Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

가입자 액세스에 대한 RADIUS 서버 및 매개 변수

RADIUS 서버에 대한 매개 변수 및 옵션 구성은 가입자 관리 구성의 주요 부분입니다. 인증 및 계정 서버를 정의한 후 모든 RADIUS 서버에 대한 옵션을 구성합니다. 또한 가입자 또는 가입자 그룹에 대한 가입자 액세스, 인증, 권한 부여 및 어카운팅 구성 매개 변수를 지정할 수 있는 액세스 프로필을 구성합니다. 프로필 설정은 전역 설정을 재정의합니다. 일부 옵션은 전역 수준과 액세스 프로필 수준 모두에서 사용할 수 있지만 많은 옵션은 액세스 프로필에서만 사용할 수 있습니다.

액세스 프로필을 생성한 후에는 프로필이 문과 함께 access-profile 사용되는 위치를 지정해야 합니다. 이를 프로필 첨부라고 합니다. 액세스 프로필은 다양한 수준에서 할당할 수 있습니다. 예를 들어 액세스 프로필을 연결할 수 있는 일부 장소는

  • 라우팅 인스턴스의 경우 전역입니다.

  • 동적 프로파일에서.

  • 도메인 맵에서 - 가입자 세션에 대한 액세스 옵션 및 세션 매개 변수를 매핑합니다.

  • 동적 VLAN 및 동적 스택 VLAN의 인터페이스에서.

  • 동적 서비스 프로비저닝을 위해 정적으로 구성된 인터페이스가 있는 가입자의 인터페이스 또는 가입자 그룹에 있습니다.

  • DHCP 클라이언트 또는 가입자를 위한 DHCP 릴레이 에이전트 및 DHCP 로컬 서버에서.

여러 수준에서 액세스 프로필을 연결할 수 있으므로 충돌을 피하기 위해 가장 구체적인 액세스 프로필이 다른 프로필 할당보다 우선합니다. 프로필을 연결하지 않으면 인증 및 어카운팅이 실행되지 않습니다.

RADIUS 인증 및 어카운팅 서버 정의

가입자 관리에 RADIUS를 사용할 때, 가입자 인증 및 어카운팅을 위해 라우터가 통신하는 하나 이상의 외부 RADIUS 서버를 정의해야 합니다. 서버의 IPv4 또는 IPv6 주소를 지정하는 것 외에도, 라우터가 지정된 서버와 상호 작용하는 방식을 결정하는 옵션과 속성을 구성할 수 있습니다.

계층 수준, [edit access profile name radius-server] 계층 수준 또는 두 수준 모두에서 [edit access radius-server] RADIUS 서버 및 연결 옵션을 정의할 수 있습니다.

참고:

AAA 프로세스(인증)는 다음과 같이 사용할 서버 정의를 결정합니다.

  • RADIUS 서버 정의가 에만 있는 [edit access radius-server]경우, authd는 이러한 정의를 사용합니다.

  • RADIUS 서버 정의가 액세스 프로필에만 있는 경우 authd는 해당 정의를 사용합니다.

  • RADIUS 서버 정의가 액세스 프로필과 모두 [edit access radius-server] 에 존재하는 경우 authd는 액세스 프로필 정의만 사용합니다.

RADIUS 서버를 사용하려면 액세스 프로필에서 인증 서버, 계정 서버 또는 둘 다로 지정해야 합니다. 서버가 액세스 프로필에서 정의되었는지 또는 계층 수준에서 정의되었는지에 관계없이 서버에 대해 이 작업을 수행해야 합니다.[edit access radius-server]

RADIUS 서버를 정의하고 라우터가 서버와 상호 작용하는 방법을 지정하려면

참고:

이 절차는 계층 수준만 [edit access radius-server] 보여줍니다. 계층 수준에서 [edit access profile profile-name] radius-server] 이러한 매개 변수 중 하나를 선택적으로 구성할 수 있습니다. 전역 설정에 추가하거나 전역 설정 대신 이 작업을 수행할 수 있습니다. 프로필을 적용하면 프로필 설정이 전역 구성을 재정의합니다.
  1. RADIUS 서버의 IPv4 또는 IPv6 주소를 지정합니다.
  2. (선택 사항) RADIUS 서버 계정 포트 번호를 구성합니다.
  3. (선택 사항) 라우터가 RADIUS 서버에 연결하는 데 사용하는 포트 번호를 구성합니다.
  4. 로컬 라우터가 RADIUS 클라이언트에 전달하는 데 필요한 암호(비밀번호)를 구성합니다. 따옴표로 묶인 암호에는 공백이 포함될 수 있습니다.
  5. (선택 사항) RADIUS 서버가 유지할 수 있는 미해결 요청의 최대 수를 구성합니다. 미해결 요청은 RADIUS 서버가 아직 응답하지 않은 요청입니다.
  6. RADIUS 서버의 소스 주소를 구성합니다. RADIUS 서버로 전송되는 각 RADIUS 요청은 지정된 RADIUS 주소를 사용합니다. 소스 주소는 라우터 인터페이스 중 하나에 구성된 유효한 IPv4 또는 IPv6 주소입니다.
  7. (선택 사항) 인증 및 계정 메시지에 대한 재시도 및 시간 제한 값을 구성합니다.
    1. 응답을 받지 못한 경우 라우터가 RADIUS 서버에 접촉을 시도하는 횟수를 구성합니다.
    2. 연락처를 재시도하기 전에 라우터가 RADIUS 서버로부터 응답을 수신하기 위해 대기하는 시간을 구성합니다.
    참고:

    최대 재시도 기간(재시도 횟수에 시간 초과 길이를 곱한 값)은 2,700초를 초과할 수 없습니다. 더 긴 기간을 구성하면 오류 메시지가 표시됩니다.
    참고:

    retry 명령문과 accounting-timeout 명령문을 모두 accounting-retry 구성하지 않는 한 AND timeout 설정은 인증 및 계정 메시지 모두에 적용됩니다. 이 경우 retrytimeout 설정은 인증 메시지에만 적용됩니다.
  8. (선택 사항) 인증 메시지 설정과 별도로 계정 메시지에 대한 재시도 및 시간 제한 값을 구성합니다.
    참고:

    accounting-retry 문을 모두 구성해야 합니다accounting-timeout. 그렇지 않으면, and timeout 문으로 retry 구성된 값을 위해 구성한 값이 무시됩니다.
    1. 응답을 받지 못한 경우 라우터가 RADIUS 계정 서버에 계정 메시지를 보내려고 시도하는 횟수를 구성합니다.
    2. 요청을 재시도하기 전에 라우터가 RADIUS 계정 서버로부터 응답을 수신하기 위해 대기하는 시간을 구성합니다.
  9. (선택 사항) LLID(Logical Line Identification) 사전 인증 요청을 위해 RADIUS 서버에 연결하도록 라우터를 구성합니다. RADIUS 논리적 라인 식별을 참조하십시오.
  10. (선택 사항) 지정된 서버의 동적(CoA) 요청에 대해 라우터가 모니터링하는 포트를 구성합니다. RADIUS를 사용한 동적 서비스 관리를 참조하십시오.

모든 RADIUS 서버에 적용되는 옵션 구성

전 세계의 모든 RADIUS 서버에 적용되는 RADIUS 옵션을 구성할 수 있습니다.

RADIUS 옵션을 전역으로 구성하려면

  1. RADIUS 옵션을 구성하도록 지정합니다.
  2. (선택 사항) RADIUS 중간 업데이트 요청이 서버로 전송되는 속도를 구성합니다.
  3. (선택 사항) 라우터가 RADIUS 서버에 중간 계정 업데이트를 전송하는 구성된 업데이트 간격에서 허용되는 최대 편차를 구성합니다. 허용 오차는 구성된 업데이트 간격을 기준으로 합니다.

    예를 들어, 허용 오차가 60초로 설정된 경우, 라우터는 구성된 업데이트 간격보다 30초 이내에 중간 계정 업데이트를 보냅니다. 가입자가 로그인하면 첫 번째 중간 계정 업데이트가 최대 30초 일찍(평균 15초 일찍) 전송될 수 있습니다.

    계층 수준에서 update-interval 문을 사용하여 업데이트 간격을 구성합니다 [edit access profile profile-name accounting] .

  4. (선택 사항) 라우터가 구성된 모든 RADIUS 서버에 집합적으로 전송할 수 있는 초당 요청 수를 구성합니다. 라우터에서 RADIUS 서버로의 요청 플로우를 제한하면 RADIUS 서버가 요청으로 플러딩되는 것을 방지할 수 있습니다.
  5. (선택 사항) 서버에 연결할 수 없게 된 후 연결을 다시 확인하기 전에 라우터가 대기하는 시간(초)을 구성합니다. 되돌리기 간격이 만료될 때 라우터가 서버에 도달하면 서버가 서버 목록의 순서에 따라 사용됩니다.
    참고:

    또한 액세스 프로필에서 을 구성 revert-interval 하여 이 전역 값을 재정의할 수도 있습니다. RADIUS 서버와의 상호 작용을 위한 액세스 프로필 옵션 구성을 참조하십시오.
  6. (선택 사항) 응답하지 않는 RADIUS 인증 서버가 아직 연결할 수 없거나 중단된 것으로 간주되지 않는 기간을 구성합니다. 인증 요청을 다른 서버로 더 빨리 리디렉션할지 또는 응답하지 않는 서버에 복구 및 응답할 시간을 더 제공할지 여부에 따라 기간을 변경할 수 있습니다.

    자세한 정보는 RADIUS 서버가 중단되거나 연결할 수 없는 것으로 간주되는 시기를 지정하려면 시간 제한 유예 기간 구성을 참조하십시오.

  7. (선택 사항) 네트워크의 모든 MX 시리즈 라우터에서 고유한 NAS-Port 값을 구성합니다. NAS-Port 값은 라우터 내에서만 고유하거나 네트워크의 다른 MX 라우터에서 고유하게 구성할 수 있습니다.

    자세한 정보는 가입자에 대한 고유한 NAS-포트 속성(RADIUS 속성 5) 활성화 를 참조하십시오.

RADIUS 서버가 중단되거나 연결할 수 없는 것으로 간주되는 시기를 지정하기 위한 시간 초과 유예 기간 구성

RADIUS 인증 서버가 주어진 인증 요청에 대한 시도에 응답하지 못하고 시간이 초과되면 authd는 참조용 시간을 기록하지만 즉시 서버를 다운(다른 서버를 사용할 수 있는 경우) 또는 연결할 수 없음(구성된 유일한 서버인 경우)으로 표시하지는 않습니다. 대신 구성 가능한 유예 기간 타이머가 참조 시간에 시작됩니다. 기간이 만료되기 전에 서버가 후속 요청에 응답하면 유예 기간이 지워집니다.

유예 기간 동안 서버는 중단되거나 연결할 수 없는 것으로 표시되지 않습니다. 해당 서버에 대한 후속 요청에 대해 서버가 시간 초과될 때마다 authd는 유예 기간이 만료되었는지 확인합니다. 검사 결과 유예 기간이 만료되었지만 서버가 여전히 요청에 응답하지 않았음을 확인하면 서버는 연결할 수 없거나 중단된 것으로 표시됩니다.

짧은 유예 기간을 사용하면 응답하지 않는 서버를 보다 신속하게 포기하고 사용 가능한 다른 서버에 인증 요청을 직접 보낼 수 있습니다. 유예 기간이 길면 서버가 응답할 수 있는 기회가 더 많아지고 불필요하게 리소스를 포기하는 것을 방지할 수 있습니다. 구성된 서버가 하나 또는 적은 수의 경우 더 긴 유예 기간을 지정할 수 있습니다.

응답하지 않는 RADIUS 서버가 연결할 수 없거나 중단된 것으로 표시되지 않는 유예 기간을 구성하려면 다음을 따르십시오.

  • 유예 기간을 지정합니다.

RADIUS 서버와의 상호 작용을 위한 액세스 프로필 옵션 구성

액세스 프로필을 사용하여 가입자 액세스를 위해 RADIUS 인증 및 계정 서버와 통신할 때 라우터가 사용하는 옵션을 지정할 수 있습니다. 이 절차에서는 액세스 프로필에서만 사용할 수 있는 옵션에 대해 설명합니다. 액세스 프로필과 글로벌 수준 모두에서 사용할 수 있는 옵션은 가입자 액세스에 대한 RADIUS 서버 및 매개 변수를 참조하십시오.

RADIUS 인증 및 계정 서버 옵션을 구성하려면:

  1. RADIUS 옵션을 구성하도록 지정합니다.
  2. (선택 사항) 라우터가 계정 세션을 식별하는 데 사용하는 형식을 구성합니다. 식별자는 다음 형식 중 하나가 될 수 있습니다.

    • decimal- 기본 형식입니다. 예를 들어 435264

    • description—형식으로, jnpr interface-specifier:subscriber-session-id. 예를 들어 jnpr fastEthernet 3/2.6:1010101010101

  3. (선택 사항) 라우터가 RADIUS 속성 31(Calling-Station-Id)의 값 사이에 삽입하는 구분 기호 문자를 구성합니다.
  4. (선택 사항) 라우터가 RADIUS 속성 31(Calling-Station-Id)에 포함하는 정보를 구성합니다.

    자세한 내용은 추가 옵션을 사용하여 Calling-Station-ID 구성을 참조하십시오.

  5. (선택 사항) 액세스-요청 패킷에서 액세스 요청 속성(RADIUS 속성 60)으로 임의 챌린지를 전송하는 대신 NAS에서 생성한 임의 챌린지를 액세스-요청 패킷의 요청 인증자 필드에 삽입하는 선택적 동작을 사용하도록 라우터를 구성합니다. 이 선택적 동작을 사용하려면 챌린지 값이 16바이트여야 합니다. 그렇지 않으면 문이 무시되고 챌린지가 CHAP-Challenge 속성으로 전송됩니다.
  6. (선택 사항) 여러 서버가 구성된 경우 라우터가 RADIUS 인증 및 계정 서버에 액세스하는 데 사용하는 방법을 구성합니다.

    • direct- 로드 밸런싱이 없는 기본 방법입니다. 구성된 첫 번째 서버는 기본 서버입니다. 서버는 구성 순서대로 액세스합니다. 주 서버에 연결할 수 없는 경우 라우터는 구성된 두 번째 서버에 연결을 시도합니다.

    • round-robin- 구성된 RADIUS 서버 목록 중에서 라우터 요청을 회전하여 로드 밸런싱을 제공하는 방법입니다. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버에 따라 순환됩니다. 목록의 첫 번째 서버는 첫 번째 인증 요청에 대해 기본으로 처리되지만 두 번째 요청의 경우 구성된 두 번째 서버가 기본으로 처리됩니다. 이 방법을 사용하면 구성된 모든 서버가 평균적으로 거의 동일한 수의 요청을 수신하므로 단일 서버가 모든 요청을 처리할 필요가 없습니다.

      참고:

      라운드 로빈 목록의 RADIUS 서버에 연결할 수 없게 되면 라운드 로빈 목록의 다음 연결 가능한 서버가 현재 요청에 사용됩니다. 동일한 서버가 사용 가능한 서버 목록의 맨 위에 있기 때문에 다음 요청에도 사용됩니다. 그 결과, 서버 장애 후 사용되는 서버가 두 서버의 로드를 차지합니다.

    • 라우터가 RADIUS 계정 서버에 액세스하는 데 사용하는 방법을 구성하려면:

    • 라우터가 RADIUS 인증 서버에 액세스하는 데 사용하는 방법을 구성하려면:

  7. (옵션) CoA 작업이 요청된 변경 사항을 클라이언트 프로필 동적 변수에 적용할 수 없는 경우 선택적 동작을 사용하도록 라우터를 구성합니다.

    선택적 동작은 가입자 관리가 CoA 요청의 클라이언트 프로필 동적 변수에 대한 변경 사항을 적용하지 않고 NACK로 응답하는 것입니다. 기본 동작은 가입자 관리가 잘못된 업데이트를 적용하지 않고 클라이언트 프로필 동적 변수에 다른 변경 사항을 적용한 다음 ACK 메시지로 응답하는 것입니다.

  8. (선택 사항) 물리적 포트 유형을 사용하도록 virtual 라우터를 구성하여 클라이언트를 인증합니다. 포트 유형은 RADIUS 속성 61(NAS-Port-Type)으로 전달됩니다. 기본적으로 라우터는 RADIUS 속성 61의 포트 유형을 ethernet 전달합니다.
    참고:

    동일한 액세스 프로필에 둘 다 포함하는 경우 이 문은 nas-port-type 문보다 우선합니다.
  9. (선택 사항) 라우터가 RADIUS 속성 87(NAS-Port-ID)에 포함하기 위해 RADIUS로 전달하는 인터페이스 설명에서 제외되는 정보를 지정합니다. 기본적으로 인터페이스 설명에는 어댑터, 채널 및 하위 인터페이스 정보가 포함됩니다.
  10. (선택 사항) 이중 스택 PPP 가입자의 경우, 온디맨드 IP 주소 할당 중에 전송되는 액세스 요청과 주소 변경을 보고하기 위해 전송되는 Interim-Accounting 메시지에 IPv4-Release-Control VSA(26-164)를 포함합니다.

    선택적으로 RADIUS 서버로 전송될 때 IPv4-Release-Control VSA(26–164)에 포함된 메시지를 구성합니다

    온디맨드 IP 주소 할당 또는 할당 취소가 구성되지 않은 경우에는 이 문의 구성이 적용되지 않습니다.

  11. (선택 사항) 가입자를 위한 RADIUS 인증 및 어카운팅 요청 메시지에 주니퍼 네트웍스 액세스 라인 VSA를 추가합니다. 라우터가 액세스 노드에서 해당 ANCP 속성을 수신하고 처리하지 않은 경우 AAA는 이러한 RADIUS 메시지에서 다음만 제공합니다.

    • Downstream-Calculated-QoS-Rate(IANA 4874, 26-141) - 기본 구성된 권고 전송 속도입니다.

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142) - 기본 구성된 자문 수신 속도입니다.

    Junos OS 릴리스 19.2R1부터는 juniper-access-line-attributes 옵션이 옵션을 대체합니다 juniper-dsl-attributes . 기존 스크립트 juniper-dsl-attributes 와의 하위 호환을 위해 옵션은 새 juniper-access-line-attributes 옵션으로 리디렉션됩니다. 사용하는 것이 좋습니다 juniper-access-line-attributes.

    참고:

    juniper-access-line-attributes 옵션은 Junos OS 릴리스 19.1 이전 릴리스와 역호환되지 않습니다. 즉, Junos OS 릴리스 19.2 이상 릴리스에서 옵션을 구성 juniper-access-line-attributes 한 경우 Junos OS 릴리스 19.1 이하 릴리스로 다운그레이드하려면 다음 단계를 수행해야 합니다.

    1. 옵션을 포함하는 모든 액세스 프로필에서 옵션을 삭제합니다 juniper-access-line-attributes .

    2. 소프트웨어 다운그레이드를 수행합니다.

    3. 영향을 받는 액세스 프로필에 옵션을 추가합니다 juniper-dsl-attributes .
  12. (선택 사항) 인증 및 계정 요청에 사용되는 클라이언트 RADIUS 속성 32(NAS-Identifier)의 값을 구성합니다.
  13. (선택 사항) RADIUS 속성 5(NAS-Port)에 확장 형식을 사용하도록 RADIUS 클라이언트를 구성하고 사용자를 인증하는 NAS의 물리적 포트 번호를 지정하는 NAS-Port 속성의 필드 너비를 지정합니다.

    • 이더넷 가입자의 경우:

    • ATM 가입자의 경우:

  14. (선택 사항) 라우터가 RADIUS 속성 87(NAS-Port-Id)의 값 사이에 삽입하는 구분 기호 문자를 구성합니다.
  15. (선택 사항) 라우터가 RADIUS 속성 87(NAS-Port-Id)에 포함하는 선택적 정보를 구성합니다. 기본 순서로 표시할 하나 이상의 옵션을 지정할 수 있습니다. 또는 옵션과 옵션이 나타나는 순서를 모두 지정할 수 있습니다. 순서는 상호 배타적이며 두 가지 주문 유형의 값을 포함하는 NAS-Port-ID를 구성하면 구성이 실패합니다.

    자세한 내용은 추가 옵션을 사용하여 NAS-Port-ID 구성NAS-Port-ID에 선택적 값이 표시되는 순서 구성을 참조하십시오.

  16. (선택 사항) RADIUS 속성 61(NAS-Port-Type)에 포함된 포트 유형을 구성합니다. 이는 라우터가 가입자를 인증하는 데 사용하는 포트 유형을 지정합니다.
    참고:

    동일한 액세스 프로필에서 구성 ethernet-port-type-virtual 하는 경우 이 문은 무시됩니다.
  17. (선택 사항) L2TP 발신 번호 AVP 22로 전송된 값에 대해 구성된 Calling-Station-ID 형식을 재정의하도록 LAC를 구성합니다. Calling-Station-ID 형식을 재정의하고 LAC를 구성하여 PADR 패킷의 L2TP 클라이언트에서 수신된 ACI, ARI 또는 ACI와 ARI 모두를 사용할 수 있습니다. 또한 구성된 재정의 구성 요소가 PADR 패킷에서 수신되지 않을 때 사용할 폴백 값과 AVP 문자열의 구성 요소 사이에 사용할 구분 기호를 지정할 수 있습니다.
    참고:

    자세한 정보는 발신 번호 AVP에 대한 Calling-Station-ID 형식 재정의를 참조하십시오.
  18. (선택 사항) LNS에서 RADIUS NAS-IP-Address 속성(4) 값이 세션 데이터베이스에 있는 경우 세션의 LAC 엔드포인트 IP 주소 값으로 덮어씁니다. 존재하지 않으면 원래 속성 값이 사용됩니다.
  19. (선택 사항) LAC NAS 포트 정보가 Cisco Systems NAS 포트 정보 AVP(100)의 LNS로 전달된 경우 LNS에서 RADIUS NAS-Port 속성(5)의 값을 세션 데이터베이스의 값으로 재정의합니다. 존재하지 않으면 원래 속성 값이 사용됩니다.
  20. (선택 사항) LAC NAS 포트 정보가 Cisco Systems NAS 포트 정보 AVP(100)의 LNS로 전달된 경우 LNS에서 RADIUS NAS-Port-Type 속성(61) 값을 세션 데이터베이스의 값으로 재정의합니다. 존재하지 않으면 원래 속성 값이 사용됩니다.
  21. (선택 사항) L2TP 발신 번호 AVP 22에서 Calling-Station ID 대신 사용할 문자열을 구성하기 위해 문을 사용할 remote-circuit-id-format 때 원격 서킷 ID 문자열에 구분 기호 문자를 구성합니다. 원격 서킷 ID 형식에 대해 둘 이상의 값이 구성된 경우, 구분 기호 문자는 결과 원격 서킷 ID 문자열에서 연결된 값 사이의 구분 기호로 사용됩니다.
    참고:

    발신 번호 AVP에 사용할 원격 서킷 ID 형식에 대한 문을 구성 override calling-circuit-id remote-circuit-id 해야 합니다.
  22. (선택 사항) 구성된 Calling-Station-ID 또는 기본 기본 인터페이스 중 하나인 L2TP 발신자 AVP 22로 전송할 LAC의 폴백 값을 구성합니다. 명령문으로 remote-circuit-id-format 구성한 재정의 문자열의 구성 요소(ACI, ARI 또는 ACI와 ARI 모두)가 PPPoE PADR(Active Discovery Request) 패킷의 LAC에 의해 수신되지 않을 때 폴백 값의 사용이 트리거됩니다.
  23. (선택 사항) L2TP 발신 번호 AVP에서 Calling-Station-ID 형식을 재정의하는 문자열 형식을 구성합니다. ACI, ARI 또는 ACI와 ARI를 모두 지정할 수 있습니다.
    참고:

    발신 번호 AVP에 사용할 원격 서킷 ID 형식에 대한 문을 구성 override calling-circuit-id remote-circuit-id 해야 합니다.
  24. (선택 사항) 서버에 연결할 수 없게 된 후 서버에 다시 연결을 시도하기 전에 라우터가 대기하는 시간(초)을 구성합니다. 그런 다음 서버에 연결할 수 있는 경우 서버 목록의 순서에 따라 사용됩니다.
    참고:

    또한 모든 RADIUS 서버에 대해 이 옵션을 구성할 수 있습니다. RADIUS 서버에 대한 옵션 구성을 참조하십시오.
  25. (선택 사항) 가입자 주소 패밀리에 대한 활성화 요청을 인증된 처리 중에 구성 오류와 관련된 서비스 활성화 실패가 발생할 때 새로 인증된 가입자가 성공적으로 로그인할 수 있는지 여부를 구성합니다. 동적 프로필 또는 ESSM(Extensible Subscriber Services Manager) 작업 스크립트에서 구성된 서비스에 대해 이 동작을 지정할 수 있습니다.

    • optional-at-login- 서비스 활성화는 선택 사항입니다. 구성 오류로 인한 활성화 실패는 주소 패밀리의 활성화를 막지 않습니다. 가입자 액세스를 허용합니다. 구성 오류 이외의 원인으로 인한 서비스 활성화 실패로 인해 네트워크 패밀리 활성화가 실패합니다. 다른 주소 패밀리가 가입자에 대해 이미 활성화되어 있지 않는 한 로그인 시도가 종료됩니다.

    • required-at-login—서비스 활성화가 필요합니다. 어떤 이유로든 활성화가 실패하면 네트워크 패밀리 활성화가 실패합니다. 다른 주소 패밀리가 가입자에 대해 이미 활성화되어 있지 않는 한 로그인 시도가 종료됩니다.

  26. (선택 사항) RADIUS 속성 5(NAS-Port)가 이더넷 인터페이스의 가입자를 위한 VLAN ID와 더불어 S-VLAN ID를 포함하도록 지정합니다.

추가 옵션으로 Calling-Station-ID 구성

이 섹션을 사용하여 MX 시리즈 라우터의 액세스 프로필에서 Calling-Station-ID(RADIUS IETF 속성 31)에 대한 대체 값을 구성할 수 있습니다.

[] 계층에서edit access profile profile-name radius options calling-station-id-format 다음 옵션 중 하나 이상을 임의의 조합으로 포함하도록 Calling-Station-ID를 구성할 수 있습니다.

  • 에이전트 서킷 식별자(agent-circuit-id) - 액세스 노드의 가입자 액세스 노드 및 디지털 가입자 회선(DSL)의 식별자입니다. 에이전트 서킷 식별자(ACI) 문자열은 DHCP 트래픽에 대한 DHCP 메시지의 DHCP 옵션 82 필드 또는 PPPoE 트래픽에 대한 PPPoE PADI(Active Discovery Initiation) 및 PPPoE PADR(Active Discovery Request) 제어 패킷의 DSL 포럼 Agent-Circuit-ID VSA [26-1]에 저장됩니다.

  • 에이전트 원격 식별자(agent-remote-id) - 서비스 요청을 시작한 DSLAM(디지털 가입자 라인 액세스 멀티플렉서) 인터페이스의 가입자 식별자입니다. 에이전트 원격 식별자(ARI) 문자열은 DHCP 트래픽의 경우 DHCP 옵션 82 필드에 저장되거나 PPPoE 트래픽의 경우 DSL 포럼 Agent-Remote-ID VSA [26-2]에 저장됩니다.

  • 인터페이스 설명(interface-description) - 인터페이스의 값입니다.

