RADIUS를 통한 동적 서비스 관리
가입자 액세스 관리를 위한 RADIUS 동적 요청 사용
RADIUS 동적 요청은 가입자 세션을 중앙에서 관리할 수 있는 효율적인 방법을 제공합니다. AAA 서비스 프레임워크의 RADIUS 동적 요청 지원을 통해 RADIUS 서버는 라우터에 원치 않는 요청 메시지를 전송하여 종료 작업과 같은 사용자 관련 작업을 시작할 수 있습니다. RADIUS 동적 요청 기능이 없는 경우 RADIUS 사용자의 연결을 끊는 유일한 방법은 라우터에서 연결을 끊는 것이므로 대규모 네트워크에서 번거롭고 시간이 많이 소요될 수 있습니다.
일반적인 클라이언트-서버 RADIUS 환경에서 라우터는 클라이언트 역할을 하며 원격 RADIUS 서버로 전송된 요청을 시작합니다. 그러나 RADIUS 동적 요청을 사용할 때는 역할이 반대입니다. 예를 들어, 연결 끊기 작업 중에 원격 RADIUS 서버는 클라이언트 역할을 하고 요청(연결 끊기 작업)을 시작하면 라우터는 관계에서 서버 역할을 합니다.
액세스 프로필을 생성하여 RADIUS 동적 요청을 지원하도록 라우터를 구성합니다. 이 구성을 통해 라우터는 원격 RADIUS 서버에서 다음 유형의 메시지를 수신하고 이에 대해 조치를 취할 수 있습니다.
Access-Accept 메시지 - 가입자가 로그인할 때 수신되는 RADIUS Access-Accept 메시지의 속성을 기반으로 서비스를 동적으로 활성화합니다.
CoA(Change-of-Authorization) 메시지 - CoA 메시지의 속성을 기반으로 활성 세션을 동적으로 수정합니다. CoA 메시지에는 서비스 생성 요청, 삭제 요청, RADIUS 속성 및 주니퍼 네트웍스 VSA가 포함될 수 있습니다.
메시지 연결 해제 - 특정 가입자 세션을 즉시 종료합니다.
기본적으로 라우터는 RADIUS 서버의 CoA 요청에 대해 UDP 포트 3799를 모니터링합니다. RADIUS 서버에 대해 기본이 아닌 포트를 구성할 수도 있습니다. 모든 RADIUS 서버에 대해 기본 포트를 사용하거나 모든 RADIUS 서버에 대해 기본이 아닌 동일한 포트를 구성해야 합니다. 이 규칙은 전역 액세스 및 액세스 프로필 수준 모두에 적용됩니다.
다른 구성은 커밋 검사에 실패합니다. 여러 포트 번호, 즉 서버마다 다른 포트 번호는 지원되지 않습니다.
RADIUS 동적 요청의 이점
속성 변경, 서비스 활성화, 서비스 비활성화, 세션 종료 등의 원치 않는 변경을 가입자 세션에 전송하여 가입자 세션을 중앙에서 간편하게 관리할 수 있습니다.
참조
RADIUS 시작 동적 요청 지원 구성
라우터는 인증 및 동적 요청 작업 모두에 대해 지정된 RADIUS 인증 서버 목록을 사용합니다. 기본적으로 라우터는 CoA(Change of Authorization) 요청이라고도 하는 동적 요청에 대해 UDP 포트 3799를 모니터링합니다.
RADIUS 동적 요청 지원을 구성하려면,
RADIUS 서버의 IP 주소를 지정합니다.
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3
두 개 이상의 RADIUS 서버로부터의 동적 요청을 지원하도록 라우터를 구성하려면,
여러 RADIUS 서버의 IP 주소를 지정합니다.
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3 192.168.10.15
동적 요청 포트를 구성할 때 다음 중 하나를 수행해야 합니다.
글로벌 액세스 수준과 모든 액세스 프로파일 모두에서 모든 RADIUS 서버의 기본 포트를 사용합니다.
글로벌 액세스 수준과 모든 액세스 프로필의 모든 서버에 대해 기본이 아닌 동일한 포트를 구성합니다.
다른 구성은 커밋 검사에 실패합니다. 여러 포트 번호, 즉 서버마다 다른 포트 번호는 지원되지 않습니다.
전역 동적 요청 포트를 지정하려면 다음을 수행합니다.
[edit access] user@host# set radius-server server-address dynamic-request-port port-number
특정 액세스 프로필에 대한 동적 요청 포트 지정:
[edit access] user@host# set profile profile-name radius-server server-address dynamic-request-port port-number
다음과 같은 시나리오를 고려하십시오.
다음 구성에서는 전역으로 서버를 구성하고 액세스 프로필의 다른 서버 모두에 대해 기본 포트를 사용합니다. 이는 유효한 구성입니다.
