AUF DIESER SEITE
Durchmesser Basisprotokoll
Überblick über das Diameter-Basisprotokoll
Das Diameter-Protokoll ist in RFC 3588, Diameter Base Protocol, definiert und bietet eine flexiblere und erweiterbarere Alternative zu RADIUS. Das Diameter-Basisprotokoll stellt grundlegende Dienste für eine oder mehrere Anwendungen (auch Funktionen genannt) bereit, die in einer anderen Diameter-Instanz ausgeführt werden. Die individuelle Anwendung stellt die erweiterte AAA-Funktionalität zur Verfügung. Zu den Anwendungen, die Durchmesser verwenden, gehören Gx-Plus, JSRC, NASREQ, PTSP und S6a. Ab Junos OS Version 13.1R1 wird die Funktion paketgesteuerte Abonnenten- und Richtliniensteuerung (PTSP) nicht mehr unterstützt.
Diameter-Peers kommunizieren über eine zuverlässige TCP-Transportschichtverbindung, indem sie Diameter-Nachrichten austauschen, die Status, Anfragen und Bestätigungen mithilfe von Standard-Diameter-AVPs und anwendungsspezifischen AVPs übermitteln. Die Konfiguration der Diameter-Transportschicht basiert auf Diameter-Netzwerkelementen (DNEs). mehrere DNEs pro Diameter-Instanz werden unterstützt. Derzeit wird nur die vordefinierte Master-Diameter-Instanz unterstützt, aber Sie können für viele der Master-Diameter-Instanzwerte alternative Werte konfigurieren.
Jeder DNE besteht aus einer priorisierten Liste von Peers und einer Reihe von Routen, die definieren, wie der Datenverkehr weitergeleitet wird. Jede Route verknüpft ein Ziel mit einer Funktion (Anwendung), einer Funktionspartition und einer Metrik. Wenn eine Anwendung eine Nachricht an ein geroutetes Ziel sendet, werden alle Routen innerhalb der Diameter-Protokollinstanz auf Übereinstimmungen untersucht. Wenn die beste Route zum Ziel ausgewählt wurde, wird die Nachricht über den DNE weitergeleitet, der diese Route enthält.
Innerhalb eines bestimmten DNE und in verschiedenen DNEs können mehrere Routen zum selben Ziel vorhanden sein. Bei mehreren Routen, die mit einer Weiterleitungsanforderung übereinstimmen, wird die beste Route wie folgt ausgewählt:
Die Route mit der niedrigsten Metrik wird ausgewählt.
Bei Gleichstand wird die Route mit der höchsten Spezifikationspunktzahl ausgewählt.
Im Falle eines weiteren Gleichstands werden die Namen der DNEs in lexikographischer Reihenfolge verglichen. Die Route im DNE mit dem niedrigsten Wert wird ausgewählt. Beispielsweise hat dne-austin einen niedrigeren Wert als dne-boston.
Wenn die Routen innerhalb desselben DNE gebunden sind, werden die Routennamen in lexikographischer Reihenfolge verglichen. Die Route mit dem niedrigsten Wert wird ausgewählt.
Der Spezifikationswert einer Route ist standardmäßig 0. Die Punkte werden wie folgt zur Partitur addiert:
Wenn der Zielbereich mit der Anforderung übereinstimmt, addieren Sie 1.
Wenn der Zielhost mit der Anforderung übereinstimmt, fügen Sie 2 hinzu.
Wenn die Funktion mit der Anforderung übereinstimmt, addieren Sie 3.
Wenn die Funktionspartition mit der Anforderung übereinstimmt, fügen Sie 4 hinzu.
Innerhalb eines bestimmten DNE und in verschiedenen DNEs können mehrere Routen zum selben Ziel vorhanden sein. Bei mehreren Routen, die mit einer Weiterleitungsanforderung übereinstimmen, wählt Diameter die beste Route wie folgt aus:
Diameter vergleicht die Metrik der Routen und wählt die Route mit der niedrigsten Metrik aus.
Wenn mehrere Routen dieselbe niedrigste Metrik haben, wählt Diameter die am besten qualifizierte Route aus. Diameter wertet mehrere Attribute der Route aus, um eine Punktzahl zu ermitteln, die widerspiegelt, wie spezifisch jede Route mit der Anforderung übereinstimmt. Standardmäßig ist die Punktzahl einer Route 0. Die Punkte werden wie folgt zur Partitur addiert:
Wenn der Zielbereich mit der Anforderung übereinstimmt, addieren Sie 1.
Wenn der Zielhost mit der Anforderung übereinstimmt, fügen Sie 2 hinzu.
Wenn die Funktion mit der Anforderung übereinstimmt, addieren Sie 3.
Wenn die Funktionspartition mit der Anforderung übereinstimmt, fügen Sie 4 hinzu.
Wenn mehrere Routen gleich qualifiziert sind, vergleicht Diameter die Namen der DNEs in lexikographischer Reihenfolge und wählt die Route im DNE aus, die den niedrigsten Wert aufweist. Beispielsweise hat dne-austin einen niedrigeren Wert als dne-boston.
Wenn die Routen innerhalb desselben DNE gebunden sind, vergleicht Diameter die Routennamen in lexikographischer Reihenfolge und wählt die Route mit dem niedrigsten Wert aus.
Wenn sich der Status eines DNE ändert, wird die Routensuche für alle Ziele neu ausgewertet. Alle ausstehenden Nachrichten an geroutete Ziele werden bei Bedarf umgeleitet oder verworfen.
Um ein Diameter-Netzwerkelement zu konfigurieren, fügen Sie die network-element Anweisung auf Hierarchieebene [edit diameter] und dann die route Anweisung auf Hierarchieebene [edit diameter network-element element-name forwarding] ein.
Um eine Route für die DNE zu konfigurieren, schließen Sie die destination Anweisungen (optional), function (optional) und metric auf Hierarchieebene [edit diameter network-element element-name forwarding route dne-route-name] ein.
Geben Sie die Diameter-Peers an, die dem DNE zugeordnet sind, indem Sie eine oder mehrere peer Anweisungen auf Hierarchieebene [edit diameter network-element element-name] einschließen.
Legen Sie die Priorität für jeden Peer mit der priority Anweisung auf Hierarchieebene [edit diameter network-element element-name peer peer-name] fest.
Für Diameter müssen Sie Informationen über den Ursprungsknoten konfigurieren. Dies ist der Endgerät-Knoten, der Diameter für die Diameter-Instanz erstellt. Schließen Sie die host and-Anweisungen realm auf der [edit diameter] Hierarchieebene ein, um den Diameter-Ursprung zu konfigurieren.
Sie können optional einen oder mehrere Transporte konfigurieren, um die Quelladresse (lokal) der Transportschichtverbindung anzugeben. Um einen Diameter-Transport zu konfigurieren, schließen Sie die transport Anweisung auf Hierarchieebene [edit diameter] ein. Fügen Sie dann die address Anweisung auf Hierarchieebene [edit diameter transport transport-name] ein.
Sie können optional ein logisches System und eine Routing-Instanz für die Verbindung angeben, indem Sie die logical-system und-Anweisungen routing-instance auf Hierarchieebene [edit diameter transport transport-name] einschließen. Standardmäßig verwendet Diameter das logische Standardsystem und die Standard-Routing-Instanz (unter Verwendung der Haupt-Routing-Tabelle inet.0). Das logische System und die Routinginstanz für die Transportverbindung müssen mit denen für den Peer übereinstimmen, oder es wird ein Konfigurationsfehler gemeldet.
