Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

RADIUS-Server und Parameter für den Teilnehmerzugriff

Die Konfiguration von Parametern und Optionen für RADIUS-Server ist ein wichtiger Bestandteil der Konfiguration der Abonnentenverwaltung. Nachdem Sie die Authentifizierungs- und Kontoführungsserver definiert haben, konfigurieren Sie Optionen für alle RADIUS-Server. Außerdem konfigurieren Sie Zugriffsprofile, mit denen Sie Authentifizierungs-, Autorisierungs- und Kontoführungskonfigurationsparameter für Abonnenten oder Gruppen von Abonnenten angeben können. Die Profileinstellungen haben Vorrang vor globalen Einstellungen. Obwohl einige Optionen sowohl auf globaler Ebene als auch auf Zugriffsprofilebene verfügbar sind, sind viele Optionen nur in Zugriffsprofilen verfügbar.

Nachdem Sie ein Zugriffsprofil erstellt haben, müssen Sie mit einer Anweisung access-profile angeben, wo das Profil verwendet werden soll. Dies wird als Anhängen des Profils bezeichnet. Zugriffsprofile können auf verschiedenen Ebenen vergeben werden. Dies ist beispielsweise ein Ort, an dem Sie Zugriffsprofile anbringen können

  • Global für eine Routing-Instanz.

  • In dynamischen Profilen.

  • In einer Domänenzuordnung, die Zugriffsoptionen und Sitzungsparameter für Abonnentensitzungen abbildet.

  • An den Schnittstellen für dynamische VLANs und dynamische gestapelte VLANs.

  • Auf der Schnittstelle oder in einer Teilnehmergruppe für Teilnehmer mit statisch konfigurierten Schnittstellen für die dynamische Servicebereitstellung.

  • Auf DHCP-Relay-Agents und lokalen DHCP-Servern für DHCP-Clients oder -Abonnenten.

Da Sie Zugriffsprofile auf vielen Ebenen anfügen können, hat das spezifischste Zugriffsprofil Vorrang vor allen anderen Profilzuweisungen, um Konflikte zu vermeiden. Authentifizierung und Kontoführung werden nur ausgeführt, wenn Sie das Profil anfügen.

RADIUS-Authentifizierung und Accounting-Serverdefinition

Wenn Sie RADIUS für die Teilnehmerverwaltung verwenden, müssen Sie einen oder mehrere externe RADIUS-Server definieren, mit denen der Router für die Abonnentenauthentifizierung und -abrechnung kommuniziert. Sie können nicht nur die IPv4- oder IPv6-Adresse des Servers angeben, sondern auch Optionen und Attribute konfigurieren, die bestimmen, wie der Router mit den angegebenen Servern interagiert.

Sie können RADIUS-Server und Konnektivitätsoptionen auf der [edit access radius-server] Hierarchieebene, auf der [edit access profile name radius-server] Hierarchieebene oder auf beiden Ebenen definieren.

Anmerkung:

Der AAA-Prozess (authd) bestimmt wie folgt, welche Serverdefinitionen verwendet werden sollen:

  • Wenn RADIUS-Serverdefinitionen nur in [edit access radius-server]vorhanden sind, verwendet authd diese Definitionen.

  • Wenn RADIUS-Serverdefinitionen nur im Zugriffsprofil vorhanden sind, verwendet authd diese Definitionen.

  • Wenn RADIUS-Serverdefinitionen sowohl im Zugriffsprofil als auch [edit access radius-server] im Zugriffsprofil vorhanden sind, verwendet authd nur die Zugriffsprofildefinitionen.

Wenn Sie einen RADIUS-Server verwenden möchten, müssen Sie ihn in einem Zugriffsprofil als Authentifizierungsserver, Kontoführungsserver oder beides festlegen. Dies müssen Sie für Server tun, unabhängig davon, ob sie in einem Zugriffsprofil oder auf Hierarchieebene [edit access radius-server] definiert sind.

So definieren Sie RADIUS-Server und legen fest, wie der Router mit dem Server interagiert:

Anmerkung:

In dieser Vorgehensweise wird nur die Hierarchieebene [edit access radius-server] angezeigt. Optional können Sie jeden dieser Parameter auf Hierarchieebene [edit access profile profile-name] radius-server] konfigurieren. Sie können dies entweder zusätzlich zur globalen Einstellung oder anstelle der globalen Einstellung tun. Wenn Sie ein Profil anwenden, überschreiben die Profileinstellungen die globale Konfiguration.
  1. Geben Sie die IPv4- oder IPv6-Adresse des RADIUS-Servers an.
  2. (Optional) Konfigurieren Sie die Portnummer für die Kontoführung des RADIUS-Servers.
  3. (Optional) Konfigurieren Sie die Portnummer, die der Router für die Verbindung mit dem RADIUS-Server verwendet.
  4. Konfigurieren Sie den erforderlichen geheimen Schlüssel (das Kennwort), den der lokale Router an den RADIUS-Client übergibt. Geheimnisse, die in Anführungszeichen eingeschlossen sind, können Leerzeichen enthalten.
  5. (Optional) Konfigurieren Sie die maximale Anzahl ausstehender Anforderungen, die ein RADIUS-Server verwalten kann. Eine ausstehende Anforderung ist eine Anforderung, auf die der RADIUS-Server noch nicht geantwortet hat.
  6. Konfigurieren Sie die Quelladresse für den RADIUS-Server. Jede RADIUS-Anforderung, die an einen RADIUS-Server gesendet wird, verwendet die angegebene Quelladresse. Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Routerschnittstellen konfiguriert ist.
  7. (Optional) Konfigurieren Sie Wiederholungs- und Zeitüberschreitungswerte für Authentifizierungs- und Kontoführungsmeldungen.
    1. Konfigurieren Sie, wie oft der Router versucht, einen RADIUS-Server zu kontaktieren, wenn er keine Antwort erhalten hat.
    2. Konfigurieren Sie, wie lange der Router auf eine Antwort von einem RADIUS-Server wartet, bevor er den Kontaktversuch wiederholt.
    Anmerkung:

    Die maximale Wiederholungsdauer (die Anzahl der Wiederholungen multipliziert mit der Länge des Timeouts) darf 2700 Sekunden nicht überschreiten. Eine Fehlermeldung wird angezeigt, wenn Sie eine längere Dauer konfigurieren.
    Anmerkung:

    timeout Die retry und-Einstellungen gelten sowohl für Authentifizierungs- als auch für Kontoführungsnachrichten, es sei denn, Sie konfigurieren sowohl die accounting-retry Anweisung als auch die accounting-timeout Anweisung. In diesem Fall gelten die retry timeout und-Einstellungen nur für Authentifizierungsmeldungen.
  8. (Optional) Konfigurieren Sie Wiederholungs- und Zeitüberschreitungswerte für Kontoführungsnachrichten getrennt von den Einstellungen für Authentifizierungsmeldungen.
    Anmerkung:

    Sie müssen sowohl die als auch die accounting-retry accounting-timeout Anweisung konfigurieren. Wenn Sie dies nicht tun, wird der von Ihnen konfigurierte Wert zugunsten der mit den retry timeout and-Anweisungen konfigurierten Werte ignoriert.
    1. Konfigurieren Sie, wie oft der Router versucht, Kontoführungsnachrichten an den RADIUS-Kontoführungsserver zu senden, wenn er keine Antwort erhalten hat.
    2. Konfigurieren Sie, wie lange der Router auf eine Antwort von einem RADIUS-Abrechnungsserver wartet, bevor er die Anforderung wiederholt.
  9. (Optional) Konfigurieren Sie den Router so, dass er den RADIUS-Server für LLID-Anforderungen (Logical Line Identification) vor der Authentifizierung kontaktiert. Weitere Informationen finden Sie unter RADIUS Logical Line Identification.
  10. (Optional) Konfigurieren Sie den Port, den der Router auf dynamische Anforderungen (CoA) vom angegebenen Server überwacht. Weitere Informationen finden Sie unter Dynamisches Servicemanagement mit RADIUS.

Konfigurieren von Optionen, die für alle RADIUS-Server gelten

Sie können RADIUS-Optionen konfigurieren, die für alle RADIUS-Server weltweit gelten.

So konfigurieren Sie RADIUS-Optionen global:

  1. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  2. (Optional) Konfigurieren Sie die Rate, mit der RADIUS-Interimsaktualisierungsanforderungen an den Server gesendet werden.
  3. (Optional) Konfigurieren Sie die maximal zulässige Abweichung vom konfigurierten Aktualisierungsintervall, in dem der Router vorläufige Kontoführungsaktualisierungen an den RADIUS-Server sendet. Die Toleranz bezieht sich auf das konfigurierte Aktualisierungsintervall.

    Wenn die Toleranz beispielsweise auf 60 Sekunden festgelegt ist, sendet der Router vorläufige Kontoaktualisierungen frühestens 30 Sekunden vor dem konfigurierten Aktualisierungsintervall. Wenn sich ein Abonnent anmeldet, kann die erste Zwischenaktualisierung der Abrechnung bis zu 30 Sekunden früher gesendet werden (durchschnittlich 15 Sekunden früher).

    Das Aktualisierungsintervall konfigurieren Sie mit der Update-Interval-Anweisung auf Hierarchieebene [edit access profile profile-name accounting] .