[edit access] user@host# set radius-server 192.0.2.1 user@host# set profile ap1 radius-server 192.0.2.3
다음 구성은 전역으로 서버를 구성하고 액세스 프로필의 다른 서버 모두에 대해 기본이 아닌 포트 50201을 지정합니다. 이는 유효한 구성입니다.
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.3 dynamic-request-port 50201
다음 구성은 서버에 대해 전역으로 포트 50201을 지정하고 ap1 액세스 프로필의 동일한 서버에 대해 포트 51133을 지정합니다. 이는 잘못된 구성이며, 기본이 아닌 여러 포트가 지원되지 않기 때문에 커밋 검사에 실패합니다.
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.1 dynamic-request-port 51133
다음 구성에서는 전역적으로 한 서버에 기본 포트 3799를 사용하고 다른 서버에 전역으로 포트 51133을 사용합니다. 이는 잘못된 구성이며 모든 서버에 대해 기본 포트 또는 기본이 아닌 동일한 포트를 구성해야 하므로 커밋 검사에 실패합니다.
[edit access] user@host# set radius-server 192.0.2.1 user@host# set radius-server 192.0.2.3 dynamic-request-port 51133
참조
RADIUS 시작 CoA(Change of Authorization) 개요
AAA 서비스 프레임워크는 CoA 메시지를 사용하여 활성 가입자 세션을 동적으로 수정합니다. 예를 들어, CoA 메시지의 RADIUS 속성은 프레임워크에 가입자 서비스를 생성, 수정 또는 종료하도록 지시할 수 있습니다. 또한 CoA 메시지를 사용하여 현재 가입자 서비스에 대한 사용 임계값을 설정하거나 수정할 수 있습니다.
CoA 메시지
동적 요청 지원을 통해 라우터는 외부 RADIUS 서버로부터 원치 않는 CoA 메시지를 수신하고 처리할 수 있습니다. RADIUS 시작 CoA 메시지는 요청 및 응답 메시지에서 다음 코드를 사용합니다.
CoA-요청 (43)
CoA-ACK (44)
CoA-NAK (45)
인가 변경 자격
사용자에 대한 권한 부여 변경을 완료하려면 식별 특성과 세션 특성을 지정합니다. 식별 특성이 가입자를 식별합니다. 세션 속성은 가입자의 세션에서 수행할 작업(활성화 또는 비활성화)을 지정하고 세션에 대한 클라이언트 속성(예: QoS 속성)을 포함합니다. AAA 서비스 프레임워크는 실제 요청을 처리합니다.
표 1 에는 CoA 작업에 대한 식별 속성이 표시되어 있습니다.
속성 |
묘사 |
|---|---|
User-Name [RADIUS 속성 1] |
가입자 사용자 이름. |
Acct-Session-ID [RADIUS 속성 44] |
특정 가입자 세션. |
Acct-Session-ID 속성을 사용하여 가입자 세션을 식별하는 것이 User-Name 속성을 사용하는 것보다 더 명시적입니다. User-Name을 식별자로 사용하면 지정된 사용자 이름으로 로그인한 첫 번째 세션에 CoA 작업이 적용됩니다. 그러나 가입자가 동일한 사용자 이름과 연관된 여러 세션을 가질 수 있기 때문에 첫 번째 세션은 CoA 작업에 대한 올바른 세션이 아닐 수 있습니다.
Acct-Session-ID 속성을 사용하면 특정 가입자 세션을 식별하여 잠재적인 오류를 방지할 수 있습니다. Acct-Session-ID 속성은 세션 ID 외에 인터페이스 지정자를 포함할 수 있지만(속성이 설명 형식인 경우) 세션 ID만 가입자 일치에 사용됩니다. 예를 들어, 가입자의 가입자 세션 ID가 인 54785경우, Acct-Session-ID 속성이 (십진수 형식), 또는 jnpr demux0.1073759682:54785 (설명 형식) 또는 실제로 any value:54785 (설명 형식)일 54785 때 가입자가 일치합니다.
표 2 에는 CoA 작업에 대한 세션 속성이 표시되어 있습니다. 포함하는 추가 클라이언트 속성은 특정 세션 요구 사항에 따라 다릅니다.
