Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Opciones (Perfil de acceso)

 

Sintaxis

Nivel de jerarquía

Release Information

Instrucción introducida en Junos OS versión 9,1.

Declaración introducida en la versión 9,1 Junos OS para conmutadores de la serie EX.

juniper-dsl-attributesse introdujo en Junos OS versión 11,4.

nas-port-id-delimiterse introdujo en Junos OS versión 11,4. Instrucción introducida en Junos OS versión 13.2 X50-D10 para los conmutadores de la serie EX.

calling-station-id-delimiterse introdujo en Junos OS versión 13,1.

ip-address-change-notifyse introdujo en Junos OS versión 13,1.

coa-dynamic-variable-validation, client-authentication-algorithmy client-accounting-algorithm se introdujo en Junos os versión 13.2 x50-D10 para conmutadores de la serie ex.

remote-circuit-id-delimiter, remote-circuit-id-fallbacky remote-circuit-id-format se presentó en Junos os versión 13.3 R1 en la serie mx.

chap-challenge-in-request-authenticatorse introdujo en Junos OS versión 15,1.

nas-identifierpresentada en Junos OS versión 15.1 a X49-D110 para los dispositivos de las series SRX300, SRX320, SRX340, SRX345 y SRX550M.

service-activationse introdujo en Junos OS versión 16,2.

juniper-access-line-attributesintroducido en Junos OS versión 19.2 R1

Descripción

Configure las opciones utilizadas por los servidores de autenticación RADIUS y cuentas.

Opciones

formato-ID-sesión-cuenta(Serie EX, sólo serie MX) Configure el formato que el enrutador o modificador utiliza para identificar la sesión de contabilidad. El valor predeterminado decimales.

Valores:

  • decimal—utilice el formato decimal.

  • Descripción—utilice el formato genérico, con la forma: jnpr interface-specifier:subscriber-session-id.

delimitador de ID. de estación de llamada(Serie MX, solo serie T) A partir de Junos OS versión 13,1, especifique el carácter que el enrutador utilizará como separador entre los valores concatenados de la cadena llamada-estación-ID (RADIUS IETF Attribute 31). El enrutador utiliza el delimitador cuando se configura más de un valor calling-station-id-format en la instrucción. El valor predeterminado es el carácter#de hash ().

Valores:

  • delimitador-carácter—Carácter que se va a utilizar para el delimitador. Debe escribir el carácter delimitador entre comillas (“ ”).

desafío-en-solicitud-autenticador de CHAP(Sólo serie MX) A partir de Junos OS versión 15,1, configure el authd proceso para insertar el desafío aleatorio generado por el NAS en el campo autenticador de solicitud de los paquetes de solicitud de acceso, si el valor de desafío es de 16 bytes de longitud. Si habilita la chap-challenge-in -request-authenticator instrucción y el desafío aleatorio no tiene una longitud de 16 bytes authd , pasará por alto la instrucción y utilizará el comportamiento predeterminado, que inserta el desafío aleatorio como atributo de CHAP-challenge (RADIUS atributo 60) en paquetes de solicitud de acceso.
algoritmo de cliente-cuenta(Serie EX, sólo serie MX) A partir de Junos OS Release 13.2 X50-D10 para conmutadores de la serie EX, configure el método de acceso que utiliza el enrutador para obtener acceso a servidores de contabilidad RADIUS. El valor predeterminado es direct la opción.

Valores:

  • Utilice—directamente el método directo.

  • operación—por turnos utilice el método Round Robin.

algoritmo de autenticación de cliente(Serie EX, M Series, sólo serie MX) A partir de Junos OS versión 13.2 X50-D10 para conmutadores de la serie EX, configure el método que el autenticador utiliza para tener acceso a los servidores de autenticación de RADIUS cuando hay varios servidores configurados. Inicialmente, un cliente de RADIUS envía una solicitud a un servidor de autenticación o de cuentas de RADIUS. El enrutador o conmutador, que actúa como autenticador, espera una respuesta del servidor antes de enviar otra solicitud.

Cuando hay varias conexiones de servidor RADIUS configuradas para un cliente, el autenticador intenta alcanzar los distintos servidores en el orden en que están configurados. Si no hay respuesta del primer servidor RADIUS, el autenticador intenta alcanzar el siguiente RADIUS Server. Este proceso se repite hasta que se concede acceso al cliente o porque no hay más servidores configurados.

Si el direct método está configurado, el autenticador siempre tratará el primer servidor de la lista como servidor principal. El autenticador pasa al segundo servidor sólo si se produce un error al intentar llegar al primer servidor. Si el round-robin método está configurado, el servidor elegido se rotará en primer lugar, basándose en el último servidor utilizado. El primer servidor de la lista se considera primario para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes como promedio para que ningún servidor único tenga que gestionar todas las solicitudes.

Nota

No round-robin se recomienda utilizar el método de acceso con conmutadores de la serie ex.

Default: El valor predeterminado es direct la opción.

Valores:

  • Utilice—directamente el método de acceso directo. El autenticador se pone en contacto con el primer servidor RADIUS de la lista para cada solicitud, el segundo servidor si el primero no funciona, y así sucesivamente.

  • operación—por turnos utilice el método Round Robin. El autenticador se pone en contacto con el primer servidor RADIUS para la primera solicitud, el segundo servidor para la segunda solicitud, y así sucesivamente.

COA-validación de variables dinámicas(Serie EX, M Series, sólo serie MX) A partir de Junos OS Release 13.2 X50-D10 para conmutadores de la serie EX, especifique que cuando una operación de CoA incluye un cambio en una variable dinámica de Perfil de cliente que no se puede aplicar (como una actualización a un filtro que no existe), el enrutador no aplica ningún cambio al cliente generar perfiles de variables dinámicas en la solicitud y responder con un mensaje NACK.

Default: Si no configura esta instrucción, el enrutador no aplica ninguna actualización de variables incorrecta, sino que realiza cualquier otro cambio en las variables dinámicas del perfil de cliente y responde con un mensaje ACK.

Ethernet-Port-Type-virtual(Serie EX, M Series, sólo serie MX) Especifique el tipo de puerto físico que el enrutador o conmutador utiliza para autenticar a los clientes. De forma predeterminada, el enrutador o ethernet conmutador pasa un tipo de puerto en RADIUS atributo 61 (tipo NAS-puerto). Esta instrucción especifica el tipo de puerto virtualde.
Nota

Esta instrucción tiene prioridad sobre la nas-port-type instrucción si se incluyen ambas en el mismo perfil de acceso.

Access-Loop-ID-localEspecifica que el ID de agente remoto y el ID del circuito del agente se generan localmente cuando estos valores no están presentes en la base de datos cliente.
notificación de cambio de dirección-IP(Sólo serie MX) A partir de Junos OS versión 13,1, para la asignación de direcciones a pedido para suscriptores de PPP de dos pilas, especifique que BNG incluye el VSA de control de versión IPv4–(26 164) en la solicitud de acceso que se envía durante la asignación de direcciones IP a pedido y en los mensajes de cuentas provisionales que se envían para informar sobre un cambio de dirección. La configuración de esta instrucción no tiene ningún efecto si no se configura la asignación o desasignación de dirección IP a pedido.

Opcionalmente, configure un mensaje que se incluya en VSA cuando se envíe al servidor RADIUS.

Default: Esta funcionalidad está deshabilitada de forma predeterminada.

Valores: message—Mensaje de VSA.

Rango: Hasta 32 caracteres.

atributos de línea de acceso de JuniperConfigure AAA para agregar VSA de la línea de acceso Juniper Networks a los mensajes de solicitud de autenticación y contabilidad RADIUS para los suscriptores. Si el enrutador no ha recibido y procesado los atributos de ANCP correspondientes del nodo de acceso, AAA proporciona sólo lo siguiente en estos mensajes RADIUS:
  • Velocidad de QoS calculada de forma descendente (IANA 4874, 26-141—) velocidad de transmisión de documento de asesoría configurada predeterminada.

  • Velocidad de QoS calculada de nivel superior (IANA 4874, 26-142)—velocidad de recepción de documento predefinido establecida.

Nota

A partir de Junos OS versión 19.2 R1, juniper-access-line-attributes la opción sustituye juniper-dsl-attributes a la opción. La diferencia entre estas opciones radica en juniper-dsl-attributes que solo se admiten TLVS de DSL recibidos en el mensaje de estado del puerto ANCP. Esta juniper-access-line-attributes opción admite pon TLVs, además de DSL TLVs, y será ampliable a tecnologías futuras de acceso.

Para mantener la compatibilidad con las secuencias de juniper-dsl-attributes comandos existentes, la opción redirecciona a la nueva juniper-access-line-attributes opción. Recomendamos que utilice juniper-access-line-attributesel.

Nota

La juniper-access-line-attributes opción no es compatible con Junos OS versión 19,1 o con versiones anteriores. Esto significa que si ha configurado juniper-access-line-attributes la opción en Junos OS versión 19,2 o versiones superiores, debe seguir estos pasos para cambiar a Junos OS versión 19,1 o versiones anteriores:

  1. Elimine juniper-access-line-attributes la opción de todos los perfiles de acceso en los que se incluya.

  2. Realice la degradación del software.

  3. Agregue la juniper-dsl-attributes opción a los perfiles de acceso afectados.

Default: Los VSA de la línea de acceso Juniper Networks no se agregan a los mensajes de solicitud RADIUS autenticación y cuentas. Sin embargo, de forma predeterminada—, el—Foro DSL VSA, si está disponible, se agrega a los mensajes de RADIUS.

identificador de NAS(Serie EX, serie MX, sólo serie SRX) Configure el valor para el atributo RADIUS del cliente 32 (NAS-Identifier). Este atributo se utiliza para las solicitudes de autenticación y cuentas. Esta declaración se presentó en Junos OS Release 15.1 X49-D110 para los dispositivos de la serie SRX300, SRX320, SRX340, SRX345 y SRX550M.

Valores: identificador-valor—Cadena que se va a usar para las solicitudes de autenticación y administración de cuentas.

Rango: 1 a 64 caracteres.

delimitador de ID de Puerto-NAS(Sólo serie MX) A partir de Junos OS versión 11,4, especifique el carácter que el enrutador utilizará como separador entre los valores concatenados de la cadena NAS-Port-ID. El enrutador utiliza el delimitador cuando se configura más de un valor nas-port-id-format en la instrucción. El valor predeterminado es el carácter#de hash (). Esta instrucción se introdujo en Junos OS versión 13.2 X50-D10 para los conmutadores de la serie EX.

Valores: delimitador-carácter—Carácter utilizado para el delimitador.

delimitador de ID. de circuito remoto(Sólo serie MX) A partir de Junos OS versión de 13,3 R1 en la serie MX, configure un carácter delimitador para la cadena de ID. remote-circuit-id-format de circuito remoto cuando utilice la instrucción para configurar la cadena que se utilizará en lugar del identificador de estación de llamada en el número de llamada de L2TP AVP 22. Si se configura más de un valor para el formato del ID del circuito remoto, el carácter delimitador se utiliza como separador entre los valores concatenados en la cadena del identificador de circuito remoto resultante. El valor predeterminado es el carácter#de hash ().

Valores: campos—Carácter delimitador que se va a usar entre los componentes de la cadena de ID.

ID. de circuito remoto: recuperación tras un fallo(Sólo serie MX) A partir de Junos OS versión 13.3 R1 en la serie MX, configure el valor de reserva para el CONCENTRADOr de arranque para que se envíe en el número de llamada L2TP AVP 22, ya sea en el ID de estación de llamada configurada o en la interfaz subyacente predeterminada. El uso del valor fallback se activa cuando los componentes de la cadena de reemplazo que configuró con remote-circuit-id-format la—instrucción ACI, Ari o tanto ACI como Ari—no son recibidos por el concentrador en el paquete solicitud de detección activa (padr) de PPPoE.

Valores:

  • configurable-Station-ID—envía el ID. de la estación de llamada configurada en el número de llamada AVP.

  • predeterminado—envíe el valor de interfaz subyacente al número de llamada AVP.

formato de ID de circuito remoto(Sólo serie MX) A partir de Junos OS versión 13.3 R1 en la serie MX, configure el formato de la cadena que suplanta el formato del identificador de la estación de llamada en el número de llamada AVP 22 enviado por el CONCENTRADOr de bloqueos en el paquete de LNS del ICRQ cuando se establece una sesión L2TP. Puede especificar el ACI, la ARI o ambos, el ACI y la ARI. Esta instrucción le permite desacoplar el valor AVP 22 del atributo de identificación de la estación de llamada de RADIUS (31); los valores de AVP 22 y el atributo de ID. de la estación de llamada son iguales cuando se calling-station-id-format usa la instrucción para configurar AVP 22.
Nota

Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el número de llamada AVP.

Valores:

  • Agent-circuito-ID—especifica el uso de la cadena ACI que identifica de forma exclusiva al’nodo acceso s suscriptor y a la línea de suscriptor digital (ADSL) en el nodo de acceso. Para el tráfico de PPPoE, la cadena ACI se encuentra en el VSA del agente de identificación de circuito (26-1] de inicio de descubrimiento activo de PPPoE (PADI) y paquetes de control de solicitud de detección activa de PPPoE (PADR).

  • Agent-Remote-—id especifica el uso de la cadena Ari que identifica al suscriptor en la interfaz del multiplexor de acceso a la línea de suscriptor digital (DSLAM) que inició la solicitud de servicio. La cadena de identificación remota del agente (ARI) se almacena en DSL Forum Agent-Remote-ID VSA [26-2] para el tráfico de PPPoE.

activación de servicio(Sólo serie MX) A partir de Junos OS versión 16,2, especifique si los suscriptores pueden iniciar sesión incluso cuando se produzcan errores de activación del servicio relacionados con errores de configuración durante el procesamiento de solicitudes de activación familiar por autenticación para un suscriptor recién autenticado. Los errores de configuración incluyen Sintaxis incorrecta o ausente, referencias faltantes o incompletas a perfiles dinámicos, y variables que faltan o son incompletas.
Nota

Esta configuración no se aplica a servicios activados por RADIUS solicitudes de CoA, mensajes de solicitud de perfil push de JSRC (PPR) o políticas seguras para suscriptores.

Puede habilitar configuraciones independientes para los servicios de inicio de sesión de service-activation suscriptor para dos tipos: dynamic-profiley extensible-service. Los dynamic-profile servicios de tipos se configuran en el perfil [edit dynamic-profiles] dinámico en el nivel de jerarquía; el perfil se utiliza para proporcionar acceso a suscriptores dinámicos y servicios para aplicaciones de banda ancha. El extensible-service tipo es para servicios empresariales configurados en una secuencia de comandos de operación y aprovisionados por el demonio del administrador de servicios de suscriptor extensible (essmd).

Default:

El comportamiento predeterminado depende del tipo de servicio:

  • Para extensible-service los servicios: optional-at-login.

  • Para dynamic-profile los servicios: required-at-login.

Valores:

  • la activación del servicio opcional—de inicio de sesión es opcional. Un error debido a errores de configuración no impide la activación de la familia de direcciones; permite el acceso a los suscriptores. Si se produce un error por cualquier otro motivo, la activación de la familia de redes fallará. Si ninguna otra familia de red ya está activa para el suscriptor, entonces la aplicación cliente cierra la sesión del suscriptor.

  • se requiere la activación del—servicio "at-login". Si se produce un error por cualquier motivo, la solicitud de activación de la familia de redes para esa familia de redes no se podrá llevar a cabo. Si ninguna otra familia de red ya está activa para el suscriptor, entonces la aplicación cliente cierra la sesión del suscriptor.

formato enpilado de VLAN-NAS: de Puerto(Sólo serie MX) Configure RADIUS atributo 5 (NAS-Port) para incluir el ID de S-VLAN, además del ID de VLAN, para suscriptores en interfaces Ethernet.

Las sentencias restantes se explican por separado. Busque una instrucción en el Explorador de la CLI o haga clic en una instrucción vinculada de la sección sintaxis para obtener más detalles.

Nivel de privilegio requerido

administrador—para ver esta instrucción en la configuración.

admin-control—para agregar esta instrucción a la configuración.