SUR CETTE PAGE
Utilisation de requêtes dynamiques RADIUS pour la gestion des accès abonnés
Configuration de la prise en charge des demandes dynamiques initiées par RADIUS
Présentation du changement d’autorisation (CoA) initié par RADIUS
Présentation des connexions de session d’abonnés et des échecs d’activation de service
Configuration de la façon dont les échecs d’activation de service affectent la connexion des abonnés
Codes de cause d’erreur (attribut RADIUS 101) pour les requêtes dynamiques
Gestion dynamique des services avec RADIUS
Utilisation de requêtes dynamiques RADIUS pour la gestion des accès abonnés
Les requêtes dynamiques RADIUS offrent un moyen efficace de gérer de manière centralisée les sessions d’abonnés. La prise en charge des requêtes dynamiques RADIUS par le cadre de services AAA permet aux serveurs RADIUS de lancer des opérations liées à l’utilisateur, telles qu’une opération de résiliation, en envoyant des messages de demande non sollicités au routeur. Sans la fonctionnalité de requête dynamique RADIUS, la seule façon de déconnecter un utilisateur RADIUS est de se connecter au routeur, ce qui peut s’avérer fastidieux et chronophage sur les grands réseaux.
Dans un environnement RADIUS client-serveur classique, le routeur fonctionne comme le client et initie les requêtes envoyées au serveur RADIUS distant. Toutefois, lors de l’utilisation de requêtes dynamiques RADIUS, les rôles sont inversés. Par exemple, lors d’une opération de déconnexion, le serveur RADIUS distant agit en tant que client et lance la demande (l’action de déconnexion) - le routeur fonctionne comme le serveur dans la relation.
Vous créez un profil d’accès pour configurer le routeur afin qu’il prenne en charge les requêtes dynamiques RADIUS. Cette configuration permet au routeur de recevoir et d’agir sur les types de messages suivants provenant de serveurs RADIUS distants :
Messages d’accès-acceptation : activez dynamiquement les services en fonction des attributs des messages d’accès-acceptation RADIUS reçus lorsqu’un abonné se connecte.
Messages de changement d’autorisation (CoA) : modifiez dynamiquement les sessions actives en fonction des attributs des messages CoA. Les messages CoA peuvent inclure des demandes de création de service, des demandes de suppression, des attributs RADIUS et des VSA Juniper Networks.
Déconnecter les messages : mettez immédiatement fin aux sessions d’abonnés spécifiques.
Par défaut, le routeur surveille le port UDP 3799 pour les demandes CoA provenant des serveurs RADIUS. Vous pouvez également configurer un port autre que celui par défaut pour les serveurs RADIUS. Vous devez soit utiliser le port par défaut pour tous les serveurs RADIUS, soit configurer le même port différent par défaut pour tous les serveurs RADIUS. Cette règle s’applique à la fois au niveau de l’accès global et du profil d’accès.
Toute autre configuration entraîne l’échec de la vérification de la validation. Les numéros de port multiples, c’est-à-dire différents numéros de port pour différents serveurs, ne sont pas pris en charge.
Avantages des requêtes dynamiques Radius
Simplifie la gestion centralisée des sessions d’abonnés en envoyant des modifications non sollicitées aux sessions d’abonnés, y compris les modifications d’attributs, l’activation et la désactivation de services, ainsi que l’arrêt de sessions.
Voir aussi
Configuration de la prise en charge des demandes dynamiques initiées par RADIUS
Le routeur utilise la liste des serveurs d’authentification RADIUS spécifiés pour les opérations d’authentification et de demande dynamique. Par défaut, le routeur surveille le port UDP 3799 pour les demandes dynamiques, également appelées demandes de changement d’autorisation (CoA).
Pour configurer la prise en charge des requêtes dynamiques RADIUS :
Spécifiez l’adresse IP du serveur RADIUS.
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3
Pour configurer le routeur afin qu’il prenne en charge les requêtes dynamiques provenant de plusieurs serveurs RADIUS :
Spécifiez les adresses IP de plusieurs serveurs RADIUS.
