Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Serveurs RADIUS et paramètres pour l’accès abonné

La configuration des paramètres et des options des serveurs RADIUS est une partie importante de la configuration de votre gestion des abonnés. Après avoir défini les serveurs d’authentification et de comptabilité, vous configurez les options pour tous les serveurs RADIUS. Vous pouvez également configurer des profils d’accès qui vous permettent de spécifier des paramètres de configuration de l’authentification, de l’autorisation et de la comptabilisation de l’accès abonné pour les abonnés ou les groupes d’abonnés. Les paramètres de profil remplacent les paramètres généraux. Bien que certaines options soient disponibles à la fois au niveau global et au niveau du profil d’accès, de nombreuses options ne sont disponibles que dans les profils d’accès.

Une fois que vous avez créé un profil d’accès, vous devez spécifier l’endroit où le profil est utilisé à l’aide d’une access-profile instruction. Des profils d’accès peuvent être attribués à différents niveaux. Par exemple, vous pouvez joindre des profils d’accès

  • Globalement pour une instance de routage.

  • Dans les profils dynamiques.

  • Dans un mappage de domaine, qui mappe les options d’accès et les paramètres de session pour les sessions d’abonnés.

  • Sur les interfaces pour les VLAN dynamiques et les VLAN empilés dynamiques.

  • Sur l’interface ou dans un groupe d’abonnés pour les abonnés avec des interfaces configurées de manière statique pour le provisionnement dynamique des services.

  • Sur les agents de relais DHCP et les serveurs locaux DHCP pour les clients ou abonnés DHCP.

Étant donné que vous pouvez joindre des profils d’accès à plusieurs niveaux, le profil d’accès le plus spécifique est prioritaire sur toutes les autres affectations de profil afin d’éviter les conflits. L’authentification et la comptabilité ne s’exécutent que si vous joignez le profil.

Définition du serveur d’authentification et de comptabilité RADIUS

Lorsque vous utilisez RADIUS pour la gestion des abonnés, vous devez définir un ou plusieurs serveurs RADIUS externes avec lesquels le routeur communique pour l’authentification et la comptabilisation des abonnés. En plus de spécifier l’adresse IPv4 ou IPv6 du serveur, vous pouvez configurer des options et des attributs qui déterminent la manière dont le routeur interagit avec les serveurs spécifiés.

Vous pouvez définir des serveurs RADIUS et des options de connectivité au niveau de la [edit access radius-server] hiérarchie, au niveau de la [edit access profile name radius-server] hiérarchie ou aux deux niveaux.

Note:

Le processus AAA (authd) détermine les définitions de serveur à utiliser comme suit :

  • Lorsque les définitions de serveur RADIUS ne sont présentes que dans [edit access radius-server], authd utilise ces définitions.

  • Lorsque les définitions de serveur RADIUS sont présentes uniquement dans le profil d’accès, authd utilise ces définitions.

  • Lorsque des définitions de serveur RADIUS sont présentes à la fois [edit access radius-server] dans le profil d’accès et dans le profil d’accès, authd utilise uniquement les définitions de profil d’accès.

Pour utiliser un serveur RADIUS, vous devez le désigner comme serveur d’authentification, serveur de comptabilité, ou les deux, dans un profil d’accès. Vous devez le faire pour les serveurs, qu’ils soient définis dans un profil d’accès ou au niveau de la [edit access radius-server] hiérarchie.

Pour définir les serveurs RADIUS et spécifier la manière dont le routeur interagit avec le serveur :

Note:

Cette procédure affiche uniquement le niveau hiérarchique [edit access radius-server] . Si vous le souhaitez, vous pouvez configurer n’importe lequel de ces paramètres au niveau de la [edit access profile profile-name] radius-server] hiérarchie. Vous pouvez le faire soit en plus du paramètre global, soit à la place du paramètre global. Lorsque vous appliquez un profil, les paramètres du profil remplacent la configuration globale.
  1. Spécifiez l’adresse IPv4 ou IPv6 du serveur RADIUS.
  2. (Facultatif) Configurez le numéro de port de comptabilisation du serveur RADIUS.
  3. (Facultatif) Configurez le numéro de port utilisé par le routeur pour contacter le serveur RADIUS.
  4. Configurez le secret requis (mot de passe) que le routeur local transmet au client RADIUS. Les secrets entre guillemets peuvent contenir des espaces.
  5. (Facultatif) Configurez le nombre maximal de requêtes en attente qu’un serveur RADIUS peut gérer. Une requête en attente est une requête à laquelle le serveur RADIUS n’a pas encore répondu.
  6. Configurez l’adresse source du serveur RADIUS. Chaque requête RADIUS envoyée à un serveur RADIUS utilise l’adresse source spécifiée. L’adresse source est une adresse IPv4 ou IPv6 valide configurée sur l’une des interfaces du routeur.
  7. (Facultatif) Configurez les valeurs de nouvelle tentative et de délai d’expiration pour les messages d’authentification et de comptabilisation.
    1. Configurez le nombre de fois que le routeur tente de contacter un serveur RADIUS alors qu’il n’a reçu aucune réponse.
    2. Configurez le temps pendant lequel le routeur attend de recevoir une réponse d’un serveur RADIUS avant de réessayer le contact.
    Note:

    La durée maximale des nouvelles tentatives (le nombre de nouvelles tentatives multiplié par la durée du délai d’expiration) ne peut pas dépasser 2700 secondes. Un message d’erreur s’affiche si vous configurez une durée plus longue.
    Note:

    Les retry paramètres et timeout s’appliquent à la fois aux messages d’authentification et de comptabilité, sauf si vous configurez à la fois le relevé et le accounting-retry accounting-timeout relevé. Dans ce cas, les retry paramètres et timeout s’appliquent uniquement aux messages d’authentification.
  8. (Facultatif) Configurez les valeurs de nouvelle tentative et de délai d’expiration pour les messages de comptabilité séparément des paramètres des messages d’authentification.
    Note:

    Vous devez configurer à la fois les instructions et accounting-retry les accounting-timeout instructions. Si ce n’est pas le cas, la valeur que vous configurez est ignorée au profit des valeurs configurées avec les retry instructions and timeout .
    1. Configurez le nombre de fois que le routeur tente d’envoyer des messages de comptabilité au serveur de comptabilité RADIUS lorsqu’il n’a reçu aucune réponse.
    2. Configurez le temps pendant lequel le routeur attend de recevoir une réponse d’un serveur de comptabilité RADIUS avant de réessayer la demande.
  9. (Facultatif) Configurez le routeur pour qu’il contacte le serveur RADIUS pour les demandes de pré-authentification d’identification de ligne logique (LLID). Reportez-vous à la section Identification de la ligne logique RADIUS.
  10. (Facultatif) Configurez le port que le routeur surveille pour les requêtes dynamiques (CoA) provenant du serveur spécifié. Reportez-vous à la section Gestion dynamique des services avec RADIUS.

Configuration des options qui s’appliquent à tous les serveurs RADIUS

Vous pouvez configurer les options RADIUS qui s’appliquent à tous les serveurs RADIUS globalement.

Pour configurer les options RADIUS globalement :

  1. Indiquez que vous souhaitez configurer les options RADIUS.
  2. (Facultatif) Configurez la vitesse à laquelle les demandes de mise à jour provisoire RADIUS sont envoyées au serveur.
  3. (Facultatif) Configurez l’écart maximal autorisé par rapport à l’intervalle de mise à jour configuré pendant lequel le routeur envoie les mises à jour comptables intermédiaires au serveur RADIUS. La tolérance est relative à l’intervalle de mise à jour configuré.

    Par exemple, si la tolérance est définie sur 60 secondes, le routeur envoie les mises à jour comptables intermédiaires au plus tôt 30 secondes avant l’intervalle de mise à jour configuré. Lorsqu’un abonné se connecte, la première mise à jour comptable intermédiaire peut être envoyée jusqu’à 30 secondes plus tôt (en moyenne 15 secondes plus tôt).

    Vous configurez l’intervalle de mise à jour à l’aide de l’instruction update-interval au niveau de la [edit access profile profile-name accounting] hiérarchie.

  4. (Facultatif) Configurez le nombre de requêtes par seconde que le routeur peut envoyer collectivement à tous les serveurs RADIUS configurés. En limitant le flux de requêtes du routeur vers les serveurs RADIUS, vous évitez que les serveurs RADIUS ne soient inondés de requêtes.
  5. (Facultatif) Configurez le nombre de secondes pendant lesquelles le routeur attend une fois qu’un serveur est devenu inaccessible avant de revérifier la connexion. Si le routeur atteint le serveur à l’expiration de l’intervalle de retour en arrière, le serveur est alors utilisé selon l’ordre de la liste des serveurs.
    Note:

    Vous pouvez également configurer le revert-interval dans un profil d’accès pour remplacer cette valeur globale. Reportez-vous à la section Configuration des options de profil d’accès pour les interactions avec les serveurs RADIUS.
  6. (Facultatif) Configurez la durée d’une période pendant laquelle les serveurs d’authentification RADIUS qui ne répondent pas encore ne sont pas encore considérés comme inaccessibles ou en panne. Vous pouvez varier la période selon que vous souhaitez rediriger les demandes d’authentification plus rapidement vers un autre serveur ou donner au serveur qui ne répond pas plus de temps pour récupérer et répondre.

