Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Zuordnen von Anwenderdomänen zu Zugriffs- und Sitzungsoptionen

Übersicht über die Domain-Zuordnung

Mit der Domänenzuordnung können Sie eine Zuordnung konfigurieren, die Zugriffsoptionen und sitzungsspezifische Parameter angibt. Die Zuordnung basiert auf dem Domänennamen der Anwendersitzungen – der Router wendet die zugeordneten Optionen und Parameter auf Sitzungen für Abonnenten mit den angegebenen Domänen an. Sie können z. B. eine Domänenzuordnung konfigurieren, die auf dem Domänennamen example.combasiert. Die Optionen und Parameter in dieser Domänenzuordnung werden dann angewendet, bob@example.comwenn Abonnenten mit dem angegebenen Domänennamen (z. B. , raj@example.comund juan@example.com) einen AAA-Dienst anfordern.

Anmerkung:

Der Benutzername eines Abonnenten besteht in der Regel aus zwei Teilen: dem Namen des Benutzers, gefolgt vom Domänennamen des Benutzers, die durch ein Trennzeichen getrennt sind. Der Domänenname befindet sich immer rechts neben dem Domänentrennzeichen. Im Benutzernamen juan@example.comfolgt auf den Namen juan des Benutzers beispielsweise der Domänenname example.com, und die beiden werden durch das @ Trennzeichen getrennt.

Einige Systeme verwenden jedoch ein Benutzernamenformat, in dem der Domänenname precedes der Name des Benutzers ist. Um Verwechslungen mit der typischen Verwendung von Domänennamen zu vermeiden, wird diese Art von vorhergehendem Domänennamen als Bereichsname bezeichnet, und der Bereichsname befindet sich links vom Bereichstrennzeichen. Im Benutzernamen top321-example.com/maryist der top321-example.com Teil z. B. der Bereichsname, mary der Name des Benutzers und das / Zeichen das Trennzeichen.

Die Domänenzuordnung sorgt für Effizienz und ermöglicht es Ihnen, Änderungen für eine große Anzahl von Abonnenten in einem Vorgang vorzunehmen. Wenn z. B. ein Adresszuweisungspool aufgrund der Anzahl von Abonnenten, die Adressen aus dem Pool abrufen, erschöpft ist, können Sie eine Domänenzuordnung erstellen, die angibt, dass Abonnenten in einer bestimmten Domäne Adressen aus einem anderen Pool beziehen. Bei einer anderen Verwendung der Domänenzuordnung können Sie ein neues dynamisches Profil erstellen und dann die Domänenzuordnung so konfigurieren, dass angegeben wird, welche Abonnenten (nach ihrer Domäne) dieses dynamische Profil verwenden.

Ab Junos OS Version 21.3R1 können Sie Subdomänen unter einer Domänenzuordnung konfigurieren. In einer Subdomain können Sie Zugriffsprofile pro VLAN oder für einen VLAN-Bereich konfigurieren. Diese Erweiterung bietet Ihnen die Flexibilität, die Benutzer in einer Domäne zu unterscheiden und basierend auf den Benutzerprofilen unterschiedliche Dienste bereitzustellen.

Anmerkung:

Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt. In der Dokumentation für die Domänenzuordnungsfunktion für die Abonnentenverwaltung wird die Verwendung der aaa-logical-system and-Anweisungen target-logical-system zum Konfigurieren der Zuordnung zu einem nicht standardmäßigen logischen System beschrieben. Diese Anweisungen gelten für zukünftige Erweiterungen der Abonnentenverwaltung.

In Tabelle 1 werden die Zugriffsoptionen und Parameter beschrieben, die Sie in der Domänenzuordnung konfigurieren können.

Tabelle 1: Optionen und Parameter für die Domänenzuordnung

Option

Beschreibung

Logisches AAA-System/Routing-Instanz

Logisches System/Routing-Instanz, in der AAA Authentifizierungs- und Kontoführungsanforderungen für die Abonnentensitzungen sendet.

Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt.

Zugriffsprofil

Zugriffsprofil, das auf Abonnentensitzungen angewendet wird.

Adresspool

Adresspool, der zum Zuweisen von Adressen zu Abonnenten verwendet wird.

Regeln für Domänen- und Bereichsnamen

Regeln für die Verwendung von Domänen- und Bereichsnamen, einschließlich Domänennamenstripping, unterstützter Trennzeichen und Analyserichtung (Trennzeichen und die Analyserichtung werden global konfiguriert).

Dynamisches Profil

Dynamisches Profil, das auf Abonnentensitzungen angewendet wird.

PADN-Parameter

PPPoE-Routeninformationen für Abonnentensitzungen.

Logisches Zielsystem/Routing-Instanz

Logisches System/Routing-Instanz, an das bzw. die die Subscriber-Schnittstelle angehängt ist.

Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt.

Tunnelprofil

Tunnelprofil, das auf Abonnentensitzungen angewendet wird.

Arten von Domänenzuordnungen und ihre Rangfolge

Ab Junos OS Version 16.1 verwendet die Abonnentenverwaltung eine bestimmte Reihenfolge bei der Suche nach einer Domänenzuordnung, die mit dem Domänennamen des Abonnenten übereinstimmt. Die folgende Liste zeigt diese Reihenfolge:

  • Domänenzuordnung genau übereinstimmend: Der Domänenname des Abonnenten stimmt genau mit einer konfigurierten Domänenzuordnung überein.

  • Platzhalter-Domänenzuordnung: Der Abonnenten-Domänenname stimmt teilweise mit einer Platzhalter-Domänenzuordnung überein.

  • default Domänenzuordnung: Der Domänenname des Abonnenten ist weder eine exakte Übereinstimmung noch eine partielle Platzhalterübereinstimmung mit einer Domänenzuordnung.