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3 192.168.10.15
Lorsque vous configurez des ports de demande dynamiques, vous devez effectuer l’une des opérations suivantes :
Utilisez le port par défaut pour tous les serveurs RADIUS au niveau d’accès global et dans tous les profils d’accès.
Configurez le même port différent par défaut pour tous les serveurs, à la fois au niveau d’accès global et dans tous les profils d’accès.
Toute autre configuration entraîne l’échec de la vérification de la validation. Les numéros de port multiples, c’est-à-dire différents numéros de port pour différents serveurs, ne sont pas pris en charge.
Pour spécifier un port de demande dynamique global :
[edit access] user@host# set radius-server server-address dynamic-request-port port-number
Pour spécifier le port de demande dynamique pour un profil d’accès spécifique :
[edit access] user@host# set profile profile-name radius-server server-address dynamic-request-port port-number
Considérez les scénarios suivants :
La configuration suivante utilise le port par défaut pour un serveur global et un serveur différent dans le profil d’accès. Il s’agit d’une configuration valide.
[edit access] user@host# set radius-server 192.0.2.1 user@host# set profile ap1 radius-server 192.0.2.3
La configuration suivante spécifie le port 50201 qui n’est pas par défaut pour un serveur global et un serveur différent dans le profil d’accès. Il s’agit d’une configuration valide.
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.3 dynamic-request-port 50201
La configuration suivante spécifie le port 50201 globalement pour un serveur et le port 51133 pour le même serveur dans le profil d’accès ap1. Il s’agit d’une configuration non valide et la vérification de la validation échoue, car plusieurs ports autres que ceux par défaut ne sont pas pris en charge.
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.1 dynamic-request-port 51133
La configuration suivante utilise le port par défaut 3799 pour un serveur global et le port 51133 pour un autre serveur globalement. Il s’agit d’une configuration non valide et la vérification de la validation échoue, car pour tous les serveurs, vous devez configurer soit le port par défaut, soit le même port non par défaut.
[edit access] user@host# set radius-server 192.0.2.1 user@host# set radius-server 192.0.2.3 dynamic-request-port 51133
Voir aussi
Présentation du changement d’autorisation (CoA) initié par RADIUS
Le Service Framework AAA utilise des messages CoA pour modifier dynamiquement les sessions d’abonnés actifs. Par exemple, les attributs RADIUS dans les messages CoA peuvent demander à l’infrastructure de créer, de modifier ou de résilier un service d’abonné. Vous pouvez également utiliser les messages CoA pour définir ou modifier les seuils d’utilisation des services d’abonnés actuels.
- CoA Messages
- Critères d’admissibilité au changement d’autorisation
- Échange de messages
- Transactions CoA en bloc
- Avantages d’un changement d’autorisation initié par Radius
CoA Messages
La prise en charge dynamique des requêtes permet au routeur de recevoir et de traiter des messages CoA non sollicités provenant de serveurs RADIUS externes. Les messages CoA initiés par RADIUS utilisent les codes suivants dans les messages de demande et de réponse :
Demande CoA (43)
CoA-ACK (44)
CoA-NAK (45)
Critères d’admissibilité au changement d’autorisation
Pour terminer le changement d’autorisation d’un utilisateur, vous spécifiez des attributs d’identification et des attributs de session. Les attributs d’identification identifient l’abonné. Les attributs de session spécifient l’opération (activation ou désactivation) à effectuer sur la session de l’abonné et incluent également les attributs client de la session (par exemple, les attributs QoS). Le cadre de service AAA gère la requête proprement dite.
Le Tableau 1 présente les attributs d’identification des opérations CoA.
Attribut |
Descriptif |
|---|---|
Nom d’utilisateur [Attribut RADIUS 1] |
Nom d’utilisateur de l’abonné. |
acct-session-ID [attribut RADIUS 44] |
Session d’abonné spécifique. |
L’utilisation de l’attribut Acct-Session-ID pour identifier la session de l’abonné est plus explicite que l’utilisation de l’attribut User-Name. Lorsque vous utilisez le nom d’utilisateur comme identificateur, l’opération CoA est appliquée à la première session qui a été connectée avec le nom d’utilisateur spécifié. Toutefois, étant donné qu’un abonné peut avoir plusieurs sessions associées au même nom d’utilisateur, la première session peut ne pas être la bonne session pour l’opération CoA.
