Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Gestion dynamique des services avec RADIUS

Utilisation des requêtes dynamiques RADIUS pour la gestion de l’accès des abonnés

Les requêtes dynamiques RADIUS constituent un moyen efficace de gérer de manière centralisée les sessions des abonnés. La prise en charge des requêtes dynamiques RADIUS de l’infrastructure de services AAA permet aux serveurs RADIUS de lancer des opérations liées à l’utilisateur, telles qu’une opération de résiliation, en envoyant des messages de requête non sollicités au routeur. Sans la fonctionnalité de requête dynamique RADIUS, le seul moyen de déconnecter un utilisateur RADIUS est de le router, ce qui peut être fastidieux et chronophage sur les grands réseaux.

Dans un environnement RADIUS client-serveur classique, le routeur fonctionne comme le client et lance les requêtes envoyées au serveur RADIUS distant. Toutefois, lors de l’utilisation des requêtes dynamiques RADIUS, les rôles sont inversés. Par exemple, lors d’une opération de déconnexion, le serveur RADIUS distant joue le rôle de client et lance la requête (action de déconnexion) : le routeur fonctionne comme le serveur dans la relation.

Vous créez un profil d’accès pour configurer le routeur afin qu’il prenne en charge les requêtes dynamiques RADIUS. Cette configuration permet au routeur de recevoir et d’agir sur les types de messages suivants provenant de serveurs RADIUS distants :

  • Messages d’accès-acceptation : active dynamiquement les services en fonction des attributs des messages d’accès-acceptation RADIUS reçus lorsqu’un abonné se connecte.

  • Messages de changement d’autorisation (CoA) : modifiez dynamiquement les sessions actives en fonction des attributs des messages CoA. Les messages CoA peuvent inclure des demandes de création de service, des demandes de suppression, des attributs RADIUS et des VSA Juniper Networks.

  • Déconnecter les messages : met immédiatement fin à des sessions d’abonnés spécifiques.

Par défaut, le routeur surveille le port UDP 3799 pour les requêtes CoA des serveurs RADIUS. Vous pouvez également configurer un port autre que celui par défaut pour les serveurs RADIUS. Vous devez soit utiliser le port par défaut pour tous les serveurs RADIUS, soit configurer le même port autre que le port par défaut pour tous les serveurs RADIUS. Cette règle s’applique à la fois au niveau de l’accès global et du profil d’accès.

Note:

Toute autre configuration entraîne un échec de la vérification de validation. Il n’est pas possible d’utiliser plusieurs numéros de port, c’est-à-dire des numéros de port différents pour différents serveurs.

Avantages des requêtes dynamiques Radius

Permet une gestion centralisée simplifiée des sessions d’abonnés par l’envoi de modifications non sollicitées aux sessions d’abonnés, y compris les modifications d’attributs, l’activation, la désactivation et la désactivation de service, et la clôture de session.

Voir aussi

Configuration de la prise en charge des demandes dynamiques lancées par RADIUS

Le routeur utilise la liste des serveurs d’authentification RADIUS spécifiés pour les opérations d’authentification et de requête dynamique. Par défaut, le routeur surveille le port UDP 3799 pour les requêtes dynamiques, également appelées requêtes de changement d’autorisation (CoA).

Pour configurer la prise en charge des requêtes dynamiques RADIUS :

  • Spécifiez l’adresse IP du serveur RADIUS.

Pour configurer le routeur afin qu’il prenne en charge les requêtes dynamiques provenant de plusieurs serveurs RADIUS :

  • Spécifiez les adresses IP de plusieurs serveurs RADIUS.

Lorsque vous configurez des ports de requête dynamique, vous devez effectuer l’une des opérations suivantes :

  • Utilisez le port par défaut pour tous les serveurs RADIUS, tant au niveau de l’accès global que dans tous les profils d’accès.

  • Configurez le même port autre que celui par défaut pour tous les serveurs, tant au niveau de l’accès global que dans tous les profils d’accès.

Note:

Toute autre configuration entraîne un échec de la vérification de validation. Il n’est pas possible d’utiliser plusieurs numéros de port, c’est-à-dire des numéros de port différents pour différents serveurs.

Pour spécifier un port de requête dynamique global :

Pour spécifier le port de demande dynamique d’un profil d’accès spécifique :

Envisagez les scénarios suivants :

  • La configuration suivante utilise le port par défaut d’un serveur global et d’un serveur différent dans le profil d’accès. Il s’agit d’une configuration valide.

  • La configuration suivante spécifie le port 50201 autre que le port par défaut pour un serveur global et un serveur différent dans le profil d’accès. Il s’agit d’une configuration valide.

  • La configuration suivante spécifie globalement le port 50201 pour un serveur et le port 51133 pour le même serveur dans le profil d’accès ap1. Il s’agit d’une configuration non valide et la vérification de validation échoue, car plusieurs ports autres que ceux par défaut ne sont pas pris en charge.

  • La configuration suivante utilise le port par défaut 3799 pour un serveur global et le port 51133 pour un autre serveur globalement. Il s’agit d’une configuration non valide et la vérification de validation échoue, car pour tous les serveurs, vous devez configurer soit le port par défaut, soit le même port non par défaut.

Voir aussi

Présentation du changement d’autorisation (CoA) initié par RADIUS

Le cadre de service AAA utilise les messages CoA pour modifier dynamiquement les sessions d’abonnés actives. Par exemple, les attributs RADIUS dans les messages CoA peuvent indiquer à l’infrastructure de créer, de modifier ou de résilier un service d’abonné. Vous pouvez également utiliser les messages CoA pour définir ou modifier les seuils d’utilisation des services d’abonnés actuels.

CoA Messages

La prise en charge dynamique des requêtes permet au routeur de recevoir et de traiter des messages CoA non sollicités provenant de serveurs RADIUS externes. Les messages CoA initiés par RADIUS utilisent les codes suivants dans les messages de demande et de réponse :

  • Demande de CoA (43)

  • CoA-ACK (44)

  • CoA-NAK (45)

Critères d’admissibilité au changement d’autorisation

Pour effectuer la modification de l’autorisation d’un utilisateur, vous devez spécifier des attributs d’identification et des attributs de session. Les attributs d’identification identifient l’abonné. Les attributs de session spécifient l’opération (activation ou désactivation) à effectuer sur la session de l’abonné et incluent également tous les attributs client de la session (par exemple, les attributs QoS). Le service AAA Service Framework gère la demande proprement dite.

Le tableau 1 présente les attributs d’identification des opérations de CoA.

Tableau 1 : attributs d’identification

Attribut

Description

Nom d’utilisateur [attribut RADIUS 1]

Nom d’utilisateur de l’abonné.

Acct-Session-ID [attribut RADIUS 44]

Session d’abonné spécifique.
Note:

L’utilisation de l’attribut Acct-Session-ID pour identifier la session de l’abonné est plus explicite que l’utilisation de l’attribut User-Name. Lorsque vous utilisez le nom d’utilisateur comme identificateur, l’opération CoA est appliquée à la première session qui a été connectée avec le nom d’utilisateur spécifié. Toutefois, étant donné qu’un abonné peut avoir plusieurs sessions associées au même nom d’utilisateur, la première session peut ne pas être la session correcte pour l’opération CoA.

Lorsque vous utilisez l’attribut Acct-Session-ID, il identifie la session d’abonné spécifique, évitant ainsi cette erreur potentielle. Bien que l’attribut Acct-Session-ID puisse inclure un spécificateur d’interface en plus de l’ID de session (lorsque l’attribut est au format description), seul l’ID de session est utilisé pour la correspondance des abonnés. Par exemple, si l’abonné a un ID de session d’abonné de , alors l’abonné est mis en correspondance lorsque l’attribut Acct-Session-ID est 54785 (format décimal), ou jnpr demux0.1073759682:54785 (format de description), ou indeed any value:54785 (format de 54785description).

Le tableau 2 présente les attributs de session pour les opérations CoA. Tous les attributs client supplémentaires que vous incluez dépendent de vos exigences de session particulières.

Tableau 2 : attributs de session

Attribut

Description

Service d’activation [Juniper Networks VSA 26-65]

Service à activer pour l’abonné.

Service de désactivation [Juniper Networks VSA 26-66]

Service à désactiver pour l’abonné.

Volume de services [Juniper Networks VSA 26-67]

Quantité de trafic, en Mo, pouvant utiliser le service ; Le service est désactivé lorsque le volume est dépassé.

Délai d’expiration du service [Juniper Networks VSA 26-68]

Nombre de secondes pendant lesquelles le service peut être actif ; Le service est désactivé à l’expiration du délai d’expiration.

Volume de service en gigamots [Juniper Networks VSA 26-179]

Quantité de trafic, en unités de 4 Go, pouvant utiliser le service ; Le service est désactivé lorsque le volume est dépassé.

Service de mise à jour [Juniper Networks VSA 26-180]

Nouvelles valeurs de service et quotas de temps pour le service existant.

Échange de messages

Le serveur RADIUS et le cadre de services AAA sur le routeur échangent des messages à l’aide du protocole UDP. Le message CoA-Request envoyé par le serveur RADIUS a le même format que le paquet Disconnect-Request envoyé pour une opération de déconnexion.

La réponse est soit un message CoA-ACK, soit un message CoA-NAK :

  • Si AAA Service Framework modifie correctement l’autorisation, la réponse est un paquet au format RADIUS avec un message CoA-ACK et le filtre de données est appliqué à la session.

  • Si AAA Service Framework échoue, si la demande est mal formée ou si des attributs sont manquants, la réponse est un paquet au format RADIUS avec un message CoA-NAK.

Note:

AAA Service Framework traite une requête dynamique à la fois par abonné. Si le framework reçoit une deuxième requête dynamique (soit un autre CoA, soit une demande de déconnexion) lors du traitement d’une requête précédente pour le même abonné, le framework répond par un message CoA-NAK. À partir de la version 15.1R5 de Junos OS, les messages de nouvelle tentative CoA-Request sont ignorés et aucun CoA-NAK n’est envoyé en réponse.

Transactions CoA en vrac

À partir de la version 17.2R1 de Junos OS, les requêtes CoA groupées sont prises en charge afin d’améliorer l’efficacité du traitement des services d’abonnés basés sur RADIUS sur le BNG. La fonctionnalité CoA groupée permet d’accumuler une série de requêtes CoA et de les valider toutes ensemble, en masse, automatiquement.

Tous les services d’une requête CoA groupée doivent être destinés à la même session d’abonné.

Les transactions CoA en vrac sont particulièrement précieuses pour les services aux entreprises. Les services d’abonnés basés sur RADIUS utilisent les VSA de Juniper Networks, Activate-Service (26-65) et Deactivate-Service (26-66). Les VSA sont fournis dans les messages RADIUS-Accept lors de la connexion ou dans les requêtes CoA après la connexion.

Pour les services classiques dynamiques basés sur des profils de services, jusqu’à 12 activations de service peuvent facilement tenir dans l’un ou l’autre des messages RADIUS. Toutefois, les services basés sur des scripts opérationnels utilisés par les entreprises ont généralement des exigences de mise à l’échelle qui dépassent la capacité de l’un ou l’autre message. Cela signifie que la spécification et l’activation de tous les services nécessaires dans une session d’abonné donnée peuvent nécessiter l’utilisation d’un message d’acceptation d’accès et de plusieurs demandes de CoA.

Chaque message de demande de CoA est indépendant des demandes de CoA précédentes et futures dans la même session d’abonné. Toutes les activations et désactivations de service dans un message sont traitées avant qu’une réponse CoA ne soit proposée. La demande CoA permet de modifier de manière incrémentielle la session d’un abonné sans affecter les services existants déjà présents.

Pour les services basés sur des scripts op, les sessions de service sont créées conjointement par les processus authd et essmd, de sorte que la dernière opération lance une validation pour appliquer toutes les interfaces logiques métier statiques résultantes de la requête CoA. Étant donné que le temps de validation est généralement la partie la plus importante de l’application d’un service d’entreprise statique, il est avantageux d’emballer autant d’activations ou de désactivations de services que possible dans un message RADIUS pour utiliser efficacement la fenêtre de validation. Tant que l’opération de validation n’est pas terminée, le BNG ne peut pas accepter une demande de CoA ultérieure pour appliquer des services d’entreprise supplémentaires à la même session d’abonné.

Le CoA groupé améliore l’efficacité du traitement des validations en utilisant une seule action de validation pour tous les services de la transaction groupée. La transaction groupée a pour effet de gérer une série de requêtes comme une seule méta-requête. Il reporte le traitement de validation jusqu’à ce que la dernière demande de CoA de la transaction groupée soit reçue.

Le CoA groupé exige que chaque requête individuelle contienne une seule instance du VSA Bulk-CoA-Transaction-Id de Juniper Networks (26–194). Ce VSA identifie les demandes comme appartenant à la même transaction groupée ; 26 à 194 doivent avoir la même valeur dans toutes les demandes de certificat d’autorisation de la série en vrac. Chaque transaction groupée successive dans la session doit avoir un identifiant différent ; Par exemple, trois transactions groupées successives peuvent avoir des ID de 1, 2 et 1, mais ne peuvent pas avoir d’ID successifs de 1, 1 et 2. En pratique, la valeur Bulk-CoA-Transaction-Id est généralement incrémentée pour plusieurs transactions en bloc, mais cela n’est pas obligatoire. Une valeur d’ID utilisée dans une session d’abonné donnée peut également être utilisée dans différentes sessions d’abonnés.

Chaque demande de CoA au sein d’une transaction groupée possède son propre identifiant unique, fourni par une seule instance de l’identificateur CoA en bloc VSA (26-195) dans chaque CoA. Une série croissante de valeurs pour l’ID est typique, mais n’est pas appliquée. Les valeurs peuvent être réutilisées au sein d’une session donnée et entre les sessions. La dernière demande de CoA de la série est identifiée par une valeur de 0xFFFFFFFF pour le Bulk-CoA-Identifier.

Avantages de la modification d’autorisation initiée par Radius

Permet d’envoyer dynamiquement les modifications des valeurs d’attribut aux sessions des abonnés, ainsi que l’activation et la désactivation dynamiques des services aux abonnés.

Voir aussi

Présentation de la déconnexion initiée par RADIUS

Cette section décrit la prise en charge par AAA Service Framework des requêtes dynamiques de déconnexion initiées par RADIUS. Le cadre de service AAA utilise des messages de déconnexion pour mettre fin dynamiquement aux sessions d’abonnés actives.

Messages de déconnexion

Pour contrôler de manière centralisée la déconnexion des abonnés à l’accès à distance, la fonction de requête dynamique RADIUS du routeur reçoit et traite les messages non sollicités des serveurs RADIUS.

La fonctionnalité de requête dynamique utilise le format existant des messages de demande et de réponse de déconnexion RADIUS. La déconnexion initiée par RADIUS utilise les codes suivants dans ses messages de requête et de réponse RADIUS :

  • Demande de déconnexion (40)

  • Disconnect-ACK (41)

  • Déconnexion-NAK (42)

Qualifications requises pour Disconnect

Pour que l’infrastructure de services AAA déconnecte un utilisateur, le message Disconnect-Request doit contenir un attribut avec un ID de session de comptabilité. Le message Disconnect-Request peut contenir un attribut Acct-Session-Id (44) ou un attribut Acct-Multi-Session-Id (50) pour l’ID de session, ou les deux. Si les attributs Acct-Session-Id et Acct-Multi-Session-Id sont tous deux présents dans la requête, le routeur utilise les deux attributs. Si l’attribut Nom d’utilisateur (1) est également présent dans la requête, le nom d’utilisateur et l’ID de session comptable sont utilisés pour effectuer la déconnexion. Le service AAA Service Framework gère la demande proprement dite.

Échange de messages

Le serveur RADIUS et AAA Service Framework échangent des messages à l’aide du protocole UDP. Le message Disconnect-Request envoyé par le serveur RADIUS a le même format que le paquet CoA-Request envoyé pour une opération de changement d’autorisation.

La réponse de déconnexion est un message Disconnect-ACK ou Disconnect-NAK :

  • Si AAA Service Framework déconnecte l’utilisateur avec succès, la réponse est un paquet au format RADIUS avec un message Disconnect-ACK.

  • Si AAA Service Framework ne parvient pas à déconnecter l’utilisateur, si la demande est mal formée ou si des attributs sont manquants dans la demande, la réponse est un paquet au format RADIUS avec un message Disconnect-NAK.

Note:

AAA Service Framework traite une requête dynamique à la fois par abonné. Si le framework reçoit une deuxième requête dynamique lors du traitement d’une requête précédente (un CoA ou un autre Disconnect-Request) pour le même abonné, le framework répond par un message Disconnect-NAK.

Avantages des déconnexions initiées par Radius

Permet à un serveur RADIUS de mettre fin dynamiquement aux sessions des abonnés. Cette fonctionnalité de gestion centralisée des abonnés simplifie la gestion d’un grand nombre d’abonnés, car autrement la résiliation par l’opérateur nécessiterait une action sur le routeur.

Voir aussi

Seuils d’utilisation des services d’abonnés

À partir de la version 14.1 de Junos OS, la gestion des abonnés vous permet de gérer les services d’abonnés en établissant des seuils d’utilisation lorsqu’un service est activé dynamiquement ou lorsqu’un service existant est modifié par une action CoA RADIUS. Le service est désactivé lorsque le seuil spécifié est atteint.

La gestion des abonnés prend en charge deux types de seuils d’utilisation : le volume de trafic et la durée. Vous utilisez des VSA Juniper Networks pour définir les seuils d’utilisation. Les VSA sont transmis dans les messages d’accès-acceptation RADIUS pour les services activés dynamiquement, ou dans les messages CoA-Request initiés par RADIUS pour les services existants. Le seuil de volume définit la quantité maximale du trafic total d’entrée et de sortie qui peut utiliser le service avant que celui-ci ne soit désactivé. Un seuil de temps définit la durée maximale pendant laquelle le service peut être actif. Le tableau 3 présente les VSA utilisés pour les seuils de volume et de temps.

Tableau 3 : VSA du réseau Juniper utilisés pour les seuils de service

Numéro d’attribut

Nom de l’attribut

Description

Valeur

26-67

Volume de service

Quantité de trafic d’entrée et de sortie, en Mo, pouvant utiliser le service ; Le service est désactivé lorsque le volume est dépassé. Étiqueté VSA, qui prend en charge 8 balises (1-8). Le routeur interroge le trafic toutes les 10 minutes.

  • plage = 0 à 16777215 Mo

  • 0 = pas de limite

26-68

Délai d’attente du service

Nombre de secondes pendant lesquelles le service peut être actif ; Le service est désactivé à l’expiration du délai d’expiration. Étiqueté VSA, qui prend en charge 8 balises (1-8).

  • intervalle = 0 à 16777215 secondes

  • 0 = pas de délai d’attente

26-179

volume-de-service gigamots

Quantité de trafic d’entrée et de sortie, en unités de 4 Go, pouvant utiliser le service ; Le service est désactivé lorsque le volume est dépassé. Étiqueté VSA, qui prend en charge 8 balises (1-8). Le routeur interroge le trafic toutes les 10 minutes.

  • plage = 0 à 16777215 unités de 4 Go

  • 0 = pas de limite

26-180

Service de mise à jour

Nouvelles valeurs de service et quotas de temps pour un service existant. Étiqueté VSA, qui prend en charge 8 balises (1-8).

corde: service-name

Voir aussi

Vue d’ensemble des connexions de session des abonnés et des échecs d’activation des services

Lorsqu’un abonné tente de se connecter et qu’il est authentifié par RADIUS, le message Accès-Acceptation peut inclure des services dans le VSA RADIUS Activate-Service (26-65) à activer pour une famille de réseaux particulière. Selon la configuration et le type de service, l’échec de l’activation d’un service peut entraîner le refus de la connexion de l’abonné.

Vous pouvez utiliser l’instruction service activation au niveau de la [edit access profile profile-name radius optionshiérarchie ] pour configurer le comportement à la suite d’un échec d’activation.

Utilisez les options suivantes pour configurer ce comportement séparément pour deux types de services :

  • dynamic-profile: ce type de service est configuré dans le profil dynamique appliqué par le profil d’accès abonné.

  • extensible-service: ce type de service est configuré dans un script d’opération ESSM (Extensible Subscriber Services Manager). Ces services configurent souvent de nouvelles interfaces pour les abonnés professionnels.

Utilisez les options suivantes pour spécifier si l’activation réussie de ces services est requise ou facultative pour l’accès de connexion de l’abonné :

  • required-at-login: l’activation est requise. Une défaillance pour quelque raison que ce soit entraîne l’échec de la demande Network-Family-Activate-Request pour cette famille de réseaux. Si aucune autre famille de réseaux n’est déjà active pour l’abonné, l’application cliente déconnecte l’abonné. Il s’agit du comportement par défaut pour le type de dynamic-profile service.

  • optional-at-login: l’activation est facultative. Une défaillance due à des erreurs de configuration n’empêche pas l’activation de la famille d’adresses ; Il permet aux abonnés d’y accéder. Toute défaillance pour toute autre raison entraîne l’échec de l’activation de la famille réseau. Si aucune autre famille de réseaux n’est déjà active pour l’abonné, l’application cliente déconnecte l’abonné. Il s’agit du comportement par défaut pour le type de extensible-service service.

Note:

Les échecs associés à l’activation des stratégies de sécurité des abonnés (pour la mise en miroir du trafic vers un appareil de médiation) n’ont aucun effet sur l’accès des abonnés soumis à la stratégie.

Cette configuration ne s’applique pas aux services activés au moyen de requêtes CoA RADIUS, de messages Push-Profile-Request (PPR) JSRC ou de stratégies sécurisées d’abonné.

Pour le type de dynamic-profile service, les erreurs de configuration sont les suivantes :

  • Erreurs d’analyse du profil dynamique et de ses attributs.

  • Variables utilisateur obligatoires manquantes.

  • Références à des profils dynamiques qui n’existent pas.

  • Échecs de vérification sémantique dans le profil dynamique.

Pour le type de extensible-service service, les erreurs de configuration sont les suivantes :

  • Erreurs d’analyse du script d’opération.

  • Échecs de validation.

Pour activer un service, authd envoie une demande d’activation des services appropriés à l’infrastructure de gestion des abonnés (SMI). Par exemple, si la demande concerne la famille IPv4, elle demande l’activation des services IPv4 uniquement. À son tour, le SMI envoie des requêtes aux démons serveur associés au service, tels que cosd ou filterd. Les résultats renvoyés par les démons déterminent si l’activation du service est un succès ou un échec.

  • Lorsque tous les démons du serveur signalent la réussite, SMI signale la réussite à l’authentification et le service est activé.

  • Si un démon serveur signale une erreur de configuration et qu’aucun démon ne signale une erreur de non-configuration, SMI signale une erreur de configuration à authd. Le service n’est pas activé, mais selon la configuration, l’activation de la famille de réseaux peut réussir.

  • Si un démon de serveur signale une erreur de non-configuration, SMI signale un échec d’authentification et le service n’est pas activé.

Processus d’activation d’une famille de services et de réseaux

Lorsqu’un abonné se connecte, authd doit activer la famille d’adresses correspondante après l’authentification de l’abonné. L’application cliente, telle que DHCP ou PPP, peut demander l’activation d’une seule famille de réseaux, IPv4 ou IPv6, ou demander séquentiellement l’activation des deux familles. L’activation réussie d’une famille de réseaux est liée à l’activation des services associés. Les étapes suivantes décrivent le processus lorsque authd est configuré pour utiliser RADIUS pour l’authentification :

  1. Un abonné tente de se connecter.

    1. L’application cliente demande l’authentification de l’authentification.

    2. authd envoie un message de demande d’accès au serveur RADIUS.

    3. Le serveur RADIUS envoie un message d’accès-acceptation à l’authentification qui inclut le VSA RADIUS Activate-Service (26-65).

    4. Authd met en cache les attributs d’activation du service et envoie une autorisation à l’application cliente.

  2. L’application cliente envoie la première requête Network-Family-Activate, pour la famille d’adresses IPv4 ou IPv6. Cette demande est parfois appelée demande d’activation du client.

  3. authd examine les attributs d’activation des services mis en cache et envoie une demande d’activation des services appropriés à l’infrastructure de gestion des abonnés (SMI). Par exemple, si la demande concerne la famille IPv4, elle demande l’activation des services IPv4 uniquement. À son tour, le SMI envoie des requêtes aux démons serveur associés au service, tels que cosd ou filterd.

  4. Ce que l’authentification fait ensuite dépend de l’échec de la demande d’activation du service et du caractère facultatif ou obligatoire du service.

    • Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est facultatif :

      1. authd supprime les attributs d’activation de service mis en cache pour le service.

        Note:

        Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de modification d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.

      2. authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.

      3. La connexion de l’abonné se poursuit.

    • Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est requis :

      1. authd supprime les attributs d’activation de service mis en cache pour le service.

        Note:

        Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de modification d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.

      2. authd envoie un NACK en réponse à l'activation de la famille, ce qui entraîne la résiliation de la connexion de l'abonné par l'application cliente.

    • Lorsque l’activation du service échoue en raison d’une erreur de non-configuration et que le service est facultatif ou obligatoire :

      1. authd supprime les attributs d’activation de service mis en cache pour le service.

        Note:

        Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de modification d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.

      2. authd envoie un NACK en réponse à l'activation de la famille, ce qui entraîne la résiliation de la connexion de l'abonné par l'application cliente.

    • Lorsque l’activation du service est réussie :

      1. authd active le service.

      2. authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.

      3. La connexion de l’abonné se poursuit.

  5. À moins que l’activation du service n’ait été requise et n’ait échoué, ce qui a entraîné l’échec de l’activation de la famille lors de la première demande, l’application cliente peut envoyer une deuxième demande, mais uniquement pour la famille qui n’a pas été demandée la première fois. Si la première requête concernait IPv4, la seconde ne peut concerner qu’IPv6. Si la première requête concernait IPv6, la seconde ne peut concerner qu’IPv4.

  6. Authd examine les attributs d’activation des services mis en cache et demande l’activation des services associés à la famille d’adresses demandée.

  7. Ce que l’authentification fait ensuite dépend de l’échec de la demande d’activation du service et du caractère facultatif ou obligatoire du service.

    • Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est facultatif :

      1. authd supprime les attributs d’activation de service mis en cache pour le service.

        Note:

        Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de modification d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.

      2. authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.

      3. La connexion de l’abonné se poursuit.

    • Lorsque l’activation du service échoue en raison d’une erreur de configuration et que le service est requis :

      1. authd supprime les attributs d’activation de service mis en cache pour le service.

        Note:

        Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de modification d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.

      2. authd envoie un NACK en réponse à l’activation de la famille. Étant donné qu’il s’agit de la deuxième demande d’activation de la famille, le résultat de la première activation de la famille détermine la suite :

        • Si la première activation de la famille a réussi et que l’abonné s’est connecté, l’échec de la deuxième demande n’interrompt pas la connexion de l’abonné actuel. Cet événement n’entraîne pas non plus la déconnexion de l’abonné précédent (première requête).

        • Si la première activation de la famille a échoué, l’échec de la deuxième demande entraîne la résiliation par l’application cliente de la connexion de l’abonné actuel.

    • Lorsque l’activation du service échoue en raison d’une erreur de non-configuration et que le service est facultatif ou obligatoire :

      1. authd supprime les attributs d’activation de service mis en cache pour le service.

        Note:

        Cette suppression vous permet de réémettre la demande de service à l’aide d’une demande de modification d’autorisation (CoA) RADIUS ou d’une commande CLI, sans interférence du service défaillant.

      2. authd envoie un NACK en réponse à l'activation de la famille, ce qui entraîne la résiliation de la connexion de l'abonné par l'application cliente.

    • Lorsque l’activation du service est réussie :

      1. authd active le service.

      2. authd envoie un accusé de réception en réponse à la demande d’activation de la famille et la famille est activée.

      3. La connexion de l’abonné se poursuit.

Configuration de l’impact des échecs d’activation de service sur la connexion de l’abonné

Vous pouvez configurer la manière dont l’échec de l’activation des services facultatifs lors de la connexion de l’abonné affecte le résultat de la connexion. Ces services facultatifs sont ceux référencés par le VSA RADIUS Activate-Service (26-65) qui apparaît dans le message RADIUS Access-Accept lors de la connexion initiale de l’abonné.

Vous pouvez configurer ces deux types d’activation de service pour qu’ils soient obligatoires ou facultatifs.

  • dynamic-profile: ces services sont configurés dans le profil dynamique appliqué par le profil d’accès abonné afin de fournir un accès et des services d’abonné pour les applications haut débit. Par défaut, l’activation du service est requise pour une connexion réussie. Une erreur de configuration lors de l’activation du service empêche l’activation de la famille de réseaux et entraîne l’échec de la connexion de l’abonné.

  • extensible-service: ces services sont appliqués par des scripts d’opération gérés par le démon ESSM (Extensible Subscriber Services Manager) (essmd) pour les abonnés professionnels. Par défaut, l’activation du service est facultative pour que la connexion de l’abonné réussisse.

Note:

La service-activation configuration de l’instruction n’affecte que les échecs d’activation dus à des erreurs de configuration dans le profil dynamique ou le script d’opération ESSM. Les échecs dus à des erreurs de non-configuration entraînent toujours le refus d’accès de l’abonné et l’arrêt de la tentative de connexion.

Pour configurer le comportement des services de profil dynamique, effectuez l’une des opérations suivantes :

  • Spécifiez que l’activation du service est facultative.

  • Spécifiez que l’activation du service est requise (valeur par défaut).

Pour configurer le comportement des services ESSM, effectuez l’une des opérations suivantes :

  • Spécifiez que l’activation du service est requise.

  • Spécifiez que l’activation du service est facultative (valeur par défaut).

Voir aussi

Codes d’erreur et de cause (attribut RADIUS 101) pour les requêtes dynamiques

Lorsqu’une opération de CoA ou de déconnexion initiée par RADIUS échoue, le routeur inclut un attribut d’erreur-cause (attribut RADIUS 101) dans le message CoA-NAK ou Disconnect-NAK qu’il renvoie au serveur RADIUS. Si l’erreur détectée ne correspond pas à l’un des attributs d’erreur-cause pris en charge, le routeur envoie le message sans attribut d’erreur-cause. Le tableau 4 décrit les codes d’erreur et de cause.

Tableau 4 : Codes d’erreur et de cause (attribut RADIUS 101)

Code

Valeur

Description

401

Attribut non pris en charge

La requête contient un attribut qui n’est pas pris en charge (par exemple, un attribut tiers).

402

Attribut manquant

Un attribut critique (par exemple, l’attribut d’identification de session) est manquant dans une requête.

404

Demande non valide

Un autre aspect de la requête n’est pas valide, par exemple si un ou plusieurs attributs ne sont pas formatés correctement.

503

Contexte de session introuvable

Le contexte de session identifié dans la requête n’existe pas sur le routeur.

504

Contexte de session non amovible

L’abonné identifié par des attributs dans la demande appartient à un composant qui n’est pas pris en charge.

506

Ressources non disponibles

Une demande n’a pas pu être honorée en raison d’un manque de ressources NAS disponibles (telles que la mémoire).

Voir aussi

Vérification des statistiques de requêtes dynamiques RADIUS

But

Affichez des statistiques et des informations dynamiques sur les requêtes RADIUS.

Action

  • Pour afficher les statistiques dynamiques des requêtes RADIUS :

Voir aussi

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
17.2R1
À partir de la version 17.2R1 de Junos OS, les requêtes CoA groupées sont prises en charge afin d’améliorer l’efficacité du traitement des services d’abonnés basés sur RADIUS sur le BNG.
15.1R5
À partir de la version 15.1R5 de Junos OS, les messages de nouvelle tentative CoA-Request sont ignorés et aucun CoA-NAK n’est envoyé en réponse.
14.1
À partir de la version 14.1 de Junos OS, la gestion des abonnés vous permet de gérer les services d’abonnés en établissant des seuils d’utilisation lorsqu’un service est activé dynamiquement ou lorsqu’un service existant est modifié par une action CoA RADIUS.