Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

JSRC und Abonnenten auf statischen Schnittstellen

Abonnenten auf statischen Schnittstellen – Übersicht

Sie können Abonnenten statisch konfigurierten Schnittstellen zuordnen und eine dynamische Serviceaktivierung und -deaktivierung für diese Benutzer bereitstellen. Wenn die statische Schnittstelle angezeigt wird, wird das Ereignis als Anmeldung eines Anwenders behandelt. Wenn die Schnittstelle ausfällt, wird sie als Abmeldung des Anwenders behandelt.

Sie können die statischen Anwender, die über RADIUS authentifiziert und autorisiert werden sollen, konfigurieren. In diesem Fall kann RADIUS dann Services mit Change of Authorization (CoA)-Meldungen aktivieren und deaktivieren. Diese Konfiguration verhindert jedoch nicht, dass die Schnittstelle hochkommt und Datenverkehr weiterleitet. Außerdem werden der Anwender-Schnittstelle keine Autorisierungsparameter auferlegt.

Alternativ können Sie JSRC für die dynamische Serviceaktivierung und -deaktivierung für diese Abonnenten verwenden. Nachdem die Abonnenten in der Sitzungsdatenbank (SDB) vorhanden sind, kann JSRC die Abonnenten an die SAE melden, damit die SRC-Software die Anwender anschließend verwalten kann.

Die folgenden Richtlinien gelten für statische Abonnenten:

  • Statische Subscriber werden nur auf Ethernet-Schnittstellen, statischen Demux-Schnittstellen und Pseudowire-Schnittstellen über logische Tunnel (PS/LT) unterstützt. Die PS/LT-Unterstützung, die in Junos OS Version 18.3R1 eingeführt wurde, ermöglicht die vollständige Verwaltung von Anwendern (entspricht dynamischen Abonnenten) für statisch bereitgestellte Abonnenten, deren Datenverkehr über IP/MPLS-Zugriffsmodelle übertragen wird.

  • Über eine bestimmte Schnittstelle kann nur ein statischer Anwender existieren.

  • Eine Schnittstelle kann nicht in mehr als einer Gruppe angezeigt werden.

  • Statische Abonnenten können nicht über dynamische Schnittstellen erstellt werden.

Statische Abonnenten sind für die Arbeit mit JSRC vorgesehen. Fügen Sie die provisioning-order jsrc Anweisung auf der [edit access profile profile-name] Hierarchieebene ein, damit JSRC die Abonnenten auf Anweisung der SRC-Software behandeln kann.

Wenn die Authentifizierung für einen statischen Anwender fehlschlägt, beginnt ein 60-minütiger, nicht konfigurierbarer Timer mit dem Countdown. Die Anforderung wird erneut ausgegeben, wenn der Timer abläuft. Diese Aktion wird so lange wiederholt, wie die Schnittstelle betriebsbereit ist.

Sie können eine Abmeldung des statischen Anwenders erzwingen, indem Sie den request services static-subscribers logout interface interface-name Befehl ausgeben. Ein statischer Anwender kann auch von AAA oder einem externen Richtlinienmanager abgemeldet werden. In beiden Fällen können keine nachfolgenden Anmeldungen auf der zugrunde liegenden Schnittstelle stattfinden, bis Sie den Status durch Absetzen des request services static-subscribers login interface interface-name Befehls zurücksetzen oder der Router oder Prozess neu gestartet wird.

Sie können eine Schnittstellengruppe abmelden, indem Sie den request services static-subscriber logout group group-name Befehl ausführen. Anschließend können Sie sich in einer Gruppe von Schnittstellen anmelden, indem Sie den request services static-subscriber login group group-name Befehl ausführen.

Es sind keine neuen CLI-Anweisungen erforderlich, um das dynamische Profil für statische Abonnenten zu konfigurieren. Das dynamische Profil kann sehr einfach sein; Sie wird bei der Anmeldung aktiviert und bei der Abmeldung deaktiviert. Wenn Sie kein Profil konfigurieren, wird das junos-default-profile automatisch aktiviert.

Während eines GRES-Ereignisses (Graceful Routing-Engine Switchover ) werden aktive statische Abonnenten wiederhergestellt, inaktive Abonnenten werden bereinigt, und die Abmeldung für Abonnenten, die sich gerade abgemeldet haben, wird fortgesetzt.

