Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Dynamisches Servicemanagement mit RADIUS

Verwenden von dynamischen RADIUS-Anforderungen für die Verwaltung des Teilnehmerzugriffs

Dynamische RADIUS-Anforderungen bieten eine effiziente Möglichkeit, Abonnentensitzungen zentral zu verwalten. Die Unterstützung dynamischer RADIUS-Anforderungen des AAA Service Framework ermöglicht es RADIUS-Servern, benutzerbezogene Vorgänge zu initiieren, z. B. einen Beendigungsvorgang, indem sie unaufgeforderte Anforderungsnachrichten an den Router senden. Ohne die dynamische RADIUS-Anforderungsfunktion besteht die einzige Möglichkeit, einen RADIUS-Benutzer vom Router zu trennen, was in großen Netzwerken umständlich und zeitaufwändig sein kann.

In einer typischen Client-Server-RADIUS-Umgebung fungiert der Router als Client und initiiert Anforderungen, die an den Remote-RADIUS-Server gesendet werden. Bei der Verwendung dynamischer RADIUS-Anforderungen sind die Rollen jedoch vertauscht. Während eines Trennungsvorgangs fungiert beispielsweise der Remote-RADIUS-Server als Client und initiiert die Anforderung (die Trennungsaktion) – der Router fungiert als Server in der Beziehung.

Sie erstellen ein Zugriffsprofil, um den Router für die Unterstützung dynamischer RADIUS-Anforderungen zu konfigurieren. Diese Konfiguration ermöglicht es dem Router, die folgenden Arten von Nachrichten von Remote-RADIUS-Servern zu empfangen und darauf zu reagieren:

  • Access-Accept-Nachrichten: Aktivieren Sie Services dynamisch basierend auf Attributen in RADIUS-Access-Accept-Nachrichten, die empfangen werden, wenn sich ein Abonnent anmeldet.

  • CoA-Nachrichten (Change-of-Authorization): Dynamische Änderung aktiver Sitzungen basierend auf Attributen in CoA-Nachrichten. CoA-Nachrichten können Serviceerstellungsanforderungen, Löschanforderungen, RADIUS-Attribute und Juniper Networks VSAs enthalten.

  • Trennen von Nachrichten: Beenden Sie bestimmte Abonnentensitzungen sofort.

Standardmäßig überwacht der Router den UDP-Port 3799 für CoA-Anforderungen von RADIUS-Servern. Sie können auch einen nicht standardmäßigen Port für RADIUS-Server konfigurieren. Sie müssen entweder den Standardport für alle RADIUS-Server verwenden oder denselben nicht standardmäßigen Port für alle RADIUS-Server konfigurieren. Diese Regel gilt sowohl auf der Ebene des globalen Zugriffs als auch auf der Ebene des Zugriffsprofils.

Anmerkung:

Jede andere Konfiguration führt zu einem Fehler bei der Commit-Prüfung. Mehrere Portnummern, d. h. unterschiedliche Portnummern für verschiedene Server, werden nicht unterstützt.

Vorteile von Radius Dynamic Requests

Ermöglicht eine simplifizierte zentrale Verwaltung von Abonnentensitzungen durch das Senden unerwünschter Änderungen an Abonnentensitzungen, einschließlich Änderungen an Attributen, Dienstaktivierung, -deaktivierung und -beendigung.

Siehe auch

Konfigurieren der von RADIUS initiierten Unterstützung dynamischer Anfragen

Der Router verwendet die Liste der angegebenen RADIUS-Authentifizierungsserver sowohl für Authentifizierungsvorgänge als auch für dynamische Anforderungsvorgänge. Standardmäßig überwacht der Router den UDP-Port 3799 auf dynamische Anfragen, die auch als CoA-Anfragen (Change of Authorization) bezeichnet werden.

So konfigurieren Sie die Unterstützung für dynamische RADIUS-Anfragen:

  • Geben Sie die IP-Adresse des RADIUS-Servers an.

So konfigurieren Sie den Router so, dass er dynamische Anforderungen von mehr als einem RADIUS-Server unterstützt:

  • Geben Sie die IP-Adressen mehrerer RADIUS-Server an.

Wenn Sie dynamische Anforderungsports konfigurieren, müssen Sie einen der folgenden Schritte ausführen:

  • Verwenden Sie den Standardport für alle RADIUS-Server sowohl auf der globalen Zugriffsebene als auch in allen Zugriffsprofilen.

  • Konfigurieren Sie denselben nicht standardmäßigen Port für alle Server sowohl auf der globalen Zugriffsebene als auch in allen Zugriffsprofilen.

Anmerkung:

Jede andere Konfiguration führt zu einem Fehler bei der Commit-Prüfung. Mehrere Portnummern, d. h. unterschiedliche Portnummern für verschiedene Server, werden nicht unterstützt.

So geben Sie einen globalen dynamischen Anforderungsport an:

So geben Sie den dynamischen Anforderungsport für ein bestimmtes Zugriffsprofil an:

Stellen Sie sich die folgenden Szenarien vor:

  • In der folgenden Konfiguration wird der Standardport sowohl für einen Server global als auch für einen anderen Server im Zugriffsprofil verwendet. Dies ist eine gültige Konfiguration.

