Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

RADIUS-Server und Parameter für den Abonnentenzugriff

Die Konfiguration von Parametern und Optionen für RADIUS-Server ist ein wichtiger Bestandteil der Anwenderverwaltungskonfiguration. Nach dem Definieren der Authentifizierungs- und Abrechnungsserver konfigurieren Sie Die Optionen für alle RADIUS-Server. Außerdem konfigurieren Sie Zugriffsprofile, mit denen Sie Die Authentifizierungs-, Autorisierungs- und Abrechnungsparameter für Abonnenten oder Abonnentengruppen angeben können. Die Profileinstellungen überschreiben globale Einstellungen. Obwohl einige Optionen sowohl auf globaler Ebene als auch auf Zugriffprofilebene verfügbar sind, sind viele Optionen nur in Zugriffsprofilen verfügbar.

Nachdem Sie ein Zugriffsprofil erstellt haben, müssen Sie angeben, wo das Profil mit einer access-profile Anweisung verwendet wird. Dies wird als Anfügen des Profils bezeichnet. Zugriffsprofile können auf verschiedenen Ebenen zugewiesen werden. Beispielsweise können Sie Anknüpfungsprofile

  • Global für eine Routing-Instanz.

  • In dynamischen Profilen.

  • In einer Domänenübersicht, die Zugriffsoptionen und Sitzungsparameter für Abonnentensitzungen ordnet.

  • Auf den Schnittstellen für dynamische VLANs und dynamische Stack-VLANs.

  • Auf der Schnittstelle oder in einer Abonnentengruppe für Abonnenten mit statisch konfigurierten Schnittstellen für die dynamische Servicebereitstellung.

  • Auf DHCP-Relay-Agents und LOKALEN DHCP-Servern für DHCP-Clients oder -Anwender.

Da Sie Zugriffsprofile auf vielen Ebenen anfügen können, hat das spezifischste Zugriffsprofil Vorrang vor allen anderen Profilzuweisungen, um Konflikte zu vermeiden. Authentifizierung und Buchhaltung werden nur ausgeführt, wenn Sie das Profil anhängen.

RADIUS-Authentifizierung und Accounting-Serverdefinition

Wenn Sie RADIUS für die Anwenderverwaltung verwenden, müssen Sie einen oder mehrere externe RADIUS-Server definieren, mit denen der Router für die Anwenderauthentifizierung und -abrechnung kommuniziert. Neben der Angabe der IPv4- oder IPv6-Adresse des Servers können Sie Auch Optionen und Attribute konfigurieren, die bestimmen, wie der Router mit den angegebenen Servern interagiert.

Sie können RADIUS-Server und Konnektivitätsoptionen auf [edit access radius-server] Hierarchieebene, auf [edit access profile name radius-server] Hierarchieebene oder auf beiden Ebenen definieren.

Hinweis:

Der AAA-Prozess (authentifizierung) bestimmt, welche Serverdefinitionen wie folgt verwendet werden sollen:

  • Wenn RADIUS-Serverdefinitionen nur in [edit access radius-server]vorhanden sind, verwendet authd diese Definitionen.

  • Wenn RADIUS-Serverdefinitionen nur im Zugriffsprofil vorhanden sind, verwendet authd diese Definitionen.

  • Wenn RADIUS-Serverdefinitionen sowohl in als auch [edit access radius-server] im Zugriffsprofil vorhanden sind, verwendet die Authentifizierung nur die Zugriffsprofildefinitionen.

Um einen RADIUS-Server zu verwenden, müssen Sie ihn als Authentifizierungsserver, Buchhaltungsserver oder beides in einem Zugriffsprofil angeben. Sie müssen dies für Server tun, unabhängig davon, ob sie in einem Zugriffsprofil oder auf [edit access radius-server] Hierarchieebene definiert sind.

So definieren Sie RADIUS-Server und legen fest, wie der Router mit dem Server interagiert:

Hinweis:

Diese Prozedur zeigt nur die [edit access radius-server] Hierarchieebene an. Sie können optional jeden dieser Parameter auf [edit access profile profile-name] radius-server] Hierarchieebene konfigurieren. Sie können dies entweder zusätzlich zur globalen Einstellung oder anstelle der globalen Einstellung tun. Wenn Sie ein Profil anwenden, setzen die Profileinstellungen die globale Konfiguration außer Kraft.
  1. Geben Sie die IPv4- oder IPv6-Adresse des RADIUS-Servers an.
  2. (Optional) Konfigurieren Sie die Portnummer des RADIUS-Servers.
  3. (Optional) Konfigurieren Sie die Portnummer, die der Router verwendet, um den RADIUS-Server zu kontaktieren.
  4. Konfigurieren Sie den erforderlichen geheimen Schlüssel (Kennwort), den der lokale Router an den RADIUS-Client übergibt. In Anführungszeichen eingeschlossene Geheimnisse können Leerzeichen enthalten.
  5. (Optional) Konfigurieren Sie die maximale Anzahl an ausstehenden Anforderungen, die ein RADIUS-Server verwalten kann. Eine offene Anfrage ist eine Anfrage, auf die der RADIUS-Server noch nicht geantwortet hat.
  6. Konfigurieren Sie die Quelladresse für den RADIUS-Server. Jede RADIUS-Anfrage, die an einen RADIUS-Server gesendet wird, verwendet die angegebene Quelladresse. Die Quelladresse ist eine gültige IPv4- oder IPv6-Adresse, die auf einer der Routerschnittstellen konfiguriert ist.
  7. (Optional) Konfigurieren Sie Wiederholungs- und Timeoutwerte für Authentifizierungs- und Buchhaltungsnachrichten.
    1. Konfigurieren Sie, wie oft der Router versucht, einen RADIUS-Server zu kontaktieren, wenn er keine Antwort erhalten hat.
    2. Konfigurieren Sie, wie lange der Router auf eine Antwort von einem RADIUS-Server wartet, bevor er den Kontakt erneut versucht.
    Hinweis:

    Die maximale Wiederholungsdauer (die Anzahl der Wiederholungen mal die Länge des Timeouts) darf 2700 Sekunden nicht überschreiten. Wenn Sie eine längere Dauer konfigurieren, wird eine Fehlermeldung angezeigt.
    Hinweis:

    Die retry Einstellungen timeout gelten sowohl für Authentifizierungs- als auch für Buchhaltungsnachrichten, es sei denn, Sie konfigurieren sowohl die accounting-retry Anweisung als auch die accounting-timeout Anweisung. In diesem Fall gelten die retry Einstellungen timeout nur für Authentifizierungsnachrichten.
  8. (Optional) Konfigurieren Sie Werte für Wiederholungs- und Timeouts für Buchhaltungsnachrichten getrennt von den Einstellungen für Authentifizierungsnachrichten.
    Hinweis:

    Sie müssen sowohl die accounting-retry Anweisungen als auch die accounting-timeout Anweisungen konfigurieren. Wenn Sie dies nicht tun, wird der von Ihnen konfigurierte Wert zugunsten der mit den retry Anweisungen timeout konfigurierten Werte ignoriert.
    1. Konfigurieren Sie, wie oft der Router versucht, Buchhaltungsnachrichten an den RADIUS-Accounting-Server zu senden, wenn er keine Antwort erhalten hat.
    2. Konfigurieren Sie, wie lange der Router wartet, um eine Antwort von einem RADIUS-Buchhaltungsserver zu erhalten, bevor er die Anforderung erneut versucht.
  9. (Optional) Konfigurieren Sie den Router so, dass er den RADIUS-Server für LLID-Vorauthentifizierungsanfragen (Logical Line Identification) kontaktiert. Siehe RADIUS-Identifizierung logischer Linien.
  10. (Optional) Konfigurieren Sie den Port, den der Router für dynamische (CoA)-Anforderungen vom angegebenen Server überwacht. Siehe Dynamisches Servicemanagement mit RADIUS.

Konfigurationsoptionen, die für alle RADIUS-Server gelten

Sie können RADIUS-Optionen konfigurieren, die für alle RADIUS-Server weltweit gelten.

So konfigurieren Sie RADIUS-Optionen global:

  1. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  2. (Optional) Konfigurieren Sie die Geschwindigkeit, mit der RADIUS-Zwischenaktualisierungsanfragen an den Server gesendet werden.
  3. (Optional) Konfigurieren Sie die maximal zulässige Abweichung vom konfigurierten Aktualisierungsintervall, das der Router zwischengelagerte Buchhaltungsaktualisierungen an den RADIUS-Server sendet. Die Toleranz ist relativ zum konfigurierten Aktualisierungsintervall.

    Wenn die Toleranz beispielsweise auf 60 Sekunden festgelegt ist, sendet der Router zwischengelagerte Buchhaltungsaktualisierungen spätestens 30 Sekunden vor dem konfigurierten Aktualisierungsintervall. Wenn sich ein Anwender anmeldet, kann die erste Zwischenaktualisierung der Buchhaltung bis zu 30 Sekunden zu einem frühen Zeitpunkt (im Durchschnitt 15 Sekunden früher) gesendet werden.

    Sie konfigurieren das Aktualisierungsintervall mit der update-interval-Anweisung auf [edit access profile profile-name accounting] Hierarchieebene.

  4. (Optional) Konfigurieren Sie die Anzahl der Anforderungen pro Sekunde, die der Router gemeinsam an alle konfigurierten RADIUS-Server senden kann. Durch die Begrenzung des Datenflusses vom Router zu den RADIUS-Servern können Sie verhindern, dass die RADIUS-Server mit Anforderungen überflutet werden.
  5. (Optional) Konfigurieren Sie die Anzahl der Sekunden, die der Router wartet, nachdem ein Server nicht erreichbar ist, bevor Sie die Verbindung erneut überprüfen. Wenn der Router den Server erreicht, wenn das Revert-Intervall abläuft, wird der Server entsprechend der Reihenfolge der Serverliste verwendet.
    Hinweis:

    Sie können auch den revert-interval in-in-Zugriffsprofil so konfigurieren, dass dieser globale Wert überschreiben wird. Siehe Konfigurieren von Zugriffsprofiloptionen für Interaktionen mit RADIUS-Servern.
  6. (Optional) Konfigurieren Sie die Dauer eines Zeitraums, in dem RADIUS-Authentifizierungsserver, die nicht reagieren, noch nicht als nicht erreichbar oder ausfällt. Sie können den Zeitraum variieren, je nachdem, ob Sie Authentifizierungsanfragen schneller an einen anderen Server weiterleiten oder dem nicht reagierenden Server mehr Zeit für die Wiederherstellung und Reaktion geben möchten.

