Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

RADIUS-Server und Parameter für den Anwenderzugriff

Die Konfiguration von Parametern und Optionen für RADIUS-Server ist ein wichtiger Bestandteil der Konfiguration der Anwender-Verwaltung. Nachdem Sie die Authentifizierungs- und Abrechnungsserver definiert haben, konfigurieren Sie Optionen für alle RADIUS-Server. Außerdem konfigurieren Sie Zugriffsprofile, mit denen Sie Konfigurationsparameter für die Authentifizierung, Autorisierung und Abrechnung von Anwendern für Abonnenten oder Gruppen von Abonnenten angeben können. Die Profileinstellungen überschreiben globale Einstellungen. Obwohl einige Optionen sowohl auf globaler Ebene als auch auf Zugriffsprofilebene verfügbar sind, sind viele Optionen nur in Zugriffsprofilen verfügbar.

Nachdem Sie ein Zugriffsprofil erstellt haben, müssen Sie angeben, wo das Profil mit einer access-profile Anweisung verwendet wird. Dies wird als Anhängen des Profils bezeichnet. Zugriffsprofile können auf verschiedenen Ebenen zugewiesen werden. Zum Beispiel einige der Orte, an denen Sie Zugriffsprofile anhängen können

  • Global für eine Routing-Instanz.

  • In dynamischen Profilen.

  • In einer Domänenzuordnung, die Zugriffsoptionen und Sitzungsparameter für Anwender-Sitzungen abbildet.

  • Schnittstellen für dynamische VLANs und dynamische gestapelte VLANs.

  • Auf der Schnittstelle oder in einer Anwendergruppe für Anwender mit statisch konfigurierten Schnittstellen für die dynamische Servicebereitstellung.

  • Auf DHCP-Relay-Agents und lokalen DHCP-Servern für DHCP-Clients oder -Abonnenten.

Da Sie Zugriffsprofile auf vielen Ebenen anfügen können, hat das spezifischste Zugriffsprofil Vorrang vor allen anderen Profilzuweisungen, um Konflikte zu vermeiden. Authentifizierung und Abrechnung werden nur ausgeführt, wenn Sie das Profil anfügen.

Definition des RADIUS-Authentifizierungs- und Abrechnungsservers

Wenn Sie RADIUS für die Verwaltung von Anwendern verwenden, müssen Sie einen oder mehrere externe RADIUS-Server definieren, mit denen der Router für die Authentifizierung und das Konto des Anwenders kommuniziert. Neben der Angabe der IPv4- oder IPv6-Adresse des Servers können Sie Optionen und Attribute konfigurieren, die bestimmen, wie der Router mit den angegebenen Servern interagiert.

Sie können RADIUS-Server und Konnektivitätsoptionen auf Hierarchieebene [edit access radius-server] , auf Hierarchieebene [edit access profile name radius-server] oder auf beiden Ebenen definieren.

Hinweis:

Der AAA-Prozess (authd) bestimmt wie folgt, welche Serverdefinitionen verwendet werden sollen:

  • Wenn RADIUS-Serverdefinitionen nur in [edit access radius-server]vorhanden sind, verwendet authd diese Definitionen.

  • Wenn RADIUS-Serverdefinitionen nur im Zugriffsprofil vorhanden sind, verwendet authd diese Definitionen.

  • Wenn RADIUS-Serverdefinitionen sowohl im als auch [edit access radius-server] im Zugriffsprofil vorhanden sind, verwendet authd nur die Zugriffsprofildefinitionen.

Um einen RADIUS-Server verwenden zu können, müssen Sie ihn in einem Zugriffsprofil als Authentifizierungsserver, Kontoserver oder beides festlegen. Sie müssen dies für Server tun, unabhängig davon, ob sie in einem Zugriffsprofil oder auf Hierarchieebene [edit access radius-server] definiert sind.

So definieren Sie RADIUS-Server und geben an, wie der Router mit dem Server interagiert:

Hinweis:

Diese Vorgehensweise zeigt nur die [edit access radius-server] Hierarchieebene an. Sie können optional jeden dieser Parameter auf Hierarchieebene [edit access profile profile-name] radius-server] konfigurieren. Sie können dies entweder zusätzlich zur globalen Einstellung oder anstelle der globalen Einstellung tun. Wenn Sie ein Profil anwenden, überschreiben die Profileinstellungen die globale Konfiguration.
  1. Geben Sie die IPv4- oder IPv6-Adresse des RADIUS-Servers an.
  2. (Optional) Konfigurieren Sie die Accounting-Portnummer des RADIUS-Servers.
  3. (Optional) Konfigurieren Sie die Portnummer, über die der Router den RADIUS-Server kontaktiert.
  4. Konfigurieren Sie den erforderlichen geheimen Schlüssel (Kennwort), den der lokale Router an den RADIUS-Client übergibt. Geheimnisse in Anführungszeichen können Leerzeichen enthalten.
  5. (Optional) Konfigurieren Sie die maximale Anzahl ausstehender Anforderungen, die ein RADIUS-Server verwalten kann. Eine ausstehende Anforderung ist eine Anforderung, auf die der RADIUS-Server noch nicht geantwortet hat.
  6. Konfigurieren Sie die Quelladresse für den RADIUS-Server. Jede an einen RADIUS-Server gesendete RADIUS-Anforderung verwendet die angegebene Quelladresse. Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Router-Schnittstellen konfiguriert ist.
  7. (Optional) Konfigurieren Sie Wiederholungs- und Timeoutwerte für Authentifizierungs- und Kontoführungsmeldungen.
    1. Konfigurieren Sie, wie oft der Router versucht, einen RADIUS-Server zu kontaktieren, wenn er keine Antwort erhalten hat.
    2. Konfigurieren Sie, wie lange der Router auf den Empfang einer Antwort von einem RADIUS-Server wartet, bevor er den Kontakt wiederholt.
    Hinweis:

    Die maximale Wiederholungsdauer (die Anzahl der Wiederholungen mal der Länge des Timeouts) darf 2700 Sekunden nicht überschreiten. Eine Fehlermeldung wird angezeigt, wenn Sie eine längere Dauer konfigurieren.
    Hinweis:

    timeout Die retry und-Einstellungen gelten sowohl für Authentifizierungs- als auch für Kontoführungsmeldungen, es sei denn, Sie konfigurieren sowohl die accounting-retry Anweisung als auch die accounting-timeout Anweisung. In diesem Fall gelten die retry timeout und Einstellungen nur für Authentifizierungsmeldungen.
  8. (Optional) Konfigurieren Sie Wiederholungs- und Zeitüberschreitungswerte für Kontoführungsmeldungen getrennt von den Einstellungen für Authentifizierungsmeldungen.
    Hinweis:

    Sie müssen sowohl die als auch die accounting-retry accounting-timeout Anweisung konfigurieren. Wenn Sie dies nicht tun, wird der von Ihnen konfigurierte Wert zugunsten der mit den retry timeout and-Anweisungen konfigurierten Werte ignoriert.
    1. Konfigurieren Sie, wie oft der Router versucht, Accounting-Nachrichten an den RADIUS-Accounting-Server zu senden, wenn er keine Antwort erhalten hat.
    2. Konfigurieren Sie, wie lange der Router auf den Empfang einer Antwort von einem RADIUS-Accounting-Server wartet, bevor er die Anforderung wiederholt.
  9. (Optional) Konfigurieren Sie den Router so, dass er den RADIUS-Server für Vorauthentifizierungsanforderungen (Logical Line Identification, LLID) kontaktiert. Siehe RADIUS Logische Linienidentifikation.
  10. (Optional) Konfigurieren Sie den Port, den der Router auf dynamische (CoA)-Anforderungen vom angegebenen Server überwacht. Siehe Dynamisches Servicemanagement mit RADIUS.

Konfigurieren von Optionen, die für alle RADIUS-Server gelten

Sie können RADIUS-Optionen konfigurieren, die für alle RADIUS-Server weltweit gelten.

So konfigurieren Sie RADIUS-Optionen global:

  1. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  2. (Optional) Konfigurieren Sie die Geschwindigkeit, mit der RADIUS-Zwischenaktualisierungsanforderungen an den Server gesendet werden.
  3. (Optional) Konfigurieren Sie die maximal zulässige Abweichung vom konfigurierten Aktualisierungsintervall, in dem der Router vorläufige Kontoführungsaktualisierungen an den RADIUS-Server sendet. Die Toleranz ist relativ zum konfigurierten Aktualisierungsintervall.

    Wenn die Toleranz beispielsweise auf 60 Sekunden festgelegt ist, sendet der Router vorläufige Accounting-Updates frühestens 30 Sekunden vor dem konfigurierten Aktualisierungsintervall. Wenn sich ein Anwender anmeldet, kann die erste vorläufige Buchhaltungsaktualisierung bis zu 30 Sekunden früher (durchschnittlich 15 Sekunden früher) gesendet werden.

    Sie konfigurieren das Aktualisierungsintervall mit der Anweisung update-interval auf der [edit access profile profile-name accounting] Hierarchieebene.

  4. (Optional) Konfigurieren Sie die Anzahl der Anforderungen pro Sekunde, die der Router an alle konfigurierten RADIUS-Server zusammen senden kann. Durch Begrenzen des Anforderungsflusses vom Router zu den RADIUS-Servern können Sie verhindern, dass die RADIUS-Server mit Anforderungen überflutet werden.
  5. (Optional) Konfigurieren Sie die Anzahl der Sekunden, die der Router wartet, nachdem ein Server nicht mehr erreichbar ist, bevor er die Verbindung erneut überprüft. Wenn der Router den Server erreicht, wenn das Revert-Intervall abgelaufen ist, wird der Server entsprechend der Reihenfolge der Serverliste verwendet.
    Hinweis:

    Sie können die revert-interval auch in einem Zugriffsprofil konfigurieren, um diesen globalen Wert zu überschreiben. Siehe Konfigurieren von Zugriffsprofiloptionen für Interaktionen mit RADIUS-Servern.
  6. (Optional) Konfigurieren Sie die Dauer eines Zeitraums, in dem nicht reagierende RADIUS-Authentifizierungsserver noch nicht als unerreichbar oder ausgefallen gelten. Sie können den Zeitraum variieren, je nachdem, ob Sie Authentifizierungsanforderungen schneller an einen anderen Server umleiten oder dem nicht reagierenden Server mehr Zeit zum Wiederherstellen und Reagieren geben möchten.