  • Die folgende Konfiguration gibt den nicht standardmäßigen Port 50201 sowohl für einen Server global als auch für einen anderen Server im Zugriffsprofil an. Dies ist eine gültige Konfiguration.

  • In der folgenden Konfiguration wird Port 50201 global für einen Server und Port 51133 für denselben Server im Zugriffsprofil ap1 angegeben. Dies ist eine ungültige Konfiguration, und die Commit-Prüfung schlägt fehl, da mehrere nicht standardmäßige Ports nicht unterstützt werden.

  • In der folgenden Konfiguration wird der Standardport 3799 für einen Server weltweit und Port 51133 für einen anderen Server weltweit verwendet. Dies ist eine ungültige Konfiguration, und die Commit-Prüfung schlägt fehl, da Sie für alle Server entweder den Standardport oder denselben nicht standardmäßigen Port konfigurieren müssen.

Siehe auch

RADIUS-initiierte Änderung der Autorisierung (CoA) – Übersicht

Das AAA Service Framework verwendet CoA-Nachrichten, um aktive Abonnentensitzungen dynamisch zu ändern. Beispielsweise können RADIUS-Attribute in CoA-Nachrichten das Framework anweisen, einen Abonnentendienst zu erstellen, zu ändern oder zu beenden. Sie können auch CoA-Nachrichten verwenden, um Nutzungsschwellenwerte für aktuelle Abonnentendienste festzulegen oder zu ändern.

CoA-Meldungen

Dank der Unterstützung dynamischer Anfragen kann der Router unerwünschte CoA-Nachrichten von externen RADIUS-Servern empfangen und verarbeiten. RADIUS-initiierte CoA-Nachrichten verwenden die folgenden Codes in Anforderungs- und Antwortnachrichten:

  • CoA-Antrag (43)

  • CoA-ACK (44)

  • CoA-NAK (45)

Voraussetzungen für die Änderung der Zulassung

Um die Änderung der Berechtigung für einen Benutzer abzuschließen, geben Sie Identifikationsattribute und Sitzungsattribute an. Die Identifikationsattribute identifizieren den Abonnenten. Sitzungsattribute geben den Vorgang (Aktivierung oder Deaktivierung) an, der für die Sitzung des Abonnenten ausgeführt werden soll, und enthalten auch alle Clientattribute für die Sitzung (z. B. QoS-Attribute). Das AAA Service Framework verarbeitet die eigentliche Anforderung.

Tabelle 1 zeigt die Identifikationsattribute für CoA-Operationen.

Tabelle 1: Identifikationsattribute

Attribut

Beschreibung

Benutzername [RADIUS-Attribut 1]

Benutzername des Abonnenten.

Acct-Session-ID [RADIUS-Attribut 44]

Spezifische Abonnentensitzung.
Anmerkung:

Die Verwendung des Attributs "Acct-Session-ID" zum Identifizieren der Abonnentensitzung ist expliziter als die Verwendung des Attributs "User-Name". Wenn Sie den Benutzernamen als Bezeichner verwenden, wird der CoA-Vorgang auf die erste Sitzung angewendet, die mit dem angegebenen Benutzernamen angemeldet wurde. Da ein Abonnent jedoch möglicherweise über mehrere Sitzungen verfügt, die demselben Benutzernamen zugeordnet sind, ist die erste Sitzung möglicherweise nicht die richtige Sitzung für den CoA-Vorgang.

Wenn Sie das Attribut "Acct-Session-ID" verwenden, identifiziert es die spezifische Abonnentensitzung, wodurch dieser potenzielle Fehler vermieden wird. Obwohl das Attribut "Acct-Session-ID" zusätzlich zur Sitzungs-ID einen Schnittstellenbezeichner enthalten kann, wird nur die Sitzungs-ID für den Abonnentenabgleich verwendet, wenn das Attribut im Beschreibungsformat vorliegt. Wenn der Abonnent z. B. eine Abonnentensitzungs-ID von 54785hat, wird der Abonnent abgeglichen, wenn das Attribut "Acct-Session-ID" (Dezimalformat) oder jnpr demux0.1073759682:54785 (Beschreibungsformat) oder tatsächlich any value:54785 (Beschreibungsformat) ist 54785 .

Tabelle 2 zeigt die Sitzungsattribute für CoA-Vorgänge. Alle zusätzlichen Clientattribute, die Sie einschließen, hängen von Ihren jeweiligen Sitzungsanforderungen ab.

Tabelle 2: Sitzungsattribute

Attribut

Beschreibung

Service aktivieren [Juniper Networks VSA 26-65]

Für den Abonnenten zu aktivierender Dienst.

Deactivate-Service [Juniper Networks VSA 26-66]

Dienst, der für den Abonnenten deaktiviert werden soll.

Service-Volume [Juniper Networks VSA 26-67]

Menge des Datenverkehrs in MB, der den Dienst nutzen kann; Der Dienst wird deaktiviert, wenn das Volumen überschritten wird.

Service-Timeout [Juniper Networks VSA 26-68]

Anzahl der Sekunden, die der Dienst aktiv sein kann; Der Dienst wird deaktiviert, wenn die Zeitüberschreitung abläuft.

Service-Volumen-Gigawords [Juniper Networks VSA 26-179]

Menge des Datenverkehrs in 4-GB-Einheiten, die den Dienst nutzen können; Der Dienst wird deaktiviert, wenn das Volumen überschritten wird.