  4. (Optional) Konfigurieren Sie die Anzahl der Anforderungen pro Sekunde, die der Router gemeinsam an alle konfigurierten RADIUS-Server senden kann. Durch Einschränken des Anforderungsflusses vom Router zu den RADIUS-Servern können Sie verhindern, dass die RADIUS-Server mit Anforderungen überflutet werden.
  5. (Optional) Konfigurieren Sie die Anzahl der Sekunden, die der Router wartet, nachdem ein Server nicht mehr erreichbar ist, bevor die Verbindung erneut überprüft wird. Wenn der Router den Server nach Ablauf des Zurücksetzungsintervalls erreicht, wird der Server entsprechend der Reihenfolge der Serverliste verwendet.
    Anmerkung:

    Sie können auch die in einem Zugriffsprofil so konfigurieren, dass dieser revert-interval globale Wert überschrieben wird. Weitere Informationen finden Sie unter Konfigurieren von Zugriffsprofiloptionen für Interaktionen mit RADIUS-Servern.
  6. (Optional) Konfigurieren Sie die Dauer eines Zeitraums, in dem nicht reagierende RADIUS-Authentifizierungsserver noch nicht als unerreichbar oder ausgefallen gelten. Sie können den Zeitraum variieren, je nachdem, ob Sie Authentifizierungsanforderungen schneller an einen anderen Server umleiten oder dem nicht reagierenden Server mehr Zeit zum Wiederherstellen und Beantworten geben möchten.

    Weitere Informationen finden Sie unter Konfigurieren einer Kulanzfrist für Zeitüberschreitungen, um anzugeben, wann RADIUS-Server als ausgefallen oder nicht erreichbar gelten .

  7. (Optional) Konfigurieren Sie einen NAS-Port-Wert, der für alle Router der MX-Serie im Netzwerk eindeutig ist. Sie können einen NAS-Port-Wert konfigurieren, der nur innerhalb des Routers oder für die verschiedenen MX-Router im Netzwerk eindeutig ist.

    Weitere Informationen finden Sie unter Aktivieren eindeutiger NAS-Portattribute (RADIUS-Attribut 5) für Abonnenten .

Konfigurieren einer Kulanzfrist für Zeitüberschreitungen, um anzugeben, wann RADIUS-Server als ausgefallen oder nicht erreichbar gelten

Wenn ein RADIUS-Authentifizierungsserver auf keinen der Versuche für eine bestimmte Authentifizierungsanforderung reagiert und eine Zeitüberschreitung auftritt, notiert authd die Uhrzeit als Referenz, markiert den Server jedoch nicht sofort als inaktiv (wenn andere Server verfügbar sind) oder nicht erreichbar (wenn er der einzige konfigurierte Server ist). Stattdessen startet ein konfigurierbarer Kulanzzeit-Timer zur Referenzzeit. Der Kulanzzeitraum wird gelöscht, wenn der Server vor Ablauf des Zeitraums auf eine nachfolgende Anforderung antwortet.

Während des Kulanzzeitraums wird der Server nicht als ausgefallen oder nicht erreichbar markiert. Jedes Mal, wenn der Server für nachfolgende Anforderungen an diesen Server eine Zeitüberschreitung aufweist, prüft authd, ob der Kulanzzeitraum abgelaufen ist. Wenn die Überprüfung feststellt, dass der Kulanzzeitraum abgelaufen ist und der Server immer noch nicht auf eine Anforderung reagiert hat, wird der Server als nicht erreichbar oder ausgefallen markiert.

Durch die Verwendung eines kurzen Kulanzzeitraums können Sie einen nicht reagierenden Server schneller verlassen und Authentifizierungsanforderungen an andere verfügbare Server weiterleiten. Ein langer Kulanzzeitraum gibt einem Server mehr Möglichkeiten zu antworten und kann vermeiden, dass eine Ressource unnötig aufgegeben wird. Sie können einen längeren Kulanzzeitraum angeben, wenn Sie nur über einen oder eine kleine Anzahl konfigurierter Server verfügen.

So konfigurieren Sie den Kulanzzeitraum, in dem ein nicht reagierender RADIUS-Server nicht als nicht erreichbar oder ausgefallen markiert wird:

  • Geben Sie die Dauer des Kulanzzeitraums an.

Konfigurieren von Zugriffsprofiloptionen für Interaktionen mit RADIUS-Servern

Sie können ein Zugriffsprofil verwenden, um Optionen anzugeben, die der Router bei der Kommunikation mit RADIUS-Authentifizierungs- und Kontoführungsservern für den Abonnentenzugriff verwendet. In diesem Verfahren werden Optionen beschrieben, die nur in Zugriffsprofilen verfügbar sind. Informationen zu Optionen, die sowohl auf Zugriffsprofil- als auch auf globaler Ebene verfügbar sind, finden Sie unter RADIUS-Server und Parameter für den Abonnentenzugriff.

So konfigurieren Sie die Optionen für die RADIUS-Authentifizierung und den Kontoführungsserver:

  1. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  2. (Optional) Konfigurieren Sie das Format, das der Router zur Identifizierung der Abrechnungssitzung verwendet. Der Bezeichner kann in einem der folgenden Formate vorliegen:

    • decimal: Das Standardformat. Zum Beispiel 435264

    • description– Im Format, jnpr interface-specifier:subscriber-session-id. Zum Beispiel jnpr fastEthernet 3/2.6:1010101010101

  3. (Optional) Konfigurieren Sie das Trennzeichen, das der Router zwischen den Werten im RADIUS-Attribut 31 (Calling-Station-Id) einfügt.
  4. (Optional) Konfigurieren Sie die Informationen, die der Router in RADIUS-Attribut 31 (Calling-Station-Id) einschließt.