Jeder Diameter-Peer wird durch einen Namen angegeben. Zu den Peerattributen gehören die Adresse und der Ziel-TCP-Port, der von aktiven Verbindungen zu diesem Peer verwendet wird. Um einen Diameter-Peer zu konfigurieren, schließen Sie die peer Anweisung auf der [edit diameter] Hierarchieebene und dann die address connect-actively and-Anweisungen auf der [edit diameter peer peer-name] Hierarchieebene ein.
Um die aktive Verbindung zu konfigurieren, schließen Sie die port und-Anweisungen transport auf Hierarchieebene [edit diameter peer peer-name connect-actively] ein. Der zugewiesene Transport identifiziert die Quelladresse der Transportschicht, die zum Aufbau aktiver Verbindungen zu den Peers verwendet wird. transport Aussagen.
Vorteile der Verwendung von Diameter
Diameter ermöglicht eine geringere Belastung des Netzwerks und der Server, da Nutzungsinformationen im Vergleich zu RADIUS viel seltener gemeldet werden. RADIUS umfasst regelmäßige Aktualisierungen unabhängig von Nutzungsänderungen. Diameter-Anwendungen wie Gx ermöglichen es Ihnen, Schwellenwerte mit korrelierenden Pushs von Nutzungsstatistiken vom Router zur PCRF festzulegen. Die PCRF kann dann entsprechende Anpassungen an Dienstleistungen und Kosten vornehmen.
Drahtlose Services und Ladevorgänge werden in der Regel mit Diameter-Anwendungen durchgeführt, aber drahtgebundene Services nutzen in der Regel eine RADIUS-basierte Infrastruktur. Kunden mit kabelgebundenen und drahtlosen Angeboten können die Komplexität und die Kosten für die Wartung separater Infrastrukturen reduzieren, indem sie ihren drahtgebundenen Betrieb auf ihre bestehende Diameter-basierte drahtlose Infrastruktur migrieren.
Anwendungen, die über Diameter laufen, sind in der Regel zustandsbehaftet (einige können es sein, z. B. NASREQ), während RADIUS nicht zustandsbehaftet ist.
Über Diameter können mehrere Anwendungsprotokolle ausgeführt werden, z. B. NASREQ, Gx, Gy, JSRC und S6a.
Größerer Attributraum als RADIUS, der eine größere Anzahl von standardmäßigen und anbieterspezifischen Attributen (AVPs) als RADIUS ermöglicht. Diameter unterstützt auch die RADIUS-Standardattribute und reserviert AVPs 1 bis 255 für sie.
Von Diameter-Anwendungen verwendete Nachrichten
Junos OS unterstützt die folgenden Diameter-Anwendungen:
JSRC: Eine Anwendung mit Juniper Networks Diameter, die beim IANA (http://www.iana.org) als Juniper Policy-Control-JSRC registriert ist und die ID 16777244 hat. Es kommuniziert mit dem SAE (Remote SRC Peer).
PTSP: Eine Anwendung mit Juniper Networks Durchmesser, die beim IANA (http://www.iana.org) als Juniper JGx registriert ist und die ID 16777273 hat. Es kommuniziert mit dem SAE (Remote SRC Peer). Ab Junos OS Version 13.1R1 wird die Funktion paketgesteuerte Abonnenten- und Richtliniensteuerung (PTSP) nicht mehr unterstützt.
Gx-Plus – Eine Anwendung, die die 3GPP Gx-Schnittstelle für drahtgebundene Anwendungsfälle erweitert. 3GPP Gx ist beim IANA (http://www.iana.org) registriert. Es kommuniziert mit einem PCRF.
Wenn Daten für ein bestimmtes AVP, das in einer Nachricht enthalten ist, für den Router nicht verfügbar sind, lässt Gx-Plus das AVP einfach aus der Nachricht aus, die es an den PCRF sendet. Wenn die PCRF feststellt, dass sie nicht über ausreichende Informationen verfügt, um eine Entscheidung zu treffen, kann sie den Antrag ablehnen. Die Diameter-Antwortnachrichten umfassen den Ergebniscode AVP (AVP 268); Die Werte dieses AVP übermitteln dem Anforderer Erfolg, Misserfolg oder Fehler.
NASREQ: Ein Diameter-basiertes Protokoll für Authentifizierung, Autorisierung und Kontoführung, das in RFC 7155 definiert ist. Junos OS unterstützt nur Authentifizierung und Autorisierung.
Juniper Networks hat auch die Anwendung Juniper-Session-Recovery (16777296) und zwei neue Befehlscodes (8388628 für Juniper-Session-Events und 8388629 für Juniper-Session-Discovery) bei der IANA (http://www.iana.org) registriert.
Tabelle 1 beschreibt die Diameter-Meldungen, die von den Anwendungen verwendet werden.
Diameter-Meldung |
Kodex |
Anwendung |
Beschreibung |
|---|---|---|---|
AA-Anfrage (AAR) |
265 |
JSRC, NASREQ, PTSP |
Anforderung von der Anwendung an die SAE bei der Anmeldung eines neuen Anwenders oder während der SAE-Anwendungssynchronisierung. Die Anforderung kann einer von drei Typen sein: Adressautorisierung, Bereitstellungsanforderung oder Synchronisation. |
AA-Antwort (AAA) |
265 |
JSRC, NASREQ, PTSP |
Antwort der SAE auf die AA-Anforderungsnachricht der Anwendung. |
Abort-Session-Request (ASR) |
274 |
JSRC, NASREQ, PTSP |
Anforderung von der SAE an die Anwendung, einen bereitgestellten Anwender abzumelden. |
Abbruch-Sitzungsantwort (ASA) |
274 |
JSRC, NASREQ, PTSP |
Antwort der Anwendung auf die ASR-Nachricht der SAE. Wenn die Anwendung die Abmeldeanforderung an AAA sendet, enthält die ASA-Nachricht eine Erfolgsbenachrichtigung (ACK). Wenn die Abmeldung fehlgeschlagen ist, enthält die ASA-Nachricht eine Fehlerbenachrichtigung (NAK). |
Accounting-Request (ACR) |
271 |
JSRC, PTSP |
Anfrage von der SAE an die Anwendung oder von der Anwendung an die SAE für Statistiken. |
Buchhaltungs-Antwort (ACA) |
271 |
JSRC, PTSP |
Antwort auf die ACR-Nachricht, um Statistiken für jede installierte Richtlinie (jeden Dienst) bereitzustellen. |
Capability Exchange Request (CER) |
257 |
Gx-Plus |
Anforderung von einem Peer zu einem anderen, wenn die Peers eine Transportverbindung herstellen; Leitet die Funktionsaushandlung ein. Der CER gibt die Identität und die Fähigkeiten des Peers bekannt, z. B. die unterstützten Anwendungen und Sicherheitsmechanismen. |
Antwort auf den Austausch von Fähigkeiten (CEA) |
257 |
Gx-Plus |
Antwort auf die CER-Nachricht, um die Fähigkeiten dieses Peers anzukündigen. Wenn diese Peer keine Funktionen mit der Peer gemeinsam hat, die den CER gesendet hat, muss sie den Ergebniscode-AVP auf DIAMETER_NO_COMMON_APPLICATION setzen und sollte die Verbindung trennen. Andernfalls stellen die CEA-Details gemeinsame Fähigkeiten zwischen den Peers her und ermöglichen es ihnen, die Kommunikation weiter herzustellen. |
Kreditkontroll-Antrag (CCR) |
272 |
Gx-Plus |