Update-Service [Juniper Networks VSA 26-180]

Neue Servicewerte und Zeitkontingente für bestehenden Service.

Nachrichtenaustausch

Der RADIUS-Server und das AAA Service Framework auf dem Router tauschen Nachrichten über UDP aus. Die vom RADIUS-Server gesendete CoA-Request-Nachricht hat das gleiche Format wie das Disconnect-Request-Paket, das für einen Trennungsvorgang gesendet wird.

Die Antwort ist entweder eine CoA-ACK- oder eine CoA-NAC-Nachricht:

  • Wenn das AAA Service Framework die Autorisierung erfolgreich ändert, ist die Antwort ein Paket im RADIUS-Format mit einer CoA-ACK-Nachricht, und der Datenfilter wird auf die Sitzung angewendet.

  • Wenn AAA Service Framework nicht erfolgreich ist, die Anforderung falsch formatiert ist oder Attribute fehlen, ist die Antwort ein Paket im RADIUS-Format mit einer CoA-NAC-Nachricht.

Anmerkung:

Das AAA Service Framework verarbeitet jeweils eine dynamische Anforderung pro Abonnent. Wenn das Framework eine zweite dynamische Anforderung (entweder eine andere CoA oder eine Disconnect-Anforderung) empfängt, während es eine vorherige Anforderung für denselben Abonnenten verarbeitet, antwortet das Framework mit einer CoA-NAK-Nachricht. Ab Junos OS Version 15.1R5 werden Wiederholungsnachrichten vom Typ "CoA-Anforderung" ignoriert und es wird kein CoA-NAK als Antwort darauf gesendet.

Massen-CoA-Transaktionen

Ab Junos OS Version 17.2R1 werden CoA-Massenanforderungen unterstützt, um die Verarbeitungseffizienz von RADIUS-basierten Abonnentenservices auf dem BNG zu verbessern. Die Bulk-CoA-Funktion ermöglicht die Anhäufung einer Reihe von CoA-Anfragen und führt automatisch einen Commit für alle zusammen in großen Mengen durch.

Alle Dienste in einer CoA-Massenanforderung müssen für dieselbe Abonnentensitzung gelten.

Massen-CoA-Transaktionen sind besonders wertvoll für Unternehmensdienstleistungen. RADIUS-basierte Abonnentenservices verwenden die Juniper Networks VSAs, Activate-Service (26-65) und Deactivate-Service (26-66). Die VSAs werden in RADIUS-Accept-Nachrichten während der Anmeldung oder in CoA-Anfragen nach der Anmeldung bereitgestellt.

Bei herkömmlichen, dynamischen, auf Dienstprofilen basierenden Services passen bis zu 12 Serviceaktivierungen problemlos in eine der beiden RADIUS-Nachrichten. Die von Unternehmen verwendeten Op-Script-basierten Dienste haben jedoch in der Regel Skalierungsanforderungen, die die Kapazität der beiden Nachrichten übersteigen. Dies bedeutet, dass die Angabe und Aktivierung aller Dienste, die in einer bestimmten Abonnentensitzung benötigt werden, möglicherweise die Verwendung einer Accept-Access-Nachricht und mehrerer CoA-Anforderungen erfordert.

Jede CoA-Anforderungsnachricht ist unabhängig von vorherigen und zukünftigen CoA-Anforderungen in derselben Abonnentensitzung. Alle Service-Aktivierungen und -Deaktivierungen in einer Nachricht werden verarbeitet, bevor eine CoA-Antwort angeboten wird. Die CoA-Anforderung bietet eine Möglichkeit, eine Abonnentensitzung inkrementell zu ändern, ohne vorhandene Dienste zu beeinträchtigen, die bereits vorhanden sind.

Bei op-script-basierten Services werden die Servicesitzungen gemeinsam von den Prozessen authd und essmd erstellt, sodass der letzte Vorgang einen Commit initiiert, um alle resultierenden statischen logischen Geschäftsschnittstellen aus der CoA-Anforderung anzuwenden. Da die Commit-Zeit im Allgemeinen den größten Teil der Anwendung eines statischen Geschäftsdienstes ausmacht, ist es von Vorteil, so viele Dienstaktivierungen oder -deaktivierungen zu packen, wie in eine RADIUS-Nachricht passen, um das Commit-Fenster effizient zu nutzen. Solange der Commitvorgang nicht abgeschlossen ist, kann der BNG eine nachfolgende CoA-Anforderung zum Anwenden zusätzlicher Business-Services für dieselbe Abonnentensitzung nicht akzeptieren.

Bulk CoA verbessert die Effizienz der Commit-Verarbeitung durch die Verwendung einer einzigen Commit-Aktion für alle Services in der Massentransaktion. Die Massentransaktion hat den Effekt, dass eine Reihe von Anforderungen als einzelne Metaanforderung verwaltet wird. Die Commit-Verarbeitung wird verschoben, bis die endgültige CoA-Anforderung in der Massentransaktion empfangen wird.