Lorsque vous utilisez l’attribut Acct-Session-ID, il identifie la session d’abonné spécifique, évitant ainsi cette erreur potentielle. Bien que l’attribut Acct-Session-ID puisse inclure un spécificateur d’interface en plus de l’ID de session, lorsque l’attribut est au format de description, seul l’ID de session est utilisé pour la correspondance des abonnés. Par exemple, si l’abonné a un ID de session d’abonné de 54785, alors l’abonné est mis en correspondance lorsque l’attribut Acct-Session-ID est 54785 (format décimal), ou jnpr demux0.1073759682:54785 (format de description), ou effectivement any value:54785 (format de description).
Le Tableau 2 présente les attributs de session pour les opérations CoA. Tous les attributs client supplémentaires que vous incluez dépendent de vos exigences de session particulières.
Attribut |
Descriptif |
|---|---|
Service d’activation [VSA 26-65 de Juniper Networks] |
Service à activer pour l’abonné. |
Service de désactivation [VSA 26-66 de Juniper Networks] |
Service à désactiver pour l’abonné. |
Volume des services [VSA 26-67 de Juniper Networks] |
Quantité de trafic, en Mo, pouvant utiliser le service ; est désactivé lorsque le volume est dépassé. |
Délai d’expiration des services [VSA 26-68 de Juniper Networks] |
Nombre de secondes pendant lesquelles le service peut être actif ; est désactivé à l’expiration du délai d’expiration. |
Service-Volume-Gigawords [Juniper Networks VSA 26-179] |
Quantité de trafic, en unités de 4 Go, pouvant utiliser le service ; est désactivé lorsque le volume est dépassé. |
Service de mise à jour [VSA 26-180 de Juniper Networks] |
Nouvelles valeurs de service et quotas de temps pour les services existants. |
Échange de messages
Le serveur RADIUS et le Service Framework AAA sur le routeur échangent des messages à l’aide d’UDP. Le message de demande CoA envoyé par le serveur RADIUS a le même format que le paquet de demande de déconnexion envoyé pour une opération de déconnexion.
La réponse est soit un message CoA-ACK, soit un message CoA-NAK :
Si le cadre de services AAA modifie l’autorisation avec succès, la réponse est un paquet au format RADIUS avec un message CoA-ACK, et le filtre de données est appliqué à la session.
Si AAA Service Framework échoue, si la requête est mal formée ou si des attributs sont manquants, la réponse est un paquet au format RADIUS avec un message CoA-NAK.
Le Service Framework AAA traite une requête dynamique à la fois par abonné. Si l’infrastructure reçoit une deuxième demande dynamique (un autre CoA ou une demande de déconnexion) lors du traitement d’une demande précédente pour le même abonné, l’infrastructure répond par un message CoA-NAK. À partir de la version 15.1R5 de Junos OS, les messages de nouvelle tentative de demande CoA sont ignorés et aucune réponse à leur CoA-NAK n’est envoyée.
Transactions CoA en bloc
À partir de la version 17.2R1 de Junos OS, les demandes CoA en bloc sont prises en charge afin d’améliorer l’efficacité du traitement des services d’abonné basés sur RADIUS sur la BNG. La fonctionnalité CoA en masse permet d’accumuler une série de demandes CoA et de les valider toutes ensemble, en masse, automatiquement.
Tous les services d’une demande CoA groupée doivent concerner la même session d’abonné.
Les transactions CoA en vrac sont particulièrement précieuses pour les services aux entreprises. Les services d’abonnés basés sur RADIUS utilisent les VSA de Juniper Networks, Activate-Service (26-65) et Deactivate-Service (26-66). Les VSA sont fournis dans les messages d’acceptation RADIUS lors de la connexion ou dans les demandes CoA après la connexion.