속성 |
묘사 |
|---|---|
활성화 서비스 [주니퍼 네트웍스 VSA 26-65] |
가입자에 대해 활성화할 서비스입니다. |
Deactivate-Service [주니퍼 네트웍스 VSA 26-66] |
가입자에 대해 비활성화할 서비스입니다. |
서비스 볼륨 [주니퍼 네트웍스 VSA 26-67] |
서비스를 사용할 수 있는 트래픽 양(MB) 볼륨이 초과되면 서비스가 비활성화됩니다. |
서비스 시간 초과 [주니퍼 네트웍스 VSA 26-68] |
서비스가 활성화될 수 있는 시간(초)입니다. 시간 초과가 만료되면 서비스가 비활성화됩니다. |
Service-Volume-Gigawords [주니퍼 네트웍스 VSA 26-179] |
서비스를 사용할 수 있는 트래픽 양(4GB 단위) 볼륨이 초과되면 서비스가 비활성화됩니다. |
업데이트 서비스 [주니퍼 네트웍스 VSA 26-180] |
기존 서비스에 대한 새로운 서비스 및 시간 할당량 값입니다. |
메시지 교환
RADIUS 서버와 라우터의 AAA 서비스 프레임워크는 UDP를 사용하여 메시지를 교환합니다. RADIUS 서버에서 보낸 CoA-Request 메시지는 연결 끊기 작업을 위해 전송되는 Disconnect-Request 패킷과 동일한 형식을 갖습니다.
응답은 CoA-ACK 또는 CoA-NAK 메시지입니다.
AAA 서비스 프레임워크가 권한 부여를 성공적으로 변경하면, 응답은 CoA-ACK 메시지가 포함된 RADIUS 형식의 패킷이며 데이터 필터가 세션에 적용됩니다.
AAA 서비스 프레임워크가 실패했거나, 요청의 형식이 잘못되었거나, 속성이 누락된 경우, 응답은 CoA-NAK 메시지가 포함된 RADIUS 포맷 패킷입니다.
AAA 서비스 프레임워크는 가입자당 한 번에 하나의 동적 요청을 처리합니다. 프레임워크가 동일한 가입자에 대한 이전 요청을 처리하는 동안 두 번째 동적 요청(다른 CoA 또는 Disconnect-Request)을 수신하면 프레임워크는 CoA-NAK 메시지로 응답합니다. Junos OS 릴리스 15.1R5부터 CoA-Request 재시도 메시지는 무시되고 이에 대한 응답으로 CoA-NAK가 전송되지 않습니다.
대량 CoA 트랜잭션
Junos OS 릴리스 17.2R1부터는 BNG에서 RADIUS 기반 가입자 서비스의 처리 효율성을 개선하기 위해 대량 CoA 요청이 지원됩니다. 대량 CoA 기능을 사용하면 일련의 CoA 요청을 누적할 수 있으며 모든 요청을 자동으로 대량으로 함께 커밋할 수 있습니다.
대량 CoA 요청의 모든 서비스는 동일한 가입자 세션을 위한 것이어야 합니다.
대량 CoA 트랜잭션은 비즈니스 서비스에 특히 유용합니다. RADIUS 기반 가입자 서비스는 주니퍼 네트웍스 VSA, Activate-Service(26-65) 및 Deactivate-Service(26-66)를 사용합니다. VSA는 로그인 중 RADIUS-Accept 메시지 또는 로그인 후 CoA 요청으로 제공됩니다.
기존의 동적 서비스 프로필 기반 서비스의 경우 최대 12개의 서비스 활성화가 RADIUS 메시지 내에 쉽게 들어갈 수 있습니다. 그러나 기업에서 사용하는 op-script 기반 서비스에는 일반적으로 두 메시지 중 하나의 용량을 초과하는 확장 요구 사항이 있습니다. 즉, 특정 가입자 세션에서 필요한 모든 서비스를 지정하고 활성화하려면 Accept-Access 메시지와 여러 CoA 요청을 사용해야 할 수 있습니다.
각 CoA 요청 메시지는 동일한 가입자 세션의 이전 및 향후 CoA 요청과 독립적입니다. 메시지의 모든 서비스 활성화 및 비활성화는 CoA 응답이 제공되기 전에 처리됩니다. CoA 요청은 이미 존재하는 기존 서비스에 영향을 주지 않고 가입자 세션을 점진적으로 수정할 수 있는 방법을 제공합니다.
op-script 기반 서비스의 경우, 서비스 세션은 authd 및 essmd 프로세스에 의해 공동으로 생성되며, 마지막 작업은 CoA 요청에서 모든 결과 정적 비즈니스 논리적 인터페이스를 적용하기 위한 커밋을 시작합니다. 커밋 시간은 일반적으로 정적 비즈니스 서비스 적용의 가장 큰 부분이기 때문에 커밋 창을 효율적으로 사용하기 위해 RADIUS 메시지에 맞는 만큼 서비스 활성화 또는 비활성화를 압축하는 이점이 있습니다. 커밋 작업이 완료될 때까지 BNG는 동일한 가입자 세션에 대한 추가 비즈니스 서비스를 적용하라는 후속 CoA 요청을 수락할 수 없습니다.