Bulk-CoA erfordert, dass jede einzelne Anforderung eine einzige Instanz der Juniper Networks Bulk-CoA-Transaction-Id VSA (26–194) enthält. Dieser VSA identifiziert Anforderungen, die zur gleichen Massentransaktion gehören. 26–194 muss in allen CoA-Anforderungen in der Massenreihe den gleichen Wert haben. Jede aufeinanderfolgende Massentransaktion in der Sitzung muss einen anderen Bezeichner haben. Beispielsweise können drei aufeinanderfolgende Massentransaktionen die IDs 1, 2 und 1 haben, aber nicht die aufeinanderfolgenden IDs 1, 1 und 2. In der Praxis wird der Wert Bulk-CoA-Transaction-Id in der Regel für mehrere Massentransaktionen inkrementiert, dies ist jedoch nicht erforderlich. Ein ID-Wert, der in einer bestimmten Abonnentensitzung verwendet wird, kann auch in verschiedenen Abonnentensitzungen verwendet werden.

Jede CoA-Anforderung innerhalb einer Massentransaktion hat ihre eigene eindeutige Kennung, die von einer einzelnen Instanz des Bulk-CoA-Identifier VSA (26–195) in jedem CoA bereitgestellt wird. Eine zunehmende Reihe von Werten für die ID ist typisch, wird aber nicht erzwungen. Werte können innerhalb einer bestimmten Sitzung und zwischen Sitzungen wiederverwendet werden. Die letzte CoA-Anforderung in der Serie wird durch den Wert 0xFFFFFFFF für den Bulk-CoA-Identifier identifiziert.

Vorteile der Radius-initiierten Autorisierungsänderung

Ermöglicht das dynamische Pushen von Änderungen an Attributwerten an Abonnentensitzungen sowie die dynamische Aktivierung und Deaktivierung von Abonnentendiensten.

Siehe auch

RADIUS-initiierte Trennung – Übersicht

In diesem Abschnitt wird die Unterstützung des AAA-Service-Frameworks für RADIUS-initiierte dynamische Anforderungen zum Trennen von Verbindungen beschrieben. Das AAA Service Framework verwendet Trennungsmeldungen, um aktive Abonnentensitzungen dynamisch zu beenden.

Trennen von Meldungen

Um die Trennung von RAS-Abonnenten zentral zu steuern, empfängt und verarbeitet die dynamische RADIUS-Anforderungsfunktion auf dem Router unerwünschte Nachrichten von RADIUS-Servern.

Die dynamische Anforderungsfunktion verwendet das vorhandene Format von RADIUS-Trennungsanforderungs- und -antwortnachrichten. Die von RADIUS initiierte Trennung verwendet die folgenden Codes in den RADIUS-Anforderungs- und Antwortnachrichten:

  • Trennungs-Anfrage (40)

  • Trennen-ACK (41)

  • NAK trennen (42)

Voraussetzungen für die Unterbrechung der Verbindung

Damit das AAA Service Framework die Verbindung eines Benutzers trennen kann, muss die Disconnect-Request-Nachricht ein Attribut mit einer Kontoführungssitzungs-ID enthalten. Die Disconnect-Request-Nachricht kann ein Acct-Session-Id (44)-Attribut oder ein Acct-Multi-Session-Id (50)-Attribut für die Sitzungs-ID oder beides enthalten. Wenn sowohl die Attribute "Acct-Session-Id" als auch "Acct-Multi-Session-Id" in der Anforderung vorhanden sind, verwendet der Router beide Attribute. Wenn das Attribut User-Name (1) auch in der Anforderung vorhanden ist, werden der Benutzername und die Accounting-Sitzungs-ID verwendet, um die Verbindung zu trennen. Das AAA Service Framework verarbeitet die eigentliche Anforderung.

Nachrichtenaustausch

Der RADIUS-Server und das AAA Service Framework tauschen Nachrichten über UDP aus. Die vom RADIUS-Server gesendete Disconnect-Request-Nachricht hat das gleiche Format wie das CoA-Request-Paket, das für eine Änderung des Autorisierungsvorgangs gesendet wird.

Die Disconnect-Antwort ist entweder eine Disconnect-ACK- oder eine Disconnect-NAK-Nachricht:

  • Wenn das AAA Service Framework den Benutzer erfolgreich trennt, ist die Antwort ein Paket im RADIUS-Format mit einer Disconnect-ACK-Meldung.

  • Wenn das AAA-Service-Framework den Benutzer nicht trennen kann, die Anforderung falsch formatiert ist oder Attribute in der Anforderung fehlen, ist die Antwort ein Paket im RADIUS-Format mit einer Disconnect-NAC-Meldung.

Anmerkung:

Das AAA Service Framework verarbeitet jeweils eine dynamische Anforderung pro Abonnent. Wenn das Framework eine zweite dynamische Anforderung empfängt, während es eine vorherige Anforderung (entweder eine CoA oder eine andere Disconnect-Anforderung) für denselben Abonnenten verarbeitet, antwortet das Framework mit einer Disconnect-NAK-Nachricht.

Vorteile von Radius-initiierten Trennungen

Ermöglicht einem RADIUS-Server das dynamische Beenden von Abonnentensitzungen. Diese zentrale Teilnehmerverwaltungsfunktion vereinfacht den Umgang mit einer großen Anzahl von Teilnehmern, da die Kündigung durch den Betreiber andernfalls Maßnahmen am Router erfordern würde.

Siehe auch

Nutzungsschwellenwerte für Abonnentendienste

Ab Junos OS Version 14.1 können Sie mit der Abonnentenverwaltung Abonnentenservices verwalten, indem Sie Nutzungsschwellenwerte festlegen, wenn ein Service dynamisch aktiviert wird oder wenn ein vorhandener Service durch eine RADIUS-CoA-Aktion geändert wird. Der Dienst wird deaktiviert, wenn der angegebene Schwellenwert erreicht wird.

Die Abonnentenverwaltung unterstützt zwei Arten von Nutzungsschwellenwerten: Datenverkehrsvolumen und Zeit. Sie verwenden Juniper Networks VSAs, um die Nutzungsschwellenwerte festzulegen. Die VSAs werden in RADIUS-Access-Accept-Nachrichten für dynamisch aktivierte Services oder in RADIUS-initiierten CoA-Request-Nachrichten für vorhandene Services übertragen. Der Volume-Schwellenwert legt die maximale Menge des gesamten Eingangs- und Ausgabedatenverkehrs fest, der den Dienst verwenden kann, bevor der Dienst deaktiviert wird. Ein Zeitschwellenwert legt die maximale Zeitspanne fest, die der Dienst aktiv sein kann. Tabelle 3 zeigt die VSAs, die für Volumen- und Zeitschwellenwerte verwendet werden.

Tabelle 3: Für Serviceschwellenwerte verwendete Juniper Netzwerk-VSAs

Attributnummer

Attributname

Beschreibung

Wert

26-67

Service-Volumen

Menge des Eingabe- und Ausgabedatenverkehrs in MB, der den Dienst nutzen kann; Der Dienst wird deaktiviert, wenn das Volumen überschritten wird. Taggt VSA, das 8 Tags (1-8) unterstützt. Der Router fragt den Datenverkehr in 10-Minuten-Intervallen ab.

  • Bereich = 0 bis 16777215 MB

  • 0 = keine Begrenzung

26-68

Service-Zeitüberschreitung

Anzahl der Sekunden, die der Dienst aktiv sein kann; Der Dienst wird deaktiviert, wenn die Zeitüberschreitung abläuft. Taggt VSA, das 8 Tags (1-8) unterstützt.

  • Bereich = 0 bis 16777215 Sekunden

  • 0 = kein Timeout

26-179

Service-Volumen-Gigawords

Menge des Eingabe- und Ausgabedatenverkehrs in 4-GB-Einheiten, die den Dienst nutzen können; Der Dienst wird deaktiviert, wenn das Volumen überschritten wird. Taggt VSA, das 8 Tags (1-8) unterstützt. Der Router fragt den Datenverkehr in 10-Minuten-Intervallen ab.

  • Bereich = 0 bis 16777215 4-GB-Einheiten

  • 0 = keine Begrenzung

26-180

Update-Service

Neue Leistungswerte und Zeitkontingente für einen vorhandenen Dienst. Taggt VSA, das 8 Tags (1-8) unterstützt.

Schnur: service-name

Siehe auch

Übersicht über Teilnehmersitzungsanmeldungen und Dienstaktivierungsfehler

Wenn ein Abonnent versucht, sich anzumelden und von RADIUS authentifiziert wird, kann die Access-Accept-Nachricht Dienste im RADIUS Activate-Service VSA (26-65) enthalten, die für eine bestimmte Netzwerkfamilie aktiviert werden sollen. Je nach Konfiguration und Diensttyp kann die fehlgeschlagene Aktivierung eines Dienstes dazu führen, dass die Anmeldung für den Abonnenten verweigert wird.

Sie können die service activation Anweisung auf der [edit access profile profile-name radius options]-Hierarchieebene verwenden, um das Verhalten nach einem Aktivierungsfehler zu konfigurieren.

Verwenden Sie die folgenden Optionen, um dieses Verhalten für zwei Arten von Diensten separat zu konfigurieren:

  • dynamic-profile– Dieser Servicetyp wird im dynamischen Profil konfiguriert, das vom Abonnentenzugriffsprofil angewendet wird.

  • extensible-service– Dieser Servicetyp wird in einem ESSM-Vorgangsskript (Extensible Subscriber Services Manager) konfiguriert. Mit diesen Services werden häufig neue Schnittstellen für Geschäftskunden konfiguriert.

Verwenden Sie die folgenden Optionen, um anzugeben, ob eine erfolgreiche Aktivierung dieser Dienste für den Zugriff auf die Teilnehmeranmeldung erforderlich oder optional ist:

  • required-at-login– Eine Aktivierung ist erforderlich. Ein Fehler aus irgendeinem Grund führt dazu, dass die Network-Family-Activate-Request für diese Netzwerkfamilie fehlschlägt. Wenn noch keine andere Netzwerkfamilie für den Abonnenten aktiv ist, meldet die Clientanwendung den Teilnehmer ab. Dies ist das Standardverhalten für den dynamic-profile Diensttyp.

  • optional-at-loginDie Aktivierung ist optional. Ein Fehler aufgrund von Konfigurationsfehlern verhindert nicht die Aktivierung der Adressfamilie. Er ermöglicht den Anwenderzugriff. Ein Fehler aus einem anderen Grund führt dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Wenn noch keine andere Netzwerkfamilie für den Abonnenten aktiv ist, meldet die Clientanwendung den Teilnehmer ab. Dies ist das Standardverhalten für den extensible-service Diensttyp.