Anmerkung:

Wenn der Benutzername des Abonnenten keinen Domänennamen hat, wird keine Suche durchgeführt, und der Abonnent wird der none Domänenzuordnung zugeordnet, sofern konfiguriert.

Platzhalter-Domänenzuordnung

Ab Junos OS Version 16.1 können Sie mit der Funktion "Platzhalter-Domänenzuordnung" einen Domänennamen angeben, der von Abonnenten verwendet wird, wenn keine genaue Übereinstimmung mit dem Domänennamen des Abonnenten besteht. Wenn Sie z. B. eine Platzhalterdomänenzuordnung mit dem Namen xyz*.example.comerstellen, werden Abonnenten mit den Domänennamen xyz.example.com, xyz-1234.example.comxyz-eastern.example.com, und xyz-northern.example.com alle dieser Platzhalterdomäne zugeordnet, wenn es keine genaue Übereinstimmung mit den Domänennamen der Abonnenten gab. Sie können das Sternchen-Platzhalterzeichen an einer beliebigen Stelle in der Domänenzuordnung einfügen, um die gewünschte übereinstimmende Spezifikation zu erstellen. Die Platzhalterdomänenzuordnung wird auch in Fällen verwendet, in denen Teilnehmernamen von der DHCPv4-Agenten-Remote-ID (Option 82, Unteroption 2) oder der DHCPv6-Remote-ID (Option 37) abgeleitet werden.

Standard-Domain-Zuordnung

Sie können eine Standarddomänenzuordnung konfigurieren, die der Router für Abonnenten verwendet, deren Domänen- oder Bereichsname nicht explizit mit einer vorhandenen Domänenzuordnung übereinstimmt und auch nicht teilweise mit einer Platzhalterdomänenzuordnung übereinstimmt. Geben Sie den Namen default als domain map domain-map-name.

Sie können z. B. die Standarddomänenzuordnung so konfigurieren, dass sie Gastabonnenten eingeschränkte Funktionen zur Verfügung stellt, z. B. einen bestimmten Adresspool, der für Gäste verwendet wird, oder die Routinginstanz, die AAA-Dienste bereitstellt. Wenn der Router keine exakte Übereinstimmung oder Platzhalterübereinstimmung für den Gastabonnenten bereitstellen kann, verwendet der Router die in der Standardkonfiguration für die Domänenzuordnung angegebenen Regeln, um die Anforderung des Gastabonnenten zu verarbeiten.

Domänenzuordnung für Abonnentenbenutzernamen ohne Domänen- oder Bereichsnamen

In einigen Fällen kann es vorkommen, dass der Benutzername eines Abonnenten keinen Domänen- oder Bereichsnamen enthält – Sie können eine bestimmte Domänenzuordnung konfigurieren, die der Router für diese Abonnenten verwendet. Geben Sie den Namen none als domain map domain-map-name.

Grundlegendes zu Domänenzuordnungen und logischen System-/Routinginstanzkontexten

Sie können eine Domänenzuordnung verwenden, um das logische System/die Routing-Instanz zu verwalten, die von der Abonnentenverwaltung für AAA- und Abonnentenkontexte verwendet wird. Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt, sodass Sie die Kontexte durch Konfigurieren der Routinginstanz verwalten. In der folgenden Liste werden die beiden Arten von Kontexten beschrieben:

  • Abonnentenkontext: Die logische System-/Routing-Instanz, in der sich die Subscriber-Schnittstelle befindet. Bei den meisten dynamischen Abonnentensitzungen ist der anfängliche Abonnentensitzungskontext das logische Standardsystem und die Standardroutinginstanz. Eine Ausnahme ist LNS, bei dem der anfängliche Kontext für eine dynamische LNS-Sitzung (PPP über L2TP) mit dem der Peer-Schnittstelle (der LAC-Schnittstelle) identisch ist. Wenn die Peerschnittstelle für LNS-Sitzungen eine nicht standardmäßige Routinginstanz verwendet, verwendet der anfängliche Kontext der Abonnentensitzung daher auch diese nicht standardmäßige Routinginstanz.

  • AAA-Kontext: Die logische System-/Routing-Instanz, die von der Abonnentensitzung für RADIUS-Interaktionen verwendet wird, z. B. Authentifizierungs- und Kontoführungsanforderungen. Standardmäßig ist der AAA-Kontext mit dem anfänglichen Abonnentenkontext identisch. Daher wird die Authentifizierung und Autorisierung für alle Abonnentensitzungen, bei denen es sich nicht um dynamische LNS-Sitzungen handelt, im Standardkontext für logische System-/Routinginstanzen durchgeführt, es sei denn, die Standardroutinginstanz wird explizit geändert.

Optional können Sie eine Domänenzuordnung so konfigurieren, dass ein bestimmter Teilnehmer oder AAA-Kontext verwendet wird. Wenn z. B. eine dynamische LNS-Sitzung anfänglich in einer nicht standardmäßigen Routing-Instanz erstellt wird (weil der anfängliche Abonnentenkontext die nicht standardmäßige Routing-Instanz verwendet), können Sie die target-routing-instance Anweisung verwenden, um die Domänenzuordnung so zu konfigurieren, dass der Abonnent in der Standard-Routing-Instanz platziert wird. Oder aus Sicherheitsgründen möchten Sie alle RADIUS-Interaktionen in einem bestimmten Kontext haben. In diesem Fall verwenden Sie die aaa-routing-instance Anweisung, um die Domänenzuordnung so zu konfigurieren, dass der anfängliche AAA-Kontext in die neue Routinginstanz geändert wird.