  • 인터페이스 텍스트 설명(interface-text-description) - 인터페이스의 텍스트 설명입니다. 인터페이스 텍스트 설명은 문 또는 set interfaces interface-name unit unit-number description description 문을 사용하여 set interfaces interface-name description description 별도로 구성됩니다

  • MAC 주소(mac-address) - 가입자에 대한 소스 디바이스의 MAC 주소입니다.

  • NAS 식별자(nas-identifier)—인증 또는 계정 요청을 시작한 NAS의 이름입니다. NAS-Identifier는 RADIUS IETF 속성 32입니다.

  • Stacked VLAN (stacked-vlan)—스택 VLAN ID입니다.

  • VLAN (vlan)—VLAN ID.

하나 이상의 선택적 값으로 Calling-Station-ID의 형식을 구성하는 경우, 해시 문자(#)는 라우터가 결과 Calling-Station-ID 문자열에서 연결된 값 사이의 구분 기호로 사용하는 기본 구분 기호입니다. 선택적으로 Calling-Station-ID가 사용할 대체 구분 기호 문자를 구성할 수 있습니다. 다음 예는 여러 선택적 값을 구성할 때의 출력 순서를 보여줍니다.

Calling-Station-ID에 선택적 정보를 제공하도록 액세스 프로필을 구성하려면 다음을 수행합니다.

  1. 구성하려는 액세스 프로필을 지정합니다.
  2. RADIUS 옵션을 구성하도록 지정합니다.
  3. Calling-Station-ID의 연결된 값 사이의 구분 기호로 사용할 기본이 아닌 문자를 지정합니다.

    기본적으로 가입자 관리는 하나 이상의 선택적 값을 포함하는 Calling-Station-ID 문자열의 구분 기호로 해시 문자(#)를 사용합니다.

  4. 인증 및 어카운팅 요청에 사용되는 NAS 식별자(RADIUS 속성 32)의 값을 구성합니다.
  5. Calling-Station-ID의 형식을 구성하도록 지정합니다.
  6. (선택 사항) Calling-Station-ID에 인터페이스 텍스트 설명을 포함합니다.
  7. (선택 사항) Calling-Station-ID에 인터페이스 설명 값을 포함합니다.
  8. (선택 사항) Calling-Station-ID에 에이전트 회로 식별자를 포함합니다.
  9. (선택 사항) Calling-Station-ID에 에이전트 원격 식별자를 포함합니다.
  10. (선택 사항) Calling-Station-ID에 구성된 NAS 식별자 값을 포함합니다.
  11. (선택 사항) Calling-Station-ID에 누적된 VLAN ID를 포함합니다.
  12. (선택 사항) Calling-Station-ID에 VLAN ID를 포함합니다.
  13. (선택 사항) Calling-Station-ID에 MAC 주소를 포함합니다.

예: 액세스 프로필에서 추가 옵션이 있는 Calling-Station-ID

다음 예제에서는 NAS-Identifier(fox), 인터페이스 설명, 에이전트 회로 식별자 및 에이전트 원격 식별자 옵션을 포함하는 Calling-Station-ID 문자열을 구성하는 retailer01이라는 액세스 프로필을 생성합니다.

결과 Calling-Station-ID 문자열의 형식은 다음과 같습니다.

fox*ge-1/2/0.100:100*as007*ar921

여기서:

  • NAS-Identifier 값은 fox입니다.

  • Calling-Station-ID 구분 기호 문자는 (별표)입니다 * .

  • 인터페이스 설명 값은 ge-1/2/0.100:100입니다.

  • 에이전트 서킷 식별자 값은 as007입니다.

  • 에이전트 원격 식별자 값은 ar921입니다.

모든 옵션이 구성되었지만 Agent-Circuit-ID, Agent-Remote-Id 또는 스택 VLAN 식별자에 사용할 수 있는 값이 없는 예를 생각해보겠습니다. 다른 값은 다음과 같습니다.

  • NAS 식별자—Solarium

  • 인터페이스 설명—ge-1/0/0.1073741824:101

  • 인터페이스 텍스트 설명—example-interface

  • MAC 주소—00:00:5E:00:53:00

  • VLAN 식별자 - 101

이러한 값은 다음과 같은 Calling-Station-ID가 됩니다.

RADIUS 메시지에서 RADIUS 속성 및 VSA 필터링 RADIUS

RADIUS 메시지에서 수신된 표준 속성 및 VSA(Vendor-Specific Attribute)는 내부적으로 프로비저닝된 속성 값보다 우선합니다. 속성 필터링은 액세스 수락 패킷에서 수신될 때 특정 속성을 무시하고 특정 속성을 RADIUS 서버로 전송하지 못하도록 제외하도록 선택하는 것으로 구성됩니다. RADIUS 서버에서 수신한 속성을 무시하면 로컬로 프로비저닝된 값을 대신 사용할 수 있습니다. 전송되지 않도록 속성을 제외하는 것은 예를 들어 가입자의 수명 동안 변경되지 않는 속성에 유용합니다. 정보 손실 없이 패킷 크기를 줄일 수 있습니다.