    Pour plus d’informations, reportez-vous à la section Configuration d’une période de grâce de délai d’expiration pour spécifier quand les serveurs RADIUS sont considérés comme inactifs ou inaccessibles .

  7. (Facultatif) Configurez une valeur NAS-Port unique parmi tous les routeurs MX Series du réseau. Vous pouvez configurer une valeur NAS-Port qui est unique au sein du routeur uniquement, ou unique sur les différents routeurs MX du réseau.

    Pour plus d’informations, reportez-vous à la section Activation des attributs de port NAS uniques (attribut RADIUS 5) pour les abonnés .

Configuration d’un délai d’expiration pour spécifier quand les serveurs RADIUS sont considérés comme inactifs ou inaccessibles

Lorsqu’un serveur d’authentification RADIUS ne répond à aucune des tentatives pour une demande d’authentification donnée et expire, authd note l’heure de référence, mais il ne marque pas immédiatement le serveur comme indisponible (si d’autres serveurs sont disponibles) ou inaccessible (s’il s’agit du seul serveur configuré). Au lieu de cela, un minuteur de période de grâce configurable démarre à l’heure de référence. La période de grâce est effacée si le serveur répond à une requête ultérieure avant l’expiration de la période.

Pendant la période de grâce, le serveur n’est pas marqué comme indisponible ou inaccessible. Chaque fois que le serveur expire pour les requêtes suivantes à ce serveur, authd vérifie si la période de grâce a expiré. Lorsque la vérification détermine que la période de grâce a expiré et que le serveur n’a toujours pas répondu à une demande, le serveur est marqué comme inaccessible ou en panne.

L’utilisation d’une courte période de grâce vous permet d’abandonner plus rapidement un serveur qui ne répond pas et de diriger les demandes d’authentification vers d’autres serveurs disponibles. Une longue période de grâce donne au serveur plus d’occasions de répondre et peut éviter d’abandonner inutilement une ressource. Vous pouvez spécifier une période de grâce plus longue lorsque vous n’avez qu’un seul ou un petit nombre de serveurs configurés.

Pour configurer la période de grâce pendant laquelle un serveur RADIUS qui ne répond pas n’est pas marqué comme inaccessible ou en panne :

  • Spécifiez la durée de la période de grâce.

Configuration des options de profil d’accès pour les interactions avec les serveurs RADIUS

Vous pouvez utiliser un profil d’accès pour spécifier les options que le routeur utilise lorsqu’il communique avec les serveurs d’authentification et de comptabilité RADIUS pour l’accès des abonnés. Cette procédure décrit les options disponibles uniquement dans les profils d’accès. Pour connaître les options disponibles à la fois au niveau du profil d’accès et au niveau global, reportez-vous à la section Serveurs RADIUS et paramètres pour l’accès abonné.

Pour configurer les options du serveur d’authentification et de comptabilité RADIUS :

  1. Indiquez que vous souhaitez configurer les options RADIUS.
  2. (Facultatif) Configurez le format utilisé par le routeur pour identifier la session de comptabilité. L’identifiant peut être dans l’un des formats suivants :

    • decimal: format par défaut. Par exemple 435264

    • description—Dans le format, jnpr interface-specifier:subscriber-session-id. Par exemple jnpr fastEthernet 3/2.6:1010101010101

  3. (Facultatif) Configurez le caractère de délimitation que le routeur insère entre les valeurs de l’attribut RADIUS 31 (Calling-Station-Id).
  4. (Facultatif) Configurez les informations que le routeur inclut dans l’attribut RADIUS 31 (Calling-Station-Id).

    Pour plus d’informations, reportez-vous à la section Configuration d’un ID de poste appelant avec des options supplémentaires .