Die Verwendung von Domänenzuordnungen zur Verwaltung von AAA- und Abonnentenkontexten ist auch in Layer-3-Großhandelsumgebungen nützlich. Sie können beispielsweise dynamische VLAN-Schnittstellen in verschiedenen, nicht standardmäßigen Routing-Instanzen platzieren, während alle RADIUS-Interaktionen in der Standard-Routing-Instanz beibehalten werden. In diesem Beispiel befindet sich der anfängliche AAA-Kontext in der Standard-Routing-Instanz, aber die RADIUS-Autorisierung platziert die Abonnenten-VLAN-Sitzung in einer nicht standardmäßigen Routing-Instanz. Anschließend können Sie die Anweisung aaa-routing-instance in die Domänenzuordnung aufnehmen, um anzugeben, dass der AAA-Kontext die Standard-Routing-Instanz für die dynamische VLAN-Sitzung verwendet. Die Abonnentensitzung bleibt unverändert und verbleibt in der nicht standardmäßigen Routinginstanz.

Vorteile der Verwendung von Domänenzuordnungen

  • Domänenzuordnungen vereinfachen die Verwaltung von Abonnenten in großem Maßstab, indem sie es Ihnen ermöglichen, Änderungen für eine große Anzahl von Abonnenten in einem Vorgang vorzunehmen.

  • Domänenzuordnungen bieten eine granulare Anwendung von Änderungen auf bestimmte Gruppen von Abonnenten basierend auf Ihren Zuordnungsdefinitionen.

Konfigurieren einer Domänenzuordnung

So konfigurieren Sie eine Domänenzuordnung für die Abonnentenverwaltung:

  1. Erstellen Sie die Domänenzuordnung. Geben Sie für den Zuordnungsnamen den Domänennamen an, den die Domänenzuordnung verwenden soll. (Wird für den Namen der Standarddomänenzuordnung verwendet default .)

    • So erstellen Sie beispielsweise eine Domänenzuordnung, die Abonnenten mit dem Domänennamen example.comzugeordnet werden soll:

    • So erstellen Sie eine Platzhalterdomänenzuordnung, die Abonnenten zugeordnet werden soll, deren Domänenname nicht genau übereinstimmt, sondern nur teilweise übereinstimmt:

      Weitere Informationen finden Sie unter Konfigurieren einer Platzhalterdomänenzuordnung.

    • So erstellen Sie eine Standarddomänenzuordnung, die Abonnenten mit nicht übereinstimmenden Domänennamen zugeordnet werden soll:

    • So erstellen Sie eine Domänenzuordnung, die Abonnenten ohne Domänen- oder Bereichsnamen zugeordnet werden soll:

  2. (Optional) Geben Sie das Zugriffsprofil an, das zum Anwenden von Zugriffsregeln für die Domänenzuordnung verwendet wird.

    Weitere Informationen finden Sie unter Angeben eines Zugriffsprofils in einer Domänenzuordnung.

  3. (Optional) Klären Sie bei dynamischen Profilen die bereitgestellte dynamische Konfiguration für die Abonnentensitzung.

    Weitere Informationen finden Sie unter Angeben eines dynamischen Profils in einer Domänenzuordnung.

  4. (Optional) Geben Sie den Adresspool an, der zum Zuweisen der Adresse für die Domänenzuordnung verwendet wird.

    Weitere Informationen finden Sie unter Angeben eines Adresspools in einer Domänenzuordnung.

  5. (Optional) Konfigurieren Sie das logische Zielsystem/die Routing-Instanz für den Abonnentenkontext.

    Weitere Informationen finden Sie unter Angeben eines logischen AAA-Systems/einer Routing-Instanz in einer Domänenzuordnung.

  6. (Optional) Konfigurieren Sie das logische Zielsystem/die Routing-Instanz, in der AAA-Anforderungen für die Domänenzuordnung gesendet werden.

    Weitere Informationen finden Sie unter Angeben eines logischen Zielsystems/einer Routing-Instanz in einer Domänenzuordnung.

  7. (Optional) Konfigurieren Sie Regeln für Domänennamen, z. B. Trennzeichen, Analyserichtung und Domänen-Stripping. Trennzeichen und Analyserichtung werden global für alle Domänenzuordnungen konfiguriert. Das Domänenstripping ist in der Domänenzuordnung aktiviert.

    Weitere Informationen finden Sie unter Konfigurieren der Verwendung von Domänen- und Bereichsnamen für Domänenzuordnungen.

  8. (Optional) Konfigurieren Sie Regeln, um den Domänenteil aus dem Benutzernamen für Authentifizierungs-, Kontoführungs- und Anzeigezwecke zu entfernen.

    Weitere Informationen finden Sie unter Aktivieren des Entfernens von Domänennamen.

  9. (Optional) Konfigurieren Sie das Parsen des Benutzerteils des Benutzernamens, und entfernen Sie den Benutzerteil nur für die Authentifizierung.

    Weitere Informationen finden Sie unter Ändern des Benutzernamens und des Kennworts zur Simplifizierung der Bereitstellung außerhalb des Chassis.

  10. (Optional) Geben Sie ein Kennwort an, das für alle Abonnentenauthentifizierungen für eine Domänenzuordnung verwendet werden soll. Diese Option wirkt sich nur auf den Benutzernamen/das Kennwort aus, das in der Zugriffsanfrage an externe Richtlinien-/RADIUS-Server gesendet wird.

    Weitere Informationen finden Sie unter Ändern des Benutzernamens und des Kennworts zur Simplifizierung der Bereitstellung außerhalb des Chassis.

  11. (Optional) Weisen Sie ein Tunnelprofil zu, das Tunneldefinitionen für die Domänenzuordnung bereitstellt.

    Weitere Informationen finden Sie unter Angeben eines Tunnelprofils in einer Domänenzuordnung.

