Diameter Base 프로토콜
다이어미터 기반 프로토콜 개요
Diameter 프로토콜은 RFC 3588, Diameter Base Protocol에 정의되어 있으며, 보다 유연하고 확장 가능한 RADIUS의 대안을 제공합니다. Diameter 기본 프로토콜은 다른 Diameter 인스턴스에서 실행되는 하나 이상의 애플리케이션(함수라고도 함)에 기본 서비스를 제공합니다. 개별 애플리케이션은 확장된 AAA 기능을 제공합니다. Diameter를 사용하는 응용 분야에는 Gx-Plus, JSRC, NASREQ, PTSP 및 S6a가 포함됩니다. Junos OS 릴리스 13.1R1부터 패킷 트리거 가입자 및 정책 제어(PTSP) 기능은 더 이상 지원되지 않습니다.
Diameter 피어는 표준 Diameter AVP 및 애플리케이션별 AVP를 통해 상태, 요청 및 승인을 전달하는 Diameter 메시지를 교환하여 신뢰할 수 있는 TCP 전송 계층 연결을 통해 통신합니다. Diameter 전송 계층 구성은 DNE(Diameter 네트워크 요소)를 기반으로 합니다. Diameter 인스턴스당 여러 DNE가 지원됩니다. 현재는 사전 정의된 마스터 Diameter 인스턴스만 지원되지만 많은 마스터 Diameter 인스턴스 값에 대한 대체 값을 구성할 수 있습니다.
각 DNE는 우선 순위가 지정된 피어 목록과 트래픽 전달 방법을 정의하는 경로 집합으로 구성됩니다. 각 경로는 목적지를 함수(애플리케이션), 함수 파티션 및 메트릭과 연결합니다. 애플리케이션이 라우팅된 대상에 메시지를 보내면 Diameter 프로토콜 인스턴스 내의 모든 경로가 일치하는지 검사합니다. 대상에 대한 최상의 경로가 선택되면 해당 경로를 포함하는 DNE를 통해 메시지가 전달됩니다.
동일한 대상에 대한 여러 경로가 주어진 DNE 및 다른 DNE 내에 존재할 수 있습니다. 포워딩 요청과 일치하는 여러 경로가 있는 경우 다음과 같이 최상의 경로가 선택됩니다.
메트릭이 가장 낮은 경로가 선택됩니다.
동점일 경우 사양 점수가 가장 높은 경로가 선택됩니다.
다른 동점의 경우 DNE의 이름이 사전순으로 비교됩니다. DNE에서 값이 가장 낮은 경로가 선택됩니다. 예를 들어, dne-austin은 dne-boston보다 값이 낮습니다.
경로가 동일한 DNE 내에서 연결된 경우 경로 이름이 사전순으로 비교됩니다. 값이 가장 낮은 경로가 선택됩니다.
경로의 사양 점수는 기본적으로 0입니다. 점수는 다음과 같이 점수에 추가됩니다.
대상 영역이 요청과 일치하면 1을 추가합니다.
대상 호스트가 요청과 일치하면 2를 추가합니다.
함수가 요청과 일치하면 3을 추가합니다.
함수 파티션이 요청과 일치하면 4를 추가합니다.
동일한 대상에 대한 여러 경로가 주어진 DNE 및 다른 DNE 내에 존재할 수 있습니다. 포워딩 요청과 일치하는 여러 경로의 경우 Diameter는 다음과 같이 최상의 경로를 선택합니다.
Diameter는 경로의 메트릭을 비교하여 메트릭이 가장 낮은 경로를 선택합니다.
여러 경로에 동일한 가장 낮은 메트릭이 있는 경우 Diameter는 가장 적합한 경로를 선택합니다. Diameter는 경로의 여러 속성을 평가하여 각 경로가 요청과 얼마나 구체적으로 일치하는지를 반영하는 점수를 결정합니다. 기본적으로 경로의 점수는 0입니다. 점수는 다음과 같이 점수에 추가됩니다.
대상 영역이 요청과 일치하면 1을 추가합니다.
대상 호스트가 요청과 일치하면 2를 추가합니다.
함수가 요청과 일치하면 3을 추가합니다.
함수 파티션이 요청과 일치하면 4를 추가합니다.
여러 경로가 동일하게 규정된 경우 Diameter는 사전순으로 DNE의 이름을 비교하고 DNE에서 가장 낮은 값을 가진 경로를 선택합니다. 예를 들어, dne-austin은 dne-boston보다 값이 낮습니다.
경로가 동일한 DNE 내에 연결된 경우 Diameter는 경로 이름을 사전순으로 비교하고 값이 가장 낮은 경로를 선택합니다.
DNE의 상태가 변경되면 모든 대상에 대한 경로 조회가 재평가됩니다. 라우팅된 대상에 대한 모든 미해결 메시지는 필요에 따라 다시 라우팅되거나 삭제됩니다.
Diameter 네트워크 요소를 구성하려면 계층 수준에서 문을 [edit diameter] 포함 network-element 시킨 다음, 계층 수준에서 문을 [edit diameter network-element element-name forwarding] 포함합니다route.
DNE의 경로를 구성하려면 계층 수준에서 (선택 사항), function (선택 사항) 및 metric 명령문을 [edit diameter network-element element-name forwarding route dne-route-name] 포함합니다 destination .
계층 수준에서 하나 이상의 peer 명령문을 포함하여 DNE와 연관된 Diameter 피어를 [edit diameter network-element element-name] 지정합니다.
계층 수준에서 문을 사용하여 priority 각 피어의 [edit diameter network-element element-name peer peer-name] 우선 순위를 설정합니다.
Diameter를 사용하려면 원본 노드에 대한 정보를 구성해야 합니다. 이 노드는 Diameter 인스턴스에 대한 Diameter를 생성하는 엔드포인트 노드입니다. host 계층 수준에서 및 realm 명령문을 [edit diameter] 포함하여 Diameter 원점을 구성합니다.
선택적으로 하나 이상의 전송을 구성하여 전송 레이어 연결의 소스(로컬) 주소를 지정할 수 있습니다. Diameter 전송을 구성하려면 계층 수준에서 명령문을 포함 transport 하십시오[edit diameter]. 그런 다음 계층 수준에서 문을 [edit diameter transport transport-name] 포함합니다address.
선택적으로 계층 수준에서 및 routing-instance 명령문을 [edit diameter transport transport-name] 포함하여 logical-system 연결을 위한 논리적 시스템 및 라우팅 인스턴스를 지정할 수 있습니다. 기본적으로 Diameter는 기본 논리 시스템 및 기본 라우팅 인스턴스(기본 inet.0 라우팅 테이블 사용)를 사용합니다. 전송 연결을 위한 논리적 시스템 및 라우팅 인스턴스는 피어의 논리적 시스템 및 라우팅 인스턴스와 일치해야 하며, 그렇지 않으면 구성 오류가 보고됩니다.