Schließen Sie die static-subscribers Anweisung auf der [edit system services] Hierarchieebene ein, um statische Abonnenten zu konfigurieren. Schließen Sie die traceoptions Anweisung auf der [edit system processes static-subscribers] Hierarchieebene ein, um Ablaufverfolgungsvorgänge für statische Abonnenten zu konfigurieren.

Sie können das Zugriffsprofil, das dynamische Profil, das Dienstprofil und die Authentifizierung-Parameter für alle statischen Abonnenten oder für eine bestimmte Gruppe statischer Abonnenten konfigurieren:

  • Um das Zugriffsprofil zu konfigurieren, das AAA-Services für den statischen Anwender für alle statischen Anwender auslöst, schließen Sie die access-profile Anweisung auf Hierarchieebene [edit system services static-subscribers] ein. Alternativ können Sie diese Anweisung auf Hierarchieebene [edit system services static-subscribers group group-name] einfügen, um das Profil auf eine bestimmte Gruppe anzuwenden und eine Konfiguration auf oberster Ebene außer Kraft zu setzen.

  • Um das dynamische Profil zu konfigurieren, das instanziiert wird, wenn sich der statische Anwender für alle statischen Abonnenten anmeldet, schließen Sie die dynamic-profile Anweisung auf Hierarchieebene [edit system services static-subscribers] ein. Alternativ können Sie diese Anweisung auf Hierarchieebene [edit system services static-subscribers group group-name] einfügen, um das Profil auf eine bestimmte Gruppe anzuwenden und eine Konfiguration auf oberster Ebene außer Kraft zu setzen. Geben Sie kein dynamisches Profil an, das eine dynamische Schnittstelle erstellt.

  • Um das Dienstprofil für alle statischen Abonnenten auf globaler Ebene und auf Gruppenebene zu konfigurieren, fügen Sie die service-profile Anweisung in .[edit system services static-subscribers group group-name] hierarchy level

  • Um die Authentifizierungsparameter zu konfigurieren, die eine Access-Request-Nachricht an AAA für alle statischen Abonnenten auslösen, schließen Sie die authentication Anweisung auf Hierarchieebene [edit system services static-subscribers] ein. Alternativ können Sie die Anweisung auf der [edit system services static-subscribers group group-name] Hierarchieebene einschließen, um die Authentifizierung für eine bestimmte Gruppe zu konfigurieren und eine Konfiguration auf oberster Ebene außer Kraft zu setzen. Wenn Sie die Authentifizierung nicht konfigurieren, wird standardmäßig der Schnittstellenname geändert und als Standardbenutzername für die Anwendersitzung und die Authentifizierungs-Anforderung verwendet.

Zu den konfigurierbaren Authentifizierungsparametern gehören das Kennwort und Details zur Bildung des Benutzernamens. Fügen Sie die password Anweisung auf der [edit system services static-subscribers authentication] Hierarchieebene ein, um das Authentifizierungskennwort für alle statischen Abonnenten zu konfigurieren. Alternativ können Sie die Anweisung auf der [edit system services static-subscribers group group-name authentication] Hierarchieebene einschließen, um die Authentifizierung für eine bestimmte Gruppe zu konfigurieren und eine Konfiguration auf oberster Ebene außer Kraft zu setzen.

Der Benutzername, der zur Authentifizierung an AAA gesendet wird, muss mindestens eines der folgenden Attribute enthalten:

  • Domainname

  • Benutzer-Präfix

  • Name der Schnittstelle

  • Logischer Systemname

  • Name der Routing-Instanz

Um zu konfigurieren, wie der Benutzername für alle statischen Abonnenten gebildet wird, fügen Sie die gewünschten Anweisungen auf Hierarchieebene [edit system services static-subscribers authentication] ein: domain-name, user-prefix, logical-system-nameoder routing-instance-name. Alternativ können Sie die gewünschten Anweisungen auf der [edit system services static-subscribers group group-name authentication] Hierarchieebene einschließen, um den Benutzernamen für eine bestimmte Gruppe zu konfigurieren und eine Konfiguration auf oberster Ebene außer Kraft zu setzen.