    Weitere Informationen finden Sie unter Konfigurieren eines Timeout-Nachfrists, um anzugeben, wann RADIUS-Server als heruntergefahren oder nicht erreichbar angesehen werden .

  7. (Optional) Konfigurieren Sie einen NAS-Port-Wert, der für alle Router der MX-Serie im Netzwerk eindeutig ist. Sie können einen NAS-Port-Wert konfigurieren, der nur innerhalb des Routers eindeutig oder für die verschiedenen MX-Router im Netzwerk eindeutig ist.

    Weitere Informationen finden Sie unter Aktivieren einzigartiger NAS-Port-Attribute (RADIUS-Attribut 5) für Abonnenten .

Konfigurieren eines Timeout-Nachfrists zur Angabe, wann RADIUS-Server als ausfällt oder nicht erreichbar gelten

Wenn ein RADIUS-Authentifizierungsserver auf einen der Versuche für eine bestimmte Authentifizierungsanfrage nicht reagiert und ein Time-Out ausfällt, notiert der Autor die Zeit für die Referenz, markiert den Server jedoch nicht sofort als aus (wenn andere Server verfügbar sind) oder nicht erreichbar (wenn er der einzige konfigurierte Server ist). Stattdessen wird zur Referenzzeit ein konfigurierbarer Nachfrist-Timer gestartet. Die Nachfrist wird freigegeben, wenn der Server vor Ablauf der Frist auf eine nachfolgende Anfrage antwortet.

Während der Nachfrist wird der Server nicht als abgefahren oder nicht erreichbar markiert. Jedes Mal, wenn der Server für nachfolgende Anforderungen an diesen Server zeitlos ist, überprüft die Authentifizierung, ob die Nachfrist abgelaufen ist. Wenn bei der Prüfung festgestellt wird, dass die Nachfrist abgelaufen ist und der Server immer noch nicht auf eine Anfrage reagiert hat, wird der Server als nicht erreichbar oder nicht erreichbar markiert.

Mit einer kurzen Nachfrist können Sie einen nicht reagierenden Server schneller abbrechen und Authentifizierungsanfragen an andere verfügbare Server richten. Eine lange Nachfrist gibt einem Server mehr Möglichkeiten, zu reagieren, und kann vermeiden, dass eine Ressource unnötig aufgegeben wird. Sie können eine längere Nachfrist angeben, wenn Sie nur einen oder eine kleine Anzahl von konfigurierten Servern haben.

So konfigurieren Sie die Nachfrist, während derer ein RADIUS-Server nicht als nicht erreichbar oder nicht erreichbar markiert wird:

  • Geben Sie die Dauer der Nachfrist an.

Konfigurieren von Zugriffprofiloptionen für Interaktionen mit RADIUS-Servern

Sie können ein Zugriffsprofil verwenden, um Optionen anzugeben, die der Router bei der Kommunikation mit RADIUS-Authentifizierungs- und Buchhaltungsservern für den Abonnentenzugriff verwendet. In diesem Verfahren werden Die Optionen beschrieben, die nur in Zugriffsprofilen verfügbar sind. Informationen zu Optionen, die sowohl auf Zugriffsebene als auch auf globaler Ebene verfügbar sind, finden Sie unter RADIUS-Server und Parameter für den Abonnentenzugriff.

So konfigurieren Sie die Optionen für RADIUS-Authentifizierungs- und Abrechnungsserver:

  1. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  2. (Optional) Konfigurieren Sie das Format, das der Router zur Identifizierung der Buchhaltungssitzung verwendet. Der Bezeichner kann in einem der folgenden Formate sein:

    • decimal— Das Standardformat. Zum Beispiel 435264

    • description– Im Format. jnpr interface-specifier:subscriber-session-id Zum Beispiel jnpr fastEthernet 3/2.6:1010101010101

  3. (Optional) Konfigurieren Sie das Trennzeichen, das der Router zwischen Werten im RADIUS-Attribut 31 (Calling-Station-Id) einfügt.
  4. (Optional) Konfigurieren Sie die Informationen, die der Router im RADIUS-Attribut 31 (Calling-Station-Id) enthält.

    Ausführliche Informationen finden Sie unter Konfigurieren einer Calling-Station-ID mit zusätzlichen Optionen .

