Protocole de base Diameter
Présentation du protocole de base Diameter
Le protocole Diameter est défini dans la RFC 3588, Diameter Base Protocol, et offre une alternative à RADIUS plus flexible et extensible. Le protocole de base Diameter fournit des services de base à une ou plusieurs applications (également appelées fonctions) qui s’exécutent dans une autre instance de Diameter. L’application individuelle fournit la fonctionnalité AAA étendue. Les applications qui utilisent Diameter sont les suivantes : Gx-Plus, JSRC, NASREQ, PTSP et S6a. À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.
Les homologues Diameter communiquent via une connexion fiable au niveau de la couche de transport TCP en échangeant des messages Diameter qui transmettent l’état, les demandes et les accusés de réception au moyen d’AVP Diameter standard et d’AVP spécifiques à l’application. La configuration de la couche de transport Diameter est basée sur les éléments de réseau Diameter (DNE) ; plusieurs DNE par instance de Diameter sont pris en charge. Actuellement, seule l’occurrence principale Diameter prédéfinie est prise en charge, mais vous pouvez configurer d’autres valeurs pour la plupart des valeurs d’occurrence Master Diameter.
Chaque DNE se compose d’une liste hiérarchisée d’homologues et d’un ensemble de routes qui définissent la manière dont le trafic est transféré. Chaque route associe une destination à une fonction (application), une partition de fonction et une métrique. Lorsqu’une application envoie un message à une destination routée, toutes les routes de l’instance de protocole Diameter sont examinées à la recherche d’une correspondance. Lorsque le meilleur itinéraire vers la destination a été sélectionné, le message est transmis au moyen du DNE qui inclut cet itinéraire.
Plusieurs itinéraires vers la même destination peuvent exister au sein d’un même DNE et dans différents DNE. Dans le cas de plusieurs itinéraires qui correspondent à une demande de transfert, le meilleur itinéraire est sélectionné comme suit :
L’itinéraire avec la métrique la plus basse est sélectionné.
En cas d’égalité, l’itinéraire ayant obtenu le score le plus élevé est sélectionné.
Dans le cas d’une autre égalité, les noms des DNE sont comparés dans l’ordre lexicographique. L’itinéraire du DNE avec la valeur la plus faible est sélectionné. Par exemple, dne-austin a une valeur inférieure à dne-boston.
Si les routes sont reliées au sein du même DNE, les noms des routes sont comparés dans l’ordre lexicographique. L’itinéraire avec la valeur la plus faible est sélectionné.
Par défaut, le score de spécification d’un itinéraire est de 0. Les points sont ajoutés au score comme suit :
Si le domaine de destination correspond à la requête, ajoutez 1.
Si l’hôte de destination correspond à la demande, ajoutez 2.
Si la fonction correspond à la requête, ajoutez 3.
Si la partition de fonction correspond à la requête, ajoutez 4.
Plusieurs itinéraires vers la même destination peuvent exister au sein d’un même DNE et dans différents DNE. Dans le cas de plusieurs itinéraires qui correspondent à une demande de transfert, Diameter sélectionne le meilleur itinéraire comme suit :
Diameter compare la métrique des itinéraires et sélectionne l’itinéraire avec la métrique la plus basse.
Si plusieurs itinéraires ont la même mesure la plus basse, Diameter sélectionne l’itinéraire le plus qualifié. Diameter évalue plusieurs attributs de la route pour déterminer un score qui reflète la manière dont chaque route correspond spécifiquement à la demande. Par défaut, le score d’un itinéraire est de 0. Les points sont ajoutés au score comme suit :
Si le domaine de destination correspond à la requête, ajoutez 1.
Si l’hôte de destination correspond à la demande, ajoutez 2.
Si la fonction correspond à la requête, ajoutez 3.
Si la partition de fonction correspond à la requête, ajoutez 4.
Si plusieurs itinéraires sont également qualifiés, Diameter compare les noms des NDE dans l’ordre lexicographique et sélectionne l’itinéraire dans le DNE qui a la valeur la plus faible. Par exemple, dne-austin a une valeur inférieure à dne-boston.
Si les itinéraires sont liés au sein du même DNE, Diameter compare les noms des itinéraires dans l’ordre lexicographique et sélectionne l’itinéraire dont la valeur est la plus faible.
Lorsque l’état d’un DNE change, la recherche d’itinéraire pour toutes les destinations est réévaluée. Tous les messages en attente vers des destinations acheminées sont réacheminés selon les besoins, ou ignorés.
Pour configurer un élément de réseau Diameter, incluez l’instruction network-element
au niveau de la [edit diameter]
hiérarchie, puis incluez-la route
au niveau de la [edit diameter network-element element-name forwarding]
hiérarchie.
Pour configurer un itinéraire pour le DNE, incluez les destination
instructions (facultatif), function
(facultatif) et metric
au niveau de la [edit diameter network-element element-name forwarding route dne-route-name]
hiérarchie.
Spécifiez les homologues Diameter associés au DNE en incluant une ou plusieurs peer
instructions au niveau de la [edit diameter network-element element-name]
hiérarchie.
Définissez la priorité de chaque homologue à l’aide de l’instruction priority
au niveau de la [edit diameter network-element element-name peer peer-name]
hiérarchie.
Diameter vous oblige à configurer des informations sur le noeud d’origine ; il s’agit du nœud de point de terminaison à l’origine de Diameter pour l’instance Diameter. Incluez les host
instructions et realm
au niveau de la [edit diameter]
hiérarchie pour configurer l’origine du diamètre.
Si vous le souhaitez, vous pouvez configurer un ou plusieurs transports pour spécifier l’adresse source (locale) de la connexion de la couche transport. Pour configurer un transport Diameter, incluez l’instruction transport
au niveau de la [edit diameter]
hiérarchie. Incluez ensuite l’instruction address
au niveau de la [edit diameter transport transport-name]
hiérarchie.
Vous pouvez éventuellement spécifier un système logique et une instance de routage pour la connexion en incluant les logical-system
instructions et routing-instance
au niveau de la [edit diameter transport transport-name]
hiérarchie. Par défaut, Diameter utilise le système logique par défaut et l’instance de routage par défaut (à l’aide de la table de routage principale inet.0). Le système logique et l’instance de routage de la connexion de transport doivent correspondre à ceux de l’homologue, sinon une erreur de configuration est signalée.
