Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Protocole de base Diameter

Présentation du protocole de base Diameter

Le protocole Diameter est défini dans la RFC 3588, Diameter Base Protocol, et offre une alternative à RADIUS plus flexible et extensible. Le protocole de base Diameter fournit des services de base à une ou plusieurs applications (également appelées fonctions) qui s’exécutent dans une autre instance de Diameter. L’application individuelle fournit la fonctionnalité AAA étendue. Les applications qui utilisent Diameter sont les suivantes : Gx-Plus, JSRC, NASREQ, PTSP et S6a. À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.

Les homologues Diameter communiquent via une connexion fiable au niveau de la couche de transport TCP en échangeant des messages Diameter qui transmettent l’état, les demandes et les accusés de réception au moyen d’AVP Diameter standard et d’AVP spécifiques à l’application. La configuration de la couche de transport Diameter est basée sur les éléments de réseau Diameter (DNE) ; plusieurs DNE par instance de Diameter sont pris en charge. Actuellement, seule l’occurrence principale Diameter prédéfinie est prise en charge, mais vous pouvez configurer d’autres valeurs pour la plupart des valeurs d’occurrence Master Diameter.

Chaque DNE se compose d’une liste hiérarchisée d’homologues et d’un ensemble de routes qui définissent la manière dont le trafic est transféré. Chaque route associe une destination à une fonction (application), une partition de fonction et une métrique. Lorsqu’une application envoie un message à une destination routée, toutes les routes de l’instance de protocole Diameter sont examinées à la recherche d’une correspondance. Lorsque le meilleur itinéraire vers la destination a été sélectionné, le message est transmis au moyen du DNE qui inclut cet itinéraire.

Plusieurs itinéraires vers la même destination peuvent exister au sein d’un même DNE et dans différents DNE. Dans le cas de plusieurs itinéraires qui correspondent à une demande de transfert, le meilleur itinéraire est sélectionné comme suit :

  1. L’itinéraire avec la métrique la plus basse est sélectionné.

  2. En cas d’égalité, l’itinéraire ayant obtenu le score le plus élevé est sélectionné.

  3. Dans le cas d’une autre égalité, les noms des DNE sont comparés dans l’ordre lexicographique. L’itinéraire du DNE avec la valeur la plus faible est sélectionné. Par exemple, dne-austin a une valeur inférieure à dne-boston.

  4. Si les routes sont reliées au sein du même DNE, les noms des routes sont comparés dans l’ordre lexicographique. L’itinéraire avec la valeur la plus faible est sélectionné.

Par défaut, le score de spécification d’un itinéraire est de 0. Les points sont ajoutés au score comme suit :

  • Si le domaine de destination correspond à la requête, ajoutez 1.

  • Si l’hôte de destination correspond à la demande, ajoutez 2.

  • Si la fonction correspond à la requête, ajoutez 3.

  • Si la partition de fonction correspond à la requête, ajoutez 4.

Plusieurs itinéraires vers la même destination peuvent exister au sein d’un même DNE et dans différents DNE. Dans le cas de plusieurs itinéraires qui correspondent à une demande de transfert, Diameter sélectionne le meilleur itinéraire comme suit :

  1. Diameter compare la métrique des itinéraires et sélectionne l’itinéraire avec la métrique la plus basse.

  2. Si plusieurs itinéraires ont la même mesure la plus basse, Diameter sélectionne l’itinéraire le plus qualifié. Diameter évalue plusieurs attributs de la route pour déterminer un score qui reflète la manière dont chaque route correspond spécifiquement à la demande. Par défaut, le score d’un itinéraire est de 0. Les points sont ajoutés au score comme suit :

    • Si le domaine de destination correspond à la requête, ajoutez 1.

    • Si l’hôte de destination correspond à la demande, ajoutez 2.

    • Si la fonction correspond à la requête, ajoutez 3.

    • Si la partition de fonction correspond à la requête, ajoutez 4.

  3. Si plusieurs itinéraires sont également qualifiés, Diameter compare les noms des NDE dans l’ordre lexicographique et sélectionne l’itinéraire dans le DNE qui a la valeur la plus faible. Par exemple, dne-austin a une valeur inférieure à dne-boston.

  4. Si les itinéraires sont liés au sein du même DNE, Diameter compare les noms des itinéraires dans l’ordre lexicographique et sélectionne l’itinéraire dont la valeur est la plus faible.

Lorsque l’état d’un DNE change, la recherche d’itinéraire pour toutes les destinations est réévaluée. Tous les messages en attente vers des destinations acheminées sont réacheminés selon les besoins, ou ignorés.

Pour configurer un élément de réseau Diameter, incluez l’instruction network-element au niveau de la [edit diameter] hiérarchie, puis incluez-la route au niveau de la [edit diameter network-element element-name forwarding] hiérarchie.

Pour configurer un itinéraire pour le DNE, incluez les destination instructions (facultatif), function (facultatif) et metric au niveau de la [edit diameter network-element element-name forwarding route dne-route-name] hiérarchie.

Spécifiez les homologues Diameter associés au DNE en incluant une ou plusieurs peer instructions au niveau de la [edit diameter network-element element-name] hiérarchie.

Définissez la priorité de chaque homologue à l’aide de l’instruction priority au niveau de la [edit diameter network-element element-name peer peer-name] hiérarchie.

Diameter vous oblige à configurer des informations sur le noeud d’origine ; il s’agit du nœud de point de terminaison à l’origine de Diameter pour l’instance Diameter. Incluez les host instructions et realm au niveau de la [edit diameter] hiérarchie pour configurer l’origine du diamètre.

Si vous le souhaitez, vous pouvez configurer un ou plusieurs transports pour spécifier l’adresse source (locale) de la connexion de la couche transport. Pour configurer un transport Diameter, incluez l’instruction transport au niveau de la [edit diameter] hiérarchie. Incluez ensuite l’instruction address au niveau de la [edit diameter transport transport-name] hiérarchie.

Vous pouvez éventuellement spécifier un système logique et une instance de routage pour la connexion en incluant les logical-system instructions et routing-instance au niveau de la [edit diameter transport transport-name] hiérarchie. Par défaut, Diameter utilise le système logique par défaut et l’instance de routage par défaut (à l’aide de la table de routage principale inet.0). Le système logique et l’instance de routage de la connexion de transport doivent correspondre à ceux de l’homologue, sinon une erreur de configuration est signalée.

Chaque pair de diamètre est spécifié par un nom. Les attributs homologues incluent l’adresse et le port TCP de destination utilisé par les connexions actives à cet homologue. Pour configurer un homologue Diameter, incluez l’instruction peer au niveau de la [edit diameter] hiérarchie, puis incluez les address instructions et connect-actively au niveau de la [edit diameter peer peer-name] hiérarchie.

Pour configurer la connexion active, incluez les port instructions et transport au niveau de la [edit diameter peer peer-name connect-actively] hiérarchie. Le transport affecté identifie l’adresse source de la couche transport utilisée pour établir des connexions actives avec les homologues. transport Déclarations.

Avantages de l’utilisation de Diameter

  • Diameter permet de réduire la charge sur le réseau et les serveurs en rapportant les informations d’utilisation à une fréquence beaucoup plus faible que RADIUS. RADIUS implique des mises à jour périodiques, indépendamment des changements d’utilisation. Les applications Diameter telles que Gx vous permettent de définir des seuils en corrélant les statistiques d’utilisation du routeur vers le PCRF. Le FCRP peut alors apporter les ajustements appropriés aux services et aux coûts.

  • Les services sans fil et la recharge sont généralement effectués avec les applications Diameter, mais les services filaires utilisent généralement une infrastructure RADIUS. Les clients proposant des offres filaires et sans fil peuvent réduire la complexité et le coût de maintenance d’infrastructures distinctes en migrant leurs opérations filaires vers leur infrastructure sans fil Diameter existante.

  • Les applications qui s’exécutent sur Diameter ont tendance à être à états (certaines peuvent être l’un ou l’autre, comme NASREQ), alors que RADIUS ne l’est pas.

  • Plusieurs protocoles d’application peuvent s’exécuter sur Diameter, tels que NASREQ, Gx, Gy, JSRC et S6a.

  • L’espace attributaire est plus grand que RADIUS, ce qui permet d’utiliser un plus grand nombre d’attributs standard et spécifiques aux fournisseurs (AVP) que RADIUS. Diameter prend également en charge les attributs standard RADIUS, en leur réservant les AVP 1 à 255.

Messages utilisés par les applications Diameter

Junos OS prend en charge les applications Diameter suivantes :

  • JSRC : application Juniper Networks Diameter enregistrée auprès de l’IANA (http://www.iana.org) sous le nom de Juniper Policy-Control-JSRC, avec l’ID 16777244. Il communique avec le SAE (Remote SRC Peler).

  • PTSP : application Juniper Networks Diameter enregistrée auprès de l’IANA (http://www.iana.org) sous le nom de Juniper JGx, avec un ID de 16777273. Il communique avec le SAE (Remote SRC Peler). À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.

  • Gx-Plus : application qui étend l’interface 3GPP Gx aux cas d’usage filaires. Le 3GPP Gx est enregistré auprès de l’IANA (http://www.iana.org). Il communique avec un PCRF.

    Si les données d’un AVP particulier inclus dans un message ne sont pas disponibles pour le routeur, Gx-Plus omet simplement l’AVP du message qu’il envoie au PCRF. Si le FCRP détermine qu’il ne dispose pas de renseignements suffisants pour prendre une décision, il peut rejeter la demande. Les messages de réponse Diameter incluent le code de résultat AVP (AVP 268) ; les valeurs de cet AVP transmettent la réussite, l’échec ou les erreurs au demandeur.

  • NASREQ : protocole d’authentification, d’autorisation et de comptabilité basé sur le diamètre défini dans la norme RFC 7155. Junos OS prend uniquement en charge l’authentification et l’autorisation.

Juniper Networks a également enregistré l’application Juniper-Session-Recovery (16777296) et deux nouveaux codes de commande (8388628 pour Juniper-Session-Events et 8388629 pour Juniper-Session-Discovery) auprès de l’IANA (http://www.iana.org).

Le Tableau 1 décrit les messages Diameter utilisés par les applications.

Tableau 1 : messages de diamètre et applications de diamètre

Message de diamètre

Code

Application

Description

Demande AA (AAR)

265

JSRC, NASREQ, PTSP

Demande de l’application à la SAE lors de la connexion du nouvel abonné ou lors de la synchronisation SAE-application. Il peut s’agir de l’un des trois types suivants : address-authorization, provisioning-request ou synchronization.

Réponse AAA (AAA)

265

JSRC, NASREQ, PTSP

Réponse de la SAE au message AA-Request de l’application.

Demande d’abandon de session (ASR)

274

JSRC, NASREQ, PTSP

Demandez à l’application de se déconnecter d’un abonné provisionné.

Abandonner-session-réponse (ASA)

274

JSRC, NASREQ, PTSP

Réponse de l’application au message ASR de la SAE. Si l’application envoie la demande de déconnexion à AAA, le message ASA inclut une notification de réussite (ACK). En cas d’échec de la déconnexion, le message ASA inclut une notification d’échec (NAK).

Demande de comptabilité (ACR)

271

JSRC, PTSP

Demande de la SAE à l’application ou de la demande à la SAE pour les statistiques.

Réponse comptable (ACA)

271

JSRC, PTSP

Réponse au message ACR pour fournir des statistiques pour chaque stratégie (service) installée.

Demande d’échange de capacités (CER)

257

Gx-Plus

Demande d’un pair à un autre lorsque les pairs établissent une connexion de transport ; Lance la négociation de capacité. La CER annonce l’identité et les capacités de l’homologue, notamment les applications et les mécanismes de sécurité pris en charge.

Réponse d’échange de capacités (CEA)

257

Gx-Plus

Réponse au message de la Régie pour annoncer les capacités de cet homologue. Si cet homologue n’a aucune capacité en commun avec l’homologue qui a envoyé le CER, il doit définir le code de résultat AVP sur DIAMETER_NO_COMMON_APPLICATION et doit abandonner la connexion. Dans le cas contraire, les détails de l’ACE établissent des capacités communes entre les pairs et leur permettent d’établir davantage de communication.

Demande de contrôle des crédits (CCR)

272

Gx-Plus

Demande de Gx-Plus au PCRF lors de la connexion, de la déconnexion ou de la mise à jour de l’abonné.

Une requête initiale (CCR-I) est envoyée lorsqu’un abonné se connecte et AAA est invité à activer la session de l’abonné. Gx-Plus réessaie le message CCR-I si aucun message CCA-I n’est reçu du PCRF dans les 10 secondes. Le message CCR-I est réessayé jusqu’à 3 fois.

Le message CCR-I inclut l’attribut Diameter AVP Subscription-Id (443) avec le sous-attribut Subscription-Id-Type Diameter AVP (450) défini sur 4 (END_USER_PRIVATE) et le sous-attribut Subscription-Id-Data Diameter AVP (444) défini sur reserved.

Si aucun CCA-I n’est reçu après l’envoi des 4 messages CCR-I (le premier message plus 3 tentatives), Gx-Plus commence à envoyer des messages CCR-N. Les messages CCR-N sont réessayés indéfiniment jusqu’à ce qu’une réponse de réussite ou d’échec soit reçue du PCRF. Les messages CCR-N incluent l’AVP Juniper-Provisioning-Source (code AVP 2101) défini sur local pour informer le PCRF que le routeur est habilité à prendre une décision locale concernant l’activation du service abonné.

Un message de demande de mise à jour (CCR-U) est envoyé lorsqu’un seuil d’utilisation est atteint. Le CCR-U rend compte de l’utilisation réelle pour toutes les statistiques. Le PCRF peut renvoyer un message CCA-U qui inclut de nouveaux seuils de surveillance, des activations et des désactivations de services.

Si le PCRF expire sur le rapport CCR-U, le routeur définit le seuil par défaut sur 10 minutes. Lorsque la modification des valeurs seuils est inférieure au minimum, les valeurs sont ajustées aux valeurs minimales. Par exemple, l’augmentation minimale de la durée est de 10 minutes.

Un CCR-U est également envoyé pour signaler l’état de l’activation ou de la désactivation du service. Lorsqu’un service surveillé est désactivé séparément de la déconnexion d’un abonné, le CCR-U indique que le service n’est plus actif et inclut les données d’utilisation du service.

Une demande de résiliation (CCR-T) est envoyée lors de la déconnexion de l’abonné pour informer le PCRF qu’une session d’abonné provisionnée est en cours de résiliation. Les messages CCR-T sont réessayés indéfiniment jusqu’à ce qu’une réponse positive soit reçue du PCRF.

Lorsqu’un service surveillé est désactivé dans le cadre de la déconnexion de l’abonné, le message CCR-T inclut des données sur l’utilisation surveillée du service, telles que les octets utilisés.

Crédit-contrôle-réponse (CCA)

272

Gx-Plus

Répondez du FCRP à un message du CCR.

En réponse à un CCR-I, le PCRF renvoie un message CCA-I qui indique la réussite (DIAMETER_SUCCESS) ou l’échec (DIAMETER AUTHORIZATION REJECTED) selon que l’abonné dispose ou non d’un crédit suffisant pour les services demandés. Toutes les autres réponses sont ignorées et le CCR-I est réessayé.

En réponse à un CCR-T, le PCRF renvoie un message CCA-T qui indique une terminaison réussie avec une valeur de 2001 (DIAMETER SUCCESS) dans le code de résultat AVP. Toutes les autres réponses sont ignorées et le CCR-T est réessayé.

Un CCA-N est une réponse à un CCR-N.

Juniper-Session-Discovery-Request (JSDR)

8388629

Gx-Plus

Demande de découverte du PCRF à Gx-Plus pour découvrir les sessions d’abonnés sur le routeur.

Juniper-Session-Discovery-Answer (JSDA)

8388629

Gx-Plus

Répondre du routeur à un message JSDR ; Décrit les informations de session. Le code de résultat AVP inclut l’une des valeurs suivantes, ou une valeur d’erreur :

  • 2001—DIAMETER_SUCCESS ; La fin de la base de données a été atteinte, ce qui signifie que toutes les informations ont été envoyées.

  • 2002—DIAMETER_LIMITED_SUCCESS ; Une partie des informations de session a été envoyée, mais d’autres restent à envoyer.

demande d’événement de session Juniper (JSER)

8388628

Gx-Plus

Demande du routeur au PCRF concernant les événements qui se produisent sur le routeur. Notifie le PCRF de certains événements sur le routeur en incluant l’AVP de type d’événement Juniper (code AVP 2103). Les événements signalés comprennent les démarrages à froid ou à chaud, les demandes de découverte explicites, les modifications de configuration substantielles, la non-réponse ou la réponse d’erreur du PCRF et l’épuisement des ressources tolérantes aux pannes.

Juniper-Session-Event-Answer (JSEA)

8388628

Gx-Plus

Réponse de PCRF à un message JSER.

Demande de profil push (PPR)

288

JSRC, PTSP

Demande du SAE au routeur d’activer ou de désactiver des services pour un abonné.

Push-Profile-Answer (PPA)

288

JSRC, PTSP

Réponse du routeur au message PPR de la SAE. Inclut une notification de réussite ou d’échec pour chacune des commandes d’activation ou de désactivation du service dans la demande.

Re-Auth-Request (RAR)

258

Gx-Plus

Demande d’audit du PCRF au routeur pour déterminer si un abonné spécifique est toujours présent.

Le routeur met à jour la clé de surveillance et les valeurs de seuil lorsqu’elles sont reçues dans le RAR.

Re-Auth-Answer (RAA)

258

Gx-Plus

Répondre du routeur à un message RAR ; indique si l’abonné est actif. Le code de résultat AVP inclut l’une des valeurs suivantes :

  • 2001—DIAMETER_SUCCESS ; Une entrée d’abonné a été trouvée.

  • 5002—DIAMETER_UNKNOWN_SESSION_ID ; L’entrée de l’abonné est introuvable.

  • 3002—DIAMETER_UNABLE_TO_DELIVER ; Gx-Plus n’est pas configuré.

Requête de ressource de session (SRQ)

277

JSRC, PTSP

Demande du routeur au SAE ou du SAE au routeur pour lancer la synchronisation entre le routeur et le SAE.

Session-Resource-Reply (SRR)

277

JSRC, PTSP

Réponse au message SRQ pour lancer la synchronisation.

Demande de terminaison de session (STR)

275

JSRC, NASREQ, PTSP

Notification du routeur au SAE indiquant qu’un abonné provisionné s’est déconnecté.

Session-Termination-Answer (STA)

275

JSRC, NASREQ, PTSP

Réponse de la SAE au message STR du routeur. Inclut les notifications de réussite ou d’échec.

Diamètre, AVP et applications de diamètre

Diameter transmet des informations en incluant diverses paires attribut-valeur (AVP) dans les messages Diameter, de la même manière que RADIUS transmet des informations à la fois dans les attributs RADIUS standard de l’IETF et dans les attributs spécifiques aux fournisseurs (VSA). Le Tableau 2 répertorie les AVP Diameter standard utilisés dans les interactions avec les applications Diameter prises en charge. Diameter réserve les numéros d’attribut AVP de 0 à 255 pour les attributs RADIUS qui sont implémentés dans Diameter ; les numéros d’attribut Diamètre sont les mêmes que pour les attributs RADIUS standard correspondants. Les attributs numérotés supérieurs à 255 n’ont pas d’attribut RADIUS standard correspondant. À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.

Tableau 2 : AVP de diamètre standard

Numéro d’attribut

Diamètre AVP

Application

Description

Type

1

Nom d’utilisateur

Gx-Plus, JSRC, NASREQ

Spécifie le nom d’utilisateur. Pour un abonné géré par AAA, la valeur est le nom d’utilisateur de l’abonné. Pour une interface statique, la valeur est le nom de l’interface, qui est utilisé comme nom de connexion de l’abonné.

UTF8String

2

Mot de passe utilisateur

NASREQ (en anglais seulement)

Spécifie le mot de passe de l'utilisateur à authentifier ou l'entrée de l'utilisateur dans un échange d'authentification à plusieurs tours.

OctetString

4

Adresse IP NAS

NASREQ (en anglais seulement)

Spécifie l’adresse IP du NAS qui authentifie l’utilisateur.

IPAddress

6

Type de service

NASREQ (en anglais seulement)

Spécifie le type de service demandé par l’utilisateur ou le type de service à fournir. L’un de ces AVP peut être présent dans une demande ou une réponse d’authentification ou d’autorisation. Un NAS n’est pas nécessaire pour mettre en œuvre tous ces types de services.

Énumérés

8

adresse IP tramée

Gx-Plus, JSRC, NASREQ, PTSP

Identifie l’adresse IPv4 configurée pour l’abonné. Il s’agit de la même valeur que pour l’attribut RADIUS Framed-IP-Address [8].

OctetString

9

Masque de réseau IP cadré

NASREQ (en anglais seulement)

Identifie les quatre octets du masque de réseau IPv4.

OctetString

11

ID de filtre

NASREQ (en anglais seulement)

Spécifie le nom de la liste de filtres d’un utilisateur. Il est destiné à être lisible par l’homme. Zéro ou plusieurs AVP Filter-Id peuvent être envoyés dans un message de réponse d’autorisation.

UTF8String

12

MTU cadré

NASREQ (en anglais seulement)

Spécifie l’unité de transmission maximale (MTU) à configurer pour l’utilisateur, lorsqu’elle n’est pas négociée par un autre moyen (tel que PPP).

Non signé32

22

Itinéraire cadré

NASREQ (en anglais seulement)

Spécifie les informations de routage US-ASCII 7 bits.

UTF8String

25

Classe

NASREQ (en anglais seulement)

Renvoie les informations d’état d’un serveur Diameter au périphérique d’accès.

OctetString

27

Délai d’expiration de la session

NASREQ (en anglais seulement)

Spécifie le nombre maximal de secondes de service fourni à l’utilisateur avant l’arrêt de la session.

Non signé32

28

Délai d’inactivité

NASREQ (en anglais seulement)

Spécifie le nombre maximal de secondes consécutives d’inactivité autorisées pour l’utilisateur avant l’arrêt de la session ou avant l’émission d’une invite.

Non signé32

32

Identificateur NAS

NASREQ (en anglais seulement)

Spécifie l’identité du NAS qui fournit le service à l’utilisateur.

DiamIdent

44

ID de session de compte

NASREQ (en anglais seulement)

Spécifie le contenu de l’attribut RADIUS Acct-Session-Id.

OctetString

50

Acct-Multi-Session-ID

NASREQ (en anglais seulement)

Relie plusieurs sessions de comptabilité associées, où chaque session a un ID de session unique mais le même AVP Acct-Multi-Session-ID.

UTF8String

55

Horodatage d’événement

Gx-Plus, JSRC, PTSP

Spécifie l’heure de l’événement qui a déclenché le message dans lequel cet AVP est inclus. L’heure est indiquée en secondes depuis le 1er janvier 1900 à 00h00 UTC.

Heure

60

Défi CHAP

NASREQ (en anglais seulement)

Spécifie le défi PPP Challenge-Handshake Authentication Protocol (CHAP) envoyé par le NAS à l’homologue CHAP.

OctetString

61

Type de port NAS

NASREQ (en anglais seulement)

Spécifie le type de port sur lequel le NAS authentifie l’utilisateur.

Énumérés

62

limite de ports

NASREQ (en anglais seulement)

Spécifie le nombre maximal de ports que le NAS fournit à l’utilisateur.

Non signé32

78

jeton_configuration

NASREQ (en anglais seulement)

Indique le type de profil utilisateur utilisé.

OctetString

85

Intervalle d’intervalle de compte

JSRC, PTSP

Spécifie le nombre de secondes entre chaque mise à jour comptable intermédiaire pour cette session.

Le routeur utilise les directives suivantes pour la comptabilité intermédiaire :

  • La valeur de l’attribut se situe dans la plage acceptable (600 à 86 400 secondes) : la comptabilité est mise à jour à l’intervalle spécifié.

  • La valeur de l’attribut est inférieure à la valeur minimale acceptable : la comptabilité est mise à jour à l’intervalle minimum (600 secondes).

  • La valeur de l’attribut est supérieure à la valeur maximale acceptable : la comptabilité est mise à jour à l’intervalle maximal (86 400 secondes).

Non signé32

87

ID de port NAS

Gx-Plus, JSRC, NASREQ, PTSP

Identifie le port du NAS qui authentifie l’utilisateur. Il s’agit de la même valeur que pour l’attribut RADIUS NAS-Port-Id [87].

UTF8String

88

Piscine encadrée

NASREQ (en anglais seulement)

Spécifie le nom d’un groupe d’adresses attribué à utiliser pour attribuer une adresse à l’utilisateur. Si un NAS ne prend pas en charge plusieurs pools d’adresses, il ne tient pas compte de cet AVP. Les pools d’adresses sont généralement utilisés pour les adresses IP, mais peuvent être utilisés pour d’autres protocoles si le NAS prend en charge des pools pour ces protocoles.

OctetString

97

Préfixe IPv6 encadré

NASREQ (en anglais seulement)

Spécifie le préfixe IPv6 configuré pour l’utilisateur.

OctetString

99

Route IPv6 cadrée

NASREQ (en anglais seulement)

Spécifie les informations de routage US-ASCII configurées pour l’utilisateur sur le NAS.

UTF8String

100

Pool IPv6 encadré

NASREQ (en anglais seulement)

Spécifie le nom d’un pool affecté à utiliser pour attribuer un préfixe IPv6 à l’utilisateur. Si l’équipement d’accès ne prend pas en charge plusieurs pools de préfixes, il doit ignorer cet AVP.

OctetString

258

ID d’application-authentification

NASREQ (en anglais seulement)

Spécifie la prise en charge de la partie Authentification et autorisation d’une application.

Non signé32

263

ID de session

Gx-Plus, JSRC, NASREQ, PTSP

Spécifie l’identificateur de session de l’abonné. Le routeur attribue cette valeur afin d’identifier de manière unique une session d’abonné.

UTF8String

264

hôte_origine

NASREQ (en anglais seulement)

Spécifie l’hôte à l’origine d’un message Diameter.

DiamIdent

268

Code-résultat

Gx-Plus, JSRC, NASREQ, PTSP

Indique si une demande s’est terminée avec succès. Fournit un code d’erreur en cas d’échec de la demande.

Les classes suivantes sont reconnues par Diamètre :

  • 1xxx—À titre informatif

  • 2xxx — Succès

  • 3xxx—Erreurs de protocole

  • 4xxx : erreurs transitoires

  • 5xxx—Défaillances permanentes

Les classes non reconnues, qui commencent par les chiffres 6 à 9 ou 0, sont traitées comme des échecs permanents.

JSRC et PTSP prennent en charge les valeurs suivantes : Toutes les valeurs de non-réussite sont traitées comme des échecs permanents :

  • 1001—AUTHENTIFICATION RONDE MULTIPLE DE DIAMÈTRE

  • 2001 – SUCCÈS DE DIAMETER

  • 5002 : DIAMÈTRE ID DE SESSION INCONNU

  • 5012 : DIAMÈTRE IMPOSSIBLE À CONFORMER

JSRC prend également en charge la valeur suivante, qui est traitée comme une défaillance permanente :

  • 3004 : DIAMÈTRE TROP CHARGÉ ; Il s’agit d’une condition transitoire, généralement lorsque le routeur a déjà une demande en cours de traitement pour un abonné spécifié.

Gx-Plus prend en charge les valeurs suivantes pour les erreurs dans une réponse PCRF ; Lorsque ces valeurs sont reçues ou que la réponse est mal formée ou méconnaissable, la demande est réessayée.

  • 3001 : COMMANDE DIAMÈTRE NON PRISE EN CHARGE ; L’application n’est pas en cours d’exécution ou la commande n’est pas reconnue.

  • 3004 : DIAMÈTRE TROP CHARGÉ ; Le message reçu est supérieur au quota de transactions en aval ou à la limite de mémoire des messages en attente pour les messages provenant du réseau.

  • 5012 — DIAMÈTRE INCAPABLE DE SE CONFORMER ; Le message reçu est supérieur à la limite locale.

Non signé32

269

Nom du produit

Gx-Plus

Spécifie la valeur du champ Product-Name dans les messages de demande d’échange de capacités (CER) et de réponse d’échange de capacités (CEA). La valeur est toujours JUNOS, sauf si un autre nom est configuré avec l’option product-name au niveau de la [edit diameter] hiérarchie.

Si vous modifiez le nom du produit, le routeur déconnecte toutes les connexions existantes aux homologues Diameter et se reconnecte à l’aide du nouveau nom.

UTF8String

277

État de session d’authentification

JSRC, NASREQ, PTSP

Indique si l’état de session AAA est conservé.

  • 0 : ÉTAT MAINTENU

  • 1 — AUCUN ÉTAT N’EST MAINTENU

Énumérés

279

Échec AVP

NASREQ (en anglais seulement)

Spécifie les informations de débogage dans les cas où une demande est rejetée ou n’est pas entièrement traitée en raison d’informations erronées dans un AVP spécifique. La valeur de l’AVP de code de résultat fournit des informations sur la raison de l’échec de l’AVP AVP.

Groupé

281

Message d’erreur

NASREQ (en anglais seulement)

Spécifie un message d’erreur lisible par l’homme qui peut accompagner un AVP de code de résultat. L’AVP de message d’erreur n’est pas destiné à être utile en temps réel ; Ne vous attendez pas à ce que les entités réseau analysent le message.

UTF8String

283

Royaume-de-destination

NASREQ (en anglais seulement)

Spécifie le domaine de diamètre vers lequel le message de diamètre est acheminé.

DiamIdent

293

Destination-hôte

NASREQ (en anglais seulement)

Spécifie l’hôte vers lequel un message Diamter est acheminé.

DiamIdent

295

Cause de résiliation

JSRC, NASREQ, PTSP

Indique la raison pour laquelle une session a été interrompue sur le périphérique d’accès.

  • 1—DÉCONNEXION DU DIAMÈTRE

  • 2—DIAMÈTRE DU SERVICE NON FOURNI

  • 3—DIAMÈTRE MAUVAISE RÉPONSE

  • 4 - DIAMÈTRE ADMINISTRATIF

  • 5—RUPTURE DU MAILLON DE DIAMÈTRE

  • 6—DIAMÈTRE DE L’AUTHENTIFICATION EXPIRÉ

  • 7— DIAMÈTRE DÉPLACÉ PAR L’UTILISATEUR

  • 8 : DÉLAI D’EXPIRATION DE LA SESSION DE DIAMÈTRE

Énumérés

296

Royaume d’origine

NASREQ (en anglais seulement)

Identifie le domaine Diameter de l’émetteur d’un message Diameter.

DiamIdent

402

CHAP-Auth

NASREQ (en anglais seulement)

Spécifie les informations nécessaires pour authentifier un utilisateur à l’aide de CHAP.

Groupé

415

Numéro de demande CC

Gx-Plus

Identifie une requête au sein d’une session. La combinaison de Session-Id et CC-Request-Type est unique au monde. Le nombre est incrémenté pour chaque requête au cours d’une session. Le numéro est réinitialisé lorsqu’un événement de haute disponibilité du routeur se produit.

Non signé32

416

Type de requête CC

Gx-Plus

Spécifie le type de demande de contrôle de crédit :

  • DEMANDE INITIALE (1)

  • DEMANDE DE MISE À JOUR (2)

  • TERMINATION_REQUEST (3)

  • DEMANDE D’ÉVÉNEMENT (4)

Énumérés

431

Unité de service accordée

Gx-Plus

Contient la quantité qui peut être fournie d’une ou plusieurs des unités demandées suivantes spécifiées par le client : CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Inclus dans les messages CCA-I et peut être inclus dans les messages CCA-U.

Groupé

443

ID d’abonnement

Gx-Plus

Contient les sous-attributs suivants qui n’apparaissent pas seuls :

  • Type d’ID d’abonnement : (450) Ce sous-attribut possède l’une des valeurs entières suivantes :

    • 0 = END_USER_E164

    • 1 = END_USER_IMSI

    • 2 = END_USER_SIP_URI

    • 3 = END_USER_NAI

    • 4 = END_USER_PRIVATE

  • Subscription-Id-Data—(444) Ce sous-attribut a la valeur .reserved

Groupé

446

Unité de service d’occasion

Gx-Plus

Contient la quantité d’unités demandées qui ont été effectivement utilisées ; Mesuré à partir de 4 lorsque le service est activé. Les unités sont une ou plusieurs des unités demandées suivantes spécifiées par le client : CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Inclus dans les messages CCR-U.

Groupé

480

type_enregistrement_comptable

JSRC, PTSP

Spécifie le type d’enregistrement de compte pour la comptabilisation des services :

  • INTERIM_RECORD : enregistrement comptable envoyé entre les enregistrements de début et de fin, à des intervalles spécifiés par l’AVP Acct-Interim-Interval (code AVP 85). Il contient les données comptables cumulées de la session comptable existante.

  • START_RECORD : enregistrement comptable envoyé lors de l’activation du service pour lancer la session de comptabilité. Il contient les données comptables relatives à l’initiation de cette session.

  • STOP_RECORD : enregistrement comptable envoyé lorsque le service est désactivé pour mettre fin à la session de comptabilité. Il contient des données cumulatives pertinentes pour cette session.

Énumérés

1001

charge-rule-install

Gx-Plus, NASREQ

Demande l’installation de la règle (activation du service) désignée par le nom de la règle de charge inclus AVP (1005). Cet AVP a un ID de fournisseur 10415 (3GPP).

Groupé

1002

charge-rule-remove

Gx-Plus

Demande la suppression de la règle (désactivation du service) désignée par le nom de la règle de charge inclus AVP (1005). Cet AVP a un ID de fournisseur 10415 (3GPP).

Groupé

1005

nom_règle_de_charge

Gx-Plus, NASREQ

Spécifie le nom d’une règle spécifique qui a été installée, modifiée ou supprimée.

OctetString

1066

Clé de surveillance

Gx-Plus

Spécifie les structures de surveillance à utiliser. Inclus dans charge-règle-installation AVP (1001). Le routeur MX ne prenant pas en charge l’agrégation des statistiques entre les services, la valeur de cet AVP doit donc être différente pour chaque service. Cet AVP a un ID de fournisseur 10415 (3GPP).

OctetString

1067

Informations sur la surveillance de l’utilisation

Gx-Plus

Définit des seuils de surveillance. Lorsque les statistiques de service correspondent à au moins une des valeurs de service accordées, le routeur envoie un rapport CCR-U avec les statistiques actuelles au PCRF. Comprend l’AVP à clé de surveillance (1066) et l’AVP (431) à l’unité de service accordée. Cet AVP a un ID de fournisseur 10415 (3GPP).

Groupé

Les AVP de Juniper Networks sont utilisés en plus des AVP de diamètre standard. Ces AVP ont un ID de fournisseur (numéro d’entreprise) 2636 ou 4874 et sont de conception similaire aux attributs spécifiques aux fournisseurs (VSA) RADIUS. Le Tableau 3 répertorie les AVP Juniper Networks utilisés par les applications Diameter prises en charge.

Tableau 3 : Diamètre des AVP de Juniper Networks

Numéro d’attribut

Diamètre AVP

ID du fournisseur

Application

Description

Type

213

poids-de-ciblage-de-l’ensemble d’interface

4874

NASREQ (en anglais seulement)

Spécifiez une pondération pour un jeu d’interfaces afin de l’associer, ainsi que ses liaisons membres, à une liaison membre Ethernet agrégée pour une distribution ciblée.

Non signé32

214

Poids de ciblage de l’interface

4874

NASREQ (en anglais seulement)

Spécifiez une pondération pour une interface afin de l’associer à un ensemble d’interfaces et donc à la liaison membre Ethernet agrégée de l’ensemble pour une distribution ciblée. Lorsqu’un ensemble d’interfaces n’a pas de pondération, la valeur de pondération de l’interface de la première interface abonnée autorisée est utilisée pour l’ensemble.

Non signé32

2004

Juniper-Service-Bundle

2636

JSRC (en anglais seulement)

Spécifie le nom du lot de services.

OctetString

2010

Options DHCP de Juniper

2636

JSRC (en anglais seulement)

Spécifie les options DHCP du client.

OctetString

2011

Adresse Juniper DHCP-GI

2636

JSRC (en anglais seulement)

Spécifie l’adresse IP de l’agent de relais DHCP.

OctetString

2020

juniper-policy-install

2636

JSRC, PTSP

Spécifie les stratégies à activer pour l’abonné. Inclut juniper-policy-name et juniper-policy-definition

Groupé

2021

nom_stratégie-juniper

2636

JSRC, PTSP

Définit le nom d’une décision de stratégie.

OctetString

2022

Définition de la politique Juniper

2636

JSRC, PTSP

Définit une décision de politique. Inclut juniper-policy-name, juniper-template-name et juniper-substitution.

Groupé

2023

juniper-template-name

2636

JSRC, PTSP

Spécifie le nom de profil défini par le routeur. PTSP prend uniquement en charge le modèle de __svc_rule__ stratégie.

UTF8String

2024

Substitution Juniper

2636

JSRC, PTSP

Définit les attributs de substitution. Inclut juniper-substitution-name et juniper-substitution-value.

OctetString

2025

nom_substitution-juniper

2636

JSRC, PTSP

Définit le nom de la variable à remplacer.

OctetString

2026

Valeur_de-substitution Juniper

2636

JSRC, PTSP

Définit la valeur de la variable à remplacer.

OctetString

2027

juniper-policy-remove

2636

JSRC, PTSP

Spécifie les stratégies à désactiver pour l’abonné. Inclut juniper-policy-name.

Groupé

2035

juniper-policy-failed

2636

JSRC, PTSP

Spécifie le nom de l’activation ou de la désactivation de la stratégie qui a échoué.

OctetString

2038

Juniper-Policy-Success

2636

JSRC, PTSP

Spécifie le nom de l’activation ou de la désactivation de la stratégie qui a réussi.

OctetString

2046

système-logique-juniper

2636

JSRC, PTSP

Spécifie le système logique.

UTF8String

2047

instance de routage juniper

2636

JSRC, PTSP

Spécifie l’instance de routage.

UTF8String

2048

partition juniper-jsrc

2636

JSRC, PTSP

Spécifie le système logique et l’instance de routage de l’abonné ou de la demande. Inclut juniper-logical-system et juniper-routing-instance

Groupé

2050

type de requête juniper

2636

JSRC, PTSP

Décrit le type de requête :

  • 1—ADDRESS_AUTHORIZATION

  • 2—PROVISIONING_REQUEST

  • 3 — SYNCHRONISATION

  • 4—NETWORK_FAMILY_ACTIVATE

    JSRC uniquement.

  • 5—NETWORK_FAMILY_DEACTIVATE

    JSRC uniquement.

Énumérés

2051

Type de synchronisation Juniper

2636

JSRC, PTSP

Décrit le type de synchronisation :

  • 1 : SYNCHRONISATION COMPLÈTE

  • 2 : SYNCHRONISATION RAPIDE

  • 3 : PAS D’ÉTAT POUR LA SYNCHRONISATION

Énumérés

2052

Synchronisation Juniper

2636

JSRC, PTSP

Décrit l’état de synchronisation :

  • 1 : PAS DE SYNCHRONISATION ; Il s’agit de l’état par défaut

  • 2 : SYNCHRONISATION EN COURS

  • 3 : SYNCHRONISATION TERMINÉE

Énumérés

2053

Juniper-Acct-Record

2636

JSRC, PTSP

Spécifie les données statistiques de chaque stratégie installée pour cet abonné. Inclut juniper-policy-name.

Groupé

2054

Juniper-acct-collect

2636

JSRC, PTSP

Spécifie s’il faut collecter les données comptables pour la politique (service) installée lorsqu’elle est incluse dans l’AVP Juniper-Policy-Install :

  • 1 à COLLECT_ACCT

  • 2—NOT_COLLECT_ACCT

Énumérés

2058

identifiant d’état juniper

2636

JSRC, PTSP

Spécifie la valeur affectée à chaque cycle de synchronisation afin d’identifier les messages à rejeter. Toutes les requêtes sollicitées qui les contiennent Juniper-State-ID appartiennent au même cycle de synchronisation Session-Resource-Query (SRQ). Les messages d’un cycle de synchronisation précédent sont ignorés. Lorsqu’un nouveau cycle commence, la valeur de l’AVP Juniper-State-ID est augmentée de 1.

Note:

Pour les demandes de synchronisation sollicitées, le message SRQ contient la valeur incrémentée Juniper-State-ID . Pour les demandes de synchronisation non sollicitées, le message Session-Resource-Reply (SRR) contient la valeur incrémentée Juniper-State-ID .

Non signé32

2100

routeur-virtuel-juniper

2636

Gx-Plus, JSRC

Spécifie le nom du routeur virtuel associé à la session.

UTF8String

2101

juniper-provisioning-source

2636

Gx-Plus

Spécifie la source d’approvisionnement de la session dans les messages CCR-N et JSDA :

  • 1 – Locaux

  • 2 : À distance

Énumérés

2102

Juniper-Provisioning-Descriptor

2636

Gx-Plus

Définit le groupe utilisé dans les messages JSDA qui inclut l’ID de session et, éventuellement, les données Juniper-Provisioning-Source et les données de l’abonné.

Groupé

2103

type d’événement juniper

2636

Gx-Plus

Communique le type d’événement dans les messages JSER :

  • 1–Botte froide ; Toutes les sessions sont perdues

  • 2 – Botte chaude ; les sessions sont préservées

  • 3 – Découverte demandée par l’opérateur

  • 4 – Êtes-vous là ? (AYT) ; ping au niveau de l’application envoyé lorsque la notification est due à l’absence de réponse ou à une réponse erronée de la part du PCRF, ou en raison d’un changement de configuration.

  • 5—Traction intégrale ; Surveillance au niveau de l’application envoyée par le routeur lorsqu’il n’y a pas eu d’autre activité pendant 15 secondes. Le chien de garde est envoyé toutes les 5 secondes, sauf s’il est devancé par un événement de synchronisation de priorité supérieure.

Énumérés

2104

descripteur de découverte juniper

2636

Gx-Plus

Définit le groupe utilisé dans les messages JSDR et JSDA qui inclut les paramètres d’une requête de découverte : type de découverte, chaîne de requête, verbosité, résultats max.

Groupé

2105

Type Juniper Discovery

2636

Gx-Plus

Spécifie la sous-commande de découverte pour les messages JSDR et JSDA :

  • 1 : Exact : recherchez les données de la session spécifiée.

  • 2—Bulk : fournit des types d’informations get-bulk après la chaîne spécifiée.

  • 3 : Terminé : arrêtez les nouvelles tentatives pour toutes les sessions jusqu’à la session spécifiée.

Énumérés

2106

niveau de verbosité juniper

2636

Gx-Plus

Spécifie le niveau de détail des messages JSDR et JSDA :

  • 1 — Sommaire ; n’incluent que l’AVP Session-ID.

  • 2 — Mémoire ; incluent les AVP Session-ID, Juniper-Virtual-Router et Framed-IP Address.

  • 3 — Détail ; incluent les AVP Session-ID, Juniper-Provisioning-Source, Juniper-Virtual-Router, Framed-IP-Address et Event-Timestamp.

    4 — Extensif ; Incluez toutes les informations disponibles sur la session.

Énumérés

2107

Juniper-String-A

2636

Gx-Plus

Spécifie une chaîne générique interprétée en fonction du contexte.

UTF8String

2108

Juniper-String-B

2636

Gx-Plus

Spécifie une chaîne générique interprétée en fonction du contexte.

UTF8String

2109

Juniper-String-C

2636

Gx-Plus

Spécifie une chaîne générique interprétée en fonction du contexte.

UTF8String

2110

Juniper-Non signé32-A

2636

Gx-Plus

Spécifie un entier générique non signé de 32 bits qui est interprété en fonction du contexte.

Non signé32

2111

Juniper-Unsigned32-B

2636

Gx-Plus

Spécifie un entier générique non signé de 32 bits qui est interprété en fonction du contexte.

Non signé32

2112

Juniper-Unsigned32-C

2636

Gx-Plus

Spécifie un entier générique non signé de 32 bits qui est interprété en fonction du contexte.

Non signé32

2200

préfixe juniper-IPv6-NDRA

2636

JSRC (en anglais seulement)

S’il est disponible dans l’entrée IPv6Prefix de la base de données de session de l’abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés à la SAE.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

IPv6Préfixe

2201

Masque de réseau IPv6 cadré Juniper

2636

JSRC (en anglais seulement)

S’il est disponible dans l’entrée IPv6Address de la base de données de session de l’abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés au SAE.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

Adresse IPv6

2202

identifiant circuit-agent-juniper

2636

JSRC (en anglais seulement)

Identifie l’abonné par nœud d’accès et ligne d’abonné. S'il est disponible dans l'entrée de la base de données de session de l'abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés à la SAE.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

OctetString

2203

juniper-agent-remote-id

2636

JSRC (en anglais seulement)

Identifie l’abonné sur le nœud d’accès. S'il est disponible dans l'entrée de la base de données de session de l'abonné, cet AVP est inclus dans les messages de demande de provisionnement AAR envoyés à la SAE.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

OctetString

2204

juniper-acct-ipv6-octets d’entrée

2636

JSRC (en anglais seulement)

Nombre d’octets IPv6 reçus sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

Non signé64

2205

juniper-acct-ipv6-output-octets

2636

JSRC (en anglais seulement)

Nombre d’octets IPv6 envoyés sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

Non signé64

2206

juniper-acct-ipv6-input-pkts

2636

JSRC (en anglais seulement)

Nombre de paquets IPv6 reçus sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

Non signé64

2207

juniper-acct-ipv6-output-pkts

2636

JSRC (en anglais seulement)

Nombre de paquets IPv6 envoyés sur l’interface. Cet AVP est inclus dans les messages de demande de comptabilité ACR envoyés à la SAE, même lorsque la valeur est nulle.

Cet AVP n’est utilisé que lorsque vous activez la prise en charge de la double pile JSRC.

Non signé64

Les AVP Tekelec ne sont utilisés que pour Gx-Plus. Ces AVP ont un numéro d’entreprise de 21274. Le tableau 4 dresse la liste des AVP de Tekelec. Ces quatre variables sont utilisées pour fournir des valeurs de substitution aux variables de service CoS définies par l’utilisateur.

Tableau 4 : Diamètre du tekelec AVP

Numéro d’attribut

Diamètre AVP

Application

Description

Type

5555

tekelec-charge-rule-argument-name

Gx-Plus

Définit le nom de la variable de service à remplacer.

OctetString

5556

tekelec-charge-rule-argument-value

Gx-Plus

Définit la valeur de la variable de service à remplacer.

OctetString

5557

Tekelec-Charging-Rule-Argument

Gx-Plus

Définit les attributs de substitution utilisés pour remplacer les variables de service. inclut tekelec-charging-rule-argument-name avp (5555) et tekelec-charging-rule-argument-value avp (5556).

Groupé

5558

Tekelec-Charge-Rule-With-Arguments

Gx-Plus

Demande l’installation de la règle (activation du service) désignée par le nom de la règle de charge inclus AVP (1005). Les substitutions de variables de service demandées sont fournies par l’AVP (5557) Tekelec-Charging-Rule-Argument inclus en option.

Groupé

Configuration du diamètre

Pour configurer Diameter, spécifiez l’origine du point de terminaison, les homologues distants, la connexion de la couche transport et les éléments réseau qui associent les routes aux homologues. Seule l’instance principale Diameter est actuellement prise en charge. Vous ne pouvez configurer d’autres valeurs pour cette instance de diamètre que dans le contexte de l’instance de routage par défaut.

Pour configurer le protocole de base Diameter :

  1. Configurez le domaine d’origine et l’hôte d’origine de l’instance Diameter.
  2. Configurez les homologues Diameter.
  3. (Facultatif) Configurez les éléments de la couche transporteuse Diamètre.
  4. (Facultatif) Configurez les éléments de réseau Diameter.
  5. (Facultatif) Configurez les options de suivi pour dépanner la configuration.

Configuration des attributs d’origine de l’instance de diamètre

Vous pouvez configurer les caractéristiques d’identification du nœud de point de terminaison à l’origine des messages Diameter pour l’instance Diameter. Le nom d’hôte est fourni en tant que valeur pour l’AVP Origin-Host par l’instance Diameter. Le domaine est fourni en tant que valeur pour l’AVP Origin-Realm par l’instance Diameter.

Pour configurer les attributs d’origine d’une occurrence de Diameter :

  1. Spécifiez le nom de l’hôte à l’origine du message Diameter.
  2. Spécifiez le domaine de l’hôte à l’origine du message Diameter.

configuration des homologues Diameter

Vous pouvez configurer les homologues auxquels Diameter envoie des messages. Diameter utilise le système logique et l’instance de routage par défaut. Par défaut, le port 3868 est utilisé pour les connexions actives aux homologues.

Pour configurer un homologue distant pour une instance Diameter :

  1. Spécifiez le nom de l’homologue Diameter.
  2. Spécifiez l’adresse IP de l’homologue Diameter. À partir de la version 17.3R1 de Junos OS, les adresses IPv4 et IPv6 sont prises en charge.
    Note:

    Vous devez configurer le même type de famille d’adresses pour l’homologue et la connexion de transport Diameter locale correspondante.

  3. (Facultatif) Spécifiez une instance de routage, un système logique ou un système logique et une instance de routage pour l’homologue Diameter.
  4. (Facultatif) Spécifiez le port utilisé par Diameter pour les connexions actives à l’homologue.
  5. (Facultatif) Spécifiez le transport utilisé par Diameter pour les connexions actives à l’homologue.
  6. (Facultatif) Spécifiez le nom de l’hôte homologue et le nom du domaine pair.
    Note:

    Vous devez spécifier à la fois l’hôte et le domaine pour l’origine de l’homologue.

  7. (Facultatif) Incluez la paire attribut-valeur (AVP) origine-état pour l’homologue Diameter dans les messages de niveau protocole de base Diameter afin de permettre la surveillance des modifications de la valeur AVP.

Par exemple, la configuration suivante pour l’homologue p3 spécifie une adresse IPv4, l’instance de routage ri8, le port de destination 49152, le transport t6, une origine de l’hôte 1 dans example.com et inclut l’AVP de l’état d’origine dans les messages.

Configuration du transport Diameter

Vous pouvez configurer un ou plusieurs transports pour une instance Diameter afin de définir l’adresse IPv4 ou IPv6 de la connexion locale et, si vous le souhaitez, configurer un système logique ou un contexte d’instance de routage. Diameter utilise le système logique et l’instance de routage par défaut. Le système logique et l’instance de routage de la connexion de transport doivent correspondre à ceux de l’homologue, sinon une erreur de configuration est signalée. Plusieurs homologues peuvent partager le même transport.

Pour configurer un transport pour une instance Diameter :

  1. Configurez le nom du transport.
  2. Configurez l’adresse IP locale de la connexion de transport local Diameter. À partir de la version 17.3R1 de Junos OS, les adresses IPv4 et IPv6 sont prises en charge.
    Note:

    La famille d’adresses doit correspondre à celle de l’homologue Diameter distant.

  3. (Facultatif) Configurez un système logique et, éventuellement, une instance de routage pour le transport.
  4. (Facultatif) Configurez une instance de routage pour le transport.

Par exemple, la configuration suivante pour le transport t1 spécifie une adresse IPv6, le système logique ls5 et l’instance de routage ri10.

Configuration des éléments de réseau Diameter

Un élément réseau Diameter (DNE) se compose des applications associées (appelées fonctions dans l’interface de ligne de commande), d’une liste d’homologues prioritaires et d’un ensemble de règles de transfert. Les règles de transfert définissent des itinéraires individuels via un ensemble de destinations, d’applications et de mesures associées. Au moins un DNE doit être configuré par châssis pour démarrer le processus Diamètre (jdiameterd).

Avant de configurer les éléments de réseau Diameter, effectuez la tâche suivante :

Pour configurer un élément de réseau Diameter :

  1. Spécifiez le nom de l’élément de réseau.
  2. (Facultatif) Associez une ou plusieurs applications à l’élément réseau. Toutes les applications sont associées par défaut.
  3. Associez un homologue Diameter à l’élément réseau et définissez la priorité de l’homologue.
  4. Spécifiez un itinéraire accessible via l’élément réseau en fonction des règles de transfert que vous définissez.
  5. Spécifiez une mesure pour l’itinéraire.
  6. (Facultatif) Associez l’itinéraire à un hôte et à un domaine de destination.
  7. (Facultatif) Spécifiez une application associée à l’itinéraire.
  8. (Facultatif) Spécifiez le domaine d’origine de l’élément de réseau et, si vous le souhaitez, le nom de l’hôte de l’élément.
    Note:

    Seul le nom du domaine est obligatoire.

Exemple : Configurer l’application S6a

Cet exemple montre comment configurer l’application d’authentification S6a basée sur le diamètre sur votre pare-feu SRX Series pour récupérer les informations d’authentification du serveur abonné.

Exigences

Cet exemple utilise le matériel suivant :

  • Tous les pare-feu SRX Series

Avant de commencer, lisez Présentation du protocole de base Diameter.

Aperçu

Dans cet exemple, vous créez une partition S6a et spécifiez l’origine du point de terminaison, les homologues distants et les éléments réseau qui associent les routes aux homologues pour contrôler le transfert de diamètre des messages S6a. Vous créez également une partition S6a pour Seule l’instance principale Diameter est actuellement prise en charge. Vous ne pouvez configurer d’autres valeurs pour l’instance master Diameter que dans le contexte de l’instance de routage par défaut.

Configuration

Configurer les paramètres d’application du profil d’accès et du diamètre

Configuration rapide de la CLI

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer les paramètres d’application du profil d’accès et du diamètre :

  1. Spécifiez le profil d’accès à utiliser pour l’ordre d’authentification.

  2. Spécifiez l’ordre dans lequel les méthodes d’authentification sont utilisées.

  3. Créez la partition ou spécifiez le nom d’une partition existante.

  4. Configurez le domaine de destination pour la partition s6a.

  5. Configurez l’hôte de destination pour la partition s6a.

  6. Spécifiez l’instance Diameter de la partition s6a.

    Note:

    Actuellement, seule l’instance Diameter par défaut, master, est prise en charge.

  7. Fixez une limite au nombre de demandes en attente.

  8. Configurez le délai en secondes avant que le s6a ne cesse de tenter d’envoyer un message de déconnexion de l’abonné.

  9. Incluez le nom du domaine à l’origine du message Diameter.

  10. Incluez le nom de l’hôte à l’origine du message Diameter.

  11. Spécifiez le nom de l’élément de réseau.

  12. Associez un homologue Diameter à l’élément réseau.

  13. Définissez la priorité de l’homologue.

  14. Spécifiez un itinéraire accessible via l’élément réseau en fonction des règles de transfert que vous définissez.

  15. Spécifiez une mesure pour l’itinéraire.

  16. Spécifiez l’adresse IP de l’homologue Diameter.

  17. Spécifiez le port utilisé par Diameter pour les connexions actives à l’homologue.

Résultats

En mode configuration, confirmez votre configuration en entrant les show access commandes and show diameter . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Configurer des interfaces Ethernet redondantes

Configuration rapide de la CLI

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer des interfaces Ethernet redondantes :

  1. Configurez des interfaces Ethernet redondantes.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show interfaces commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Configurer les zones de sécurité et les stratégies de sécurité pour autoriser l’application S6a Diameter

Configuration rapide de la CLI

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.

Pour configurer les zones et les stratégies de sécurité :

  1. Définissez les services système et les protocoles sur l’interface reth1.0.

  2. Définissez les services système et les protocoles sur l’interface reth0.0.

  3. Configurez les politiques de sécurité.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification de l’état S6a

But

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Action

À partir du mode opérationnel, entrez les show network-access s6a statecommandes , show network-access s6a statistics, et show network-access s6a statistics extensive pour vérifier l’état d’accès réseau et les statistiques de l’application s6a.

Signification

Les show network-access s6a statecommandes , show network-access s6a statistics, et show network-access s6a statistics extensive indiquent l’état de l’application S6a et les statistiques des informations d’authentification récupérées à partir du serveur abonné.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
17.3R1
À partir de la version 17.3R1 de Junos OS, les adresses IPv4 et IPv6 sont prises en charge.
17.3R1
À partir de la version 17.3R1 de Junos OS, les adresses IPv4 et IPv6 sont prises en charge.
13.1R1
À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.
13.1R1
À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.
13.1R1
À partir de la version 13.1R1 de Junos OS, la fonctionnalité PTSP (Subscribes and Policy Control) déclenchée par les paquets n’est plus prise en charge.