이 페이지에서
AAA 테스트 및 문제 해결
AAA 구성 테스트 및 문제 해결
가입자 관리는 가입자의 AAA 구성을 확인할 수 있는 테스트 기능을 지원합니다. 테스트 기능을 사용하여 가입자의 AAA 설정을 확인하고 가입자 로그인 문제를 해결하거나 격리할 수 있습니다. AAA 테스트 프로세스는 가입자를 인증하고, 가입자에 대한 주소를 할당하고, 계정 시작 패킷을 발행하는 의사 세션을 만듭니다. 그런 다음 프로세스는 계정 중지 요청을 발행하고 주소를 해제하고 의사 세션을 종료합니다.
AAA 테스트 결과는 가입자 관리가 로그인 중에 가입자에게 할당하는 속성에 대한 세부 정보를 제공합니다. 속성은 RADIUS, 동적 프로필, 정적 인터페이스 구성에 의해 할당되거나 정적으로 할당될 수 있습니다. DHCP, PPP 및 authd-lite 가입자에 대한 AAA 구성을 테스트할 수 있습니다. L2TP 클라이언트의 경우, AAA 테스트 프로세스는 모든 터널 매개 변수를 표시하지만 실제 터널 세션을 생성하지는 않습니다.
명령은 test aaa
IETF 표준 속성과 주니퍼 네트웍스 VSA를 모두 RADIUS 소스 속성 모두를 지원합니다. 수신된 속성은 출력에 표시됩니다. 표준 RADIUS 속성에 대한 정보는 AAA 서비스 프레임워크에서 지원하는 RADIUS IETF 속성을 참조하십시오. 주니퍼 네트웍스 VSA에 대한 정보는 AAA 서비스 프레임워크에서 지원하는 주니퍼 네트웍스 VSA를 참조하십시오.
test aaa
명령은 볼륨 타임 계정(값이 2인 VSA 26-69 주니퍼 네트웍스)을 지원하지 않습니다. 테스트 가입자에 대한 볼륨 시간 어카운팅이 구성된 경우, test 명령은 통계를 시간 전용 계정 통계로 대체합니다.
가입자 AAA 구성 테스트
목적
로그인 중에 가입자 관리가 가입자에게 할당하는 AAA 속성을 표시합니다.
다음 예제에서는 PPP 가입자에 대한 AAA 구성을 테스트합니다. 명령을 사용하여 DHCP 가입자에 test aaa authd-lite user 대해 유사한 테스트를 수행하고 명령을 사용하여 test aaa dhcp user authd-lite 가입자를 테스트할 수 있습니다.
작업
user@host>test aaa ppp user user45@test.net password $ABC123 Authentication Grant ************User Attributes*********** User Name - user45@test.net Client IP Address - 192.168.1.1 Client IP Netmask - 255.255.0.0 Virtual Router Name - default Agent Remote Id - NULL Reply Message - NULL Primary DNS IP Address - 0.0.0.0 Secondary DNS IP Address - 0.0.0.0 Primary WINS IP Address - 0.0.0.0 Secondary WINS IP Address - 0.0.0.0 Primary DNS IPv6 Address - :: Secondary DNS IPv6 Address - :: Framed Pool - not set Class Attribute - TEST Service Type - 0 Client IPv6 Address - :: Client IPv6 Mask - null Framed IPv6 Prefix - ::/0 Framed IPv6 Pool - not-set NDRA IPv6 Prefix - not-set Login IPv6 Host - :: Framed Interface Id - 0:0:0:0 Delegated IPv6 Prefix - ::/0 Delegated IPv6 Pool - not-set User Password - $ABC123 CHAP Password - NULL Mac Address - 00:00:5E:00:53:ab Idle Timeout - 600 Session Timeout - 6000 Service Name (1) - cos-service(video_sch, nc_sch) Service Statistics (1) - 1 Service Acct Interim (1) - 600 Service Activation Type (1) - 1 Service Name (2) - filter-service(in_filter, out_filter) Service Statistics (2) - 2 Service Acct Interim (2) - 900 Service Activation Type (2) - 1 Cos shaping rate - 100m Filter Id - not set Framed MTU - (null) Framed Route - not set Ingress Policy Name - not set Egress Policy Name - not set IGMP - disabled Redirect VR Name - default Service Bundle - Null Framed Ip Route Tag - not set Ignore DF Bit - disabled IGMP Access Group Name - not set IGMP Access Source Group Name - not set MLD Access Group Name - not set MLD Access Source Group Name - not set IGMP Version - not set MLD Version - not set IGMP Immediate Leave - disabled MLD Immediate Leave - disabled IPv6 Ingress Policy Name - not set IPv6 Egress Policy Name - not set Acct Session ID - 1 Acct Interim Interval - 750 Acct Type - 1 Ingress Statistics - disabled Egress Statistics - disabled Chargeable user identity - 0 NAS Port Id - -0/0/0.0 NAS Port - 4095 NAS Port Type - 15 Framed Protocol - 1 IPv4 ADF Rule - 010100 IPv4 ADF Rule - 010101 IPv6 ADF Rule - 030100 IPv6 ADF Rule - 030101 ****Pausing 10 seconds before disconnecting the test user********* Logging out subscriber Terminate Id - not set Test complete. Exiting
및 test aaa ppp user
명령과 함께 test aaa dhcp user
옵션을 사용하여 agent-remote-id ari
DSL Forum Agent-Remote-Id(VSA 26-2)를 지원하는 네트워크에서 DHCP 및 PPP 가입자 인증을 확인할 수 있습니다.
DSL Forum Agent-Remote-Id를 지정하는 경우, 출력에는 지정된 값이 포함됩니다. VSA를 지정하지 않으면 Agent-Remote-Id 값이 으로 NULL
표시됩니다.
