RADIUS-Server und Parameter für den Abonnentenzugriff
Die Konfiguration von Parametern und Optionen für RADIUS-Server ist ein wichtiger Bestandteil der Anwenderverwaltungskonfiguration. Nach dem Definieren der Authentifizierungs- und Abrechnungsserver konfigurieren Sie Die Optionen für alle RADIUS-Server. Außerdem konfigurieren Sie Zugriffsprofile, mit denen Sie Die Authentifizierungs-, Autorisierungs- und Abrechnungsparameter für Abonnenten oder Abonnentengruppen angeben können. Die Profileinstellungen überschreiben globale Einstellungen. Obwohl einige Optionen sowohl auf globaler Ebene als auch auf Zugriffprofilebene verfügbar sind, sind viele Optionen nur in Zugriffsprofilen verfügbar.
Nachdem Sie ein Zugriffsprofil erstellt haben, müssen Sie angeben, wo das Profil mit einer access-profile
Anweisung verwendet wird. Dies wird als Anfügen des Profils bezeichnet. Zugriffsprofile können auf verschiedenen Ebenen zugewiesen werden. Beispielsweise können Sie Anknüpfungsprofile
Global für eine Routing-Instanz.
In dynamischen Profilen.
In einer Domänenübersicht, die Zugriffsoptionen und Sitzungsparameter für Abonnentensitzungen ordnet.
Auf den Schnittstellen für dynamische VLANs und dynamische Stack-VLANs.
Auf der Schnittstelle oder in einer Abonnentengruppe für Abonnenten mit statisch konfigurierten Schnittstellen für die dynamische Servicebereitstellung.
Auf DHCP-Relay-Agents und LOKALEN DHCP-Servern für DHCP-Clients oder -Anwender.
Da Sie Zugriffsprofile auf vielen Ebenen anfügen können, hat das spezifischste Zugriffsprofil Vorrang vor allen anderen Profilzuweisungen, um Konflikte zu vermeiden. Authentifizierung und Buchhaltung werden nur ausgeführt, wenn Sie das Profil anhängen.
RADIUS-Authentifizierung und Accounting-Serverdefinition
Wenn Sie RADIUS für die Anwenderverwaltung verwenden, müssen Sie einen oder mehrere externe RADIUS-Server definieren, mit denen der Router für die Anwenderauthentifizierung und -abrechnung kommuniziert. Neben der Angabe der IPv4- oder IPv6-Adresse des Servers können Sie Auch Optionen und Attribute konfigurieren, die bestimmen, wie der Router mit den angegebenen Servern interagiert.
Sie können RADIUS-Server und Konnektivitätsoptionen auf [edit access radius-server]
Hierarchieebene, auf [edit access profile name radius-server]
Hierarchieebene oder auf beiden Ebenen definieren.
Der AAA-Prozess (authentifizierung) bestimmt, welche Serverdefinitionen wie folgt verwendet werden sollen:
Wenn RADIUS-Serverdefinitionen nur in
[edit access radius-server]
vorhanden sind, verwendet authd diese Definitionen.Wenn RADIUS-Serverdefinitionen nur im Zugriffsprofil vorhanden sind, verwendet authd diese Definitionen.
Wenn RADIUS-Serverdefinitionen sowohl in als auch
[edit access radius-server]
im Zugriffsprofil vorhanden sind, verwendet die Authentifizierung nur die Zugriffsprofildefinitionen.
Um einen RADIUS-Server zu verwenden, müssen Sie ihn als Authentifizierungsserver, Buchhaltungsserver oder beides in einem Zugriffsprofil angeben. Sie müssen dies für Server tun, unabhängig davon, ob sie in einem Zugriffsprofil oder auf [edit access radius-server]
Hierarchieebene definiert sind.
So definieren Sie RADIUS-Server und legen fest, wie der Router mit dem Server interagiert:
Diese Prozedur zeigt nur die [edit access radius-server]
Hierarchieebene an. Sie können optional jeden dieser Parameter auf [edit access profile profile-name] radius-server]
Hierarchieebene konfigurieren. Sie können dies entweder zusätzlich zur globalen Einstellung oder anstelle der globalen Einstellung tun. Wenn Sie ein Profil anwenden, setzen die Profileinstellungen die globale Konfiguration außer Kraft.