각 Diameter 피어는 이름으로 지정됩니다. 피어 속성에는 이 피어에 대한 활성 연결에 사용되는 주소 및 대상 TCP 포트가 포함됩니다. Diameter 피어를 구성하려면 계층 수준에서 문을 [edit diameter] 포함 peer 시킨 다음 계층 수준에서 및 connect-actively 문을 [edit diameter peer peer-name] 포함합니다address.
활성 연결을 구성하려면 계층 수준에서 및 transport 명령문을 [edit diameter peer peer-name connect-actively] 포함합니다port. 할당된 전송은 피어에 대한 활성 연결을 설정하는 데 사용되는 전송 계층 소스 주소를 식별합니다. transport 문을.
Diameter 사용의 이점
Diameter는 RADIUS에 비해 훨씬 낮은 주파수에서 사용 정보를 보고하여 네트워크와 서버의 부하를 낮춥니다. RADIUS는 사용 변경과 무관하게 주기적인 업데이트를 포함합니다. Gx와 같은 Diameter 애플리케이션을 사용하면 라우터에서 PCRF로의 사용 통계 푸시를 상관 관계로 연결하여 임계값을 설정할 수 있습니다. 그런 다음 PCRF는 서비스 및 비용을 적절하게 조정할 수 있습니다.
무선 서비스 및 충전은 일반적으로 Diameter 애플리케이션으로 수행되지만 유선 서비스는 일반적으로 RADIUS 기반 인프라를 사용했습니다. 유선 및 무선 제품을 모두 갖춘 고객은 유선 운영을 기존 Diameter 기반 무선 인프라로 마이그레이션하여 별도의 인프라를 유지 관리하는 복잡성과 비용을 줄일 수 있습니다.
Diameter를 통해 실행되는 애플리케이션은 스테이트풀(stateful)인 경향이 있는 반면(NASREQ와 같이 둘 중 하나일 수 있음) RADIUS는 스테이트풀(stateful)이 아닙니다.
NASREQ, Gx, Gy, JSRC 및 S6a와 같은 여러 애플리케이션 프로토콜을 Diameter에서 실행할 수 있습니다.
RADIUS보다 더 큰 속성 공간으로, RADIUS보다 더 많은 수의 표준 및 벤더별 속성(AVP)을 사용할 수 있습니다. Diameter는 또한 RADIUS 표준 속성을 지원하며, AVP 1에서 255까지 예약합니다.
Diameter 애플리케이션에서 사용되는 메시지
Junos OS는 다음과 같은 Diameter 애플리케이션을 지원합니다.
JSRC—ID가 16777244인 Juniper Policy-Control-JSRC로 IANA(http://www.iana.org)에 등록된 주니퍼 네트웍스 Diameter 애플리케이션입니다. SAE(원격 SRC 피어)와 통신합니다.
PTSP - http://www.iana.org(IANA)에 Juniper JGx로 등록된 주니퍼 네트웍스 Diameter 애플리케이션으로, ID는 16777273입니다. SAE(원격 SRC 피어)와 통신합니다. Junos OS 릴리스 13.1R1부터 패킷 트리거 가입자 및 정책 제어(PTSP) 기능은 더 이상 지원되지 않습니다.
Gx-Plus - 유선 사용 사례를 위해 3GPP Gx 인터페이스를 확장하는 애플리케이션입니다. 3GPP Gx는 IANA(http://www.iana.org)에 등록되어 있습니다. PCRF와 통신합니다.
메시지에 포함된 특정 AVP에 대한 데이터를 라우터에서 사용할 수 없는 경우 Gx-Plus는 PCRF로 보내는 메시지에서 AVP를 생략합니다. PCRF가 결정을 내리기에 정보가 충분하지 않다고 판단하면 요청을 거부할 수 있습니다. Diameter 응답 메시지에는 결과 코드 AVP(AVP 268)가 포함됩니다. 이 AVP의 값은 요청자에게 성공, 실패 또는 오류를 전달합니다.
NASREQ - RFC 7155에 정의된 Diameter 기반 인증, 권한 부여 및 어카운팅 프로토콜입니다. Junos OS는 인증 및 권한 부여만 지원합니다.
주니퍼 네트웍스는 또한 JUNIPER-Session-Recovery 애플리케이션(16777296)과 두 개의 새로운 명령 코드(Juniper-Session-Events의 경우 8388628, Juniper-Session-Discovery의 경우 8388629)를 IANA(http://www.iana.org)에 등록했습니다.
표 1 에는 응용 프로그램에서 사용하는 Diameter 메시지에 대한 설명이 나와 있습니다.
지름 메시지 |
코드 |
신청 |
묘사 |
|---|---|---|---|
AA-요청(AAR) |
265 |
JSRC, 나스렉, PTSP |
새 가입자 로그인 시 또는 SAE-애플리케이션 동기화 중 애플리케이션에서 SAE로 요청합니다. 요청은 address-authorization, provisioning-request 또는 synchronization의 세 가지 유형 중 하나일 수 있습니다. |
AA-Answer(AAA) |
265 |
JSRC, 나스렉, PTSP |
응용 프로그램의 AA-Request 메시지에 대한 SAE의 응답입니다. |
ASR(중단 세션 요청) |
274 |
JSRC, 나스렉, PTSP |
SAE에서 애플리케이션으로 프로비저닝된 가입자를 로그아웃하도록 요청합니다. |
ASA(Abort-Session-Answer) |
274 |
JSRC, 나스렉, PTSP |
SAE의 ASR 메시지에 대한 애플리케이션의 응답입니다. 애플리케이션이 AAA에 로그아웃 요청을 전송하면 ASA 메시지에 ACK(성공 알림)가 포함됩니다. 로그아웃에 실패한 경우 ASA 메시지에 NAK(실패 알림)가 포함됩니다. |
ACR(Accounting-Request) |
271 |
JSRC, PTSP |
통계를 위해 SAE에서 응용 프로그램으로 또는 응용 프로그램에서 SAE로 요청합니다. |
ACA(Accounting-Answer) |
271 |
JSRC, PTSP |
설치된 각 정책(서비스)에 대한 통계를 제공하기 위한 ACR 메시지에 대한 응답입니다. |
CER(기능 교환 요청) |
257 |
Gx-플러스 |