Pour les services conventionnels basés sur des profils de service dynamiques, vous pouvez facilement intégrer jusqu’à 12 activations de service dans l’un ou l’autre des messages RADIUS. Toutefois, les services basés sur des scripts opérationnels utilisés par les entreprises ont généralement des exigences de mise à l’échelle qui dépassent la capacité de l’un ou l’autre message. Cela signifie que la spécification et l’activation de tous les services nécessaires dans une session d’abonné donnée peuvent nécessiter l’utilisation d’un message d’acceptation d’accès et de plusieurs demandes CoA.
Chaque message de demande CoA est indépendant des demandes CoA précédentes et futures dans la même session d’abonné. Toutes les activations et désactivations de service d’un message sont traitées avant qu’une réponse CoA ne soit proposée. La demande CoA permet de modifier de manière incrémentielle une session d’abonné sans affecter les services existants déjà présents.
Pour les services basés sur des scripts op, les sessions de service sont créées en collaboration par les processus authd et essmd, de sorte que la dernière opération initie une validation pour appliquer toutes les interfaces logiques métier statiques résultantes de la demande CoA. Étant donné que le temps de validation est généralement la plus grande partie de l’application d’un service métier statique, il est avantageux d’emballer autant d’activations ou de désactivations de service que possible dans un message RADIUS pour utiliser efficacement la fenêtre de validation. Tant que l’opération de validation n’est pas terminée, le BNG ne peut pas accepter une demande CoA ultérieure visant à appliquer des services commerciaux supplémentaires pour la même session d’abonné.
Le CoA en bloc améliore l’efficacité du traitement de la validation en utilisant une seule action de validation pour tous les services de la transaction en bloc. La transaction en bloc a pour effet de gérer une série de requêtes en tant que méta-requête unique. Il reporte le traitement de la validation jusqu’à ce que la dernière demande CoA de la transaction groupée soit reçue.
Le CoA en bloc exige que chaque requête individuelle contienne une seule instance du VSA Bulk-CoA-Transaction-Id de Juniper Networks (26–194). Ce VSA identifie les requêtes comme appartenant à la même transaction en bloc ; 26 à 194 doivent avoir la même valeur dans toutes les demandes CoA de la série en bloc. Chaque transaction groupée successive de la session doit avoir un identifiant différent ; par exemple, trois transactions groupées successives peuvent avoir des ID de 1, 2 et 1, mais ne peuvent pas avoir d’ID successifs de 1, 1 et 2. En pratique, la valeur Bulk-CoA-Transaction-Id est généralement incrémentée pour plusieurs transactions en bloc, mais ce n’est pas obligatoire. Une valeur d’ID utilisée dans une session d’abonné donnée peut également être utilisée dans différentes sessions d’abonné.
Chaque demande CoA au sein d’une transaction en bloc possède son propre identifiant unique, fourni par une seule instance du Bulk-CoA-Identifier VSA (26-195) dans chaque CoA. Une série croissante de valeurs pour l’ID est typique mais non appliquée. Les valeurs peuvent être réutilisées au sein d’une session donnée et entre les sessions. La dernière demande CoA de la série est identifiée par la valeur 0xFFFFFFFF pour le Bulk-CoA-Identifier.
Avantages d’un changement d’autorisation initié par Radius
Permet d’envoyer dynamiquement les modifications des valeurs d’attribut aux sessions d’abonné, ainsi que l’activation et la désactivation dynamiques des services d’abonné.
Voir aussi
Présentation de la déconnexion initiée par RADIUS
Cette section décrit la prise en charge par le cadre de services AAA des demandes dynamiques de déconnexion initiées par RADIUS. Le service Framework AAA utilise des messages de déconnexion pour mettre fin dynamiquement aux sessions d’abonnés actifs.
- Déconnecter les messages
- Critères d’admissibilité à la déconnexion
- Échange de messages
- Avantages des déconnexions initiées par Radius
Déconnecter les messages
Pour contrôler de manière centralisée la déconnexion des abonnés d’accès à distance, la fonctionnalité de demande dynamique RADIUS du routeur reçoit et traite les messages non sollicités provenant des serveurs RADIUS.
La fonctionnalité de demande dynamique utilise le format existant des messages de demande et de réponse de déconnexion RADIUS. La déconnexion initiée par RADIUS utilise les codes suivants dans ses messages de demande et de réponse RADIUS :
Demande de déconnexion (40)
Déconnexion-ACK (41)
Déconnexion-NAK (42)
Critères d’admissibilité à la déconnexion
Pour que le service Framework AAA déconnecte un utilisateur, le message Disconnect-Request doit contenir un attribut avec un ID de session de comptabilité. Le message Disconnect-Request peut contenir un attribut Acct-Session-Id (44) ou un attribut Acct-Multi-Session-Id (50) pour l’ID de session, ou les deux. Si les attributs Acct-Session-Id et Acct-Multi-Session-Id sont présents dans la demande, le routeur utilise les deux attributs. Si l’attribut Nom d’utilisateur (1) est également présent dans la demande, le nom d’utilisateur et l’ID de session de comptabilité sont utilisés pour effectuer la déconnexion. Le cadre de service AAA gère la requête proprement dite.
Échange de messages
Le serveur RADIUS et le Service Framework AAA échangent des messages à l’aide d’UDP. Le message de demande de déconnexion envoyé par le serveur RADIUS a le même format que le paquet de demande CoA envoyé pour une opération de changement d’autorisation.
La réponse disconnect est soit un message Disconnect-ACK, soit un message Disconnect-NAK :
Si le Service Framework AAA réussit à déconnecter l’utilisateur, la réponse est un paquet au format RADIUS avec un message Disconnect-ACK.
Si le Service Framework AAA ne peut pas déconnecter l’utilisateur, si la requête est mal formée ou si des attributs sont manquants dans la requête, la réponse est un paquet au format RADIUS avec un message Disconnect-NAK.
Le Service Framework AAA traite une requête dynamique à la fois par abonné. Si l’infrastructure reçoit une deuxième demande dynamique lors du traitement d’une demande précédente (CoA ou autre demande de déconnexion) pour le même abonné, l’infrastructure répond par un message Disconnect-NAK.
Avantages des déconnexions initiées par Radius
Permet à un serveur RADIUS de mettre fin dynamiquement aux sessions d’abonnés. Cette fonctionnalité de gestion centralisée des abonnés simplifie la gestion d’un grand nombre d’abonnés, car l’arrêt par l’opérateur nécessiterait autrement une action sur le routeur.
Voir aussi
Seuils d’utilisation des services d’abonnés
À partir de la version 14.1 de Junos OS, la gestion des abonnés vous permet de gérer les services aux abonnés en établissant des seuils d’utilisation lorsqu’un service est activé dynamiquement ou lorsqu’un service existant est modifié par une action CoA RADIUS. Le service est désactivé lorsque le seuil spécifié est atteint.
La gestion des abonnés prend en charge deux types de seuils d’utilisation : le volume de trafic et le temps. Vous utilisez les VSA de Juniper Networks pour définir les seuils d’utilisation. Les VSA sont transmis dans des messages d’accès-acceptation RADIUS pour les services activés dynamiquement, ou dans des messages de demande CoA initiés par RADIUS pour les services existants. Le seuil de volume définit la quantité maximale du trafic total en entrée et en sortie qui peut utiliser le service avant que le service ne soit désactivé. Un seuil de temps définit la durée maximale pendant laquelle le service peut être actif. Le tableau 3 présente les VSA utilisés pour les seuils de volume et de durée.
Numéro d’attribut |
Nom de l’attribut |
Descriptif |
Valeur |
|---|---|---|---|
26-67 |
Volume de service |
Quantité de trafic entrant et sortant, en Mo, pouvant utiliser le service ; est désactivé lorsque le volume est dépassé. VSA balisé, qui prend en charge 8 balises (1-8). Le routeur interroge le trafic toutes les 10 minutes. |
|
26-68 |
Délai d’expiration du service |
Nombre de secondes pendant lesquelles le service peut être actif ; est désactivé à l’expiration du délai d’expiration. VSA balisé, qui prend en charge 8 balises (1-8). |
|
26-179 |
service-volume-gigawords |
Quantité de trafic d’entrée et de sortie, en unités de 4 Go, pouvant utiliser le service ; est désactivé lorsque le volume est dépassé. VSA balisé, qui prend en charge 8 balises (1-8). Le routeur interroge le trafic toutes les 10 minutes. |
|
26-180 |
Service de mise à jour |
Nouvelles valeurs de service et quotas de temps pour un service existant. VSA balisé, qui prend en charge 8 balises (1-8). |
Chaîne : service-name |
Voir aussi
Présentation des connexions de session d’abonnés et des échecs d’activation de service
Lorsqu’un abonné tente de se connecter et qu’il est authentifié par RADIUS, le message Accès-Acceptation peut inclure des services dans le VSA RADIUS Activate-Service (26-65) à activer pour une famille de réseaux particulière. Selon la configuration et le type de service, l’échec de l’activation d’un service peut entraîner le refus de la connexion de l’abonné.
Vous pouvez utiliser l’instruction service activation au niveau de la [edit access profile profile-name radius optionshiérarchie ] pour configurer le comportement après un échec d’activation.
Utilisez les options suivantes pour configurer ce comportement séparément pour deux types de services :
dynamic-profile: ce type de service est configuré dans le profil dynamique appliqué par le profil d’accès d’abonné.extensible-service: ce type de service est configuré dans un script de fonctionnement ESSM (Extensible Subscriber Services Manager). Ces services configurent souvent de nouvelles interfaces pour les abonnés professionnels.
Utilisez les options suivantes pour spécifier si l’activation réussie de ces services est requise ou facultative pour l’accès de connexion des abonnés :
required-at-login: l’activation est requise. Un échec pour une raison quelconque entraîne l’échec de la demande d’activation de la famille réseau pour cette famille de réseaux. Si aucune autre famille de réseaux n’est déjà active pour l’abonné, l’application cliente déconnecte l’abonné. Il s’agit du comportement par défaut pour le type dedynamic-profileservice.optional-at-login: l’activation est facultative. L’échec dû à des erreurs de configuration n’empêche pas l’activation de la famille d’adresses ; Il permet l’accès des abonnés. Un échec pour une autre raison entraîne l’échec de l’activation de la famille réseau. Si aucune autre famille de réseaux n’est déjà active pour l’abonné, l’application cliente déconnecte l’abonné. Il s’agit du comportement par défaut pour le type deextensible-serviceservice.
Les échecs associés à l’activation de stratégies abonné sécurisées (pour mettre en miroir le trafic vers un équipement de médiation) n’ont aucun effet sur l’accès des abonnés soumis à la stratégie.
Cette configuration ne s’applique pas aux services activés au moyen de requêtes CoA RADIUS, de messages PPR (Push-Profile-Request) JSRC ou de stratégies sécurisées d’abonné.
Pour le type de dynamic-profile service, les erreurs de configuration sont les suivantes :
Erreurs d’analyse du profil dynamique et de ses attributs.
Variables utilisateur obligatoires manquantes.
Références à des profils dynamiques qui n’existent pas.
Échecs de vérification sémantique dans le profil dynamique.
Pour le type de extensible-service service, les erreurs de configuration sont les suivantes :
Erreurs d’analyse du script d’opération.
Échec de validation.
Pour activer un service, authd envoie une demande d’activation des services appropriés à l’infrastructure de gestion des abonnés (SMI). Par exemple, si la demande concerne la famille IPv4, elle demande l’activation des services IPv4 uniquement. À son tour, le SMI envoie des requêtes aux démons serveur associés au service, tels que cosd ou filterd. Les résultats renvoyés par les démons déterminent si l’activation du service est un succès ou un échec.
Lorsque tous les démons de serveur signalent un succès, SMI signale un succès à authd et le service est activé.
Si un démon serveur signale une erreur de configuration et qu’aucun démon ne signale une erreur de non-configuration, alors SMI signale une erreur de configuration à authd. Le service n’est pas activé, mais selon la configuration, l’activation de la famille de réseaux peut réussir.
Si un démon serveur signale une erreur de non-configuration, SMI signale l’échec à authd et le service n’est pas activé.
Processus d’activation de la famille de services et de réseaux
Lorsqu’un abonné se connecte, authd doit activer la famille d’adresses correspondante après l’authentification de l’abonné. L’application cliente, par exemple DHCP ou PPP, peut demander l’activation d’une seule famille de réseaux, IPv4 ou IPv6, ou demander séquentiellement l’activation des deux familles. L’activation réussie de la famille de réseaux est liée à l’activation des services associés. Les étapes suivantes décrivent le processus lorsque authd est configuré pour utiliser RADIUS pour l’authentification :
Un abonné tente de se connecter.
L’application cliente demande l’authentification à authd.
authd envoie un message de demande d’accès au serveur RADIUS.
Le serveur RADIUS envoie un message d’accès-acceptation à authd qui inclut le VSA de service d’activation RADIUS (26-65).
L’authd met en cache les attributs d’activation du service et envoie une subvention à l’application cliente.
L’application cliente envoie la première demande Network-Family-Activate pour la famille d’adresses IPv4 ou IPv6. Cette demande est parfois appelée demande d’activation du client.
authd examine les attributs d’activation du service mis en cache et envoie une demande d’activation pour les services appropriés à l’infrastructure de gestion des abonnés (SMI). Par exemple, si la demande concerne la famille IPv4, elle demande l’activation des services IPv4 uniquement. À son tour, le SMI envoie des requêtes aux démons serveur associés au service, tels que cosd ou filterd.
La suite d’authd dépend de l’échec de la demande d’activation du service et du caractère facultatif ou obligatoire du service.
Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est facultatif :
authd supprime les attributs d’activation de service mis en cache pour le service.
Remarque :Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de changement d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.
authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.
La connexion de l’abonné se poursuit.
Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est requis :
authd supprime les attributs d’activation de service mis en cache pour le service.
Remarque :Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de changement d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.
authd envoie un NACK en réponse à l'activation de la famille, ce qui entraîne la résiliation de la connexion de l'abonné par l'application cliente.
Lorsque l’activation du service échoue en raison d’une erreur de non-configuration et que le service est facultatif ou obligatoire :
authd supprime les attributs d’activation de service mis en cache pour le service.
Remarque :Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de changement d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.
authd envoie un NACK en réponse à l'activation de la famille, ce qui entraîne la résiliation de la connexion de l'abonné par l'application cliente.
Lorsque l’activation du service réussit :
authd active le service.
authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.
La connexion de l’abonné se poursuit.
À moins que l’activation du service n’ait été requise et n’ait échoué, entraînant l’échec de l’activation de la famille dans la première demande, l’application cliente peut envoyer une deuxième demande, mais uniquement pour la famille non demandée la première fois. Si la première demande concernait IPv4, la deuxième demande ne peut concerner qu’IPv6. Si la première demande concernait IPv6, la deuxième demande ne peut concerner qu’IPv4.
L’authd examine les attributs d’activation du service mis en cache et demande l’activation des services associés à la famille d’adresses demandée.
La suite d’authd dépend de l’échec de la demande d’activation du service et du caractère facultatif ou obligatoire du service.
Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est facultatif :
authd supprime les attributs d’activation de service mis en cache pour le service.
Remarque :Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de changement d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.
authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.
La connexion de l’abonné se poursuit.
Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est requis :
authd supprime les attributs d’activation de service mis en cache pour le service.
Remarque :Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de changement d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.
authd envoie un NACK en réponse à l’activation familiale. Comme il s’agit de la deuxième demande d’activation de la famille, le résultat de la première activation de la famille détermine la suite des étapes suivantes :
Si la première activation familiale a réussi et que l’abonné s’est connecté, l’échec de la deuxième demande n’arrête pas la connexion de l’abonné actuel. Cet événement n’entraîne pas non plus la déconnexion de l’abonné précédent (première demande).
Si la première activation familiale a échoué, l’échec de la deuxième demande entraîne la résiliation de la connexion de l’abonné actuel.
Lorsque l’activation du service échoue en raison d’une erreur de non-configuration et que le service est facultatif ou obligatoire :
authd supprime les attributs d’activation de service mis en cache pour le service.
Remarque :Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de changement d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.
authd envoie un NACK en réponse à l'activation de la famille, ce qui entraîne la résiliation de la connexion de l'abonné par l'application cliente.
Lorsque l’activation du service réussit :
authd active le service.
authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.
La connexion de l’abonné se poursuit.
Configuration de la façon dont les échecs d’activation de service affectent la connexion des abonnés
Vous pouvez configurer comment un échec d’activation de services facultatifs lors de la connexion d’un abonné affecte le résultat de la connexion. Ces services optionnels sont ceux référencés par le VSA de service d’activation RADIUS (26-65) qui apparaît dans le message d’accès-acceptation de RADIUS lors de la connexion initiale de l’abonné.
Vous pouvez configurer ces deux types d’activation de service pour qu’ils soient obligatoires ou facultatifs.
dynamic-profile: ces services sont configurés dans le profil dynamique appliqué par le profil d’accès d’abonné pour fournir un accès d’abonné et des services pour les applications haut débit. Par défaut, l’activation du service est requise pour une connexion réussie. Une erreur de configuration lors de l’activation du service empêche l’activation de la famille de réseaux et entraîne l’échec de la connexion de l’abonné.extensible-service: ces services sont appliqués par des scripts d’opération gérés par le démon ESSMD (Extensible Subscriber Services Manager) pour les abonnés professionnels. Par défaut, l’activation du service est facultative pour une connexion réussie de l’abonné.
La service-activation configuration de l’instruction affecte uniquement les échecs d’activation dus à des erreurs de configuration dans le profil dynamique ou le script d’opération ESSM. Les échecs dus à des erreurs de non-configuration entraînent toujours un refus d’accès pour l’abonné et l’arrêt de la tentative de connexion.
Pour configurer le comportement des services de profil dynamique, effectuez l’une des opérations suivantes :
Indiquez que l’activation du service est facultative.
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile optional-at-login
Spécifiez que l’activation du service est requise (valeur par défaut).
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile required-at-login
Pour configurer le comportement des services ESSM, effectuez l’une des opérations suivantes :
Spécifiez que l’activation du service est requise.
[edit access profile profile-name radius options service-activation] user@host# set extensible-service required-at-login
Spécifiez que l’activation du service est facultative (valeur par défaut).
[edit access profile profile-name radius options service-activation] user@host# set extensible-service optional-at-login
Voir aussi
Codes de cause d’erreur (attribut RADIUS 101) pour les requêtes dynamiques
Lorsqu’une opération CoA ou de déconnexion initiée par RADIUS échoue, le routeur inclut un attribut de cause d’erreur (attribut RADIUS 101) dans le message CoA-NAK ou Disconnect-NAK qu’il renvoie au serveur RADIUS. Si l’erreur détectée ne correspond pas à l’un des attributs de cause d’erreur pris en charge, le routeur envoie le message sans attribut de cause d’erreur. Le Tableau 4 décrit les codes de cause d’erreur.
Code |
Valeur |
Descriptif |
|---|---|---|
401 |
attribut non pris en charge |
La demande contient un attribut qui n’est pas pris en charge (par exemple, un attribut tiers). |
402 |
Attribut manquant |
Un attribut critique (par exemple, l’attribut d’identification de session) est manquant dans une demande. |
404 |
Demande non valide |
Un autre aspect de la demande n’est pas valide, par exemple si un ou plusieurs attributs ne sont pas mis en forme correctement. |
503 |
Contexte de session introuvable |
Le contexte de session identifié dans la demande n’existe pas sur le routeur. |
504 |
Contexte de session non amovible |
L’abonné identifié par les attributs dans la demande appartient à un composant qui n’est pas pris en charge. |
506 |
Ressources indisponibles |
Une demande n’a pas pu être honorée en raison d’un manque de ressources NAS disponibles (telles que la mémoire). |
Voir aussi
Vérification des statistiques de requêtes dynamiques RADIUS
Objet
Affichez les statistiques et les informations dynamiques des requêtes RADIUS.
Mesures à prendre
Pour afficher les statistiques de requêtes dynamiques RADIUS :
user@host>show network-access aaa statistics dynamic-requests
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.