AUF DIESER SEITE
Angeben einer logischen AAA-System-/Routing-Instanz in einer Domänenzuordnung
Angeben eines logischen Zielsystems/einer logischen Ziel-Routing-Instanz in einer Domänenzuordnung
Angeben eines Tunnel-Switch-Profils in einer Domänenzuordnung
Domänen- und Realmnamenverwendung für Domänenzuordnungen konfigurieren
Festlegen der Analysereihenfolge für Domänen- und Bereichsnamen
Zuordnen von Anwenderdomänen zu Zugriffs- und Sitzungsoptionen
Übersicht über das Domain-Mapping
Mit der Domänenzuordnung können Sie eine Zuordnung konfigurieren, die Zugriffsoptionen und sitzungsspezifische Parameter angibt. Die Zuordnung basiert auf dem Domänennamen der Anwender-Sitzungen – der Router wendet die zugeordneten Optionen und Parameter auf Sitzungen für Abonnenten an, die über die angegebenen Domänen verfügen. Sie können z. B. eine Domänenzuordnung konfigurieren, die auf dem Domänennamen example.combasiert. Die Optionen und Parameter in dieser Domänenzuordnung werden dann angewendet, wenn Abonnenten mit dem angegebenen Domänennamen (z. B bob@example.com. , raj@example.comund juan@example.com) einen AAA-Dienst anfordern.
Der Benutzername eines Anwenders besteht in der Regel aus zwei Teilen: dem Namen des Benutzers gefolgt vom Domänennamen des Benutzers, die durch ein Trennzeichen getrennt sind. Der Domänenname befindet sich immer rechts neben dem Trennzeichen für die Domäne. Im Benutzernamen juan@example.comfolgt beispielsweise auf den Namen juan des Benutzers der Domänenname example.com, und die beiden werden durch das @ Trennzeichen getrennt.
Einige Systeme verwenden jedoch ein Benutzernamenformat, in dem die Domäne precedes den Namen des Benutzers verwendet. Um Verwechslungen mit der typischen Verwendung von Domänennamen zu vermeiden, wird diese Art von vorhergehendem Domänennamen als Bereichsname bezeichnet, und der Bereichsname befindet sich links neben dem Bereichstrennzeichen. Im Benutzernamen top321-example.com/maryist der top321-example.com Teil beispielsweise der Bereichsname, mary der Name des Benutzers und das / Zeichen das Trennzeichen.
Die Domänenzuordnung bietet Effizienz und ermöglicht es Ihnen, Änderungen für eine große Anzahl von Abonnenten in einem Vorgang vorzunehmen. Wenn z. B. ein Adresszuweisungspool aufgrund der Anzahl der Abonnenten, die Adressen aus dem Pool beziehen, erschöpft ist, können Sie eine Domänenzuordnung erstellen, die angibt, dass Abonnenten in einer bestimmten Domäne Adressen aus einem anderen Pool erhalten. Bei einer anderen Verwendung der Domänenzuordnung können Sie ein neues dynamisches Profil erstellen und dann die Domänenzuordnung so konfigurieren, dass angegeben wird, welche Abonnenten (nach Domäne) dieses dynamische Profil verwenden.
Ab Junos OS Version 21.3R1 können Sie Unterdomänen unter einer Domänenzuordnung konfigurieren. In einer Subdomain können Sie Zugriffsprofile pro VLAN oder für einen VLAN-Bereich konfigurieren. Diese Erweiterung gibt Ihnen die Flexibilität, die Benutzer in einer Domain zu unterscheiden und verschiedene Services basierend auf den Benutzerprofilen bereitzustellen.
Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt. In der Dokumentation für die Domänenzuordnung von Anwendern wird beschrieben, wie die und-Anweisungen target-logical-system verwendet werden, um die aaa-logical-system Zuordnung zu einem nicht standardmäßigen logischen System zu konfigurieren. Diese Aussagen gelten für zukünftige Erweiterungen der Anwender-Verwaltung.
In Tabelle 1 werden die Zugriffsoptionen und Parameter beschrieben, die Sie in der Domänenzuordnung konfigurieren können.