Anmerkung:

Fehler im Zusammenhang mit der Aktivierung von Richtlinien für die Teilnehmersicherheit (für die Spiegelung von Datenverkehr auf ein Vermittlungsgerät) haben keine Auswirkungen auf den Zugriff von Abonnenten, die der Richtlinie unterliegen.

Diese Konfiguration gilt nicht für Services, die mithilfe von RADIUS-CoA-Anfragen, JSRC Push-Profile-Request (PPR)-Nachrichten oder Abonnentensicherungsrichtlinien aktiviert werden.

Zu den Konfigurationsfehlern für den dynamic-profile Diensttyp gehören die folgenden:

  • Parsing-Fehler des dynamischen Profils und seiner Attribute.

  • Fehlende obligatorische Benutzervariablen.

  • Verweise auf dynamische Profile, die nicht vorhanden sind.

  • Fehler bei der semantischen Prüfung im dynamischen Profil.

Zu den Konfigurationsfehlern für den extensible-service Diensttyp gehören die folgenden:

  • Parsing-Fehler des Vorgangsskripts.

  • Commiten von Fehlern.

Um einen Service zu aktivieren, sendet authd eine Aktivierungsanfrage für die entsprechenden Services an die Subscriber Management Infrastructure (SMI). Wenn sich die Anforderung beispielsweise auf die IPv4-Familie bezieht, wird nur die Aktivierung der IPv4-Dienste angefordert. Im Gegenzug sendet der SMI Anforderungen an die Server-Daemons, die dem Dienst zugeordnet sind, z. B. cosd oder filterd. Die von den Daemons zurückgegebenen Ergebnisse bestimmen, ob die Dienstaktivierung erfolgreich oder fehlgeschlagen ist.

  • Wenn alle Server-Daemons Erfolg melden, meldet SMI den Erfolg an authd und der Dienst wird aktiviert.

  • Wenn ein Server-Daemon einen Konfigurationsfehler meldet und kein Daemon einen Nicht-Konfigurationsfehler, dann meldet SMI einen Konfigurationsfehler an authd. Der Dienst ist nicht aktiviert, aber je nach Konfiguration kann die Aktivierung der Netzwerkfamilie erfolgreich sein.

  • Wenn ein Server-Daemon einen Nichtkonfigurationsfehler meldet, meldet SMI den Fehler an authd und der Dienst wird nicht aktiviert.

Aktivierungsprozess der Service- und Netzwerkfamilie

Wenn sich ein Teilnehmer anmeldet, muss authd die entsprechende Adressfamilie aktivieren, nachdem der Teilnehmer authentifiziert wurde. Die Clientanwendung, z. B. DHCP oder PPP, kann die Aktivierung einer einzelnen Netzwerkfamilie (IPv4 oder IPv6) oder nacheinander die Aktivierung beider Produktfamilien anfordern. Eine erfolgreiche Aktivierung der Netzwerkfamilie hängt mit der Aktivierung der zugehörigen Services zusammen. In den folgenden Schritten wird der Prozess beschrieben, wenn authd für die Verwendung von RADIUS für die Authentifizierung konfiguriert ist:

  1. Ein Abonnent versucht, sich anzumelden.

    1. Die Clientanwendung fordert die Authentifizierung von authd an.

    2. authd sendet eine Access-Request-Nachricht an den RADIUS-Server.

    3. Der RADIUS-Server sendet eine Access-Accept-Nachricht an authd, die den RADIUS Activate-Service VSA (26-65) enthält.

    4. authd speichert die Dienstaktivierungsattribute im Cache und sendet eine Gewährung an die Clientanwendung.

  2. Die Clientanwendung sendet die erste Network-Family-Activate-Anforderung für die IPv4- oder IPv6-Adressfamilie. Diese Anforderung wird manchmal auch als Clientaktivierungsanforderung bezeichnet.

  3. authd überprüft die zwischengespeicherten Dienstaktivierungsattribute und sendet eine Aktivierungsanforderung für die entsprechenden Dienste an die Abonnentenverwaltungsinfrastruktur (SMI). Wenn sich die Anforderung beispielsweise auf die IPv4-Familie bezieht, wird nur die Aktivierung der IPv4-Dienste angefordert. Im Gegenzug sendet der SMI Anforderungen an die Server-Daemons, die dem Dienst zugeordnet sind, z. B. cosd oder filterd.

  4. Was authd als nächstes tut, hängt davon ab, ob die Dienstaktivierungsanforderung fehlschlägt und ob der Dienst optional oder erforderlich ist.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst optional ist:

      1. authd löscht die zwischengespeicherten Dienstaktivierungsattribute für den Dienst.

        Anmerkung:

        Durch diese Löschung können Sie die Serviceanforderung mithilfe einer RADIUS-CoA-Anforderung (Change of Authorization) oder eines CLI-Befehls erneut ausstellen, ohne dass der fehlgeschlagene Service beeinträchtigt wird.

      2. authd sendet eine ACK als Antwort auf die Familienaktivierungsanfrage und die Familie wird aktiviert.

      3. Die Anmeldung des Abonnenten wird fortgesetzt.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst erforderlich ist:

      1. authd löscht die zwischengespeicherten Dienstaktivierungsattribute für den Dienst.