Wenn Sie die Authentifizierungskonfiguration für eine vorhandene Gruppe oder für statische Abonnenten global ändern, hat die Änderung keine Auswirkungen auf vorhandene statische Abonnenten. Die Änderungen werden nur auf alle neuen Anmeldungen angewendet, die nach dem Commit der Änderungen versucht werden.

In einer Gruppenkonfiguration müssen alle Schnittstellen angegeben werden, von denen Sie erwarten, dass sie statische Abonnenten unterstützen. Fügen Sie die interface Anweisung auf der [edit system services static-subscribers group group-name] Hierarchieebene ein, um die Schnittstellen anzugeben. Mit dieser Anweisung können Sie eine einzelne Schnittstelle oder einen Bereich von Schnittstellen angeben.

Sie müssen diese Schnittstellen auch statisch konfigurieren, bevor statische Abonnenten auf ihnen unterstützt werden können. Sie müssen die statischen Schnittstellen im selben logischen System und derselben Routing-Instanz konfigurieren wie die Gruppe, die die Schnittstellen enthält.

Wenn Sie die Schnittstellen ändern, die in einer vorhandenen Schnittstellengruppe enthalten sind, werden vorhandene statische Abonnenten automatisch abgemeldet und dann wieder angemeldet, wenn Sie die Änderungen bestätigen. Änderungen an der Konfiguration der Schnittstelle selbst haben jedoch keine Auswirkungen auf den Anmelde- oder Abmeldestatus des statischen Anwenders, der dieser Schnittstelle zugeordnet ist.

Standardmäßig werden mehrere Abonnenten auf derselben logischen VLAN-Schnittstelle nicht unterstützt. Wenn Sie dieses Verhalten unterstützen möchten, können Sie mehrere Abonnenten auf einer einzigen logischen Schnittstelle auf zwei Arten verwalten. Sie können entweder Attribute wie Firewall-Filter und CoS-Attribute für die mehreren Abonnenten zusammenführen oder die aktuellen Attribute durch die eines neuen Anwenders ersetzen, wenn sich ein neuer Anwender bei der zugrunde liegenden logischen VLAN-Schnittstelle anmeldet.

  • Um die Attributzusammenführung für alle statischen Schnittstellen zu aktivieren, schließen Sie die aggregate-clients merge Anweisung auf Hierarchieebene [edit system services static-subscribers] ein. Alternativ können Sie diese Anweisung auf Hierarchieebene [edit system services static-subscribers group group-name] einfügen, um die Attributzusammenführung für eine bestimmte Gruppe statischer Schnittstellen zu aktivieren und eine Konfiguration der obersten Ebene zu überschreiben.

  • Um die Attributersetzung für alle statischen Schnittstellen zu aktivieren, schließen Sie die aggregate-clients replace Anweisung auf Hierarchieebene [edit system services static-subscribers] ein. Alternativ können Sie diese Anweisung auf Hierarchieebene [edit system services static-subscribers group group-name] einfügen, um die Attributersetzung für eine bestimmte Gruppe statischer Schnittstellen zu aktivieren und eine Konfiguration der obersten Ebene zu überschreiben.

Vorteile von Abonnenten bei statischen Schnittstellen

  • Bietet statischen Abonnenten die Möglichkeit, ein Serviceprofil zu konfigurieren.

  • Bietet eine dynamische Serviceaktivierung für die zugeordneten Anwender mit statisch konfigurierten Schnittstellen.

  • Bietet Wettbewerbsvorteile durch RFC-Konformität.

Abonnenten über statische Schnittstellen Konfigurationsübersicht

In diesem Thema wird das Verfahren zum Konfigurieren von Abonnenten über statische Schnittstellen (statische Abonnenten) beschrieben.

Führen Sie die folgenden Aufgaben aus, bevor Sie Abonnenten über statische Schnittstellen konfigurieren:

  • Konfigurieren Sie die statischen Schnittstellen, auf denen Sie Abonnenten erstellen und verwalten möchten.

  • Erstellen Sie ein Zugriffsprofil, um AAA-Services für statische Abonnenten auszulösen.

  • Erstellen Sie ein dynamisches Profil, das instanziiert wird, wenn sich statische Abonnenten anmelden.

So konfigurieren Sie statische Abonnenten:

  1. Geben Sie das globale Zugriffsprofil an, das AAA-Services für statische Abonnenten auslöst.

    Siehe Angeben des globalen Zugriffsprofils für statische Abonnenten.