Chaque pair de diamètre est spécifié par un nom. Les attributs homologues incluent l’adresse et le port TCP de destination utilisé par les connexions actives à cet homologue. Pour configurer un homologue Diameter, incluez l’instruction peer
au niveau de la [edit diameter]
hiérarchie, puis incluez les address
instructions et connect-actively
au niveau de la [edit diameter peer peer-name]
hiérarchie.
Pour configurer la connexion active, incluez les port
instructions et transport
au niveau de la [edit diameter peer peer-name connect-actively]
hiérarchie. Le transport affecté identifie l’adresse source de la couche transport utilisée pour établir des connexions actives avec les homologues. transport
Déclarations.
Avantages de l’utilisation de Diameter
Diameter permet de réduire la charge sur le réseau et les serveurs en rapportant les informations d’utilisation à une fréquence beaucoup plus faible que RADIUS. RADIUS implique des mises à jour périodiques, indépendamment des changements d’utilisation. Les applications Diameter telles que Gx vous permettent de définir des seuils en corrélant les statistiques d’utilisation du routeur vers le PCRF. Le FCRP peut alors apporter les ajustements appropriés aux services et aux coûts.
Les services sans fil et la recharge sont généralement effectués avec les applications Diameter, mais les services filaires utilisent généralement une infrastructure RADIUS. Les clients proposant des offres filaires et sans fil peuvent réduire la complexité et le coût de maintenance d’infrastructures distinctes en migrant leurs opérations filaires vers leur infrastructure sans fil Diameter existante.
Les applications qui s’exécutent sur Diameter ont tendance à être à états (certaines peuvent être l’un ou l’autre, comme NASREQ), alors que RADIUS ne l’est pas.
Plusieurs protocoles d’application peuvent s’exécuter sur Diameter, tels que NASREQ, Gx, Gy, JSRC et S6a.
L’espace attributaire est plus grand que RADIUS, ce qui permet d’utiliser un plus grand nombre d’attributs standard et spécifiques aux fournisseurs (AVP) que RADIUS. Diameter prend également en charge les attributs standard RADIUS, en leur réservant les AVP 1 à 255.
Messages utilisés par les applications Diameter
Junos OS prend en charge les applications Diameter suivantes :
JSRC : application Juniper Networks Diameter enregistrée auprès de l’IANA (http://www.iana.org) sous le nom de Juniper Policy-Control-JSRC, avec l’ID 16777244. Il communique avec le SAE (Remote SRC Peler).
PTSP : application Juniper Networks Diameter enregistrée auprès de l’IANA (http://www.iana.org) sous le nom de Juniper JGx, avec un ID de 16777273. Il communique avec le SAE (Remote SRC Peler). À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.
Gx-Plus : application qui étend l’interface 3GPP Gx aux cas d’usage filaires. Le 3GPP Gx est enregistré auprès de l’IANA (http://www.iana.org). Il communique avec un PCRF.
Si les données d’un AVP particulier inclus dans un message ne sont pas disponibles pour le routeur, Gx-Plus omet simplement l’AVP du message qu’il envoie au PCRF. Si le FCRP détermine qu’il ne dispose pas de renseignements suffisants pour prendre une décision, il peut rejeter la demande. Les messages de réponse Diameter incluent le code de résultat AVP (AVP 268) ; les valeurs de cet AVP transmettent la réussite, l’échec ou les erreurs au demandeur.
NASREQ : protocole d’authentification, d’autorisation et de comptabilité basé sur le diamètre défini dans la norme RFC 7155. Junos OS prend uniquement en charge l’authentification et l’autorisation.
Juniper Networks a également enregistré l’application Juniper-Session-Recovery (16777296) et deux nouveaux codes de commande (8388628 pour Juniper-Session-Events et 8388629 pour Juniper-Session-Discovery) auprès de l’IANA (http://www.iana.org).
Le Tableau 1 décrit les messages Diameter utilisés par les applications.
Message de diamètre |
Code |
Application |
Description |
---|---|---|---|
Demande AA (AAR) |
265 |
JSRC, NASREQ, PTSP |
Demande de l’application à la SAE lors de la connexion du nouvel abonné ou lors de la synchronisation SAE-application. Il peut s’agir de l’un des trois types suivants : address-authorization, provisioning-request ou synchronization. |
Réponse AAA (AAA) |
265 |
JSRC, NASREQ, PTSP |
Réponse de la SAE au message AA-Request de l’application. |
Demande d’abandon de session (ASR) |
274 |
JSRC, NASREQ, PTSP |
Demandez à l’application de se déconnecter d’un abonné provisionné. |
Abandonner-session-réponse (ASA) |
274 |
JSRC, NASREQ, PTSP |
Réponse de l’application au message ASR de la SAE. Si l’application envoie la demande de déconnexion à AAA, le message ASA inclut une notification de réussite (ACK). En cas d’échec de la déconnexion, le message ASA inclut une notification d’échec (NAK). |
Demande de comptabilité (ACR) |
271 |
JSRC, PTSP |
Demande de la SAE à l’application ou de la demande à la SAE pour les statistiques. |
Réponse comptable (ACA) |
271 |
JSRC, PTSP |
Réponse au message ACR pour fournir des statistiques pour chaque stratégie (service) installée. |
Demande d’échange de capacités (CER) |
257 |
Gx-Plus |
Demande d’un pair à un autre lorsque les pairs établissent une connexion de transport ; Lance la négociation de capacité. La CER annonce l’identité et les capacités de l’homologue, notamment les applications et les mécanismes de sécurité pris en charge. |
Réponse d’échange de capacités (CEA) |
257 |
Gx-Plus |
Réponse au message de la Régie pour annoncer les capacités de cet homologue. Si cet homologue n’a aucune capacité en commun avec l’homologue qui a envoyé le CER, il doit définir le code de résultat AVP sur DIAMETER_NO_COMMON_APPLICATION et doit abandonner la connexion. Dans le cas contraire, les détails de l’ACE établissent des capacités communes entre les pairs et leur permettent d’établir davantage de communication. |
Demande de contrôle des crédits (CCR) |
272 |
Gx-Plus |