    Weitere Informationen finden Sie unter Konfigurieren eines Timeout-Kulanzzeitraums, um anzugeben, wann RADIUS-Server als ausgefallen oder nicht erreichbar gelten .

  7. (Optional) Konfigurieren Sie einen NAS-Port-Wert, der für alle Router der MX-Serie im Netzwerk eindeutig ist. Sie können einen NAS-Port-Wert konfigurieren, der nur innerhalb des Routers oder für die verschiedenen MX-Router im Netzwerk eindeutig ist.

    Weitere Informationen finden Sie unter Aktivieren eindeutiger NAS-Port-Attribute (RADIUS-Attribut 5) für Abonnenten .

Konfigurieren eines Timeout-Kulanzzeitraums, um anzugeben, wann RADIUS-Server als ausgefallen oder nicht erreichbar betrachtet werden

Wenn ein RADIUS-Authentifizierungsserver auf einen der Versuche für eine bestimmte Authentifizierungsanforderung nicht reagiert und eine Zeitüberschreitung auftritt, notiert authd den Referenzzeitpunkt, markiert den Server jedoch nicht sofort als ausgefallen (wenn andere Server verfügbar sind) oder nicht erreichbar (wenn er der einzige konfigurierte Server ist). Stattdessen beginnt ein konfigurierbarer Kulanzzeit-Timer zum Referenzzeitpunkt. Der Kulanzzeitraum wird gelöscht, wenn der Server vor Ablauf des Zeitraums auf eine nachfolgende Anforderung antwortet.

Während des Kulanzzeitraums wird der Server nicht als inaktiv oder nicht erreichbar markiert. Jedes Mal, wenn der Server für nachfolgende Anforderungen an diesen Server eine Zeitüberschreitung aufweist, prüft authd, ob die Kulanzfrist abgelaufen ist. Wenn die Prüfung ergibt, dass die Kulanzfrist abgelaufen ist und der Server immer noch nicht auf eine Anforderung geantwortet hat, wird der Server als nicht erreichbar oder ausgefallen markiert.

Mit einer kurzen Nachfrist können Sie einen nicht reagierenden Server schneller verlassen und Authentifizierungsanforderungen an andere verfügbare Server weiterleiten. Eine lange Nachfrist gibt einem Server mehr Möglichkeiten zu reagieren und kann vermeiden, dass eine Ressource unnötig aufgegeben wird. Sie können einen längeren Kulanzzeitraum angeben, wenn Sie nur über einen oder eine kleine Anzahl konfigurierter Server verfügen.

So konfigurieren Sie den Kulanzzeitraum, in dem ein nicht reagierender RADIUS-Server nicht als nicht erreichbar oder inaktiv markiert wird:

  • Geben Sie die Dauer des Kulanzzeitraums an.

Zugriffsprofiloptionen für Interaktionen mit RADIUS-Servern konfigurieren

Sie können ein Zugriffsprofil verwenden, um Optionen anzugeben, die der Router bei der Kommunikation mit RADIUS-Authentifizierungs- und Kontoführungsservern für den Anwenderzugriff verwendet. In diesem Verfahren werden Optionen beschrieben, die nur in Zugriffsprofilen verfügbar sind. Optionen, die sowohl auf Zugriffsprofil- als auch auf globaler Ebene verfügbar sind, finden Sie unter RADIUS-Server und -Parameter für den Anwenderzugriff.

So konfigurieren Sie die Optionen für die RADIUS-Authentifizierung und den Accounting-Server:

  1. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  2. (Optional) Konfigurieren Sie das Format, das der Router zur Identifizierung der Buchhaltungssitzung verwendet. Der Bezeichner kann eines der folgenden Formate haben:

    • decimal– Das Standardformat. Zum Beispiel 435264

    • description—Im Format, jnpr interface-specifier:subscriber-session-id. Zum Beispiel jnpr fastEthernet 3/2.6:1010101010101

  3. (Optional) Konfigurieren Sie das Trennzeichen, das der Router zwischen Werten im RADIUS-Attribut 31 (Calling-Station-Id) einfügt.
  4. (Optional) Konfigurieren Sie die Informationen, die der Router im RADIUS-Attribut 31 (Calling-Station-Id) enthält.

    Detaillierte Informationen finden Sie unter Konfigurieren einer Sprechstellen-ID mit zusätzlichen Optionen .