    Weitere Informationen finden Sie unter Konfigurieren einer Calling-Station-ID mit zusätzlichen Optionen .

  5. (Optional) Konfigurieren Sie den Router so, dass er das optionale Verhalten verwendet, das die vom NAS generierte zufällige Abfrage in das Feld "Request Authenticator" von Access-Request-Paketen einfügt, anstatt die zufällige Abfrage als CHAP-Challenge-Attribut (RADIUS-Attribut 60) in Access-Request-Paketen zu senden. Dieses optionale Verhalten erfordert, dass der Wert der Abfrage 16 Byte groß sein muss. Andernfalls wird die Anweisung ignoriert und die Abfrage als CHAP-Challenge-Attribut gesendet.
  6. (Optional) Konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungs- und Kontoführungsserver verwendet, wenn mehrere Server konfiguriert sind:

    • direct– Die Standardmethode, bei der kein Load Balancing stattfindet. Der erste konfigurierte Server ist der primäre Server. Der Zugriff auf die Server erfolgt in der Reihenfolge der Konfiguration. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen usw.

    • round-robin– Die Methode, die Load Balancing durch Rotieren von Routeranforderungen in der Liste der konfigurierten RADIUS-Server bereitstellt. Der für den Zugriff ausgewählte Server wird basierend auf dem zuletzt verwendeten Server rotiert. Der erste Server in der Liste wird für die erste Authentifizierungsanforderung als primärer Server behandelt, für die zweite Anforderung jedoch der zweite konfigurierte Server als primär usw. Bei dieser Methode erhalten alle konfigurierten Server im Durchschnitt ungefähr die gleiche Anzahl von Anfragen, sodass kein einzelner Server alle Anfragen bearbeiten muss.

      Anmerkung:

      Wenn ein RADIUS-Server in der Roundrobin-Liste nicht mehr erreichbar ist, wird der nächste erreichbare Server in der Round-Robin-Liste für die aktuelle Anforderung verwendet. Derselbe Server wird auch für die nächste Anforderung verwendet, da er ganz oben in der Liste der verfügbaren Server steht. Dies hat zur Folge, dass nach einem Serverausfall der verwendete Server die Last von zwei Servern übernimmt.

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Kontoführungsserver verwendet:

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungsserver verwendet:

  7. (Optional) Konfigurieren Sie den Router so, dass er das optionale Verhalten verwendet, wenn ein CoA-Vorgang eine angeforderte Änderung nicht auf eine dynamische Clientprofilvariable anwenden kann.

    Das optionale Verhalten besteht darin, dass die Abonnentenverwaltung keine Änderungen an den dynamischen Variablen des Clientprofils in der CoA-Anforderung anwendet und dann mit einem NACK antwortet. Das Standardverhalten besteht darin, dass die Abonnentenverwaltung nicht das falsche Update anwendet, sondern die anderen Änderungen auf die dynamischen Variablen des Clientprofils anwendet und dann mit einer ACK-Meldung antwortet.

  8. (Optional) Konfigurieren Sie den Router so, dass er einen physischen Porttyp von zur Authentifizierung von virtual Clients verwendet. Der Porttyp wird im RADIUS-Attribut 61 (NAS-Port-Type) übergeben. Standardmäßig übergibt der Router den Porttyp im ethernet RADIUS-Attribut 61.
    Anmerkung:

    Diese Anweisung hat Vorrang vor der nas-port-type-Anweisung , wenn Sie beide in dasselbe Zugriffsprofil aufnehmen.
  9. (Optional) Geben Sie die Informationen an, die aus der Schnittstellenbeschreibung ausgeschlossen sind, die der Router an RADIUS zur Aufnahme in das RADIUS-Attribut 87 (NAS-Port-ID) übergibt. Standardmäßig enthält die Schnittstellenbeschreibung Adapter-, Kanal- und Subschnittstelleninformationen.
  10. (Optional) Fügen Sie für Dual-Stack-PPP-Abonnenten die IPv4-Release-Control VSA (26–164) in die Zugriffsanforderung ein, die während der On-Demand-IP-Adresszuweisung gesendet wird, und in die Interim-Accounting-Nachrichten, die gesendet werden, um eine Adressänderung zu melden.

    Konfigurieren Sie optional eine Nachricht, die im IPv4-Release-Control VSA (26–164) enthalten ist, wenn sie an den RADIUS-Server gesendet wird

    Die Konfiguration dieser Anweisung hat keine Auswirkungen, wenn die bedarfsgesteuerte Zuweisung oder Aufhebung der Zuweisung von IP-Adressen nicht konfiguriert ist.

  11. (Optional) Hinzufügen von Juniper Networks Access Line VSAs zu den RADIUS-Authentifizierungs- und Accounting-Anforderungsnachrichten für Abonnenten. Wenn der Router die entsprechenden ANCP-Attribute nicht vom Zugriffsknoten empfangen und verarbeitet hat, stellt AAA in diesen RADIUS-Nachrichten nur Folgendes bereit:

    • Downstream-Calculated-QoS-Rate (IANA 4874, 26-141): Standardkonfigurierte Beratungsübertragungsgeschwindigkeit.