Option |
Beschreibung |
|---|---|
Logisches AAA-System/Routing-Instanz |
Logische System-/Routing-Instanz, in der AAA Authentifizierungs- und Kontoführungsanforderungen für die Anwender-Sitzungen sendet. Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt. |
Zum Profil |
Zugriffsprofil für Anwender-Sitzungen. |
Adress-Pool |
Adresspool, der zum Zuweisen von Adressen an Abonnenten verwendet wird. |
Regeln für Domänen- und Bereichsnamen |
Regeln für die Verwendung von Domänen- und Bereichsnamen, einschließlich Entfernen von Domänennamen, unterstützte Trennzeichen und Analyserichtung (Trennzeichen und die Analyserichtung werden global konfiguriert). |
Dynamisches Profil |
Dynamisches Profil für Anwender-Sitzungen. |
PADN-Parameter |
PPPoE-Routeninformationen für Anwender-Sitzungen. |
Logisches Zielsystem/Routing-Instanz |
Logische System-/Routing-Instanz, an die die Anwender-Schnittstelle angeschlossen ist. Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt. |
Tunnelprofil |
Tunnelprofil für Anwender-Sitzungen. |
- Arten von Domänenzuordnungen und ihre Rangfolge
- Wildcard-Domänenkarte
- Standardmäßige Domänenzuordnung
- Domänenzuordnung für Abonnenten-Benutzernamen ohne Domänen- oder Realmnamen
- Grundlegendes zu Domänenzuordnungen und logischen System-/Routing-Instanzkontexten
- Vorteile der Verwendung von Domain-Maps
Arten von Domänenzuordnungen und ihre Rangfolge
Ab Junos OS Version 16.1 verwendet die Anwender-Verwaltung eine bestimmte Reihenfolge, wenn nach einer Domänenzuordnung gesucht wird, die mit dem Domänennamen des Anwenders übereinstimmt. Die folgende Liste zeigt diese Reihenfolge:
Domänenzuordnung mit exakter Übereinstimmung: Der Domänenname des Anwenders stimmt genau mit einer konfigurierten Domänenzuordnung überein.
Platzhalterdomänenzuordnung: Der Domänenname des Anwenders entspricht teilweise einer Platzhalterdomänenzuordnung.
defaultDomänenzuordnung: Der Domänenname des Anwenders ist weder eine exakte Übereinstimmung noch eine teilweise Platzhalterübereinstimmung mit einer Domänenzuordnung.
Wenn der Benutzername des Anwenders keinen Domänennamen hat, wird keine Suche durchgeführt, und der Anwender wird der none Domänenzuordnung zugeordnet, sofern konfiguriert.
Wildcard-Domänenkarte
Ab Junos OS Version 16.1 können Sie mit der Platzhalterdomänenzuordnungsfunktion einen Domänennamen angeben, der von Abonnenten verwendet wird, wenn es keine genaue Übereinstimmung mit dem Domänennamen des Anwenders gibt. Wenn Sie beispielsweise eine Platzhalterdomänenzuordnung mit dem Namen xyz*.example.com, Abonnenten mit den Domänennamen xyz.example.com, xyz-1234.example.com, xyz-eastern.example.comerstellen und xyz-northern.example.com alle dieser Platzhalterdomäne zugeordnet sind, wenn es keine genaue Übereinstimmung für die Domänennamen der Abonnenten gab. Sie können das Sternchen an einer beliebigen Stelle in der Domänenzuordnung einfügen, um die gewünschte übereinstimmende Spezifikation zu erstellen. Die Platzhalterdomänenzuordnung wird auch in Fällen verwendet, in denen die Namen der Anwender von der DHCPv4-Agent-Remote-ID (Option 82, Unteroption 2) oder der DHCPv6-Remote-ID (Option 37) abgeleitet werden.
Standardmäßige Domänenzuordnung
Sie können eine Standarddomänenzuordnung konfigurieren, die der Router für Abonnenten verwendet, deren Domänen- oder Bereichsname nicht explizit mit einer vorhandenen Domänenzuordnung übereinstimmt und auch keine teilweise Übereinstimmung mit einer Platzhalterdomänenzuordnung ist. Geben Sie den Namen default als domain map domain-map-namean.
Sie können z. B. die Standarddomänenzuordnung so konfigurieren, dass eingeschränkte Funktionsunterstützung für Gastabonnenten bereitgestellt wird, z. B. ein bestimmter Adresspool, der für Gäste verwendet wird, oder die Routinginstanz, die AAA-Services bereitstellt. Wenn der Router keine exakte Übereinstimmung oder Platzhalterübereinstimmung für die Gast Anwender bereitstellen kann, verwendet der Router die in der Standarddomänenzuordnungskonfiguration angegebenen Regeln, um die Anforderung des Gast Anwender zu verarbeiten.
Domänenzuordnung für Abonnenten-Benutzernamen ohne Domänen- oder Realmnamen
In einigen Fällen enthält ein Benutzername eines Anwenders möglicherweise keinen Domänennamen oder Bereichsnamen – Sie können eine bestimmte Domänenzuordnung konfigurieren, die der Router für diese Abonnenten verwendet. Geben Sie den Namen none als domain map domain-map-namean.