  5. (Optional) Konfigurieren Sie den Router so, dass er das optionale Verhalten verwendet, das die vom NAS generierte zufällige Herausforderung in das Feld Request Authenticator von Access-Request-Paketen einfügt, anstatt die zufällige Herausforderung als CHAP-Challenge-Attribut (RADIUS-Attribut 60) in Access-Request-Paketen zu senden. Dieses optionale Verhalten erfordert, dass der Wert der Herausforderung 16 Byte beträgt. Andernfalls wird die Anweisung ignoriert und die Herausforderung als CHAP-Challenge-Attribut gesendet.
  6. (Optional) Konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungs- und Kontoführungsserver verwendet, wenn mehrere Server konfiguriert sind:

    • direct– Die Standardmethode, bei der kein Load Balancing stattfindet. Der erste konfigurierte Server ist der primäre Server. Der Zugriff auf die Server erfolgt in der Reihenfolge ihrer Konfiguration. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen, usw.

    • round-robin– Die Methode, die Load Balancing durch rotierende Router-Anforderungen in der Liste der konfigurierten RADIUS-Server bereitstellt. Der für den Zugriff ausgewählte Server wird basierend auf dem zuletzt verwendeten Server rotiert. Der erste Server in der Liste wird für die erste Authentifizierungsanforderung als primär behandelt, aber für die zweite Anforderung wird der zweite konfigurierte Server als primär behandelt usw. Bei dieser Methode erhalten alle konfigurierten Server im Durchschnitt ungefähr die gleiche Anzahl von Anfragen, sodass kein einzelner Server alle Anfragen bearbeiten muss.

      Hinweis:

      Wenn ein RADIUS-Server in der Roundrobinliste nicht mehr erreichbar ist, wird der nächste erreichbare Server in der Roundrobinliste für die aktuelle Anforderung verwendet. Derselbe Server wird auch für die nächste Anfrage verwendet, da er sich ganz oben in der Liste der verfügbaren Server befindet. Infolgedessen nimmt nach einem Serverausfall der verwendete Server die Last von zwei Servern auf.

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Accounting-Server verwendet:

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungsserver verwendet:

  7. (Optional) Konfigurieren Sie den Router so, dass er das optionale Verhalten verwendet, wenn ein CoA-Vorgang eine angeforderte Änderung nicht auf eine dynamische Client-Profilvariable anwenden kann.

    Das optionale Verhalten besteht darin, dass Anwender Management keine Änderungen an dynamischen Clientprofilvariablen in der CoA-Anforderung anwendet und dann mit einem NACK antwortet. Das Standardverhalten besteht darin, dass die Anwenderverwaltung nicht die falsche Aktualisierung anwendet, sondern die anderen Änderungen auf die dynamischen Variablen des Clientprofils anwendet und dann mit einer ACK-Meldung antwortet.

  8. (Optional) Konfigurieren Sie den Router so, dass er einen physischen Porttyp von zur Authentifizierung von virtual Clients verwendet. Der Porttyp wird im RADIUS-Attribut 61 (NAS-Port-Type) übergeben. Standardmäßig übergibt der Router den Porttyp im ethernet RADIUS-Attribut 61.
    Hinweis:

    Diese Anweisung hat Vorrang vor der nas-port-type-Anweisung , wenn Sie beide in dasselbe Zugriffsprofil aufnehmen.
  9. (Optional) Geben Sie die Informationen an, die aus der Schnittstellenbeschreibung ausgeschlossen sind, die der Router zur Aufnahme in das RADIUS-Attribut 87 (NAS-Port-ID) an RADIUS übergibt. Standardmäßig enthält die Schnittstellenbeschreibung Adapter-, Kanal- und Subschnittstelleninformationen.
  10. (Optional) Für Dual-Stack-PPP-Abonnenten schließen Sie den IPv4-Release-Control-VSA (26–164) in die Zugriffsanforderung ein, die während der On-Demand-IP-Adresszuweisung gesendet wird, und in die Zwischenabrechnungsnachrichten, die gesendet werden, um eine Adressänderung zu melden.

    Konfigurieren Sie optional eine Nachricht, die in der IPv4-Release-Control-VSA (26–164) enthalten ist, wenn sie an den RADIUS-Server gesendet wird

    Die Konfiguration dieser Anweisung hat keine Auswirkungen, wenn die bedarfsgesteuerte IP-Adresszuweisung oder -freigabe nicht konfiguriert ist.

  11. (Optional) Fügen Sie den RADIUS-Authentifizierungs- und Accounting-Anforderungsnachrichten für Abonnenten VSAs für die Zugriffsleitung von Juniper Networks hinzu. Wenn der Router die entsprechenden ANCP-Attribute nicht vom Zugriffsknoten empfangen und verarbeitet hat, stellt AAA in diesen RADIUS-Nachrichten nur Folgendes bereit:

    • Downstream-Calculated-QoS-Rate (IANA 4874, 26-141) – Standardmäßig konfigurierte empfohlene Übertragungsgeschwindigkeit.