  5. (Optional) Konfigurieren Sie den Router so, dass er das optionale Verhalten verwendet, bei dem die vom NAS generierte zufällige Herausforderung in das Feld "Request Authenticator" der Access-Request-Pakete eingefügt wird, anstatt die zufällige Challenge als CHAP-Challenge-Attribut (RADIUS-Attribut 60) in Access-Request-Paketen zu senden. Dieses optionale Verhalten erfordert, dass der Wert der Herausforderung 16 Bytes betragen muss. andernfalls wird die Anweisung ignoriert und die Challenge als CHAP-Challenge-Attribut gesendet.
  6. (Optional) Konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungs- und Buchhaltungsserver verwendet, wenn mehrere Server konfiguriert sind:

    • direct— Die Standardmethode, bei der es kein Load Balancing gibt. Der erste konfigurierte Server ist der primäre Server. server werden in der Reihenfolge der Konfiguration aufgerufen. Wenn der primäre Server nicht erreichbar ist, versucht der Router, den zweiten konfigurierten Server zu erreichen usw.

    • round-robin— Die Methode, die Load Balancing ermöglicht, indem Routeranforderungen in die Liste der konfigurierten RADIUS-Server gedreht werden. Der für den Zugriff ausgewählte Server wird je nach dem zuletzt verwendeten Server gedreht. Der erste Server in der Liste wird für die erste Authentifizierungsanforderung als Primärserver behandelt, für die zweite Anforderung wird der zweite konfigurierte Server als primär behandelt usw. Mit dieser Methode erhalten alle konfigurierten Server im Durchschnitt etwa die gleiche Anzahl von Anforderungen, sodass kein einzelner Server alle Anforderungen bearbeiten muss.

      Hinweis:

      Wenn ein RADIUS-Server in der Round-Robin-Liste nicht erreichbar ist, wird der nächste erreichbare Server in der Round-Robin-Liste für die aktuelle Anforderung verwendet. Derselbe Server wird auch für die nächste Anforderung verwendet, da er ganz oben in der Liste der verfügbaren Server steht. Infolgedessen nimmt der verwendete Server nach einem Serverausfall die Last von zwei Servern an.

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Buchhaltungsserver verwendet:

    • So konfigurieren Sie die Methode, die der Router für den Zugriff auf RADIUS-Authentifizierungsserver verwendet:

  7. (Optional) Konfigurieren Sie den Router so, dass er das optionale Verhalten verwendet, wenn ein CoA-Vorgang eine angeforderte Änderung auf eine dynamische Client-Profilvariable nicht anwenden kann.

    Das optionale Verhalten besteht darin, dass die Anwenderverwaltung keine Änderungen an dynamischen Variablen des Clientprofils in der CoA-Anfrage anwendet und dann mit einer NACK antwortet. Das Standardverhalten besteht darin, dass die Abonnentenverwaltung nicht das falsche Update anwendet, sondern die anderen Änderungen auf die dynamischen Variablen des Clientprofils anwendet und dann mit einer ACK-Nachricht antwortet.

  8. (Optional) Konfigurieren Sie den Router so, dass er einen physischen Porttyp von zur Authentifizierung von virtual Clients verwendet. Der Porttyp wird im RADIUS-Attribut 61 (NAS-Port-Type) übergeben. Standardmäßig übergibt der Router einen Porttyp des ethernet RADIUS-Attributs 61.
    Hinweis:

    Diese Anweisung hat Vorrang vor der nas-port-type Anweisung, wenn Sie beide in dasselbe Zugriffsprofil einbeziehen.
  9. (Optional) Geben Sie die Informationen an, die aus der Schnittstellenbeschreibung ausgeschlossen sind, die der Router zur Integration im RADIUS-Attribut 87 (NAS-Port-ID) an RADIUS übergibt. Standardmäßig enthält die Schnittstellenbeschreibung Adapter-, Kanal- und Unteroberflächeninformationen.
  10. (Optional) Für Dual-Stack-PPP-Abonnenten fügen Sie die IPv4-Release-Control-VSA (26–164) in die Zugriffsanfrage ein, die während der On-Demand-IP-Adressenzuweisung gesendet wird, und in die Zwischenbilanzmeldungen, die zur Meldung einer Adressänderung gesendet werden.

    Konfigurieren Sie optional eine Nachricht, die in der IPv4-Release-Control-VSA (26–164) enthalten ist, wenn sie an den RADIUS-Server gesendet wird.

    Die Konfiguration dieser Anweisung hat keine Auswirkungen, wenn die Ip-Adressenzuweisung auf Abruf oder die Deallocation nicht konfiguriert ist.

  11. (Optional) Fügen Sie die Juniper Networks-VSAs der RADIUS-Authentifizierung und den Anfragen zu Buchhaltungsanfragen für Abonnenten hinzu. Wenn der Router die entsprechenden ANCP-Attribute nicht vom Zugriffsknoten empfangen und verarbeitet hat, stellt AAA in diesen RADIUS-Meldungen nur Folgendes bereit:

    • Downstream-Berechnete QoS-Rate (IANA 4874, 26-141) – Standardmäßig konfigurierte Beratungsgeschwindigkeit.

    • Upstream-Berechnete QoS-Rate (IANA 4874, 26-142) – Standardmäßig konfigurierte Empfehlungs-Empfangsgeschwindigkeit.

    Ab Junos OS Version 19.2R1 ersetzt die juniper-access-line-attributes Option die juniper-dsl-attributes Option. Aus Gründen der Abwärtskompatibilität mit vorhandenen Skripten leitet die juniper-dsl-attributes Option zur neuen juniper-access-line-attributes Option um. Wir empfehlen, die Verwendung von juniper-access-line-attributes.

    Hinweis:

    Die juniper-access-line-attributes Option ist nicht abwärtskompatibel mit Junos OS Version 19.1 oder früheren Versionen. Das bedeutet, wenn Sie die Option in Junos OS Version 19.2 oder höher konfiguriert juniper-access-line-attributes haben, müssen Sie die folgenden Schritte für ein Downgrade auf Junos OS Version 19.1 oder früher ausführen:

    1. Löschen Sie die juniper-access-line-attributes Option aus allen Zugriffsprofilen, die sie enthalten.

    2. Führen Sie das Software-Downgrade durch.

    3. Fügen Sie die juniper-dsl-attributes Option den betroffenen Zugriffsprofilen hinzu.
  12. (Optional) Konfigurieren Sie den Wert für das Client RADIUS-Attribut 32 (NAS-Identifier), das für Authentifizierungs- und Abrechnungsanforderungen verwendet wird.
  13. (Optional) Konfigurieren Sie den RADIUS-Client so, dass er das erweiterte Format für RADIUS-Attribut 5 (NAS-Port) verwendet, und geben Sie die Breite der Felder im NAS-Port-Attribut an, das die physische Portnummer des NAS angibt, das den Benutzer authentifiziert.

    • Für Ethernet-Anwender:

    • Für ATM-Abonnenten:

  14. (Optional) Konfigurieren Sie das Trennzeichen, das der Router zwischen Werten im RADIUS-Attribut 87 (NAS-Port-Id) einfügt.
  15. (Optional) Konfigurieren Sie die optionalen Informationen, die der Router im RADIUS-Attribut 87 (NAS-Port-Id) enthält. Sie können eine oder mehrere Optionen angeben, die in der Standardreihenfolge angezeigt werden sollen. Alternativ können Sie sowohl die Optionen als auch die Reihenfolge angeben, in der sie angezeigt werden. Die Bestellungen schließen sich gegenseitig aus und die Konfiguration schlägt fehl, wenn Sie eine NAS-Port-ID konfigurieren, die Werte in beiden Reihenfolgen enthält.

    Ausführliche Informationen finden Sie unter Konfigurieren einer NAS-Port-ID mit zusätzlichen Optionen und Konfigurieren der Reihenfolge, in der optionale Werte in der NAS-Port-ID angezeigt werden .

  16. (Optional) Konfigurieren Sie den Porttyp, der im RADIUS-Attribut 61 (NAS-Port-Typ) enthalten ist. Dies gibt den Porttyp an, den der Router zur Authentifizierung von Abonnenten verwendet.
    Hinweis:

    Diese Anweisung wird ignoriert, wenn Sie die ethernet-port-type-virtual im selben Zugriffsprofil konfigurieren.
  17. (Optional) Konfigurieren Sie die LAC so, dass das konfigurierte Calling-Station-ID-Format für den Wert, der in der L2TP-Anrufnummer AVP 22 gesendet wird, überschreiben. Sie können das Format Calling-Station-ID überschreiben und das LAC so konfigurieren, dass ACI, ARI oder sowohl ACI als auch ARI verwendet werden, die vom L2TP-Client im PADR-Paket empfangen werden. Sie können auch ein Trennzeichen angeben, das zwischen den Komponenten der AVP-Zeichenfolge verwendet werden soll, und einen Fallbackwert, der verwendet werden soll, wenn die konfigurierten Außerschreiben-Komponenten nicht im PADR-Paket empfangen werden.
    Hinweis:

    Weitere Informationen finden Sie unterOverride the Calling-Station-ID-Format für den Anrufnummer-AVP .
  18. (Optional) Überschreiben Sie den Wert des RADIUS NAS-IP-Address-Attributs (4) am LNS mit dem Wert der LAC-Endpunkt-IP-Adresse der Sitzung, wenn dieser in der Sitzungsdatenbank vorhanden ist. Wenn er nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  19. (Optional) Überschreiben Sie den Wert des RADIUS NAS-Port-Attributs (5) am LNS mit dem Wert aus der Sitzungsdatenbank, wenn die LAC NAS-Portinformationen an das LNS im Cisco Systems NAS Port Info AVP (100) übermittelt wurden. Wenn er nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  20. (Optional) Überschreiben Sie den Wert des RADIUS NAS-Port-Typ-Attributs (61) am LNS mit dem Wert aus der Sitzungsdatenbank, wenn die LAC NAS-Portinformationen an den LNS im Cisco Systems NAS-Port-Info-AVP (100) übermittelt wurden. Wenn er nicht vorhanden ist, wird der ursprüngliche Attributwert verwendet.
  21. (Optional) Konfigurieren Sie ein Trennzeichen für die Remote-Circuit-ID- Zeichenfolge, wenn Sie die Anweisung verwenden, um die remote-circuit-id-format Zeichenfolge für die Verwendung der Zeichenfolge anstelle der Calling-Station-ID in L2TP-Anrufnummer AVP 22 zu konfigurieren. Wenn für das Format der Remote-Circuit-ID mehr als ein Wert konfiguriert ist, wird das Trennzeichen als Trennzeichen zwischen den verketteten Werten in der resultierenden Remote-Circuit-ID-Zeichenfolge verwendet.
    Hinweis:

    Sie müssen die override calling-circuit-id remote-circuit-id Anweisung für das Format der Remote-Circuit-ID konfigurieren, um in der Anrufnummer AVP verwendet werden zu können.
  22. (Optional) Konfigurieren Sie den Fallbackwert für die L2TP-Anrufnummer AVP 22, entweder die konfigurierte Calling-Station-ID oder die zugrunde liegende Standardschnittstelle. Die Verwendung des Fallbackwerts wird ausgelöst, wenn die Komponenten der Override-Zeichenfolge, die Sie mit der remote-circuit-id-format Anweisung konfiguriert haben – ACI, ARI oder sowohl ACI als auch ARI – vom LAC im PPPoE Active Discovery Request (PADR)-Paket nicht empfangen werden.
  23. (Optional) Konfigurieren Sie das Format der Zeichenfolge, die das Calling-Station-ID-Format im L2TP-Anrufnummer-AVP überschreibt. Sie können den ACI, den ARI oder sowohl ACI als auch ARI angeben.
    Hinweis:

    Sie müssen die override calling-circuit-id remote-circuit-id Anweisung für das Format der Remote-Circuit-ID konfigurieren, um in der Anrufnummer AVP verwendet werden zu können.
  24. (Optional) Konfigurieren Sie die Anzahl der Sekunden, in denen der Router wartet, nachdem ein Server nicht erreichbar wurde, bevor er einen weiteren Versuch unternimmt, den Server zu erreichen. Wenn der Server dann erreichbar ist, wird er entsprechend der Reihenfolge der Serverliste verwendet.
    Hinweis:

    Sie können diese Option auch für alle RADIUS-Server konfigurieren. Siehe Konfigurieren von Optionen, die für alle RADIUS-Server gelten.
  25. (Optional) Konfigurieren Sie, ob sich der neu authentifizierte Teilnehmer erfolgreich anmelden kann, wenn bei der Authentifizierung der Aktivierungsanfrage für die Adressfamilie des Anwenders Serviceaktivierungsfehler im Zusammenhang mit Konfigurationsfehlern auftreten. Sie können dieses Verhalten für Services angeben, die in dynamischen Profilen oder in ESSM-Betriebsskripten (Extensible Subscriber Services Manager) konfiguriert sind:

    • optional-at-login— Die Serviceaktivierung ist optional. Ein Aktivierungsfehler aufgrund von Konfigurationsfehlern verhindert die Aktivierung der Adressfamilie nicht. ermöglicht den Anwenderzugriff. Fehler bei der Dienstaktivierung aufgrund anderer Ursachen als Konfigurationsfehler führen dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Der Anmeldeversuch wird beendet, es sei denn, der Teilnehmer hat bereits eine andere Adressfamilie aktiv.

    • required-at-login— Serviceaktivierung ist erforderlich. Ein Aktivierungsausfall aus irgendeinem Grund führt dazu, dass die Aktivierung der Netzwerkfamilie fehlschlägt. Der Anmeldeversuch wird beendet, es sei denn, der Teilnehmer hat bereits eine andere Adressfamilie aktiv.

  26. (Optional) Geben Sie an, dass RADIUS-Attribut 5 (NAS-Port) zusätzlich zur VLAN-ID die S-VLAN-ID für Anwender auf Ethernet-Schnittstellen enthält.

Konfigurieren einer Calling-Station-ID mit zusätzlichen Optionen

Verwenden Sie diesen Abschnitt, um einen alternativen Wert für das Calling-Station-ID (RADIUS-IETF-Attribut 31) in einem Zugriffsprofil auf dem Router der MX-Serie zu konfigurieren.

Sie können die Calling-Station-ID so konfigurieren, dass sie eine oder mehrere der folgenden Optionen in beliebiger Kombination in der [edit access profile profile-name radius options calling-station-id-format] Hierarchie umfasst:

  • Agent Circuit Identifier (agent-circuit-id) – Kennung des Zugangsknotens des Teilnehmers und der digitalen Abonnentenleitung (DSL) auf dem Zugriffsknoten. Die ACI-Zeichenfolge (Agent Circuit Identifier) wird entweder im FELD DHCP-Option 82 der DHCP-Nachrichten für DHCP-Datenverkehr oder in den DSL Forum Agent-Circuit-ID VSA [26-1] von PPPoE Active Discovery Initiation (ACI) und PPPoE Active Discovery Request (PADR)-Steuerungspaketen für PPPoE-Datenverkehr gespeichert.

  • Agent Remote Identifier (agent-remote-id) – Kennung des Abonnenten auf der DSLAM-Schnittstelle (Digital Subscriber Line Access Multiplexer), der die Serviceanfrage initiiert hat. Die Agent Remote Identifier (ARI)-Zeichenfolge wird entweder im Feld DHCP-Option 82 für DHCP-Datenverkehr oder in der AGENT-Remote-ID-VSA [26-2] für PPPoE-Datenverkehr gespeichert.