Konfigurationsoptionen, die für alle RADIUS-Server gelten
Sie können RADIUS-Optionen konfigurieren, die für alle RADIUS-Server weltweit gelten.
So konfigurieren Sie RADIUS-Optionen global:
Konfigurieren eines Timeout-Nachfrists zur Angabe, wann RADIUS-Server als ausfällt oder nicht erreichbar gelten
Wenn ein RADIUS-Authentifizierungsserver auf einen der Versuche für eine bestimmte Authentifizierungsanfrage nicht reagiert und ein Time-Out ausfällt, notiert der Autor die Zeit für die Referenz, markiert den Server jedoch nicht sofort als aus (wenn andere Server verfügbar sind) oder nicht erreichbar (wenn er der einzige konfigurierte Server ist). Stattdessen wird zur Referenzzeit ein konfigurierbarer Nachfrist-Timer gestartet. Die Nachfrist wird freigegeben, wenn der Server vor Ablauf der Frist auf eine nachfolgende Anfrage antwortet.
Während der Nachfrist wird der Server nicht als abgefahren oder nicht erreichbar markiert. Jedes Mal, wenn der Server für nachfolgende Anforderungen an diesen Server zeitlos ist, überprüft die Authentifizierung, ob die Nachfrist abgelaufen ist. Wenn bei der Prüfung festgestellt wird, dass die Nachfrist abgelaufen ist und der Server immer noch nicht auf eine Anfrage reagiert hat, wird der Server als nicht erreichbar oder nicht erreichbar markiert.
Mit einer kurzen Nachfrist können Sie einen nicht reagierenden Server schneller abbrechen und Authentifizierungsanfragen an andere verfügbare Server richten. Eine lange Nachfrist gibt einem Server mehr Möglichkeiten, zu reagieren, und kann vermeiden, dass eine Ressource unnötig aufgegeben wird. Sie können eine längere Nachfrist angeben, wenn Sie nur einen oder eine kleine Anzahl von konfigurierten Servern haben.
So konfigurieren Sie die Nachfrist, während derer ein RADIUS-Server nicht als nicht erreichbar oder nicht erreichbar markiert wird:
Geben Sie die Dauer der Nachfrist an.
[edit access radius-options] user@host# set timeout-grace seconds
Konfigurieren von Zugriffprofiloptionen für Interaktionen mit RADIUS-Servern
Sie können ein Zugriffsprofil verwenden, um Optionen anzugeben, die der Router bei der Kommunikation mit RADIUS-Authentifizierungs- und Buchhaltungsservern für den Abonnentenzugriff verwendet. In diesem Verfahren werden Die Optionen beschrieben, die nur in Zugriffsprofilen verfügbar sind. Informationen zu Optionen, die sowohl auf Zugriffsebene als auch auf globaler Ebene verfügbar sind, finden Sie unter RADIUS-Server und Parameter für den Abonnentenzugriff.
So konfigurieren Sie die Optionen für RADIUS-Authentifizierungs- und Abrechnungsserver:
Konfigurieren einer Calling-Station-ID mit zusätzlichen Optionen
Verwenden Sie diesen Abschnitt, um einen alternativen Wert für das Calling-Station-ID (RADIUS-IETF-Attribut 31) in einem Zugriffsprofil auf dem Router der MX-Serie zu konfigurieren.
