Protocole de base de diamètre
Présentation du protocole Diameter Base Protocol
Le protocole Diameter est défini dans la norme RFC 3588, Le protocole de base Diameter, et offre une alternative plus flexible et extensible à RADIUS. Le protocole de base Diameter fournit des services de base à une ou plusieurs applications (également appelées fonctions) qui s’exécutent dans une autre instance Diameter. L’application individuelle fournit la fonctionnalité AAA étendue. Les applications qui utilisent Diameter comprennent Gx-Plus, JSRC, NASREQ, PTSP et S6a. À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Packet-triggered Subscribers and Policy Control) n’est plus prise en charge.
Les pairs De diamètre communiquent via une connexion fiable de la couche de transport TCP en échangeant des messages Diameter qui transmettent l’état, les demandes et les accusés de réception au moyen d’ARP De Diamètre standard et d’AAV spécifiques à l’application. La configuration de la couche de transport Diameter est basée sur les éléments du réseau Diameter (DNE) ; plusieurs DNF par instance de diamètre sont prises en charge. Actuellement, seule l’instance principale de Diameter prédéfinie est prise en charge, mais vous pouvez configurer des valeurs alternatives pour la plupart des valeurs d’instance master Diameter.
Chaque DNE se compose d’une liste hiérarchisée de pairs et d’un ensemble de routes qui définissent la manière dont le trafic est transféré. Chaque route associe une destination à une fonction (application), une partition de fonction et une métrique. Lorsqu’une application envoie un message à une destination routé, toutes les routes de l’instance du protocole Diameter sont examinées pour obtenir une correspondance. Lorsque le meilleur itinéraire vers la destination a été sélectionné, le message est transféré au moyen du DNE qui inclut ce routage.
Plusieurs routes vers la même destination peuvent exister dans un DNE donné et dans différentes DNE. Dans le cas de plusieurs routes qui correspondent à une demande de transfert, le meilleur routage est sélectionné comme suit :
Le routage avec la métrique la plus basse est sélectionné.
En cas d’égalité, la route avec le score de spécification le plus élevé est sélectionnée.
Dans le cas d’une autre cravate, les noms des DNE sont alors comparés dans l’ordre lexicographique. Le routage dans le DNE avec la valeur la plus faible est sélectionné. Par exemple, dne-austin a une valeur inférieure à dne-boston.
Si les routes sont liées dans le même DNE, les noms de route sont comparés dans l’ordre lexicographique. Le routage ayant la valeur la plus faible est sélectionné.
Le score de spécification d’une route est de 0 par défaut. Les points sont ajoutés au score comme suit :
Si le domaine de destination correspond à la demande, ajoutez 1.
Si l’hôte de destination correspond à la demande, ajoutez 2.
Si la fonction correspond à la demande, ajoutez 3.
Si la partition de fonction correspond à la demande, ajoutez 4.
Plusieurs routes vers la même destination peuvent exister dans un DNE donné et dans différentes DNE. Dans le cas de routes multiples qui correspondent à une demande de transfert, Diameter sélectionne la meilleure route comme suit :
Diamètre compare la mesure des routes et sélectionne la route avec la mesure la plus basse.
Si plusieurs routes ont la même métrique la plus basse, Alors Diameter sélectionne le routage le plus qualifié. Diameter évalue plusieurs attributs de la route pour déterminer un score qui reflète la manière dont chaque route correspond spécifiquement à la demande. Par défaut, le score d’une route est de 0. Les points sont ajoutés au score comme suit :
Si le domaine de destination correspond à la demande, ajoutez 1.
Si l’hôte de destination correspond à la demande, ajoutez 2.
Si la fonction correspond à la demande, ajoutez 3.
Si la partition de fonction correspond à la demande, ajoutez 4.
Si plusieurs routes sont également qualifiées, Alors Diameter compare les noms des DNE dans l’ordre lexicographique et sélectionne la route dans le DNE qui a la valeur la plus faible. Par exemple, dne-austin a une valeur inférieure à dne-boston.
Si les routes sont liées au même DNE, Alors Diameter compare les noms de route dans l’ordre lexicographique et sélectionne la route avec la valeur la plus basse.
Lorsque l’état d’un DNE change, la recherche de route pour toutes les destinations est réévaluée. Tous les messages en cours vers des destinations routées sont réacheminés au besoin ou jetés.
Pour configurer un élément réseau Diameter, incluez l’instruction network-element
au niveau de la [edit diameter]
hiérarchie, puis incluez l’instruction route
au niveau de la [edit diameter network-element element-name forwarding]
hiérarchie.
Pour configurer un routage pour le DNE, incluez les destination
(facultatifs) function
et metric
les déclarations au niveau de la [edit diameter network-element element-name forwarding route dne-route-name]
hiérarchie.
Spécifiez les pairs De diamètre associés au DNE en incluant une ou plusieurs peer
déclarations au niveau de la [edit diameter network-element element-name]
hiérarchie.
Définissez la priorité pour chaque pair avec l’instruction priority
au niveau de la [edit diameter network-element element-name peer peer-name]
hiérarchie.
Diameter vous oblige à configurer des informations sur le nœud d’origine ; il s’agit du nœud de point de terminaison à l’origine de Diameter pour l’instance Diameter. Incluez les host
déclarations et realm
au niveau de la [edit diameter]
hiérarchie pour configurer l’origine du Diamètre.
Vous pouvez éventuellement configurer un ou plusieurs transports pour spécifier l’adresse source (locale) de la connexion de la couche de transport. Pour configurer un transport Diameter, incluez l’instruction transport
au niveau de la [edit diameter]
hiérarchie. Incluez ensuite l’instruction address
au niveau de la [edit diameter transport transport-name]
hiérarchie.
Vous pouvez éventuellement spécifier un système logique et une instance de routage pour la connexion en incluant les logical-system
instructions et routing-instance
au niveau de la [edit diameter transport transport-name]
hiérarchie. Par défaut, Diameter utilise le système logique par défaut et l’instance de routage par défaut (à l’aide de la table de routage principale inet.0). Le système logique et l’instance de routage de la connexion de transport doivent correspondre à celui de l’homologue, sinon une erreur de configuration est signalée.
Chaque pair de diamètre est spécifié par un nom. Les attributs d’appairage comprennent l’adresse et le port TCP de destination utilisé par les connexions actives à cet homologue. Pour configurer un homologue Diameter, incluez l’instruction peer
au niveau de la [edit diameter]
hiérarchie, puis incluez les address
déclarations et connect-actively
au niveau de la [edit diameter peer peer-name]
hiérarchie.
Pour configurer la connexion active, incluez les port
déclarations et transport
au niveau de la [edit diameter peer peer-name connect-actively]
hiérarchie. Le transport assigné identifie l’adresse source de la couche de transport utilisée pour établir des connexions actives avec les pairs. transport
Déclarations.
Avantages de l’utilisation de Diameter
Diameter permet de réduire la charge sur le réseau et les serveurs en signalant les informations d’utilisation à une fréquence beaucoup plus faible par rapport à RADIUS. RADIUS implique des mises à jour périodiques indépendamment des changements d’utilisation. Les applications diameter telles que Gx vous permettent de définir des seuils en corrélant les pushs des statistiques d’utilisation du routeur au PCRF. Le PCRF peut ensuite ajuster les services et les coûts appropriés.
Les services sans fil et la facturation sont généralement exécutés avec les applications Diameter, mais les services filaires ont généralement utilisé une infrastructure basée sur RADIUS. Les clients disposant d’offres filaires et sans fil peuvent réduire la complexité et le coût de la maintenance d’infrastructures distinctes en migrant leurs opérations filaires vers leur infrastructure sans fil existante basée sur Diameter.
Les applications qui s’exécutent sur Diameter ont tendance à être dynamiques (certaines peuvent être soit, comme NASREQ), tandis que RADIUS n’est pas dynamique.
Plusieurs protocoles applicataires peuvent s’exécuter sur Diameter, tels que NASREQ, Gx, Gy, JSRC et S6a.
Un espace attributif plus important que RADIUS, ce qui permet d’offrir un plus grand nombre d’attributs standard et spécifiques aux fournisseurs (ASP) que RADIUS. Diameter prend également en charge les attributs standard RADIUS, en leur réservant les ASP 1 à 255.
Messages utilisés par les applications Diameter
Junos OS prend en charge les applications Diameter suivantes :
JSRC — Une application Juniper Networks Diameter enregistrée auprès de l’IANA (http://www.iana.org) en tant que Juniper Policy-Control-JSRC, avec un ID de 16777244. Il communique avec le SAE (SRC peer distant).
PTSP : application Juniper Networks Diameter enregistrée auprès de l’IANA (http://www.iana.org) sous le nom Juniper JGx, avec un ID de 16777273. Il communique avec le SAE (SRC peer distant). À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Packet-triggered Subscribers and Policy Control) n’est plus prise en charge.
Gx-Plus : une application qui étend l’interface 3GPP Gx pour les cas d’utilisation filaires. 3GPP Gx est enregistré auprès de l’IANA (http://www.iana.org). Il communique avec un PCRF.
Si les données d’un AVP particulier inclus dans un message ne sont pas disponibles pour le routeur, Gx-Plus omet simplement l’AVP du message qu’il envoie au PCRF. Si le PCRF estime qu’il ne dispose pas d’informations suffisantes pour prendre une décision, il peut refuser la demande. Les messages de réponse de Diameter comprennent le code de résultat AVP (AVP 268) ; les valeurs de cet AVP transmettent le succès, l’échec ou les erreurs au demandeur.
NASREQ : protocole d’authentification, d’autorisation et de comptabilisation basé sur Le diamètre défini dans la RFC 7155. Junos OS prend en charge l’authentification et l’autorisation uniquement.
Juniper Networks a également enregistré l’application Juniper-Session-Recovery (16777296) et deux nouveaux codes de commande (8388628 pour Juniper-Session-Events et 8388629 pour Juniper-Session-Discovery) auprès de l’IANA (http://www.iana.org).
Le tableau 1 décrit les messages de diamètre utilisés par les applications.
Message de diamètre |
Code |
Application |
Description |
---|---|---|---|
Demande AA (AAR) |
265 |
JSRC, NASREQ, PTSP |
Demandez de l’application au SAE lors de la connexion d’un nouvel abonné ou lors de la synchronisation de l’application SAE. La demande peut être l’un des trois types : adresse-autorisation, provisionnement-demande ou synchronisation. |
Réponse AA (AAA) |
265 |
JSRC, NASREQ, PTSP |
Réponse du SAE au message AA-Request de l’application. |
Abort-Session-Request (ASR) |
274 |
JSRC, NASREQ, PTSP |
Demande du SAE à l’application pour déconnecter un abonné provisionné. |
Abort Session-Answer (ASA) |
274 |
JSRC, NASREQ, PTSP |
Réponse de l’application au message ASR du SAE. Si l’application envoie la demande de déconnexion à l’AAA, le message ASA inclut une notification de réussite (ACK). En cas d’échec de la déconnexion, le message ASA inclut une notification de défaillance (NAK). |
Demande de comptabilité (ACR) |
271 |
JSRC, PTSP |
Demande du SAE à l’application ou de l’application au SAE pour obtenir des statistiques. |
Comptabilité-réponse (ACA) |
271 |
JSRC, PTSP |
Réponse au message ACR pour fournir des statistiques pour chaque stratégie (service) installée. |
Demande d’échange de capacités (CER) |
257 |
Gx-Plus |
Demander d’un pair à l’autre lorsque les pairs établissent une connexion de transport ; lance la négociation des capacités. Le CER annonce l’identité et les capacités du pair, telles que les applications et les mécanismes de sécurité pris en charge. |
Réponse d’échange de capacités (CEA) |
257 |
Gx-Plus |
Réponse au message du CER pour annoncer les capacités de ce pair. Si cet homologue n’a aucune capacité en commun avec l’homologue qui a envoyé le CER, il doit définir l’AVP du code de résultat pour DIAMETER_NO_COMMON_APPLICATION et abandonner la connexion. Dans le cas contraire, les détails du CEA établissent des capacités communes entre les pairs et leur permettent d’établir davantage de communication. |
Demande de contrôle du crédit (CCR) |
272 |
Gx-Plus |
Demandez de Gx-Plus au PCRF lors de la connexion, de la déconnexion ou de la mise à jour de l’abonné. Une demande initiale (CCR-I) est envoyée lorsqu’un abonné se connecte et que l’AAA est demandé pour activer la session de l’abonné. Gx-Plus retente le message du CCR-I si un message CCA-I n’est pas reçu du PCRF dans les 10 secondes. Le message du CCR-I est rejugé jusqu’à 3 fois. Le message CCR-I inclut l’attribut Diameter AVP Subscription-Id (443) avec le sous-attribut AVP Subscription-Id-Type Diameter AVP (450) défini sur 4 (END_USER_PRIVATE) et le sous-attribut Subscription-Id-Data Diameter AVP (444) défini sur Si aucun CCA-I n’est reçu après l’envoi des 4 messages DUC-I (le premier message plus 3 tentatives), alors Gx-Plus commence à envoyer des messages CCR-N. Les messages du CCR-N sont rejugés à jamais jusqu’à ce qu’une réponse de réussite ou d’échec soit reçue de la part du PCRF. Les messages du CCR-N comprennent l’AVP Juniper-Provisioning-Source (code AVP 2101) défini en local pour informer le PCRF que le routeur a le pouvoir de prendre une décision locale concernant l’activation du service abonné. Un message de demande de mise à jour (CCR-U) est envoyé lorsqu’un seuil d’utilisation est atteint. Le CCR-U signale l’utilisation réelle de toutes les statistiques. Le PCRF peut renvoyer un message CCA-U qui inclut de nouveaux seuils de surveillance, des activations de services et des désactivations de service. Si le PCRF est dépassé sur le rapport CCR-U, le routeur fixe le seuil par défaut à 10 minutes. Lorsque la modification des valeurs de seuil est inférieure au minimum, les valeurs sont ajustées aux minimums. Par exemple, l’augmentation de la durée minimale est de 10 minutes. Un CCR-U est également envoyé pour signaler l’état de l’activation ou de la désactivation du service. Lorsqu’un service surveillé est désactivé séparément de la déconnexion d’un abonné, le CCR-U indique que le service n’est plus actif et inclut les données d’utilisation du service. Une demande de résiliation (CCR-T) est envoyée lors de la déconnexion de l’abonné pour informer le PCRF qu’une session d’abonné provisionné est en cours d’arrêt. Les messages du CCR-T sont rejugés à jamais jusqu’à ce qu’une réponse soit reçue de la part du PCRF. Lorsqu’un service surveillé est désactivé dans le cadre de la déconnexion des abonnés, le message du CCR-T inclut des données d’utilisation surveillées pour le service, telles que les octets utilisés. |
Credit-Control-Answer (CCA) |
272 |
Gx-Plus |
Réponse du PCRF à un message du CCR. En réponse à un CCR-I, le PCRF renvoie un message CCA-I qui indique la réussite (DIAMETER_SUCCESS) ou l’échec (AUTORISATION DE DIAMÈTRE REJETÉE) selon que l’abonné dispose d’un crédit suffisant pour les services demandés. Toutes les autres réponses sont ignorées et le CCR-I est rejugé. En réponse à un CCR-T, le PCRF renvoie un message CCA-T qui indique une terminaison réussie avec une valeur de 2001 (DIAMETER SUCCESS) dans l’AVP du code résultat. Toutes les autres réponses sont ignorées et le CCC-T est rejugé. Un CCA-N est une réponse à un RCC-N. |
Juniper-Session-Discovery-Request (JSDR) |
8388629 |
Gx-Plus |
Demande de découverte du PCRF à Gx-Plus pour découvrir les sessions d’abonnés sur le routeur. |
Juniper-Session-Discovery-Answer (JSDA) |
8388629 |
Gx-Plus |
Réponse du routeur à un message JSDR ; décrit les informations de session. L’AVP du code résultat inclut l’une des valeurs suivantes, ou une valeur d’erreur :
|
Juniper-Session-Event-Request (JSER) |
8388628 |
Gx-Plus |
Demande du routeur au PCRF concernant des événements qui se passent sur le routeur. Informe le PCRF de certains événements sur le routeur en incluant l’AVP Juniper-Event-Type (code AVP 2103). Les événements signalés incluent des démarrages à chaud ou à froid, des demandes de découverte explicites, des modifications substantielles de configuration, une non-réponse ou une réponse d’erreur de la part de PCRF et l’épuisement des ressources tolérantes aux pannes. |
Juniper-Session-Event-Answer (JSEA) |
8388628 |
Gx-Plus |
Réponse de PCRF à un message JSER. |
Demande de profil push (PPR) |
288 |
JSRC, PTSP |
Demandez au SAE au routeur d’activer ou de désactiver les services pour un abonné. |
PPA (Push-Profile-Answer) |
288 |
JSRC, PTSP |
Réponse du routeur au message PPR du SAE. Inclut une notification de réussite ou d’échec pour chacune des commandes d’activation ou de désactivation du service dans la demande. |
Re-Auth-Request (RAR) |
258 |
Gx-Plus |
Demande d’audit du PCRF au routeur pour déterminer si un abonné spécifique est toujours présent. Le routeur met à jour la clé de surveillance et les valeurs de seuil lorsqu’elles sont reçues dans le RAR. |
Re-Auth-Answer (RAA) |
258 |
Gx-Plus |
Réponse du routeur à un message RAR ; indique si l’abonné est actif. L’AVP du code de résultat inclut l’une des valeurs suivantes :
|
Session-Ressource-Requête (SRQ) |
277 |
JSRC, PTSP |
Demande du routeur au SAE ou du SAE au routeur pour lancer la synchronisation entre le routeur et le SAE. |
Session-Ressource-Réponse (SRR) |
277 |
JSRC, PTSP |
Réponse au message SRQ pour commencer la synchronisation. |
Session-Termination-Request (STR) |
275 |
JSRC, NASREQ, PTSP |
Notification du routeur au SAE qu’un abonné provisionné s’est déconnecté. |
Session-Termination-Answer (STA) |
275 |
JSRC, NASREQ, PTSP |
Réponse du SAE au message STR du routeur. Inclut une notification de réussite ou d’échec. |
Applications de diamètre des ARP et des applications de diamètre
Diameter transmet des informations en incluant diverses paires attribut-valeur (AAV) dans les messages De diamètre, de la même manière que RADIUS transmet des informations dans les attributs RADIUS standard de l’IETF et les attributs spécifiques aux fournisseurs (VSA). Le tableau 2 répertorie les AVR standard utilisés dans les interactions avec les applications Diameter prises en charge. Diameter réserve les numéros d’attribut AVP de 0 à 255 pour les attributs RADIUS implémentés dans Diameter ; les nombres d’attributs Diameter sont les mêmes que pour les attributs RADIUS standard correspondants. Les attributs numérotés plus de 255 n’ont pas d’attribut RADIUS standard correspondant. À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Packet-triggered Subscribers and Policy Control) n’est plus prise en charge.
Numéro d’attribut |
AVP de diamètre |
Application |
Description |
Type |
---|---|---|---|---|
1 |
Nom d’utilisateur |
Gx-Plus, JSRC, NASREQ |
Spécifie le nom d’utilisateur. Pour un abonné géré par AAA, la valeur est le nom de connexion de l’abonné. Pour une interface statique, la valeur est le nom de l’interface, qui est utilisé comme nom de connexion de l’abonné. |
Chaîne UTF8 |
2 |
Mot de passe utilisateur |
NASREQ |
Spécifie le mot de passe de l'utilisateur à authentifier ou l'entrée de l'utilisateur dans un échange d'authentification multi-round. |
OctetString |
4 |
Adresse IP NAS |
NASREQ |
Spécifie l’adresse IP du NAS qui authentifie l’utilisateur. |
Ipaddress |
6 |
Type de service |
NASREQ |
Spécifie le type de service demandé par l’utilisateur ou le type de service à fournir. Un tel AVP peut être présent dans une demande ou une réponse d’authentification ou d’autorisation. Un NAS n’est pas nécessaire pour implémenter tous ces types de services. |
Énumérés |
8 |
Adresse IP encadrée |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifie l’adresse IPv4 configurée pour l’abonné. Il s’agit de la même valeur que pour l’attribut RADIUS Framed-IP-Address [8]. |
OctetString |
9 |
Masque de réseau IP encadré |
NASREQ |
Identifie les quatre octets du masque de réseau IPv4. |
OctetString |
11 |
ID de filtre |
NASREQ |
Spécifie le nom de la liste de filtres pour un utilisateur. Il est conçu pour être lisible par l’homme. Aucun AAV Filter-Id ou plus peut être envoyé dans un message de réponse d’autorisation. |
Chaîne UTF8 |
12 |
MTU encadré |
NASREQ |
Spécifie l’unité de transmission maximale (MTU) à configurer pour l’utilisateur, lorsqu’elle n’est pas négociée par d’autres moyens (par exemple, ppp). |
Non signé32 |
22 |
Route encadrée |
NASREQ |
Spécifie les informations de routage US-ASCII 7 bits. |
Chaîne UTF8 |
25 |
Classe |
NASREQ |
Renvoie les informations d’état d’un serveur Diameter à l’équipement d’accès. |
OctetString |
27 |
Délai d’expiration des sessions |
NASREQ |
Spécifie le nombre maximal de secondes de service fourni à l’utilisateur avant la fin de la session. |
Non signé32 |
28 |
Délai d’inactivité |
NASREQ |
Spécifie le nombre maximal de secondes consécutives de connexion inactif autorisée par l’utilisateur avant la fin de la session ou avant qu’une invite ne soit émise. |
Non signé32 |
32 |
Identifiant NAS |
NASREQ |
Spécifie l’identité du NAS qui fournit un service à l’utilisateur. |
DiamIdent |
44 |
Acct-Session-ID |
NASREQ |
Spécifie le contenu de l’attribut RADIUS Acct-Session-Id. |
OctetString |
50 |
Acct-multi-session-ID |
NASREQ |
Relie plusieurs sessions de comptabilité associées, où chaque session a un id de session unique, mais le même AVP Acct-Multi-Session-Id. |
Chaîne UTF8 |
55 |
Horodatage d’événement |
Gx-Plus, JSRC, PTSP |
Spécifie l’heure de l’événement qui a déclenché le message dans lequel cet AVP est inclus. L’heure est indiquée en quelques secondes depuis le 1er janvier 1900, 00:00 UTC. |
Temps |
60 |
Défi CHAP |
NASREQ |
Spécifie le défi PPP Challenge-Handshake Authentication Protocol (CHAP) envoyé par le NAS au pair CHAP. |
OctetString |
61 |
Type de port NAS |
NASREQ |
Spécifie le type de port sur lequel le NAS authentifie l’utilisateur. |
Énumérés |
62 |
Limite de port |
NASREQ |
Spécifie le nombre maximal de ports que le NAS fournit à l’utilisateur. |
Non signé32 |
78 |
Jeton de configuration |
NASREQ |
Indique le type de profil utilisateur utilisé. |
OctetString |
85 |
Acct-Interim-Interval |
JSRC, PTSP |
Spécifie le nombre de secondes entre chaque mise à jour comptable intermédiaire de cette session. Le routeur utilise les consignes suivantes pour la comptabilité intermédiaire :
|
Non signé32 |
87 |
ID de port NAS |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifie le port du NAS qui authentifie l’utilisateur. Il s’agit de la même valeur que pour l’attribut RADIUS NAS-Port-Id [87]. |
Chaîne UTF8 |
88 |
Pool encadré |
NASREQ |
Spécifie le nom d’un pool d’adresses assigné à utiliser pour attribuer une adresse à l’utilisateur. Si un NAS ne prend pas en charge plusieurs pools d’adresses, le NAS ne tient pas compte de cet AVP. Les pools d’adresses sont généralement utilisés pour les adresses IP, mais peuvent être utilisés pour d’autres protocoles si le NAS prend en charge des pools pour ces protocoles. |
OctetString |
97 |
Préfixe framed-IPv6 |
NASREQ |
Spécifie le préfixe IPv6 configuré pour l’utilisateur. |
OctetString |
99 |
Route IPv6 encadrée |
NASREQ |
Spécifie les informations de routage US-ASCII configurées pour l’utilisateur sur le NAS. |
Chaîne UTF8 |
100 |
Pool framed-IPv6 |
NASREQ |
Spécifie le nom d’un pool assigné à utiliser pour attribuer un préfixe IPv6 à l’utilisateur. Si l’équipement d’accès ne prend pas en charge plusieurs pools de préfixes, il doit ignorer cet AVP. |
OctetString |
258 |
Auth-Application-ID |
NASREQ |
Spécifie la prise en charge de la partie Authentification et autorisation d’une application. |
Non signé32 |
263 |
ID de session |
Gx-Plus, JSRC, NASREQ, PTSP |
Spécifie l’identifiant de session de l’abonné. Le routeur attribue la valeur à l’identification unique d’une session d’abonné. |
Chaîne UTF8 |
264 |
Hôte d’origine |
NASREQ |
Spécifie l’hôte à l’origine d’un message Diameter. |
DiamIdent |
268 |
Code de résultat |
Gx-Plus, JSRC, NASREQ, PTSP |
Indique si une demande a été remplie avec succès. Fournit un code d’erreur en cas d’échec de la demande. Les classes suivantes sont reconnues par Diameter :
Les classes non reconnues, qui commencent par les chiffres 6 à 9 ou 0, sont traitées comme des échecs permanents. JSRC et PTSP prennent en charge les valeurs suivantes : toutes les valeurs de non-réussite sont traitées comme des échecs permanents :
Le JSRC prend également en charge la valeur suivante, qui est traitée comme une défaillance permanente :
Gx-Plus prend en charge les valeurs suivantes pour les erreurs dans une réponse PCRF ; lorsque ces valeurs sont reçues ou que la réponse est malformée ou méconnaissable, la demande est rejugée.
|
Non signé32 |
269 |
Nom du produit |
Gx-Plus |
Spécifie la valeur du champ Nom du produit dans les messages CER (Capability Exchange Request) et CEA (Capability Exchange Answer). La valeur est toujours JUNOS, à moins qu’un autre nom ne soit configuré avec l’option Si vous changez le nom du produit, le routeur déconnecte toutes les connexions existantes aux pairs Diameter et se reconnecte à l’aide du nouveau nom. |
Chaîne UTF8 |
277 |
Auth-Session-State |
JSRC, NASREQ, PTSP |
Indique si l’état de session AAA est maintenu.
|
Énumérés |
279 |
Vice-président exécutif défaillant |
NASREQ |
Spécifie les informations de débogage dans les cas où une demande est rejetée ou non traitée en raison d’informations erronées dans un AVP spécifique. La valeur de l’AVP de code de résultat fournit des informations sur la raison de l’AVP Failed-AVP. |
Regroupés |
281 |
Message d’erreur |
NASREQ |
Spécifie un message d’erreur lisible par l’humain qui peut accompagner un AVP de code de résultat. L’AVP du message d’erreur n’est pas destiné à être utile en temps réel; ne s’attendent pas à ce que les entités réseau analysent le message. |
Chaîne UTF8 |
283 |
Domaine de destination |
NASREQ |
Spécifie le domaine Diameter vers lequel le message Diameter est routé. |
DiamIdent |
293 |
Hôte de destination |
NASREQ |
Spécifie l’hôte vers lequel un message Diamter est routé. |
DiamIdent |
295 |
Cause de terminaison |
JSRC, NASREQ, PTSP |
Indique la raison pour laquelle une session a été terminée sur l’équipement d’accès.
|
Énumérés |
296 |
Origin-Realm |
NASREQ |
Identifie le domaine Diameter de l’auteur d’un message Diameter. |
DiamIdent |
402 |
CHAP-Auth |
NASREQ |
Spécifie les informations nécessaires pour authentifier un utilisateur à l’aide de CHAP. |
Regroupés |
415 |
CC-Request-Number |
Gx-Plus |
Identifie une demande au sein d’une session. La combinaison de Session-Id et CC-Request-Type est unique au monde. Le nombre est incrémenté pour chaque demande au cours d’une session. Le nombre est réinitialisé lorsqu’un événement de haute disponibilité survient. |
Non signé32 |
416 |
Type de demande CC |
Gx-Plus |
Spécifie le type de demande de contrôle de crédit :
|
Énumérés |
431 |
Unité de service accordée |
Gx-Plus |
Contient la quantité pouvant être fournie d’une ou plusieurs des unités suivantes spécifiées par le client : CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Inclus dans les messages CCA-I et peuvent être inclus dans les messages CCA-U. |
Regroupés |
443 |
Id d’abonnement |
Gx-Plus |
Contient les sous-attributs suivants qui n’apparaissent pas seuls :
|
Regroupés |
446 |
Unité de service d’occasion |
Gx-Plus |
Contient la quantité d’unités demandées qui ont été réellement utilisées; mesuré à partir de 4 lors de l’activation du service. Les unités sont une ou plusieurs des unités requises suivantes spécifiées par le client : CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Inclus dans les messages du CCR-U. |
Regroupés |
480 |
Type d’enregistrement comptable |
JSRC, PTSP |
Spécifie le type d’enregistrement de compte pour la comptabilisation des services :
|
Énumérés |
1001 |
Facturation-Règle-Installer |
Gx-Plus, NASREQ |
Demande l’installation de la règle (activation du service) désignée par l’AVP Charging-Rule-Name (1005). Cet AVP possède un ID de fournisseur de 10415 (3GPP). |
Regroupés |
1002 |
Facturation-Règle-Supprimer |
Gx-Plus |
Demande la suppression de la règle (désactivation du service) désignée par l’AVP Charging-Rule-Name (1005). Cet AVP possède un ID de fournisseur de 10415 (3GPP). |
Regroupés |
1005 |
Nom de la règle de facturation |
Gx-Plus, NASREQ |
Spécifie le nom d’une règle spécifique qui a été installée, modifiée ou supprimée. |
OctetString |
1066 |
Clé de surveillance |
Gx-Plus |
Spécifie les structures de surveillance à utiliser. Inclus dans l’AVP de facturation-règle d’installation (1001). Le routeur MX ne prend pas en charge l’agrégation de statistiques entre les services, de sorte que la valeur de cet AVP doit être différente pour chaque service. Cet AVP possède un ID de fournisseur de 10415 (3GPP). |
OctetString |
1067 |
Informations sur la surveillance de l’utilisation |
Gx-Plus |
Définit des seuils de surveillance. Lorsque les statistiques de service correspondent à au moins une des valeurs de service accordées, le routeur envoie un rapport CCR-U avec les statistiques actuelles au PCRF. Inclut l’AVP de la clé de surveillance (1066) et l’AVP de l’unité de service accordée (431). Cet AVP possède un ID de fournisseur de 10415 (3GPP). |
Regroupés |
Les AVR Juniper Networks sont utilisés en plus des AAV de diamètre standard. Ces AAV ont un ID de fournisseur (numéro d’entreprise) de 2636 ou 4874, et sont similaires dans le concept aux attributs spécifiques aux fournisseurs RADIUS (VSA). Le tableau 3 répertorie les AAV Juniper Networks utilisés par les applications Diameter prises en charge.
Numéro d’attribut |
AVP de diamètre |
ID du fournisseur |
Application |
Description |
Type |
---|---|---|---|---|---|
213 |
Ensemble d’interfaces - Poids de ciblage |
4874 |
NASREQ |
Spécifiez un poids pour un ensemble d’interfaces afin de l’associer à une liaison membre Ethernet agrégée pour une distribution ciblée. |
Non signé32 |
214 |
Poids du ciblage de l’interface |
4874 |
NASREQ |
Spécifiez un poids pour une interface afin de l’associer à un ensemble d’interfaces et donc à la liaison agrégée de membre Ethernet de l’ensemble pour une distribution ciblée. Lorsqu’un ensemble d’interfaces n’a pas de poids, alors la valeur de poids de l’interface de la première interface d’abonné autorisée est utilisée pour l’ensemble. |
Non signé32 |
2004 |
Offre de services Juniper |
2636 |
JSRC |
Spécifie le nom de l’offre de services. |
OctetString |
2010 |
Options Juniper-DHCP |
2636 |
JSRC |
Spécifie les options DHCP du client. |
OctetString |
2011 |
Adresse JUNIPER-DHCP-GI |
2636 |
JSRC |
Spécifie l’adresse IP de l’agent relais DHCP. |
OctetString |
2020 |
Installation des stratégies Juniper |
2636 |
JSRC, PTSP |
Spécifie les stratégies à activer pour l’abonné. Inclut Juniper-Policy-Name et Juniper-Policy-Definition |
Regroupés |
2021 |
Juniper-Policy-Name |
2636 |
JSRC, PTSP |
Définit le nom d’une décision de stratégie. |
OctetString |
2022 |
Juniper-Policy-Définition |
2636 |
JSRC, PTSP |
Définit une décision de stratégie. Inclut Juniper-Policy-Name, Juniper-Template-Name et Juniper-Substitution. |
Regroupés |
2023 |
Nom du modèle Juniper |
2636 |
JSRC, PTSP |
Spécifie le nom du profil défini par le routeur. PTSP ne prend en charge que le |
Chaîne UTF8 |
2024 |
Substitution Juniper |
2636 |
JSRC, PTSP |
Définit les attributs de substitution. Inclut Juniper-Substitution-Name et Juniper-Substitution-Value. |
OctetString |
2025 |
Nom de substitution Juniper |
2636 |
JSRC, PTSP |
Définit le nom de la variable à remplacer. |
OctetString |
2026 |
Valeur de substitution Juniper |
2636 |
JSRC, PTSP |
Définit la valeur de la variable à remplacer. |
OctetString |
2027 |
Politique Juniper-Supprimer |
2636 |
JSRC, PTSP |
Spécifie les stratégies à désactiver pour l’abonné. Inclut Juniper-Policy-Name. |
Regroupés |
2035 |
Échec de la stratégie Juniper |
2636 |
JSRC, PTSP |
Spécifie le nom de l’activation ou de la désactivation de la stratégie qui a échoué. |
OctetString |
2038 |
Juniper-Policy-Success |
2636 |
JSRC, PTSP |
Spécifie le nom de l’activation ou de la désactivation de la stratégie qui a réussi. |
OctetString |
2046 |
Système logique Juniper |
2636 |
JSRC, PTSP |
Spécifie le système logique. |
Chaîne UTF8 |
2047 |
Instance de routage Juniper |
2636 |
JSRC, PTSP |
Spécifie l’instance de routage. |
Chaîne UTF8 |
2048 |
Partition Juniper-Jsrc |
2636 |
JSRC, PTSP |
Spécifie le système logique et l’instance de routage pour l’abonné ou la demande. Inclut le système logique Juniper et l’instance de routage Juniper |
Regroupés |
2050 |
Type de demande Juniper |
2636 |
JSRC, PTSP |
Décrit le type de demande :
|
Énumérés |
2051 |
Type de synchronisation Juniper |
2636 |
JSRC, PTSP |
Décrit le type de synchronisation :
|
Énumérés |
2052 |
Synchronisation Juniper |
2636 |
JSRC, PTSP |
Décrit l’état de la synchronisation :
|
Énumérés |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
Spécifie les données statistiques pour chaque stratégie installée pour cet abonné. Inclut Juniper-Policy-Name. |
Regroupés |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Spécifie s’il convient de collecter des données de comptabilisation pour la stratégie (service) installée lorsqu’elles sont incluses dans l’AVP Juniper-Policy-Install :
|
Énumérés |
2058 |
Id d’état Juniper |
2636 |
JSRC, PTSP |
Spécifie la valeur attribuée à chaque cycle de synchronisation afin d’identifier les messages à rejeter. Toutes les requêtes sollicitées contenant la même
Note:
Pour les demandes de synchronisation sollicitées, le message SRQ contient la valeur incrémentée |
Non signé32 |
2100 |
Routeur virtuel Juniper |
2636 |
Gx-Plus, JSRC |
Spécifie le nom du routeur virtuel associé à la session. |
Chaîne UTF8 |
2101 |
Source de provisionnement Juniper |
2636 |
Gx-Plus |
Spécifie la source de provisionnement de la session dans les messages CCR-N et JSDA :
|
Énumérés |
2102 |
Descripteur Juniper-Provisionnement |
2636 |
Gx-Plus |
Définit le groupe utilisé dans les messages JSDA qui inclut l’ID de session, et éventuellement Juniper-Provisioning-Source et les données d’abonné. |
Regroupés |
2103 |
Type d’événement Juniper |
2636 |
Gx-Plus |
Communique le type d’événement dans les messages JSER :
|
Énumérés |
2104 |
Descripteur Juniper-Discovery |
2636 |
Gx-Plus |
Définit le groupe utilisé dans les messages JSDR et JSDA qui inclut les paramètres d’une demande de découverte : type de découverte, chaîne de requête, verbosité, résultats max. |
Regroupés |
2105 |
Type Juniper-Discovery |
2636 |
Gx-Plus |
Spécifie la sous-commande de découverte pour les messages JSDR et JSDA :
|
Énumérés |
2106 |
Juniper-Verbosity-Level |
2636 |
Gx-Plus |
Spécifie le niveau de verbosité pour les messages JSDR et JSDA :
|
Énumérés |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Spécifie une chaîne générique interprétée en fonction du contexte. |
Chaîne UTF8 |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Spécifie une chaîne générique interprétée en fonction du contexte. |
Chaîne UTF8 |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Spécifie une chaîne générique interprétée en fonction du contexte. |
Chaîne UTF8 |
2110 |
Juniper-Non signé32-A |
2636 |
Gx-Plus |
Spécifie un entier 32 bits générique et non signé qui est interprété en fonction du contexte. |
Non signé32 |
2111 |
Juniper-Non signé32-B |
2636 |
Gx-Plus |
Spécifie un entier 32 bits générique et non signé qui est interprété en fonction du contexte. |
Non signé32 |
2112 |
Juniper-Non signé32-C |
2636 |
Gx-Plus |
Spécifie un entier 32 bits générique et non signé qui est interprété en fonction du contexte. |
Non signé32 |
2200 |
Préfixe Juniper-IPv6-Ndra |
2636 |
JSRC |
S’il est disponible dans l’entrée IPv6Prefix de la base de données de sessions de l’abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés au SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
IPv6Prefix |
2201 |
Masque Juniper-Framed-IPv6-Net |
2636 |
JSRC |
S’il est disponible dans l’entrée Adresse IPv6 de la base de données de sessions de l’abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés au SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Adresse IPv6 |
2202 |
Juniper-Agent-Circuit-Id |
2636 |
JSRC |
Identifie l’abonné par nœud d’accès et par ligne d’abonné. S'il est disponible dans l'entrée de la base de données de session de l'abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés au SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
OctetString |
2203 |
Id de l’agent Juniper |
2636 |
JSRC |
Identifie l’abonné sur le nœud d’accès. S'il est disponible dans l'entrée de la base de données de session de l'abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés au SAE. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
OctetString |
2204 |
Juniper-Acct-IPv6-entrée-octets |
2636 |
JSRC |
Nombre d’octets IPv6 reçus sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés au SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
2205 |
Juniper-Acct-IPv6-Output-Octets |
2636 |
JSRC |
Nombre d’octets IPv6 envoyés sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés au SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
2206 |
Juniper-Acct-IPv6-Input-Pkts |
2636 |
JSRC |
Nombre de paquets IPv6 reçus sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés au SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
2207 |
Juniper-Acct-IPv6-Output-Pkts |
2636 |
JSRC |
Nombre de paquets IPv6 envoyés sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés au SAE, même lorsque la valeur est nulle. Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC. |
Non signé64 |
Les AAV Tekelec ne sont utilisés que pour Gx-Plus. Ces AAV ont un numéro d’entreprise de 21274. Le tableau 4 répertorie les AAV Tekelec. Ces quatre variables sont utilisées pour fournir des valeurs de substitution aux variables de service CoS définies par l’utilisateur.
Numéro d’attribut |
AVP de diamètre |
Application |
Description |
Type |
---|---|---|---|---|
5555 |
Tekelec-Charging-Rule-Argument-Name |
Gx-Plus |
Définit le nom de la variable de service à remplacer. |
OctetString |
5556 |
Tekelec-Charging-Règle-Argument-Valeur |
Gx-Plus |
Définit la valeur de la variable de service à remplacer. |
OctetString |
5557 |
Tekelec-Charging-Rule-Argument |
Gx-Plus |
Définit les attributs de substitution utilisés pour remplacer les variables de service. Inclut Tekelec-Charging-Rule-Argument-Name AVP (555) et Tekelec-Charging-Rule-Argument-Value AVP (5556). |
Regroupés |
5558 |
Tekelec-Charging-Rule-With-Arguments |
Gx-Plus |
Demande l’installation de la règle (activation du service) désignée par l’AVP Charging-Rule-Name (1005). Les substitutions de variables de service demandées sont fournies par l’AVP Tekelec-Charging-Rule-Argument (5557) inclus en option. |
Regroupés |
Configuration du diamètre
Vous configurez Diameter en spécifiant l’origine du point de terminaison, les pairs distants, la connexion de la couche de transport et les éléments réseau qui associent des routes à des pairs. Seule l’instance master Diameter est actuellement prise en charge. Vous pouvez configurer des valeurs alternatives pour cette instance Diameter uniquement dans le contexte de l’instance de routage par défaut.
Pour configurer le protocole de base Diameter :
Configuration des attributs d’origine de l’instance Diameter
Vous pouvez configurer les caractéristiques d’identification du nœud de point de terminaison à l’origine des messages Diameter pour l’instance Diameter. Le nom d’hôte est fourni en tant que valeur de l’AVP Origine-Hôte par l’instance Diameter. Le royaume est fourni en tant que valeur de l’AVP Origin-Realm par l’instance Diameter.
Pour configurer les attributs d’origine d’une instance Diameter :
Configuration des pairs de diamètre
Vous pouvez configurer les pairs auxquels Diameter envoie des messages. Diameter utilise le système logique et l’instance de routage par défaut. Le port 3868 est utilisé par défaut pour les connexions actives aux pairs.
Pour configurer un peer distant pour une instance Diameter :
Par exemple, la configuration suivante pour peer p3 spécifie une adresse IPv4, l’instance de routage ri8, le port de destination 49152, le transport t6, une origine de l’hôte 1 dans example.com et inclut l’AVP d’origine-état dans les messages.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Configuration du transport de diamètre
Vous pouvez configurer un ou plusieurs transports pour une instance Diameter afin de définir l’adresse IPv4 ou IPv6 de la connexion locale, et éventuellement de configurer un système logique ou un contexte d’instance de routage. Diameter utilise le système logique et l’instance de routage par défaut. Le système logique et l’instance de routage de la connexion de transport doivent correspondre à celui de l’homologue, sinon une erreur de configuration est signalée. Plusieurs pairs peuvent partager le même transport.
Pour configurer un transport pour une instance Diameter :
Par exemple, la configuration suivante pour le transport t1 spécifie une adresse IPv6, le système logique ls5 et l’instance de routage ri10.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Configuration des éléments du réseau Diameter
Un élément réseau Diameter (DNE) se compose d’applications associées (appelées fonctions dans la CLI), d’une liste de pairs hiérarchisés et d’un ensemble de règles de transfert. Les règles de transfert définissent des routes individuelles via un ensemble de destinations, d’applications et de mesures associées. Au moins un DNE doit être configuré par châssis pour lancer le processus Diameter (jdiameterd).
Avant de configurer les éléments du réseau Diameter, effectuez la tâche suivante :
Définissez les pairs de diamètre. Voir Configuration des pairs de diamètre.
Pour configurer un élément réseau Diameter :
Exemple : configurer l’application S6a
Cet exemple montre comment configurer l’application S6a d’authentification basée sur le diamètre sur votre pare-feu SRX Series pour récupérer les informations d’authentification du serveur d’abonnés.
Exigences
Cet exemple utilise le matériel suivant :
N’importe quel pare-feu SRX Series
Avant de commencer, lisez la présentation du protocole de base de diamètre.
Aperçu
Dans cet exemple, vous créez une partition S6a et spécifiez l’origine du point de terminaison, les pairs distants et les éléments réseau qui associent des routes à des pairs pour contrôler le transfert de diamètre des messages S6a. Vous créez également une partition S6a pour que seule l’instance master Diameter soit actuellement prise en charge. Vous pouvez configurer des valeurs alternatives pour l’instance master
Diameter uniquement dans le contexte de l’instance de routage par défaut.
Configuration
- Configurer le profil d’accès et les paramètres de l’application de diamètre
- Configurer des interfaces Ethernet redondantes
- Configurer les zones de sécurité et les stratégies de sécurité pour autoriser l’application S6a Diameter
Configurer le profil d’accès et les paramètres de l’application de diamètre
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis saisissez commit à partir du mode de configuration.
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer les paramètres du profil d’accès et du diamètre de l’application :
Spécifiez le profil d’accès à utiliser pour l’ordre d’authentification.
[edit access-profile] user@host# set s6a_test
Spécifiez l’ordre dans lequel les méthodes d’authentification sont utilisées.
[edit access profile] user@host# set s6a_test authentication-order s6a
Créez la partition ou spécifiez le nom d’une partition existante.
[edit access] user@host# set s6a partition partition_name
Configurez le domaine de destination pour la partition s6a.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Configurez l’hôte de destination pour la partition s6a.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Spécifiez l’instance Diameter pour la partition s6a.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Note:Actuellement, seule l’instance Diameter par défaut,
master
, est prise en charge.Fixez une limite au nombre de demandes en suspens.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Configurez le délai en quelques secondes avant que le s6a ne tente d’envoyer un message de déconnexion de l’abonné.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Indiquez le nom du royaume à l’origine du message Diameter.
[edit diameter] user@host# set origin realm zzz.com
Indiquez le nom de l’hôte à l’origine du message Diameter.
[edit diameter] user@host# set origin host s6a.zzz.com
Spécifiez le nom de l’élément réseau.
[edit diameter] user@host# set network-element ne3
Associez un peer Diameter à l’élément réseau.
[edit diameter] user@host# set network-element peer p3
Définissez la priorité pour le pair.
[edit diameter] user@host# set network-element peer p3 priority 100
Spécifiez un routage accessible via l’élément réseau en fonction des règles de transfert que vous définissez.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Spécifiez une métrique pour le routage.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Spécifiez l’adresse IP de l’homologue Diameter.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Spécifiez le port que Diameter utilise pour les connexions actives à l’homologue.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show access
commandes et show diameter
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show access s6a { partition partition_name { destination-realm zzz.com; destination-host s6b.zzz.com; diameter-instance master; max-outstanding-requests 40; response-timeout 20; } }
[edit] user@host# show diameter origin { realm zzz.com; host s6a.zzz.com; } network-element ne3 { forwarding { route r0 { metric 100; } } } peer p3 { address 192.0.0.244; connect-actively { port 63101; } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Configurer des interfaces Ethernet redondantes
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis saisissez commit à partir du mode de configuration.
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer des interfaces Ethernet redondantes :
Configurez des interfaces Ethernet redondantes.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show interfaces
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/0 { gigether-options { redundant-parent reth0; } } ge-0/0/1 { gigether-options { redundant-parent reth1; } } ge-7/0/0 { gigether-options { redundant-parent reth0; } } ge-7/0/1 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.0.0.254/8; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 198.51.100.254/8; } } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Configurer les zones de sécurité et les stratégies de sécurité pour autoriser l’application S6a Diameter
Configuration rapide cli
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis saisissez commit à partir du mode de configuration.
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer des stratégies et des zones de sécurité :
Définissez les services et protocoles système sur l’interface reth1.0.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Définissez les services et protocoles système sur l’interface reth0.0.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Configurez les stratégies de sécurité.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security policies from-zone Inside to-zone Outside { policy policy0 { match { source-address any; destination-address any; application any; } then { permit; } } }
[edit] user@host# show security zones security-zone Outside { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } security-zone Inside { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Vérification du statut S6a
But
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Action
À partir du mode opérationnel, saisissez le show network-access s6a state
, show network-access s6a statistics
et show network-access s6a statistics extensive
les commandes pour vérifier l’état d’accès au réseau et les statistiques de l’application s6a.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Sens
Le show network-access s6a state
, show network-access s6a statistics
et show network-access s6a statistics extensive
les commandes affichent l’état de l’application S6a et les statistiques des informations d’authentification récupérées sur le serveur abonné.