Mappage des domaines d’abonnés aux options d’accès et de session

Pour configurer un plan de domaine pour la gestion des abonnés :

La gestion des abonnés prend en charge une fonctionnalité de carte de domaine générique qui vous permet de configurer un mappage de domaine basé sur une correspondance partielle. Lorsqu’il n’y a pas de correspondance exacte entre le nom de domaine de l’abonné et un plan de domaine configuré, la gestion des abonnés recherche ensuite une correspondance partielle entre le nom de domaine de l’abonné et un plan de domaine générique.

Pour créer la carte de domaine générique, vous incluez le caractère générique d’astérisque lorsque vous configurez le nom de la carte de domaine, par exemple, domain map example*. Vous pouvez insérer le caractère générique n’importe où dans le plan de domaine, et le caractère générique peut représenter zéro ou nombre de caractères. L’astérisque est le seul caractère générique pris en charge.

Par exemple, l’instruction domain map example*northern.com de configuration crée une carte de domaine générique qui correspond partiellement à tous les noms de domaine commençant example par et se terminant par northern.com, par examplenorthern.comexemple , example-northern.comet example1234northern.com. Toutefois, si vous déplacez le caractère générique dans le nom de la carte de domaine vers domain map example-northern*.com, cela crée une correspondance plus restrictive qui nécessite que les noms de domaine partiellement correspondants commencent par example-northern, par example-northern555.com exemple ou example-northern-alpha.com.

Le mappage de domaine générique est également utile lorsque la gestion des abonnés tire les noms d’utilisateur des abonnés de l’ID distant de l’agent DHCPv4 (option 82 sous-option 2) ou de l’ID de distance DHCPv6 (option 37). Dans ce cas, le nom d’utilisateur résultant est dans le format subscriberID|service-plan|accountID|unused; par exemple, EricSmith|premiumTier1|314159265|0000 (où le | caractère est le délimiteur). Dans cet exemple, la gestion des abonnés analyse le nom d’utilisateur de gauche à droite et identifie le domaine de l’abonné comme premiumTier1|314159265|0000. Pour créer un plan de domaine générique utilisé pour cet abonné, vous pouvez configurer domain map premiumTier1*.

L’exemple suivant décrit comment quatre abonnés sont mappés à différents domaines.

Dans cet exemple, trois cartes de domaine sont configurées ; la carte des default domaines, une carte de domaine nommée example3000.comet une carte de domaine générique nommée example*. Les abonnés sont mappés comme indiqué dans la liste suivante :

• eric@example3000.com : il existe une correspondance exacte de la carte des domaines, de sorte que l’abonné est mappé au domaine example3000.com.

• jack@example1001.com : il n’y a pas de correspondance exacte, mais il y a une correspondance partielle avec le domaine générique, de sorte que l’abonné est mappé au domaine example*générique .

• ginger@example-western.com : il n’y a pas de correspondance exacte, mais il y a une correspondance partielle avec le domaine générique, de sorte que l’abonné est également mappé au domaine example*générique .

• sunshine@test.com : il n’y a pas de correspondance exacte ni de correspondance partielle avec le domaine générique, de sorte que l’abonné est mappé au default domaine.

Pour configurer un plan de domaine générique :

Vous utilisez des profils d’accès pour spécifier les règles et les options d’accès (par exemple, le serveur d’authentification RADIUS et les attributs) que le routeur applique aux sessions d’abonnés. La fonctionnalité de carte des domaines vous permet d’appliquer un profil d’accès spécifique aux abonnés d’un domaine particulier.

Les profils d’accès peuvent être spécifiés ou modifiés de différentes manières. En cas de conflit, le routeur applique les profils d’accès en fonction des règles de priorité indiquées dans le tableau 2.

Pour inclure un profil d’accès dans un plan de domaine :

Vous pouvez utiliser la fonctionnalité de mappage des domaines pour spécifier le pool d’adresses que le routeur utilise pour allouer l’adresse aux sessions d’abonnés. Le pool d’adresses peut inclure des plages d’adresses IPv4 et IPv6.

Les pools d’adresses peuvent être spécifiés ou modifiés de différentes manières. En cas de conflit, le routeur applique le pool d’adresses en fonction des règles de priorité indiquées dans le tableau 3.

Pour spécifier le pool d’adresses utilisé pour un mappage de domaines :

Un profil dynamique définit l’ensemble des caractéristiques qui fournissent un accès et des services dynamiques pour les sessions d’abonnés (telles que la classe de service, les protocoles et la prise en charge de l’interface). La fonctionnalité de carte des domaines vous permet d’appliquer un profil dynamique spécifique en fonction des domaines d’abonnés.

Les profils dynamiques sont configurés au niveau de la [edit dynamic-profiles] hiérarchie et peuvent être spécifiés ou modifiés de différentes manières. En cas de conflit, le routeur applique les profils dynamiques en fonction des règles de priorité indiquées dans le tableau 4.

Pour inclure un profil dynamique dans un plan de domaine :

Par défaut, un plan de domaine utilise le système logique/l’instance de routage de l’abonné comme contexte dans lequel le authd démon envoie des demandes d’authentification AAA et de comptabilité. Vous pouvez éventuellement configurer le plan de domaine pour diriger les requêtes AAA vers un contexte particulier, en fonction du nom de domaine de l’abonné. La spécification d’un contexte AAA non par défaut vous permet de gérer le flux de travail et la charge de trafic, et d’apporter des modifications efficacement pour un grand nombre d’abonnés. Par exemple, après avoir mis à niveau vos services RADIUS, vous pouvez configurer un plan de domaine pour spécifier que tous les abonnés du domaine example.com sont désormais authentifiés par un serveur RADIUS dans un contexte AAA particulier.

Pour configurer le contexte d’instance de système logique/de routage utilisé pour les requêtes AAA :

Par défaut, le routeur place un abonné dans le contexte logique système/instance de routage de l’interface sur laquelle les négociations d’abonnés commencent. Vous pouvez ensuite modifier l’instance de routage du contexte de l’abonné en utilisant soit un plan de domaine, soit le serveur d’authentification RADIUS.

La gestion des abonnés est prise en charge uniquement dans le système logique par défaut, mais vous pouvez configurer le plan de domaine pour utiliser une instance de routage non par défaut. En outre, si une instance de routage non par défaut est déjà configurée, vous pouvez configurer le plan de domaine pour utiliser l’instance de routage par défaut.

Pour configurer le contexte d’instance de système logique/routage utilisé pour l’interface d’un abonné :

Les profils de tunnel spécifient des définitions de tunnel (par exemple, un ensemble de tunnels L2TP et leurs attributs) que le routeur applique aux sessions d’abonnés. La fonctionnalité de carte des domaines vous permet d’appliquer un profil de tunnel spécifique aux abonnés d’un domaine particulier.

Pour inclure un profil de tunnel dans un plan de domaine :

Les profils de commutation de tunnel déterminent si les paquets d’une session d’abonnés L2TP d’un LAC sont transférés vers une autre session ayant un LNS de destination différent. Le profil de commutateur de tunnel peut également spécifier la façon dont certains APV L2TP sont gérés lorsque les paquets sont transférés vers un deuxième tunnel. La fonctionnalité de carte des domaines vous permet d’appliquer un profil de commutateur de tunnel spécifique aux abonnés d’un domaine particulier.

Pour inclure un profil de commutateur de tunnel dans un plan de domaine :

Vous pouvez configurer la façon dont le routeur détermine les noms de domaine utilisés pour la fonctionnalité de mappage de domaine. Au niveau global, vous pouvez spécifier des règles utilisées pour les cartes de domaines. Les règles globales vous permettent de spécifier des caractères supplémentaires que le routeur peut reconnaître en tant que délimiteurs de domaine ou de nom de domaine et de spécifier la direction que le routeur utilise pour analyser les noms de domaine ou de domaine. Le but de l’analyse d’un domaine ou d’un nom de domaine est d’identifier un nom unique et unique que le routeur utilise comme nom de domaine de l’abonné, que la source du nom soit dans le format typique du nom de domaine (joseph@example.com) ou dans le format de nom de domaine (example.com\marilyn). Le routeur utilise le nom de domaine qui en résulte pour des opérations telles que la recherche et le traitement des cartes de domaine. Au niveau de la carte des domaines, vous pouvez également activer le stripping des noms de domaine. Le stripping des noms de domaine spécifie que le routeur retire le domaine ou le nom du domaine traité du nom d’utilisateur de l’abonné avant d’effectuer tout traitement supplémentaire pour le plan de domaine.

Pour configurer les règles d’utilisation des noms de domaine pour les cartes de domaines :

Un délimiteur est le caractère qui sépare le nom d’utilisateur d’un abonné du nom du domaine ou du domaine. Les délimiteurs sont couramment utilisés pour l’analyse de noms de domaine ou de domaine ou le stripping de nom de domaine. Vous pouvez spécifier un maximum de huit délimiteurs que le routeur utilise pour reconnaître les noms de domaine ou de domaine d’un plan de domaine. Si vous ne configurez aucun délimiteur, le routeur utilise le @ caractère par défaut pour les noms de domaine. Il n’y a pas de délimiteur par défaut pour les noms de domaine.

Par exemple, votre réseau peut inclure les abonnés bob@test.com, pete!example.comet test.net\maria. Dans ce cas, vous configurez le routeur pour reconnaître les caractères @ et ! les délimiteurs de nom de domaine, et le \ caractère en tant que délimiteur de nom de domaine.

Gardez les consignes suivantes à l’esprit lorsque vous spécifiez des délimiteurs :

• Vous ne pouvez pas utiliser le point-virgule (;) en tant que délimiteur.

• Si vous configurez des délimiteurs de noms de domaine facultatifs, vous devez également spécifier le @ caractère (le délimiteur par défaut) si vous souhaitez continuer à l’utiliser comme délimiteur.

• Si vous configurez les délimiteurs de noms de domaine facultatifs, puis les désconfigez, le routeur remet le délimiteur de carte de domaine au caractère par défaut @ .

Pour configurer les délimiteurs de domaine et de nom de domaine pour les cartes de domaines :

Le routeur analyse le nom d’utilisateur ou le nom du domaine afin d’identifier un nom unique et unique que le routeur utilise comme nom de domaine de l’abonné, que la source du nom soit dans le format typique du nom de domaine (joseph@example.com) ou dans le format de nom de domaine (example.com\marilyn). Vous pouvez spécifier si le routeur recherche d’abord le nom d’utilisateur de l’abonné pour rechercher un nom de domaine ou un nom de domaine. Si le routeur ne trouve pas le nom spécifié (par exemple, vous spécifiez realm-first et qu’il n’y a pas de nom de domaine dans le nom d’utilisateur), le routeur recherche le deuxième type de nom (nom de domaine, dans ce cas). Si le routeur ne trouve ni nom de domaine ni nom de domaine, aucun domaine ne peut être utilisé pour les opérations de mappage de domaine.

Pour configurer la direction d’analyse des noms de domaine pour les cartes de domaines :

Vous pouvez spécifier la direction dans laquelle le routeur effectue l’opération d’analyse qu’il utilise pour identifier les noms de domaine d’abonnés ou de domaines pour les cartes de domaines. Pendant l’opération d’analyse, le routeur recherche le nom d’utilisateur jusqu’à ce qu’il identifie un délimiteur. Il considère alors tout ce qui se trouve à la droite du délimiteur comme le domaine. Par défaut, le routeur analyse de droite à gauche, en commençant par le caractère le plus à droite du nom d’utilisateur.

Le routeur utilise le nom de domaine d’un abonné pour effectuer des opérations de recherche et de traitement de carte de domaine. Vous pouvez configurer la façon dont le routeur identifie un nom de domaine unique lorsque le nom de l’utilisateur est présenté dans un format de nom de domaine traditionnel ou un nom de domaine. Dans le format traditionnel du nom de domaine, le nom de l’utilisateur est suivi du nom de domaine ; par exemple, joe@example.com. Dans le format de nom de domaine, le nom de l’utilisateur est précédé par le nom de domaine, appelé nom de domaine ; par exemple, example.com@joe. L’analyse d’un nom de domaine ou de domaine a pour but d’identifier un nom unique que le routeur utilise comme nom de domaine de l’abonné, que la source du nom soit le nom de domaine d’origine de l’utilisateur ou le nom du domaine. Le routeur utilise le nom de domaine qui en résulte pour des opérations telles que la recherche et le traitement des cartes de domaine. Au niveau de la carte des domaines, vous pouvez également activer le stripping des noms de domaine.

Lorsque vous avez des noms de domaine imbriqués, le mode d’analyse des domaines est important. Par exemple, pour le nom d’utilisateur user1@test.com@example.com, l’analyse de droite à gauche produit un nom de domaine de example.com. Pour le même nom d’utilisateur, l’analyse de gauche à droite produit un nom de domaine de test.com@example.com.

Pour configurer la direction d’analyse des noms de domaine pour les cartes de domaines :

Vous pouvez configurer le routeur pour qu’il retire le nom de domaine des noms d’utilisateur avant qu’aucun service AAA ne soit utilisé. Le stripping des noms de domaine est effectué pour les cartes de domaine. Le routeur utilise les délimiteurs et la direction d’analyse que vous configurez globalement pour déterminer le nom de domaine qui est supprimé. Par exemple, si le routeur utilise le délimiteur et le sens right-to-leftd’analyse par défaut, le nom d’utilisateur user1@example.com est supprimé pour être user1.

Pour configurer le routeur de manière à ce qu’il retire le nom de domaine des noms d’utilisateur d’un plan de domaine :

Pour certains cas d’utilisation, vous pouvez provisionner les noms d’utilisateur et les mots de passe d’authentification des abonnés L2TP LAC sur le châssis du routeur. Vous pouvez supprimer la partie utilisateur du nom d’utilisateur et remplacer le mot de passe utilisateur.

Vous pouvez configurer la façon dont le routeur identifie la partie utilisateur à déshabiller lorsque le nom d’utilisateur est présenté dans le format traditionnel du nom de domaine ou dans le format de nom de domaine. Dans le format traditionnel du nom de domaine, le nom de l’utilisateur est suivi du nom de domaine ; par exemple, joe@example.com. Dans le format de nom de domaine, le nom de l’utilisateur est précédé par le nom de domaine, appelé nom de domaine ; par exemple, example.com@joe.

Vous pouvez spécifier la direction dans laquelle le routeur effectue l’opération d’analyse qu’il utilise pour identifier la partie utilisateur du nom d’utilisateur. Pendant l’opération d’analyse, le routeur recherche le nom d’utilisateur jusqu’à ce qu’il identifie un délimiteur. Par défaut, le routeur analyse de gauche à droite, en commençant par le caractère le plus à gauche du nom d’utilisateur. Tout ce qui se trouve à gauche du délimiteur est la partie utilisateur. Cette direction fonctionne pour le format traditionnel des noms de domaine. Avec cette configuration, le routeur identifie et retire Joe de joe@example.com.

Pour les noms d’utilisateur au format de nom de domaine, vous devez modifier le sens de l’analyse en right-to-left. Le routeur analyse de droite à gauche, en commençant par le caractère le plus à droite du nom d’utilisateur. Lorsque le routeur reconnaît le délimiteur, il considère tout ce qui se trouve à la droite du délimiteur comme la partie utilisateur. Avec cette configuration, le routeur identifie et retire Joe de example.com@joe.

Pour configurer la partie utilisateur à retirer du nom d’utilisateur pour tous les noms d’utilisateur associés à un plan de domaine :

Spécifiez la direction d’analyse que vous souhaitez que le routeur utilise :

• Utilisez left-to-right le nom d’utilisateur dans le format de nom de domaine typique, dans lequel le nom de domaine suit le nom de l’utilisateur.

• Utilisez right-to-left le nom d’utilisateur au format de nom de domaine, dans lequel le nom du domaine précède le nom de l’utilisateur.

Vous pouvez spécifier un nouveau mot de passe pour remplacer le mot de passe existant pour l’authentification de tout abonné associé au plan de domaine. Pour remplacer le mot de passe :

• Spécifiez le mot de passe de remplacement pour l’authentification PAP.

• Spécifiez le mot de passe de remplacement pour l’authentification CHAP.