Sie können die Calling-Station-ID so konfigurieren, dass sie eine oder mehrere der folgenden Optionen in beliebiger Kombination in der [edit access profile profile-name radius options calling-station-id-format
] Hierarchie umfasst:
Agent Circuit Identifier (
agent-circuit-id
) – Kennung des Zugangsknotens des Teilnehmers und der digitalen Abonnentenleitung (DSL) auf dem Zugriffsknoten. Die ACI-Zeichenfolge (Agent Circuit Identifier) wird entweder im FELD DHCP-Option 82 der DHCP-Nachrichten für DHCP-Datenverkehr oder in den DSL Forum Agent-Circuit-ID VSA [26-1] von PPPoE Active Discovery Initiation (ACI) und PPPoE Active Discovery Request (PADR)-Steuerungspaketen für PPPoE-Datenverkehr gespeichert.Agent Remote Identifier (
agent-remote-id
) – Kennung des Abonnenten auf der DSLAM-Schnittstelle (Digital Subscriber Line Access Multiplexer), der die Serviceanfrage initiiert hat. Die Agent Remote Identifier (ARI)-Zeichenfolge wird entweder im Feld DHCP-Option 82 für DHCP-Datenverkehr oder in der AGENT-Remote-ID-VSA [26-2] für PPPoE-Datenverkehr gespeichert.Schnittstellenbeschreibung (
interface-description
) – Wert der Schnittstelle.Beschreibung des Schnittstellentexts (
interface-text-description
) – Textbeschreibung der Schnittstelle. Die Beschreibung des Schnittstellentextes wird separat konfiguriert, wobei entweder dieset interfaces interface-name description description
Anweisung oder dieset interfaces interface-name unit unit-number description description
Anweisung verwendet wird.MAC-Adresse (
mac-address
) – MAC-Adresse des Quellgeräts für den Abonnenten.NAS-Kennung (
nas-identifier
) – Name des NAS, das den Ursprung der Authentifizierungs- oder Buchhaltungsanforderung hat. NAS-Identifier ist RADIUS-IETF-Attribut 32.Stacked VLAN
(stacked-vlan)
– Stacked VLAN ID.VLAN
(vlan)
— VLAN-ID.
Wenn Sie das Format der Calling-Station-ID mit mehr als einem optionalen Wert konfigurieren, ist ein Hashzeichen (#) das Standard-Trennzeichen, das der Router als Trennzeichen zwischen den verketteten Werten in der resultierenden Calling-Station-ID-Zeichenfolge verwendet. Optional können Sie ein alternatives Trennzeichen konfigurieren, das für die Calling-Station-ID verwendet werden soll. Das folgende Beispiel zeigt die Reihenfolge der Ausgabe, wenn Sie mehrere optionale Werte konfigurieren:
nas-identifier#interface description#interface text description#agent-circuit-id#agent-remote-id#mac address#stacked vlan#vlan
So konfigurieren Sie ein Zugriffsprofil, das optionale Informationen in der Calling-Station-ID bereitstellt:
Beispiel: Anruf-Station-ID mit zusätzlichen Optionen in einem Zugriffsprofil
Im folgenden Beispiel wird ein Zugriffsprofil mit dem Namen retailer01 erstellt, das eine Calling-Station-ID-Zeichenfolge konfiguriert, die die Optionen NAS-Identifier (fox
), Schnittstellenbeschreibung, Agenten-Circuit-Kennung und Agent-Remote-Identifikator enthält.
[edit access profile retailer01 radius options] nas-identifier "fox"; calling-station-id-delimiter "*"; calling-station-id format { nas-identifier; interface-description; agent-circuit-id; agent-remote-id; }
Die resultierende Calling-Station-ID-Zeichenfolge ist wie folgt formatiert:
fox*ge-1/2/0.100:100*as007*ar921
Wo:
Der NAS-Identifier-Wert ist
fox
.Das Calling-Station-ID-Trennzeichen ist
*
(Sternchen).Der Wert der Schnittstellenbeschreibung ist
ge-1/2/0.100:100
.Der Agent Circuit Identifier-Wert ist
as007
.Der Agent-Remote-Kennungswert ist
ar921
.
Sehen Sie sich ein Beispiel an, in dem alle Optionen konfiguriert sind, aber keine Werte für die Agent-Circuit-ID, die Agent-Remote-Id oder die stacked VLAN-Kennung verfügbar sind. Die anderen Werte sind wie folgt:
NAS-Identifikator – Solarium
Schnittstellenbeschreibung – ge-1/0/0.1073741824:101
Beschreibung von Schnittstellentexten – Beispielschnittstelle
MAC-Adresse – 00:00:5E:00:53:00
VLAN-Kennung – 101
Diese Werte ergeben die folgende Calling-Station-ID:
solarium#ge-1/0/0.1073741824:101#example-interface###00-00-5E-00-53-00##101
Filtern von RADIUS-Attributen und VSAs aus RADIUS-Nachrichten
Standardattribute und anbieterspezifische Attribute (VSAs), die in RADIUS-Nachrichten empfangen werden, haben Vorrang vor intern bereitgestellten Attributwerten. Filterattribute bestehen aus der Auswahl, bestimmte Attribute zu ignorieren , wenn sie in Access Accept-Paketen empfangen werden, und bestimmte Attribute von der Übermittlung an den RADIUS-Server auszuschließen . Durch Ignorieren von Attributen, die vom RADIUS-Server empfangen werden, können stattdessen Ihre lokal bereitgestellten Werte verwendet werden. Das Ausschließen von Attributen vom Senden ist z. B. nützlich für Attribute, die sich während der Lebensdauer eines Abonnenten nicht ändern. Sie ermöglicht es Ihnen, die Paketgröße ohne Verlust von Informationen zu reduzieren.