  2. Geben Sie das globale dynamische Profil an, das instanziiert wird, wenn sich statische Abonnenten anmelden.

    Siehe Angeben des globalen dynamischen Profils für statische Abonnenten.

  3. Konfigurieren Sie die globale Methode zur Behandlung mehrerer Abonnenten auf einer logischen VLAN-Schnittstelle.

    Weitere Informationen finden Sie unter Aktivieren mehrerer Abonnenten auf einer logischen VLAN-Schnittstelle für alle statischen Teilnehmer

  4. Konfigurieren Sie das Kennwort für die globale Authentifizierung für statische Abonnenten.

    Siehe Konfigurieren des statischen globalen Subscriber-Authentifizierungskennworts.

  5. Konfigurieren Sie den globalen Benutzernamen für statische Abonnenten.

    Siehe Konfigurieren des globalen Benutzernamens des statischen Abonnenten.

  6. Konfigurieren Sie eine Gruppe von Abonnenten so, dass sie Werte gemeinsam nutzen, die sich von der globalen Konfiguration unterscheiden.

    Siehe Erstellen einer statischen Abonnentengruppe.

  7. Geben Sie das Zugriffsprofil für die statische Anwendergruppe an.

    Siehe Angeben des statischen Profils für den Zugriff auf die Anwendergruppe.

  8. Geben Sie das dynamische Profil für die statische Anwendergruppe an.

    Siehe Angeben des dynamischen Profils für die statische Abonnentengruppe.

  9. Geben Sie das Dienstprofil für die statische Anwendergruppe an.

    Siehe Angeben des Serviceprofils für die statische Abonnentengruppe.

  10. Konfigurieren Sie die Methode zum Behandeln mehrerer Abonnenten auf einer logischen VLAN-Schnittstelle für eine statische Anwender-Gruppe.

    Weitere Informationen finden Sie unter Aktivieren mehrerer Abonnenten auf einer logischen VLAN-Schnittstelle für eine statische Abonnentengruppe.

  11. Konfigurieren Sie das Authentifizierungskennwort für die statische Anwender-Gruppe.

    Siehe Konfigurieren des statischen Authentifizierungskennworts für die Abonnentengruppe.

  12. Konfigurieren Sie den Benutzernamen für die statische Anwender-Gruppe.

    Siehe Konfigurieren des Benutzernamens für die statische Abonnentengruppe.

  13. (Optional) Erzwingen Sie, dass ein statischer Anwender von einer Schnittstelle abgemeldet wird.

    Siehe Erzwingen der Abmeldung eines statischen Abonnenten.

  14. (Optional) Aktivieren Sie eine Schnittstelle, um statische Anmeldungen von Anwendern zu akzeptieren.

    Siehe Zurücksetzen des Status einer Schnittstelle für die statische Anwenderanmeldung.

  15. (Optional) Erzwingen Sie die Abmeldung statischer Abonnenten von einer Gruppe von Schnittstellen.

    Siehe Erzwingen der Abmeldung einer Gruppe statischer Abonnenten.

  16. (Optional) Aktivieren Sie eine Gruppe von Schnittstellen für die Annahme statischer Anwender-Anmeldungen.

    Siehe Zurücksetzen des Status einer Schnittstellengruppe für die statische Anwenderanmeldung.

  17. Konfigurieren Sie Ablaufverfolgungsoptionen für die Fehlerbehebung der Konfiguration.

    Informationen zur Problembehandlung finden Sie unter Ablaufverfolgung statischer Abonnentenereignisse.

Beispiel: Konfigurieren statischer Abonnenten für den Anwenderzugriff

Dieses Beispiel zeigt eine statische Konfiguration für Anwender.

  1. Konfigurieren Sie das Zugriffsprofil, das für statische Abonnenten verwendet werden soll.

  2. Konfigurieren Sie das dynamische Profil, das für statische Abonnenten verwendet werden soll.

    Wenn Sie dieses Profil nicht konfigurieren, wird das Standardprofil junos-default-profile verwendet.

  3. Konfigurieren Sie die statischen Schnittstellen, auf denen die statischen Abonnenten geschichtet werden sollen.

  4. Konfigurieren Sie die Parameter, die global für alle statischen Abonnenten im Konfigurationskontext gelten.

  5. Wenn Sie die globalen Parameter für bestimmte statische Abonnenten überschreiben möchten, erstellen Sie eine Gruppe statischer Schnittstellen für diese Abonnenten und konfigurieren Sie die Parameter, die auf diese Gruppe angewendet werden sollen. Wiederholen Sie diesen Schritt für so viele Gruppen, wie Sie benötigen.

  6. Konfigurieren Sie Ablaufverfolgungsoptionen für statische Anwender-Ereignisse.

Angeben des globalen Zugriffsprofils für statischen Abonnenten

Sie geben ein zuvor erstelltes Zugriffsprofil an, das AAA-Services für alle statischen Abonnenten auslöst. Dieser Wert kann für eine Gruppe statischer Abonnenten überschrieben werden, wenn für diese Gruppe ein anderes Profil konfiguriert ist.

So geben Sie das Zugriffsprofil an, das für alle statischen Abonnenten verwendet wird:

  • Geben Sie den Profilnamen an.

Angeben des globalen dynamischen Profils für statischen Abonnenten

Sie geben ein zuvor erstelltes dynamisches Profil an, das instanziiert wird, wenn sich ein statischer Anwender anmeldet. Dieses Profil wird für alle statischen Abonnenten verwendet. Dieser Wert kann für eine Gruppe statischer Abonnenten überschrieben werden, wenn für diese Gruppe ein anderes Profil konfiguriert ist.

So geben Sie das dynamische Profil an, das für alle statischen Abonnenten verwendet wird:

  • Geben Sie den Profilnamen an.

Aktivieren mehrerer Abonnenten auf einer logischen VLAN-Schnittstelle für alle statischen Abonnenten

Für eine bestimmte Schnittstelle ist nur ein einzelner statischer Anwender (oder eine Gruppe) angemeldet. Obwohl diese Vorgehensweise nicht empfohlen wird, haben Sie möglicherweise andere Arten von Abonnenten auf derselben Schnittstelle konfiguriert, z. B. einen DHCP-Anwender, der von der DHCP-Anwendung verwaltet wird. Sie können die aggregate-clients Anweisung verwenden, um das dynamische Profil für alle statischen Abonnenten zu erweitern, damit mehrere Teilnehmer dieselbe logische VLAN-Schnittstelle gemeinsam nutzen können.

Sie können festlegen, dass Attribute (z. B. CoS oder Firewall) für die mehreren Abonnenten für die logische Schnittstelle zusammengeführt werden. Das heißt, die Profile für mehrere Abonnenten unterschiedlicher Typen werden auf der Schnittstelle instanziiert, aber die Profilattribute der einzelnen Benutzer werden zusammengeführt. Alternativ können Sie angeben, dass das instanziierte Profil für den aktuellen Anwender durch das Profil eines neuen Anwenders ersetzt wird, der sich über dieselbe logische Schnittstelle anmeldet. Diese Konfiguration kann für eine Gruppe statischer Abonnenten überschrieben werden, wenn eine andere Konfiguration für diese Gruppe angewendet wird.

Hinweis:

Die aggregate-clients Anweisung wird für die erweiterte Verwaltung von Anwendern nicht unterstützt.

Führen Sie einen der folgenden Schritte aus, damit mehrere Abonnenten dieselbe logische VLAN-Schnittstelle für alle statischen Abonnenten gemeinsam nutzen können:

  • Geben Sie an, dass die verschiedenen Anwenderattribute für die logische Schnittstelle zusammengeführt werden.

  • Legen Sie fest, dass die gesamte logische Schnittstelle ersetzt wird, wenn sich ein neuer Anwender über dieselbe logische VLAN-Schnittstelle beim Netzwerk anmeldet.

Konfigurieren des globalen Authentifizierungskennworts für statischen Abonnenten

Sie konfigurieren ein Kennwort, das in der an AAA gesendeten Zugriffsanforderungsnachricht enthalten ist, um alle statischen Abonnenten zu authentifizieren. Dieser Wert kann für eine Gruppe statischer Abonnenten überschrieben werden, wenn für diese Gruppe ein anderes Kennwort konfiguriert ist.

So geben Sie das Authentifizierungskennwort für alle statischen Abonnenten an:

  • Geben Sie das Kennwort an.