대량 CoA는 대량 트랜잭션의 모든 서비스에 대해 단일 커밋 작업을 사용하여 커밋 처리의 효율성을 향상시킵니다. 대량 트랜잭션은 일련의 요청을 단일 메타 요청으로 관리하는 효과가 있습니다. 대량 트랜잭션의 최종 CoA 요청이 수신될 때까지 커밋 처리를 연기합니다.
대량 CoA에서는 각 개별 요청에 주니퍼 네트웍스 Bulk-CoA-Transaction-Id VSA(26–194)의 단일 인스턴스가 포함되어야 합니다. 이 VSA는 요청을 동일한 대량 트랜잭션에 속하는 것으로 식별합니다. 26–194는 대량 시리즈의 모든 CoA 요청에서 동일한 값을 가져야 합니다. 세션의 각 연속 대량 트랜잭션에는 서로 다른 식별자가 있어야 합니다. 예를 들어 세 개의 연속적인 대량 트랜잭션은 1, 2, 1의 ID를 가질 수 있지만 1, 1, 2의 연속 ID를 가질 수는 없습니다. 실제로 Bulk-CoA-Transaction-Id 값은 일반적으로 여러 대량 트랜잭션에 대해 증가하지만 필수는 아닙니다. 지정된 가입자 세션에서 사용되는 ID 값은 다른 가입자 세션에서도 사용될 수 있습니다.
대량 트랜잭션 내의 각 CoA 요청에는 각 CoA에서 Bulk-CoA-Identifier VSA(26–195)의 단일 인스턴스가 제공하는 고유한 식별자가 있습니다. ID에 대한 일련의 값 증가는 일반적이지만 적용되지는 않습니다. 값은 지정된 세션 내와 세션 간에 재사용할 수 있습니다. 시리즈의 마지막 CoA 요청은 bulk-CoA-Identifier에 대한 값 0xFFFFFFFF로 식별됩니다.
RADIUS 시작 권한 변경의 이점
속성 값의 변경 사항을 가입자 세션에 동적으로 푸시할 수 있을 뿐만 아니라 가입자 서비스의 동적 활성화 및 비활성화를 지원합니다.
참조
RADIUS 시작 연결 끊기 개요
이 섹션에서는 RADIUS 시작 연결 해제 동적 요청에 대한 AAA 서비스 프레임워크의 지원에 대해 설명합니다. AAA 서비스 프레임워크는 연결 해제 메시지를 사용하여 활성 가입자 세션을 동적으로 종료합니다.
메시지 연결 해제
원격 액세스 가입자의 연결 끊김을 중앙에서 제어하기 위해 라우터의 RADIUS 동적 요청 기능은 RADIUS 서버로부터 원치 않는 메시지를 수신하고 처리합니다.
동적 요청 기능은 RADIUS 연결 해제 요청 및 응답 메시지의 기존 형식을 사용합니다. RADIUS 시작 연결 해제는 RADIUS 요청 및 응답 메시지에서 다음 코드를 사용합니다.
연결 끊기 요청 (40)
연결 끊기-ACK (41)
연결 끊기-NAK (42)
연결 끊기 자격 요건
AAA 서비스 프레임워크에서 사용자 연결을 끊으려면 Disconnect-Request 메시지에 accounting 세션 ID가 있는 속성이 포함되어야 합니다. Disconnect-Request 메시지는 세션 ID에 대한 Acct-Session-Id(44) 특성 또는 Acct-Multi-Session-Id(50) 특성 또는 둘 다를 포함할 수 있습니다. 요청에 Acct-Session-Id 및 Acct-Multi-Session-Id 특성이 모두 있는 경우 라우터는 두 특성을 모두 사용합니다. 요청에 User-Name (1) 속성이 있는 경우 사용자 이름과 계정 세션 ID를 사용하여 연결을 끊습니다. AAA 서비스 프레임워크는 실제 요청을 처리합니다.
메시지 교환
RADIUS 서버와 AAA 서비스 프레임워크는 UDP를 사용하여 메시지를 교환합니다. RADIUS 서버에서 보낸 Disconnect-Request 메시지는 인증 변경 작업을 위해 전송되는 CoA-Request 패킷과 동일한 형식을 갖습니다.
연결 끊기 응답은 Disconnect-ACK 또는 Disconnect-NAK 메시지입니다.
AAA 서비스 프레임워크가 사용자의 연결을 성공적으로 끊으면 응답은 Disconnect-ACK 메시지가 포함된 RADIUS 형식의 패킷입니다.
AAA 서비스 프레임워크가 사용자 연결을 끊을 수 없거나, 요청의 형식이 잘못되었거나, 요청에서 특성이 누락된 경우, 응답은 Disconnect-NAK 메시지가 포함된 RADIUS 포맷 패킷입니다.