        Anmerkung:

        Durch diese Löschung können Sie die Serviceanforderung mithilfe einer RADIUS-CoA-Anforderung (Change of Authorization) oder eines CLI-Befehls erneut ausstellen, ohne dass der fehlgeschlagene Service beeinträchtigt wird.

      2. authd sendet als Antwort auf die Familienaktivierung einen NACK, der dazu führt, dass die Clientanwendung die Anmeldung des Abonnenten beendet.

    • Wenn die Dienstaktivierung aufgrund eines Nichtkonfigurationsfehlers fehlschlägt und der Dienst entweder optional oder erforderlich ist:

      1. authd löscht die zwischengespeicherten Dienstaktivierungsattribute für den Dienst.

        Anmerkung:

        Durch diese Löschung können Sie die Serviceanforderung mithilfe einer RADIUS-CoA-Anforderung (Change of Authorization) oder eines CLI-Befehls erneut ausstellen, ohne dass der fehlgeschlagene Service beeinträchtigt wird.

      2. authd sendet als Antwort auf die Familienaktivierung einen NACK, der dazu führt, dass die Clientanwendung die Anmeldung des Abonnenten beendet.

    • Wenn die Dienstaktivierung erfolgreich ist:

      1. authd aktiviert den Dienst.

      2. authd sendet eine ACK als Antwort auf die Familienaktivierungsanfrage und die Familie wird aktiviert.

      3. Die Anmeldung des Abonnenten wird fortgesetzt.

  5. Sofern die Dienstaktivierung nicht erforderlich war und ein Fehler aufgetreten ist, wodurch die Familienaktivierung bei der ersten Anforderung fehlgeschlagen ist, kann die Clientanwendung eine zweite Anforderung senden, jedoch nur für die Familie, die beim ersten Mal nicht angefordert wurde. Wenn die erste Anforderung für IPv4 war, kann die zweite Anforderung nur für IPv6 erfolgen. Wenn die erste Anforderung für IPv6 war, kann die zweite Anforderung nur für IPv4 erfolgen.

  6. AUTHD überprüft die zwischengespeicherten Aktivierungsattribute des Dienstes und fordert die Aktivierung für die Dienste an, die der angeforderten Adressfamilie zugeordnet sind.

  7. Was authd als nächstes tut, hängt davon ab, ob die Dienstaktivierungsanforderung fehlschlägt und ob der Dienst optional oder erforderlich ist.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst optional ist:

      1. authd löscht die zwischengespeicherten Dienstaktivierungsattribute für den Dienst.

        Anmerkung:

        Durch diese Löschung können Sie die Serviceanforderung mithilfe einer RADIUS-CoA-Anforderung (Change of Authorization) oder eines CLI-Befehls erneut ausstellen, ohne dass der fehlgeschlagene Service beeinträchtigt wird.

      2. authd sendet eine ACK als Antwort auf die Familienaktivierungsanfrage und die Familie wird aktiviert.

      3. Die Anmeldung des Abonnenten wird fortgesetzt.

    • Wenn die Dienstaktivierung aufgrund eines Konfigurationsfehlers fehlschlägt und der Dienst erforderlich ist:

      1. authd löscht die zwischengespeicherten Dienstaktivierungsattribute für den Dienst.

        Anmerkung:

        Durch diese Löschung können Sie die Serviceanforderung mithilfe einer RADIUS-CoA-Anforderung (Change of Authorization) oder eines CLI-Befehls erneut ausstellen, ohne dass der fehlgeschlagene Service beeinträchtigt wird.

      2. authd sendet einen NACK als Antwort auf die Familienaktivierung. Da es sich hierbei um die zweite Familienaktivierungsanforderung handelt, bestimmt das Ergebnis der ersten Familienaktivierung, was als nächstes geschieht:

        • Wenn die erste Familienaktivierung erfolgreich war und sich dieser Abonnent angemeldet hat, wird die aktuelle Abonnentenanmeldung nicht gestoppt, wenn die zweite Anforderung fehlschlägt. Dieses Ereignis führt auch nicht dazu, dass authd den vorherigen Abonnenten (erste Anfrage) abmeldet.

        • Wenn die erste Familienaktivierung nicht erfolgreich war, führt ein Fehler bei der zweiten Anforderung dazu, dass die Clientanwendung die aktuelle Abonnentenanmeldung beendet.

    • Wenn die Dienstaktivierung aufgrund eines Nichtkonfigurationsfehlers fehlschlägt und der Dienst entweder optional oder erforderlich ist:

      1. authd löscht die zwischengespeicherten Dienstaktivierungsattribute für den Dienst.

        Anmerkung:

        Durch diese Löschung können Sie die Serviceanforderung mithilfe einer RADIUS-CoA-Anforderung (Change of Authorization) oder eines CLI-Befehls erneut ausstellen, ohne dass der fehlgeschlagene Service beeinträchtigt wird.

      2. authd sendet als Antwort auf die Familienaktivierung einen NACK, der dazu führt, dass die Clientanwendung die Anmeldung des Abonnenten beendet.

    • Wenn die Dienstaktivierung erfolgreich ist:

      1. authd aktiviert den Dienst.

      2. authd sendet eine ACK als Antwort auf die Familienaktivierungsanfrage und die Familie wird aktiviert.