Grundlegendes zu Domänenzuordnungen und logischen System-/Routing-Instanzkontexten
Sie können eine Domänenzuordnung verwenden, um das logische System/die Routing-Instanz zu verwalten, die die Anwender-Verwaltung für AAA- und Anwender-Kontexte verwendet. Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt, daher verwalten Sie die Kontexte durch Konfigurieren der Routinginstanz. In der folgenden Liste werden die beiden Arten von Kontexten beschrieben:
Anwenderkontext: Das logische System/die Routing-Instanz, in der die Anwender-Schnittstelle platziert wird. Bei den meisten dynamischen Anwender-Sitzungen ist der anfängliche Anwender-Sitzungskontext das logische Standardsystem und die Standard-Routing-Instanz. Eine Ausnahme ist LNS, bei dem der Anfangskontext für eine dynamische LNS-Sitzung (PPP über L2TP) mit dem der Peer-Schnittstelle (der LAC-orientierten Schnittstelle) identisch ist. Wenn die Peer-Schnittstelle für LNS-Sitzungen eine nicht standardmäßige Routing-Instanz verwendet, verwendet der ursprüngliche Kontext der Anwender-Sitzung ebenfalls diese nicht standardmäßige Routing-Instanz.
AAA-Kontext: Die logische System-/Routing-Instanz, die die Anwender-Sitzung für RADIUS-Interaktionen wie Authentifizierungs- und Kontoführungsanforderungen verwendet. Standardmäßig ist der AAA-Kontext identisch mit dem ursprünglichen Anwenderkontext. Daher werden für alle Anwender-Sitzungen, mit Ausnahme von dynamischen LNS-Sitzungen, die Authentifizierung und Autorisierung im Kontext des standardmäßigen logischen Systems/der Routing-Instanz durchgeführt, es sei denn, die Standard-Routing-Instanz wird explizit geändert.
Sie können optional eine Domänenzuordnung so konfigurieren, dass ein bestimmter Anwender- oder AAA-Kontext verwendet wird. Wenn beispielsweise eine dynamische LNS-Sitzung zum ersten Mal in einer nicht standardmäßigen Routing-Instanz erstellt wird (weil der ursprüngliche Anwender-Kontext die nicht standardmäßige Routing-Instanz verwendet), können Sie die target-routing-instance Anweisung verwenden, um die Domänenzuordnung so zu konfigurieren, dass der Anwender in der Standard-Routing-Instanz platziert wird. Oder aus Sicherheitsgründen möchten Sie vielleicht alle RADIUS-Interaktionen in einem bestimmten Kontext haben. In diesem Fall würden Sie die aaa-routing-instance Anweisung verwenden, um die Domänenzuordnung so zu konfigurieren, dass der anfängliche AAA-Kontext in die neue Routinginstanz geändert wird.
Die Verwendung von Domain-Maps zur Verwaltung von AAA- und Anwenderkontexten ist auch in Layer-3-Großhandelsumgebungen nützlich. Beispielsweise möchten Sie dynamische VLAN-Schnittstellen in verschiedenen nicht standardmäßigen Routing-Instanzen platzieren und dabei alle RADIUS-Interaktionen in der Standard-Routing-Instanz beibehalten. In diesem Beispiel befindet sich der anfängliche AAA-Kontext in der Standard-Routing-Instanz, aber die RADIUS-Autorisierung platziert die VLAN-Sitzung des Anwenders in einer nicht standardmäßigen Routing-Instanz. Sie können die aaa-routing-instance Anweisung dann in die Domänenzuordnung aufnehmen, um anzugeben, dass der AAA-Kontext die Standardrouting-Instanz für die dynamische VLAN-Sitzung verwendet. Die Anwendersitzung bleibt unverändert und verbleibt in der nicht standardmäßigen Routing-Instanz.
Vorteile der Verwendung von Domain-Maps
Domänenzuordnungen vereinfachen die Verwaltung von Abonnenten im großen Maßstab, indem sie es Ihnen ermöglichen, Änderungen für eine große Anzahl von Abonnenten in einem Vorgang vorzunehmen.
Domänenzuordnungen bieten Granularität beim Anwenden von Änderungen auf bestimmte Gruppen von Abonnenten basierend auf Ihren Zuordnungsdefinitionen.
Konfigurieren einer Domänenzuordnung
So konfigurieren Sie eine Domänenzuordnung für die Verwaltung von Anwendern:
Konfigurieren einer Platzhalterdomänenzuordnung
Die Abonnentenverwaltung unterstützt eine Platzhalterdomänenzuordnungsfunktion, mit der Sie eine Domänenzuordnung konfigurieren können, die auf einer teilweisen Platzhalterübereinstimmung basiert. Wenn es keine genaue Übereinstimmung zwischen dem Domänennamen des Anwenders und einer konfigurierten Domänenzuordnung gibt, sucht die Anwenderverwaltung als Nächstes nach einer teilweisen Übereinstimmung zwischen dem Domänennamen des Anwenders und einer Platzhalterdomänenzuordnung.