표준 RADIUS 속성 및 VSA를 지정할 수 있으며, 이후에 라우터이나 스위치가 액세스-Accept 메시지로 수신될 때 이를 무 RADIUS 수 있습니다. 또한 라우터 또는 스위치가 지정된 RADIUS 메시지 유형에서 제외 하는 속성 및 VSA를 지정할 수 있습니다. 제외는 라우터 또는 스위치가 RADIUS 서버로 보내는 지정된 메시지에 속성을 포함하지 않음을 의미합니다.

Junos OS 릴리스 18.1R1부터는 표준 속성 번호 또는 IANA 할당 벤더 ID 및 VSA 번호를 각각 지정하여 RADIUS 표준 속성 및 VSA를 무시하거나 제외하도록 라우터 또는 스위치를 구성할 수 있습니다. 이 유연한 구성 방법을 사용하면 플랫폼에서 지원하는 모든 표준 속성과 VSA를 무시하거나 제외하도록 구성할 수 있습니다. 지원되지 않는 속성, 공급업체 및 VSA를 구성하는 경우 구성이 적용되지 않습니다.

레거시 방법을 사용하면 문 구문에 특정 옵션이 포함된 속성 및 VSA만 구성할 수 있습니다. 따라서 레거시 메서드를 사용하여 액세스 수락 메시지에서 수신할 수 있는 모든 특성의 하위 집합만 무시할 수 있습니다.

라우터 또는 스위치에서 무시하거나 제외하는 속성을 구성하려면 다음을 수행합니다.

  1. 액세스 프로필에서 RADIUS를 구성하도록 지정합니다.
  2. RADIUS 속성이 필터링되는 방법을 구성하도록 지정합니다.
  3. (선택 사항) 특성이 액세스-수락 메시지에 있을 때 라우터 또는 스위치가 무시할 속성을 하나 이상 지정합니다.

    • 기존 방법: 속성에 대한 전용 옵션 지정:

    • 유연한 방법: 표준 속성 번호 또는 IANA 할당 벤더 ID 및 VSA 번호를 지정합니다.

  4. (선택 사항) 라우터 또는 스위치가 하나 이상의 지정된 RADIUS 메시지 유형에서 제외할 속성을 구성합니다. 속성 목록은 구성할 수 없지만 각 속성에 대한 메시지 유형 목록을 지정할 수 있습니다.

    • 기존 방법: 속성 및 메시지 유형에 대한 전용 옵션 지정:

    • 유연한 방법: 표준 속성 번호 또는 IANA 할당 벤더 ID, VSA 번호 및 메시지 유형을 지정합니다.

다음 예에서는 표준 RADIUS 속성인 Framed-IP-Netmask(9) 및 주니퍼 네트웍스 VSA, Ingress-Policy-Name(26-10) 및 Egress-Policy-Name(26-11)을 무시하기 위해 레거시 구성 방법과 유연한 구성 방법을 비교합니다.

  • 기존 방법:

  • 유연한 방법:

다음 예에서는 레거시 구성 방법과 유연한 구성 방법을 비교하여 표준 RADIUS 속성인 Framed-IP-Netmask(9)와 주니퍼 네트웍스 VSA, Ingress-Policy-Name(26-10) 및 Egress-Policy-Name(26-11)을 제외합니다.

  • 기존 방법:

  • 유연한 방법: 표준 속성 번호 또는 IANA 할당 벤더 ID, VSA 번호 및 메시지 유형을 지정합니다.

동일한 프로파일에서 두 가지 방법을 모두 사용하여 속성을 지정하면 어떻게 됩니까? 효과적인 구성은 두 가지 방법의 논리적 OR입니다. 표준 속성 accounting-delay-time(41)에 대한 다음 예를 고려하십시오.

그 결과 속성이 네 가지 메시지 유형(Accounting-Off, Accounting-On, Accounting-Start 및 Accounting-Stop)에서 모두 제외됩니다. 이 효과는 다음 구성 중 하나를 사용하는 경우와 동일합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
18.1R1
Junos OS 릴리스 18.1R1부터는 표준 속성 번호 또는 IANA 할당 벤더 ID 및 VSA 번호를 각각 지정하여 RADIUS 표준 속성 및 VSA를 무시하거나 제외하도록 라우터 또는 스위치를 구성할 수 있습니다.