AAA 서비스 프레임워크는 가입자당 한 번에 하나의 동적 요청을 처리합니다. 프레임워크가 동일한 가입자에 대한 이전 요청(CoA 또는 다른 Disconnect-Request)을 처리하는 동안 두 번째 동적 요청을 수신하면 프레임워크는 Disconnect-NAK 메시지로 응답합니다.
RADIUS 시작 연결 해제의 이점
RADIUS 서버가 가입자 세션을 동적으로 종료할 수 있도록 합니다. 이 중앙 가입자 관리 기능은 운영자가 종료할 때 라우터에 대한 조치가 필요하기 때문에 많은 수의 가입자를 처리하는 작업을 간소화합니다.
참조
가입자 서비스의 사용 임계값
Junos OS 릴리스 14.1부터 가입자 관리를 통해 서비스가 동적으로 활성화되거나 기존 서비스가 RADIUS CoA 작업에 의해 수정될 때 사용 임계값을 설정하여 가입자 서비스를 관리할 수 있습니다. 지정된 임계값에 도달하면 서비스가 비활성화됩니다.
가입자 관리는 트래픽 양과 시간이라는 두 가지 유형의 사용 임계값을 지원합니다. 주니퍼 네트웍스 VSA를 사용하여 사용 임계값을 설정합니다. VSA는 동적으로 활성화된 서비스에 대한 RADIUS Access-Accept 메시지 또는 기존 서비스에 대한 RADIUS 시작 CoA-Request 메시지로 전송됩니다. 볼륨 임계값은 서비스가 비활성화되기 전에 서비스를 사용할 수 있는 총 입력 및 출력 트래픽의 최대 양을 설정합니다. 시간 임계값은 서비스가 활성화될 수 있는 최대 시간을 설정합니다. 표 3 은 볼륨 및 시간 임계값에 사용되는 VSA를 보여줍니다.
속성 번호 |
속성 이름 |
묘사 |
값 |
|---|---|---|---|
26-67 |
서비스 볼륨 |
서비스를 사용할 수 있는 입력 및 출력 트래픽의 양(MB); 볼륨이 초과되면 서비스가 비활성화됩니다. 8개의 태그(1-8)를 지원하는 태그가 지정된 VSA. 라우터는 10분 간격으로 트래픽을 폴링합니다. |
|
26-68 |
서비스 시간 초과 |
서비스가 활성화될 수 있는 시간(초)입니다. 시간 초과가 만료되면 서비스가 비활성화됩니다. 8개의 태그(1-8)를 지원하는 태그가 지정된 VSA. |
|
26-179 |
service-volume-기가워드 |
서비스를 사용할 수 있는 입력 및 출력 트래픽의 양(4GB 단위) 볼륨이 초과되면 서비스가 비활성화됩니다. 8개의 태그(1-8)를 지원하는 태그가 지정된 VSA. 라우터는 10분 간격으로 트래픽을 폴링합니다. |
|
26-180 |
업데이트 서비스 |
기존 서비스에 대한 서비스 및 시간 할당량의 새 값New values of service and time quotas for an existing service. 8개의 태그(1-8)를 지원하는 태그가 지정된 VSA. |
문자열: service-name |
참조
가입자 세션 로그인 및 서비스 활성화 실패 개요
가입자가 로그인을 시도하고 RADIUS에 의해 인증되면, Access-Accept 메시지는 특정 네트워크 패밀리에 대해 활성화될 RADIUS Activate-Service VSA(26-65)의 서비스를 포함할 수 있습니다. 구성 및 서비스 유형에 따라 서비스 활성화에 실패하면 가입자 로그인이 거부될 수 있습니다.
] 계층 수준에서 [edit access profile profile-name radius options문을 사용하여 service activation 활성화 실패 이후의 동작을 구성할 수 있습니다.
다음 옵션을 사용하여 두 가지 서비스 유형에 대해 이 동작을 별도로 구성할 수 있습니다.
dynamic-profile- 이 서비스 유형은 가입자 액세스 프로필에 의해 적용되는 동적 프로필에서 구성됩니다.extensible-service- 이 서비스 유형은 ESSM(Extensible Subscriber Services Manager) 작업 스크립트에 구성됩니다. 이러한 서비스는 종종 비즈니스 가입자를 위해 새로운 인터페이스를 구성합니다.