  • Schnittstellenbeschreibung (interface-description) – Wert der Schnittstelle.

  • Beschreibung des Schnittstellentexts (interface-text-description) – Textbeschreibung der Schnittstelle. Die Beschreibung des Schnittstellentextes wird separat konfiguriert, wobei entweder die set interfaces interface-name description description Anweisung oder die set interfaces interface-name unit unit-number description description Anweisung verwendet wird.

  • MAC-Adresse (mac-address) – MAC-Adresse des Quellgeräts für den Abonnenten.

  • NAS-Kennung (nas-identifier) – Name des NAS, das den Ursprung der Authentifizierungs- oder Buchhaltungsanforderung hat. NAS-Identifier ist RADIUS-IETF-Attribut 32.

  • Stacked VLAN (stacked-vlan)– Stacked VLAN ID.

  • VLAN (vlan)— VLAN-ID.

Wenn Sie das Format der Calling-Station-ID mit mehr als einem optionalen Wert konfigurieren, ist ein Hashzeichen (#) das Standard-Trennzeichen, das der Router als Trennzeichen zwischen den verketteten Werten in der resultierenden Calling-Station-ID-Zeichenfolge verwendet. Optional können Sie ein alternatives Trennzeichen konfigurieren, das für die Calling-Station-ID verwendet werden soll. Das folgende Beispiel zeigt die Reihenfolge der Ausgabe, wenn Sie mehrere optionale Werte konfigurieren:

So konfigurieren Sie ein Zugriffsprofil, das optionale Informationen in der Calling-Station-ID bereitstellt:

  1. Geben Sie das Zugriffsprofil an, das Sie konfigurieren möchten.
  2. Geben Sie an, dass Sie RADIUS-Optionen konfigurieren möchten.
  3. Geben Sie das Nicht-Standardzeichen an, das als Trennzeichen zwischen den verkettten Werten in der Calling-Station-ID verwendet werden soll.

    Standardmäßig verwendet die Anwenderverwaltung das Hashzeichen (#) als Trennzeichen in Calling-Station-ID-Zeichenfolgen, die mehr als einen optionalen Wert enthalten.

  4. Konfigurieren Sie den Wert für den NAS-Identifier (RADIUS-Attribut 32), das für Authentifizierungs- und Abrechnungsanforderungen verwendet wird.
  5. Geben Sie an, dass Sie das Format der Calling-Station-ID konfigurieren möchten.
  6. (Optional) Fügen Sie die Beschreibung des Schnittstellentextes in die Calling-Station-ID ein.
  7. (Optional) Fügen Sie den Wert der Schnittstellenbeschreibung in die Calling-Station-ID ein.
  8. (Optional) Fügen Sie die Agentenleitungskennung in die Calling-Station-ID ein.
  9. (Optional) Fügen Sie die Remote-Kennung des Agenten in die Calling-Station-ID ein.
  10. (Optional) Fügen Sie den konfigurierten NAS-Identifikatorwert in die Calling-Station-ID ein.
  11. (Optional) Fügen Sie die gestapelte VLAN-ID in die Calling-Station-ID ein.
  12. (Optional) Fügen Sie die VLAN-ID in die Calling-Station-ID ein.
  13. (Optional) Geben Sie die MAC-Adresse in die Calling-Station-ID ein.

Beispiel: Anruf-Station-ID mit zusätzlichen Optionen in einem Zugriffsprofil

Im folgenden Beispiel wird ein Zugriffsprofil mit dem Namen retailer01 erstellt, das eine Calling-Station-ID-Zeichenfolge konfiguriert, die die Optionen NAS-Identifier (fox), Schnittstellenbeschreibung, Agenten-Circuit-Kennung und Agent-Remote-Identifikator enthält.

Die resultierende Calling-Station-ID-Zeichenfolge ist wie folgt formatiert:

fox*ge-1/2/0.100:100*as007*ar921

Wo:

  • Der NAS-Identifier-Wert ist fox.

  • Das Calling-Station-ID-Trennzeichen ist * (Sternchen).

  • Der Wert der Schnittstellenbeschreibung ist ge-1/2/0.100:100.

  • Der Agent Circuit Identifier-Wert ist as007.

  • Der Agent-Remote-Kennungswert ist ar921.