Um die Platzhalterdomänenzuordnung zu erstellen, fügen Sie das Sternchen ein, wenn Sie den Domänenzuordnungsnamen konfigurieren, domain map example*z. B. Sie können das Platzhalterzeichen an einer beliebigen Stelle in der Domänenzuordnung einfügen, und der Platzhalter kann null oder eine beliebige Anzahl von Zeichen darstellen. Das Sternchen ist das einzige unterstützte Platzhalterzeichen.
Die Konfigurationsanweisung domain map example*northern.com erstellt beispielsweise eine Platzhalterdomänenzuordnung, die eine teilweise Übereinstimmung für alle Domänennamen darstellt, die mit example beginnen und enden northern.com, z. B examplenorthern.com. , example-northern.comund example1234northern.com. Wenn Sie jedoch das Platzhalterzeichen im Domänenzuordnungsnamen nach domain map example-northern*.comverschieben, entsteht eine restriktivere Übereinstimmung, bei der die teilweise übereinstimmenden Domänennamen mit example-northernbeginnen müssen, z example-northern555.com . B. oder example-northern-alpha.com.
Die Platzhalterdomänenzuordnung ist auch nützlich, wenn die Anwenderverwaltung die Benutzernamen der Anwender von der DHCPv4-Agent-Remote-ID (Option 82, Unteroption 2) oder der DHCPv6-Remote-ID (Option 37) ableitet. In diesen Fällen hat der resultierende Benutzername das Format subscriberID|service-plan|accountID|unused; zum Beispiel EricSmith|premiumTier1|314159265|0000 (wobei das | Zeichen das Trennzeichen ist). In diesem Beispiel analysiert die Anwenderverwaltung den Benutzernamen von links nach rechts und identifiziert die Domäne des Anwenders als premiumTier1|314159265|0000. Um eine Platzhalterdomänenzuordnung zu erstellen, die für diesen Anwender verwendet wird, können domain map premiumTier1*Sie konfigurieren.
Im folgenden Beispiel wird beschrieben, wie vier Abonnenten verschiedenen Domänen zugeordnet werden.
In diesem Beispiel sind drei Domänenzuordnungen konfiguriert. die default Domänenzuordnung, eine Domänenzuordnung mit dem Namen example3000.com, und eine Platzhalterdomänenzuordnung mit dem Namen example*. Die Abonnenten werden wie in der folgenden Liste dargestellt zugeordnet:
eric@example3000.com: Es gibt eine genaue Übereinstimmung in der Domänenzuordnung, sodass die Anwender der Domäne
example3000.comzugeordnet wird.jack@example1001.com: Es gibt keine genaue Übereinstimmung, aber es gibt eine teilweise Übereinstimmung mit der Platzhalterdomäne, sodass die Anwender der Platzhalterdomäne
example*zugeordnet wird.ginger@example-western.com: Es gibt keine genaue Übereinstimmung, aber es gibt eine teilweise Übereinstimmung mit der Platzhalterdomäne, sodass die Anwender auch der Platzhalterdomäne
example*zugeordnet wird.sunshine@test.com: Es gibt keine genaue Übereinstimmung und auch keine teilweise Übereinstimmung mit der Platzhalterdomäne, sodass die Anwender der
defaultDomäne zugeordnet wird.
So konfigurieren Sie eine Platzhalterdomänenzuordnung:
Angeben eines Zugriffsprofils in einer Domänenzuordnung
Mit Zugriffsprofilen geben Sie die Zugriffsregeln und -optionen (z. B. den RADIUS-Authentifizierungsserver und die Attribute) an, die der Router auf Anwender-Sitzungen anwendet. Mit der Domänenzuordnungsfunktion können Sie ein bestimmtes Zugriffsprofil für Abonnenten in einer bestimmten Domäne anwenden.
Zugriffsprofile können auf verschiedene Arten angegeben oder geändert werden. Wenn Konflikte auftreten, wendet der Router die Zugriffsprofile basierend auf den in Tabelle 2 aufgeführten Rangfolgeregeln an.