  12. (Optional) Weisen Sie ein Tunnel-Switch-Profil zu, das von der Domänenzuordnung angewendet werden soll.

    Weitere Informationen finden Sie unter Angeben eines Tunnel-Switch-Profils in einer Domänenzuordnung.

Konfigurieren einer Platzhalterdomänenzuordnung

Die Abonnentenverwaltung unterstützt eine Funktion für die Platzhalterdomänenzuordnung, mit der Sie eine Domänenzuordnung konfigurieren können, die auf einer partiellen Platzhalterübereinstimmung basiert. Wenn es keine genaue Übereinstimmung zwischen dem Domänennamen des Abonnenten und einer konfigurierten Domänenzuordnung gibt, sucht die Abonnentenverwaltung als Nächstes nach einer teilweisen Übereinstimmung zwischen dem Domänennamen des Abonnenten und einer Platzhalterdomänenzuordnung.

Um die Platzhalter-Domänenzuordnung zu erstellen, fügen Sie das Sternchen-Platzhalterzeichen ein, wenn Sie den Domänenzuordnungsnamen konfigurieren, domain map example*z. B. . Sie können das Platzhalterzeichen an einer beliebigen Stelle in der Domänenzuordnung einfügen, und der Platzhalter kann null oder eine beliebige Anzahl von Zeichen darstellen. Das Sternchen ist das einzige unterstützte Platzhalterzeichen.

Die Konfigurationsanweisung domain map example*northern.com erstellt z. B. eine Platzhalterdomänenzuordnung, die eine Teilübereinstimmung für alle Domänennamen ist, die mit example beginnen, und enden mit northern.com, z. B examplenorthern.com. , example-northern.comund example1234northern.com. Wenn Sie jedoch das Platzhalterzeichen im Domänenzuordnungsnamen nach domain map example-northern*.comverschieben, wird eine restriktivere Übereinstimmung erstellt, bei der die teilweise übereinstimmenden Domänennamen mit example-northernbeginnen müssen, z. B example-northern555.com . oder example-northern-alpha.com.

Die Platzhalterdomänenzuordnung ist auch nützlich, wenn die Teilnehmerverwaltung Benutzernamen des Abonnenten von der Remote-ID des DHCPv4-Agenten (Option 82, Unteroption 2) oder der DHCPv6-Remote-ID (Option 37) ableitet. In diesen Fällen hat der resultierende Benutzername das Format subscriberID|service-plan|accountID|unused; z. B EricSmith|premiumTier1|314159265|0000 . (wobei das | Zeichen das Trennzeichen ist). In diesem Beispiel analysiert die Abonnentenverwaltung den Benutzernamen von links nach rechts und identifiziert die Domäne des Abonnenten als premiumTier1|314159265|0000. Um eine Platzhalterdomänenzuordnung zu erstellen, die für diesen Abonnenten verwendet wird, können domain map premiumTier1*Sie konfigurieren.

Im folgenden Beispiel wird beschrieben, wie vier Abonnenten verschiedenen Domänen zugeordnet werden.

Für dieses Beispiel sind drei Domänenzuordnungen konfiguriert. die default Domänenzuordnung, eine Domänenzuordnung mit dem Namen example3000.comund eine Platzhalterdomänenzuordnung mit dem Namen example*. Die Abonnenten werden wie in der folgenden Liste dargestellt zugeordnet:

  • eric@example3000.com: Es gibt eine genaue Übereinstimmung mit der Domänenzuordnung, sodass der Abonnent der Domäne example3000.comzugeordnet ist.

  • jack@example1001.com: Es gibt keine genaue Übereinstimmung, aber es gibt eine teilweise Übereinstimmung mit der Platzhalterdomäne, sodass der Abonnent der Platzhalterdomäne example*zugeordnet wird.

  • ginger@example-western.com: Es gibt keine genaue Übereinstimmung, aber es gibt eine teilweise Übereinstimmung mit der Platzhalterdomäne, sodass der Abonnent auch der Platzhalterdomäne example*zugeordnet wird.

  • sunshine@test.com: Es gibt weder eine genaue Übereinstimmung noch eine teilweise Übereinstimmung mit der Platzhalterdomäne, sodass der Abonnent der default Domäne zugeordnet wird.

So konfigurieren Sie eine Platzhalterdomänenzuordnung:

  1. Geben Sie den Namen der Domänenzuordnung einschließlich des Platzhalterzeichens an.
  2. Geben Sie die optionalen Merkmale für die Platzhalterdomänenzuordnung an.

    Weitere Informationen finden Sie unter Konfigurieren einer Domänenzuordnung.

Angeben eines Zugriffsprofils in einer Domänenzuordnung

Sie verwenden Zugriffsprofile, um die Zugriffsregeln und -optionen (z. B. den RADIUS-Authentifizierungsserver und die Attribute) anzugeben, die der Router auf Abonnentensitzungen anwendet. Mit der Funktion "Domänenzuordnung" können Sie ein bestimmtes Zugriffsprofil für Abonnenten in einer bestimmten Domäne anwenden.

Zugriffsprofile können auf verschiedene Weise spezifiziert oder geändert werden. Wenn Konflikte auftreten, wendet der Router die Zugriffsprofile basierend auf den in Tabelle 2 aufgeführten Prioritätsregeln an.

Tabelle 2: Rangfolgenregeln für die Anwendung von Zugriffsprofilen

Vorrang (Hoch bis Niedrig)

Wie das Zugriffsprofil angewendet wird

1

Angegeben durch das Attribut RADIUS Redirect-VRouter-Name (VSA 26-25)

2

Angegeben in der Konfigurationsgruppe für die Domänenzuordnung

3

Indirekt in der Konfigurationsgruppe für die Domänenzuordnung durch die AAA-Zuordnung logisches System/Routing-Instanz angegeben

4

Angegeben in der Clientkonfigurationszeile

5

Angegeben in der Konfigurationszeile für logisches System/Routinginstanz

So fügen Sie ein Zugriffsprofil in eine Domänenzuordnung ein:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie das Zugriffsprofil an, das Sie in die Domänenzuordnung aufnehmen möchten.