Demande de Gx-Plus au PCRF lors de la connexion, de la déconnexion ou de la mise à jour de l’abonné. Une requête initiale (CCR-I) est envoyée lorsqu’un abonné se connecte et AAA est invité à activer la session de l’abonné. Gx-Plus réessaie le message CCR-I si aucun message CCA-I n’est reçu du PCRF dans les 10 secondes. Le message CCR-I est réessayé jusqu’à 3 fois. Le message CCR-I inclut l’attribut Diameter AVP Subscription-Id (443) avec le sous-attribut Subscription-Id-Type Diameter AVP (450) défini sur 4 (END_USER_PRIVATE) et le sous-attribut Subscription-Id-Data Diameter AVP (444) défini sur Si aucun CCA-I n’est reçu après l’envoi des 4 messages CCR-I (le premier message plus 3 tentatives), Gx-Plus commence à envoyer des messages CCR-N. Les messages CCR-N sont réessayés indéfiniment jusqu’à ce qu’une réponse de réussite ou d’échec soit reçue du PCRF. Les messages CCR-N incluent l’AVP Juniper-Provisioning-Source (code AVP 2101) défini sur local pour informer le PCRF que le routeur est habilité à prendre une décision locale concernant l’activation du service abonné. Un message de demande de mise à jour (CCR-U) est envoyé lorsqu’un seuil d’utilisation est atteint. Le CCR-U rend compte de l’utilisation réelle pour toutes les statistiques. Le PCRF peut renvoyer un message CCA-U qui inclut de nouveaux seuils de surveillance, des activations et des désactivations de services. Si le PCRF expire sur le rapport CCR-U, le routeur définit le seuil par défaut sur 10 minutes. Lorsque la modification des valeurs seuils est inférieure au minimum, les valeurs sont ajustées aux valeurs minimales. Par exemple, l’augmentation minimale de la durée est de 10 minutes. Un CCR-U est également envoyé pour signaler l’état de l’activation ou de la désactivation du service. Lorsqu’un service surveillé est désactivé séparément de la déconnexion d’un abonné, le CCR-U indique que le service n’est plus actif et inclut les données d’utilisation du service. Une demande de résiliation (CCR-T) est envoyée lors de la déconnexion de l’abonné pour informer le PCRF qu’une session d’abonné provisionnée est en cours de résiliation. Les messages CCR-T sont réessayés indéfiniment jusqu’à ce qu’une réponse positive soit reçue du PCRF. Lorsqu’un service surveillé est désactivé dans le cadre de la déconnexion de l’abonné, le message CCR-T inclut des données sur l’utilisation surveillée du service, telles que les octets utilisés. |
Crédit-contrôle-réponse (CCA) |
272 |
Gx-Plus |
Répondez du FCRP à un message du CCR. En réponse à un CCR-I, le PCRF renvoie un message CCA-I qui indique la réussite (DIAMETER_SUCCESS) ou l’échec (DIAMETER AUTHORIZATION REJECTED) selon que l’abonné dispose ou non d’un crédit suffisant pour les services demandés. Toutes les autres réponses sont ignorées et le CCR-I est réessayé. En réponse à un CCR-T, le PCRF renvoie un message CCA-T qui indique une terminaison réussie avec une valeur de 2001 (DIAMETER SUCCESS) dans le code de résultat AVP. Toutes les autres réponses sont ignorées et le CCR-T est réessayé. Un CCA-N est une réponse à un CCR-N. |
Juniper-Session-Discovery-Request (JSDR) |
8388629 |
Gx-Plus |
Demande de découverte du PCRF à Gx-Plus pour découvrir les sessions d’abonnés sur le routeur. |
Juniper-Session-Discovery-Answer (JSDA) |
8388629 |
Gx-Plus |
Répondre du routeur à un message JSDR ; Décrit les informations de session. Le code de résultat AVP inclut l’une des valeurs suivantes, ou une valeur d’erreur :
|
demande d’événement de session Juniper (JSER) |
8388628 |
Gx-Plus |
Demande du routeur au PCRF concernant les événements qui se produisent sur le routeur. Notifie le PCRF de certains événements sur le routeur en incluant l’AVP de type d’événement Juniper (code AVP 2103). Les événements signalés comprennent les démarrages à froid ou à chaud, les demandes de découverte explicites, les modifications de configuration substantielles, la non-réponse ou la réponse d’erreur du PCRF et l’épuisement des ressources tolérantes aux pannes. |
Juniper-Session-Event-Answer (JSEA) |
8388628 |
Gx-Plus |
Réponse de PCRF à un message JSER. |
Demande de profil push (PPR) |
288 |
JSRC, PTSP |
Demande du SAE au routeur d’activer ou de désactiver des services pour un abonné. |
Push-Profile-Answer (PPA) |
288 |
JSRC, PTSP |
Réponse du routeur au message PPR de la SAE. Inclut une notification de réussite ou d’échec pour chacune des commandes d’activation ou de désactivation du service dans la demande. |
Re-Auth-Request (RAR) |
258 |
Gx-Plus |
Demande d’audit du PCRF au routeur pour déterminer si un abonné spécifique est toujours présent. Le routeur met à jour la clé de surveillance et les valeurs de seuil lorsqu’elles sont reçues dans le RAR. |
Re-Auth-Answer (RAA) |
258 |
Gx-Plus |
Répondre du routeur à un message RAR ; indique si l’abonné est actif. Le code de résultat AVP inclut l’une des valeurs suivantes :
|
Requête de ressource de session (SRQ) |
277 |
JSRC, PTSP |
Demande du routeur au SAE ou du SAE au routeur pour lancer la synchronisation entre le routeur et le SAE. |
Session-Resource-Reply (SRR) |
277 |
JSRC, PTSP |
Réponse au message SRQ pour lancer la synchronisation. |
Demande de terminaison de session (STR) |
275 |
JSRC, NASREQ, PTSP |
Notification du routeur au SAE indiquant qu’un abonné provisionné s’est déconnecté. |
Session-Termination-Answer (STA) |
275 |
JSRC, NASREQ, PTSP |
Réponse de la SAE au message STR du routeur. Inclut les notifications de réussite ou d’échec. |
Diamètre, AVP et applications de diamètre
Diameter transmet des informations en incluant diverses paires attribut-valeur (AVP) dans les messages Diameter, de la même manière que RADIUS transmet des informations à la fois dans les attributs RADIUS standard de l’IETF et dans les attributs spécifiques aux fournisseurs (VSA). Le Tableau 2 répertorie les AVP Diameter standard utilisés dans les interactions avec les applications Diameter prises en charge. Diameter réserve les numéros d’attribut AVP de 0 à 255 pour les attributs RADIUS qui sont implémentés dans Diameter ; les numéros d’attribut Diamètre sont les mêmes que pour les attributs RADIUS standard correspondants. Les attributs numérotés supérieurs à 255 n’ont pas d’attribut RADIUS standard correspondant. À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.