Rangfolge (hoch bis niedrig) |
Anwendung des Zugriffsprofils |
|---|---|
1 |
Angegeben durch das RADIUS Redirect-VRouter-Name-Attribut (VSA 26-25) |
2 |
Angegeben in der Zeilengruppe für die Domänenzuordnungskonfiguration |
3 |
Indirekt in der Konfigurationszeilengruppe für die Domänenzuordnung durch die Zuordnung des logischen Systems / der Routing-Instanz von AAA angegeben |
4 |
In der Clientkonfigurationszeile angegeben |
5 |
Angegeben in der Zeilengruppe für die Konfiguration des logischen Systems/der Routing-Instanz |
So fügen Sie ein Zugriffsprofil in eine Domänenzuordnung ein:
Angeben eines Adresspools in einer Domänenzuordnung
Sie können die Domänenzuordnungsfunktion verwenden, um den Adresspool anzugeben, den der Router zum Zuweisen von Adressen für Anwendersitzungen verwendet. Der Adresspool kann sowohl IPv4- als auch IPv6-Adressbereiche enthalten.
Adresspools können auf verschiedene Arten angegeben oder geändert werden. Wenn Konflikte auftreten, wendet der Router den Adresspool basierend auf den in Tabelle 3 gezeigten Rangfolgeregeln an.
Rangfolge (hoch bis niedrig) |
Wie die Adresspoolreferenz bereitgestellt wird |
|---|---|
1 |
Angegeben durch das Attribut "RADIUS Framed-Pool" (RADIUS-Attribut 88) |
2 |
Konfiguriert in der Zeilengruppe "Domänenzuordnungskonfiguration" |
3 |
Angegeben in der Clientkonfigurationszeilengruppe (nach Adressübereinstimmungsregeln) |
So geben Sie den für eine Domänenzuordnung verwendeten Adresspool an:
Angeben eines dynamischen Profils in einer Domänenzuordnung
Ein dynamisches Profil definiert die Reihe von Merkmalen, die dynamischen Zugriff und Services für Anwender-Sitzungen bereitstellen (z. B. Class-of-Service, Protokolle und Schnittstellenunterstützung). Mit der Domänenzuordnungsfunktion können Sie ein bestimmtes dynamisches Profil basierend auf Anwenderdomänen anwenden.
Dynamische Profile werden in der [edit dynamic-profiles] Hierarchie konfiguriert und können auf verschiedene Weise angegeben oder geändert werden. Wenn Konflikte auftreten, wendet der Router die dynamischen Profile basierend auf den in Tabelle 4 aufgeführten Rangfolgeregeln an.
Rangfolge (hoch bis niedrig) |
Anwendung des dynamischen Profils |
|---|---|
1 |
Angegeben durch das RADIUS-Attribut "Virtueller Router" (VSA 26-1) oder das Attribut "Redirect-VRouter-Name" (VSA 26-25) |
2 |
Angegeben in der Zeilengruppe für die Domänenzuordnungskonfiguration |
3 |
In der Clientkonfigurationszeile angegeben |
So fügen Sie ein dynamisches Profil in eine Domain-Map ein:
Angeben einer logischen AAA-System-/Routing-Instanz in einer Domänenzuordnung
Standardmäßig verwendet eine Domänenzuordnung das logische System/die Routing-Instanz des Anwenders als Kontext, in dem der authd Daemon AAA-Authentifizierungs- und Kontoführungsanforderungen sendet. Sie können die Domänenzuordnung optional so konfigurieren, dass AAA-Anforderungen basierend auf dem Domänennamen des Anwenders an einen bestimmten Kontext weitergeleitet werden. Durch die Angabe eines nicht standardmäßigen AAA-Kontexts können Sie den Workflow und die Datenverkehrslast verwalten und effizient Änderungen für eine große Anzahl von Abonnenten vornehmen. Beispielsweise können Sie nach dem Upgrade Ihrer RADIUS-Services eine Domänenzuordnung konfigurieren, um anzugeben, dass alle Abonnenten in der Domäne example.com jetzt von einem RADIUS-Server in einem bestimmten AAA-Kontext authentifiziert werden.
Das Ändern des AAA-Kontexts ändert nicht den Anwenderkontext. Sie verwenden die target-logical-system Anweisung, um das logische System/die Routinginstanz explizit für Abonnenten zu konfigurieren.
So konfigurieren Sie den logischen System-/Routing-Instanzkontext, der für AAA-Anforderungen verwendet wird:
Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt.
Angeben eines logischen Zielsystems/einer logischen Ziel-Routing-Instanz in einer Domänenzuordnung
Standardmäßig platziert der Router einen Anwender im logischen System-/Routing-Instanzkontext der Schnittstelle, auf der die Anwender-Verhandlungen beginnen. Sie können später die Routinginstanz des Kontexts des Anwenders ändern, indem Sie entweder eine Domänenzuordnung oder den RADIUS-Authentifizierungsserver verwenden.
Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt, Sie können die Domänenzuordnung jedoch für die Verwendung einer nicht standardmäßigen Routinginstanz konfigurieren. Wenn bereits eine nicht standardmäßige Routing-Instance konfiguriert ist, können Sie die Domänenzuordnung so konfigurieren, dass die Standard-Routing-Instance verwendet wird.
So konfigurieren Sie den logischen System-/Routing-Instanzkontext, der für die Schnittstelle eines Anwenders verwendet wird:
Die Abonnentenverwaltung wird nur im logischen Standardsystem unterstützt.
Angeben eines Tunnelprofils in einer Domänenzuordnung
Tunnelprofile spezifizieren Tunnel-Definitionen (z. B. eine Reihe von L2TP-Tunneln und deren Attribute), die der Router auf Anwender-Sitzungen anwendet. Mit der Domänenzuordnungsfunktion können Sie ein bestimmtes Tunnelprofil auf Abonnenten in einer bestimmten Domäne anwenden.
Ein Tunnel-Profil, das von einem RADIUS-Server im Attribut "Tunnel-Group" (VSA 26-64) angegeben wird, hat Vorrang vor dem in der Domänenzuordnung angegebenen Tunnel-Profil.
So fügen Sie ein Tunnel-Profil in eine Domänenzuordnung ein:
Siehe auch
Angeben eines Tunnel-Switch-Profils in einer Domänenzuordnung
Tunnel-Switch-Profile bestimmen, ob Pakete in einer L2TP-Anwender-Sitzung aus einer LAC zu einer anderen Sitzung mit einem anderen Ziel-LNS gewechselt werden. Das Tunnel-Switch-Profil kann auch angeben, wie bestimmte L2TP-AVPs behandelt werden, wenn die Pakete in einen zweiten Tunnel umgeschaltet werden. Mit der Domänenzuordnungsfunktion können Sie ein bestimmtes Tunnel-Switch-Profil auf Abonnenten in einer bestimmten Domäne anwenden.
Ein Tunnel-Switch-Profil, das von einem RADIUS-Server im Tunnel-Switch-Profil VSA (26-91) angegeben wird, hat Vorrang vor dem in der Domänenzuordnung angegebenen Tunnel-Switch-Profil. Wenn der Tunnel-Gruppen-VSA (26–64) zusätzlich zum Tunnel-Switch-Profil-VSA (26-91) empfangen wird, hat der Tunnel-Switch-Profil-VSA (26-91) Vorrang vor dem Tunnel-Gruppen-VSA (26-64), wodurch sichergestellt wird, dass die Teilnehmer über einen Tunnel geswitcht und nicht über einen LAC-Tunnel getunnelt werden.
So schließen Sie ein Tunnel-Switch-Profil in eine Domänenzuordnung ein:
Siehe auch
Domänen- und Realmnamenverwendung für Domänenzuordnungen konfigurieren
Sie können konfigurieren, wie der Router die Domänennamen bestimmt, die für die Domänenzuordnungsfunktion verwendet werden. Auf globaler Ebene können Sie Regeln angeben, die für Domänenzuordnungen verwendet werden. Mit den globalen Regeln können Sie zusätzliche Zeichen angeben, die der Router als Trennzeichen für Domänen- oder Bereichsnamen erkennen kann, sowie die Richtung angeben, die der Router zum Analysieren von Domänen- oder Bereichsnamen verwendet. Der Zweck der Analyse eines Domänen- oder Bereichnamens besteht darin, einen einzelnen, eindeutigen Namen zu identifizieren, den der Router als Domänennamen des Anwender verwendet, unabhängig davon, ob die Quelle des Namens im typischen Domänennamenformat (joseph@example.com) oder im Bereichsnamenformat (example.com\marilyn) vorliegt. Der Router verwendet den resultierenden Domänennamen für Vorgänge wie die Suche und Verarbeitung von Domänenzuordnungen. Auf Domänenzuordnungsebene können Sie auch das Entfernen von Domänennamen aktivieren. Das Entfernen von Domänennamen gibt an, dass der Router den analysierten Domänen- oder Bereichsnamen aus dem Benutzernamen des Anwenders entfernt, bevor eine zusätzliche Verarbeitung für die Domänenzuordnung durchgeführt wird.
So konfigurieren Sie Regeln für die Verwendung von Domänennamen für Domänenzuordnungen:
Festlegen von Trennzeichen für Domänen- und Bereichsnamen
Ein Trennzeichen ist das Zeichen, das den Benutzernamen eines Anwenders vom Domänen- oder Bereichsnamen trennt. Trennzeichen werden häufig für das Parsen von Domänen- oder Bereichsnamen oder das Entfernen von Domänennamen verwendet. Sie können maximal acht Trennzeichen angeben, die der Router verwendet, um Domänen- oder Bereichsnamen für eine Domänenzuordnung zu erkennen. Wenn Sie keine Trennzeichen konfigurieren, verwendet der Router standardmäßig das @ Zeichen für Domänennamen. Es gibt kein Standardtrennzeichen für Bereichsnamen.