  5. (Facultatif) Configurez le routeur pour qu’il utilise le comportement facultatif qui insère le défi aléatoire généré par le NAS dans le champ Request Authenticator des paquets Access-Request, plutôt que d’envoyer le défi aléatoire en tant qu’attribut CHAP-Challenge (attribut RADIUS 60) dans les paquets Access-Request. Ce comportement facultatif nécessite que la valeur du défi soit de 16 octets ; sinon, l’instruction est ignorée et le défi est envoyé en tant qu’attribut CHAP-Challenge.
  6. (Facultatif) Configurez la méthode utilisée par le routeur pour accéder aux serveurs d’authentification et de comptabilité RADIUS lorsque plusieurs serveurs sont configurés :

    • direct: méthode par défaut, dans laquelle il n’y a pas d’équilibrage de charge. Le premier serveur configuré est le serveur principal ; Les serveurs sont accessibles par ordre de configuration. Si le serveur principal est inaccessible, le routeur tente d’atteindre le deuxième serveur configuré, et ainsi de suite.

    • round-robin: méthode assurant l’équilibrage de charge en faisant pivoter les requêtes de routeur dans la liste des serveurs RADIUS configurés. Le serveur choisi pour l’accès fait l’objet d’une rotation en fonction du serveur utilisé en dernier. Le premier serveur de la liste est traité comme principal pour la première demande d’authentification, mais pour la deuxième demande, le deuxième serveur configuré est traité comme principal, et ainsi de suite. Avec cette méthode, tous les serveurs configurés reçoivent à peu près le même nombre de requêtes en moyenne, de sorte qu’aucun serveur n’a à traiter toutes les requêtes.

      Note:

      Lorsqu’un serveur RADIUS de la liste Round-Robin devient inaccessible, le serveur accessible suivant dans la liste Round-Robin est utilisé pour la requête en cours. Ce même serveur est également utilisé pour la requête suivante car il se trouve en haut de la liste des serveurs disponibles. Par conséquent, après une panne de serveur, le serveur utilisé prend la charge de deux serveurs.

    • Pour configurer la méthode utilisée par le routeur pour accéder aux serveurs de comptabilité RADIUS :

    • Pour configurer la méthode utilisée par le routeur pour accéder aux serveurs d’authentification RADIUS :

  7. (Facultatif) Configurez le routeur pour qu’il utilise le comportement facultatif lorsqu’une opération CoA ne peut pas appliquer une modification demandée à une variable dynamique de profil client.

    Le comportement facultatif est que la gestion des abonnés n’applique aucune modification aux variables dynamiques de profil client dans la demande CoA, puis répond par un NACK. Par défaut, la gestion des abonnés n’applique pas la mise à jour incorrecte, mais applique les autres modifications aux variables dynamiques du profil client, puis répond par un message ACK.

  8. (Facultatif) Configurez le routeur pour qu’il utilise un type de port physique pour virtual authentifier les clients. Le type de port est transmis dans l’attribut RADIUS 61 (NAS-Port-Type). Par défaut, le routeur passe un type de port de dans l’attribut ethernet RADIUS 61.
    Note:

    Cette instruction est prioritaire sur l’instruction nas-port-type si vous incluez les deux dans le même profil d’accès.
  9. (Facultatif) Spécifiez les informations qui sont exclues de la description de l’interface que le routeur transmet à RADIUS pour inclusion dans l’attribut RADIUS 87 (NAS-Port-ID). Par défaut, la description de l’interface inclut des informations sur l’adaptateur, le canal et la sous-interface.
  10. (Facultatif) Pour les abonnés PPP à double pile, incluez VSA IPv4-Release-Control (26-164) dans la demande d’accès envoyée lors de l’attribution d’adresse IP à la demande et dans les messages de comptabilité provisoire envoyés pour signaler un changement d’adresse.

    Vous pouvez également configurer un message inclus dans IPv4-Release-Control VSA (26–164) lorsqu’il est envoyé au serveur RADIUS

    La configuration de cette instruction n’a aucun effet lorsque l’allocation ou la désallocation d’adresses IP à la demande n’est pas configurée.

  11. (Facultatif) Ajoutez les VSA de la ligne d’accès Juniper Networks aux messages de demande d’authentification et de comptabilité RADIUS pour les abonnés. Si le routeur n’a pas reçu et traité les attributs ANCP correspondants du nœud d’accès, AAA fournit uniquement les éléments suivants dans ces messages RADIUS :

    • Downstream-Calculated-QoS-Rate (IANA 4874, 26-141) : vitesse de transmission recommandée configurée par défaut.

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142) : vitesse de réception des avis configurée par défaut.

    À partir de Junos OS version 19.2R1, l’option juniper-access-line-attributes remplace l’option juniper-dsl-attributes . Pour des raisons de compatibilité descendante avec les scripts existants, l’option juniper-dsl-attributes redirige vers la nouvelle juniper-access-line-attributes option. Nous vous recommandons d’utiliser juniper-access-line-attributes.