Anfrage von Gx-Plus an die PCRF bei Anmeldung, Abmeldung oder Aktualisierung des Anwenders. Eine erste Anforderung (CCR-I) wird gesendet, wenn sich ein Anwender anmeldet und AAA aufgefordert wird, die Sitzung des Anwenders zu aktivieren. Gx-Plus wiederholt die CCR-I-Nachricht, wenn innerhalb von 10 Sekunden keine CCA-I-Nachricht von der PCRF empfangen wird. Die CCR-I-Nachricht wird bis zu 3 Mal wiederholt. Die CCR-I-Nachricht enthält das Diameter-AVP-Subscription-Id-Attribut (443), wobei das Subscription-Id-Type-Diameter-AVP-Unterattribut (450) auf 4 (END_USER_PRIVATE) und das Subscription-Id-Data-Diameter-AVP-Unterattribut (444) auf Wenn nach dem Senden der 4 CCR-I-Nachrichten – die erste Nachricht plus 3 Wiederholungen – kein CCA-I empfangen wird, beginnt Gx-Plus mit dem Senden von CCR-N-Nachrichten. CCR-N-Nachrichten werden für immer wiederholt, bis eine Erfolgs- oder Fehlerantwort von der PCRF empfangen wird. CCR-N-Nachrichten enthalten den Juniper-Provisioning-Source AVP (AVP-Code 2101), der auf local festgelegt ist, um den PCRF darüber zu informieren, dass der Router die Berechtigung hat, eine lokale Entscheidung über die Aktivierung des Anwender-Services zu treffen. Eine CCR-U-Nachricht (Update Request) wird gesendet, wenn ein Nutzungsschwellenwert erreicht wird. Das CCR-U meldet die tatsächliche Nutzung für alle Statistiken. Die PCRF gibt möglicherweise eine CCA-U-Nachricht zurück, die neue Überwachungsschwellenwerte, Dienstaktivierungen und Dienstdeaktivierungen enthält. Wenn die PCRF-Zeitüberschreitung im CCR-U-Bericht auftritt, legt der Router den Standardschwellenwert auf 10 Minuten fest. Wenn die Änderung der Schwellenwerte kleiner als das Minimum ist, werden die Werte an die Mindestwerte angepasst. Die Mindesterhöhung für die Dauer beträgt beispielsweise 10 Minuten. Außerdem wird eine CCR-U gesendet, um den Status der Serviceaktivierung oder -deaktivierung zu melden. Wenn ein überwachter Dienst getrennt von einer Abmeldung eines Anwenders deaktiviert wird, zeigt die CCR-U an, dass der Dienst nicht mehr aktiv ist, und schließt die Nutzungsdaten des Dienstes ein. Bei der Abmeldung des Anwenders wird eine Kündigungsanforderung (CCR-T) gesendet, um die PCRF darüber zu informieren, dass eine bereitgestellte Anwendersitzung beendet wird. CCR-T-Nachrichten werden für immer wiederholt, bis eine Erfolgsantwort von der PCRF empfangen wird. Wenn ein überwachter Dienst im Rahmen der Abmeldung des Anwenders deaktiviert wird, enthält die CCR-T-Nachricht überwachte Nutzungsdaten für den Dienst, z. B. die verwendeten Bytes. |
Kreditkontroll-Antwort (CCA) |
272 |
Gx-Plus |
Antworten Sie von der PCRF auf eine CCR-Nachricht. Als Antwort auf einen CCR-I gibt die PCRF eine CCA-I-Nachricht zurück, die Erfolg (DIAMETER_SUCCESS) oder Misserfolg (DIAMETER AUTHORIZATION REJECTED) anzeigt, je nachdem, ob der Anwender über eine ausreichende Gutschrift für die angeforderten Services verfügt. Alle anderen Antworten werden ignoriert und der CCR-I wird wiederholt. Als Antwort auf ein CCR-T gibt die PCRF eine CCA-T-Nachricht zurück, die einen erfolgreichen Abschluss mit dem Wert 2001 (DIAMETER SUCCESS) im Ergebniscode AVP anzeigt. Alle anderen Antworten werden ignoriert, und das CCR-T wird erneut versucht. Ein CCA-N ist eine Antwort auf ein CCR-N. |
Juniper-Session-Discovery-Request (JSDR) |
8388629 |
Gx-Plus |
Erkennungsanforderung von PCRF an Gx-Plus, um Anwender-Sitzungen auf dem Router zu erkennen. |
Juniper-Session-Discovery-Antwort (JSDA) |
8388629 |
Gx-Plus |
Antworten Sie vom Router auf eine JSDR-Nachricht; Beschreibt Sitzungsinformationen. Der Ergebniscode-AVP enthält einen der folgenden Werte oder einen Fehlerwert:
|
Juniper-Sitzungsereignis-Anfrage (JSER) |
8388628 |
Gx-Plus |
Anfrage vom Router an PCRF bezüglich Ereignissen, die auf dem Router stattfinden. Benachrichtigt die PCRF über bestimmte Ereignisse auf dem Router durch Einbeziehung des AVP vom Typ Juniper (AVP-Code 2103). Zu den gemeldeten Ereignissen gehören kalte oder warme Neustarts, explizite Erkennungsanfragen, erhebliche Konfigurationsänderungen, Nicht- oder Fehlerreaktion von PCRF und Erschöpfung fehlertoleranter Ressourcen. |
Juniper-Session-Event-Antwort (JSEA) |
8388628 |
Gx-Plus |
Antworten Sie von PCRF auf eine JSER-Nachricht. |
Push-Profil-Anfrage (PPR) |
288 |
JSRC, PTSP |
Anforderung von SAE an den Router zur Aktivierung oder Deaktivierung von Services für einen Anwender. |
Push-Profil-Antwort (PPA) |
288 |
JSRC, PTSP |
Antwort des Routers auf die PPR-Nachricht des SAE. Enthält eine Erfolgs- oder Fehlerbenachrichtigung für jeden der Dienstaktivierungs- oder -deaktivierungsbefehle in der Anforderung. |
Erneute Authentifizierungsanforderung (RAR) |
258 |
Gx-Plus |
Audit-Anfrage von der PCRF an den Router, um festzustellen, ob ein bestimmter Anwender noch vorhanden ist. Der Router aktualisiert den Überwachungsschlüssel und die Schwellenwerte, wenn sie im RAR empfangen werden. |
Erneute Authentifizierungsantwort (RAA) |
258 |
Gx-Plus |
Antwort vom Router auf eine RAR-Nachricht; Gibt an, ob der Anwender aktiv ist. Das Ergebniscode-AVP enthält einen der folgenden Werte:
|
Session-Resource-Query (SRQ) |
277 |
JSRC, PTSP |
Anforderung vom Router an die SAE oder von der SAE an den Router, um die Synchronisierung zwischen Router und SAE zu initiieren. |
Session-Resource-Reply (SRR) |
277 |
JSRC, PTSP |
Antwort auf die SRQ-Nachricht, um die Synchronisierung zu starten. |
Session-Termination-Request (STR) |
275 |
JSRC, NASREQ, PTSP |
Benachrichtigung vom Router an die SAE, dass sich ein bereitgestellter Anwender abgemeldet hat. |
Sitzungsterminierungs-Antwort (STA) |
275 |
JSRC, NASREQ, PTSP |
Antwort der SAE auf die STR-Meldung des Routers. Inklusive Erfolgs- oder Misserfolgsbenachrichtigung. |
Durchmesser-AVPs und Durchmesseranwendungen
Diameter übermittelt Informationen, indem verschiedene Attribut-Wert-Paare (AVPs) in Diameter-Nachrichten eingeschlossen werden, so wie RADIUS Informationen sowohl in standardmäßigen IETF-RADIUS-Attributen als auch in anbieterspezifischen Attributen (VSAs) übermittelt. Tabelle 2 listet die Standard-Diameter-AVPs auf, die in Interaktionen mit den unterstützten Diameter-Anwendungen verwendet werden. Der Durchmesser reserviert die AVP-Attributnummern 0 bis 255 für RADIUS-Attribute, die in Diameter implementiert sind. Die Diameter-Attributnummern sind die gleichen wie für die entsprechenden Standard-RADIUS-Attribute. Attribute mit einer Nummer höher als 255 haben kein entsprechendes Standard-RADIUS-Attribut. Ab Junos OS Version 13.1R1 wird die Funktion paketgesteuerte Abonnenten- und Richtliniensteuerung (PTSP) nicht mehr unterstützt.