Angeben eines Adresspools in einer Domänenzuordnung

Mit der Funktion "Domänenzuordnung" können Sie den Adresspool angeben, den der Router zum Zuweisen von Adressen für Abonnentensitzungen verwendet. Der Adresspool kann sowohl IPv4- als auch IPv6-Adressbereiche umfassen.

Adresspools können auf verschiedene Weise angegeben oder geändert werden. Wenn Konflikte auftreten, wendet der Router den Adresspool auf der Grundlage der in Tabelle 3 aufgeführten Prioritätsregeln an.

Tabelle 3: Rangfolgenregeln für die Bestimmung des zu verwendenden Adresspools

Vorrang (Hoch bis Niedrig)

Wie die Adresspoolreferenz bereitgestellt wird

1

Angegeben durch das RADIUS-Framed-Pool-Attribut (RADIUS-Attribut 88)

2

Konfiguriert in der Konfigurationszeile für die Domänenzuordnung

3

Angegeben in der Clientkonfigurationszeile (nach Adressübereinstimmungsregeln)

So geben Sie den Adresspool an, der für eine Domänenzuordnung verwendet wird:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie den Adresspool an, den Sie für die Domänenzuordnung verwenden möchten.

Angeben eines dynamischen Profils in einer Domänenzuordnung

Ein dynamisches Profil definiert die Reihe von Merkmalen, die dynamischen Zugriff und Dienste für Anwendersitzungen bereitstellen (z. B. Class-of-Service, Protokolle und Schnittstellenunterstützung). Mit der Funktion "Domänenzuordnung" können Sie ein bestimmtes dynamisches Profil basierend auf Abonnentendomänen anwenden.

Dynamische Profile werden in der [edit dynamic-profiles] Hierarchie konfiguriert und können auf verschiedene Weise angegeben oder geändert werden. Wenn Konflikte auftreten, wendet der Router die dynamischen Profile basierend auf den in Tabelle 4 aufgeführten Rangfolgeregeln an.

Tabelle 4: Rangfolgenregeln für die Anwendung dynamischer Profile

Vorrang (Hoch bis Niedrig)

Wie das dynamische Profil angewendet wird

1

Angegeben durch das RADIUS-Attribut "Virtual-Router" (VSA 26-1) oder das Attribut "Redirect-VRouter-Name" (VSA 26-25)

2

Angegeben in der Konfigurationsgruppe für die Domänenzuordnung

3

Angegeben in der Clientkonfigurationszeile

So schließen Sie ein dynamisches Profil in eine Domänenzuordnung ein:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie das dynamische Profil an, das Sie in die Domänenzuordnung aufnehmen möchten.

Angeben eines logischen AAA-Systems/einer Routing-Instanz in einer Domänenzuordnung

Standardmäßig verwendet eine Domänenzuordnung das logische System/die Routing-Instanz des Abonnenten als Kontext, in dem der authd Daemon AAA-Authentifizierungs- und Kontoführungsanforderungen sendet. Optional können Sie die Domänenzuordnung so konfigurieren, dass AAA-Anforderungen basierend auf dem Domänennamen des Abonnenten an einen bestimmten Kontext weitergeleitet werden. Durch die Angabe eines nicht standardmäßigen AAA-Kontexts können Sie den Workflow und die Datenverkehrslast verwalten und Änderungen effizient für eine große Anzahl von Abonnenten vornehmen. Nach dem Upgrade Ihrer RADIUS-Services können Sie z. B. eine Domänenzuordnung konfigurieren, um anzugeben, dass alle Abonnenten in der Domäne example.com jetzt von einem RADIUS-Server in einem bestimmten AAA-Kontext authentifiziert werden.

Anmerkung:

Durch das Ändern des AAA-Kontexts wird der Abonnentenkontext nicht geändert. Mit der target-logical-system Anweisung konfigurieren Sie das logische System/die Routing-Instanz explizit für Abonnenten.

So konfigurieren Sie den logischen System-/Routing-Instanzkontext, der für AAA-Anforderungen verwendet wird:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie die Routing-Instanz an. Wenn derzeit eine nicht standardmäßige Routinginstanz konfiguriert ist, können Sie mit der default Option angeben, dass die Domänenzuordnung die Standardroutinginstanz verwendet. Das logische AAA-System wird automatisch auf die Standardeinstellung zurückgesetzt.
Anmerkung:

Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt.

Angeben eines logischen Zielsystems/einer Routing-Instanz in einer Domänenzuordnung

Standardmäßig platziert der Router einen Teilnehmer im logischen System-/Routinginstanzkontext der Schnittstelle, auf der die Teilnehmerverhandlungen beginnen. Sie können später die Routinginstanz des Abonnentenkontexts mithilfe einer Domänenzuordnung oder des RADIUS-Authentifizierungsservers ändern.

Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt, Sie können die Domänenzuordnung jedoch so konfigurieren, dass eine nicht standardmäßige Routinginstanz verwendet wird. Wenn bereits eine nicht standardmäßige Routinginstanz konfiguriert ist, können Sie die Domänenzuordnung so konfigurieren, dass die Standardroutinginstanz verwendet wird.