다음 옵션을 사용하여 가입자 로그인 액세스를 위해 이러한 서비스의 성공적인 활성화가 필수인지 또는 선택 사항인지 여부를 지정합니다.
required-at-login- 활성화가 필요합니다. 어떤 이유로든 장애가 발생하면 해당 네트워크 제품군에 대한 Network-Family-Activate-Request가 실패합니다. 가입자에 대해 이미 활성화된 다른 네트워크 패밀리가 없는 경우 클라이언트 애플리케이션은 가입자를 로그아웃합니다. 이는 서비스 유형의 기본 동작입니다dynamic-profile.optional-at-login- 활성화는 선택 사항입니다. 구성 오류로 인한 실패는 주소 패밀리의 활성화를 막지 않습니다. 가입자 액세스를 허용합니다. 다른 이유로 실패하면 네트워크 제품군 활성화가 실패합니다. 가입자에 대해 이미 활성화된 다른 네트워크 패밀리가 없는 경우 클라이언트 애플리케이션은 가입자를 로그아웃합니다. 이는 서비스 유형의 기본 동작입니다extensible-service.
가입자 보안 정책(중재 디바이스에 대한 트래픽 미러링용)의 활성화와 관련된 장애는 정책의 적용을 받는 가입자의 액세스에 영향을 미치지 않습니다.
이 구성은 RADIUS CoA 요청, JSRC PPR(Push-Profile-Request) 메시지 또는 가입자 보안 정책을 통해 활성화된 서비스에는 적용되지 않습니다.
dynamic-profile 서비스 유형의 경우 구성 오류에는 다음이 포함됩니다.
동적 프로필 및 해당 속성의 구문 분석 오류.
필수 사용자 변수가 누락되었습니다.
존재하지 않는 동적 프로파일에 대한 참조.
동적 프로필의 의미 체계 확인 실패.
extensible-service 서비스 유형의 경우 구성 오류에는 다음이 포함됩니다.
작업 스크립트의 구문 분석 오류입니다.
커밋 실패.
서비스를 활성화하기 위해 authd는 적절한 서비스에 대한 활성화 요청을 SMI(가입자 관리 인프라)로 보냅니다. 예를 들어 IPv4 제품군에 대한 요청인 경우 IPv4 서비스의 활성화만 요청합니다. 그러면 SMI는 서비스와 연관된 서버 데몬(예: cosd 또는 filterd)에 요청을 보냅니다. 데몬에서 반환된 결과에 따라 서비스 활성화의 성공 또는 실패 여부가 결정됩니다.
모든 서버 데몬이 성공을 보고하면 SMI가 인증에 성공을 보고하고 서비스가 활성화됩니다.
서버 데몬이 구성 오류를 보고하고 비구성 오류를 보고하는 데몬이 없는 경우 SMI는 authd에 구성 오류를 보고합니다. 서비스가 정품 인증되지 않았지만 구성에 따라 네트워크 제품군 정품 인증이 성공할 수 있습니다.
서버 데몬이 비구성 오류를 보고하는 경우 SMI는 인증 실패를 보고하고 서비스가 활성화되지 않습니다.
서비스 및 네트워크 제품군 활성화 프로세스
가입자가 로그인하면 authd는 가입자가 인증된 후 해당 주소 패밀리를 활성화해야 합니다. DHCP 또는 PPP와 같은 클라이언트 응용 프로그램은 단일 네트워크 제품군 IPv4 또는 IPv6의 활성화를 요청하거나 두 제품군의 활성화를 순차적으로 요청할 수 있습니다. 성공적인 네트워크 제품군 활성화는 연결된 서비스의 활성화와 관련이 있습니다. 다음 단계에서는 인증에 RADIUS를 사용하도록 인증이 구성된 경우의 프로세스를 설명합니다.
가입자가 로그인을 시도합니다.
클라이언트 응용 프로그램은 인증에서 인증을 요청합니다.
authd는 RADIUS 서버에 Access-Request 메시지를 보냅니다.
RADIUS 서버는 RADIUS Activate-Service VSA(26-65)를 포함하는 access-accept 메시지를 인증에 보냅니다.
authd는 서비스 활성화 특성을 캐시하고 클라이언트 애플리케이션에 권한 부여를 보냅니다.
클라이언트 애플리케이션은 IPv4 또는 IPv6 주소 패밀리에 대한 첫 번째 Network-Family-Activate 요청을 보냅니다. 이 요청을 클라이언트 활성화 요청이라고도 합니다.
authd는 캐시된 서비스 활성화 속성을 검토하고 적절한 서비스에 대한 활성화 요청을 SMI(가입자 관리 인프라)로 보냅니다. 예를 들어 IPv4 제품군에 대한 요청인 경우 IPv4 서비스의 활성화만 요청합니다. 그러면 SMI는 서비스와 연관된 서버 데몬(예: cosd 또는 filterd)에 요청을 보냅니다.
authd가 다음에 수행하는 작업은 서비스 활성화 요청이 실패했는지 여부와 서비스가 선택 사항인지 필수인지에 따라 달라집니다.
구성 오류로 인해 서비스 활성화가 실패하고 서비스가 선택 사항인 경우:
authd는 서비스에 대해 캐시된 서비스 활성화 속성을 삭제합니다.