Attributnummer |
Durchmesser AVP |
Anwendung |
Beschreibung |
Typ |
|---|---|---|---|---|
1 |
Benutzername |
Gx-Plus, JSRC, NASREQ |
Gibt den Benutzernamen an. Für einen von AAA verwalteten Anwender ist der Wert der Anmeldename des Anwenders. Bei einer statischen Schnittstelle ist der Wert der Schnittstellenname, der als Anmeldename des Anwenders verwendet wird. |
UTF8-Zeichenfolge |
2 |
Benutzer-Passwort |
NASREQ |
Gibt das Kennwort des zu authentifizierenden Benutzers oder die Eingabe des Benutzers in einem mehrstufigen Austausch der Authentifizierung an. |
Oktett-Zeichenfolge |
4 |
NAS-IP-Adresse |
NASREQ |
Gibt die IP-Adresse des NAS an, das den Benutzer authentifiziert. |
IPAdkleid |
6 |
Service-Typ |
NASREQ |
Gibt die Art des Dienstes an, den der Benutzer angefordert hat, oder den Typ des bereitzustellenden Dienstes. Ein solches AVP kann in einer Authentifizierungs- oder Autorisierungsanforderung oder -antwort vorhanden sein. Ein NAS ist nicht erforderlich, um alle diese Servicetypen zu implementieren. |
Aufgezählt |
8 |
Framed-IP-Adresse |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifiziert die für den Anwender konfigurierte IPv4-Adresse. Dies ist derselbe Wert wie für das RADIUS Framed-IP-Address-Attribut [8]. |
Oktett-Zeichenfolge |
9 |
Framed-IP-Netzmaske |
NASREQ |
Identifiziert die vier Oktette der IPv4-Netzmaske. |
Oktett-Zeichenfolge |
11 |
Filter-ID |
NASREQ |
Gibt den Namen der Filterliste für einen Benutzer an. Es soll für Menschen lesbar sein. In einer Autorisierungsantwortnachricht können null oder mehr Filter-ID-AVPs gesendet werden. |
UTF8-Zeichenfolge |
12 |
Framed-MTU |
NASREQ |
Gibt die maximale Übertragungseinheit (MTU) an, die für den Benutzer konfiguriert werden soll, wenn sie nicht auf andere Weise (z. B. PPP) ausgehandelt wird. |
Unsigniert32 |
22 |
Gerahmte Route |
NASREQ |
Gibt die 7-Bit-US-ASCII-Routing-Informationen an. |
UTF8-Zeichenfolge |
25 |
Klasse |
NASREQ |
Gibt Statusinformationen von einem Diameter-Server an das Zugriffsgerät zurück. |
Oktett-Zeichenfolge |
27 |
Sitzungs-Timeout |
NASREQ |
Gibt die maximale Anzahl von Sekunden an, die dem Benutzer vor dem Beenden der Sitzung bereitgestellt werden. |
Unsigniert32 |
28 |
Leerlauf-Timeout |
NASREQ |
Gibt die maximale Anzahl aufeinanderfolgender Sekunden ununterbrochener Verbindungen an, die für den Benutzer zulässig sind, bevor die Sitzung beendet wird oder bevor eine Eingabeaufforderung ausgegeben wird. |
Unsigniert32 |
32 |
NAS-Kennung |
NASREQ |
Gibt die Identität des NAS an, das den Dienst für den Benutzer bereitstellt. |
DiamIdent |
44 |
Konto-Sitzungs-ID |
NASREQ |
Gibt den Inhalt des RADIUS-Attributs "Acct-Session-Id" an. |
Oktett-Zeichenfolge |
50 |
Konto Multi-Session-ID |
NASREQ |
Verknüpft mehrere verwandte Buchhaltungssitzungen, wobei jede Sitzung eine eindeutige Sitzungs-ID, aber denselben ACCT-Multi-Session-ID-AVP hat. |
UTF8-Zeichenfolge |
55 |
Ereignis-Zeitstempel |
Gx-Plus, JSRC, PTSP |
Gibt den Zeitpunkt des Ereignisses an, das die Nachricht ausgelöst hat, in der dieser AVP enthalten ist. Die Zeit wird in Sekunden seit dem 1. Januar 1900 um 00:00 UTC angegeben. |
Zeit |
60 |
CHAP-Herausforderung |
NASREQ |
Gibt die CHAP-Herausforderung (PPP Challenge-Handshake Authentication Protocol) an, die vom NAS an den CHAP-Peer gesendet wird. |
Oktett-Zeichenfolge |
61 |
NAS-Port-Typ |
NASREQ |
Gibt den Typ des Ports an, an dem das NAS den Benutzer authentifiziert. |
Aufgezählt |
62 |
Port-Limit |
NASREQ |
Gibt die maximale Anzahl von Ports an, die das NAS dem Benutzer zur Verfügung stellt. |
Unsigniert32 |
78 |
Konfigurations-Token |
NASREQ |
Gibt den Typ des verwendeten Benutzerprofils an. |
Oktett-Zeichenfolge |
85 |
Acct-Interim-Interim-Intervall |
JSRC, PTSP |
Gibt die Anzahl der Sekunden zwischen den einzelnen Zwischenkontoaktualisierungen für dieses Programm an. Der Router verwendet die folgenden Richtlinien für die Zwischenabrechnung:
|
Unsigniert32 |
87 |
NAS-Port-ID |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifiziert den Port des NAS, der den Benutzer authentifiziert. Dies ist derselbe Wert wie für das RADIUS NAS-Port-Id-Attribut [87]. |
UTF8-Zeichenfolge |
88 |
Framed-Pool |
NASREQ |
Gibt den Namen eines zugewiesenen Adresspools an, der zum Zuweisen einer Adresse für den Benutzer verwendet werden soll. Wenn ein NAS nicht mehrere Adresspools unterstützt, ignoriert das NAS diesen AVP. Adresspools werden normalerweise für IP-Adressen verwendet, können aber auch für andere Protokolle verwendet werden, wenn das NAS Pools für diese Protokolle unterstützt. |
Oktett-Zeichenfolge |
97 |
Framed-IPv6-Präfix |
NASREQ |
Gibt das für den Benutzer konfigurierte IPv6-Präfix an. |
Oktett-Zeichenfolge |
99 |
Framed-IPv6-Route |
NASREQ |
Gibt die US-ASCII-Routing-Informationen an, die für den Benutzer auf dem NAS konfiguriert sind. |
UTF8-Zeichenfolge |
100 |
Framed-IPv6-Pool |
NASREQ |
Gibt den Namen eines zugewiesenen Pools an, der zum Zuweisen eines IPv6-Präfixes für den Benutzer verwendet werden soll. Wenn das Zugriffsgerät mehrere Präfixpools nicht unterstützt, muss es diesen AVP ignorieren. |
Oktett-Zeichenfolge |
258 |
Auth-Anwendungs-ID |
NASREQ |
Gibt die Unterstützung des Authentifizierungs- und Autorisierungsteils einer Anwendung an. |
Unsigniert32 |
263 |
Session-ID |
Gx-Plus, JSRC, NASREQ, PTSP |
Gibt die Sitzungskennung des Anwenders an. Der Router weist den Wert zur eindeutigen Identifizierung einer Anwender-Sitzung zu. |
UTF8-Zeichenfolge |
264 |
Ursprung-Host |
NASREQ |
Gibt den Host an, der eine Diameter-Nachricht auslöst. |
DiamIdent |
268 |
Ergebnis-Code |
Gx-Plus, JSRC, NASREQ, PTSP |
Gibt an, ob eine Anforderung erfolgreich abgeschlossen wurde. Stellt einen Fehlercode bereit, wenn die Anforderung fehlgeschlagen ist. Die folgenden Klassen werden nach Durchmesser erkannt:
Nicht erkannte Klassen, die mit den Ziffern 6 bis 9 oder 0 beginnen, werden als permanente Fehler behandelt. JSRC und PTSP unterstützen die folgenden Werte; Alle Nicht-Erfolgswerte werden als permanente Fehler behandelt:
JSRC unterstützt auch den folgenden Wert, der als permanenter Fehler behandelt wird:
Gx-Plus unterstützt die folgenden Werte für Fehler in einer PCRF-Antwort; Wenn diese Werte empfangen werden oder die Antwort falsch formatiert oder nicht erkennbar ist, wird die Anforderung wiederholt.