So konfigurieren Sie den logischen System-/Routing-Instanzkontext, der für die Schnittstelle eines Abonnenten verwendet wird:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie die Ziel-Routing-Instanz an (standardmäßig wird das logische Standardsystem verwendet). Wenn derzeit eine nicht standardmäßige Routinginstanz konfiguriert ist, können Sie mit der default Option angeben, dass die Domänenzuordnung die Standardroutinginstanz verwendet.
Anmerkung:

Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt.

Angeben eines Tunnelprofils in einer Domänenzuordnung

Tunnelprofile geben Tunneldefinitionen an (z. B. eine Reihe von L2TP-Tunneln und deren Attribute), die der Router auf Abonnentensitzungen anwendet. Mit der Funktion "Domänenzuordnung" können Sie ein bestimmtes Tunnelprofil auf Abonnenten in einer bestimmten Domäne anwenden.

Anmerkung:

Ein Tunnelprofil, das von einem RADIUS-Server im Attribut "Tunnel-Group" (VSA 26-64) angegeben wird, hat Vorrang vor dem in der Domänenzuordnung angegebenen Tunnelprofil.

So schließen Sie ein Tunnelprofil in eine Domänenzuordnung ein:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie das Tunnelprofil an, das Sie in die Domänenzuordnung aufnehmen möchten.

Siehe auch

Angeben eines Tunnel-Switch-Profils in einer Domänenzuordnung

Tunnel-Switch-Profile bestimmen, ob Pakete in einer L2TP-Teilnehmersitzung von einer LAC zu einer anderen Sitzung mit einem anderen Ziel-LNS geswitcht werden. Das Tunnel-Switch-Profil kann auch angeben, wie bestimmte L2TP-AVPs behandelt werden, wenn die Pakete in einen zweiten Tunnel geswitcht werden. Mit der Domänenzuordnungsfunktion können Sie ein bestimmtes Tunnel-Switch-Profil auf Abonnenten in einer bestimmten Domäne anwenden.

Anmerkung:

Ein Tunnel-Switch-Profil, das von einem RADIUS-Server in der Tunnel-Switch-Profil-VSA (26-91) angegeben wird, hat Vorrang vor dem in der Domänenübersicht angegebenen Tunnel-Switch-Profil. Wenn der Tunnel-Gruppen-VSA (26-64) zusätzlich zum Tunnel-Switch-Profil-VSA (26-91) empfangen wird, hat das Tunnel-Switch-Profil-VSA (26-91) Vorrang vor dem Tunnelgruppen-VSA (26-64), wodurch sichergestellt wird, dass die Teilnehmer getunnelt und nicht getunnelt werden.

So schließen Sie ein Tunnel-Switch-Profil in eine Domänenzuordnung ein:

  1. Geben Sie die Domänenzuordnung an, die Sie konfigurieren möchten.
  2. Geben Sie das Tunnel-Switch-Profil an, das Sie in die Domänenzuordnung aufnehmen möchten.

Siehe auch

Konfigurieren der Verwendung von Domänen und Bereichsnamen für Domänenzuordnungen

Sie können konfigurieren, wie der Router die Domänennamen bestimmt, die für die Domänenzuordnungsfunktion verwendet werden. Auf globaler Ebene können Sie Regeln angeben, die für Domänenzuordnungen verwendet werden. Mit den globalen Regeln können Sie zusätzliche Zeichen angeben, die der Router als Domänen- oder Bereichsnamentrennzeichen erkennen kann, und die Richtung angeben, die der Router zum Analysieren von Domänen- oder Bereichsnamen verwendet. Der Zweck der Analyse eines Domänen- oder Bereichsnamens besteht darin, einen einzelnen, eindeutigen Namen zu identifizieren, den der Router als Domänennamen des Abonnenten verwendet, unabhängig davon, ob die Quelle des Namens im typischen Domänennamenformat (joseph@example.com) oder im Bereichsnamenformat (example.com\marilyn) vorliegt. Der Router verwendet den resultierenden Domänennamen für Vorgänge wie die Suche und Verarbeitung von Domänenzuordnungen. Auf der Ebene der Domänenzuordnung können Sie auch das Entfernen von Domänennamen aktivieren. Das Entfernen von Domänennamen gibt an, dass der Router die analysierte Domäne oder den geparsten Bereichsnamen aus dem Benutzernamen des Abonnenten entfernt, bevor eine weitere Verarbeitung für die Domänenzuordnung durchgeführt wird.

So konfigurieren Sie die Verwendungsregeln für Domänennamen für Domänenzuordnungen:

  1. (Optional) Konfigurieren Sie für Domänen- oder Bereichsnamen die Analysereihenfolge, die angibt, ob der Router zuerst nach dem Domänennamen oder dem Bereichsnamen sucht.

    Weitere Informationen finden Sie unter Festlegen der Analysereihenfolge für Domänen- und Bereichsnamen.

  2. (Optional) Konfigurieren Sie für Domänen- oder Bereichsnamen die Trennzeichen, die der Router für Domänenzuordnungen erkennen soll.

    Weitere Informationen finden Sie unter Angeben von Trennzeichen für Domänen- und Bereichsnamen.

  3. (Optional) Konfigurieren Sie für Domänen- oder Bereichsnamen die Analyserichtung, die der Router beim Ermitteln von Domänennamen für Domänenzuordnungen verwenden soll.

    Weitere Informationen finden Sie unter Festlegen der Analyserichtung für Domänen- und Bereichsnamen .

  4. (Optional) Konfigurieren Sie den Router für Domänennamen so, dass der analysierte Domänen- oder Bereichsname aus Benutzernamen in der Domänenübersicht entfernt wird, bevor AAA-Dienste verwendet werden.

    Weitere Informationen finden Sie unter Aktivieren des Entfernens von Domänennamen.