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142) – Standardmäßig konfigurierte Geschwindigkeit des Empfangs von Benachrichtigungen.

    Ab Junos OS Version 19.2R1 ersetzt die juniper-access-line-attributes Option die juniper-dsl-attributes Option. Aus Gründen der Abwärtskompatibilität mit vorhandenen Skripts leitet die juniper-dsl-attributes Option auf die neue juniper-access-line-attributes Option um. Wir empfehlen die Verwendung juniper-access-line-attributesvon .

    Hinweis:

    Die juniper-access-line-attributes Option ist nicht abwärtskompatibel mit Junos OS Version 19.1 oder früheren Versionen. Das bedeutet, dass Sie, wenn Sie eine Option in Junos OS Version 19.2 oder höher konfiguriert juniper-access-line-attributes haben, die folgenden Schritte ausführen müssen, um ein Downgrade auf Junos OS Version 19.1 oder frühere Versionen durchzuführen:

    1. Löschen Sie die juniper-access-line-attributes Option aus allen Zugriffsprofilen, die sie enthalten.

    2. Führen Sie das Software-Downgrade durch.

    3. Fügen Sie die juniper-dsl-attributes Option den betroffenen Zugriffsprofilen hinzu.
  12. (Optional) Konfigurieren Sie den Wert für das Client-RADIUS-Attribut 32 (NAS-Identifier), das für Authentifizierungs- und Kontoführungsanforderungen verwendet wird.
  13. (Optional) Konfigurieren Sie den RADIUS-Client so, dass er das erweiterte Format für das RADIUS-Attribut 5 (NAS-Port) verwendet, und geben Sie die Breite der Felder im Attribut NAS-Port an, das die physische Portnummer des NAS angibt, das den Benutzer authentifiziert.

    • Für Ethernet-Abonnenten:

    • Für ATM-Abonnenten:

  14. (Optional) Konfigurieren Sie das Trennzeichen, das der Router zwischen Werten im RADIUS-Attribut 87 (NAS-Port-Id) einfügt.
  15. (Optional) Konfigurieren Sie die optionalen Informationen, die der Router im RADIUS-Attribut 87 (NAS-Port-Id) enthält. Sie können eine oder mehrere Optionen angeben, die in der Standardreihenfolge angezeigt werden sollen. Alternativ können Sie sowohl die Optionen als auch die Reihenfolge angeben, in der sie angezeigt werden. Die Orders schließen sich gegenseitig aus und die Konfiguration schlägt fehl, wenn Sie eine NAS-Port-ID konfigurieren, die Werte in beiden Ordertypen enthält.

    Ausführliche Informationen finden Sie unter Konfigurieren einer NAS-Port-ID mit zusätzlichen Optionen und Konfigurieren der Reihenfolge, in der optionale Werte in der NAS-Port-ID angezeigt werden .

  16. (Optional) Konfigurieren Sie den Porttyp, der im RADIUS-Attribut 61 (NAS-Port-Type) enthalten ist. Dies gibt den Porttyp an, den der Router zur Authentifizierung von Abonnenten verwendet.
    Hinweis:

    Diese Anweisung wird ignoriert, wenn Sie die ethernet-port-type-virtual im selben Zugriffsprofil konfigurieren.
  17. (Optional) Konfigurieren Sie die LAC so, dass das konfigurierte Calling-Station-ID-Format für den in der L2TP-Rufnummer AVP 22 gesendeten Wert überschrieben wird. Sie können das Calling-Station-ID-Format überschreiben und die LAC so konfigurieren, dass die ACI, die ARI oder sowohl die ACI als auch die ARI verwendet werden, die vom L2TP-Client im PADR-Paket empfangen werden. Sie können auch ein Trennzeichen angeben, das zwischen den Komponenten der AVP-Zeichenfolge verwendet werden soll, und einen Fallback-Wert, der verwendet werden soll, wenn die konfigurierten Überschreibungskomponenten nicht im PADR-Paket empfangen werden.
    Hinweis:

    Weitere Informationen finden Sie unter Überschreiben des Calling-Station-ID-Formats für das AVP der Anrufernummer .
  18. (Optional) Überschreiben Sie den Wert des RADIUS-NAS-IP-Adressattributs (4) im LNS mit dem Wert der LAC-Endgerät-IP-Adresse der Sitzung, falls diese in der Sitzungsdatenbank vorhanden ist. Wenn er nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  19. (Optional) Überschreiben Sie den Wert des RADIUS NAS-Port-Attributs (5) im LNS mit dem Wert aus der Sitzungsdatenbank, wenn die LAC NAS-Portinformationen an das LNS im Cisco Systems NAS Port Info AVP (100) übertragen wurden. Wenn er nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  20. (Optional) Überschreiben Sie den Wert des RADIUS-NAS-Port-Type-Attributs (61) im LNS mit dem Wert aus der Sitzungsdatenbank, wenn die LAC NAS-Portinformationen an das LNS im Cisco Systems NAS Port Info AVP (100) übertragen wurden. Wenn er nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  21. (Optional) Konfigurieren Sie ein Trennzeichen für die Remote-Verbindungs-ID-Zeichenfolge, wenn Sie die remote-circuit-id-format Anweisung verwenden, um die Zeichenfolge zu konfigurieren, die anstelle der Anrufer-ID in L2TP-Rufnummer AVP 22 verwendet werden soll. Wenn mehr als ein Wert für das Remote-Verbindungs-ID-Format konfiguriert ist, wird das Trennzeichen als Trennzeichen zwischen den verketteten Werten in der resultierenden Remote-Verbindungs-ID-Zeichenfolge verwendet.
    Hinweis:

    Sie müssen die override calling-circuit-id remote-circuit-id Anweisung für das Remote-Verbindungs-ID-Format konfigurieren, das in der Rufnummer AVP verwendet werden soll.
  22. (Optional) Konfigurieren Sie den Fallback-Wert für die LAC, um die L2TP-Anrufernummer AVP 22 zu senden, entweder die konfigurierte Calling-Station-ID oder die zugrunde liegende Standardschnittstelle. Die Verwendung des Fallbackwerts wird ausgelöst, wenn die Komponenten der Überschreibungszeichenfolge, die Sie mit der remote-circuit-id-format Anweisung konfiguriert haben – ACI, ARI oder sowohl ACI als auch ARI – nicht von der LAC im PPPoE Active Discovery Request (PADR)-Paket empfangen werden.
  23. (Optional) Konfigurieren Sie das Format der Zeichenfolge, die das Calling-Station-ID-Format im L2TP Calling Number AVP überschreibt. Sie können die ACI, die ARI oder sowohl die ACI als auch die ARI angeben.
    Hinweis:

    Sie müssen die override calling-circuit-id remote-circuit-id Anweisung für das Remote-Verbindungs-ID-Format konfigurieren, das in der Rufnummer AVP verwendet werden soll.
  24. (Optional) Konfigurieren Sie die Anzahl der Sekunden, die der Router wartet, nachdem ein Server nicht mehr erreichbar ist, bevor er einen weiteren Versuch unternimmt, den Server zu erreichen. Ist der Server dann erreichbar, wird er entsprechend der Reihenfolge der Serverliste genutzt.
    Hinweis:

    Sie können diese Option auch für alle RADIUS-Server konfigurieren. Siehe Konfigurieren von Optionen für RADIUS-Server.
  25. (Optional) Konfigurieren Sie, ob sich ein neu authentifizierter Anwender erfolgreich anmelden kann, wenn während der Authentifizierungsverarbeitung der Aktivierungsanforderung für die Adressfamilie des Anwenders Dienstaktivierungsfehler im Zusammenhang mit Konfigurationsfehlern auftreten. Sie können dieses Verhalten für Services angeben, die in dynamischen Profilen oder in ESSM-Betriebsskripts (Extensible Subscriber Services Manager) konfiguriert sind:

    • optional-at-login– Die Serviceaktivierung ist optional. Ein Aktivierungsfehler aufgrund von Konfigurationsfehlern verhindert nicht die Aktivierung der Adressfamilie. Er ermöglicht den Zugriff für Anwender. Fehler bei der Dienstaktivierung aufgrund anderer Ursachen als Konfigurationsfehler führen dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Der Anmeldeversuch wird abgebrochen, es sei denn, für den Anwender ist bereits eine andere Adressfamilie aktiv.

    • required-at-login– Serviceaktivierung ist erforderlich. Ein Aktivierungsfehler aus irgendeinem Grund führt dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Der Anmeldeversuch wird abgebrochen, es sei denn, für den Anwender ist bereits eine andere Adressfamilie aktiv.

  26. (Optional) Geben Sie an, dass das RADIUS-Attribut 5 (NAS-Port) zusätzlich zur VLAN-ID die S-VLAN-ID für Teilnehmer an Ethernet-Schnittstellen enthält.

Konfiguration einer Sprechstellen-ID mit zusätzlichen Optionen

In diesem Abschnitt können Sie einen alternativen Wert für die Rufstations-ID (RADIUS IETF-Attribut 31) in einem Zugriffsprofil auf dem Router der MX-Serie konfigurieren.

Sie können die Calling-Station-ID so konfigurieren, dass sie eine oder mehrere der folgenden Optionen in beliebiger Kombination in deredit access profile profile-name radius options calling-station-id-format []-Hierarchie enthält:

  • Agent Circuit Identifier (agent-circuit-id) – Kennung des Zugriffsknotens des Anwenders und der DSL (Digital Anwender Line) auf dem Zugriffsknoten. Die ACI-Zeichenfolge (Agent Circuit Identifier) wird entweder im Feld DHCP-Option 82 der DHCP-Nachrichten für DHCP-Datenverkehr oder im DSL Forum Agent-Circuit-ID VSA [26-1] der PPPoE Active Discovery Initiation (PADI)- und PPPoE Active Discovery Request (PADR)-Steuerpakete für PPPoE-Datenverkehr gespeichert.