피어가 전송 연결을 설정할 때 한 피어에서 다른 피어로의 요청; 기능 협상을 시작합니다. CER은 지원되는 애플리케이션 및 보안 메커니즘과 같은 피어의 ID와 기능을 발표합니다. |
기능 교환 답변(CEA) |
257 |
Gx-플러스 |
이 피어의 기능을 알리기 위한 CER 메시지에 대한 응답입니다. 이 피어에 CER을 전송한 피어와 공통된 기능이 없는 경우 Result-Code AVP를 DIAMETER_NO_COMMON_APPLICATION로 설정하고 연결을 끊어야 합니다. 그렇지 않으면 CEA 세부 정보가 피어 간의 공통 기능을 설정하고 통신을 추가로 설정할 수 있도록 합니다. |
신용 제어 요청(CCR) |
272 |
Gx-플러스 |
가입자 로그인, 로그아웃 또는 업데이트 시 Gx-Plus에서 PCRF로 요청합니다. 초기 요청(CCR-I)은 가입자가 로그인할 때 전송되며, AAA는 가입자의 세션을 활성화하도록 요청됩니다. Gx-Plus는 CCA-I 메시지가 10초 이내에 PCRF에서 수신되지 않으면 CCR-I 메시지를 다시 시도합니다. CCR-I 메시지는 최대 3번까지 다시 시도됩니다. CCR-I 메시지는 Subscription-Id-Type Diameter AVP 하위 속성(450)이 4(END_USER_PRIVATE)로 설정된 Diameter AVP Subscription-Id 속성(443) 및 Subscription-Id-Data Diameter AVP 하위 속성(444)이 로 설정된 것을 포함한다 4개의 CCR-I 메시지가 전송된 후(첫 번째 메시지와 3번의 재시도) CCA-I가 수신되지 않으면 Gx-Plus는 CCR-N 메시지 전송을 시작합니다. CCR-N 메시지는 PCRF로부터 성공 또는 실패 응답을 수신할 때까지 무한정 재시도됩니다. CCR-N 메시지에는 라우터가 가입자 서비스 활성화와 관련하여 로컬 결정을 내릴 권한이 있음을 PCRF에 알리기 위해 로컬로 설정된 Juniper-Provisioning-Source AVP(AVP 코드 2101)가 포함됩니다. 사용 임계값에 도달하면 업데이트 요청(CCR-U) 메시지가 전송됩니다. CCR-U는 모든 통계에 대한 실제 사용량을 보고합니다. PCRF는 새로운 모니터링 임계값, 서비스 활성화, 서비스 비활성화를 포함하는 CCA-U 메시지를 반환할 수 있다. CCR-U 보고서에서 PCRF가 시간 초과되면 라우터는 임계값 기본값을 10분으로 설정합니다. 임계값의 변경이 최소값보다 작으면 값이 최소값으로 조정됩니다. 예를 들어 지속 시간의 최소 증가는 10분입니다. 서비스 활성화 또는 비활성화 상태를 보고하기 위해 CCR-U도 전송됩니다. 모니터링되는 서비스가 가입자 로그아웃과 별도로 비활성화되면 CCR-U는 서비스가 더 이상 활성 상태가 아님을 나타내며 서비스의 사용 데이터를 포함합니다. 프로비저닝된 가입자 세션이 종료되고 있음을 PCRF에 알리기 위해 가입자 로그아웃 시 종료 요청(CCR-T)이 전송됩니다. CCR-T 메시지는 PCRF에서 성공 응답을 받을 때까지 계속 재시도됩니다. 모니터링되는 서비스가 가입자 로그아웃의 일부로 비활성화되면 CCR-T 메시지에는 사용된 바이트와 같은 서비스에 대해 모니터링되는 사용 현황 데이터가 포함됩니다. |
신용 제어 답변(CCA) |
272 |
Gx-플러스 |
PCRF에서 CCR 메시지에 회신합니다. CCR-I에 대한 응답으로, PCRF는 가입자가 요청된 서비스에 대해 충분한 크레딧을 가지고 있는지 여부에 따라 성공(DIAMETER_SUCCESS) 또는 실패(DIAMETER AUTHORIZATION REJECTED)를 나타내는 CCA-I 메시지를 반환합니다. 다른 모든 응답은 무시되고 CCR-I가 다시 시도됩니다. CCR-T에 대한 응답으로 PCRF는 결과 코드 AVP에서 값 2001(DIAMETER SUCCESS)로 성공적인 종료를 나타내는 CCA-T 메시지를 반환합니다. 다른 모든 응답은 무시되고 CCR-T가 다시 시도됩니다. CCA-N은 CCR-N에 대한 응답입니다. |
JSDR(Juniper-Session-Discovery-Request) |
8388629 |
Gx-플러스 |
라우터에서 가입자 세션을 검색하기 위한 PCRF에서 Gx-Plus로의 검색 요청입니다. |
JSDA(Juniper-Session-Discovery-Answer) |
8388629 |
Gx-플러스 |
라우터에서 JSDR 메시지로 회신합니다. 세션 정보를 설명합니다. Result-Code AVP는 다음 값 중 하나 또는 오류 값을 포함합니다.
|
JSER(Juniper-Session-Event-Request) |
8388628 |
Gx-플러스 |
라우터에서 발생하는 이벤트에 대해 라우터에서 PCRF로 요청합니다. Juniper-Event-Type AVP(AVP 코드 2103)를 포함하여 라우터의 특정 이벤트를 PCRF에 알립니다. 보고된 이벤트에는 콜드 또는 웜 부팅, 명시적 검색 요청, 상당한 구성 변경, PCRF의 무응답 또는 오류 응답, 내결함성 리소스 소진 등이 포함됩니다. |
JSEA(Juniper-Session-Event-Answer) |
8388628 |
Gx-플러스 |
PCRF에서 JSER 메시지에 회신합니다. |
푸시 프로필 요청(PPR) |
288 |
JSRC, PTSP |
가입자에 대한 서비스를 활성화 또는 비활성화하기 위해 SAE에서 라우터로 요청합니다. |
푸시 프로필 답변(PPA) |
288 |
JSRC, PTSP |
라우터에서 SAE의 PPR 메시지에 대한 응답입니다. 요청의 각 서비스 활성화 또는 비활성화 명령에 대한 성공 또는 실패 알림을 포함합니다. |
재인증 요청(RAR) |
258 |
Gx-플러스 |
PCRF에서 라우터로의 감사 요청을 통해 특정 가입자가 여전히 존재하는지 확인합니다. 라우터는 모니터링 키와 임계값이 RAR에서 수신되면 이를 업데이트합니다. |
RAA(Re-Auth-Answer) |
258 |
Gx-플러스 |
라우터에서 RAR 메시지로 회신합니다. 구독자가 활성 상태인지 여부를 나타냅니다. Result-Code AVP에는 다음 값 중 하나가 포함됩니다.