Angeben von Trennzeichen für Domänen- und Bereichsnamen

Ein Trennzeichen ist das Zeichen, das den Benutzernamen eines Abonnenten vom Domänen- oder Bereichsnamen trennt. Trennzeichen werden häufig für die Analyse von Domänen- oder Bereichsnamen oder das Entfernen von Domänennamen verwendet. Sie können maximal acht Trennzeichen angeben, die der Router verwendet, um Domänen- oder Bereichsnamen für eine Domänenzuordnung zu erkennen. Wenn Sie keine Trennzeichen konfigurieren, verwendet der Router das @ Zeichen standardmäßig für Domänennamen. Es gibt kein Standardtrennzeichen für Bereichsnamen.

Ihr Netzwerk könnte z. B. die Abonnenten bob@test.compete!example.com, und test.net\mariaenthalten. In diesem Fall würden Sie den Router so konfigurieren, dass er die Zeichen @ ! und als Domänennamentrennzeichen und das \ Zeichen als Bereichsnamentrennzeichen erkennt.

Beachten Sie beim Angeben von Trennzeichen die folgenden Richtlinien:

  • Sie können das Semikolon (;) nicht als Trennzeichen verwenden.

  • Wenn Sie optionale Trennzeichen für Domänennamen konfigurieren, müssen Sie auch das @ Zeichen (das Standardtrennzeichen) angeben, wenn Sie es weiterhin als Trennzeichen verwenden möchten.

  • Wenn Sie optionale Domänennamentrennzeichen konfigurieren und deren Konfiguration dann wieder aufheben, setzt der Router das Domänenzuordnungstrennzeichen auf das Standardzeichen @ zurück.

So konfigurieren Sie Domänen- und Bereichsnamentrennzeichen für Domänenzuordnungen:

  1. Geben Sie an, dass Sie Domänenattribute konfigurieren möchten.
  2. Geben Sie die Zeichen an, die Sie als Trennzeichen für Domänennamen verwenden möchten. Fügen Sie keine Leerzeichen zwischen den Trennzeichen ein.
  3. Geben Sie die Zeichen an, die Sie als Trennzeichen für Bereichsnamen verwenden möchten. Fügen Sie keine Leerzeichen zwischen den Trennzeichen ein.

Festlegen der Analysereihenfolge für Domänen- und Bereichsnamen

Der Router analysiert den Benutzernamen, die Domäne oder den Bereichsnamen, um einen einzelnen, eindeutigen Namen zu identifizieren, den der Router als Domänennamen des Abonnenten verwendet, unabhängig davon, ob die Quelle des Namens im typischen Domänennamenformat (joseph@example.com) oder im Bereichsnamenformat (example.com\Marilyn) vorliegt. Sie können festlegen, ob der Router zuerst den Benutzernamen des Abonnenten nach einem Domänennamen oder nach einem Bereichsnamen durchsucht. Wenn der Router den angegebenen Namen nicht findet (z. B. wenn Sie angeben realm-first und der Benutzername keinen Bereichsnamen enthält), sucht der Router nach dem zweiten Namenstyp (in diesem Fall Domänenname). Wenn der Router weder einen Bereichsnamen noch einen Domänennamen findet, gibt es keine Domäne, die für Domänenzuordnungsvorgänge verwendet werden kann.

So konfigurieren Sie die Richtung für die Analyse von Domänennamen für Domänenzuordnungen:

  1. Geben Sie an, dass Sie Domänenattribute konfigurieren möchten.
  2. Geben Sie die Analysereihenfolge an, die der Router verwenden soll, entweder zuerst den Domänennamen oder zuerst den Bereichsnamen.

Angeben der Analyserichtung für Domänen- und Bereichsnamen

Sie können die Richtung angeben, in der der Router den Analysevorgang ausführt, den er zum Identifizieren von Anwenderdomänen oder Bereichsnamen für Domänenzuordnungen verwendet. Während des Analysevorgangs durchsucht der Router den Benutzernamen, bis er ein Trennzeichen erkennt. Dann wird alles, was rechts vom Trennzeichen liegt, als Domäne betrachtet. Standardmäßig analysiert der Router von rechts nach links, beginnend mit dem Zeichen ganz rechts im Benutzernamen.

Der Router verwendet den Domänennamen eines Teilnehmers, um Domänenzuordnungs-Such- und Verarbeitungsvorgänge durchzuführen. Sie können konfigurieren, wie der Router einen eindeutigen Domänennamen identifiziert, wenn der Name des Benutzers in einem herkömmlichen Domänennamenformat oder als Bereichsname angezeigt wird. Im traditionellen Format des Domänennamens folgt auf den Namen des Benutzers der Domänenname. Beispiel: joe@example.com. Im Bereichsnamenformat wird dem Namen des Benutzers der Domänenname vorangestellt, der als Bereichsname bezeichnet wird. Beispiel: example.com@joe. Der Zweck der Analyse eines Domänen- oder Bereichsnamens besteht darin, einen einzelnen Namen zu identifizieren, den der Router als Domänennamen des Abonnenten verwendet, unabhängig davon, ob die Quelle des Namens der ursprüngliche Domänenname oder der Bereichsname des Benutzers ist. Der Router verwendet den resultierenden Domänennamen für Vorgänge wie die Suche und Verarbeitung von Domänenzuordnungen. Auf der Ebene der Domänenzuordnung können Sie auch das Entfernen von Domänennamen aktivieren.

Die von Ihnen verwendete Richtung der Domänenanalyse ist wichtig, wenn verschachtelte Domänennamen vorhanden sind. Für den Benutzernamen user1@test.com@example.comergibt die Rechts-nach-links-Analyse z. B. den Domänennamen .example.com Für denselben Benutzernamen ergibt die Analyse von links nach rechts den Domänennamen .test.com@example.com

Anmerkung:

Dieser Vorgang ähnelt dem Parsen des Benutzeranteils eines Benutzernamens, aber die Standardrichtung und die Ergebnisse sind unterschiedlich.

So konfigurieren Sie die Richtung für die Analyse von Domänennamen für Domänenzuordnungen:

  1. Geben Sie an, dass Sie Domänenattribute konfigurieren möchten.
  2. Geben Sie die Analyserichtung an, die der Router verwenden soll, wenn der Benutzername das typische Domänennamenformat verwendet, bei dem der Domänenname auf den Namen des Benutzers folgt.
  3. Geben Sie die Analyserichtung an, die der Router verwenden soll, wenn der Benutzername das Format für den Bereichsnamen verwendet, bei dem der Bereichsname vor dem Namen des Benutzers steht.

Aktivieren des Domainnamen-Strippings

Sie können den Router so konfigurieren, dass der Domänenname aus den Benutzernamen entfernt wird, bevor AAA-Dienste verwendet werden. Das Entfernen von Domänennamen wird für Domänenzuordnungen durchgeführt. Der Router verwendet die Trennzeichen und die Analyserichtung, die Sie global konfigurieren, um den Domänennamen zu bestimmen, der entfernt wird. Wenn der Router z. B. das Standardtrennzeichen und die Analyserichtung right-to-leftverwendet, wird der Benutzername user1@example.com auf .user1

So konfigurieren Sie den Router so, dass der Domänenname aus Benutzernamen in einer Domänenzuordnung entfernt wird:

  1. Geben Sie die Domänenzuordnung für den Stripping-Vorgang an.
  2. Aktivieren Sie das Entfernen von Domänennamen.

Ändern des Benutzernamens und des Kennworts für eine simplifizierte Bereitstellung außerhalb des Chassis

Für einige Anwendungsszenarien empfiehlt es sich, Benutzernamen für L2TP LAC-Teilnehmer und Authentifizierungskennwörter außerhalb des Routergehäuses bereitzustellen. Sie können den Benutzerteil des Benutzernamens entfernen und das Benutzerkennwort überschreiben.

Sie können konfigurieren, wie der Router den zu entfernenden Benutzerteil identifiziert, wenn der Benutzername entweder im traditionellen Domänennamenformat oder im Bereichsnamenformat angezeigt wird. Im traditionellen Format des Domänennamens folgt auf den Namen des Benutzers der Domänenname. Beispiel: joe@example.com. Im Bereichsnamenformat wird dem Namen des Benutzers der Domänenname vorangestellt, der als Bereichsname bezeichnet wird. Beispiel: example.com@joe.

Sie können die Richtung angeben, in der der Router den Analysevorgang ausführt, den er zur Identifizierung des Benutzeranteils des Benutzernamens verwendet. Während des Analysevorgangs durchsucht der Router den Benutzernamen, bis er ein Trennzeichen erkennt. Standardmäßig analysiert der Router von links nach rechts, beginnend mit dem Zeichen ganz links im Benutzernamen. Alles, was sich links vom Trennzeichen befindet, ist der Benutzerbereich. Diese Richtung funktioniert für das traditionelle Domainnamenformat. Bei dieser Konfiguration identifiziert der Router Joe und entfernt ihn von joe@example.com.

Für Benutzernamen im Bereichsnamenformat müssen Sie die Analyserichtung in right-to-leftändern. Der Router analysiert von rechts nach links, beginnend mit dem Zeichen ganz rechts im Benutzernamen. Wenn der Router das Trennzeichen erkennt, betrachtet er alles, was sich rechts vom Trennzeichen befindet, als Benutzeranteil. Bei dieser Konfiguration identifiziert der Router Joe und entfernt ihn von example.com@joe.

Anmerkung:

Dieser Vorgang ähnelt dem Analysevorgang für Domänennamen/Bereichsnamen, aber die Standardrichtung und die Ergebnisse unterscheiden sich von der Analyse von Domänennamen/Bereichsnamen.
Anmerkung:

Der Benutzerteil wird nur für den Benutzernamen entfernt, der zur Authentifizierung an einen externen Server gesendet wird. Der nicht abgelöste Benutzername wird für Buchhaltungsvorgänge verwendet.

So konfigurieren Sie den Benutzeranteil, der aus dem Benutzernamen für alle Benutzernamen entfernt werden soll, die einer Domänenzuordnung zugeordnet sind:

Geben Sie die Analyserichtung an, die der Router verwenden soll:

  • Verwenden Sie diese Option left-to-right , wenn der Benutzername im typischen Domänennamenformat vorliegt, bei dem der Domänenname auf den Namen des Benutzers folgt.

  • Verwenden Sie diese Option right-to-left , wenn der Benutzername im Format "Bereichsname" vorliegt, in dem der Bereichsname vor dem Namen des Benutzers steht.

Sie können ein neues Kennwort angeben, um das vorhandene Kennwort für die Authentifizierung aller Abonnenten zu überschreiben, die der Domänenzuordnung zugeordnet sind. So überschreiben Sie das Kennwort:

  • Geben Sie das Außerkraftsetzungskennwort für die PAP-Authentifizierung an.

  • Geben Sie das Außerkraftsetzungskennwort für die CHAP-Authentifizierung an.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
16.1
Ab Junos OS Version 16.1 verwendet die Abonnentenverwaltung eine bestimmte Reihenfolge bei der Suche nach einer Domänenzuordnung, die mit dem Domänennamen des Abonnenten übereinstimmt.
16.1
Ab Junos OS Version 16.1 können Sie mit der Funktion "Platzhalter-Domänenzuordnung" einen Domänennamen angeben, der von Abonnenten verwendet wird, wenn keine genaue Übereinstimmung mit dem Domänennamen des Abonnenten besteht.