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142): Standardkonfigurierte Empfangsgeschwindigkeit für Empfehlungen.

    Ab Junos OS Version 19.2R1 ersetzt die juniper-access-line-attributes Option die juniper-dsl-attributes Option. Aus Gründen der Abwärtskompatibilität mit vorhandenen Skripten leitet die juniper-dsl-attributes Option auf die neue juniper-access-line-attributes Option um. Es wird empfohlen, .juniper-access-line-attributes

    Anmerkung:

    Die juniper-access-line-attributes Option ist nicht abwärtskompatibel mit Junos OS Version 19.1 oder früheren Versionen. Das bedeutet, dass Sie, wenn Sie die Option in Junos OS Version 19.2 oder höher konfiguriert juniper-access-line-attributes haben, die folgenden Schritte ausführen müssen, um ein Downgrade auf Junos OS Version 19.1 oder frühere Versionen durchzuführen:

    1. Löschen Sie die Option aus allen Zugriffsprofilen, in denen juniper-access-line-attributes sie enthalten ist.

    2. Führen Sie das Downgrade der Software durch.

    3. Fügen Sie die juniper-dsl-attributes Option zu den betroffenen Zugriffsprofilen hinzu.
  12. (Optional) Konfigurieren Sie den Wert für das Client-RADIUS-Attribut 32 (NAS-Identifier), das für Authentifizierungs- und Kontoführungsanforderungen verwendet wird.
  13. (Optional) Konfigurieren Sie den RADIUS-Client für die Verwendung des erweiterten Formats für RADIUS-Attribut 5 (NAS-Port) und geben Sie die Breite der Felder im NAS-Port-Attribut an, das die physische Portnummer des NAS angibt, das den Benutzer authentifiziert.

    • Für Ethernet-Teilnehmer:

    • Für ATM-Abonnenten:

  14. (Optional) Konfigurieren Sie das Trennzeichen, das der Router zwischen den Werten im RADIUS-Attribut 87 (NAS-Port-Id) einfügt.
  15. (Optional) Konfigurieren Sie die optionalen Informationen, die der Router in RADIUS-Attribut 87 (NAS-Port-Id) einschließt. Sie können eine oder mehrere Optionen angeben, die in der Standardreihenfolge angezeigt werden sollen. Alternativ können Sie sowohl die Optionen als auch die Reihenfolge angeben, in der sie angezeigt werden. Die Bestellungen schließen sich gegenseitig aus und die Konfiguration schlägt fehl, wenn Sie eine NAS-Port-ID konfigurieren, die Werte in beiden Auftragstypen enthält.

    Weitere Informationen finden Sie unter Konfigurieren einer NAS-Port-ID mit zusätzlichen Optionen und Konfigurieren der Reihenfolge, in der optionale Werte in der NAS-Port-ID angezeigt werden .

  16. (Optional) Konfigurieren Sie den Porttyp, der im RADIUS-Attribut 61 (NAS-Port-Type) enthalten ist. Dies gibt den Porttyp an, den der Router zur Authentifizierung von Abonnenten verwendet.
    Anmerkung:

    Diese Anweisung wird ignoriert, wenn Sie die ethernet-port-type-virtual im selben Zugriffsprofil konfigurieren.
  17. (Optional) Konfigurieren Sie die LAC so, dass das konfigurierte Calling-Station-ID-Format für den in der L2TP-Rufnummer AVP 22 gesendeten Wert überschrieben wird. Sie können das Format Calling-Station-ID überschreiben und die LAC so konfigurieren, dass sie die ACI, die ARI oder sowohl die ACI als auch die ARI verwendet, die vom L2TP-Client im PADR-Paket empfangen werden. Sie können auch ein Trennzeichen angeben, das zwischen den Komponenten der AVP-Zeichenfolge verwendet werden soll, und einen Fallbackwert, der verwendet werden soll, wenn die konfigurierten Überschreibungskomponenten nicht im PADR-Paket empfangen werden.
    Anmerkung:

    Weitere Informationen finden Sie unter Überschreiben des Calling-Station-ID-Formats für den AVP für die Rufnummer .
  18. (Optional) Überschreiben Sie den Wert des Attributs RADIUS NAS-IP-Address (4) im LNS mit dem Wert der IP-Adresse des LAC-Endpunkts der Sitzung, wenn diese in der Sitzungsdatenbank vorhanden ist. Wenn es nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  19. (Optional) Überschreiben Sie den Wert des Attributs RADIUS NAS-Port (5) im LNS mit dem Wert aus der Sitzungsdatenbank, wenn die LAC-NAS-Portinformationen an das LNS im Cisco Systems NAS Port Info AVP (100) übermittelt wurden. Wenn es nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  20. (Optional) Überschreiben Sie den Wert des Attributs RADIUS NAS-Port-Type (61) im LNS mit dem Wert aus der Sitzungsdatenbank, wenn die LAC-NAS-Portinformationen im Cisco Systems NAS Port Info AVP (100) an den LNS übermittelt wurden. Wenn es nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  21. (Optional) Konfigurieren Sie ein Trennzeichen für die Zeichenfolge der Remote-Verbindungs-ID, wenn Sie die remote-circuit-id-format Anweisung verwenden, um die Zeichenfolge zu konfigurieren, die anstelle der Anrufstellen-ID in der L2TP-Rufnummer AVP 22 verwendet werden soll. Wenn mehr als ein Wert für das Remote-Circuit-ID-Format konfiguriert ist, wird das Trennzeichen als Trennzeichen zwischen den verketteten Werten in der resultierenden Remote-Circuit-ID-Zeichenfolge verwendet.
    Anmerkung:

    Sie müssen die override calling-circuit-id remote-circuit-id Anweisung für das Remote-Circuit-ID-Format konfigurieren, das in der AVP unter der Rufnummer verwendet werden soll.
  22. (Optional) Konfigurieren Sie den Fallback-Wert für die LAC, die an die L2TP-Rufnummer AVP 22 gesendet werden soll, entweder die konfigurierte Calling-Station-ID oder die zugrunde liegende Standardschnittstelle. Die Verwendung des Fallbackwerts wird ausgelöst, wenn die Komponenten der Überschreibungszeichenfolge, die Sie mit der remote-circuit-id-format Anweisung konfiguriert haben – die ACI, die ARI oder sowohl ACI als auch ARI – nicht vom LAC im PADR-Paket (PPPoE Active Discovery Request) empfangen werden.
  23. (Optional) Konfigurieren Sie das Format der Zeichenfolge, die das Format der Calling-Station-ID in der AVP für die L2TP-Rufnummer überschreibt. Sie können die ACI, die ARI oder sowohl die ACI als auch die ARI angeben.
    Anmerkung:

    Sie müssen die override calling-circuit-id remote-circuit-id Anweisung für das Remote-Circuit-ID-Format konfigurieren, das in der AVP unter der Rufnummer verwendet werden soll.
  24. (Optional) Konfigurieren Sie die Anzahl der Sekunden, die der Router wartet, nachdem ein Server nicht mehr erreichbar ist, bevor er einen weiteren Versuch unternimmt, den Server zu erreichen. Ist der Server dann erreichbar, wird er entsprechend der Reihenfolge der Serverliste verwendet.
    Anmerkung:

    Sie können diese Option auch für alle RADIUS-Server konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Optionen für RADIUS-Server.
  25. (Optional) Konfigurieren Sie, ob sich neu authentifizierte Abonnenten erfolgreich anmelden können, wenn Dienstaktivierungsfehler im Zusammenhang mit Konfigurationsfehlern während der automatischen Verarbeitung der Aktivierungsanforderung für die Adressfamilie des Abonnenten auftreten. Sie können dieses Verhalten für Dienste angeben, die in dynamischen Profilen oder in ESSM-Vorgangsskripts (Extensible Subscriber Services Manager) konfiguriert sind:

    • optional-at-loginDie Serviceaktivierung ist optional. Ein Aktivierungsfehler aufgrund von Konfigurationsfehlern verhindert nicht die Aktivierung der Adressfamilie. Er ermöglicht den Anwenderzugriff. Fehler bei der Dienstaktivierung, die auf andere Ursachen als Konfigurationsfehler zurückzuführen sind, führen dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Der Anmeldeversuch wird abgebrochen, es sei denn, für den Teilnehmer ist bereits eine andere Adressfamilie aktiv.

    • required-at-login– Die Serviceaktivierung ist erforderlich. Ein Aktivierungsfehler, aus welchem Grund auch immer, führt dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Der Anmeldeversuch wird abgebrochen, es sei denn, für den Teilnehmer ist bereits eine andere Adressfamilie aktiv.

  26. (Optional) Geben Sie an, dass das RADIUS-Attribut 5 (NAS-Port) neben der VLAN-ID auch die S-VLAN-ID für Teilnehmer an Ethernet-Schnittstellen enthält.

Konfiguration einer Calling-Station-ID mit zusätzlichen Optionen

In diesem Abschnitt können Sie einen alternativen Wert für die Calling-Station-ID (RADIUS-IETF-Attribut 31) in einem Zugriffsprofil auf dem Router der MX-Serie konfigurieren.

Sie können die Calling-Station-ID so konfigurieren, dass sie eine oder mehrere der folgenden Optionen in beliebiger Kombination in der [edit access profile profile-name radius options calling-station-id-format]-Hierarchie enthält:

  • Agent Circuit Identifier (agent-circuit-id): Kennung des Zugangsknotens des Teilnehmers und der digitalen Anwenderleitung (DSL) auf dem Zugriffsknoten. Die ACI-Zeichenfolge (Agent Circuit Identifier) wird entweder im Feld DHCP Option 82 von DHCP-Nachrichten für DHCP-Datenverkehr oder im DSL Forum Agent-Circuit-ID VSA [26-1] der PPPoE Active Discovery Initiation (PADI)- und PPPoE Active Discovery Request (PADR)-Steuerpakete für PPPoE-Datenverkehr gespeichert.