메모:이 삭제를 통해 실패한 서비스의 간섭 없이 RADIUS CoA(Change of Authorization) 요청 또는 CLI 명령을 사용하여 서비스 요청을 다시 발행할 수 있습니다.
authd는 패밀리 활성화 요청에 대한 응답으로 ACK를 전송하고 패밀리가 활성화됩니다.
가입자 로그인이 진행됩니다.
구성 오류로 인해 서비스 활성화가 실패하고 서비스가 필요한 경우:
authd는 서비스에 대해 캐시된 서비스 활성화 속성을 삭제합니다.
메모:이 삭제를 통해 실패한 서비스의 간섭 없이 RADIUS CoA(Change of Authorization) 요청 또는 CLI 명령을 사용하여 서비스 요청을 다시 발행할 수 있습니다.
authd는 패밀리 활성화에 대한 응답으로 NACK를 전송하며, 이로 인해 클라이언트 응용 프로그램이 구독자의 로그인을 종료합니다.
비구성 오류로 인해 서비스 활성화가 실패하고 서비스가 선택 사항이거나 필수인 경우:
authd는 서비스에 대해 캐시된 서비스 활성화 속성을 삭제합니다.
메모:이 삭제를 통해 실패한 서비스의 간섭 없이 RADIUS CoA(Change of Authorization) 요청 또는 CLI 명령을 사용하여 서비스 요청을 다시 발행할 수 있습니다.
authd는 패밀리 활성화에 대한 응답으로 NACK를 전송하며, 이로 인해 클라이언트 응용 프로그램이 구독자의 로그인을 종료합니다.
서비스 활성화에 성공한 경우:
authd는 서비스를 활성화합니다.
authd는 패밀리 활성화 요청에 대한 응답으로 ACK를 전송하고 패밀리가 활성화됩니다.
가입자 로그인이 진행됩니다.
서비스 활성화가 필요했지만 실패하여 첫 번째 요청에서 패밀리 활성화가 실패하지 않는 한 클라이언트 애플리케이션은 두 번째 요청을 보낼 수 있지만 첫 번째 요청에서 요청되지 않은 패밀리에 대해서만 보낼 수 있습니다. 첫 번째 요청이 IPv4에 대한 요청인 경우 두 번째 요청은 IPv6에 대한 요청만 될 수 있습니다. 첫 번째 요청이 IPv6에 대한 것이면 두 번째 요청은 IPv4에 대한 것만 될 수 있습니다.
Authd는 캐시된 서비스 활성화 속성을 검토하고 요청된 주소 패밀리와 연결된 서비스에 대한 활성화를 요청합니다.
authd가 다음에 수행하는 작업은 서비스 활성화 요청이 실패했는지 여부와 서비스가 선택 사항인지 필수인지에 따라 달라집니다.
구성 오류로 인해 서비스 활성화가 실패하고 서비스가 선택 사항인 경우:
authd는 서비스에 대해 캐시된 서비스 활성화 속성을 삭제합니다.
메모:이 삭제를 통해 실패한 서비스의 간섭 없이 RADIUS CoA(Change of Authorization) 요청 또는 CLI 명령을 사용하여 서비스 요청을 다시 발행할 수 있습니다.
authd는 패밀리 활성화 요청에 대한 응답으로 ACK를 전송하고 패밀리가 활성화됩니다.
가입자 로그인이 진행됩니다.
구성 오류로 인해 서비스 활성화가 실패하고 서비스가 필요한 경우:
authd는 서비스에 대해 캐시된 서비스 활성화 속성을 삭제합니다.
메모:이 삭제를 통해 실패한 서비스의 간섭 없이 RADIUS CoA(Change of Authorization) 요청 또는 CLI 명령을 사용하여 서비스 요청을 다시 발행할 수 있습니다.
authd는 패밀리 활성화에 대한 응답으로 NACK를 보냅니다. 이 요청은 두 번째 패밀리 활성화 요청이므로 첫 번째 패밀리 활성화의 결과에 따라 다음에 수행되는 작업이 결정됩니다.
첫 번째 패밀리 활성화가 성공하고 해당 가입자가 로그인한 경우 두 번째 요청이 실패해도 현재 가입자 로그인이 중지되지 않습니다. 또한 이 이벤트는 인증이 이전(첫 번째 요청) 가입자를 로그아웃하도록 하지 않습니다.
첫 번째 패밀리 활성화에 실패한 경우 두 번째 요청이 실패하면 클라이언트 응용 프로그램이 현재 구독자 로그인을 종료합니다.
비구성 오류로 인해 서비스 활성화가 실패하고 서비스가 선택 사항이거나 필수인 경우:
authd는 서비스에 대해 캐시된 서비스 활성화 속성을 삭제합니다.
