Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

RADIUS-Authentifizierung und -Abrechnung – Grundkonfiguration

Konfigurieren von Authentifizierungs- und Abrechnungsparametern für den Teilnehmerzugriff

Sie verwenden ein Zugriffsprofil, um die Authentifizierungs- und Kontoführungsunterstützung für die Benutzerzugriffsverwaltungsfunktion für Abonnenten zu konfigurieren. Mit dem Zugriffsprofil können Sie den Typ der Methoden angeben, die für die Authentifizierung und Kontoführung verwendet werden. Sie können auch konfigurieren, wie Kontoführungsstatistiken erfasst und verwendet werden.

So konfigurieren Sie die Authentifizierung und Kontoführung für den Abonnentenzugriff:

  1. Geben Sie die zu verwendenden Authentifizierungs- und Abrechnungsmethoden an.

    Weitere Informationen finden Sie unter Angeben der Authentifizierungs- und Abrechnungsmethoden für den Abonnentenzugriff.

  2. Geben Sie an, wie Buchhaltungsstatistiken erfasst werden.

    Weitere Informationen finden Sie unter Konfigurieren der Sitzungsabrechnung pro Abonnent.

Angeben der Authentifizierungs- und Abrechnungsmethoden für den Abonnentenzugriff

Sie können die Authentifizierungs- und Abrechnungsmethoden angeben, die von der Abonnentenzugriffsverwaltung verwendet werden.

Sie können mehrere Authentifizierungs- und Abrechnungsmethoden konfigurieren – die authentication-order accounting order und-Anweisungen geben die Reihenfolge an, in der die Funktion zur Verwaltung des Abonnentenzugriffs die Methoden verwendet. Ein Authentifizierungseintrag von gibt z. B. an, dass zuerst die RADIUS-Authentifizierung ausgeführt wird. Bei einer Zeitüberschreitung ( radius password z. B. wenn der RADIUS-Server nicht erreichbar ist) wird versucht, die lokale Authentifizierung (password) durchzuführen. Wenn jedoch eine Methode den Authentifizierungsversuch ablehnt, wird keine nachfolgende Methode versucht. Wenn password sie als erste Methode konfiguriert ist, wird die Authentifizierung immer entweder akzeptiert oder abgelehnt. In beiden Fällen wird kein anderer Versuch unternommen.

Mit der authentication-order Anweisung können Sie die folgenden Authentifizierungsmethoden angeben:

  • radius–RADIUS-basierte Authentifizierung mit einem externen RADIUS-Server.

  • password– Lokale Authentifizierung mit lokal konfigurierten und gespeicherten Benutzernamen und Kennwörtern.

    Die Teilnehmerzugriffsverwaltung unterstützt diese password Option erst ab Junos OS Version 18.2R1. Ab Junos OS Version 18.2R1 können Sie die Option verwenden, um password die lokale Authentifizierung für einzelne Abonnenten bereitzustellen, in der Regel, wenn Sie nicht über externe Authentifizierungs- und Autorisierungsserver verfügen oder wenn Sie die lokale Authentifizierung als Backup für die externe Authentifizierung verwenden möchten. In diesem Fall konfigurieren Sie das tatsächliche Teilnehmerkennwort mit der password Option der subscriber username Anweisung im Zugriffsprofil. In früheren Versionen müssen Sie immer die radius Authentifizierungsmethode angeben.

Sie können die folgenden Abrechnungsmethoden angeben:

  • radius: RADIUS-basierte Abrechnung mit einem externen RADIUS-Server.

So konfigurieren Sie die Authentifizierungs- und Abrechnungsmethoden für die Abonnentenzugriffsverwaltung:

  1. Geben Sie die Authentifizierungsmethoden und die Reihenfolge an, in der sie verwendet werden.
  2. Geben Sie die Abrechnungsmethode an.

Angeben von RADIUS-Authentifizierungs- und Abrechnungsservern für den Teilnehmerzugriff

Sie können einen oder mehrere RADIUS-Authentifizierungs- oder Kontoführungsserver angeben, die für die Verwaltung des Teilnehmerzugriffs verwendet werden sollen.

So konfigurieren Sie die RADIUS-Authentifizierung und -Kontoführung:

  1. Geben Sie an, dass Sie die RADIUS-Unterstützung konfigurieren möchten.
  2. Geben Sie die IP-Adresse des RADIUS-Servers an, der für die Authentifizierung verwendet wird.
  3. Geben Sie die IP-Adresse des RADIUS-Servers an, der für die Kontoführung verwendet wird.

So konfigurieren Sie mehrere RADIUS-Authentifizierungs- oder Kontoführungsserver:

  • Geben Sie die IP-Adressen aller RADIUS-Server an, die für die Authentifizierung oder Kontoführung verwendet werden.

Konfigurieren der lokalen Authentifizierung und Autorisierung für Abonnenten

Ab Junos OS Version 18.2R1 können Sie die lokale Authentifizierung und eingeschränkte lokale Autorisierung für Abonnenten konfigurieren. Die lokale Authentifizierung unterstützt alle Teilnehmertypen, die derzeit von der Teilnehmerverwaltung und den Services auf Routern der MX-Serie unterstützt werden. Die lokale Authentifizierung und Autorisierung ist unter den folgenden Umständen sinnvoll:

  • Wenn Sie keine externen Authentifizierungs- und Autorisierungsserver verwenden möchten.