  • Agent Remote Identifier (agent-remote-id) – Kennung des Teilnehmers auf der DSLAM-Schnittstelle (Digital Subscriber Line Access Multiplexer), der die Serviceanforderung initiiert hat. Die ARI-Zeichenfolge (Agent Remote Identifier) wird entweder im Feld DHCP Option 82 für DHCP-Datenverkehr oder im DSL-Forum Agent-Remote-ID VSA [26-2] für PPPoE-Datenverkehr gespeichert.

  • Schnittstellenbeschreibung (interface-description) – Wert der Schnittstelle.

  • Schnittstellentextbeschreibung (interface-text-description): Textbeschreibung der Schnittstelle. Die Textbeschreibung der Schnittstelle wird separat konfiguriert, indem entweder die set interfaces interface-name description description Anweisung oder die set interfaces interface-name unit unit-number description description Anweisung verwendet wird

  • MAC-Adresse (mac-address): MAC-Adresse des Quellgeräts für den Abonnenten.

  • NAS-Kennung (nas-identifier) – Name des NAS, von dem die Authentifizierungs- oder Kontoführungsanforderung stammt. NAS-Identifier ist das RADIUS-IETF-Attribut 32.

  • Gestapeltes VLAN (stacked-vlan)– Gestapelte VLAN-ID.

  • VLAN (vlan)– VLAN-ID.

Wenn Sie das Format der Calling-Station-ID mit mehr als einem optionalen Wert konfigurieren, ist ein Hashzeichen (#) das Standardtrennzeichen, das der Router als Trennzeichen zwischen den verketteten Werten in der resultierenden Calling-Station-ID-Zeichenfolge verwendet. Optional können Sie ein alternatives Trennzeichen für die Calling-Station-ID konfigurieren. Das folgende Beispiel zeigt die Reihenfolge der Ausgabe, wenn Sie mehrere optionale Werte konfigurieren:

So konfigurieren Sie ein Zugriffsprofil, um optionale Informationen in der Calling-Station-ID bereitzustellen:

  1. Geben Sie das Zugriffsprofil an, das Sie konfigurieren möchten.
  2. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  3. Geben Sie das nicht standardmäßige Zeichen an, das als Trennzeichen zwischen den verketteten Werten in der Calling-Station-ID verwendet werden soll.

    Standardmäßig verwendet die Abonnentenverwaltung das Hashzeichen (#) als Trennzeichen in Calling-Station-ID-Zeichenfolgen, die mehr als einen optionalen Wert enthalten.

  4. Konfigurieren Sie den Wert für den NAS-Identifier (RADIUS-Attribut 32), der für Authentifizierungs- und Abrechnungsanforderungen verwendet wird.
  5. Geben Sie an, dass Sie das Format der Calling-Station-ID konfigurieren möchten.
  6. (Optional) Fügen Sie die Textbeschreibung der Schnittstelle in die Calling-Station-ID ein.
  7. (Optional) Fügen Sie den Wert für die Schnittstellenbeschreibung in die Calling-Station-ID ein.
  8. (Optional) Geben Sie die Agenten-Circuit-ID in die Calling-Station-ID ein.
  9. (Optional) Fügen Sie die Remote-Kennung des Agenten in die Calling-Station-ID ein.
  10. (Optional) Fügen Sie den konfigurierten NAS-ID-Wert in die Calling-Station-ID ein.
  11. (Optional) Nehmen Sie die gestapelte VLAN-ID in die Calling-Station-ID auf.
  12. (Optional) Geben Sie die VLAN-ID in die Calling-Station-ID ein.
  13. (Optional) Geben Sie die MAC-Adresse in die Calling-Station-ID ein.

Beispiel: Calling-Station-ID mit zusätzlichen Optionen in einem Zugriffsprofil

Im folgenden Beispiel wird ein Zugriffsprofil mit dem Namen retailer01 erstellt, das eine Calling-Station-ID-Zeichenfolge konfiguriert, die die Optionen NAS-Identifier(), Schnittstellenbeschreibung, Agent-Circuit-ID und Agent-Remote-IDfox enthält.

Die resultierende Calling-Station-ID-Zeichenfolge ist wie folgt formatiert:

fox*ge-1/2/0.100:100*as007*ar921

wo:

  • Der NAS-Identifier-Wert ist fox.

  • Das Trennzeichen für Calling-Station-ID ist * (Sternchen).

  • Der Wert für die Schnittstellenbeschreibung ist ge-1/2/0.100:100.

  • Der Wert für die Agent-Verbindungs-ID ist as007.

  • Der Wert der Remote-ID des Agenten ist ar921.