  • Agent Remote Identifier () –agent-remote-id Kennung des Anwenders an der DSLAM-Schnittstelle (Digital Anwender Line Access Multiplexer), der die Serviceanfrage initiiert hat. Die Agent Remote Identifier (ARI)-Zeichenfolge wird entweder im Feld DHCP-Option 82 für DHCP-Datenverkehr oder im DSL Forum Agent-Remote-ID VSA [26-2] für PPPoE-Datenverkehr gespeichert.

  • Schnittstellenbeschreibung (interface-description): Wert der Schnittstelle.

  • Beschreibung des Schnittstellentextes (interface-text-description): Textbeschreibung der Schnittstelle. Die Beschreibung des Schnittstellentextes wird separat konfiguriert, entweder mit der set interfaces interface-name description description Anweisung oder der set interfaces interface-name unit unit-number description description Anweisung

  • MAC-Adresse (mac-address): MAC-Adresse des Quellgeräts für den Anwender.

  • NAS-Kennung (nas-identifier): Name des NAS, von dem die Authentifizierungs- oder Kontoführungsanforderung stammt. NAS-Identifier ist das RADIUS-IETF-Attribut 32.

  • Gestapeltes VLAN (stacked-vlan)— Gestapelte VLAN-ID.

  • VLAN (vlan)– VLAN-ID.

Wenn Sie das Format der Calling-Station-ID mit mehr als einem optionalen Wert konfigurieren, ist ein Hashzeichen (#) das Standardtrennzeichen, das der Router als Trennzeichen zwischen den verketteten Werten in der resultierenden Calling-Station-ID-Zeichenfolge verwendet. Optional können Sie ein alternatives Trennzeichen für die Calling-Station-ID konfigurieren. Das folgende Beispiel zeigt die Reihenfolge der Ausgabe, wenn Sie mehrere optionale Werte konfigurieren:

So konfigurieren Sie ein Zugriffsprofil, um optionale Informationen in der Calling-Station-ID bereitzustellen:

  1. Geben Sie das Zugriffsprofil an, das Sie konfigurieren möchten.
  2. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  3. Geben Sie das nicht standardmäßige Zeichen an, das als Trennzeichen zwischen den verketteten Werten in der Calling-Station-ID verwendet werden soll.

    Standardmäßig verwendet die Anwender Verwaltung das Hashzeichen () als Trennzeichen in# Calling-Station-ID-Zeichenfolgen, die mehr als einen optionalen Wert enthalten.

  4. Konfigurieren Sie den Wert für den NAS-Identifier (RADIUS-Attribut 32), der für Authentifizierungs- und Accounting-Anfragen verwendet wird.
  5. Geben Sie an, dass Sie das Format der Calling-Station-ID konfigurieren möchten.
  6. (Optional) Fügen Sie die Beschreibung des Schnittstellentextes in die Calling-Station-ID ein.
  7. (Optional) Fügen Sie den Schnittstellenbeschreibungswert in die Calling-Station-ID ein.
  8. (Optional) Fügen Sie die Agentenverbindungs-ID in die Calling-Station-ID ein.
  9. (Optional) Fügen Sie die Remote-Kennung des Agenten in die Calling-Station-ID ein.
  10. (Optional) Fügen Sie den konfigurierten NAS-Kennungswert in die Calling-Station-ID ein.
  11. (Optional) Fügen Sie die gestapelte VLAN-ID in die Calling-Station-ID ein.
  12. (Optional) Fügen Sie die VLAN-ID in die Calling-Station-ID ein.
  13. (Optional) Geben Sie die MAC-Adresse in die Calling-Station-ID auf.

Beispiel: Sprechstellen-ID mit zusätzlichen Optionen in einem Zugriffsprofil

Im folgenden Beispiel wird ein Zugriffsprofil mit dem Namen retailer01 erstellt, das eine Calling-Station-ID-Zeichenfolge konfiguriert, die die Optionen NAS-Identifier (fox), Schnittstellenbeschreibung, Agent-Circuit-ID und Agent-Remote-ID enthält.

Die resultierende Calling-Station-ID-Zeichenfolge ist wie folgt formatiert:

fox*ge-1/2/0.100:100*as007*ar921

Dabei gilt:

  • Der NAS-Identifier-Wert ist fox.

  • Das Trennzeichen für die ID der Anruferstation ist * (Sternchen).

  • Der Wert der Schnittstellenbeschreibung ist ge-1/2/0.100:100.

  • Der Wert der Agent-Circuit-ID ist as007.

  • Der Wert der Remote-ID des Agenten ist ar921.