|
Unsigniert32 |
269 |
Produktname |
Gx-Plus |
Gibt den Wert für das Feld "Produktname" in den Nachrichten "Capability Exchange Request" (CER) und "Capability Exchange Answer" (CEA) an. Der Wert ist immer JUNOS, es sei denn, mit der Wenn Sie den Produktnamen ändern, trennt der Router alle bestehenden Verbindungen zu Diameter-Peers und stellt die Verbindung unter dem neuen Namen wieder her. |
UTF8-Zeichenfolge |
277 |
Auth-Session-Status |
JSRC, NASREQ, PTSP |
Gibt an, ob der AAA-Sitzungsstatus beibehalten wird.
|
Aufgezählt |
279 |
Fehlgeschlagenes AVP |
NASREQ |
Gibt Debugging-Informationen für Fälle an, in denen eine Anforderung aufgrund fehlerhafter Informationen in einem bestimmten AVP abgelehnt oder nicht vollständig verarbeitet wird. Der Wert des Result-Code AVP gibt Auskunft über den Grund für das Failed-AVP AVP. |
Gruppiert |
281 |
Fehler-Meldung |
NASREQ |
Gibt eine für Menschen lesbare Fehlermeldung an, die einem Ergebniscode-AVP beigefügt sein kann. Die Fehlermeldung AVP ist nicht dazu gedacht, in Echtzeit nützlich zu sein; Erwarten Sie nicht, dass Netzwerkeinheiten die Nachricht analysieren. |
UTF8-Zeichenfolge |
283 |
Ziel-Reich |
NASREQ |
Gibt den Diameter-Bereich an, an den die Diameter-Nachricht weitergeleitet wird. |
DiamIdent |
293 |
Ziel-Host |
NASREQ |
Gibt den Host an, an den eine Diamter-Nachricht weitergeleitet wird. |
DiamIdent |
295 |
Ursache für die Beendigung |
JSRC, NASREQ, PTSP |
Gibt den Grund an, warum eine Sitzung auf dem Zugriffsgerät beendet wurde.
|
Aufgezählt |
296 |
Ursprungs-Reich |
NASREQ |
Identifiziert den Diameter-Bereich des Absenders einer Diameter-Nachricht. |
DiamIdent |
402 |
CHAP-Auth |
NASREQ |
Gibt die Informationen an, die für die Authentifizierung eines Benutzers mit CHAP erforderlich sind. |
Gruppiert |
415 |
CC-Request-Nummer |
Gx-Plus |
Identifiziert eine Anforderung innerhalb einer Sitzung. Die Kombination aus Session-Id und CC-Request-Type ist weltweit eindeutig. Die Anzahl wird für jede Anforderung im Verlauf einer Sitzung erhöht. Die Nummer wird zurückgesetzt, wenn ein Ereignis mit hoher Verfügbarkeit des Routers eintritt. |
Unsigniert32 |
416 |
CC-Request-Typ |
Gx-Plus |
Gibt den Typ der Kreditkontrollanforderung an:
|
Aufgezählt |
431 |
Granted-Service-Unit |
Gx-Plus |
Enthält die Menge, die von einer oder mehreren der folgenden vom Client angegebenen angeforderten Einheiten bereitgestellt werden kann: CC-Input-Octets, CC-Output-Octets, CC-Time oder CC-Total-Octets. In CCA-I-Nachrichten enthalten und kann in CCA-U-Nachrichten enthalten sein. |
Gruppiert |
443 |
Abonnement-ID |
Gx-Plus |
Enthält die folgenden Unterattribute, die nicht allein vorkommen:
|
Gruppiert |
446 |
Gebraucht-Service-Einheit |
Gx-Plus |
Enthält die Menge der angeforderten Einheiten, die tatsächlich verwendet wurden; gemessen von 4, wenn der Dienst aktiviert ist. Bei den Einheiten handelt es sich um eine oder mehrere der folgenden angeforderten Einheiten, die vom Client angegeben werden: CC-Input-Octets, CC-Output-Octets, CC-Time oder CC-Total-Octets. In CCR-U-Meldungen enthalten. |
Gruppiert |
480 |
Accounting-Record-Typ |
JSRC, PTSP |
Gibt den Typ des Firmendatensatzes für die Service-Buchhaltung an:
|
Aufgezählt |
1001 |
Laderegel-Installation |
Gx-Plus, NASREQ |
Fordert die Installation der Regel (Aktivierung des Dienstes) an, die durch den enthaltenen Laderegelnamen AVP (1005) gekennzeichnet ist. Dieses AVP hat die Anbieter-ID 10415 (3GPP). |
Gruppiert |
1002 |
Laderegel entfernen |
Gx-Plus |
Fordert die Entfernung der Regel (Deaktivierung des Dienstes) an, die durch den enthaltenen Charging-Rule-Name AVP (1005) gekennzeichnet ist. Dieses AVP hat die Anbieter-ID 10415 (3GPP). |
Gruppiert |
1005 |
Name der Abrechnungsregel |
Gx-Plus, NASREQ |
Gibt den Namen einer bestimmten Regel an, die installiert, geändert oder entfernt wurde. |
Oktett-Zeichenfolge |
1066 |
Monitoring-Schlüssel |
Gx-Plus |
Gibt an, welche der Überwachungsstrukturen verwendet werden sollen. Enthalten in Laderegel-Installations-AVP (1001). Der MX-Router unterstützt keine Aggregation von Statistiken über Services hinweg, daher muss der Wert dieses AVP für jeden Service unterschiedlich sein. Dieses AVP hat die Anbieter-ID 10415 (3GPP). |
Oktett-Zeichenfolge |
1067 |
Informationen zur Nutzungsüberwachung |
Gx-Plus |
Legt Überwachungsschwellenwerte fest. Wenn die Servicestatistiken mit mindestens einem der gewährten Servicewerte übereinstimmen, sendet der Router einen CCR-U-Bericht mit den aktuellen Statistiken an die PCRF. Enthält den Überwachungsschlüssel AVP (1066) und den AVP für gewährte Dienste (431). Dieses AVP hat die Anbieter-ID 10415 (3GPP). |
Gruppiert |
AVPs von Juniper Networks werden zusätzlich zu den Standard-AVPs mit Durchmesser verwendet. Diese AVPs haben die Anbieter-ID (Unternehmensnummer) 2636 bzw. 4874 und ähneln im Konzept den anbieterspezifischen Attributen (VSAs) von RADIUS. Tabelle 3 listet die AVPs von Juniper Networks auf, die von den unterstützten Diameter-Anwendungen verwendet werden.
Attributnummer |
Durchmesser AVP |
Anbieter-ID |
Anwendung |
Beschreibung |
Typ |
|---|---|---|---|---|---|
213 |
Schnittstelle-Set-Targeting-Gewicht |
4874 |
NASREQ |
Geben Sie eine Gewichtung für einen Schnittstellensatz an, um ihn und seine Mitgliedsverbindungen mit einer aggregierten Ethernet-Mitgliedsverbindung für eine gezielte Verteilung zu verknüpfen. |
Unsigniert32 |
214 |
Schnittstellen-Targeting-Gewichtung |
4874 |
NASREQ |
Geben Sie eine Gewichtung für eine Schnittstelle an, um sie mit einem Schnittstellensatz und damit mit dem aggregierten Ethernet-Mitgliedslink des Satzes für eine gezielte Verteilung zu verknüpfen. Wenn ein Schnittstellensatz keine Gewichtung hat, wird der Schnittstellengewichtswert für die erste autorisierte Anwender-Schnittstelle für den Satz verwendet. |
Unsigniert32 |
2004 |
Juniper-Service-Bundle |
2636 |
JSRC |
Gibt den Namen des Servicepakets an. |
Oktett-Zeichenfolge |
2010 |
Juniper-DHCP-Optionen |
2636 |
JSRC |
Gibt die DHCP-Optionen des Clients an. |
Oktett-Zeichenfolge |
2011 |
Juniper-DHCP-GI-Adresse |
2636 |
JSRC |
Gibt die IP-Adresse des DHCP-Relay-Agenten an. |
Oktett-Zeichenfolge |
2020 |
Juniper-Richtlinien-Installation |
2636 |
JSRC, PTSP |
Gibt die Richtlinien an, die für den Anwender aktiviert werden sollen. Enthält Juniper-Policy-Name und Juniper-Policy-Definition |
Gruppiert |
2021 |
Juniper-Richtlinienname |
2636 |
JSRC, PTSP |
Definiert den Namen einer Richtlinienentscheidung. |
Oktett-Zeichenfolge |
2022 |
Juniper-Richtlinien-Definition |
2636 |
JSRC, PTSP |
Definiert eine Richtlinienentscheidung. Enthält Juniper-Policy-Name, Juniper-Template-Name und Juniper-Substitution. |
Gruppiert |
2023 |
Juniper-Vorlagenname |
2636 |
JSRC, PTSP |
Gibt den vom Router definierten Profilnamen an. PTSP unterstützt nur die |
UTF8-Zeichenfolge |
2024 |
Juniper-Substitution |
2636 |
JSRC, PTSP |
Definiert die Substitutionsattribute. Enthält Juniper-Substitution-Name und Juniper-Substitution-Value. |
Oktett-Zeichenfolge |
2025 |
Juniper-Substitutionsname |
2636 |
JSRC, PTSP |
Definiert den Namen der zu ersetzenden Variablen. |
Oktett-Zeichenfolge |
2026 |
Juniper-Substitution-Value |
2636 |
JSRC, PTSP |
Definiert den Wert der zu ersetzenden Variablen. |
Oktett-Zeichenfolge |
2027 |
Juniper-Richtlinie entfernen |
2636 |
JSRC, PTSP |
Gibt Richtlinien an, die für den Anwender deaktiviert werden sollen. Enthält Juniper-Policy-Name. |
Gruppiert |
2035 |
Juniper-Richtlinie fehlgeschlagen |
2636 |
JSRC, PTSP |
Gibt den Namen der fehlgeschlagenen Richtlinienaktivierung oder -deaktivierung an. |
Oktett-Zeichenfolge |
2038 |
Juniper-Richtlinienerfolg |
2636 |
JSRC, PTSP |
Gibt den Namen der Richtlinienaktivierung oder -deaktivierung an, die erfolgreich war. |
Oktett-Zeichenfolge |
2046 |
Juniper-Logisches System |
2636 |
JSRC, PTSP |
Gibt das logische System an. |
UTF8-Zeichenfolge |
2047 |
Juniper-Routing-Instanz |
2636 |
JSRC, PTSP |
Gibt die Routing-Instanz an. |
UTF8-Zeichenfolge |
2048 |
Juniper-JSRC-Partition |
2636 |
JSRC, PTSP |
Gibt das logische System und die Routinginstanz für den Anwender oder die Anforderung an. Beinhaltet Juniper-Logical-System und Juniper-Routing-Instance |
Gruppiert |
2050 |
Juniper-Anforderungstyp |
2636 |
JSRC, PTSP |
Beschreibt den Typ der Anforderung:
|
Aufgezählt |
2051 |
Juniper-Synchronisationstyp |
2636 |
JSRC, PTSP |
Beschreibt den Synchronisierungstyp:
|
Aufgezählt |
2052 |
Juniper-Synchronisation |
2636 |
JSRC, PTSP |
Beschreibt den Status der Synchronisation:
|
Aufgezählt |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
Gibt die Statistikdaten für jede Richtlinie an, die für diesen Anwender installiert ist. Enthält Juniper-Policy-Name. |
Gruppiert |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Gibt an, ob Buchhaltungsdaten für die installierte Richtlinie (den Dienst) erfasst werden sollen, wenn sie im AVP "Juniper-Policy-Install" enthalten ist:
|
Aufgezählt |
2058 |
Juniper-Status-ID |
2636 |
JSRC, PTSP |
Gibt den Wert an, der jedem Synchronisationszyklus zugewiesen wird, um zu ermitteln, welche Nachrichten verworfen werden sollen. Alle angeforderten Anforderungen, die dasselbe
Hinweis:
Bei angeforderten Synchronisierungsanforderungen enthält die SRQ-Nachricht den inkrementierten |
Unsigniert32 |
2100 |
Virtueller Juniper-Router |
2636 |
Gx-Plus, JSRC |
Gibt den Namen des virtuellen Routers an, der der Sitzung zugeordnet ist. |
UTF8-Zeichenfolge |
2101 |
Juniper-Provisioning-Source |
2636 |
Gx-Plus |
Gibt die Bereitstellungsquelle für die Sitzung in CCR-N- und JSDA-Nachrichten an:
|
Aufgezählt |
2102 |
Juniper-Provisioning-Descriptor |
2636 |
Gx-Plus |
Definiert die in JSDA-Nachrichten verwendete Gruppe, die die Sitzungs-ID und optional Juniper-Provisioning-Source- und Anwenderdaten enthält. |
Gruppiert |
2103 |
Juniper-Event-Type |
2636 |
Gx-Plus |
Kommuniziert den Ereignistyp in JSER-Nachrichten:
|
Aufgezählt |
2104 |
Juniper-Discovery-Deskriptor |
2636 |
Gx-Plus |
Definiert die in JSDR- und JSDA-Nachrichten verwendete Gruppe, die Parameter einer Ermittlungsanforderung enthält: Ermittlungstyp, Anforderungszeichenfolge, Ausführlichkeit, maximale Ergebnisse. |
Gruppiert |
2105 |
Juniper-Discovery-Typ |
2636 |
Gx-Plus |
Gibt den Unterbefehl discovery für JSDR- und JSDA-Nachrichten an:
|
Aufgezählt |
2106 |
Juniper-Verbosity-Level |
2636 |
Gx-Plus |
Gibt die Ausführlichkeitsstufe für JSDR- und JSDA-Nachrichten an:
|
Aufgezählt |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Gibt eine generische Zeichenfolge an, die entsprechend dem Kontext interpretiert wird. |
UTF8-Zeichenfolge |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Gibt eine generische Zeichenfolge an, die entsprechend dem Kontext interpretiert wird. |
UTF8-Zeichenfolge |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Gibt eine generische Zeichenfolge an, die entsprechend dem Kontext interpretiert wird. |
UTF8-Zeichenfolge |
2110 |
Juniper-Unsigned32-A |
2636 |
Gx-Plus |
Gibt eine generische 32-Bit-Ganzzahl ohne Vorzeichen an, die entsprechend dem Kontext interpretiert wird. |
Unsigniert32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gx-Plus |
Gibt eine generische 32-Bit-Ganzzahl ohne Vorzeichen an, die entsprechend dem Kontext interpretiert wird. |
Unsigniert32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gx-Plus |
Gibt eine generische 32-Bit-Ganzzahl ohne Vorzeichen an, die entsprechend dem Kontext interpretiert wird. |
Unsigniert32 |
2200 |
Juniper-IPv6-NDRA-Präfix |
2636 |
JSRC |
Wenn dieser AVP im IPv6Prefix-Eintrag in der Sitzungsdatenbank des Anwenders verfügbar ist, ist er in den AAR-Bereitstellungsanforderungsnachrichten enthalten, die an die SAE gesendet werden. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
IPv6Präfix |
2201 |
Juniper-Framed-IPv6-Netzmaske |
2636 |
JSRC |
Wenn dieser AVP in der Sitzungsdatenbank des Anwenders IPv6Address verfügbar ist, ist er in den AAR-Bereitstellungsanforderungsnachrichten enthalten, die an die SAE gesendet werden. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
IPv6-Adresse |
2202 |
Juniper-Agent-Circuit-ID |
2636 |
JSRC |
Identifiziert den Anwender anhand von Zugangsknoten und Anwenderleitung. Wenn dieser AVP im Sitzungsdatenbankeintrag des Anwenders verfügbar ist, ist er in den AAR-Bereitstellungsanforderungsnachrichten enthalten, die an die SAE gesendet werden. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
Oktett-Zeichenfolge |
2203 |
Juniper-Agent-Remote-ID |
2636 |
JSRC |
Identifiziert den Anwender auf dem Zugriffsknoten. Wenn dieser AVP im Sitzungsdatenbankeintrag des Anwenders verfügbar ist, ist er in den AAR-Bereitstellungsanforderungsnachrichten enthalten, die an die SAE gesendet werden. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
Oktett-Zeichenfolge |
2204 |
Juniper-Acct-IPv6-Input-Oktette |
2636 |
JSRC |
Anzahl der IPv6-Oktette, die auf der Schnittstelle empfangen wurden. Dieses AVP ist in ACR-Buchhaltungsanforderungsnachrichten enthalten, die an die SAE gesendet werden, auch wenn der Wert Null ist. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
Unsigniert64 |
2205 |
Juniper-Acct-IPv6-Output-Oktette |
2636 |
JSRC |
Anzahl der IPv6-Oktette, die über die Schnittstelle gesendet werden. Dieses AVP ist in ACR-Buchhaltungsanforderungsnachrichten enthalten, die an die SAE gesendet werden, auch wenn der Wert Null ist. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
Unsigniert64 |
2206 |
Juniper-Acct-IPv6-Input-PKTS |
2636 |
JSRC |
Anzahl der auf der Schnittstelle empfangenen IPv6-Pakete. Dieses AVP ist in ACR-Buchhaltungsanforderungsnachrichten enthalten, die an die SAE gesendet werden, auch wenn der Wert Null ist. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
Unsigniert64 |
2207 |
Juniper-Acct-IPv6-Output-PKTS |
2636 |
JSRC |
Anzahl der über die Schnittstelle gesendeten IPv6-Pakete. Dieses AVP ist in ACR-Buchhaltungsanforderungsnachrichten enthalten, die an die SAE gesendet werden, auch wenn der Wert Null ist. Dieses AVP wird nur verwendet, wenn Sie die JSRC-Dual-Stack-Unterstützung aktivieren. |
Unsigniert64 |
Tekelec AVPs werden nur für Gx-Plus verwendet. Diese AVPs haben die Unternehmensnummer 21274. Tabelle 4 listet die Tekelec AVPs auf. Diese vier Variablen werden verwendet, um Substitutionswerte für benutzerdefinierte CoS-Dienstvariablen bereitzustellen.
Attributnummer |
Durchmesser AVP |
Anwendung |
Beschreibung |
Typ |
|---|---|---|---|---|
5555 |
Tekelec-Laderegel-Argument-Name |
Gx-Plus |
Definiert den Namen der Servicevariablen, die ersetzt werden soll. |
Oktett-Zeichenfolge |
5556 |
Tekelec-Laderegel-Argument-Wert |
Gx-Plus |
Definiert den Wert der zu ersetzenden Servicevariablen. |
Oktett-Zeichenfolge |
5557 |
Tekelec-Laderegel-Argument |
Gx-Plus |
Definiert die Ersetzungsattribute, die zum Ersetzen von Dienstvariablen verwendet werden. Enthält Tekelec-Charging-Rule-Argument-Name AVP (5555) und Tekelec-Charging-Rule-Argument-Value AVP (5556). |
Gruppiert |
5558 |
Tekelec-Laderegel-mit-Argumenten |
Gx-Plus |
Fordert die Installation der Regel (Aktivierung des Dienstes) an, die durch den enthaltenen Laderegelnamen AVP (1005) gekennzeichnet ist. Angeforderte Servicevariablenersetzungen werden durch das optional enthaltene Tekelec-Charging-Rule-Argument AVP (5557) bereitgestellt. |
Gruppiert |
Konfigurieren des Durchmessers
Sie konfigurieren Diameter, indem Sie den Ursprung des Endgeräts, die Remote-Peers, die Verbindung zur Transportschicht und Netzwerkelemente angeben, die Routen mit Peers verknüpfen. Derzeit wird nur die Master-Diameter-Instanz unterstützt. Sie können alternative Werte für diese Diameter-Instanz nur im Kontext der Standardrouting-Instanz konfigurieren.
So konfigurieren Sie das Diameter-Basisprotokoll:
Konfiguration der Ursprungsattribute der Durchmesservariante
Sie können die identifizierenden Merkmale des Endgerät-Knotens konfigurieren, der Diameter-Meldungen für die Diameter-Instanz ausgibt. Der Hostname wird von der Diameter-Instanz als Wert für den Ursprungs-Host-AVP bereitgestellt. Der Realm wird von der Diameter-Instanz als Wert für den Origin-Realm-AVP bereitgestellt.
So konfigurieren Sie die Ursprungsattribute für eine Diameter-Instanz:
Konfigurieren von Durchmesser-Peers
Sie können die Peers konfigurieren, an die Diameter Nachrichten sendet. Diameter verwendet das standardmäßige logische System und die Routing-Instanz. Port 3868 wird standardmäßig für aktive Verbindungen zu Peers verwendet.
So konfigurieren Sie einen Remote-Peer für eine Diameter-Instanz:
Die folgende Konfiguration für Peer p3 spezifiziert beispielsweise eine IPv4-Adresse, die Routing-Instanz ri8, den Zielport 49152, den Transport t6, einen Ursprung von Host 1 in example.com und schließt den Ursprungszustand AVP in Nachrichten ein.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Konfiguration des Diameter-Transports
Sie können einen oder mehrere Transporte für eine Diameter-Instanz konfigurieren, um die IPv4- oder IPv6-Adresse für die lokale Verbindung festzulegen, und optional einen logischen System- oder Routing-Instanzkontext konfigurieren. Diameter verwendet das standardmäßige logische System und die Routing-Instanz. Das logische System und die Routinginstanz für die Transportverbindung müssen mit denen für den Peer übereinstimmen, oder es wird ein Konfigurationsfehler gemeldet. Mehrere Peers können denselben Transport gemeinsam nutzen.
So konfigurieren Sie einen Transport für eine Diameter-Instanz:
Die folgende Konfiguration für den Transport t1 gibt beispielsweise eine IPv6-Adresse, ein logisches System ls5 und eine Routing-Instanz ri10 an.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Konfigurieren von Diameter-Netzwerkelementen
Ein Diameter-Netzwerkelement (DNE) besteht aus zugehörigen Anwendungen (in der CLI als Funktionen bezeichnet), einer Liste priorisierter Peers und einer Reihe von Weiterleitungsregeln. Die Weiterleitungsregeln definieren individuelle Routen über eine Reihe von zugeordneten Zielen, Anwendungen und Metriken. Pro Gehäuse muss mindestens ein DNE konfiguriert werden, um den Diameter-Prozess (jdiameterd) zu starten.
Führen Sie vor der Konfiguration von Diameter-Netzwerkelementen die folgende Aufgabe aus:
Definieren Sie die Durchmesser-Peers. Siehe Konfigurieren von Diameter-Peers.
So konfigurieren Sie ein Diameter-Netzwerkelement:
Beispiel: Konfiguration der S6a-Anwendung
Dieses Beispiel zeigt, wie Sie die S6a-Anwendung für die durchmesserbasierte Authentifizierung auf Ihrer Firewall der SRX-Serie so konfigurieren, dass Authentifizierungsinformationen vom Anwender-Server abgerufen werden.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
Jede Firewall der SRX-Serie
Bevor Sie beginnen, lesen Sie Diameter Base Protocol Overview.
Überblick
In diesem Beispiel erstellen Sie eine S6a-Partition und geben den Ursprung des Endgeräts, die Remote-Peers und die Netzwerkelemente an, die Routen mit Peers verknüpfen, um die Weiterleitung von S6a-Nachrichten zu steuern. Sie erstellen auch eine S6a-Partition, um Derzeit wird nur die Master-Diameter-Instanz unterstützt. Sie können alternative Werte für die master Diameter-Instanz nur im Kontext der Standardrouting-Instanz konfigurieren.
Konfiguration
- Konfigurieren der Anwendungsparameter für Zugriffsprofil und Durchmesser
- Konfigurieren redundanter Ethernet-Schnittstellen
- Konfigurieren von Sicherheitszonen und Sicherheitsrichtlinien, um die S6A-Diameter-Anwendung zuzulassen
Konfigurieren der Anwendungsparameter für Zugriffsprofil und Durchmesser
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Anwendungsparameter für Zugriffsprofile und Durchmesser:
Geben Sie das Zugriffsprofil an, das für die Reihenfolge der Authentifizierung verwendet werden soll.
[edit access-profile] user@host# set s6a_test
Geben Sie die Reihenfolge an, in der die Authentifizierungsmethoden verwendet werden.
[edit access profile] user@host# set s6a_test authentication-order s6a
Erstellen Sie die Partition, oder geben Sie den Namen einer vorhandenen Partition an.
[edit access] user@host# set s6a partition partition_name
Konfigurieren Sie den Zielbereich für die s6a-Partition.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Konfigurieren Sie den Zielhost für die s6a-Partition.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Geben Sie die Diameter-Instanz für die s6a-Partition an.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Hinweis:Derzeit wird nur die Standard-Diameter-Instanz unterstützt.
masterLegen Sie ein Limit für die Anzahl der ausstehenden Anforderungen fest.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Konfigurieren Sie die Zeitspanne in Sekunden, bevor der s6a aufhört, eine Abmeldenachricht für den Anwender zu senden.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Geben Sie den Namen des Bereichs an, aus dem die Diameter-Nachricht stammt.
[edit diameter] user@host# set origin realm zzz.com
Geben Sie den Namen des Hosts an, von dem die Diameter-Nachricht stammt.
[edit diameter] user@host# set origin host s6a.zzz.com
Geben Sie den Namen des Netzwerkelements an.
[edit diameter] user@host# set network-element ne3
Ordnen Sie dem Netzwerkelement einen Diameter-Peer zu.
[edit diameter] user@host# set network-element peer p3
Legen Sie die Priorität für den Peer fest.
[edit diameter] user@host# set network-element peer p3 priority 100
Geben Sie eine Route an, die über das Netzwerkelement erreichbar ist, basierend auf den von Ihnen definierten Weiterleitungsregeln.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Geben Sie eine Metrik für die Route an.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Geben Sie die IP-Adresse des Diameter-Peers an.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Geben Sie den Port an, den Diameter für aktive Verbindungen zum Peer verwendet.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show access show diameter und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren redundanter Ethernet-Schnittstellen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie redundante Ethernet-Schnittstellen:
Konfigurieren Sie redundante Ethernet-Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show interfaces Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Sicherheitszonen und Sicherheitsrichtlinien, um die S6A-Diameter-Anwendung zuzulassen
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien und -zonen:
Stellen Sie Systemdienste und Protokolle auf der reth1.0-Schnittstelle ein.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Stellen Sie Systemdienste und Protokolle auf der reth0.0-Schnittstelle ein.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Konfigurieren Sie die Sicherheitsrichtlinien.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security policies Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen des S6a-Status
Zweck
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Aktion
Geben Sie im Betriebsmodus die show network-access s6a stateBefehle , show network-access s6a statisticsund show network-access s6a statistics extensive ein, um den Netzwerkzugriffsstatus und die Statistiken der s6a-Anwendung zu überprüfen.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Bedeutung
Die show network-access s6a stateBefehle , show network-access s6a statistics, und show network-access s6a statistics extensive zeigt den S6a-Anwendungsstatus und die Statistik der abgerufenen Authentifizierungsinformationen vom abonnierten Server an.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.