|
세션 리소스 쿼리(SRQ) |
277 |
JSRC, PTSP |
라우터에서 SAE로 또는 SAE에서 라우터로 라우터와 SAE 간의 동기화를 시작하도록 요청합니다. |
세션 리소스 회신(SRR) |
277 |
JSRC, PTSP |
동기화를 시작하기 위한 SRQ 메시지에 대한 응답입니다. |
세션 종료 요청(STR) |
275 |
JSRC, 나스렉, PTSP |
라우터에서 SAE로의 프로비저닝된 가입자가 로그아웃했음을 통보합니다. |
STA(세션 종료 응답) |
275 |
JSRC, 나스렉, PTSP |
라우터의 STR 메시지에 대한 SAE의 응답. 성공 또는 실패 알림을 포함합니다. |
직경 AVP 및 직경 애플리케이션
Diameter는 RADIUS가 표준 IETF RADIUS 속성과 VSA(Vendor-Specific Attribute) 모두에서 정보를 전달하는 것과 동일한 방식으로 Diameter 메시지에 다양한 AVP(속성-값 쌍)를 포함하여 정보를 전달합니다. 표 2 에는 지원되는 Diameter 애플리케이션과의 상호 작용에 사용되는 표준 Diameter AVP가 나와 있습니다. Diameter는 Diameter에서 구현되는 RADIUS 속성에 대해 0에서 255까지의 AVP 속성 번호를 예약합니다. Diameter 속성 번호는 해당 표준 RADIUS 속성의 경우와 동일합니다. 255보다 큰 번호가 매겨진 속성에는 해당하는 표준 RADIUS 속성이 없습니다. Junos OS 릴리스 13.1R1부터 패킷 트리거 가입자 및 정책 제어(PTSP) 기능은 더 이상 지원되지 않습니다.
속성 번호 |
직경 AVP |
신청 |
묘사 |
형 |
|---|---|---|---|---|
1 |
사용자 이름 |
Gx-플러스, JSRC, 나스렉 |
사용자 이름을 지정합니다. AAA에서 관리하는 가입자의 경우 값은 가입자의 로그인 이름입니다. 정적 인터페이스의 경우, 값은 가입자의 로그인 이름으로 사용되는 인터페이스 이름입니다. |
UTF8문자열 |
2 |
사용자 비밀번호 |
나스레크 |
인증할 사용자의 암호 또는 다중 라운드 인증 교환에서 사용자의 입력을 지정합니다. |
옥텟스트링 |
4 |
NAS-IP-주소 |
나스레크 |
사용자를 인증하는 NAS의 IP 주소를 지정합니다. |
IPAddress |
6 |
서비스 유형 |
나스레크 |
사용자가 요청한 서비스 유형 또는 제공할 서비스 유형을 지정합니다. 이러한 AVP 중 하나가 인증 또는 권한 부여 요청 또는 응답에 있을 수 있습니다. 이러한 모든 서비스 유형을 구현하기 위해 NAS가 필요한 것은 아닙니다. |
열거 |
8 |
프레임 IP 주소 |
Gx-플러스, JSRC, NASREQ, PTSP |
가입자에 대해 구성된 IPv4 주소를 식별합니다. 이 값은 RADIUS Framed-IP-Address 속성 [8]과 동일한 값입니다. |
옥텟스트링 |
9 |
프레임-IP-넷마스크 |
나스레크 |
IPv4 넷마스크의 4개 옥텟을 식별합니다. |
옥텟스트링 |
11 |
필터 ID |
나스레크 |
사용자에 대한 필터 목록의 이름을 지정합니다. 사람이 읽을 수 있도록 만들어졌습니다. 0개 이상의 Filter-Id AVP가 인증 응답 메시지로 전송될 수 있습니다. |
UTF8문자열 |
12 |
프레임 최대 전송 단위(MTU) |
나스레크 |
다른 수단(예: PPP)으로 협상되지 않는 경우 사용자에 대해 구성할 최대 전송 단위(MTU)를 지정합니다. |
부장되지 않은32 |
22 |
프레임 경로 |
나스레크 |
7비트 US-ASCII 라우팅 정보를 지정합니다. |
UTF8문자열 |
25 |
수업 |
나스레크 |
Diameter 서버에서 액세스 디바이스로 상태 정보를 반환합니다. |
옥텟스트링 |
27 |
세션 시간 초과 |
나스레크 |
세션이 종료되기 전에 사용자에게 제공되는 최대 서비스(초)를 지정합니다. |
부장되지 않은32 |
28 |
유휴 시간 제한 |
나스레크 |
세션이 종료되거나 프롬프트가 실행되기 전에 사용자에게 허용되는 유휴 연결의 최대 시간(초)을 지정합니다. |
부장되지 않은32 |
32 |
NAS 식별자 |
나스레크 |
사용자에게 서비스를 제공하는 NAS의 ID를 지정합니다. |
다이아미덴트 |
44 |
계정 세션 ID |
나스레크 |
RADIUS Acct-Session-Id 속성의 내용을 지정합니다. |
옥텟스트링 |
50 |
계정 다중 세션 ID |
나스레크 |
각 세션에 고유한 세션 ID가 있지만 동일한 Acct-Multi-Session-ID AVP가 있는 여러 관련 계정 세션을 연결합니다. |
UTF8문자열 |
55 |
이벤트 타임스탬프 |
Gx-플러스, JSRC, PTSP |
이 AVP가 포함된 메시지를 트리거한 이벤트 시간을 지정합니다. 시간은 1900년 1월 1일 00:00 UTC 이후 초 단위로 표시됩니다. |
시간 |
60 |
CHAP 챌린지 |
나스레크 |
NAS에서 CHAP 피어로 보내는 PPP CHAP(Challenge-Handshake Authentication Protocol) 챌린지를 지정합니다. |
옥텟스트링 |
61 |
NAS 포트 유형 |
나스레크 |
NAS가 사용자를 인증하는 포트의 유형을 지정합니다. |
열거 |
62 |
포트 제한 |
나스레크 |
NAS가 사용자에게 제공하는 최대 포트 수를 지정합니다. |
부장되지 않은32 |
78 |
구성 토큰 |
나스레크 |
사용된 사용자 프로필의 유형을 나타냅니다. |
옥텟스트링 |
85 |
Acct-Interim-Interval |
JSRC, PTSP |
이 세션에 대한 각 중간 계정 업데이트 사이의 시간(초)을 지정합니다. 라우터는 중간 회계를 위해 다음 지침을 사용합니다.
|
부장되지 않은32 |
87 |
NAS 포트 ID |
Gx-플러스, JSRC, NASREQ, PTSP |
사용자를 인증하는 NAS의 포트를 식별합니다. 이는 RADIUS NAS-Port-Id 속성 [87]과 동일한 값입니다. |
UTF8문자열 |
88 |
프레임 풀 |
나스레크 |
사용자에게 주소를 할당하는 데 사용할 할당된 주소 풀의 이름을 지정합니다. NAS가 여러 주소 풀을 지원하지 않는 경우, NAS는 이 AVP를 무시합니다. 주소 풀은 일반적으로 IP 주소에 사용되지만 NAS가 해당 프로토콜에 대한 풀을 지원하는 경우 다른 프로토콜에 사용할 수 있습니다. |
옥텟스트링 |
97 |
framed-IPv6-prefix |
나스레크 |
사용자에 대해 구성된 IPv6 접두사를 지정합니다. |
옥텟스트링 |
99 |
framed-IPv6-route |
나스레크 |
NAS에서 사용자에 대해 구성된 US-ASCII 라우팅 정보를 지정합니다. |
UTF8문자열 |
100 |
framed-IPv6-풀 |
나스레크 |
사용자에게 IPv6 접두사를 할당하는 데 사용할 할당된 풀의 이름을 지정합니다. 액세스 디바이스가 여러 접두사 풀을 지원하지 않는 경우 이 AVP를 무시해야 합니다. |
옥텟스트링 |
258 |
인증 애플리케이션 ID |
나스레크 |
응용 프로그램의 인증 및 권한 부여 부분에 대한 지원을 지정합니다. |
부장되지 않은32 |
263 |
세션 ID |
Gx-플러스, JSRC, NASREQ, PTSP |
가입자 세션 식별자를 지정합니다. 라우터는 가입자 세션을 고유하게 식별하기 위해 값을 할당합니다. |
UTF8문자열 |
264 |
오리진-호스트 |
나스레크 |
Diameter 메시지를 보내는 호스트를 지정합니다. |
다이아미덴트 |
268 |
결과 코드 |
Gx-플러스, JSRC, NASREQ, PTSP |
요청이 성공적으로 완료되었는지 여부를 나타냅니다. 요청이 실패한 경우 오류 코드를 제공합니다. Diameter에서 인식하는 클래스는 다음과 같습니다.
숫자 6-9 또는 0으로 시작하는 인식할 수 없는 클래스는 영구적인 오류로 처리됩니다. JSRC 및 PTSP는 다음 값을 지원합니다. 성공하지 못한 모든 값은 영구적인 실패로 처리됩니다.
JSRC는 영구 실패로 처리되는 다음 값도 지원합니다.
Gx-Plus는 PCRF 응답의 오류에 대해 다음 값을 지원합니다. 이러한 값이 수신되거나 응답의 형식이 잘못되었거나 인식할 수 없는 경우 요청이 다시 시도됩니다.
|
부장되지 않은32 |
269 |
제품 이름 |
Gx-플러스 |
CER(기능 교환 요청) 및 CEA(기능 교환 응답) 메시지의 제품 이름 필드 값을 지정합니다. 계층 수준에서 옵션으로 제품 이름을 변경하는 경우, 라우터는 Diameter 피어에 대한 모든 기존 연결을 끊고 새 이름을 사용하여 다시 연결합니다. |
UTF8문자열 |
277 |
인증 세션 상태 |
JSRC, 나스렉, PTSP |
AAA 세션 상태가 유지되는지 여부를 나타냅니다.
|
열거 |
279 |
실패한 AVP |
나스레크 |
특정 AVP의 잘못된 정보로 인해 요청이 거부되거나 완전히 처리되지 않는 경우 디버깅 정보를 지정합니다. Result-Code AVP의 값은 Failed-AVP AVP의 이유에 대한 정보를 제공합니다. |
그룹화 |
281 |
오류 메시지 |
나스레크 |
결과 코드 AVP에 수반될 수 있는 사람이 읽을 수 있는 오류 메시지를 지정합니다. 오류 메시지 AVP는 실시간으로 유용하지 않습니다. 네트워크 엔터티가 메시지를 구문 분석할 것으로 기대하지 마십시오. |
UTF8문자열 |
283 |
대상 영역 |
나스레크 |
Diameter 메시지가 라우트되는 Diameter 영역을 지정합니다. |
다이아미덴트 |
293 |
대상-호스트 |
나스레크 |
Diamter 메시지가 라우팅되는 호스트를 지정합니다. |
다이아미덴트 |
295 |
종료 원인 |
JSRC, 나스렉, PTSP |
액세스 디바이스에서 세션이 종료된 이유를 나타냅니다.
|
열거 |
296 |
오리진-렐름 |
나스레크 |
Diameter 메시지 발신자의 Diameter 영역을 식별합니다. |
다이아미덴트 |
402 |
CHAP 인증 |
나스레크 |
CHAP를 사용하여 사용자를 인증하는 데 필요한 정보를 지정합니다. |
그룹화 |
415 |
CC 요청 번호 |
Gx-플러스 |
세션 내에서 요청을 식별합니다. Session-Id와 CC-Request-Type의 조합은 전역적으로 고유합니다. 이 숫자는 세션이 진행되는 동안 각 요청에 대해 증가합니다. 이 숫자는 라우터 고가용성 이벤트가 발생하면 재설정됩니다. |
부장되지 않은32 |
416 |
CC 요청 유형 |
Gx-플러스 |
신용 제어 요청 유형을 지정합니다.
|
열거 |
431 |
부여 서비스 단위 |
Gx-플러스 |
클라이언트가 지정한 CC-Input-Octets, CC-Output-Octets, CC-Time 또는 CC-Total-Octets와 같은 요청된 단위 중 하나 이상을 제공할 수 있는 양을 포함합니다. CCA-I 메시지에 포함되며, CCA-U 메시지에 포함될 수 있습니다. |
그룹화 |
443 |
구독 ID |
Gx-플러스 |
단독으로 표시되지 않는 다음과 같은 하위 특성을 포함합니다.
|
그룹화 |
446 |
중고 서비스 유닛 |
Gx-플러스 |
실제로 사용된 요청된 단위의 양을 포함합니다. 서비스가 활성화되면 4부터 측정됩니다. 단위는 클라이언트가 지정한 CC-Input-Octets, CC-Output-Octets, CC-Time 또는 CC-Total-Octets와 같은 요청된 단위 중 하나 이상입니다. CCR-U 메시지에 포함됩니다. |
그룹화 |
480 |
회계 레코드 유형 |
JSRC, PTSP |
서비스 회계에 대한 계정 레코드 유형을 지정합니다.
