Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증 및 권한 부여를 위한 NASREQ

Diameter 네트워크 액세스 서버 애플리케이션(NASREQ)

Diameter 네트워크 액세스 서버 요구 사항(NASREQ) 프로토콜은 RFC 7155, Diameter 네트워크 액세스 서버 애플리케이션에 정의된 Diameter 기반 인증, 권한 부여 및 어카운팅 프로토콜입니다. Diameter 환경에서 RADIUS AAA를 사용하는 대신 사용할 수 있습니다. Junos OS는 인증 및 권한 부여 기능을 지원하지만 회계 기능은 지원하지 않습니다. 인증은 가입자 ID를 확인하기 위한 초기 가입자 로그인에 사용됩니다. 마찬가지로, 권한 부여는 가입자에게 필요할 수 있는 초기 조건이나 서비스 또는 둘 다를 설정하기 위해 로그인 시 사용됩니다. NASREQ 프로토콜은 가입자의 재인증 또는 재인증에 사용되지 않습니다.

Junos OS는 다음과 같은 NASREQ 프로토콜 교환을 지원합니다.

  • AA-Request/Answer(AA-요청/응답) - 로그인 시 인증/권한 부여 요청입니다.

  • Session-Termination-Request/Answer—가입자의 세션이 종료되었음을 알립니다.

  • Abort-Session-Request/Answer—NASREQ 서버에서 가입자의 세션을 종료하도록 요청합니다.

참고:

Auth-Application-Id AVP는 AA-Request, Session-Termination-Request 및 Abort-Session-Request 메시지에서 값 1로 설정해야 합니다.

NASREQ 클라이언트에는 전송 대기열과 응답 대기열이라는 두 개의 대기열이 있습니다. 전송 대기열은 아웃바운드 패킷이 Diameter로 전송될 때까지 저장하며 요청 및 응답을 포함합니다. 응답 대기열은 Diameter가 요청에 응답할 때까지 패킷을 저장하며, 응답을 기다리는 요청만 포함합니다.

다음 구성 변수는 전송 플로우 및 큐 사용을 제어합니다.

  • outstanding-requests- 유선 전송을 위해 Diameter로 전송되는 최대 요청 수(AAR 및 STR 포함) - 사실상 응답 대기열의 최대 요청 수(응답 또는 시간 초과가 없는 진행 중인 요청의 최대 수)입니다. 보낸 응답은 포함되지 않습니다.

  • request-retry- 초기 요청 시간이 초과된 후 지정된 요청을 Diameter에 다시 보내는 횟수입니다. 이 값은 응답 큐의 요청에만 적용됩니다.

  • timeout- 아웃바운드 패킷이 시간 초과로 선언되기 전에 전송 대기열에 남아 있는 시간(초)입니다. 시간 초과 값을 초과하는 패킷은 전송되지 않습니다. Diameter는 전송 후 시간 초과되는 패킷을 관리합니다. 시간 초과 값은 전송할 요청과 응답을 포함하여 전송 대기열의 모든 패킷에 적용됩니다.

교환 흐름은 다음과 같이 진행됩니다.

  1. 가입자는 로그인을 시도하고 NASREQ 클라이언트 역할을 하며 인증을 시도하고 NASREQ 서버에 가입자 및 인증 정보에 대한 정보가 포함된 AAR(Diameter AA-Request) 메시지를 보냅니다.

    • 미해결 요청 수가 구성된 최대 미해결 요청 값보다 작으면 authd는 전송을 위해 요청을 NASREQ 서버로 보내고 응답 대기열에 요청을 배치합니다.

    • 미결 요청 수가 구성된 최대 미결 요청 값보다 크거나 같으면 authd는 요청을 전송 대기열에 저장합니다.

  2. AAA(Diameter AA-Answer) 메시지 형식으로 NASREQ 서버로부터 응답을 받으면 authd는 응답 대기열에서 일치 요청(AAR)을 확인합니다.

    • 일치하는 요청이 발견되면 큐에서 요청을 가져와 응답을 처리하는 데 사용합니다.

    • 일치하는 요청이 없으면 응답이 무시되고 삭제됩니다.

Diameter가 NASREQ 클라이언트에 요청 시간이 초과되었음을 알리면 다음 작업 중 하나가 발생합니다.

  • 요청이 응답 큐에 없으면 시간 초과가 무시됩니다.

  • 이 요청에 대한 재시도 카운터가 구성된 request-retry 값보다 작으면 authd는 요청을 다시 보내고 해당 요청에 대한 재시도 카운터를 증가시킵니다.

  • 이 요청에 대한 재시도 카운터가 구성된 값보다 크거나 같으면 authd는 요청 시간 제한을 처리하고 전송 대기열에 있는 다음 요청을 NASREQ 서버로 보냅니다.

구성된 제한 시간이 만료되면 인증은 만료된 아웃바운드 패킷을 전송 대기열에서 제거하고 시간 초과로 처리합니다.

Diameter NASREQ 프로토콜 사용의 이점

  • RADIUS 서버를 사용하는 대신 외부 NASREQ 서버를 사용하여 가입자에게 인증 및 권한 부여를 제공할 수 있습니다. 일부 고객 모델은 RADIUS 서버를 사용하지 않거나 지름 가입자 프로비저닝 모델로 이동할 때 RADIUS 서버 사용을 중지하려고 할 수 있습니다.

Diameter 네트워크 액세스 서버 애플리케이션(NASREQ) 구성

가입자가 로그인할 때 가입자 인증 및 권한 부여를 위해 RADIUS의 대안으로 NASREQ 클라이언트를 구성합니다.

인증 및 권한 부여를 위해 NASREQ를 구성하려면:

  1. NASREQ를 네트워크 요소와 연관된 지름 애플리케이션(함수)으로 지정합니다.
  2. NASREQ를 지름 네트워크 요소 전달 함수 및 파티션으로 지정합니다.
  3. 가입자 인증 및 권한 부여를 위해 NASREQ를 지정합니다.
  4. 가입자 권한 부여 전용(인증 없음)에 대해 NASREQ를 지정합니다.
    참고:

    및 를 authorization-order모두 authentication-order 구성하면 동작은 가입자 유형에 따라 달라집니다. DHCP 가입자의 경우, authorization-order 이(가) 보다 우선합니다authentication-order. 다른 모든 가입자 유형의 경우, authentication-order 이(가) 보다 우선합니다authorization-order.

  5. NASREQ 파티션의 대상 ID를 지정합니다.
  6. 전송을 위해 지름 엔진으로 보낼 최대 요청 수를 지정합니다. 이는 응답 큐의 최대 요청 수이기도 합니다.
  7. 요청에 대해 Diameter에서 시간 초과가 수신된 경우 Diameter 엔진에 요청 전송을 다시 시도할 횟수를 지정합니다.
  8. 아웃바운드 패킷이 시간 초과로 선언되기 전에 전송 대기열에 남아 있는 시간(초)을 지정합니다.