Stellen Sie sich ein Beispiel vor, in dem alle Optionen konfiguriert sind, aber keine Werte für die Agent-Circuit-ID, die Agent-Remote-ID oder die gestapelte VLAN-Kennung verfügbar sind. Die anderen Werte lauten wie folgt:

  • NAS-Kennung – Solarium

  • Beschreibung der Schnittstelle—GE-1/0/0.1073741824:101

  • Beschreibung des Schnittstellentextes – example-interface

  • MAC-Adresse: 00:00:5E:00:53:00

  • VLAN-Kennung—101

Diese Werte ergeben die folgende Calling-Station-ID:

Filtern von RADIUS-Attributen und VSAs aus RADIUS-Nachrichten

Standardattribute und anbieterspezifische Attribute (VSAs), die in RADIUS-Nachrichten empfangen werden, haben Vorrang vor intern bereitgestellten Attributwerten. Das Filtern von Attributen besteht darin, bestimmte Attribute beim Empfang in Access Accept-Paketen zu ignorieren und bestimmte Attribute vom Senden an den RADIUS-Server auszuschließen . Durch das Ignorieren von Attributen, die vom RADIUS-Server empfangen werden, können stattdessen Ihre lokal bereitgestellten Werte verwendet werden. Das Ausschließen von Attributen vom Senden ist z. B. für Attribute nützlich, die sich während der Lebensdauer eines Anwenders nicht ändern. So können Sie die Paketgröße ohne Informationsverlust reduzieren.

Sie können standardmäßige RADIUS-Attribute und VSAs angeben, die der Router oder Switch anschließend ignoriert , wenn sie in RADIUS Access-Accept-Nachrichten empfangen werden. Sie können auch Attribute und VSAs angeben, die der Router oder Switch von den angegebenen RADIUS-Nachrichtentypen ausschließt . Ausschluss bedeutet, dass der Router oder Switch das Attribut nicht in bestimmte Nachrichten einschließt, die er an den RADIUS-Server sendet.

Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standardattributnummer oder die von der IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben. Mit dieser flexiblen Konfigurationsmethode können Sie jedes Standardattribut und jede VSA, die von Ihrer Plattform unterstützt werden, so konfigurieren, dass sie ignoriert oder ausgeschlossen werden. Die Konfiguration hat keine Auswirkungen, wenn Sie nicht unterstützte Attribute, Anbieter und VSAs konfigurieren.

Mit der Legacy-Methode können Sie nur die Attribute und VSAs konfigurieren, für die die Anweisungssyntax eine bestimmte Option enthält. Folglich können Sie die Legacy-Methode verwenden, um nur eine Teilmenge aller Attribute zu ignorieren, die in Access-Accept-Nachrichten empfangen werden können.

So konfigurieren Sie die Attribute, die von Ihrem Router oder Switch ignoriert oder ausgeschlossen werden:

  1. Geben Sie an, dass Sie RADIUS im Zugriffsprofil konfigurieren möchten.
  2. Geben Sie an, dass Sie konfigurieren möchten, wie RADIUS-Attribute gefiltert werden.
  3. (Optional) Geben Sie ein oder mehrere Attribute an, die Ihr Router oder Switch ignorieren soll, wenn die Attribute in Access-Accept-Nachrichten enthalten sind.

    • Legacy-Methode: Geben Sie eine dedizierte Option für das Attribut an:

    • Flexible Methode: Geben Sie die Standardattributnummer oder die von der IANA zugewiesene Lieferanten-ID und die VSA-Nummer an:

  4. (Optional) Konfigurieren Sie ein Attribut, das Ihr Router oder Switch von einem oder mehreren angegebenen RADIUS-Nachrichtentypen ausschließen soll. Sie können keine Liste von Attributen konfigurieren, aber Sie können eine Liste von Nachrichtentypen für jedes Attribut angeben.

    • Legacy-Methode: Geben Sie eine dedizierte Option für Attribut und Nachrichtentyp an:

    • Flexible Methode: Geben Sie die Standardattributnummer oder die von der IANA zugewiesene Lieferanten-ID, die VSA-Nummer und den Nachrichtentyp an:

Im folgenden Beispiel werden die Legacy- und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die VSAs von Juniper Networks, Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) zu ignorieren.

  • Legacy-Methode:

  • Flexible Methode:

Im folgenden Beispiel werden die Legacy- und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die Juniper Networks VSAs Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) auszuschließen.

  • Legacy-Methode:

  • Flexible Methode: Geben Sie die Standardattributnummer oder die von der IANA zugewiesene Lieferanten-ID, die VSA-Nummer und den Nachrichtentyp an:

Was passiert, wenn Sie ein Attribut mit beiden Methoden im selben Profil angeben? Die effektive Konfiguration ist das logische ODER der beiden Methoden. Betrachten Sie das folgende Beispiel für das Standardattribut accounting-delay-time (41):

Das Ergebnis ist, dass das Attribut von allen vier Nachrichtentypen ausgeschlossen wird: Accounting-Off, Accounting-On, Accounting-Start und Accounting-Stop. Der Effekt ist derselbe wie bei Verwendung einer der folgenden Konfigurationen:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.1R1
Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standardattributnummer oder die von der IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben.