Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Profils dynamiques pour la gestion des abonnés

Présentation des profils dynamiques

Un profil dynamique est un ensemble de caractéristiques qui agit comme une sorte de modèle qui vous permet de créer, mettre à jour ou supprimer une configuration que vous pouvez utiliser pour fournir un accès et des services dynamiques aux abonnés pour les applications haut débit. L’utilisation de ces profils vous permet de consolider tous les attributs communs d’un client ou d’un groupe de clients et d’appliquer simultanément les attributs ou les objets créés dynamiquement. Une fois les profils créés, ils se trouvent sur le routeur dans une bibliothèque de profils.

Vous pouvez gérer dynamiquement les abonnés à l’aide de deux types de profils dynamiques : les profils de clients et les profils de service. Les deux types de profils sont configurés au niveau de la [edit dynamic-profiles] hiérarchie et sont indépendants les uns des autres. Le fait d’utiliser des profils de services dynamiques en plus de vos profils clients dynamiques dépend de la manière dont vous prenez en charge la différenciation entre les abonnés et de la façon dont vous packagez vos services aux abonnés.

Note:

La terminologie des profils dynamiques peut prêter à confusion.

  • Un profil client dynamique peut également être correctement appelé profil d’abonné dynamique.

  • Bien que les profils clients dynamiques soient parfois appelés profils d’accès clients, ce terme crée une confusion avec les profils d’accès configurés au niveau hiérarchique [modifier le profil d’accès profile-name]. Les profils d’accès sont utilisés pour configurer les paramètres d’authentification, de comptabilité et d’autorisation pour l’accès des abonnés, certains attributs de session et les propriétés spécifiques au client pour les sessions L2TP et PPP. Les profils d’accès sont appliqués à différents niveaux de configuration avec l’instruction access-profile .

Profils clients dynamiques et profils de service dynamiques

Les principales différences entre les profils dynamiques des clients et des services dynamiques sont les suivantes :

  • Un profil client dynamique est provisionné et appliqué à la configuration de l’application cliente ; par exemple, DHCP, DHCPv6, L2TP LNS, PPPoE, abonnés statiques et VLAN. Le contenu du profil est appliqué à l’interface logique de la session abonnée. Le plus souvent, les profils clients dynamiques permettent l’instanciation dynamique des interfaces logiques auxquelles le profil est appliqué, mais les profils clients peuvent également être appliqués aux interfaces logiques statiques d’abonnés.

    Un profil client dynamique peut inclure n’importe quelle strophe sous [edit dynamic-profiles profile-name], à l’exception de variables variable-name.

  • Les profils de service dynamiques ne comprennent que les configurations liées aux services, qui sont un sous-ensemble des configurations disponibles dans les profils de clients dynamiques. Ils n’incluent pas d’autres attributs de configuration pour une session d’abonné. Vous ne pouvez pas utiliser un profil de service pour créer ou modifier une interface logique. Un profil de service dynamique complète les profils clients dynamiques utilisés après la création d’interfaces logiques.

    Un profil de service dynamique peut inclure les strophes suivantes sous : , , , protocols, et variablesservices. firewallclass-of-service[edit dynamic-profiles profile-name]

Les profils de clients dynamiques et les profils de services dynamiques se distinguent également par les types de variables qu’ils peuvent utiliser :

  • Les profils clients dynamiques peuvent inclure des variables prédéfinies par défaut, qui définissent des valeurs par défaut pour les variables prédéfinies de Juniper Networks incluses dans le profil. Les valeurs par défaut du profil sont utilisées lorsque RADIUS ne renvoie pas de valeur pour la variable. Consultez la présentation des variables dynamiques et la configuration des valeurs par défaut pour les variables prédéfinies dans un profil dynamique pour obtenir des informations sur les variables prédéfinies.

  • Les profils de service dynamiques peuvent inclure des variables définies par l’utilisateur qui agissent comme des paramètres dans un appel de fonction. Les valeurs variables peuvent être fournies par le serveur RADIUS pour prendre en charge une personnalisation plus spécialisée par abonné. Vous pouvez également définir des valeurs par défaut pour ces variables à utiliser lorsque RADIUS ne fournit pas la valeur. Consultez les variables définies par l’utilisateur dans les profils dynamiques pour obtenir des informations sur les variables définies par l’utilisateur.

  • Les profils clients dynamiques n’incluent pas de variables définies par l’utilisateur. Les profils de service dynamiques n’incluent pas de variables prédéfinies par défaut.

Le tableau 1 répertorie les types de variables prises en charge par les profils d’accès et les profils de service.

Tableau 1 : Types de variables prises en charge dans les profils dynamiques

Type de profil dynamique

Variable prédéfinie Junos OS (local)

Variable prédéfinie (RADIUS) Junos OS

Variable définie par l’utilisateur

Profil d’accès

Oui

Oui

Oui

Profil de service

Oui

Non

Oui

Le tableau 2 répertorie les valeurs, les expressions et les identifiants uniques par défaut pris en charge par les profils d’accès et les profils de service.

Tableau 2 : Valeurs et expressions par défaut prises en charge dans les profils dynamiques

Type de profil dynamique

Valeurs par défaut

Expressions

Identifiants uniques

Profil d’accès

Oui (variables prédéfinies RADIUS uniquement)

Non

Oui (cartes des planificateurs et des planificateurs uniquement)

Profil de service

Oui (variables définies par l’utilisateur uniquement)

Oui (activation des services uniquement)

Oui (filtres de pare-feu uniquement)

Application dynamique de services aux sessions d’abonnés

Vous pouvez configurer les services à appliquer aux sessions des abonnés de plusieurs façons :

  • Incluez des configurations de service pour la session abonnée dans un profil client dynamique. Par exemple, vous pouvez configurer des services de couche 2 tels que la classe de service (CoS) et des services de couche 3 tels que des filtres de pare-feu dynamiques. Les services de couche 3 sont appliqués à la famille d’adresses négociée pour les abonnés DHCP, DHCPv6 et PPPoE. Découvrez l’évolution de la présentation des services CoS.

    Note:

    Un profil client dynamique ne peut pas faire référence à un profil de service dynamique. Il peut uniquement inclure directement des configurations de service.

  • Appliquez un profil de service dynamique à l’aide de votre configuration RADIUS. Le VSA d’activation du service de Juniper Networks (26-65), renvoyé dans le message d’acceptation d’accès RADIUS lorsque l’abonné s’authentifie, peut référencer un profil de service dynamique et, éventuellement, transmettre d’autres paramètres pour le service. Pour les sessions DHCP et PPPoE, ce profil de service est appliqué lorsque la famille d’adresses de la session est activée. Voir la gestion dynamique des services avec RADIUS.

    Vous pouvez utiliser un autre VSA Juniper Networks, Désactiver-Service (26-66), pour désactiver les services dans le message d’acceptation d’accès.

  • Appliquez un profil de service avec un VSA Juniper Networks dans un message RADIUS Change of Authorization (CoA). Vous pouvez utiliser un message CoA pour activer (VSA 26-65) ou désactiver (VSA 26-66) services. Par exemple, un abonné peut choisir d’accepter ou de refuser un service une fois la session établie. Voir la présentation du CoA (Radius-Initiated Change of Authorization).

  • Appliquez un profil de service dynamique en incluant l’instruction service-profile pour référencer le profil dans les configurations du serveur local DHCP, de l’agent de relais DHCP, de L2TP ou des abonnés statiques. Par exemple, voir Spécification du profil de service statique de groupe d’abonnés, Configuration d’un groupe de tunnels L2TP pour les sessions LNS avec des interfaces de services en ligne et Configuration d’un profil d’accès L2TP sur le LNS.

Remplacements de profil dynamique

À partir de la version 14.1 de Junos OS, vous pouvez spécifier un profil dynamique différent dans le VSA client-profil RADIUS [26-174] pour que RADIUS remplace un profil dynamique client configuré. RADIUS renvoie ce VSA à AAA avec d’autres attributs de session client dans le message Access-Accept. L’AAA remplace ensuite l’attribut de nom de profil correspondant dans l’entrée de base de données de sessions du client, et ce nouveau profil est instancié à la place du profil initialement configuré.

Création de versions de profil dynamique

Vous pouvez créer de nouvelles versions de profils dynamiques actuellement utilisés par les abonnés. La création dynamique de versions de profil est activée au niveau de la [edit system] hiérarchie. Lorsque cette option est activée, vous pouvez créer plusieurs versions de tous les profils dynamiques sur le routeur. Tout abonné qui se connecte à la suite d’une modification dynamique de profil utilise la dernière version du profil dynamique. Les abonnés déjà actifs continuent d’utiliser l’ancienne version du profil dynamique jusqu’à ce qu’ils se déconnectent ou que leur session se termine.

Lors de la création de versions de profils dynamiques, gardez à l’esprit les éléments suivants :

  • Vous devez activer ou désactiver la création dynamique de la version de profil avant de créer ou d’utiliser des profils dynamiques sur le routeur. L’activation ou la désactivation de la création de versions de profil dynamiques après la configuration des profils dynamiques n’est pas prise en charge.

    Note:

    Avant de pouvoir activer ou désactiver la création de version de profil dynamique pour un routeur sur lequel des profils dynamiques sont configurés, vous devez d’abord supprimer tous les profils dynamiques de la configuration du routeur.

  • Chaque version d’un profil dynamique est stockée dans la base de données de profils sous la forme d’un nouveau profil.

  • Le nom de la nouvelle version de profil est dérivé en ajoutant une chaîne au nom du profil dynamique de base d’origine. Cette chaîne contient deux caractères de signe dollar ($) pour identifier le champ de version du nom du profil. Ces deux caractères sont suivis de caractères numériques qui représentent le « numéro de version » du profil dynamique (par exemple, 01).

  • Le numéro de version du profil dynamique est automatiquement généré par le système.

  • Le profil dynamique que vous modifiez est toujours stocké sous la dernière version. Vous ne pouvez pas créer un profil dynamique modifié et l’enregistrer dans une version antérieure. Par exemple, si vous modifiez la version 3 d’un profil dynamique pendant qu’il est en cours d’utilisation, le profil dynamique est enregistré en tant que version 4.

  • Vous pouvez uniquement modifier la dernière version d’un profil dynamique.

  • La valeur maximale du numéro de version est 99999. Toutefois, pour chaque profil, seules 10 versions actives sont prises en charge à la fois.

  • Si la version dynamique du profil que vous modifiez n’est utilisée par aucun abonné, le profil est remplacé par des modifications validées sans créer de nouvelle version.

  • Après avoir atteint la 99999e version modifiée d’un profil dynamique, toute autre modification du profil dynamique entraîne l’écrasement de cette version finale. Si la version finale est en cours d’utilisation, toute tentative de modification échoue lors de la validation.

  • Vous pouvez supprimer un profil dynamique uniquement lorsqu’aucune de ses versions n’est en cours d’utilisation.

  • La fonctionnalité de version de profil dynamique prend en charge le redémarrage progressif et l’issu unifié.

Vérification sémantique dynamique des profils

Les variables sont appliquées dynamiquement aux profils dynamiques et ne peuvent pas être vérifiées avec les commandes CLI existantes. La vérification sémantique valide certaines variables dans les profils dynamiques pour aider à identifier les erreurs de configuration potentielles.

Des vérifications sémantiques sont effectuées lors de la validation et de l’instanciation du profil. Les vérifications du temps de validation s’assurent que les variables apparaissent au bon emplacement dans le profil dynamique. Les vérifications effectuées avant l’instanciation du profil s’assurent que les valeurs qui remplacent les variables sont correctes. Les vérifications effectuées sur les valeurs sont les suivantes :

  • Validation de la plage

  • Validation des types de variables

  • Existence de variables pour lesquelles elles sont obligatoires

  • Correspondance des variables aux expressions régulières

Un échec de vérification du temps de validation entraîne l’affichage d’un message d’erreur et l’échec de /var/log/messages la validation. Une défaillance d’instanciation entraîne une erreur enregistrée dans le fichier et l’instanciation /var/log/messages du profil défaillante.

Configuration d’un profil dynamique de base

Cette rubrique explique comment créer un profil dynamique de base. Un profil de base doit contenir un nom de profil et avoir à la fois un nom de variable d’interface (tel que $junos-interface-ifd-name) inclus au niveau de la hiérarchie et un [edit dynamic-profiles profile-name interfaces nom de variable d’interface logique (tel que $junos-underlying-interface-unit ou $junos-interface-unit) au niveau de la [edit dynamic-profiles profile-name interfaces variable-interface-name unit] hiérarchie.

Avant de configurer des profils dynamiques pour l’accès initial au client :

  1. Configurez les interfaces de routeur nécessaires que vous souhaitez que les clients DHCP utilisent lors de l’accès au réseau.

    Consultez la présentation de l’interface des abonnés DHCP pour obtenir des informations sur les types d’interfaces que vous pouvez utiliser avec des profils dynamiques et sur la façon de les configurer.

  2. Configurez toutes les valeurs RADIUS que vous souhaitez que les profils utilisent lors de la validation des clients DHCP pour l’accès au réseau multicast.

    Voir les paramètres et les serveurs RADIUS pour l’accès des abonnés

Pour configurer un profil dynamique de base :

  1. Nommez le profil.
  2. Définissez l’instruction interface-name avec la variable interne $junos-interface-ifd-name utilisée par le routeur pour correspondre au nom de l’interface de l’interface de réception.
  3. Définissez l’instruction unit avec la variable interne :

    • Lorsque vous faites référence à une interface existante, spécifiez la $junos-underlying-interface-unit variable utilisée par le routeur pour correspondre à la valeur unitaire de l’interface de réception.

    • Lors de la création d’interfaces dynamiques, spécifiez la $junos-interface-unit variable utilisée par le routeur pour générer une valeur unitaire pour l’interface.

    Ou

Documentation connexe

Tableau de l’historique des versions
Libération
Description
14.1
À partir de la version 14.1 de Junos OS, vous pouvez spécifier un profil dynamique différent dans le VSA client-profil RADIUS [26-174] pour que RADIUS remplace un profil dynamique client configuré.