Sie können Standard-RADIUS-Attribute und VSAs angeben, die der Router oder Switch anschließend ignoriert , wenn sie in RADIUS Access-Accept-Nachrichten empfangen werden. Sie können auch Attribute und VSAs angeben, die der Router oder Switch von den angegebenen RADIUS-Nachrichtentypen ausschließt . "Ausschluss" bedeutet, dass der Router oder Switch das Attribut nicht in den angegebenen Nachrichten enthält, die es an den RADIUS-Server sendet.
Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standard-Attributnummer oder die von IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben. Mit dieser flexiblen Konfigurationsmethode können Sie jedes standardfähige Attribut und die von Ihrer Plattform unterstützte VSA so konfigurieren, dass sie ignoriert oder ausgeschlossen werden. Die Konfiguration hat keine Auswirkungen, wenn Sie nicht unterstützte Attribute, Anbieter und VSAs konfigurieren.
Mit der älteren Methode können Sie nur die Attribute und VSAs konfigurieren, für die die Anweisungssyntax eine bestimmte Option enthält. Folglich können Sie die ältere Methode verwenden, um nur einen Teil aller Attribute zu ignorieren, die in Access-Accept-Nachrichten empfangen werden können.
So konfigurieren Sie die Attribute, die von Ihrem Router oder Switch ignoriert oder ausgeschlossen werden:
Im folgenden Beispiel werden die älteren und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die VSAs von Juniper Networks, Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) zu ignorieren.
Ältere Methode:
[edit access profile prof-ign radius attributes] user@host# set ignore framed-ip-netmask input-filter output-filter
Flexible Methode:
[edit access profile prof-ign radius attributes] user@host# set ignore standard-attribute 9 user@host# set ignore vendor-id 4874 vendor-attribute [ 10 11 ]
Im folgenden Beispiel werden die älteren und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die VsAs von Juniper Networks, Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) auszuschließen.
Ältere Methode:
[edit access profile prof-exc radius attributes] user@host# set exclude framed-ip-netmask accounting-stop user@host# set exclude input-filter [ accounting-start accounting-stop ] user@host# set exclude output-filter [ accounting-start accounting-stop ]
Flexible Methode: Geben Sie die Standardattributenummer oder die von der IANA zugewiesene Anbieter-ID, die VSA-Nummer und den Nachrichtentyp an:
[edit access profile prof-exc radius attributes] user@host# set exclude standard-attribute 9 packet-type accounting-stop user@host# set exclude vendor-id 4874 vendor-attribute 10 packet-type [ accounting-start accounting-stop ] user@host# set exclude vendor-id 4874 vendor-attribute 11 packet-type [ accounting-start accounting-stop ]
Was passiert, wenn Sie ein Attribut mit beiden Methoden im selben Profil angeben? Die effektive Konfiguration ist der logische ODER der beiden Methoden. Betrachten wir das folgende Beispiel für das Standardatribut Accounting-Delay-time (41):
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on ] user@host# set exclude standard-attribute 41 packet-type [ accounting-start accounting-stop ]
Das Ergebnis ist, dass das Attribut von allen vier Nachrichtentypen ausgeschlossen wird: Accounting-Off, Accounting-On, Accounting-Start und Accounting-Stop. Der Effekt ist derselbe, als wenn eine der folgenden Konfigurationen verwendet wird:
-
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on accounting-start accounting-stop ]
-
[edit access profile prof-3 radius attributes] user@host# set exclude standard-attribute 41 packet-type [ accounting-off accounting-on accounting-start accounting-stop ]