|
열거 |
1001 |
충전 규칙 설치 |
Gx-플러스, 나스렉 |
포함된 Charging-Rule-Name AVP(1005)에 의해 지정된 규칙의 설치(서비스 활성화)를 요청합니다. 이 AVP의 벤더 ID는 10415(3GPP)입니다. |
그룹화 |
1002 |
Charging-Rule-Remove (충전 규칙 제거) |
Gx-플러스 |
포함된 Charging-Rule-Name AVP(1005)에 의해 지정된 규칙의 제거(서비스 비활성화)를 요청합니다. 이 AVP의 벤더 ID는 10415(3GPP)입니다. |
그룹화 |
1005 |
충전 규칙 이름 |
Gx-플러스, 나스렉 |
설치, 수정 또는 제거된 특정 규칙의 이름을 지정합니다. |
옥텟스트링 |
1066 |
모니터링 키 |
Gx-플러스 |
사용할 모니터링 구조를 지정합니다. Charging-Rule-Install AVP(1001)에 포함되어 있습니다. MX 라우터는 서비스 간 통계 집계를 지원하지 않으므로 이 AVP의 값은 서비스마다 달라야 합니다. 이 AVP의 벤더 ID는 10415(3GPP)입니다. |
옥텟스트링 |
1067 |
사용 모니터링 정보 |
Gx-플러스 |
모니터링 임계값을 설정합니다. 서비스 통계가 부여된 서비스 값 중 하나 이상과 일치하면 라우터는 현재 통계가 포함된 CCR-U 보고서를 PCRF로 보냅니다. Monitoring-Key AVP(1066) 및 Granted-Service-Unit AVP(431)를 포함한다. 이 AVP의 벤더 ID는 10415(3GPP)입니다. |
그룹화 |
표준 Diameter AVP 외에 주니퍼 네트웍스 AVP도 사용됩니다. 이러한 AVP는 2636 또는 4874의 벤더 ID(엔터프라이즈 번호)를 가지며, RADIUS VSA(벤더별 속성)와 개념이 유사합니다. 표 3 에는 지원되는 Diameter 애플리케이션이 사용하는 주니퍼 네트웍스 AVP가 나와 있습니다.
속성 번호 |
직경 AVP |
벤더 ID |
신청 |
묘사 |
형 |
|---|---|---|---|---|---|
213 |
interface-set-targeting-weight |
4874 |
나스레크 |
인터페이스 세트에 대한 가중치를 지정하여 인터페이스 세트와 해당 멤버 링크를 대상 배포를 위한 어그리게이션 이더넷 멤버 링크와 연결합니다. |
부장되지 않은32 |
214 |
interface-targeting-weight를 입력합니다 |
4874 |
나스레크 |
인터페이스에 대한 가중치를 지정하여 인터페이스 집합과 연결하고, 따라서 대상 배포를 위한 집합의 어그리게이션 이더넷 멤버 링크와 연결합니다. 인터페이스 세트에 가중치가 없으면 첫 번째 인증된 가입자 인터페이스의 인터페이스 가중치 값이 세트에 사용됩니다. |
부장되지 않은32 |
2004 |
주니퍼 서비스 번들 |
2636 |
JSRC (주)제이에스씨 |
서비스 번들의 이름을 지정합니다. |
옥텟스트링 |
2010 |
주니퍼-dhcp-옵션 |
2636 |
JSRC (주)제이에스씨 |
클라이언트의 DHCP 옵션을 지정합니다. |
옥텟스트링 |
2011 |
주니퍼-DHCP-GI-Address |
2636 |
JSRC (주)제이에스씨 |
DHCP 릴레이 에이전트의 IP 주소를 지정합니다. |
옥텟스트링 |
2020 |
Juniper-Policy-Install |
2636 |
JSRC, PTSP |
가입자에 대해 활성화할 정책을 지정합니다. Juniper-Policy-Name 및 Juniper-Policy-Definition 포함 |
그룹화 |
2021 |
주니퍼 정책 이름 |
2636 |
JSRC, PTSP |
정책 결정의 이름을 정의합니다. |
옥텟스트링 |
2022 |
주니퍼 정책 정의 |
2636 |
JSRC, PTSP |
정책 결정을 정의합니다. Juniper-Policy-Name, Juniper-Template-Name 및 Juniper-Substitution이 포함됩니다. |
그룹화 |
2023 |
주니퍼 템플릿 이름 |
2636 |
JSRC, PTSP |
라우터에서 정의한 프로파일 이름을 지정합니다. PTSP는 |
UTF8문자열 |
2024 |
주니퍼 대체 |
2636 |
JSRC, PTSP |
대체 속성을 정의합니다. Juniper-Substitution-Name 및 Juniper-Substitution-Value를 포함합니다. |
옥텟스트링 |
2025 |
Juniper-Substitution-Name |
2636 |
JSRC, PTSP |
바꿀 변수의 이름을 정의합니다. |
옥텟스트링 |
2026 |
Juniper-Substitution-Value |
2636 |
JSRC, PTSP |
대체할 변수의 값을 정의합니다. |
옥텟스트링 |
2027 |
juniper-policy-remove |
2636 |
JSRC, PTSP |
가입자에 대해 비활성화할 정책을 지정합니다. Juniper-Policy-Name을 포함합니다. |
그룹화 |
2035 |
Juniper-Policy-Failed |
2636 |
JSRC, PTSP |
실패한 정책 활성화 또는 비활성화의 이름을 지정합니다. |
옥텟스트링 |
2038 |
주니퍼 정책 성공 |
2636 |
JSRC, PTSP |
성공한 정책 활성화 또는 비활성화의 이름을 지정합니다. |
옥텟스트링 |
2046 |
주니퍼 논리 시스템 |
2636 |
JSRC, PTSP |
논리적 시스템을 지정합니다. |
UTF8문자열 |
2047 |
주니퍼 라우팅 인스턴스 |
2636 |
JSRC, PTSP |
라우팅 인스턴스를 지정합니다. |
UTF8문자열 |
2048 |
juniper-jsrc-파티션 |
2636 |
JSRC, PTSP |
가입자 또는 요청에 대한 논리적 시스템 및 라우팅 인스턴스를 지정합니다. Juniper-Logical-System 및 Juniper-Routing-Instance 포함 |
그룹화 |
2050 |
Juniper-요청 유형 |
2636 |
JSRC, PTSP |
요청 유형을 설명합니다.
|
열거 |
2051 |
Juniper-Synchronization-Type |
2636 |
JSRC, PTSP |
동기화 유형에 대해 설명합니다.
|
열거 |
2052 |
주니퍼 동기화 |
2636 |
JSRC, PTSP |
동기화 상태를 설명합니다.
|
열거 |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
이 구독자에 대해 설치된 각 정책에 대한 통계 데이터를 지정합니다. Juniper-Policy-Name을 포함합니다. |
그룹화 |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Juniper-Policy-Install AVP에 포함된 경우 설치된 정책(서비스)에 대한 계정 데이터를 수집할지 여부를 지정합니다.
|
열거 |
2058 |
주니퍼 상태 ID |
2636 |
JSRC, PTSP |
삭제할 메시지를 식별하기 위해 각 동기화 주기에 할당되는 값을 지정합니다. 동일한
메모:
요청된 동기화 요청의 경우 SRQ 메시지에는 증가된 |
부장되지 않은32 |
2100 |
주니퍼 가상 라우터 |
2636 |
Gx-플러스, JSRC |
세션과 연결된 가상 라우터의 이름을 지정합니다. |
UTF8문자열 |
2101 |
주니퍼 프로비저닝 소스 |
2636 |
Gx-플러스 |
CCR-N 및 JSDA 메시지에서 세션의 프로비저닝 원본을 지정합니다.
