Mappage des domaines d’abonnés aux options d’accès et de session

Pour configurer un mappage de domaine pour la gestion des abonnés :

La gestion des abonnés prend en charge une fonctionnalité de mappage de domaine générique qui vous permet de configurer un mappage de domaine basé sur une correspondance générique partielle. Lorsqu’il n’y a pas de correspondance exacte entre le nom de domaine de l’abonné et un mappage de domaine configuré, la gestion des abonnés recherche ensuite une correspondance partielle entre le nom de domaine de l’abonné et un mappage de domaine générique.

Pour créer le mappage de domaine générique, vous devez inclure le caractère générique astérisque lorsque vous configurez le nom du mappage de domaine, par exemple, domain map example*. Vous pouvez insérer le caractère générique n’importe où dans la carte de domaine, et le caractère générique peut représenter zéro ou n’importe quel nombre de caractères. L’astérisque est le seul caractère générique pris en charge.

Par exemple, l’instruction domain map example*northern.com de configuration crée un mappage de domaine générique qui correspond partiellement à tous les noms de domaine commençant par example et se terminant par northern.com, tels que examplenorthern.com, example-northern.comet example1234northern.com. Toutefois, si vous déplacez le caractère générique dans le nom de carte de domaine vers domain map example-northern*.com, cela crée une correspondance plus restrictive qui nécessite que les noms de domaine correspondants partiels commencent par example-northern, tels que example-northern555.com ou example-northern-alpha.com.

Le mappage de domaine générique est également utile lorsque la gestion des abonnés dérive les noms d’utilisateur des abonnés de l’ID distant de l’agent DHCPv4 (option 82, sous-option 2) ou de l’ID distant DHCPv6 (option 37). Dans ces cas, le nom d’utilisateur résultant est au format subscriberID|service-plan|accountID|unused; par exemple, EricSmith|premiumTier1|314159265|0000 (où le | caractère est le délimiteur). Dans cet exemple, la gestion des abonnés analyse le nom d’utilisateur de gauche à droite et identifie le domaine de l’abonné comme . premiumTier1|314159265|0000 Pour créer un mappage de domaine générique utilisé pour cet abonné, vous pouvez configurer domain map premiumTier1*.

L’exemple suivant décrit comment quatre abonnés sont mappés à différents domaines.

Pour cet exemple, trois cartes de domaine sont configurées ; la carte de default domaine, une carte de domaine nommée example3000.comet une carte de domaine générique nommée example*. Les abonnés sont mappés comme indiqué dans la liste suivante :

• eric@example3000.com : il existe une correspondance exacte de la carte de domaine, de sorte que le abonné est mappé au domaine example3000.com.

• jack@example1001.com : il n’y a pas de correspondance exacte, mais il existe une correspondance partielle avec le domaine générique, de sorte que le abonné est mappé au domaine example*générique.

• ginger@example-western.com : il n’y a pas de correspondance exacte, mais il existe une correspondance partielle avec le domaine générique, de sorte que le abonné est également mappé au domaine example*générique.

• sunshine@test.com : il n’y a pas de correspondance exacte, ni de correspondance partielle avec le domaine générique, de sorte que le abonné est mappé au default domaine.

Pour configurer un mappage de domaine générique :

Vous utilisez des profils d’accès pour spécifier les règles et options d’accès (par exemple, le serveur d’authentification RADIUS et les attributs) que le routeur applique aux sessions d’abonnés. La fonctionnalité de mappage de domaine vous permet d’appliquer un profil d’accès spécifique aux abonnés d’un domaine particulier.

Les profils d’accès peuvent être spécifiés ou modifiés de plusieurs manières différentes. En cas de conflit, le routeur applique les profils d’accès en fonction des règles de priorité indiquées dans le Tableau 2.

Pour inclure un profil d’accès dans un mappage de domaine :

Vous pouvez utiliser la fonctionnalité de mappage de domaine pour spécifier le pool d’adresses que le routeur utilise pour allouer une adresse aux sessions d’abonnés. Le pool d’adresses peut inclure des plages d’adresses IPv4 et IPv6.

Les pools d’adresses peuvent être spécifiés ou modifiés de plusieurs manières différentes. En cas de conflit, le routeur applique le pool d’adresses en fonction des règles de priorité indiquées dans le Tableau 3.

Pour spécifier le pool d’adresses utilisé pour un mappage de domaine :

Un profil dynamique définit l’ensemble des caractéristiques qui fournissent un accès et des services dynamiques pour les sessions d’abonnés (telles que la classe de service, les protocoles et la prise en charge des interfaces). La fonctionnalité de mappage de domaine vous permet d’appliquer un profil dynamique spécifique basé sur les domaines d’abonnés.

Les profils dynamiques sont configurés au niveau de la [edit dynamic-profiles] hiérarchie et peuvent être spécifiés ou modifiés de plusieurs manières différentes. En cas de conflit, le routeur applique les profils dynamiques en fonction des règles de priorité indiquées dans le Tableau 4.

Pour inclure un profil dynamique dans un mappage de domaine :

Par défaut, un mappage de domaine utilise le système logique/l’instance de routage de l’abonné comme contexte dans lequel le démon envoie des demandes d’authentification authd et de comptabilité AAA. Vous pouvez éventuellement configurer le mappage de domaine pour diriger les requêtes AAA vers un contexte particulier, en fonction du nom de domaine de l’abonné. La spécification d’un contexte AAA autre que celui par défaut vous permet de gérer la charge du flux de travail et du trafic, et d’apporter efficacement des modifications pour un grand nombre d’abonnés. Par exemple, après la mise à niveau de vos services RADIUS, vous pouvez configurer un mappage de domaine pour spécifier que tous les abonnés du domaine example.com sont désormais authentifiés par un serveur RADIUS dans un contexte AAA particulier.

Pour configurer le contexte du système logique/de l’instance de routage utilisé pour les demandes AAA :

Par défaut, le routeur place un abonné dans le contexte du système logique/de l’instance de routage de l’interface sur laquelle les négociations avec l’abonné commencent. Vous pouvez modifier ultérieurement l’instance de routage du contexte de l’abonné à l’aide d’un mappage de domaine ou du serveur d’authentification RADIUS.

La gestion des abonnés est prise en charge dans le système logique par défaut uniquement, mais vous pouvez configurer le mappage de domaine pour utiliser une instance de routage autre que celle par défaut. En outre, si une instance de routage autre que celle par défaut est déjà configurée, vous pouvez configurer le mappage de domaine pour utiliser l’instance de routage par défaut.

Pour configurer le contexte du système logique/instance de routage utilisé pour l’interface d’un abonné :

Les profils de tunnel spécifient les définitions de tunnel (par exemple, un ensemble de tunnels L2TP et leurs attributs) que le routeur applique aux sessions d’abonné. La fonctionnalité de mappage de domaine vous permet d’appliquer un profil de tunnel spécifique aux abonnés d’un domaine particulier.

Pour inclure un profil de tunnel dans un mappage de domaine :

Les profils de commutateur de tunnel déterminent si les paquets d’une session d’abonné L2TP à partir d’un LAC sont basculés vers une autre session dont le LNS de destination est différent. Le profil de commutateur de tunnel peut également spécifier comment certains AVP L2TP sont gérés lorsque les paquets sont basculés vers un second tunnel. La fonctionnalité de mappage de domaine vous permet d’appliquer un profil de commutateur de tunnel spécifique aux abonnés d’un domaine particulier.

Pour inclure un profil de commutateur de tunnel dans un mappage de domaine :

Vous pouvez configurer la façon dont le routeur détermine les noms de domaine utilisés pour la fonctionnalité de mappage de domaine. Au niveau global, vous pouvez spécifier des règles qui sont utilisées pour les mappages de domaine. Les règles globales vous permettent de spécifier des caractères supplémentaires que le routeur peut reconnaître comme délimiteurs de nom de domaine ou de domaine et de spécifier la direction utilisée par le routeur pour analyser les noms de domaine ou de domaine. L’objectif de l’analyse d’un nom de domaine ou de domaine est d’identifier un nom unique et unique que l’routeur utilise comme nom de domaine du abonné, que la source du nom soit au format de nom de domaine typique (joseph@example.com) ou au format de nom de domaine (example.com\marilyn). Le routeur utilise le nom de domaine résultant pour des opérations telles que la recherche et le traitement des cartes de domaine. Au niveau de la carte de domaine, vous pouvez également activer la suppression des noms de domaine. La suppression de nom de domaine spécifie que le routeur supprime le nom de domaine ou de domaine analysé du nom d’utilisateur de l’abonné avant d’effectuer tout traitement supplémentaire pour le mappage de domaine.

Pour configurer les règles d’utilisation des noms de domaine pour les mappages de domaine :

Un délimiteur est le caractère qui sépare le nom d’utilisateur d’un abonné du nom de domaine ou de domaine. Les délimiteurs sont couramment utilisés pour l’analyse des noms de domaine ou de domaine ou la suppression de noms de domaine. Vous pouvez spécifier un maximum de huit délimiteurs que le routeur utilise pour reconnaître les noms de domaine ou de domaine pour une carte de domaine. Si vous ne configurez aucun délimiteur, le routeur utilise le caractère par défaut pour les noms de @ domaine. Il n’existe pas de délimiteur par défaut pour les noms de domaine.

Par exemple, votre réseau peut inclure les abonnés bob@test.com, pete!example.com, et test.net\maria. Dans ce cas, vous devez configurer le routeur pour reconnaître les caractères @ et ! en tant que délimiteurs de nom de domaine, et le \ caractère en tant que délimiteur de nom de domaine.

Gardez à l’esprit les instructions suivantes lorsque vous spécifiez des délimiteurs :

• Vous ne pouvez pas utiliser le point-virgule (;) comme délimiteur.

• Si vous configurez des délimiteurs de nom de domaine facultatifs, vous devez également spécifier le @ caractère (le délimiteur par défaut) si vous souhaitez continuer à l’utiliser comme délimiteur.

• Si vous configurez des délimiteurs de nom de domaine facultatifs, puis que vous les annulez, le routeur redéfinit le délimiteur de mappage de domaine sur le caractère par défaut @ .

Pour configurer les délimiteurs de domaine et de nom de domaine pour les mappages de domaine :

Le routeur analyse le nom de domaine ou le nom de domaine du nom d’utilisateur afin d’identifier un nom unique et unique que le routeur utilise comme nom de domaine de l’abonné, que la source du nom soit au format de nom de domaine typique (joseph@example.com) ou au format de nom de domaine (example.com\marilyn). Vous pouvez spécifier si le routeur recherche d’abord un nom de domaine ou un nom de domaine dans le nom d’utilisateur de l’abonné. Si le routeur ne trouve pas le nom spécifié (par exemple, vous spécifiez realm-first et qu’il n’y a pas de nom de domaine dans le nom d’utilisateur), le routeur recherche le deuxième type de nom (nom de domaine, dans ce cas). Si le routeur ne trouve ni nom de domaine ni nom de domaine, aucun domaine ne peut être utilisé pour les opérations de mappage de domaine.

Pour configurer le sens d’analyse des noms de domaine pour les mappages de domaine :

Vous pouvez spécifier la direction dans laquelle le routeur effectue l’opération d’analyse qu’il utilise pour identifier les noms de domaine ou de domaine des abonnés pour les mappages de domaine. Pendant l’opération d’analyse, le routeur recherche le nom d’utilisateur jusqu’à ce qu’il reconnaisse un délimiteur. Il considère ensuite tout ce qui se trouve à droite du délimiteur comme le domaine. Par défaut, le routeur analyse de droite à gauche, en commençant par le caractère le plus à droite dans le nom d’utilisateur.

Le routeur utilise le nom de domaine d’un abonné pour effectuer des opérations de recherche et de traitement de carte de domaine. Vous pouvez configurer la façon dont le routeur identifie un nom de domaine unique lorsque le nom de l’utilisateur est présenté dans un format de nom de domaine traditionnel ou un nom de domaine. Dans le format traditionnel du nom de domaine, le nom de l’utilisateur est suivi du nom de domaine ; par exemple, joe@example.com. Dans le format de nom de domaine, le nom de l’utilisateur est précédé du nom de domaine, appelé nom de domaine ; Par exemple, example.com@joe. Le but de l’analyse d’un nom de domaine ou de domaine est d’identifier un nom unique que le routeur utilise comme nom de domaine de l’abonné, que la source du nom soit le nom de domaine ou le nom de domaine d’origine de l’utilisateur. Le routeur utilise le nom de domaine résultant pour des opérations telles que la recherche et le traitement des cartes de domaine. Au niveau de la carte de domaine, vous pouvez également activer la suppression des noms de domaine.

La direction d’analyse des domaines que vous utilisez est importante lorsqu’il existe des noms de domaine imbriqués. Par exemple, pour le nom user1@test.com@example.comd’utilisateur , l’analyse de droite à gauche produit un nom de domaine de example.com. Pour un même nom d’utilisateur, l’analyse de gauche à droite produit un nom de domaine de test.com@example.com.

Pour configurer le sens d’analyse des noms de domaine pour les mappages de domaine :

Vous pouvez configurer le routeur pour supprimer le nom de domaine des noms d’utilisateur avant d’utiliser les services AAA. Le dépouillement des noms de domaine est effectué pour les cartes de domaine. Le routeur utilise les délimiteurs et la direction d’analyse que vous configurez globalement pour déterminer le nom de domaine à supprimer. Par exemple, si le routeur utilise le délimiteur et la direction right-to-leftd’analyse par défaut , le nom user1@example.com d’utilisateur est supprimé pour être user1.

Pour configurer le routeur afin de supprimer le nom de domaine des noms d’utilisateur dans une carte de domaine :

Pour certains cas d’utilisation, vous voudrez peut-être provisionner les noms d’utilisateur et les mots de passe d’authentification des abonnés L2TP LAC à partir du châssis du routeur. Vous pouvez supprimer la partie utilisateur du nom d’utilisateur et remplacer le mot de passe de l’utilisateur.

Vous pouvez configurer la façon dont le routeur identifie la partie utilisateur à supprimer lorsque le nom d’utilisateur est présenté au format de nom de domaine traditionnel ou au format de nom de domaine. Dans le format traditionnel du nom de domaine, le nom de l’utilisateur est suivi du nom de domaine ; par exemple, joe@example.com. Dans le format de nom de domaine, le nom de l’utilisateur est précédé du nom de domaine, appelé nom de domaine ; Par exemple, example.com@joe.

Vous pouvez spécifier la direction dans laquelle le routeur effectue l’opération d’analyse qu’il utilise pour identifier la partie utilisateur du nom d’utilisateur. Pendant l’opération d’analyse, le routeur recherche le nom d’utilisateur jusqu’à ce qu’il reconnaisse un délimiteur. Par défaut, le routeur analyse de gauche à droite, en commençant par le caractère le plus à gauche dans le nom d’utilisateur. Tout ce qui se trouve à gauche du délimiteur est la partie utilisateur. Cette direction fonctionne pour le format de nom de domaine traditionnel. Avec cette configuration, le routeur identifie et retire Joe de joe@example.com.

Pour les noms d’utilisateur au format de nom de domaine, vous devez changer la direction d’analyse en right-to-left. Le routeur analyse de droite à gauche, en commençant par le caractère le plus à droite dans le nom d’utilisateur. Lorsque le routeur reconnaît le délimiteur, il considère tout ce qui se trouve à droite du délimiteur comme la partie utilisateur. Avec cette configuration, le routeur identifie et retire Joe de example.com@joe.

Pour configurer la partie utilisateur à supprimer du nom d’utilisateur pour tous les noms d’utilisateur associés à un mappage de domaine :

Spécifiez la direction d’analyse que vous souhaitez que le routeur utilise :

• À utiliser left-to-right lorsque le nom d’utilisateur est dans le format de nom de domaine typique, dans lequel le nom de domaine suit le nom de l’utilisateur.

• À utiliser right-to-left lorsque le nom d’utilisateur est au format de nom de domaine, dans lequel le nom de domaine précède le nom d’utilisateur.

Vous pouvez spécifier un nouveau mot de passe pour remplacer le mot de passe existant pour authentifier tout abonné associé au mappage de domaine. Pour remplacer le mot de passe :

• Spécifiez le mot de passe de remplacement pour l’authentification PAP.

• Spécifiez le mot de passe de remplacement pour l’authentification CHAP.