Konfigurieren des globalen Benutzernamens für statischen Abonnenten

Sie konfigurieren, wie der Benutzername gebildet wird. Der Benutzername dient als Benutzername für alle statischen Abonnenten, die erstellt werden, und ist in der Zugriffsanforderungsnachricht enthalten, die an AAA gesendet wird, um alle statischen Abonnenten zu authentifizieren. Dieser Wert kann für eine Gruppe statischer Abonnenten überschrieben werden, wenn für diese Gruppe ein anderer Benutzername konfiguriert ist.

Der Benutzername muss mindestens eines der möglichen Elemente enthalten. Der Wert jedes Elements wird in einer bestimmten Reihenfolge verkettet. Die resultierende Zeichenfolge ist der Benutzername. Wenn Sie ihre Aufnahme angeben, werden der Schnittstellenname, der logische Systemname, der Name der Routing-Instanz und die VLAN-Tags aus dem Konfigurationskontext abgeleitet. Die Elemente sind wie folgt angeordnet (dargestellt mit dem Standardtrennzeichen):

user-prefix.interface.outer-taginner-tag..logical-system-namerouting-instance-name@domain-name

So konfigurieren Sie den Benutzernamen für alle statischen Abonnenten:

  1. (Optional) Geben Sie ein Präfix für den Benutzernamen an.
  2. (Optional) Geben Sie an, dass der Schnittstellenname im Benutzernamen enthalten ist.
  3. (Optional) Geben Sie an, dass die VLAN-Tags (VLAN-IDs), die der statischen Schnittstelle zugeordnet sind, im Benutzernamen enthalten sind. Bei Single-Tagged VLANs ist die Komponente die outer-tag. Bei Dual-Tagged (Stacked) VLANs ist die Komponente . outer-tag-inner-tag Für IP-Demux-Schnittstellen, die für statische Abonnenten konfiguriert sind, werden die auf der zugrunde liegenden Schnittstelle konfigurierten VLAN-Tags verwendet.
  4. (Optional) Geben Sie an, dass der logische Systemname im Benutzernamen enthalten ist.
  5. (Optional) Geben Sie an, dass der Name der Routing-Instanz im Benutzernamen enthalten ist.
  6. (Optional) Geben Sie einen Domänennamen an, der in den Benutzernamen aufgenommen werden soll.
  7. (Optional) Geben Sie ein Trennzeichen an, um die Benutzernamenelemente mit Ausnahme des Domänennamens zu trennen. Dem Domainnamen wird immer das @ Zeichen vorangestellt. Das Standardtrennzeichen ist ein Punkt (.)

Betrachten Sie die folgende Konfiguration:

Diese Beispielkonfiguration wird im logischen Standardsystem und in der Master-Routing-Instanz für die Schnittstelle ge-0/1/1.100 konfiguriert und generiert den folgenden Benutzernamen:

Building5.ge-0-1-1-100.default.master@campus.example.com

Betrachten Sie nun eine andere Konfiguration, bei der die statische Schnittstelle ein Dual-Tagged VLAN mit einer äußeren VLAN-ID von 4040 und einer inneren VLAN-ID von 3000 hat:

Diese Beispielkonfiguration generiert den folgenden Benutzernamen:

Floor12$4040-3000@Bldg5.example.com

Auch wenn ein Trennzeichen von $ konfiguriert ist, werden die äußeren und inneren VLAN-IDs immer durch - getrennt und der Domänenname wird immer durch @die vorhergehenden Elemente getrennt.

Erstellen einer statischen Abonnentengruppe

Sie können die Konfiguration, die global auf statische Anwender angewendet wird, überschreiben, indem Sie eine statische Anwendergruppe erstellen, die aus einer Reihe statisch konfigurierter Schnittstellen besteht. Sie können dann eine allgemeine Konfiguration für die Gruppe mit Werten anwenden, die sich von den globalen Werten für Zugriffs- und dynamische Profile, Kennwort und Benutzername unterscheiden.

So konfigurieren Sie eine Schnittstellengruppe für statische Abonnenten:

  1. Greifen Sie auf die [edit system services static-subscribers] Hierarchieebene zu.
  2. Erstellen Sie die Gruppe und weisen Sie den Namen zu.
  3. Geben Sie die Namen einer oder mehrerer Schnittstellen an, auf denen statische Abonnenten erstellt werden können. Sie können die Schnittstellenanweisung interface-name wiederholen, um mehrere Schnittstellen innerhalb der Gruppe anzugeben, aber Sie können dieselbe Schnittstelle nicht in mehr als einer Gruppe verwenden.
  4. (Optional) Sie können die upto upto-interface-name Option verwenden, um einen Bereich von Schnittstellen für eine Gruppe anzugeben.
  5. (Optional) Sie können die exclude Option verwenden, um eine bestimmte Schnittstelle oder einen bestimmten Bereich von Schnittstellen aus der Gruppe auszuschließen. Zum Beispiel:

Festlegen des Zugriffsprofils für statische Anwendergruppen

Sie können das konfigurierte globale Zugriffsprofil überschreiben, indem Sie ein anderes Profil für eine Gruppe statischer Abonnenten angeben. Das Zugriffsprofil löst AAA-Services für diese Gruppe statischer Abonnenten aus.

So geben Sie das Zugriffsprofil an, das für eine Gruppe statischer Abonnenten verwendet wird:

  • Geben Sie den Profilnamen an.

Angeben des dynamischen Profils für die statische Abonnentengruppe

Sie können das konfigurierte globale dynamische Profil überschreiben, indem Sie ein anderes Profil für eine Gruppe statischer Abonnenten angeben. Das dynamische Profil wird instanziiert, wenn sich ein statischer Anwender in der Gruppe anmeldet.

So geben Sie das dynamische Profil an, das für eine Gruppe statischer Abonnenten verwendet wird:

  • Geben Sie den Profilnamen an.

Angeben des Serviceprofils für die statische Abonnentengruppe

Wenn der externe Richtlinienserver nicht verfügbar ist, können Sie ein dynamisches Standarddienstprofil zuweisen, das auf eine statische Anwendersitzung angewendet wird, indem Sie das Dienstprofil ab Junos OS Version 17.4R1 angeben. Das Serviceprofil kann auf Gruppenebene und auf globaler Ebene angegeben werden. Angeben service-profile der Anweisung auf der [edit system services static-subscribers group group-name] hierarchy level

So geben Sie das Dienstprofil an, das für eine Gruppe statischer Abonnenten verwendet wird:

  • Geben Sie den Namen des dynamischen Dienstprofils an.

Aktivieren mehrerer Abonnenten auf einer logischen VLAN-Schnittstelle für eine statische Teilnehmergruppe

Für eine bestimmte Schnittstelle ist nur eine einzige statische Anwender-Gruppe (oder ein statischer Anwender) angemeldet. Obwohl diese Vorgehensweise nicht empfohlen wird, haben Sie möglicherweise andere Arten von Abonnenten auf derselben Schnittstelle konfiguriert, z. B. einen DHCP-Anwender, der von der DHCP-Anwendung verwaltet wird. Sie können die aggregate-clients Anweisung verwenden, um das dynamische Profil für eine statische Teilnehmergruppe zu erweitern, damit mehrere Anwender dieselbe logische VLAN-Schnittstelle gemeinsam nutzen können.

Sie können festlegen, dass Attribute (z. B. CoS oder Firewall) für die mehreren Abonnenten für die logische Schnittstelle zusammengeführt werden. Das heißt, die Profile für mehrere Abonnenten unterschiedlicher Typen werden auf der Schnittstelle instanziiert, aber die Profilattribute der einzelnen Benutzer werden zusammengeführt. Alternativ können Sie angeben, dass das instanziierte Profil für die aktuelle Anwender-Gruppe durch das Profil eines neuen Anwenders ersetzt wird, der sich über dieselbe logische Schnittstelle anmeldet. Diese Konfiguration überschreibt die Konfiguration, die auf alle statischen Abonnenten angewendet wird, die nicht Mitglieder der Gruppe sind.

Führen Sie einen der folgenden Schritte aus, damit mehrere Abonnenten dieselbe logische VLAN-Schnittstelle für eine statische Anwender-Gruppe gemeinsam nutzen können:

  • Geben Sie an, dass die verschiedenen Anwenderattribute für die logische Schnittstelle zusammengeführt werden.

  • Legen Sie fest, dass die gesamte logische Schnittstelle ersetzt wird, wenn sich ein neuer Anwender über dieselbe logische VLAN-Schnittstelle beim Netzwerk anmeldet.