Betrachten Sie ein Beispiel, bei dem alle Optionen konfiguriert sind, aber keine Werte für die Agent-Circuit-ID, die Agent-Remote-ID oder die gestapelte VLAN-Kennung verfügbar sind. Die anderen Werte lauten wie folgt:

  • NAS-Kennung – Solarium

  • Schnittstellenbeschreibung—GE-1/0/0.1073741824:101

  • Schnittstellentextbeschreibung – Beispielschnittstelle

  • MAC-Adresse—00:00:5E:00:53:00

  • VLAN-Kennung: 101

Aus diesen Werten ergibt sich die folgende Calling-Station-ID:

Filtern von RADIUS-Attributen und VSAs aus RADIUS-Nachrichten

Standardattribute und anbieterspezifische Attribute (VSAs), die in RADIUS-Nachrichten empfangen werden, haben Vorrang vor intern bereitgestellten Attributwerten. Das Filtern von Attributen besteht darin, bestimmte Attribute zu ignorieren , wenn sie in Zugriffsannahmepaketen empfangen werden, und bestimmte Attribute vom Senden an den RADIUS-Server auszuschließen . Durch das Ignorieren von Attributen, die vom RADIUS-Server empfangen wurden, können stattdessen Ihre lokal bereitgestellten Werte verwendet werden. Das Ausschließen von Attributen vom Senden ist z. B. für Attribute nützlich, die sich während der Lebensdauer eines Abonnenten nicht ändern. Es ermöglicht Ihnen, die Paketgröße ohne Informationsverlust zu reduzieren.

Sie können Standard-RADIUS-Attribute und VSAs angeben, die der Router oder Switch anschließend ignoriert , wenn sie in RADIUS-Access-Accept-Nachrichten empfangen werden. Sie können auch Attribute und VSAs angeben, die der Router oder Switch von bestimmten RADIUS-Nachrichtentypen ausschließt . Ausschluss bedeutet, dass der Router oder Switch das Attribut nicht in die angegebenen Nachrichten aufnimmt, die er an den RADIUS-Server sendet.

Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standardattributnummer oder die von der IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben. Mit dieser flexiblen Konfigurationsmethode können Sie alle von Ihrer Plattform unterstützten Standardattribute und VSAs so konfigurieren, dass sie ignoriert oder ausgeschlossen werden. Die Konfiguration hat keine Auswirkungen, wenn Sie nicht unterstützte Attribute, Anbieter und VSAs konfigurieren.

Mit der Legacy-Methode können Sie nur die Attribute und VSAs konfigurieren, für die die Anweisungssyntax eine bestimmte Option enthält. Folglich können Sie die Legacymethode verwenden, um nur eine Teilmenge aller Attribute zu ignorieren, die in Access-Accept-Nachrichten empfangen werden können.

So konfigurieren Sie die Attribute, die von Ihrem Router oder Switch ignoriert oder ausgeschlossen werden:

  1. Geben Sie an, dass Sie RADIUS im Zugriffsprofil konfigurieren möchten.
  2. Geben Sie an, dass Sie konfigurieren möchten, wie RADIUS-Attribute gefiltert werden.
  3. (Optional) Geben Sie ein oder mehrere Attribute an, die Ihr Router oder Switch ignorieren soll, wenn sich die Attribute in Access-Accept-Nachrichten befinden.

    • Legacy-Methode: Geben Sie eine dedizierte Option für das Attribut an:

    • Flexible Methode: Geben Sie die Standardattributnummer oder die IANA-zugewiesene Lieferanten-ID und die VSA-Nummer an:

  4. (Optional) Konfigurieren Sie ein Attribut, das Ihr Router oder Switch von einem oder mehreren angegebenen RADIUS-Nachrichtentypen ausschließen soll. Sie können keine Liste von Attributen konfigurieren, aber Sie können für jedes Attribut eine Liste von Meldungstypen angeben.

    • Legacy-Methode: Geben Sie eine dedizierte Option für Attribut und Nachrichtentyp an:

    • Flexible Methode: Geben Sie die Standardattributnummer oder die von der IANA zugewiesene Anbieter-ID, die VSA-Nummer und den Nachrichtentyp an:

Im folgenden Beispiel werden die älteren und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die Juniper Networks VSAs Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) zu ignorieren.

  • Legacy-Methode:

  • Flexible Methode:

Im folgenden Beispiel werden die Legacy- und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die Juniper Networks VSAs Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) auszuschließen.

  • Legacy-Methode:

  • Flexible Methode: Geben Sie die Standardattributnummer oder die von der IANA zugewiesene Anbieter-ID, die VSA-Nummer und den Nachrichtentyp an:

Was passiert, wenn Sie ein Attribut mit beiden Methoden im selben Profil angeben? Die effektive Konfiguration ist das logische OR der beiden Methoden. Betrachten Sie das folgende Beispiel für das Standardattribut accounting-delay-time (41):

Dies hat zur Folge, dass das Attribut aus allen vier Nachrichtentypen ausgeschlossen ist: Accounting-Off, Accounting-On, Accounting-Start und Accounting-Stop. Der Effekt ist derselbe, wie wenn eine der folgenden Konfigurationen verwendet wird:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
18.1R1
Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standardattributnummer oder die von der IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben.