Identification des lignes logiques RADIUS | Junos OS

Présentation de l’identificateur de ligne logique (LLID) RADIUS

La fonction d’identification de la ligne logique (LLID) aide les fournisseurs de services à maintenir une base de données clients fiable et à jour pour les abonnés qui passent fréquemment d’une ligne physique à une autre. Le LLID est conçu pour fournir au fournisseur de services un ID de poste d’appel configurable pour la ligne d’accès de l’abonné. L’ID d’une station appelante est dérivé de l’emplacement de la ligne physique et des informations du client de l’abonné. Les informations de ligne dérivées de l’installation du fournisseur de services ne sont pas conviviales pour le grossiste de la ligne d’accès pour gérer la propriété de la ligne d’accès lorsque les abonnés changent fréquemment d’emplacement physique. La fonctionnalité LLID est basée sur un port virtuel — le LLID — plutôt que sur la ligne physique utilisée par l’abonné. Le LLID fournit une gestion des informations de ligne pilotée par AAA avec un fournisseur de services (généralement un grossiste).

Le LLID est une chaîne alphanumérique basée sur le nom d’utilisateur et l’ID de circuit de l’abonné. Le LLID identifie logiquement la ligne de l’abonné et est mappé à la ligne physique de l’abonné dans la base de données client du fournisseur de services. Lorsque l’abonné se déplace vers un emplacement et une ligne physique différents, la base de données est mise à jour pour mapper le LLID à la nouvelle ligne physique. Étant donné que le LLID de l’abonné reste constant, il fournit aux fournisseurs de services un moyen sûr et fiable de suivre les abonnés et de maintenir une base de données client précise. La gestion des abonnés prend en charge la fonctionnalité LLID pour les abonnés PPP sur PPPoE, PPPoA et LAC.

Pour attribuer un LLID à un abonné, le routeur émet deux demandes d’accès RADIUS. La première demande est une demande de préauthentification, qui obtient le LLID à partir d’un serveur de préauthentification RADIUS. La deuxième demande est la demande d’authentification standard envoyée au serveur d’authentification RADIUS.

La séquence d’étapes suivante décrit comment la gestion des abonnés obtient et utilise le LLID. La procédure suppose que la préauthentification est activée sur le routeur et que les serveurs de préauthentification et d’authentification RADIUS sont configurés.

L’abonné PPP envoie un message de demande d’authentification au routeur.
Le routeur envoie un message de demande d’accès au serveur de préauthentification RADIUS afin d’obtenir un LLID pour l’abonné.
Le serveur de préauthentification renvoie le LLID au routeur dans l’attribut Calling-Station-Id (attribut RADIUS 31) dans le message Access-Accept.

Remarque :
Cette étape inclut une utilisation non standard de l’attribut Calling-Station-Id. Cet attribut est généralement présent dans les messages de demande RADIUS, tels qu’une demande d’accès, et non dans les messages de réponse. En outre, le routeur ignore tous les attributs RADIUS, autres que Calling-Station-Id, qui sont renvoyés dans le message de préauthentification Accès-Acceptation. En outre, tous radius options ceux qui sont configurés sur le routeur, tels que calling-station-id-format, n’ont aucun effet sur l’attribut Calling-Station-Id dans la demande de préauthentification.
Le routeur encode l’appelant l’ID de la station d’appel (le LLID) dans un deuxième message de demande d’accès et envoie le message au serveur d’authentification RADIUS. Cette demande d’authentification est l’utilisation standard de l’attribut Calling-Station-ID.
Le serveur d’authentification RADIUS renvoie un message d’acceptation d’accès au routeur. Le message Accès-Acceptation inclut des attributs pour la session d’abonné.

Remarque :
Une fois que l’abonné préauthentifié a été authentifié avec succès par le serveur d’authentification RADIUS, tous les messages de demande RADIUS suivants, tels que les messages de demande de comptabilité, incluront le LLID dans l’attribut Calling-Station-Id.

Remarque :

Pour les abonnés PPP tunnelisés, le routeur, agissant comme un concentrateur d’accès (LAC) L2TP, code le LLID en numéro d’appel AVP (attribut L2TP 22) et envoie l’attribut au serveur réseau L2TP (LNS) dans un paquet de demande d’appel entrant (ICRQ). Après une demande de préauthentification réussie, le routeur encode toujours le LLID dans le numéro d’appel L2TP AVP.

Attributs RADIUS pour les demandes de préauthentification LLID

Le Tableau 1 répertorie les attributs RADIUS IETF utilisés dans une demande de préauthentification pour obtenir le LLID d’un abonné, et décrit les informations incluses dans les attributs. Dans certains cas, la préauthentification utilise un attribut pour des informations différentes de la description IETF : le tableau indique toute utilisation non standard des attributs RADIUS.

Tableau 1 : attributs RADIUS pour les demandes de préauthentification LLID
Numéro d’attribut	Nom de l’attribut	Descriptif
1	Nom d’utilisateur	(Utilisation non standard de l’attribut.) Informations d’identification de l’utilisateur associé au LLID, au format suivant. `nas-port:nas-ip-address:nas-port-id` Exemple : `nas-port:198.51.100.117:ge-1/0/5:100` Remarque : Le routeur supprime toutes les informations générées dynamiquement de l’attribut Nom de l’utilisateur lors de la préauthentification.
2	Mot de passe utilisateur	(Utilisation non standard de l’attribut.) Mot de passe de l’utilisateur à authentifier. Exemple : Toujours défini sur `juniper`
4	Adresse IP NAS	Adresse IP du serveur d’accès réseau (NAS) qui demande l’authentification de l’utilisateur Exemple : `198.51.100.117`
5	Port NAS	Numéro de port physique du NAS qui authentifie l’utilisateur. Toujours interprété comme un champ de bits
6	Type de service	Le type de service demandé par l’utilisateur ou le type de service à fournir. Exemple : `gold-service`
61	Type de port NAS	Type de port physique utilisé par le NAS pour authentifier l’utilisateur. Vous pouvez utiliser l’instruction `ethernet-port-type-virtual` pour configurer cela en `virtual` (type 5).
77	Info-connexion	(Utilisation non standard de l’attribut.) Nom d’utilisateur. Exemple : `jdoe@xyzcorp.example.com`
87	ID de port NAS	Chaîne de texte qui identifie l’interface physique du NAS qui authentifie l’utilisateur. Comprend toute information générée dynamiquement. Exemple : `ge 1/0/5:100`

Configuration de l’identification de la ligne logique (LLID) Pré-authentification

La fonctionnalité d’identification de la ligne logique (LLID) permet aux fournisseurs de services de suivre les abonnés sur la base d’un port virtuel - le LLID - plutôt que sur le port physique utilisé par l’abonné. Le LLID est attribué par un serveur de préauthentification RADIUS, que vous configurez dans un profil d’accès.

Pour configurer le routeur afin qu’il prenne en charge la préauthentification pour la fonctionnalité LLID :

Remarque :

Vous ne pouvez pas configurer les instructions de préauthentification dans cette procédure si vous avez configuré l’instruction radius attributes exclude pour exclure l’attribut Calling-Station-ID des messages de demande d’accès RADIUS.

Spécifiez le profil d’accès que vous souhaitez utiliser pour la prise en charge de la préauthentification des abonnés.
Spécifiez l’ordre dans lequel le routeur utilise les méthodes de préauthentification prises en charge. radius est la seule méthode d’authentification prise en charge.
Indiquez que vous souhaitez configurer la prise en charge de RADIUS.
Spécifiez l’adresse IP du serveur RADIUS utilisé pour la préauthentification.
Remarque :
La fonctionnalité de préauthentification utilise les retry paramètres et timeout configurés pour le serveur d’authentification RADIUS.

(Facultatif) Affichez les statistiques de pré-authentification AAA.

(Facultatif) Vérifiez la configuration du serveur de préauthentification RADIUS.

Configuration d’un port et d’un mot de passe pour les demandes de préauthentification LLID

Vous pouvez configurer un routeur qui fonctionne en tant que client RADIUS pour contacter un serveur RADIUS pour des demandes d’authentification et de préauthentification sur deux ports UDP différents et en utilisant des mots de passe secrets différents. Comme pour la configuration des numéros de port pour les demandes d’authentification et de comptabilité, vous pouvez définir un numéro de port unique que le routeur utilise pour contacter le serveur RADIUS pour les demandes de préauthentification LLID (Logical Line Identification). Vous pouvez également définir un mot de passe unique pour les demandes de préauthentification. Si vous ne configurez pas un port UDP ou un secret distinct à des fins de pré-authentification, le même port UDP et le même secret que ceux configurés pour les messages d’authentification sont utilisés.

Pour configurer un numéro de port UDP unique à utiliser pour contacter le serveur RADIUS pour les demandes de préauthentification, incluez l’instruction preauthentication-port port-number au niveau de la [edit access radius-server server-address] hiérarchie ou [edit access profile profile-name radius-server server-address] .

Pour spécifier le port UDP pour tous les profils d’accès :

Pour spécifier le port UDP d’un profil d’accès spécifique :

Pour configurer le mot de passe à utiliser pour contacter le serveur de préauthentification RADIUS, incluez l’instruction preauthentication-secret password au niveau [edit access radius-server server-address] ou [edit access profile profile-name radius-server server-address] hiérarchie.

Pour spécifier le mot de passe de tous les profils d’accès :

Pour spécifier le mot de passe d’un profil d’accès spécifique :

Vérification et gestion de la configuration de pré-authentification LLID

Objet
Mesures à prendre

Objet

Affichez des statistiques et des informations de configuration relatives à la préauthentification LLID (Logical Line Identification).

Mesures à prendre

Pour afficher les statistiques de pré-authentification LLID :

Pour afficher des informations sur les serveurs de préauthentification :

SUR CETTE PAGE

Identification de la ligne logique RADIUS