Sehen Sie sich ein Beispiel an, in dem alle Optionen konfiguriert sind, aber keine Werte für die Agent-Circuit-ID, die Agent-Remote-Id oder die stacked VLAN-Kennung verfügbar sind. Die anderen Werte sind wie folgt:

  • NAS-Identifikator – Solarium

  • Schnittstellenbeschreibung – ge-1/0/0.1073741824:101

  • Beschreibung von Schnittstellentexten – Beispielschnittstelle

  • MAC-Adresse – 00:00:5E:00:53:00

  • VLAN-Kennung – 101

Diese Werte ergeben die folgende Calling-Station-ID:

Filtern von RADIUS-Attributen und VSAs aus RADIUS-Nachrichten

Standardattribute und anbieterspezifische Attribute (VSAs), die in RADIUS-Nachrichten empfangen werden, haben Vorrang vor intern bereitgestellten Attributwerten. Filterattribute bestehen aus der Auswahl, bestimmte Attribute zu ignorieren , wenn sie in Access Accept-Paketen empfangen werden, und bestimmte Attribute von der Übermittlung an den RADIUS-Server auszuschließen . Durch Ignorieren von Attributen, die vom RADIUS-Server empfangen werden, können stattdessen Ihre lokal bereitgestellten Werte verwendet werden. Das Ausschließen von Attributen vom Senden ist z. B. nützlich für Attribute, die sich während der Lebensdauer eines Abonnenten nicht ändern. Sie ermöglicht es Ihnen, die Paketgröße ohne Verlust von Informationen zu reduzieren.

Sie können Standard-RADIUS-Attribute und VSAs angeben, die der Router oder Switch anschließend ignoriert , wenn sie in RADIUS Access-Accept-Nachrichten empfangen werden. Sie können auch Attribute und VSAs angeben, die der Router oder Switch von den angegebenen RADIUS-Nachrichtentypen ausschließt . "Ausschluss" bedeutet, dass der Router oder Switch das Attribut nicht in den angegebenen Nachrichten enthält, die es an den RADIUS-Server sendet.

Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standard-Attributnummer oder die von IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben. Mit dieser flexiblen Konfigurationsmethode können Sie jedes standardfähige Attribut und die von Ihrer Plattform unterstützte VSA so konfigurieren, dass sie ignoriert oder ausgeschlossen werden. Die Konfiguration hat keine Auswirkungen, wenn Sie nicht unterstützte Attribute, Anbieter und VSAs konfigurieren.

Mit der älteren Methode können Sie nur die Attribute und VSAs konfigurieren, für die die Anweisungssyntax eine bestimmte Option enthält. Folglich können Sie die ältere Methode verwenden, um nur einen Teil aller Attribute zu ignorieren, die in Access-Accept-Nachrichten empfangen werden können.

So konfigurieren Sie die Attribute, die von Ihrem Router oder Switch ignoriert oder ausgeschlossen werden:

  1. Geben Sie an, dass Sie RADIUS im Zugriffsprofil konfigurieren möchten.
  2. Geben Sie an, dass Sie konfigurieren möchten, wie RADIUS-Attribute gefiltert werden.
  3. (Optional) Geben Sie ein oder mehrere Attribute an, die ihr Router oder Switch ignorieren soll, wenn die Attribute in Zugriffsnachrichten enthalten sind.

    • Ältere Methode: Dedizierte Option für Attribut angeben:

    • Flexible Methode: Geben Sie die Standardattributenummer oder die vom IANA zugewiesene Anbieter-ID und die VSA-Nummer an:

  4. (Optional) Konfigurieren Sie ein Attribut, das ihr Router oder Switch von einem oder mehreren angegebenen RADIUS-Nachrichtentypen ausschließen soll. Sie können keine Liste von Attributen konfigurieren, aber Sie können für jedes Attribut eine Liste von Nachrichtentypen angeben.

    • Ältere Methode: Geben Sie die dedizierte Option für Attribut und Nachrichtentyp an:

    • Flexible Methode: Geben Sie die Standardattributenummer oder die von der IANA zugewiesene Anbieter-ID, die VSA-Nummer und den Nachrichtentyp an:

Im folgenden Beispiel werden die älteren und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die VSAs von Juniper Networks, Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) zu ignorieren.

  • Ältere Methode:

  • Flexible Methode:

Im folgenden Beispiel werden die älteren und flexiblen Konfigurationsmethoden verglichen, um das Standard-RADIUS-Attribut Framed-IP-Netmask (9) und die VsAs von Juniper Networks, Ingress-Policy-Name (26-10) und Egress-Policy-Name (26-11) auszuschließen.

  • Ältere Methode:

  • Flexible Methode: Geben Sie die Standardattributenummer oder die von der IANA zugewiesene Anbieter-ID, die VSA-Nummer und den Nachrichtentyp an:

Was passiert, wenn Sie ein Attribut mit beiden Methoden im selben Profil angeben? Die effektive Konfiguration ist der logische ODER der beiden Methoden. Betrachten wir das folgende Beispiel für das Standardatribut Accounting-Delay-time (41):

Das Ergebnis ist, dass das Attribut von allen vier Nachrichtentypen ausgeschlossen wird: Accounting-Off, Accounting-On, Accounting-Start und Accounting-Stop. Der Effekt ist derselbe, als wenn eine der folgenden Konfigurationen verwendet wird:

Tabelle "Versionshistorie"
Release
Beschreibung
18.1R1
Ab Junos OS Version 18.1R1 können Sie den Router oder Switch so konfigurieren, dass RADIUS-Standardattribute und VSAs ignoriert oder ausgeschlossen werden, indem Sie die Standard-Attributnummer oder die von IANA zugewiesene Anbieter-ID bzw. die VSA-Nummer angeben.