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212” Authentication Grant ************User Attributes*********** User Name - thomastank Client IP Address - 192.168.1.1 Client IP Netmask - 255.255.0.0 ... NAS Ip Address - 0.0.0.0 Agent Remote Id - (202)555–1212 ...
다음 예는 잘못된 암호로 인해 인증 부여가 실패할 때 출력을 보여줍니다.
user@host>test aaa ppp user user45@test.net password 55N33%%56 Authentication Deny Reason : Access Denied Received Attributes : User Name - user45@test.net Client IP Address - 0.0.0.0 Client IP Netmask - 0.0.0.0 Virtual Router Name - default Agent Remote Id - NULL Reply Message - NULL Primary DNS IP Address - 0.0.0.0 Secondary DNS IP Address - 0.0.0.0 Primary WINS IP Address - 0.0.0.0 Secondary WINS IP Address - 0.0.0.0 Primary DNS IPv6 Address - :: Secondary DNS IPv6 Address - :: Framed Pool - not set Class Attribute - not set Service Type - 0 Client IPv6 Address - :: Client IPv6 Mask - null Framed IPv6 Prefix - ::/0 Framed IPv6 Pool - not-set NDRA IPv6 Prefix - not-set Login IPv6 Host - :: Framed Interface Id - 0:0:0:0 Delegated IPv6 Prefix - ::/0 Delegated IPv6 Pool - not-set User Password - 55N33%%56 CHAP Password - NULL Mac Address - 00:00:5E:00:53:ab Filter Id - not set Framed MTU - (null) Framed Route - not set Ingress Policy Name - not set Egress Policy Name - not set IGMP - disabled Redirect VR Name - default Service Bundle - Null Framed Ip Route Tag - not set Ignore DF Bit - disabled IGMP Access Group Name - not set IGMP Access Source Group Name - not set MLD Access Group Name - not set MLD Access Source Group Name - not set IGMP Version - not set MLD Version - not set IGMP Immediate Leave - disabled MLD Immediate Leave - disabled IPv6 Ingress Policy Name - not set IPv6 Egress Policy Name - not set Acct Session ID - 12 Acct Interim Interval - 0 Acct Type - 0 Ingress Statistics - disabled Egress Statistics - disabled Chargeable user identity - 0 NAS Port Id - -0/0/0.0 NAS Port - 4095 NAS Port Type - 15 Framed Protocol - 0 Test complete. Exiting
VLAN-OOB 가입자를 보유한 레이어 2 네트워크와 같은 일부 네트워크의 경우, RADIUS 클라이언트 프로필의 가입자 주소에 Client-Profile-Name VSA(26~174)를 제공하도록 구성됩니다. 기본 구성에서는 RADIUS 직접 가입자 주소를 수신하지 않으면 테스트가 실패합니다. 이러한 가입자를 성공적으로 테스트하려면 옵션을 포함 no-address-request
해야 합니다. 명령 출력은 동적 프로필 필드에 클라이언트 프로필 이름과 라우팅 인스턴스 필드에서 가상 라우터 VSA(26-1)가 전달하는 라우팅 인스턴스 이름을 표시합니다.
user@host>test aaa ppp user thomastank no-address-request Authentication Grant ************User Attributes*********** User Name - thomastank Client IP Address - 0.0.0.0 Client IP Netmask - 0.0.0.0 ... IPv6 Egress Policy Name - not set Dynamic Profile- filter-service Routing Instance - VR27fin ...
릴리스 19.3R1 Junos OS XML 출력 형식이 변경되었습니다. 각 RADIUS 서버 속성 이름은 관련 속성 값을 가지고 있습니다. 각 페어는 이제 <radius-server-data> 태그로 묶여 있습니다. 새 태그를 사용하면 운영자와 API 클라이언트 모두에 대한 이름/값 쌍을 더 쉽게 인식할 수 있습니다.
새로운 형식으로 제대로 작동하려면 XML 출력을 사용하는 스크립트를 변경해야 할 수 있습니다.
다음 예는 이전 형식의 샘플 XML 출력 발췌를 보여줍니다.
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml <rpc-reply xmlns:junos="namespace-URL"> <aaa-test-result> <aaa-test-status>Authentication Grant</aaa-test-status> <aaa-test-status>************User Attributes***********</aaa-test-status> <radius-server-attribute-name>User Name -</radius-server-attribute-name> <radius-server-attribute-value>user45@test.net</radius-server-attribute-value> <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name> <radius-server-attribute-value>default:default</radius-server-attribute-value> <radius-server-attribute-name>Service Type -</radius-server-attribute-name> <radius-server-attribute-value>Framed</radius-server-attribute-value> <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name> <radius-server-attribute-value><not set></radius-server-attribute-value> ... <aaa-test-status>Test complete. Exiting</aaa-test-status> </aaa-test-result> <cli> <banner></banner> </cli> </rpc-reply>
다음 예는 새로운 형식의 샘플 XML 출력 발췌를 보여줍니다.
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml <rpc-reply xmlns:junos="namespace-URL"> <aaa-test-result> <aaa-test-status>Authentication Grant</aaa-test-status> <aaa-test-status>************User Attributes***********</aaa-test-status> <radius-server-data> <radius-server-attribute-name>User Name -</radius-server-attribute-name> <radius-server-attribute-value>user45@test.net</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name> <radius-server-attribute-value>default:default</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Service Type -</radius-server-attribute-name> <radius-server-attribute-value>Framed</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name> <radius-server-attribute-value><not set></radius-server-attribute-value> </radius-server-data> ... <aaa-test-status>Test complete. Exiting</aaa-test-status> </aaa-test-result> <cli> <banner></banner> </cli> </rpc-reply>