    Note:

    Cette juniper-access-line-attributes option n’est pas rétrocompatible avec Junos OS version 19.1 ou antérieure. Cela signifie que si vous avez configuré juniper-access-line-attributes l’option dans Junos OS version 19.2 ou supérieure, vous devez effectuer les étapes suivantes pour rétrograder vers Junos OS version 19.1 ou versions antérieures :

    1. Supprimez l’option juniper-access-line-attributes de tous les profils d’accès qui l’incluent.

    2. Effectuez la rétrogradation logicielle.

    3. Ajoutez l’option juniper-dsl-attributes aux profils d’accès concernés.
  12. (Facultatif) Configurez la valeur de l’attribut RADIUS client 32 (NAS-Identifier), qui est utilisé pour les demandes d’authentification et de comptabilité.
  13. (Facultatif) Configurez le client RADIUS pour qu’il utilise le format étendu pour l’attribut RADIUS 5 (NAS-Port) et spécifiez la largeur des champs dans l’attribut-Port NAS, qui spécifie le numéro de port physique du NAS qui authentifie l’utilisateur.

    • Pour les abonnés Ethernet :

    • Pour les abonnés aux guichets automatiques :

  14. (Facultatif) Configurez le caractère de délimitation que le routeur insère entre les valeurs de l’attribut RADIUS 87 (NAS-Port-Id).
  15. (Facultatif) Configurez les informations facultatives que le routeur inclut dans l’attribut RADIUS 87 (NAS-Port-Id). Vous pouvez spécifier une ou plusieurs options à afficher dans l’ordre par défaut. Vous pouvez également spécifier à la fois les options et l’ordre dans lequel elles apparaissent. Les ordres s’excluent mutuellement et la configuration échoue si vous configurez un NAS-Port-ID qui inclut des valeurs dans les deux types de commande.

    Pour plus d’informations, reportez-vous aux sections Configuration d’un NAS-Port-ID avec des options supplémentaires et Configuration de l’ordre dans lequel les valeurs facultatives apparaissent dans le NAS-Port-ID .

  16. (Facultatif) Configurez le type de port inclus dans l’attribut RADIUS 61 (NAS-Port-Type). Spécifie le type de port utilisé par le routeur pour authentifier les abonnés.
    Note:

    Cette instruction est ignorée si vous configurez le dans le même profil d’accès ethernet-port-type-virtual .
  17. (Facultatif) Configurez le LAC pour remplacer le format Calling-Station-ID configuré pour la valeur envoyée dans la cote L2TP AVP 22. Vous pouvez remplacer le format Calling-Station-ID et configurer le LAC pour qu’il utilise l’ACI, l’ARI ou les deux ACI et ARI reçus du client L2TP dans le paquet PADR. Vous pouvez également spécifier un délimiteur à utiliser entre les composants de la chaîne AVP et une valeur de secours à utiliser lorsque les composants de remplacement configurés ne sont pas reçus dans le paquet PADR.
    Note:

    Pour plus d’informations , reportez-vous à la section Remplacer le format Calling-Station-ID pour le numéro appelant AVP .
  18. (Facultatif) Remplacez la valeur de l’attribut RADIUS NAS-IP-Address (4) au niveau du LNS par la valeur de l’adresse IP du point de terminaison LAC de la session, si elle est présente dans la base de données de session. Si ce n’est pas le cas, c’est la valeur de l’attribut d’origine qui est utilisée.
  19. (Facultatif) Remplacez la valeur de l’attribut RADIUS NAS-Port (5) au niveau du LNS par la valeur de la base de données de session si les informations sur le port NAS LAC ont été transmises au LNS dans l’AVP (100) de Cisco Systems NAS Port Info. Si ce n’est pas le cas, c’est la valeur de l’attribut d’origine qui est utilisée.
  20. (Facultatif) Remplacez la valeur de l’attribut RADIUS NAS-Port-Type (61) au niveau du LNS par la valeur de la base de données de session si les informations sur les ports NAS LAC ont été transmises au LNS dans l’AVP (100) de Cisco Systems NAS Port Info (100). Si ce n’est pas le cas, c’est la valeur de l’attribut d’origine qui est utilisée.
  21. (Facultatif) Configurez un caractère délimiteur pour la chaîne d’ID du circuit distant lorsque vous utilisez l’instruction remote-circuit-id-format pour configurer la chaîne à utiliser à la place de l’ID de la station appelante dans L2TP Numéro d’appel AVP 22. Si plusieurs valeurs sont configurées pour le format d’ID de circuit distant, le caractère délimiteur est utilisé comme séparateur entre les valeurs concaténées de la chaîne d’ID de circuit distant résultante.
    Note:

    Vous devez configurer l’instruction override calling-circuit-id remote-circuit-id pour que le format d’ID de circuit distant soit utilisé dans l’appelant AVP.
  22. (Facultatif) Configurez la valeur de repli pour que le LAC envoie le numéro d’appel L2TP AVP 22, soit l’ID de station d’appel configuré, soit l’interface sous-jacente par défaut. L’utilisation de la valeur de secours est déclenchée lorsque les composants de la chaîne de remplacement que vous avez configurée avec l’instruction remote-circuit-id-format (l’ACI, l’ARI ou ACI et l’ARI) ne sont pas reçus par le BAC dans le paquet PADR (PPPoE Active Discovery Request).
  23. (Facultatif) Configurez le format de la chaîne qui remplace le format Calling-Station-ID dans l’AVP du numéro appelant L2TP. Vous pouvez spécifier l’ACI, l’ARI ou les deux ACI.
    Note:

    Vous devez configurer l’instruction override calling-circuit-id remote-circuit-id pour que le format d’ID de circuit distant soit utilisé dans l’appelant AVP.
  24. (Facultatif) Configurez le nombre de secondes pendant lesquelles le routeur attend une fois qu’un serveur est devenu inaccessible avant de faire une nouvelle tentative pour atteindre le serveur. Si le serveur est alors accessible, il est utilisé conformément à l’ordre de la liste des serveurs.
    Note:

    Vous pouvez également configurer cette option pour tous les serveurs RADIUS. Reportez-vous à la section Configuration des options des serveurs RADIUS.
  25. (Facultatif) Configurez si l’abonné nouvellement authentifié peut se connecter avec succès lorsque des échecs d’activation de service liés à des erreurs de configuration se produisent pendant le traitement d’authentification de la demande d’activation pour la famille d’adresses de l’abonné. Vous pouvez spécifier ce comportement pour les services configurés dans des profils dynamiques ou dans des scripts d’opération ESSM (Extensible Subscriber Services Manager) :

    • optional-at-login: l’activation du service est facultative. L’échec d’activation dû à des erreurs de configuration n’empêche pas l’activation de la famille d’adresses ; Il permet aux abonnés d’y accéder. Les échecs d’activation des services dus à des causes autres que les erreurs de configuration entraînent l’échec de l’activation de la famille réseau. La tentative de connexion est terminée, sauf si une autre famille d’adresses est déjà active pour l’abonné.

    • required-at-login: l’activation du service est requise. L’échec d’activation, quelle qu’en soit la raison, entraîne l’échec de l’activation de la famille réseau. La tentative de connexion est terminée, sauf si une autre famille d’adresses est déjà active pour l’abonné.

  26. (Facultatif) Spécifiez que l’attribut RADIUS 5 (NAS-Port) inclut l’ID S-VLAN, en plus de l’ID VLAN, pour les abonnés sur les interfaces Ethernet.

Configuration d’un Calling-Station-ID avec des options supplémentaires

Cette section permet de configurer une autre valeur pour l’ID de la station appelante (attribut IETF RADIUS 31) dans un profil d’accès sur le routeur MX Series.

Vous pouvez configurer l’ID de poste d’appel pour inclure une ou plusieurs des options suivantes, dans n’importe quelle combinaison, dans la hiérarchie [edit access profile profile-name radius options calling-station-id-format] :

  • Agent circuit identifier (agent-circuit-id) : identificateur du nœud d’accès de l’abonné et de la ligne d’abonné numérique (DSL) sur le nœud d’accès. La chaîne ACI (Agent circuit Identifier) est stockée soit dans le champ DHCP option 82 des messages DHCP pour le trafic DHCP, soit dans le DSL Forum Agent-Circuit-ID VSA [26-1] des paquets de contrôle PPPoE Active Discovery Initiation (PADI) et PPPoE Active Discovery Request (PADR) pour le trafic PPPoE.

  • Identifiant distant de l’agent (agent-remote-id) : identificateur de l’abonné sur l’interface DSLAM (Digital Subscriber Line Access Multiplexer) à l’origine de la demande de service. La chaîne de l’identifiant distant de l’agent (ARI) est stockée soit dans le champ DHCP option 82 pour le trafic DHCP, soit dans le forum DSL Agent-Remote-ID VSA [26-2] pour le trafic PPPoE.

  • Interface description (interface-description) : valeur de l’interface.