      3. Die Anmeldung des Abonnenten wird fortgesetzt.

Konfigurieren der Auswirkungen von Dienstaktivierungsfehlern auf die Abonnentenanmeldung

Sie können konfigurieren, wie sich ein Aktivierungsfehler bei optionalen Diensten während der Teilnehmeranmeldung auf das Ergebnis der Anmeldung auswirkt. Bei diesen optionalen Diensten handelt es sich um diejenigen, auf die vom RADIUS Activate-Service VSA (26-65) verwiesen wird, der in der RADIUS-Access-Accept-Nachricht während der ersten Anmeldung des Abonnenten angezeigt wird.

Sie können diese beiden Dienstaktivierungstypen so konfigurieren, dass sie erforderlich oder optional sind.

  • dynamic-profile– Diese Services werden im dynamischen Profil konfiguriert, das vom Abonnentenzugriffsprofil angewendet wird, um Abonnentenzugriff und Services für Breitbandanwendungen bereitzustellen. Standardmäßig ist für eine erfolgreiche Anmeldung eine Dienstaktivierung erforderlich. Ein Konfigurationsfehler während der Dienstaktivierung verhindert die Aktivierung der Netzwerkfamilie und führt dazu, dass die Teilnehmeranmeldung fehlschlägt.

  • extensible-service– Diese Services werden von Vorgangsskripts angewendet, die vom Extensible Subscriber Services Manager (ESSM)-Daemon (essmd) für Geschäftskunden verarbeitet werden. Standardmäßig ist die Dienstaktivierung für eine erfolgreiche Abonnentenanmeldung optional.

Anmerkung:

Die service-activation Anweisung configuration wirkt sich nur auf Aktivierungsfehler aufgrund von Konfigurationsfehlern im dynamischen Profil oder im ESSM-Vorgangsskript aus. Fehler aufgrund von Nichtkonfigurationsfehlern führen immer zu einer Zugriffsverweigerung für den Abonnenten und zum Abbruch des Anmeldeversuchs.

Führen Sie einen der folgenden Schritte aus, um das Verhalten für dynamische Profildienste zu konfigurieren:

  • Geben Sie an, dass die Dienstaktivierung optional ist.

  • Geben Sie an, dass die Dienstaktivierung erforderlich ist (Standardeinstellung).

Führen Sie einen der folgenden Schritte aus, um das Verhalten für ESSM-Services zu konfigurieren:

  • Geben Sie an, dass die Dienstaktivierung erforderlich ist.

  • Geben Sie an, dass die Dienstaktivierung optional ist (Standardeinstellung).

Siehe auch

Fehlerursachencodes (RADIUS-Attribut 101) für dynamische Anforderungen

Wenn ein von RADIUS initiierter CoA- oder Trennungsvorgang nicht erfolgreich ist, schließt der Router ein Fehlerursachenattribut (RADIUS-Attribut 101) in die CoA-NAC- oder Disconnect-NAK-Nachricht ein, die er an den RADIUS-Server zurücksendet. Wenn der erkannte Fehler keinem der unterstützten Fehlerursachenattribute zugeordnet ist, sendet der Router die Nachricht ohne Fehlerursachenattribut. In Tabelle 4 werden die Fehlerursachencodes beschrieben.

Tabelle 4: Fehlerursachencodes (RADIUS-Attribut 101)

Code

Wert

Beschreibung

401

Nicht unterstütztes Attribut

Die Anforderung enthält ein Attribut, das nicht unterstützt wird (z. B. ein Attribut eines Drittanbieters).

402

Fehlendes Attribut

Ein kritisches Attribut (z. B. das Attribut für die Sitzungsidentifikation) fehlt in einer Anforderung.

404

Ungültige Anforderung

Ein anderer Aspekt der Anforderung ist ungültig, z. B. wenn ein oder mehrere Attribute nicht ordnungsgemäß formatiert sind.

503

Sitzungskontext nicht gefunden

Der in der Anforderung angegebene Sitzungskontext ist auf dem Router nicht vorhanden.

504

Sitzungskontext nicht entfernbar

Der Abonnent, der durch Attribute in der Anforderung identifiziert wird, ist im Besitz einer Komponente, die nicht unterstützt wird.

506

Ressourcen nicht verfügbar

Eine Anforderung konnte aufgrund fehlender verfügbarer NAS-Ressourcen (z. B. Arbeitsspeicher) nicht erfüllt werden.

Siehe auch

Überprüfen von RADIUS-Statistiken für dynamische Anforderungen

Zweck

Zeigen Sie dynamische RADIUS-Anforderungsstatistiken und -informationen an.

Aktion

  • So zeigen Sie dynamische RADIUS-Anforderungsstatistiken an:

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.2R1
Ab Junos OS Version 17.2R1 werden CoA-Massenanforderungen unterstützt, um die Verarbeitungseffizienz von RADIUS-basierten Abonnentenservices auf dem BNG zu verbessern.
15.1R5
Ab Junos OS Version 15.1R5 werden Wiederholungsnachrichten vom Typ "CoA-Anforderung" ignoriert und es wird kein CoA-NAK als Antwort darauf gesendet.
14.1
Ab Junos OS Version 14.1 können Sie mit der Abonnentenverwaltung Abonnentenservices verwalten, indem Sie Nutzungsschwellenwerte festlegen, wenn ein Service dynamisch aktiviert wird oder wenn ein vorhandener Service durch eine RADIUS-CoA-Aktion geändert wird.