Ihr Netzwerk könnte zum Beispiel die Abonnenten bob@test.com, pete!example.comund test.net\mariaenthalten. In diesem Fall konfigurieren Sie den Router so, dass er die Zeichen @ und ! als Trennzeichen für Domänennamen und das \ Zeichen als Trennzeichen für Bereichsnamen erkennt.
Beachten Sie beim Angeben von Trennzeichen die folgenden Richtlinien:
Sie können das Semikolon (;) nicht als Trennzeichen verwenden.
Wenn Sie optionale Trennzeichen für Domänennamen konfigurieren, müssen Sie auch das
@Zeichen (das Standardtrennzeichen) angeben, wenn Sie es weiterhin als Trennzeichen verwenden möchten.Wenn Sie optionale Trennzeichen für Domänennamen konfigurieren und dann die Konfiguration aufheben, setzt der Router das Trennzeichen für die Domänenzuordnung auf das Standardzeichen
@zurück.
So konfigurieren Sie Domänen- und Bereichsnamentrennzeichen für Domänenzuordnungen:
Festlegen der Analysereihenfolge für Domänen- und Bereichsnamen
Die Router analysiert den Benutzernamen oder den Bereichsnamen, um einen einzelnen, eindeutigen Namen zu identifizieren, den der Router als Domänennamen des Anwender verwendet, unabhängig davon, ob die Quelle des Namens im typischen Domänennamenformat (joseph@example.com) oder im Bereichsnamenformat (example.com\marilyn) vorliegt. Sie können angeben, ob der Router zuerst den Benutzernamen des Anwenders nach einem Domänennamen oder nach einem Bereichsnamen durchsuchen soll. Wenn der Router den angegebenen Namen nicht findet (z. B. wenn Sie realm-first angeben und der Benutzername keinen Bereichsnamen enthält), sucht der Router nach dem zweiten Namenstyp (in diesem Fall Domänenname). Wenn der Router weder einen Bereichsnamen noch einen Domänennamen findet, gibt es keine Domäne, die für Domänenzuordnungsvorgänge verwendet werden kann.
So konfigurieren Sie die Richtung für die Analyse von Domänennamen für Domänenzuordnungen:
Angeben der Analyserichtung für Domänen- und Bereichsnamen
Sie können die Richtung angeben, in der der Router den Analysevorgang ausführt, mit dem er Domänen- oder Realmnamen von Anwendern für Domänenzuordnungen identifiziert. Während des Analysevorgangs durchsucht der Router den Benutzernamen, bis er ein Trennzeichen erkennt. Anschließend wird alles rechts vom Trennzeichen als Domäne betrachtet. Standardmäßig analysiert der Router von rechts nach links, beginnend mit dem Zeichen ganz rechts im Benutzernamen.
Der Router verwendet den Domänennamen eines Anwenders, um Domänenzuordnungssuch- und Verarbeitungsvorgänge durchzuführen. Sie können konfigurieren, wie der Router einen eindeutigen Domänennamen identifiziert, wenn der Name des Benutzers in einem herkömmlichen Domänennamenformat oder als Bereichsname dargestellt wird. Im herkömmlichen Domainnamenformat folgt auf den Namen des Benutzers der Domainname. zum Beispiel joe@example.com. Im Bereichsnamenformat wird dem Namen des Benutzers der Domänenname vorangestellt, der als Bereichsname bezeichnet wird. Beispiel: example.com@Joe. Der Zweck der Analyse eines Domänen- oder Bereichsnamens besteht darin, einen einzelnen Namen zu identifizieren, den der Router als Domänennamen des Anwenders verwendet, unabhängig davon, ob die Quelle des Namens der ursprüngliche Domänenname oder der Bereichsname des Benutzers ist. Der Router verwendet den resultierenden Domänennamen für Vorgänge wie die Suche und Verarbeitung von Domänenzuordnungen. Auf Domänenzuordnungsebene können Sie auch das Entfernen von Domänennamen aktivieren.
Die von Ihnen verwendete Domänenanalyserichtung ist wichtig, wenn verschachtelte Domänennamen vorhanden sind. Für den Benutzernamen user1@test.com@example.comerzeugt die Analyse von rechts nach links beispielsweise den Domänennamen .example.com Für denselben Benutzernamen ergibt die Analyse von links nach rechts den Domänennamen .test.com@example.com
Dieser Vorgang ähnelt dem Parsen des Benutzerteils eines Benutzernamens, aber die Standardrichtung und die Ergebnisse sind unterschiedlich.
