die Clientanwendung die aktuelle Anmeldung des Anwenders beendet.

    • Wenn die Dienstaktivierung aufgrund eines Nichtkonfigurationsfehlers fehlschlägt und der Dienst entweder optional oder erforderlich ist:

      1. authd löscht die zwischengespeicherten Serviceaktivierungsattribute für den Service.

        Hinweis:

        Dieser Löschvorgang ermöglicht es Ihnen, die Serviceanforderung mithilfe einer CoA-Anforderung (RADIUS Change of Authorization) oder eines CLI Befehls erneut auszugeben, ohne dass der fehlgeschlagene Dienst eingreift.

      2. authd sendet eine NACK als Antwort auf die Familienaktivierung, wodurch die Clientanwendung die Anmeldung des Anwenders beendet.

    • Wenn die Serviceaktivierung erfolgreich ist:

      1. authd aktiviert den Dienst.

      2. authd sendet eine Bestätigung als Antwort auf die Familienaktivierungsanfrage, und die Familie wird aktiviert.

      3. Die Anmeldung des Anwenders wird fortgesetzt.

Konfigurieren, wie sich Dienstaktivierungsfehler auf die Anmeldung beim Abonnenten auswirken

Sie können konfigurieren, wie sich ein Aktivierungsfehler von optionalen Services während der Anmeldung des Anwenders auf das Ergebnis der Anmeldung auswirkt. Diese optionalen Services sind diejenigen, auf die der RADIUS Activate-Service VSA (26-65) verweist, der in der RADIUS Access-Accept-Nachricht während der ersten Anmeldung des Anwenders angezeigt wird.

Sie können diese beiden Serviceaktivierungstypen als erforderlich oder optional konfigurieren.

  • dynamic-profile– Diese Services sind in dem dynamischen Profil konfiguriert, das vom Anwender-Zugriffsprofil angewendet wird, um Anwender-Zugriff und Services für Breitbandanwendungen bereitzustellen. Standardmäßig ist die Dienstaktivierung für eine erfolgreiche Anmeldung erforderlich. Ein Konfigurationsfehler während der Serviceaktivierung verhindert die Aktivierung der Netzwerkfamilie und führt dazu, dass die Anmeldung des Anwenders fehlschlägt.

  • extensible-service– Diese Services werden von Betriebsskripts angewendet, die vom Extensible Subscriber Services Manager (ESSM)-Daemon (ESSM) für Business-Anwendern verarbeitet werden. Standardmäßig ist die Dienstaktivierung für eine erfolgreiche Anmeldung des Anwenders optional.

Hinweis:

Die service-activation Anweisungskonfiguration wirkt sich nur auf Aktivierungsfehler aufgrund von Konfigurationsfehlern im dynamischen Profil oder im ESSM-Vorgangsskript aus. Fehler aufgrund von Nichtkonfigurationsfehlern führen immer zur Verweigerung des Zugriffs für den Anwender und zum Abbruch des Anmeldeversuchs.

Führen Sie einen der folgenden Schritte aus, um das Verhalten für dynamische Profildienste zu konfigurieren:

  • Geben Sie an, dass die Dienstaktivierung optional ist.

  • Geben Sie an, dass eine Dienstaktivierung erforderlich ist (Standardeinstellung).

Führen Sie einen der folgenden Schritte aus, um das Verhalten für ESSM-Services zu konfigurieren:

  • Geben Sie an, dass eine Dienstaktivierung erforderlich ist.

  • Geben Sie an, dass die Dienstaktivierung optional ist (Standardeinstellung).

Siehe auch

Fehlerursachencodes (RADIUS-Attribut 101) für dynamische Anforderungen

Wenn ein von RADIUS initiierter CoA- oder Trennungsvorgang nicht erfolgreich ist, fügt der Router ein Fehlerursachenattribut (RADIUS-Attribut 101) in die CoA-NAK- oder Disconnect-NAK-Nachricht ein, die er an den RADIUS-Server zurücksendet. Wenn der erkannte Fehler keinem der unterstützten Fehlerursachenattribute zugeordnet ist, sendet der Router die Nachricht ohne Fehlerursachenattribut. In Tabelle 4 werden die Fehlerursachencodes beschrieben.

Tabelle 4: Fehlerursachencodes (RADIUS-Attribut 101)

Kodex

Wert

Beschreibung

401

Nicht unterstütztes Attribut

Die Anforderung enthält ein Attribut, das nicht unterstützt wird (z. B. ein Attribut eines Drittanbieters).

402

Fehlendes Attribut

Ein kritisches Attribut (z. B. das Sitzungsidentifikationsattribut) fehlt in einer Anforderung.

404

Ungültige Anfrage

Ein anderer Aspekt der Anforderung ist ungültig, z. B. wenn ein oder mehrere Attribute nicht richtig formatiert sind.

503

Sitzungskontext nicht gefunden

Der in der Anforderung angegebene Sitzungskontext ist auf dem Router nicht vorhanden.

504

Sitzungskontext nicht entfernbar

Der durch Attribute in der Anforderung identifizierte Anwender gehört einer nicht unterstützten Komponente.

506

Ressourcen nicht verfügbar

Einer Anforderung konnte aufgrund fehlender verfügbarer NAS-Ressourcen (z. B. Speicher) nicht entsprochen werden.

Siehe auch

Überprüfen der dynamischen RADIUS-Anforderungsstatistik

Zweck

Zeigen Sie dynamische RADIUS-Anforderungsstatistiken und -informationen an.

Aktion

  • So zeigen Sie dynamische RADIUS-Anforderungsstatistiken an:

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
17.2R1
Ab Junos OS Version 17.2R1 werden CoA-Massenanforderungen unterstützt, um die Verarbeitungseffizienz von RADIUS-basierten Anwender-Services auf der BNG zu verbessern.
15,1R5
Ab Junos OS Version 15.1R5 werden CoA-Request-Wiederholungsmeldungen ignoriert und es wird kein CoA-NAK als Antwort darauf gesendet.
14.1
Ab Junos OS Version 14.1 können Sie mit der Anwender-Verwaltung Anwender-Services verwalten, indem Sie Nutzungsschwellenwerte festlegen, wenn ein Service dynamisch aktiviert wird oder wenn ein bestehender Service durch eine RADIUS-CoA-Aktion geändert wird.