Konfigurieren des statischen Authentifizierungskennworts für die Anwendergruppe

Sie können das konfigurierte Kennwort für die globale Authentifizierung außer Kraft setzen, indem Sie ein anderes Kennwort für eine Gruppe statischer Abonnenten angeben. Dieses Kennwort ist in der Zugriffsanforderungsnachricht enthalten, die an AAA gesendet wird, um alle statischen Abonnenten in der Gruppe zu authentifizieren.

So geben Sie das Authentifizierungskennwort für eine Gruppe statischer Abonnenten an:

  • Geben Sie das Kennwort an.

Konfigurieren des Benutzernamens für die statische Abonnentengruppe

Sie können den konfigurierten globalen Benutzernamen überschreiben, indem Sie einen anderen Benutzernamen für eine Gruppe statischer Abonnenten angeben. Der Benutzername dient als Benutzername für eine Gruppe statischer Abonnenten, die erstellt wird und in der Access-Request-Nachricht enthalten ist, die an AAA gesendet wird, um diese Gruppe zu authentifizieren.

Der Benutzername muss mindestens eines der möglichen Elemente enthalten. Der Wert jedes Elements wird in einer bestimmten Reihenfolge verkettet. Die resultierende Zeichenfolge ist der Benutzername. Wenn Sie ihre Aufnahme angeben, werden der Schnittstellenname, der logische Systemname, der Name der Routing-Instanz und die VLAN-Tags aus dem Konfigurationskontext abgeleitet. Die Elemente sind wie folgt angeordnet (dargestellt mit dem Standardtrennzeichen):

user-prefix.interface.outer-taginner-tag..logical-system-namerouting-instance-name@domain-name

So konfigurieren Sie den Benutzernamen für eine Gruppe statischer Abonnenten:

  1. (Optional) Geben Sie ein Präfix für den Benutzernamen an.
  2. (Optional) Geben Sie an, dass der Schnittstellenname im Benutzernamen enthalten ist.
  3. (Optional) Geben Sie an, dass die VLAN-Tags (VLAN-IDs), die der statischen Schnittstelle zugeordnet sind, im Benutzernamen enthalten sind. Bei Single-Tagged VLANs ist die Komponente die outer-tag. Bei Dual-Tag-VLANs (Stacked) ist die Komponente die outer-tag-inner-tag. Für IP-Demux-Schnittstellen, die für statische Abonnenten konfiguriert sind, werden die auf der zugrunde liegenden Schnittstelle konfigurierten VLAN-Tags verwendet.
  4. (Optional) Geben Sie an, dass der logische Systemname im Benutzernamen enthalten ist.
  5. Geben Sie an, dass der Name der Routing-Instanz im Benutzernamen enthalten ist.
  6. Geben Sie einen Domänennamen an, der in den Benutzernamen aufgenommen werden soll.
  7. (Optional) Geben Sie ein Trennzeichen an, um die Benutzernamenelemente mit Ausnahme des Domänennamens zu trennen. Dem Domainnamen wird immer das @ Zeichen vorangestellt. Das Standardtrennzeichen ist ein Punkt (.)

Betrachten Sie die folgende Konfiguration für die Anwendergruppe: shipping

Diese Beispielkonfiguration ist im logischen Standardsystem und in der Routing-Instanz R5 für die Schnittstelle ge-0/1/2.50 konfiguriert und generiert den folgenden Benutzernamen:

warehouse3.ge-0-1-2-50.default.R5@campus.example.com

Betrachten Sie nun eine andere Konfiguration für dieselbe Anwender-Gruppe, bei der die statische Schnittstelle ein Single-Tagged VLAN mit der äußeren VLAN-ID 2101 hat:

Diese Beispielkonfiguration generiert den folgenden Benutzernamen:

warehouse3%2101@Bldg5.example.com

Auch wenn ein Trennzeichen von konfiguriert % ist, wird der Domänenname immer durch @die vorhergehenden Elemente getrennt.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.3R1
Die PS/LT-Unterstützung, die in Junos OS Version 18.3R1 eingeführt wurde, ermöglicht die vollständige Verwaltung von Anwendern (entspricht dynamischen Abonnenten) für statisch bereitgestellte Abonnenten, deren Datenverkehr über IP/MPLS-Zugriffsmodelle übertragen wird.