Numéro d’attribut |
Diamètre AVP |
Application |
Description |
Type |
---|---|---|---|---|
1 |
Nom d’utilisateur |
Gx-Plus, JSRC, NASREQ |
Spécifie le nom d’utilisateur. Pour un abonné géré par AAA, la valeur est le nom d’utilisateur de l’abonné. Pour une interface statique, la valeur est le nom de l’interface, qui est utilisé comme nom de connexion de l’abonné. |
UTF8String |
2 |
Mot de passe utilisateur |
NASREQ (en anglais seulement) |
Spécifie le mot de passe de l'utilisateur à authentifier ou l'entrée de l'utilisateur dans un échange d'authentification à plusieurs tours. |
OctetString |
4 |
Adresse IP NAS |
NASREQ (en anglais seulement) |
Spécifie l’adresse IP du NAS qui authentifie l’utilisateur. |
IPAddress |
6 |
Type de service |
NASREQ (en anglais seulement) |
Spécifie le type de service demandé par l’utilisateur ou le type de service à fournir. L’un de ces AVP peut être présent dans une demande ou une réponse d’authentification ou d’autorisation. Un NAS n’est pas nécessaire pour mettre en œuvre tous ces types de services. |
Énumérés |
8 |
adresse IP tramée |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifie l’adresse IPv4 configurée pour l’abonné. Il s’agit de la même valeur que pour l’attribut RADIUS Framed-IP-Address [8]. |
OctetString |
9 |
Masque de réseau IP cadré |
NASREQ (en anglais seulement) |
Identifie les quatre octets du masque de réseau IPv4. |
OctetString |
11 |
ID de filtre |
NASREQ (en anglais seulement) |
Spécifie le nom de la liste de filtres d’un utilisateur. Il est destiné à être lisible par l’homme. Zéro ou plusieurs AVP Filter-Id peuvent être envoyés dans un message de réponse d’autorisation. |
UTF8String |
12 |
MTU cadré |
NASREQ (en anglais seulement) |
Spécifie l’unité de transmission maximale (MTU) à configurer pour l’utilisateur, lorsqu’elle n’est pas négociée par un autre moyen (tel que PPP). |
Non signé32 |
22 |
Itinéraire cadré |
NASREQ (en anglais seulement) |
Spécifie les informations de routage US-ASCII 7 bits. |
UTF8String |
25 |
Classe |
NASREQ (en anglais seulement) |
Renvoie les informations d’état d’un serveur Diameter au périphérique d’accès. |
OctetString |
27 |
Délai d’expiration de la session |
NASREQ (en anglais seulement) |
Spécifie le nombre maximal de secondes de service fourni à l’utilisateur avant l’arrêt de la session. |
Non signé32 |
28 |
Délai d’inactivité |
NASREQ (en anglais seulement) |
Spécifie le nombre maximal de secondes consécutives d’inactivité autorisées pour l’utilisateur avant l’arrêt de la session ou avant l’émission d’une invite. |
Non signé32 |
32 |
Identificateur NAS |
NASREQ (en anglais seulement) |
Spécifie l’identité du NAS qui fournit le service à l’utilisateur. |
DiamIdent |
44 |
ID de session de compte |
NASREQ (en anglais seulement) |
Spécifie le contenu de l’attribut RADIUS Acct-Session-Id. |
OctetString |
50 |
Acct-Multi-Session-ID |
NASREQ (en anglais seulement) |
Relie plusieurs sessions de comptabilité associées, où chaque session a un ID de session unique mais le même AVP Acct-Multi-Session-ID. |
UTF8String |
55 |
Horodatage d’événement |
Gx-Plus, JSRC, PTSP |
Spécifie l’heure de l’événement qui a déclenché le message dans lequel cet AVP est inclus. L’heure est indiquée en secondes depuis le 1er janvier 1900 à 00h00 UTC. |
Heure |
60 |
Défi CHAP |
NASREQ (en anglais seulement) |
Spécifie le défi PPP Challenge-Handshake Authentication Protocol (CHAP) envoyé par le NAS à l’homologue CHAP. |
OctetString |
61 |
Type de port NAS |
NASREQ (en anglais seulement) |
Spécifie le type de port sur lequel le NAS authentifie l’utilisateur. |
Énumérés |
62 |
limite de ports |
NASREQ (en anglais seulement) |
Spécifie le nombre maximal de ports que le NAS fournit à l’utilisateur. |
Non signé32 |
78 |
jeton_configuration |
NASREQ (en anglais seulement) |
Indique le type de profil utilisateur utilisé. |
OctetString |
85 |
Intervalle d’intervalle de compte |
JSRC, PTSP |
Spécifie le nombre de secondes entre chaque mise à jour comptable intermédiaire pour cette session. Le routeur utilise les directives suivantes pour la comptabilité intermédiaire :
|
Non signé32 |
87 |
ID de port NAS |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifie le port du NAS qui authentifie l’utilisateur. Il s’agit de la même valeur que pour l’attribut RADIUS NAS-Port-Id [87]. |
UTF8String |
88 |
Piscine encadrée |
NASREQ (en anglais seulement) |
Spécifie le nom d’un groupe d’adresses attribué à utiliser pour attribuer une adresse à l’utilisateur. Si un NAS ne prend pas en charge plusieurs pools d’adresses, il ne tient pas compte de cet AVP. Les pools d’adresses sont généralement utilisés pour les adresses IP, mais peuvent être utilisés pour d’autres protocoles si le NAS prend en charge des pools pour ces protocoles. |
OctetString |
97 |
Préfixe IPv6 encadré |
NASREQ (en anglais seulement) |
Spécifie le préfixe IPv6 configuré pour l’utilisateur. |
OctetString |
99 |
Route IPv6 cadrée |
NASREQ (en anglais seulement) |
Spécifie les informations de routage US-ASCII configurées pour l’utilisateur sur le NAS. |
UTF8String |
100 |
Pool IPv6 encadré |
NASREQ (en anglais seulement) |
Spécifie le nom d’un pool affecté à utiliser pour attribuer un préfixe IPv6 à l’utilisateur. Si l’équipement d’accès ne prend pas en charge plusieurs pools de préfixes, il doit ignorer cet AVP. |
OctetString |
258 |
ID d’application-authentification |
NASREQ (en anglais seulement) |
Spécifie la prise en charge de la partie Authentification et autorisation d’une application. |
Non signé32 |
263 |
ID de session |
Gx-Plus, JSRC, NASREQ, PTSP |
Spécifie l’identificateur de session de l’abonné. Le routeur attribue cette valeur afin d’identifier de manière unique une session d’abonné. |
UTF8String |
264 |
hôte_origine |
NASREQ (en anglais seulement) |
Spécifie l’hôte à l’origine d’un message Diameter. |
