AAA tests et dépannage
AAA test et dépannage de la configuration réseau
La gestion des abonnés prend en charge une fonctionnalité de test qui vous permet de AAA configuration d’un abonné. Vous pouvez utiliser la fonction de test pour vérifier les paramètres d’AAA de l’abonné et pour résoudre ou isoler les problèmes de connexion des abonnés. Le AAA de test crée une pseudo-session qui authentifier l’abonné, alloue une adresse à l’abonné et lance un paquet de début de comptabilisation. Le processus publie ensuite une demande d’arrêt de comptabilisation, publie l’adresse et termine la pseudo-session.
Les AAA de test fournissent des détails sur les attributs que la gestion de l’abonné attribue à l’abonné pendant la connexion. Les attributs peuvent être attribués par RADIUS, un profil dynamique, une configuration d’interface statique, ou bien être attribués de façon statique. Vous pouvez tester la configuration AAA pour les abonnés DHCP, PPP et authd-lite. Pour les clients L2TP, le processus de test AAA affiche tous les paramètres du tunnel, mais ne crée pas de session de tunnel réelle.
Les commandes s’appuient RADIUS attributs d’origine IETF et Juniper Networks test aaa VSA. Les attributs reçus sont affichés dans la sortie. Pour plus d’informations sur les attributs RADIUS standard, consultez RADIUS IETF attributs pris en charge par AAA Service Framework. Pour plus d’informations sur Juniper Networks vsA, consultez Juniper Networks VSA prisen charge par AAA Service Framework .
Les commandes ne sont pas en prise en charge de la comptabilisation à grande test aaa Juniper Networks VSA 26-69 avec une valeur de 2). Si la comptabilisation à grande durée est configurée pour l’abonné test, la commande remplace les statistiques par des statistiques de comptabilisation uniquement dans le test temps.
Test de la configuration d’un AAA abonné
But
Affichez les attributs AAA que la gestion des abonnés attribue à l’abonné pendant la connexion.
L’exemple suivant teste la configuration AAA d’un abonné PPP. Vous pouvez utiliser la commande pour effectuer un test similaire pour les abonnés DHCP et la commande de tester les abonnés test aaa dhcp user test aaa authd-lite user authd-lite.
Action
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
Vous pouvez utiliser l’option avec les commandes et les commandes pour vérifier l’authentification des abonnés DHCP et PPP sur les réseaux qui soutiennent agent-remote-id ari test aaa dhcp user le Forum test aaa ppp user DSL Agent-Remote-Id (VSA 26-2).
Si vous spécifiez le forum DSL Agent-Remote-Id, la valeur spécifiée est indiquée. Si vous ne spécifiez pas le VSA, la valeur Agent-Remote-Id est affichée comme NULL .
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
L’exemple suivant illustre la sortie lorsque la concession d’authentification échoue en raison d’un mot de passe non valide:
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
Pour certains réseaux, comme un réseau de couche 2 avec des abonnés VLAN-OOB, RADIUS est configuré pour fournir l’adresse de l’abonné dans un profil de client avec le nom de client VSA (26-174). Dans la configuration par défaut, le test échoue lorsqu’il ne reçoit pas d’adresse d’abonné directement de la part RADIUS. Pour tester ces abonnés avec succès, vous devez inclure no-address-request l’option. La sortie de commande affiche le nom du profil du client dans le champ Dynamic Profile et le nom de l’instance de routage transmise par le vsA de routeur virtuel (26-1) dans le champ Routing Instance.
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
Depuis la Junos OS version 19.3R1, le format de sortie XML a changé. Chaque RADIUS de serveur a une valeur d’attribut associée. Chacune de ces paires est désormais fermée par le <-serveur-data>tag. La nouvelle balise facilite la reconnaissance des paires de noms/valeur, aussi bien pour les opérateurs que pour les clients API.
Il se peut que vous de dû modifier des scripts qui utilisent la sortie XML pour fonctionner correctement avec le nouveau format.
L’exemple suivant illustre un extrait de la sortie XML dans l’ancien format:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
L’exemple suivant illustre un extrait de la sortie XML du nouveau format:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>