|
열거 |
2102 |
Juniper-Provisioning-Descriptor |
2636 |
Gx-플러스 |
세션 ID와 Juniper-Provisioning-Source 및 가입자 데이터(선택 사항)를 포함하는 JSDA 메시지에 사용되는 그룹을 정의합니다. |
그룹화 |
2103 |
주니퍼 이벤트 유형 |
2636 |
Gx-플러스 |
JSER 메시지의 이벤트 유형을 전달합니다.
|
열거 |
2104 |
Juniper-Discovery-Descriptor |
2636 |
Gx-플러스 |
감지 요청의 매개변수(감지 유형, 요청 문자열, 상세도, 최대 결과)를 포함하는 JSDR 및 JSDA 메시지에 사용되는 그룹을 정의합니다. |
그룹화 |
2105 |
주니퍼 디스커버리 타입 |
2636 |
Gx-플러스 |
JSDR 및 JSDA 메시지에 대한 discovery 부속 명령을 지정합니다.
|
열거 |
2106 |
Juniper-Verbosity-Level |
2636 |
Gx-플러스 |
JSDR 및 JSDA 메시지의 세부 정보 표시 수준을 지정합니다.
|
열거 |
2107 |
Juniper-String-A |
2636 |
Gx-플러스 |
컨텍스트에 따라 해석되는 제네릭 문자열을 지정합니다. |
UTF8문자열 |
2108 |
Juniper-String-B |
2636 |
Gx-플러스 |
컨텍스트에 따라 해석되는 제네릭 문자열을 지정합니다. |
UTF8문자열 |
2109 |
Juniper-String-C |
2636 |
Gx-플러스 |
컨텍스트에 따라 해석되는 제네릭 문자열을 지정합니다. |
UTF8문자열 |
2110 |
주니퍼 - Unsigned32-A |
2636 |
Gx-플러스 |
컨텍스트에 따라 해석되는 부호 없는 일반 32비트 정수를 지정합니다. |
부장되지 않은32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gx-플러스 |
컨텍스트에 따라 해석되는 부호 없는 일반 32비트 정수를 지정합니다. |
부장되지 않은32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gx-플러스 |
컨텍스트에 따라 해석되는 부호 없는 일반 32비트 정수를 지정합니다. |
부장되지 않은32 |
2200 |
주니퍼-IPv6-NDRA-Prefix |
2636 |
JSRC (주)제이에스씨 |
가입자의 세션 데이터베이스 IPv6Prefix 항목에서 사용 가능한 경우, 이 AVP는 SAE로 전송되는 AAR 프로비저닝 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
IPv6접두사 |
2201 |
Juniper-Framed-IPv6-Netmask |
2636 |
JSRC (주)제이에스씨 |
가입자의 세션 데이터베이스 IPv6Address 항목에서 사용 가능한 경우, 이 AVP는 SAE로 전송되는 AAR 프로비저닝 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
IPv6주소 |
2202 |
주니퍼 에이전트 회로 ID |
2636 |
JSRC (주)제이에스씨 |
액세스 노드 및 가입자 회선으로 가입자를 식별합니다. 가입자의 세션 데이터베이스 항목에서 사용 가능한 경우, 이 AVP는 SAE로 전송되는 AAR 프로비저닝 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
옥텟스트링 |
2203 |
주니퍼 에이전트 원격 ID |
2636 |
JSRC (주)제이에스씨 |
액세스 노드에서 가입자를 식별합니다. 가입자의 세션 데이터베이스 항목에서 사용 가능한 경우, 이 AVP는 SAE로 전송되는 AAR 프로비저닝 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
옥텟스트링 |
2204 |
Juniper-Acct-IPv6-입력 옥텟 |
2636 |
JSRC (주)제이에스씨 |
인터페이스에서 수신된 IPv6 옥텟 수입니다. 이 AVP는 값이 0인 경우에도 SAE로 전송되는 ACR 계정 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
부호 없음64 |
2205 |
주니퍼-Acct-IPv6-출력-옥텟 |
2636 |
JSRC (주)제이에스씨 |
인터페이스에서 전송된 IPv6 옥텟 수입니다. 이 AVP는 값이 0인 경우에도 SAE로 전송되는 ACR 계정 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
부호 없음64 |
2206 |
주니퍼 계정 - IPv6 - 입력 패킷 |
2636 |
JSRC (주)제이에스씨 |
인터페이스에서 수신된 IPv6 패킷 수입니다. 이 AVP는 값이 0인 경우에도 SAE로 전송되는 ACR 계정 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
부호 없음64 |
2207 |
주니퍼 계정 IPv6 출력 패킷 |
2636 |
JSRC (주)제이에스씨 |
인터페이스에서 전송된 IPv6 패킷 수. 이 AVP는 값이 0인 경우에도 SAE로 전송되는 ACR 계정 요청 메시지에 포함됩니다. 이 AVP는 JSRC 이중 스택 지원을 활성화한 경우에만 사용됩니다. |
부호 없음64 |
Tekelec AVP는 Gx-Plus에만 사용됩니다. 이러한 AVP의 엔터프라이즈 번호는 21274입니다. 표 4 에는 Tekelec AVP가 나와 있습니다. 이 4개의 변수는 사용자 정의 CoS 서비스 변수에 대한 대체 값을 제공하는 데 사용됩니다.
속성 번호 |
직경 AVP |
신청 |
묘사 |
형 |
|---|---|---|---|---|
5555 |
tekelec-charging-rule-argument-name |
Gx-플러스 |
대체할 서비스 변수의 이름을 정의합니다. |
옥텟스트링 |
5556 |
tekelec-charging-rule-argument-value (테켈렉 충전 규칙 인수 값) |
Gx-플러스 |
대체할 서비스 변수의 값을 정의합니다. |
옥텟스트링 |
5557 |
Tekelec-Charging-Rule-Argument (테켈렉 충전 규칙 인수) |
Gx-플러스 |
서비스 변수를 대체하는 데 사용되는 대체 속성을 정의합니다. tekelec-charging-rule-argument-name AVP(5555) 및 tekelec-charging-rule-argument-value AVP(5556)를 포함합니다. |
그룹화 |
5558 |
tekelec-charging-rule-with-arguments (테켈렉 - 충전 - 규칙 - 인수 포함) |
Gx-플러스 |
포함된 Charging-Rule-Name AVP(1005)에 의해 지정된 규칙의 설치(서비스 활성화)를 요청합니다. 요청된 서비스 변수 대체는 선택적으로 포함된 Tekelec-Charging-Rule-Argument AVP(5557)에 의해 제공됩니다. |
그룹화 |
지름 구성
엔드포인트 원본, 원격 피어, 전송 계층 연결 및 경로를 피어와 연결하는 네트워크 요소를 지정하여 Diameter를 구성합니다. 현재 마스터 Diameter 인스턴스만 지원됩니다. 이 Diameter 인스턴스에 대한 대체 값은 기본 라우팅 인스턴스의 컨텍스트에서만 구성할 수 있습니다.