메모:이 삭제를 통해 실패한 서비스의 간섭 없이 RADIUS CoA(Change of Authorization) 요청 또는 CLI 명령을 사용하여 서비스 요청을 다시 발행할 수 있습니다.
authd는 패밀리 활성화에 대한 응답으로 NACK를 전송하며, 이로 인해 클라이언트 응용 프로그램이 구독자의 로그인을 종료합니다.
서비스 활성화에 성공한 경우:
authd는 서비스를 활성화합니다.
authd는 패밀리 활성화 요청에 대한 응답으로 ACK를 전송하고 패밀리가 활성화됩니다.
가입자 로그인이 진행됩니다.
서비스 활성화 실패가 가입자 로그인에 미치는 영향 구성
가입자 로그인 중 선택적 서비스의 활성화 실패가 로그인 결과에 미치는 영향을 구성할 수 있습니다. 이러한 선택적 서비스는 가입자의 초기 로그인 중에 RADIUS Access-Accept 메시지에 나타나는 RADIUS Activate-Service VSA(26-65)에서 참조하는 서비스입니다.
이러한 두 서비스 활성화 유형을 필수 또는 선택 사항으로 구성할 수 있습니다.
dynamic-profile- 이러한 서비스는 가입자 액세스 프로필에 의해 적용되는 동적 프로필로 구성되어 광대역 애플리케이션을 위한 가입자 액세스 및 서비스를 제공합니다. 기본적으로 성공적인 로그인을 위해서는 서비스 활성화가 필요합니다. 서비스 활성화 중 구성 오류는 네트워크 패밀리가 활성화되지 못하게 하고 가입자 로그인을 실패하게 합니다.extensible-service- 이러한 서비스는 비즈니스 가입자를 위해 ESSM(Extensible Subscriber Services Manager) 데몬(essmd)에서 처리하는 작업 스크립트에 의해 적용됩니다. 기본적으로 서비스 활성화는 성공적인 가입자 로그인을 위한 선택 사항입니다.
명령문 구성은 service-activation 동적 프로파일 또는 ESSM 작업 스크립트의 구성 오류로 인한 활성화 실패에만 영향을 줍니다. 비구성 오류로 인한 실패는 항상 가입자에 대한 액세스 거부와 로그인 시도 종료로 이어집니다.
동적 프로필 서비스에 대한 동작을 구성하려면 다음 중 하나를 수행합니다.
서비스 활성화가 선택 사항임을 지정합니다.
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile optional-at-login
서비스 활성화가 필요하도록 지정합니다(기본값).
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile required-at-login
ESSM 서비스에 대한 동작을 구성하려면 다음 중 하나를 수행합니다.
서비스 활성화가 필요함을 지정합니다.
[edit access profile profile-name radius options service-activation] user@host# set extensible-service required-at-login
서비스 활성화가 선택 사항(기본값)임을 지정합니다.
[edit access profile profile-name radius options service-activation] user@host# set extensible-service optional-at-login
참조
동적 요청에 대한 Error-Cause 코드(RADIUS 속성 101)
RADIUS 시작 CoA 또는 연결 끊기 작업이 성공하지 못한 경우, 라우터는 RADIUS 서버로 다시 전송하는 CoA-NAK 또는 Disconnect-NAK 메시지에 오류 원인 속성(RADIUS 속성 101)을 포함합니다. 탐지된 오류가 지원되는 오류 원인 특성 중 하나에 매핑되지 않으면 라우터는 오류 원인 특성 없이 메시지를 보냅니다. 표 4 에는 오류 원인 코드가 설명되어 있습니다.
코드 |
값 |
묘사 |
|---|---|---|
401 |
지원되지 않는 속성 |
요청에 지원되지 않는 특성(예: 타사 특성)이 포함되어 있습니다. |
402 |
누락 속성 |
요청에 중요 특성(예: 세션 식별 특성)이 없습니다. |
404 |
잘못된 요청 |
요청의 다른 일부 측면(예: 하나 이상의 속성 형식이 올바르지 않은 경우)이 잘못되었습니다. |
503 |
세션 컨텍스트를 찾을 수 없음 |
요청에서 식별된 세션 컨텍스트가 라우터에 없습니다. |
504 |
세션 컨텍스트를 제거할 수 없음 |
요청에서 속성으로 식별된 가입자가 지원되지 않는 구성 요소에 의해 소유됩니다. |
506 |
리소스를 사용할 수 없음 |
사용 가능한 네트워크 액세스 서버(NAS) 리소스(예: 메모리)가 부족하여 요청을 수락할 수 없습니다. |
참조
RADIUS 동적 요청 통계 확인
목적
RADIUS 동적 요청 통계 및 정보를 표시합니다.
행동
RADIUS 동적 요청 통계를 표시:
user@host>show network-access aaa statistics dynamic-requests
참조
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.