  • Wenn Sie möchten, dass die lokale Authentifizierung und Autorisierung eine Sicherungsmethode bereitstellt, falls die RADIUS-Authentifizierung fehlschlägt.

  • Wenn Sie ein Netzwerk von Routern der E Series mit JunosE Software zu Routern der MX-Serie mit Junos OS migrieren.

Aktivieren Sie die lokale Authentifizierung und Autorisierung für Abonnenten, indem Sie die Option konfigurieren, die password als authentication-order Methode für das Zugriffsprofil konfiguriert werden soll. Konfigurieren Sie dann ein Kennwort für jeden Abonnenten, den Sie lokal authentifizieren möchten. Wenn sich ein mit dem Zugriffsprofil verknüpfter Abonnent anmeldet, wird der Anmeldebenutzername mit dem konfigurierten Benutzernamen verglichen. Wenn das übereinstimmt, wird das Anmeldekennwort mit dem konfigurierten Kennwort verglichen. Fehler bei der lokalen Authentifizierung resultieren aus nicht übereinstimmenden Anmeldeinformationen. Das heißt, entweder der Benutzername oder das Kennwort des Abonnenten stimmen nicht überein.

Die lokale Authentifizierung kann eine der folgenden Formen annehmen:

  • Benutzerkennwortauthentifizierung: Das konfigurierte Kennwort wird verwendet, um das Anmeldekennwort des Abonnenten zu überprüfen.

  • Herausforderungs-Handshake-Authentifizierung (CHAP): Das konfigurierte Kennwort fungiert als Abfragegeheimnis, um das Abfragekennwort und die Anmeldeinformationen für die Abfrageantwort des Abonnenten zu überprüfen.

Optional können Sie auch mehrere Attribute konfigurieren, z. B. Adresspool, logisches System oder Routinginstanz, die bei erfolgreicher Authentifizierung lokal für den Abonnenten autorisiert werden. Wenn Sie keine Adresse oder keinen Adresspool für die lokale Autorisierung konfigurieren, basiert die Adresszuweisung auf dem Netzwerkabgleich oder dem ersten Adresspool, der der Routinginstanz zugewiesen ist.

Anmerkung:

Lokale Authentifizierung und Autorisierung unterstützen gehäuseweit maximal 100 Abonnenten. Wenn Abonnenten in Zugriffsprofilen konfiguriert sind, in denen authentication-order password nicht konfiguriert ist, erfolgt keine lokale Authentifizierung, aber diese Abonnenten werden auf den Systemgrenzwert von 100 Abonnenten für die lokale Authentifizierung angerechnet.

So konfigurieren Sie die lokale Authentifizierung und Autorisierung:

  1. Aktivieren Sie die lokale Authentifizierung.

    Wenn Sie möchten, dass nur die lokale Authentifizierung verwendet wird, konfigurieren password Sie sie als einzige Authentifizierungsmethode. Wenn Sie möchten, dass die lokale Authentifizierung die RADIUS-Authentifizierung sichert, falls bei der Methode ein Timeout auftritt, müssen Sie die erste Methode und password die zweite Methode wie folgt konfigurierenradius:

    Wenn Sie die Konfiguration als erste Methode vornehmen password , wird die Authentifizierung immer entweder akzeptiert oder abgelehnt. In beiden Fällen wird nie versucht, eine zweite Methode anzuwenden.

  2. Konfigurieren Sie das lokale Kennwort für den Abonnenten.
  3. (Optional) Konfigurieren Sie eine IPv4-Adresse für den Abonnenten.
  4. (Optional) Konfigurieren Sie einen Adresspool, um dem Abonnenten eine IPv4-Adresse zuzuweisen.
  5. (Optional) Konfigurieren Sie einen Adresspool, um dem Teilnehmer ein IPv6-Präfix für eine Routerankündigung oder eine DHCPv6 IA_NA/128-Adresse zuzuweisen.
  6. (Optional) Konfigurieren Sie einen Adresspool für die lokale Zuweisung eines delegierten IPv6-Präfixes.
  7. (Optional) Konfigurieren Sie ein logisches System und ggf. eine Routing-Instanz, die dem Abonnenten zugewiesen ist.
  8. (Optional) Konfigurieren Sie eine Routinginstanz für den Abonnenten.

Mit den folgenden show Befehlen können Sie Informationen zur lokalen Authentifizierung anzeigen:

  • show network-access aaa statistics authentication detail– Zeigt Fehlerstatistiken für die lokale Authentifizierung an.

  • show network-access requests statistics– Zeigt sowohl Statistiken zur lokalen Authentifizierung als auch zur lokalen erneuten Authentifizierung an, z. B. empfangene Anforderungen und die Anzahl der erfolgreichen und fehlgeschlagenen Antworten.

  • show network-access aaa statistics re-authentication: Zeigt Statistiken für die erneute Authentifizierung an, die jedoch sowohl aus der lokalen Authentifizierung als auch aus RADIUS aggregiert werden.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
18.2R1
Ab Junos OS Version 18.2R1 können Sie die lokale Authentifizierung und eingeschränkte lokale Autorisierung für Abonnenten konfigurieren.