Diameter 기본 프로토콜을 구성하려면,
Diameter 인스턴스의 원본 속성 구성
Diameter 인스턴스에 대한 Diameter 메시지를 생성하는 엔드포인트 노드의 식별 특성을 구성할 수 있습니다. 호스트 이름은 Diameter 인스턴스에 의해 Origin-Host AVP의 값으로 제공됩니다. 영역은 Diameter 인스턴스에 의해 Origin-Realm AVP의 값으로 제공됩니다.
Diameter 인스턴스에 대한 오리진 속성을 구성하려면:
Diameter 피어 구성
Diameter가 메시지를 보내는 피어를 구성할 수 있습니다. Diameter는 기본 논리 시스템 및 라우팅 인스턴스를 사용합니다. 포트 3868은 기본적으로 피어에 대한 활성 연결에 사용됩니다.
Diameter 인스턴스에 대한 원격 피어를 구성하려면:
예를 들어, 피어 p3에 대한 다음의 구성은 IPv4 주소, 라우팅 인스턴스 ri8, 대상 포트 49152, 전송 t6, example.com 의 호스트 1의 원본을 지정하고 메시지에 원본 상태 AVP를 포함합니다.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
지름 전송 구성
Diameter 인스턴스에 대해 하나 이상의 전송을 구성하여 로컬 연결을 위한 IPv4 또는 IPv6 주소를 설정할 수 있으며, 선택적으로 논리적 시스템 또는 라우팅 인스턴스 컨텍스트를 구성할 수 있습니다. Diameter는 기본 논리 시스템 및 라우팅 인스턴스를 사용합니다. 전송 연결을 위한 논리적 시스템 및 라우팅 인스턴스는 피어의 논리적 시스템 및 라우팅 인스턴스와 일치해야 하며, 그렇지 않으면 구성 오류가 보고됩니다. 여러 피어가 동일한 전송을 공유할 수 있습니다.
Diameter 인스턴스에 대한 전송을 구성하려면:
예를 들어, 전송 t1에 대한 다음 구성은 IPv6 주소, 논리적 시스템 ls5 및 라우팅 인스턴스 ri10을 지정합니다.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Diameter 네트워크 요소 구성
Diameter 네트워크 요소(DNE)는 관련 애플리케이션(CLI에서는 함수라고 함), 우선 순위가 지정된 피어 목록 및 일련의 포워딩 규칙으로 구성됩니다. 전송 규칙은 연결된 대상, 애플리케이션 및 메트릭 집합을 통해 개별 경로를 정의합니다. Diameter 프로세스(jdiameterd)를 시작하려면 섀시당 하나 이상의 DNE를 구성해야 합니다.
Diameter 네트워크 요소를 구성하기 전에 다음 작업을 수행합니다.
지름 피어를 정의합니다. Diameter 피어 구성을 참조하십시오.
Diameter 네트워크 요소를 구성하려면:
예: S6a 애플리케이션 구성
이 예는 SRX 시리즈 방화벽에서 직경 기반 인증 S6a 애플리케이션을 구성하여 가입자 서버에서 인증 정보를 검색하는 방법을 보여줍니다.
요구 사항
개요
이 예제에서는 S6a 파티션을 생성하고 엔드포인트 원본, 원격 피어 및 경로를 피어와 연결하는 네트워크 요소를 지정하여 S6a 메시지의 지름 전달을 제어합니다. 또한 S6a 파티션을 생성하여 마스터 Diameter 인스턴스만 현재 지원됩니다. Diameter 인스턴스에 대한 master 대체 값은 기본 라우팅 인스턴스의 컨텍스트에서만 구성할 수 있습니다.
구성
액세스 프로필 및 Diameter 애플리케이션 매개 변수 구성
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
접근 프로파일 및 지름 애플리케이션 매개변수 구성:
인증 순서에 사용할 액세스 프로필을 지정합니다.
[edit access-profile] user@host# set s6a_test
인증 방법이 사용되는 순서를 지정합니다.
[edit access profile] user@host# set s6a_test authentication-order s6a
파티션을 만들거나 기존 파티션의 이름을 지정합니다.
[edit access] user@host# set s6a partition partition_name
s6a 파티션의 대상 영역을 구성합니다.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
s6a 파티션의 대상 호스트를 구성합니다.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
s6a 분할에 대한 Diameter 인스턴스를 지정합니다.
[edit access] user@host# set s6a partition partition_name diameter-instance master
메모:현재 기본 Diameter 인스턴스
master인 만 지원됩니다.미해결 요청 수에 대한 제한을 설정합니다.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
s6a가 가입자 로그아웃 메시지 전송 시도를 중지하기 전의 시간(초 단위)을 구성합니다.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Diameter 메시지를 보낸 영역의 이름을 포함합니다.
[edit diameter] user@host# set origin realm zzz.com
Diameter 메시지를 보낸 호스트의 이름을 포함합니다.
[edit diameter] user@host# set origin host s6a.zzz.com
네트워크 요소의 이름을 지정합니다.
[edit diameter] user@host# set network-element ne3
Diameter 피어를 네트워크 요소와 연결합니다.
[edit diameter] user@host# set network-element peer p3
피어의 우선 순위를 설정합니다.
[edit diameter] user@host# set network-element peer p3 priority 100
정의한 전달 규칙에 따라 네트워크 요소를 통해 도달할 수 있는 경로를 지정합니다.
[edit diameter] user@host# set network-element ne3 forwarding route r0
경로에 대한 메트릭을 지정합니다.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Diameter 피어의 IP 주소를 지정합니다.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Diameter가 피어에 대한 활성 연결을 위해 사용하는 포트를 지정합니다.
[edit diameter] user@host# set peer p3 connect-actively port 63101
결과
구성 모드에서 및 show diameter 명령을 입력하여 show access 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
중복 이더넷 인터페이스 구성
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
중복 이더넷 인터페이스 구성 방법:
중복 이더넷 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
결과
구성 모드에서 명령을 입력하여 show interfaces 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
S6a Diameter 애플리케이션을 허용하도록 보안 영역 및 보안 정책 구성
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 정책 및 영역 구성:
reth1.0 인터페이스에서 시스템 서비스 및 프로토콜을 설정합니다.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
reth0.0 인터페이스에서 시스템 서비스 및 프로토콜을 설정합니다.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
보안 정책을 구성합니다.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
결과
구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
S6a 상태 확인
목적
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
행동
작동 모드에서 , show network-access s6a statistics, 명령을 show network-access s6a statistics extensive 입력하여 show network-access s6a states6a 애플리케이션의 네트워크 액세스 상태 및 통계를 확인합니다.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
의미
show network-access s6a state, show network-access s6a statistics, show network-access s6a statistics extensive 명령은 S6a 애플리케이션 상태와 구독된 서버에서 검색된 인증 정보의 통계를 보여줍니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.