  • Interface text description (interface-text-description) : description textuelle de l’interface. La description textuelle de l’interface est configurée séparément, à l’aide de l’instruction set interfaces interface-name description description ou de l’instruction set interfaces interface-name unit unit-number description description

  • Adresse MAC (mac-address) : adresse MAC de l’équipement source de l’abonné.

  • NAS identifier (nas-identifier) : nom du NAS à l’origine de la demande d’authentification ou de comptabilité. NAS-Identifier est l’attribut RADIUS IETF 32.

  • Stacked VLAN (stacked-vlan)—ID de VLAN empilé.

  • VLAN (vlan)—ID DE VLAN.

Si vous configurez le format de Calling-Station-ID avec plusieurs valeurs facultatives, un caractère dièse (#) est le délimiteur par défaut que le routeur utilise comme séparateur entre les valeurs concaténées de la chaîne Calling-Station-ID résultante. Si vous le souhaitez, vous pouvez configurer un autre caractère délimiteur à utiliser pour l’ID de la station d’appel. L’exemple suivant montre l’ordre de sortie lorsque vous configurez plusieurs valeurs facultatives :

Pour configurer un profil d’accès afin de fournir des informations facultatives dans l’ID de la station appelante :

  1. Spécifiez le profil d’accès que vous souhaitez configurer.
  2. Indiquez que vous souhaitez configurer les options RADIUS.
  3. Spécifiez le caractère autre que celui par défaut à utiliser comme délimiteur entre les valeurs concaténées dans l’ID de la station appelante.

    Par défaut, la gestion des abonnés utilise le caractère dièse (#) comme délimiteur dans les chaînes Calling-Station-ID qui contiennent plusieurs valeurs facultatives.

  4. Configurez la valeur de l’identificateur NAS (attribut RADIUS 32), qui est utilisée pour les demandes d’authentification et de comptabilité.
  5. Spécifiez que vous souhaitez configurer le format de l’ID de la station appelante.
  6. (Facultatif) Incluez la description textuelle de l’interface dans l’ID de la station appelante.
  7. (Facultatif) Incluez la valeur de description de l’interface dans l’ID de la station appelante.
  8. (Facultatif) Incluez l’identificateur de circuit de l’agent dans l’ID de la station appelante.
  9. (Facultatif) Incluez l’identificateur distant de l’agent dans l’ID de la station appelante.
  10. (Facultatif) Incluez la valeur de l’identificateur NAS configuré dans l’ID de la station appelante.
  11. (Facultatif) Incluez l’ID de VLAN empilé dans l’ID de la station appelante.
  12. (Facultatif) Incluez l’ID VLAN dans l’ID de la station appelante.
  13. (Facultatif) Incluez l’adresse MAC dans l’ID de la station appelante.

Exemple : Calling-Station-ID avec des options supplémentaires dans un profil d’accès

L’exemple suivant crée un profil d’accès nommé retailer01 qui configure une chaîne Calling-Station-ID qui inclut les options NAS-Identifier (fox), la description de l’interface, l’identifiant de circuit de l’agent et l’identifiant distant de l’agent.

La chaîne Calling-Station-ID résultante est formatée comme suit :

fox*ge-1/2/0.100:100*as007*ar921

où:

  • La valeur de l’identificateur NAS est fox.

  • Le caractère délimiteur Calling-Station-ID est * (astérisque).

  • La valeur de description de l’interface est ge-1/2/0.100:100.

  • La valeur de l’identificateur de circuit de l’agent est as007.

  • La valeur de l’identificateur distant de l’agent est ar921.

Prenons un exemple où toutes les options sont configurées, mais aucune valeur n’est disponible pour l’ID de circuit de l’agent, l’ID distant de l’agent ou l’identificateur de VLAN empilé. Les autres valeurs sont les suivantes :

  • Identificateur NAS – solarium

  • Description de l’interface : GE-1/0/0.1073741824:101

  • Description textuelle de l’interface : exemple d’interface

  • Adresse MAC—00:00:5E :00:53:00

  • Identifiant VLAN : 101

Ces valeurs donnent l’ID de poste d’appel suivant :

Filtrage des attributs RADIUS et des VSA à partir des messages RADIUS

Les attributs standard et les attributs spécifiques aux fournisseurs (VSA) reçus dans les messages RADIUS sont prioritaires sur les valeurs d’attribut provisionnées en interne. Les attributs de filtrage consistent à choisir d’ignorer certains attributs lorsqu’ils sont reçus dans les paquets Access Accept et d’exclure certains attributs de l’envoi au serveur RADIUS. Si vous ignorez les attributs reçus du serveur RADIUS, vos valeurs provisionnées localement peuvent être utilisées à la place. Il est utile, par exemple, d’exclure les attributs de l’envoi pour les attributs qui ne changent pas pendant toute la durée de vie d’un abonné. Il vous permet de réduire la taille des paquets sans perte d’informations.

Vous pouvez spécifier des attributs RADIUS standard et des VSA que le routeur ou le commutateur ignore par la suite lorsqu’ils sont reçus dans les messages d’accès-acceptation RADIUS. Vous pouvez également spécifier les attributs et les VSA que le routeur ou le commutateur exclut des types de messages RADIUS spécifiés. L’exclusion signifie que le routeur ou le commutateur n’inclut pas l’attribut dans les messages spécifiés qu’il envoie au serveur RADIUS.

À partir de Junos OS version 18.1R1, vous pouvez configurer le routeur ou le commutateur pour qu’il ignore ou exclue les attributs standard RADIUS et les VSA en spécifiant respectivement le numéro d’attribut standard ou l’ID de fournisseur attribué par l’IANA et le numéro VSA. Grâce à cette méthode de configuration flexible, vous pouvez configurer n’importe quel attribut standard et VSA pris en charge par votre plateforme pour qu’ils soient ignorés ou exclus. La configuration n’a aucun effet si vous configurez des attributs, des fournisseurs et des VSA non pris en charge.

La méthode héritée vous permet de configurer uniquement les attributs et les VSA pour lesquels la syntaxe de l’instruction inclut une option spécifique. Par conséquent, vous pouvez utiliser la méthode héritée pour ignorer uniquement un sous-ensemble de tous les attributs qui peuvent être reçus dans les messages d’accès-acceptation.

Pour configurer les attributs ignorés ou exclus par votre routeur ou commutateur :

  1. Indiquez que vous souhaitez configurer RADIUS dans le profil d’accès.
  2. Indiquez que vous souhaitez configurer le filtrage des attributs RADIUS.
  3. (Facultatif) Spécifiez un ou plusieurs attributs que vous souhaitez que votre routeur ou commutateur ignore lorsqu’ils se trouvent dans des messages d’accès-acceptation.

    • Méthode héritée : spécifiez une option dédiée pour l’attribut :

    • Méthode flexible : spécifiez le numéro d’attribut standard ou l’ID de fournisseur attribué par l’IANA et le numéro VSA :

  4. (Facultatif) Configurez un attribut que vous souhaitez que votre routeur ou commutateur exclue d’un ou plusieurs types de messages RADIUS spécifiés. Vous ne pouvez pas configurer une liste d’attributs, mais vous pouvez spécifier une liste de types de messages pour chaque attribut.

    • Méthode héritée : spécifiez une option dédiée pour l’attribut et le type de message :

    • Méthode flexible : spécifiez le numéro d’attribut standard ou l’ID de fournisseur attribué par l’IANA, le numéro VSA et le type de message :

L’exemple suivant compare les méthodes de configuration héritées et flexibles pour ignorer l’attribut RADIUS standard, Framed-IP-Netmask (9), et les VSA Juniper Networks, Ingress-Policy-Name (26-10) et Egress-Policy-Name (26-11).

  • Méthode héritée :

  • Méthode flexible :

L’exemple suivant compare les méthodes de configuration héritées et flexibles pour exclure l’attribut RADIUS standard, Framed-IP-Netmask (9), et les VSA Juniper Networks, Ingress-Policy-Name (26-10) et Egress-Policy-Name (26-11).

  • Méthode héritée :

  • Méthode flexible : spécifiez le numéro d’attribut standard ou l’ID de fournisseur attribué par l’IANA, le numéro VSA et le type de message :

Que se passe-t-il si vous spécifiez un attribut avec les deux méthodes dans le même profil ? La configuration effective est le OU logique des deux méthodes. Considérez l’exemple suivant pour l’attribut standard, comptable-delay-time (41) :

Le résultat est que l’attribut est exclu des quatre types de messages : Accounting-Off, Accounting-On, Accounting-Start et Accounting-Stop. L’effet est le même que si l’une des configurations suivantes était utilisée :

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
18.1R1
À partir de Junos OS version 18.1R1, vous pouvez configurer le routeur ou le commutateur pour qu’il ignore ou exclue les attributs standard RADIUS et les VSA en spécifiant respectivement le numéro d’attribut standard ou l’ID de fournisseur attribué par l’IANA et le numéro VSA.