DiamIdent |
268 |
Code-résultat |
Gx-Plus, JSRC, NASREQ, PTSP |
Indique si une demande s’est terminée avec succès. Fournit un code d’erreur en cas d’échec de la demande. Les classes suivantes sont reconnues par Diamètre :
Les classes non reconnues, qui commencent par les chiffres 6 à 9 ou 0, sont traitées comme des échecs permanents. JSRC et PTSP prennent en charge les valeurs suivantes : Toutes les valeurs de non-réussite sont traitées comme des échecs permanents :
JSRC prend également en charge la valeur suivante, qui est traitée comme une défaillance permanente :
Gx-Plus prend en charge les valeurs suivantes pour les erreurs dans une réponse PCRF ; Lorsque ces valeurs sont reçues ou que la réponse est mal formée ou méconnaissable, la demande est réessayée.
|
Non signé32 |
269 |
Nom du produit |
Gx-Plus |
Spécifie la valeur du champ Product-Name dans les messages de demande d’échange de capacités (CER) et de réponse d’échange de capacités (CEA). La valeur est toujours JUNOS, sauf si un autre nom est configuré avec l’option Si vous modifiez le nom du produit, le routeur déconnecte toutes les connexions existantes aux homologues Diameter et se reconnecte à l’aide du nouveau nom. |
UTF8String |
277 |
État de session d’authentification |
JSRC, NASREQ, PTSP |
Indique si l’état de session AAA est conservé.
|
Énumérés |
279 |
Échec AVP |
NASREQ (en anglais seulement) |
Spécifie les informations de débogage dans les cas où une demande est rejetée ou n’est pas entièrement traitée en raison d’informations erronées dans un AVP spécifique. La valeur de l’AVP de code de résultat fournit des informations sur la raison de l’échec de l’AVP AVP. |
Groupé |
281 |
Message d’erreur |
NASREQ (en anglais seulement) |
Spécifie un message d’erreur lisible par l’homme qui peut accompagner un AVP de code de résultat. L’AVP de message d’erreur n’est pas destiné à être utile en temps réel ; Ne vous attendez pas à ce que les entités réseau analysent le message. |
UTF8String |
283 |
Royaume-de-destination |
NASREQ (en anglais seulement) |
Spécifie le domaine de diamètre vers lequel le message de diamètre est acheminé. |
DiamIdent |
293 |
Destination-hôte |
NASREQ (en anglais seulement) |
Spécifie l’hôte vers lequel un message Diamter est acheminé. |
DiamIdent |
295 |
Cause de résiliation |
JSRC, NASREQ, PTSP |
Indique la raison pour laquelle une session a été interrompue sur le périphérique d’accès.
|
Énumérés |
296 |
Royaume d’origine |
NASREQ (en anglais seulement) |
Identifie le domaine Diameter de l’émetteur d’un message Diameter. |
DiamIdent |
402 |
CHAP-Auth |
NASREQ (en anglais seulement) |
Spécifie les informations nécessaires pour authentifier un utilisateur à l’aide de CHAP. |
Groupé |
415 |
Numéro de demande CC |
Gx-Plus |
Identifie une requête au sein d’une session. La combinaison de Session-Id et CC-Request-Type est unique au monde. Le nombre est incrémenté pour chaque requête au cours d’une session. Le numéro est réinitialisé lorsqu’un événement de haute disponibilité du routeur se produit. |
Non signé32 |
416 |
Type de requête CC |
Gx-Plus |
Spécifie le type de demande de contrôle de crédit :
|
Énumérés |
431 |
Unité de service accordée |
Gx-Plus |
Contient la quantité qui peut être fournie d’une ou plusieurs des unités demandées suivantes spécifiées par le client : CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Inclus dans les messages CCA-I et peut être inclus dans les messages CCA-U. |
Groupé |
443 |
ID d’abonnement |
Gx-Plus |
Contient les sous-attributs suivants qui n’apparaissent pas seuls :
|
Groupé |
446 |
Unité de service d’occasion |
Gx-Plus |
Contient la quantité d’unités demandées qui ont été effectivement utilisées ; Mesuré à partir de 4 lorsque le service est activé. Les unités sont une ou plusieurs des unités demandées suivantes spécifiées par le client : CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Inclus dans les messages CCR-U. |
Groupé |
480 |
type_enregistrement_comptable |
JSRC, PTSP |
Spécifie le type d’enregistrement de compte pour la comptabilisation des services :
|
Énumérés |
1001 |
charge-rule-install |
Gx-Plus, NASREQ |
Demande l’installation de la règle (activation du service) désignée par le nom de la règle de charge inclus AVP (1005). Cet AVP a un ID de fournisseur 10415 (3GPP). |
Groupé |
1002 |
charge-rule-remove |
Gx-Plus |
Demande la suppression de la règle (désactivation du service) désignée par le nom de la règle de charge inclus AVP (1005). Cet AVP a un ID de fournisseur 10415 (3GPP). |
Groupé |
1005 |
nom_règle_de_charge |
Gx-Plus, NASREQ |
Spécifie le nom d’une règle spécifique qui a été installée, modifiée ou supprimée. |
OctetString |
1066 |
Clé de surveillance |
Gx-Plus |
Spécifie les structures de surveillance à utiliser. Inclus dans charge-règle-installation AVP (1001). Le routeur MX ne prenant pas en charge l’agrégation des statistiques entre les services, la valeur de cet AVP doit donc être différente pour chaque service. Cet AVP a un ID de fournisseur 10415 (3GPP). |
OctetString |
1067 |
Informations sur la surveillance de l’utilisation |
Gx-Plus |
Définit des seuils de surveillance. Lorsque les statistiques de service correspondent à au moins une des valeurs de service accordées, le routeur envoie un rapport CCR-U avec les statistiques actuelles au PCRF. Comprend l’AVP à clé de surveillance (1066) et l’AVP (431) à l’unité de service accordée. Cet AVP a un ID de fournisseur 10415 (3GPP). |
Groupé |
Les AVP de Juniper Networks sont utilisés en plus des AVP de diamètre standard. Ces AVP ont un ID de fournisseur (numéro d’entreprise) 2636 ou 4874 et sont de conception similaire aux attributs spécifiques aux fournisseurs (VSA) RADIUS. Le Tableau 3 répertorie les AVP Juniper Networks utilisés par les applications Diameter prises en charge.
Numéro d’attribut |
Diamètre AVP |
ID du fournisseur |
Application |
Description |
Type |
---|---|---|---|---|---|
213 |
poids-de-ciblage-de-l’ensemble d’interface |
4874 |
NASREQ (en anglais seulement) |
Spécifiez une pondération pour un jeu d’interfaces afin de l’associer, ainsi que ses liaisons membres, à une liaison membre Ethernet agrégée pour une distribution ciblée. |
Non signé32 |
214 |
Poids de ciblage de l’interface |
4874 |
NASREQ (en anglais seulement) |
Spécifiez une pondération pour une interface afin de l’associer à un ensemble d’interfaces et donc à la liaison membre Ethernet agrégée de l’ensemble pour une distribution ciblée. Lorsqu’un ensemble d’interfaces n’a pas de pondération, la valeur de pondération de l’interface de la première interface abonnée autorisée est utilisée pour l’ensemble. |
Non signé32 |
2004 |
Juniper-Service-Bundle |
2636 |
JSRC (en anglais seulement) |
Spécifie le nom du lot de services. |
OctetString |
2010 |
Options DHCP de Juniper |
2636 |
JSRC (en anglais seulement) |
Spécifie les options DHCP du client. |
OctetString |
2011 |
Adresse Juniper DHCP-GI |
2636 |
JSRC (en anglais seulement) |
Spécifie l’adresse IP de l’agent de relais DHCP. |
OctetString |
2020 |
juniper-policy-install |
2636 |
JSRC, PTSP |
Spécifie les stratégies à activer pour l’abonné. Inclut juniper-policy-name et juniper-policy-definition |
Groupé |
2021 |
nom_stratégie-juniper |
2636 |
JSRC, PTSP |
Définit le nom d’une décision de stratégie. |
OctetString |
2022 |
Définition de la politique Juniper |
2636 |
JSRC, PTSP |
Définit une décision de politique. Inclut juniper-policy-name, juniper-template-name et juniper-substitution. |
Groupé |
2023 |
juniper-template-name |
2636 |
JSRC, PTSP |
Spécifie le nom de profil défini par le routeur. PTSP prend uniquement en charge le modèle de |
UTF8String |
2024 |
Substitution Juniper |
2636 |
JSRC, PTSP |
Définit les attributs de substitution. Inclut juniper-substitution-name et juniper-substitution-value. |
OctetString |
2025 |
nom_substitution-juniper |
2636 |
JSRC, PTSP |
Définit le nom de la variable à remplacer. |
OctetString |
2026 |
Valeur_de-substitution Juniper |
2636 |
JSRC, PTSP |
Définit la valeur de la variable à remplacer. |
OctetString |
2027 |
juniper-policy-remove |
2636 |
JSRC, PTSP |
Spécifie les stratégies à désactiver pour l’abonné. Inclut juniper-policy-name. |
Groupé |
2035 |
juniper-policy-failed |
2636 |
JSRC, PTSP |
Spécifie le nom de l’activation ou de la désactivation de la stratégie qui a échoué. |
OctetString |
2038 |
Juniper-Policy-Success |
2636 |
JSRC, PTSP |
Spécifie le nom de l’activation ou de la désactivation de la stratégie qui a réussi. |
OctetString |
2046 |
système-logique-juniper |
2636 |
JSRC, PTSP |
Spécifie le système logique. |
UTF8String |
2047 |
instance de routage juniper |
2636 |
JSRC, PTSP |
Spécifie l’instance de routage. |
UTF8String |
2048 |
partition juniper-jsrc |
2636 |
JSRC, PTSP |
Spécifie le système logique et l’instance de routage de l’abonné ou de la demande. Inclut juniper-logical-system et juniper-routing-instance |
Groupé |
2050 |
type de requête juniper |
2636 |
JSRC, PTSP |
Décrit le type de requête :
|
Énumérés |
2051 |
Type de synchronisation Juniper |
2636 |
JSRC, PTSP |
Décrit le type de synchronisation :
|
Énumérés |
2052 |
Synchronisation Juniper |
2636 |
JSRC, PTSP |
Décrit l’état de synchronisation :
|
Énumérés |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
Spécifie les données statistiques de chaque stratégie installée pour cet abonné. Inclut juniper-policy-name. |
Groupé |
2054 |
Juniper-acct-collect |
2636 |
JSRC, PTSP |
Spécifie s’il faut collecter les données comptables pour la politique (service) installée lorsqu’elle est incluse dans l’AVP Juniper-Policy-Install :
|
Énumérés |
2058 |
identifiant d’état juniper |
2636 |
JSRC, PTSP |
Spécifie la valeur affectée à chaque cycle de synchronisation afin d’identifier les messages à rejeter. Toutes les requêtes sollicitées qui les contiennent
Note:
Pour les demandes de synchronisation sollicitées, le message SRQ contient la valeur incrémentée |
Non signé32 |
2100 |
routeur-virtuel-juniper |
2636 |
Gx-Plus, JSRC |
Spécifie le nom du routeur virtuel associé à la session. |
UTF8String |
2101 |
juniper-provisioning-source |
2636 |
Gx-Plus |
Spécifie la source d’approvisionnement de la session dans les messages CCR-N et JSDA :
|
Énumérés |
2102 |
Juniper-Provisioning-Descriptor |
2636 |
Gx-Plus |
Définit le groupe utilisé dans les messages JSDA qui inclut l’ID de session et, éventuellement, les données Juniper-Provisioning-Source et les données de l’abonné. |
Groupé |
2103 |
type d’événement juniper |
2636 |
Gx-Plus |
Communique le type d’événement dans les messages JSER :
|
Énumérés |
2104 |
descripteur de découverte juniper |
2636 |
Gx-Plus |
Définit le groupe utilisé dans les messages JSDR et JSDA qui inclut les paramètres d’une requête de découverte : type de découverte, chaîne de requête, verbosité, résultats max. |
Groupé |
2105 |
Type Juniper Discovery |
2636 |
Gx-Plus |
Spécifie la sous-commande de découverte pour les messages JSDR et JSDA :
|
Énumérés |
2106 |
niveau de verbosité juniper |
2636 |
Gx-Plus |
Spécifie le niveau de détail des messages JSDR et JSDA :
|
Énumérés |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Spécifie une chaîne générique interprétée en fonction du contexte. |
UTF8String |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Spécifie une chaîne générique interprétée en fonction du contexte. |
UTF8String |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Spécifie une chaîne générique interprétée en fonction du contexte. |
UTF8String |
2110 |
Juniper-Non signé32-A |
2636 |
Gx-Plus |
Spécifie un entier générique non signé de 32 bits qui est interprété en fonction du contexte. |
Non signé32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gx-Plus |
Spécifie un entier générique non signé de 32 bits qui est interprété en fonction du contexte. |
Non signé32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gx-Plus |
Spécifie un entier générique non signé de 32 bits qui est interprété en fonction du contexte. |
Non signé32 |
2200 |
préfixe juniper-IPv6-NDRA |
2636 |
JSRC (en anglais seulement) |
S’il est disponible dans l’entrée IPv6Prefix de la base de données de session de l’abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés à la SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
IPv6Préfixe |
2201 |
Masque de réseau IPv6 cadré Juniper |
2636 |
JSRC (en anglais seulement) |
S’il est disponible dans l’entrée IPv6Address de la base de données de session de l’abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés au SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Adresse IPv6 |
2202 |
identifiant circuit-agent-juniper |
2636 |
JSRC (en anglais seulement) |
Identifie l’abonné par nœud d’accès et ligne d’abonné. S'il est disponible dans l'entrée de la base de données de session de l'abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés à la SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
OctetString |
2203 |
juniper-agent-remote-id |
2636 |
JSRC (en anglais seulement) |
Identifie l’abonné sur le nœud d’accès. S'il est disponible dans l'entrée de la base de données de session de l'abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés à la SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
OctetString |
2204 |
juniper-acct-ipv6-octets d’entrée |
2636 |
JSRC (en anglais seulement) |
Nombre d’octets IPv6 reçus sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
2205 |
juniper-acct-ipv6-output-octets |
2636 |
JSRC (en anglais seulement) |
Nombre d’octets IPv6 envoyés sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
2206 |
juniper-acct-ipv6-input-pkts |
2636 |
JSRC (en anglais seulement) |
Nombre de paquets IPv6 reçus sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
2207 |
juniper-acct-ipv6-output-pkts |
2636 |
JSRC (en anglais seulement) |
Nombre de paquets IPv6 envoyés sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
Les AVP Tekelec ne sont utilisés que pour Gx-Plus. Ces AVP ont un numéro d’entreprise de 21274. Le tableau 4 dresse la liste des AVP de Tekelec. Ces quatre variables sont utilisées pour fournir des valeurs de substitution aux variables de service CoS définies par l’utilisateur.
Numéro d’attribut |
Diamètre AVP |
Application |
Description |
Type |
---|---|---|---|---|
5555 |
tekelec-charge-rule-argument-name |
Gx-Plus |
Définit le nom de la variable de service à remplacer. |
OctetString |
5556 |
tekelec-charge-rule-argument-value |
Gx-Plus |
Définit la valeur de la variable de service à remplacer. |
OctetString |
5557 |
Tekelec-Charging-Rule-Argument |
Gx-Plus |
Définit les attributs de substitution utilisés pour remplacer les variables de service. inclut tekelec-charging-rule-argument-name avp (5555) et tekelec-charging-rule-argument-value avp (5556). |
Groupé |
5558 |
Tekelec-Charge-Rule-With-Arguments |
Gx-Plus |
Demande l’installation de la règle (activation du service) désignée par le nom de la règle de charge inclus AVP (1005). Les substitutions de variables de service demandées sont fournies par l’AVP (5557) Tekelec-Charging-Rule-Argument inclus en option. |
Groupé |
Configuration du diamètre
Pour configurer Diameter, spécifiez l’origine du point de terminaison, les homologues distants, la connexion de la couche transport et les éléments réseau qui associent les routes aux homologues. Seule l’instance principale Diameter est actuellement prise en charge. Vous ne pouvez configurer d’autres valeurs pour cette instance de diamètre que dans le contexte de l’instance de routage par défaut.
Pour configurer le protocole de base Diameter :
Configuration des attributs d’origine de l’instance de diamètre
Vous pouvez configurer les caractéristiques d’identification du nœud de point de terminaison à l’origine des messages Diameter pour l’instance Diameter. Le nom d’hôte est fourni en tant que valeur pour l’AVP Origin-Host par l’instance Diameter. Le domaine est fourni en tant que valeur pour l’AVP Origin-Realm par l’instance Diameter.
Pour configurer les attributs d’origine d’une occurrence de Diameter :
configuration des homologues Diameter
Vous pouvez configurer les homologues auxquels Diameter envoie des messages. Diameter utilise le système logique et l’instance de routage par défaut. Par défaut, le port 3868 est utilisé pour les connexions actives aux homologues.
Pour configurer un homologue distant pour une instance Diameter :
Par exemple, la configuration suivante pour l’homologue p3 spécifie une adresse IPv4, l’instance de routage ri8, le port de destination 49152, le transport t6, une origine de l’hôte 1 dans example.com et inclut l’AVP de l’état d’origine dans les messages.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Configuration du transport Diameter
Vous pouvez configurer un ou plusieurs transports pour une instance Diameter afin de définir l’adresse IPv4 ou IPv6 de la connexion locale et, si vous le souhaitez, configurer un système logique ou un contexte d’instance de routage. Diameter utilise le système logique et l’instance de routage par défaut. Le système logique et l’instance de routage de la connexion de transport doivent correspondre à ceux de l’homologue, sinon une erreur de configuration est signalée. Plusieurs homologues peuvent partager le même transport.
Pour configurer un transport pour une instance Diameter :
Par exemple, la configuration suivante pour le transport t1 spécifie une adresse IPv6, le système logique ls5 et l’instance de routage ri10.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Configuration des éléments de réseau Diameter
Un élément réseau Diameter (DNE) se compose des applications associées (appelées fonctions dans l’interface de ligne de commande), d’une liste d’homologues prioritaires et d’un ensemble de règles de transfert. Les règles de transfert définissent des itinéraires individuels via un ensemble de destinations, d’applications et de mesures associées. Au moins un DNE doit être configuré par châssis pour démarrer le processus Diamètre (jdiameterd).
Avant de configurer les éléments de réseau Diameter, effectuez la tâche suivante :
Définissez les homologues de diamètre. Reportez-vous à la section Configuration des homologues Diameter.
Pour configurer un élément de réseau Diameter :
Exemple : Configurer l’application S6a
Cet exemple montre comment configurer l’application d’authentification S6a basée sur le diamètre sur votre pare-feu SRX Series pour récupérer les informations d’authentification du serveur abonné.
Exigences
Cet exemple utilise le matériel suivant :
Tous les pare-feu SRX Series
Avant de commencer, lisez Présentation du protocole de base Diameter.
Aperçu
Dans cet exemple, vous créez une partition S6a et spécifiez l’origine du point de terminaison, les homologues distants et les éléments réseau qui associent les routes aux homologues pour contrôler le transfert de diamètre des messages S6a. Vous créez également une partition S6a pour Seule l’instance principale Diameter est actuellement prise en charge. Vous ne pouvez configurer d’autres valeurs pour l’instance master
Diameter que dans le contexte de l’instance de routage par défaut.
Configuration
- Configurer les paramètres d’application du profil d’accès et du diamètre
- Configurer des interfaces Ethernet redondantes
- Configurer les zones de sécurité et les stratégies de sécurité pour autoriser l’application S6a Diameter
Configurer les paramètres d’application du profil d’accès et du diamètre
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer les paramètres d’application du profil d’accès et du diamètre :
Spécifiez le profil d’accès à utiliser pour l’ordre d’authentification.
[edit access-profile] user@host# set s6a_test
Spécifiez l’ordre dans lequel les méthodes d’authentification sont utilisées.
[edit access profile] user@host# set s6a_test authentication-order s6a
Créez la partition ou spécifiez le nom d’une partition existante.
[edit access] user@host# set s6a partition partition_name
Configurez le domaine de destination pour la partition s6a.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Configurez l’hôte de destination pour la partition s6a.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Spécifiez l’instance Diameter de la partition s6a.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Note:Actuellement, seule l’instance Diameter par défaut,
master
, est prise en charge.Fixez une limite au nombre de demandes en attente.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Configurez le délai en secondes avant que le s6a ne cesse de tenter d’envoyer un message de déconnexion de l’abonné.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Incluez le nom du domaine à l’origine du message Diameter.
[edit diameter] user@host# set origin realm zzz.com
Incluez le nom de l’hôte à l’origine du message Diameter.
[edit diameter] user@host# set origin host s6a.zzz.com
Spécifiez le nom de l’élément de réseau.
[edit diameter] user@host# set network-element ne3
Associez un homologue Diameter à l’élément réseau.
[edit diameter] user@host# set network-element peer p3
Définissez la priorité de l’homologue.
[edit diameter] user@host# set network-element peer p3 priority 100
Spécifiez un itinéraire accessible via l’élément réseau en fonction des règles de transfert que vous définissez.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Spécifiez une mesure pour l’itinéraire.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Spécifiez l’adresse IP de l’homologue Diameter.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Spécifiez le port utilisé par Diameter pour les connexions actives à l’homologue.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Résultats
En mode configuration, confirmez votre configuration en entrant les show access
commandes and show diameter
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show access s6a { partition partition_name { destination-realm zzz.com; destination-host s6b.zzz.com; diameter-instance master; max-outstanding-requests 40; response-timeout 20; } }
[edit] user@host# show diameter origin { realm zzz.com; host s6a.zzz.com; } network-element ne3 { forwarding { route r0 { metric 100; } } } peer p3 { address 192.0.0.244; connect-actively { port 63101; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configurer des interfaces Ethernet redondantes
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer des interfaces Ethernet redondantes :
Configurez des interfaces Ethernet redondantes.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show interfaces
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { gigether-options { redundant-parent reth0; } } ge-0/0/1 { gigether-options { redundant-parent reth1; } } ge-7/0/0 { gigether-options { redundant-parent reth0; } } ge-7/0/1 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.0.0.254/8; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 198.51.100.254/8; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configurer les zones de sécurité et les stratégies de sécurité pour autoriser l’application S6a Diameter
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer les zones et les stratégies de sécurité :
Définissez les services système et les protocoles sur l’interface reth1.0.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Définissez les services système et les protocoles sur l’interface reth0.0.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Configurez les politiques de sécurité.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security policies from-zone Inside to-zone Outside { policy policy0 { match { source-address any; destination-address any; application any; } then { permit; } } }
[edit] user@host# show security zones security-zone Outside { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } security-zone Inside { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de l’état S6a
But
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Action
À partir du mode opérationnel, entrez les show network-access s6a state
commandes , show network-access s6a statistics
, et show network-access s6a statistics extensive
pour vérifier l’état d’accès réseau et les statistiques de l’application s6a.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Signification
Les show network-access s6a state
commandes , show network-access s6a statistics
, et show network-access s6a statistics extensive
indiquent l’état de l’application S6a et les statistiques des informations d’authentification récupérées à partir du serveur abonné.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.