So konfigurieren Sie die Richtung für die Analyse von Domänennamen für Domänenzuordnungen:
Aktivieren des Entfernens von Domänennamen
Sie können den Router so konfigurieren, dass der Domänenname aus Benutzernamen entfernt wird, bevor AAA-Dienste verwendet werden. Das Entfernen von Domainnamen wird für Domänenkarten durchgeführt. Der Router verwendet die Trennzeichen und die Analyserichtung, die Sie global konfigurieren, um den entfernten Domänennamen zu bestimmen. Wenn der Router beispielsweise das Standardtrennzeichen und die Analyserichtung right-to-leftverwendet, wird der Benutzername user1@example.com auf user1.
So konfigurieren Sie den Router so, dass der Domänenname aus Benutzernamen in einer Domänenzuordnung entfernt wird:
Ändern des Benutzernamens und des Kennworts zur Vereinfachung der Bereitstellung außerhalb des Gehäuses
Für einige Anwendungsszenarien möchten Sie möglicherweise L2TP LAC Anwender Benutzernamen Bereitstellung und Kennwörter aus dem Router Gehäuse Authentifizierung. Sie können den Benutzerteil des Benutzernamens entfernen und das Benutzerkennwort überschreiben.
Sie können konfigurieren, wie der Router den zu entfernenden Benutzerteil identifiziert, wenn der Benutzername entweder im herkömmlichen Domänennamenformat oder im Realmnamenformat angezeigt wird. Im herkömmlichen Domainnamenformat folgt auf den Namen des Benutzers der Domainname. zum Beispiel joe@example.com. Im Bereichsnamenformat wird dem Namen des Benutzers der Domänenname vorangestellt, der als Bereichsname bezeichnet wird. Beispiel: example.com@Joe.
Sie können die Richtung angeben, in die der Router den Analysevorgang ausführt, mit dem er den Benutzerteil des Benutzernamens identifiziert. Während des Analysevorgangs durchsucht der Router den Benutzernamen, bis er ein Trennzeichen erkennt. Standardmäßig analysiert der Router von links nach rechts, beginnend mit dem Zeichen ganz links im Benutzernamen. Alles links vom Trennzeichen ist der Benutzerteil. Diese Richtung funktioniert für das traditionelle Domainnamenformat. Mit dieser Konfiguration identifiziert der Router joe und entfernt ihn aus joe@example.com.
Für Benutzernamen im Realmnamenformat müssen Sie die Analyserichtung in right-to-leftändern. Der Router analysiert von rechts nach links, beginnend mit dem Zeichen ganz rechts im Benutzernamen. Wenn der Router das Trennzeichen erkennt, betrachtet er alles rechts vom Trennzeichen als Benutzerteil. Mit dieser Konfiguration identifiziert der Router joe und entfernt ihn von example.com@joe.
Dieser Vorgang ähnelt dem Parsen von Domänennamen/Bereichsnamen, aber die Standardrichtung und die Ergebnisse unterscheiden sich von der Analyse von Domänennamen/Bereichsnamen.
Der Benutzerteil wird nur für den Benutzernamen entfernt, der zur Authentifizierung an einen externen Server gesendet wurde. Der nicht entfernte Benutzername wird für Buchhaltungsvorgänge verwendet.
So konfigurieren Sie den Benutzerteil so, dass er aus dem Benutzernamen für alle Benutzernamen entfernt wird, die einer Domänenzuordnung zugeordnet sind:
Geben Sie die Analyserichtung an, die der Router verwenden soll:
Verwenden Sie diese Option
left-to-right, wenn der Benutzername im typischen Domänennamenformat vorliegt, in dem der Domänenname auf den Namen des Benutzers folgt.[edit access domain map domain-map-name] user@host# set strip-username left-to-right
Wird verwendet
right-to-left, wenn der Benutzername im Realmnamenformat vorliegt, in dem der Realmname dem Namen des Benutzers vorangestellt ist.[edit access domain map domain-map-name] user@host# set strip-username right-to-left
Sie können ein neues Kennwort angeben, um das vorhandene Kennwort für die Authentifizierung eines Anwenders außer Kraft zu setzen, der der Domänenzuordnung zugeordnet ist. So überschreiben Sie das Passwort:
Geben Sie das Überschreibungskennwort für die PAP-Authentifizierung an.
[edit access domain map map-name] user@host# set override-password password
-
Geben Sie das Überschreibungskennwort für die CHAP-Authentifizierung an.
[edit access domain map map-name] user@host# set override-chap-password password
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.