Test et dépannage AAA
Tests et dépannage de configuration AAA
La gestion des abonnés prend en charge une fonctionnalité de test qui vous permet de vérifier la configuration AAA d’un abonné. Vous pouvez utiliser la fonctionnalité de test pour vérifier les paramètres AAA de l’abonné et aider à résoudre ou à isoler les problèmes de connexion de l’abonné. Le processus de test AAA crée une pseudo session qui authentifie l’abonné, alloue une adresse à l’abonné et émet un paquet de départ comptable. Le processus émet ensuite une demande d’arrêt de comptabilité, libère l’adresse et met fin à la pseudo session.
Les résultats du test AAA fournissent des détails sur les attributs que la gestion des abonnés attribue à l’abonné lors de la connexion. Les attributs peuvent être assignés par RADIUS, un profil dynamique, une configuration d’interface statique ou statique. Vous pouvez tester la configuration AAA pour les abonnés DHCP, PPP et authd-lite. Pour les clients L2TP, le processus de test AAA affiche tous les paramètres du tunnel, mais ne crée pas de session de tunnel réelle.
Les test aaa
commandes prennent en charge tous les attributs de source RADIUS, à la fois les attributs standard IETF et les VSA Juniper Networks. Les attributs reçus sont affichés dans le résultat. Pour plus d’informations sur les attributs RADIUS standard, voir Attributs RADIUS IETF pris en charge par l’infrastructure de services AAA. Pour plus d’informations sur les VSA de Juniper Networks, consultez les VSA Juniper Networks pris en charge par l’infrastructure de services AAA.
Les test aaa
commandes ne prennent pas en charge la comptabilisation du temps de volume (VSA de Juniper Networks 26 à 69 avec une valeur de 2). Si la comptabilisation en volume est configurée pour l’abonné test, la test commande remplace les statistiques par des statistiques de comptabilisation en temps seulement.
Test d’une configuration AAA pour abonnés
But
Affiche les attributs AAA que la gestion des abonnés attribue à l’abonné lors de la connexion.
L’exemple suivant teste la configuration AAA d’un abonné PPP. Vous pouvez utiliser la test aaa dhcp user commande pour effectuer un test similaire pour les abonnés DHCP et la test aaa authd-lite user commande pour tester les abonnés authd-lite.
Action
user@host>test aaa ppp user user45@test.net password $ABC123 Authentication Grant ************User Attributes*********** User Name - user45@test.net Client IP Address - 192.168.1.1 Client IP Netmask - 255.255.0.0 Virtual Router Name - default Agent Remote Id - NULL Reply Message - NULL Primary DNS IP Address - 0.0.0.0 Secondary DNS IP Address - 0.0.0.0 Primary WINS IP Address - 0.0.0.0 Secondary WINS IP Address - 0.0.0.0 Primary DNS IPv6 Address - :: Secondary DNS IPv6 Address - :: Framed Pool - not set Class Attribute - TEST Service Type - 0 Client IPv6 Address - :: Client IPv6 Mask - null Framed IPv6 Prefix - ::/0 Framed IPv6 Pool - not-set NDRA IPv6 Prefix - not-set Login IPv6 Host - :: Framed Interface Id - 0:0:0:0 Delegated IPv6 Prefix - ::/0 Delegated IPv6 Pool - not-set User Password - $ABC123 CHAP Password - NULL Mac Address - 00:00:5E:00:53:ab Idle Timeout - 600 Session Timeout - 6000 Service Name (1) - cos-service(video_sch, nc_sch) Service Statistics (1) - 1 Service Acct Interim (1) - 600 Service Activation Type (1) - 1 Service Name (2) - filter-service(in_filter, out_filter) Service Statistics (2) - 2 Service Acct Interim (2) - 900 Service Activation Type (2) - 1 Cos shaping rate - 100m Filter Id - not set Framed MTU - (null) Framed Route - not set Ingress Policy Name - not set Egress Policy Name - not set IGMP - disabled Redirect VR Name - default Service Bundle - Null Framed Ip Route Tag - not set Ignore DF Bit - disabled IGMP Access Group Name - not set IGMP Access Source Group Name - not set MLD Access Group Name - not set MLD Access Source Group Name - not set IGMP Version - not set MLD Version - not set IGMP Immediate Leave - disabled MLD Immediate Leave - disabled IPv6 Ingress Policy Name - not set IPv6 Egress Policy Name - not set Acct Session ID - 1 Acct Interim Interval - 750 Acct Type - 1 Ingress Statistics - disabled Egress Statistics - disabled Chargeable user identity - 0 NAS Port Id - -0/0/0.0 NAS Port - 4095 NAS Port Type - 15 Framed Protocol - 1 IPv4 ADF Rule - 010100 IPv4 ADF Rule - 010101 IPv6 ADF Rule - 030100 IPv6 ADF Rule - 030101 ****Pausing 10 seconds before disconnecting the test user********* Logging out subscriber Terminate Id - not set Test complete. Exiting
Vous pouvez utiliser l’option agent-remote-id ari
et les commandes pour vérifier l’authentification test aaa dhcp user
test aaa ppp user
DHCP et PPP des abonnés dans les réseaux qui prennent en charge l’Agent-Remote-Id de DSL Forum (VSA 26-2).
Si vous spécifiez le DSL Forum Agent-Remote-Id, le résultat inclut la valeur spécifiée. Si vous ne spécifiez pas le VSA, la valeur Agent-Remote-Id s’affiche sous la forme NULL
.
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212” Authentication Grant ************User Attributes*********** User Name - thomastank Client IP Address - 192.168.1.1 Client IP Netmask - 255.255.0.0 ... NAS Ip Address - 0.0.0.0 Agent Remote Id - (202)555–1212 ...
L’exemple suivant illustre le résultat en cas d’échec de la subvention d’authentification en raison d’un mot de passe non valide :
user@host>test aaa ppp user user45@test.net password 55N33%%56 Authentication Deny Reason : Access Denied Received Attributes : User Name - user45@test.net Client IP Address - 0.0.0.0 Client IP Netmask - 0.0.0.0 Virtual Router Name - default Agent Remote Id - NULL Reply Message - NULL Primary DNS IP Address - 0.0.0.0 Secondary DNS IP Address - 0.0.0.0 Primary WINS IP Address - 0.0.0.0 Secondary WINS IP Address - 0.0.0.0 Primary DNS IPv6 Address - :: Secondary DNS IPv6 Address - :: Framed Pool - not set Class Attribute - not set Service Type - 0 Client IPv6 Address - :: Client IPv6 Mask - null Framed IPv6 Prefix - ::/0 Framed IPv6 Pool - not-set NDRA IPv6 Prefix - not-set Login IPv6 Host - :: Framed Interface Id - 0:0:0:0 Delegated IPv6 Prefix - ::/0 Delegated IPv6 Pool - not-set User Password - 55N33%%56 CHAP Password - NULL Mac Address - 00:00:5E:00:53:ab Filter Id - not set Framed MTU - (null) Framed Route - not set Ingress Policy Name - not set Egress Policy Name - not set IGMP - disabled Redirect VR Name - default Service Bundle - Null Framed Ip Route Tag - not set Ignore DF Bit - disabled IGMP Access Group Name - not set IGMP Access Source Group Name - not set MLD Access Group Name - not set MLD Access Source Group Name - not set IGMP Version - not set MLD Version - not set IGMP Immediate Leave - disabled MLD Immediate Leave - disabled IPv6 Ingress Policy Name - not set IPv6 Egress Policy Name - not set Acct Session ID - 12 Acct Interim Interval - 0 Acct Type - 0 Ingress Statistics - disabled Egress Statistics - disabled Chargeable user identity - 0 NAS Port Id - -0/0/0.0 NAS Port - 4095 NAS Port Type - 15 Framed Protocol - 0 Test complete. Exiting
Pour certains réseaux, comme un réseau de couche 2 avec des abonnés VLAN-OOB, RADIUS est configuré pour fournir l’adresse de l’abonné dans un profil client avec le vsA (26-174). Dans la configuration par défaut, le test échoue lorsqu’il ne reçoit pas d’adresse d’abonné directement de RADIUS. Pour tester ces abonnés avec succès, vous devez inclure l’option no-address-request
. La sortie de commande affiche le nom du profil client dans le champ Profil dynamique et le nom de l’instance de routage transmis par virtual-router VSA (26-1) dans le champ Instance de routage.
user@host>test aaa ppp user thomastank no-address-request Authentication Grant ************User Attributes*********** User Name - thomastank Client IP Address - 0.0.0.0 Client IP Netmask - 0.0.0.0 ... IPv6 Egress Policy Name - not set Dynamic Profile- filter-service Routing Instance - VR27fin ...
À partir de la version 19.3R1 de Junos OS, le format de sortie XML a changé. Chaque nom d’attribut de serveur RADIUS a une valeur d’attribut associée. Chacune de ces paires est désormais fermée par la balise <radius-server-data>. La nouvelle balise facilite la reconnaissance des paires nom/valeur, à la fois pour les opérateurs et les clients API.
Vous devrez peut-être modifier tous les scripts qui utilisent la sortie XML pour fonctionner correctement avec le nouveau format.
L’exemple suivant montre un extrait d’un exemple de sortie XML dans l’ancien format :
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml <rpc-reply xmlns:junos="namespace-URL"> <aaa-test-result> <aaa-test-status>Authentication Grant</aaa-test-status> <aaa-test-status>************User Attributes***********</aaa-test-status> <radius-server-attribute-name>User Name -</radius-server-attribute-name> <radius-server-attribute-value>user45@test.net</radius-server-attribute-value> <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name> <radius-server-attribute-value>default:default</radius-server-attribute-value> <radius-server-attribute-name>Service Type -</radius-server-attribute-name> <radius-server-attribute-value>Framed</radius-server-attribute-value> <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name> <radius-server-attribute-value><not set></radius-server-attribute-value> ... <aaa-test-status>Test complete. Exiting</aaa-test-status> </aaa-test-result> <cli> <banner></banner> </cli> </rpc-reply>
L’exemple suivant montre un extrait d’un exemple de sortie XML dans le nouveau format :
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml <rpc-reply xmlns:junos="namespace-URL"> <aaa-test-result> <aaa-test-status>Authentication Grant</aaa-test-status> <aaa-test-status>************User Attributes***********</aaa-test-status> <radius-server-data> <radius-server-attribute-name>User Name -</radius-server-attribute-name> <radius-server-attribute-value>user45@test.net</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name> <radius-server-attribute-value>default:default</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Service Type -</radius-server-attribute-name> <radius-server-attribute-value>Framed</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name> <radius-server-attribute-value><not set></radius-server-attribute-value> </radius-server-data> ... <aaa-test-status>Test complete. Exiting</aaa-test-status> </aaa-test-result> <cli> <banner></banner> </cli> </rpc-reply>