Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

가입자 액세스를 위한 RADIUS 서버 및 매개 변수

RADIUS 서버에 대한 매개 변수 및 옵션을 구성하는 것은 가입자 관리 구성의 중요한 부분입니다. 인증 및 계정 서버를 정의한 후 모든 RADIUS 서버에 대한 옵션을 구성합니다. 또한 액세스 프로필을 구성하여 가입자 또는 가입자 그룹에 대한 가입자 액세스, 인증, 권한 부여 및 어카운팅 구성 매개 변수를 지정할 수 있습니다. 프로필 설정은 전역 설정보다 우선합니다. 일부 옵션은 전역 수준과 액세스 프로필 수준에서 모두 사용할 수 있지만 많은 옵션은 액세스 프로필에서만 사용할 수 있습니다.

액세스 프로필을 생성한 후에는 프로필이 문과 access-profile 함께 사용되는 위치를 지정해야 합니다. 이를 프로필 연결이라고 합니다. 액세스 프로필은 다양한 수준에서 할당할 수 있습니다. 예를 들어 액세스 프로필을 연결할 수 있는 위치 중 일부는

  • 라우팅 인스턴스의 경우 전역적으로.

  • 동적 프로필에서.

  • 가입자 세션에 대한 액세스 옵션 및 세션 매개 변수를 매핑하는 도메인 맵에서.

  • 동적 VLAN 및 동적 스택 VLAN의 인터페이스에 적용됩니다.

  • 인터페이스 또는 동적 서비스 프로비저닝을 위해 정적으로 구성된 인터페이스를 가진 가입자의 가입자 그룹.

  • DHCP 클라이언트 또는 가입자에 대한 DHCP 릴레이 에이전트 및 DHCP 로컬 서버.

여러 수준에서 액세스 프로필을 연결할 수 있기 때문에 충돌을 피하기 위해 가장 구체적인 액세스 프로필이 다른 프로필 할당보다 우선합니다. 프로파일을 연결하지 않으면 인증 및 어카운팅이 실행되지 않습니다.

RADIUS 인증 및 계정 서버 정의

가입자 관리를 위해 RADIUS를 사용할 경우, 라우터가 가입자 인증 및 어카운팅을 위해 통신하는 하나 이상의 외부 RADIUS 서버를 정의해야 합니다. 서버의 IPv4 또는 IPv6 주소를 지정하는 것 외에도, 라우터가 지정된 서버와 상호 작용하는 방법을 결정하는 옵션 및 속성을 구성할 수 있습니다.

RADIUS 서버 및 연결 옵션은 [edit access radius-server] 계층 수준, [edit access profile name radius-server] 계층 수준 또는 두 수준 모두에서 정의할 수 있습니다.

메모:

AAA 프로세스(authd)는 다음과 같이 사용할 서버 정의를 결정합니다.

  • RADIUS 서버 정의가 (으)로만 [edit access radius-server]존재하는 경우 authd는 해당 정의를 사용합니다.

  • RADIUS 서버 정의가 액세스 프로필에만 있는 경우 인증은 이러한 정의를 사용합니다.

  • RADIUS 서버 정의가 액세스 프로파일과 [edit access radius-server] 모두에 존재하는 경우 authd는 액세스 프로파일 정의만 사용합니다.

RADIUS 서버를 사용하려면 액세스 프로필에서 인증 서버, 계정 서버 또는 둘 다로 지정해야 합니다. 서버가 액세스 프로필 또는 [edit access radius-server] 계층 수준에서 정의되었는지 여부에 관계없이 서버에 대해 이 작업을 수행해야 합니다.

RADIUS 서버를 정의하고 라우터가 서버와 상호 작용하는 방법을 지정하려면 다음을 수행합니다.

메모:

이 절차에서는 [edit access radius-server] 계층 수준만 보여줍니다. 선택적으로 계층 수준에서 이러한 매개 변수를 [edit access profile profile-name] radius-server] 구성할 수 있습니다. 전역 설정과 함께 또는 전역 설정 대신 이 작업을 수행할 수 있습니다. 프로필을 적용하면 프로필 설정이 전역 구성을 재정의합니다.
  1. RADIUS 서버의 IPv4 또는 IPv6 주소를 지정합니다.
  2. (선택 사항) RADIUS 서버 계정 포트 번호를 구성합니다.
  3. (선택 사항) 라우터가 RADIUS 서버에 연결하는 데 사용하는 포트 번호를 구성합니다.
  4. 로컬 라우터가 RADIUS 클라이언트에 전달하는 데 필요한 암호(비밀번호)를 구성합니다. 따옴표로 묶인 비밀에는 공백이 포함될 수 있습니다.
  5. (선택 사항) RADIUS 서버가 유지할 수 있는 최대 미해결 요청 수를 구성합니다. 미해결 요청은 RADIUS 서버가 아직 응답하지 않은 요청입니다.
  6. RADIUS 서버의 소스 주소를 구성합니다. RADIUS 서버로 전송된 각 RADIUS 요청은 지정된 소스 주소를 사용합니다. 소스 주소는 라우터 인터페이스 중 하나에 구성된 유효한 IPv4 또는 IPv6 주소입니다.
  7. (선택 사항) 인증 및 계정 메시지에 대한 재시도 및 시간 제한 값을 구성합니다.
    1. 응답을 받지 못했을 때 라우터가 RADIUS 서버에 접촉을 시도하는 횟수를 구성합니다.
    2. 컨택을 재시도하기 전에 라우터가 RADIUS 서버로부터 응답을 수신하기 위해 대기하는 시간을 구성합니다.
    메모:

    최대 재시도 기간(재시도 횟수에 제한 시간을 곱한 값)은 2700초를 초과할 수 없습니다. 더 긴 기간을 구성할 경우 오류 메시지가 표시됩니다.
    메모:

    retrytimeout 설정은 문과 accounting-timeout 문을 모두 accounting-retry 구성하지 않는 한 인증 및 계정 메시지 모두에 적용됩니다. 이 경우 retrytimeout 설정은 인증 메시지에만 적용됩니다.
  8. (선택 사항) 인증 메시지에 대한 설정과 별도로 계정 메시지에 대한 재시도 및 시간 제한 값을 구성합니다.
    메모:

    accounting-timeout 문을 모두 accounting-retry 구성해야 합니다. 그렇지 않으면, 구성한 값이 무시되고 및 timeout 문으로 retry 구성된 값이 선호됩니다.
    1. 응답을 받지 못했을 때 라우터가 RADIUS 계정 서버로 계정 메시지를 보내려는 횟수를 구성합니다.
    2. 요청을 재시도하기 전에 라우터가 RADIUS 계정 서버로부터 응답을 수신하기 위해 대기하는 시간을 구성합니다.
  9. (선택 사항) LLID(Logical Line Identification) 사전 인증 요청을 위해 RADIUS 서버에 연결하도록 라우터를 구성합니다. RADIUS 논리적 회선 식별을 참조하십시오.
  10. (선택 사항) 지정된 서버의 동적(CoA) 요청에 대해 라우터가 모니터링하는 포트를 구성합니다. RADIUS를 통한 동적 서비스 관리의 내용을 참조하십시오.

모든 RADIUS 서버에 적용되는 옵션 구성

전 세계 모든 RADIUS 서버에 적용되는 RADIUS 옵션을 구성할 수 있습니다.

RADIUS 옵션을 전역으로 구성하려면:

  1. RADIUS 옵션을 구성할 것인지 지정합니다.
  2. (선택 사항) RADIUS 중간 업데이트 요청이 서버로 전송되는 속도를 구성합니다.
  3. (선택 사항) 라우터가 RADIUS 서버에 중간 계정 업데이트를 전송하는 구성된 업데이트 간격에서 허용되는 최대 편차를 구성합니다. 허용 오차는 구성된 업데이트 간격에 상대적입니다.

    예를 들어, 허용 오차가 60초로 설정된 경우, 라우터는 구성된 업데이트 간격보다 30초 일찍 중간 계정 업데이트를 보냅니다. 가입자가 로그인하면 첫 번째 중간 어카운팅 업데이트가 최대 30초 빠르게(평균 15초 빠르게) 전송될 수 있습니다.

    계층 수준에서 update-interval 문을 사용하여 업데이트 간격을 [edit access profile profile-name accounting] 구성합니다.

  4. (선택 사항) 라우터가 구성된 모든 RADIUS 서버에 일괄 전송할 수 있는 초당 요청 수를 구성합니다. 라우터에서 RADIUS 서버로의 요청 플로우를 제한하면 RADIUS 서버가 요청으로 넘쳐나는 것을 방지할 수 있습니다.
  5. (선택 사항) 서버에 연결할 수 없게 된 후 연결을 다시 확인하기 전에 라우터가 대기하는 시간(초)을 구성합니다. 되돌리기 간격이 만료될 때 라우터가 서버에 도달하면 서버 목록의 순서에 따라 서버가 사용됩니다.
    메모:

    또한 액세스 프로필에서 을(를) revert-interval 구성하여 이 전역 값을 재정의할 수도 있습니다. RADIUS 서버와의 상호 작용에 대한 액세스 프로파일 옵션 구성을 참조하십시오.
  6. (선택 사항) 응답하지 않는 RADIUS 인증 서버가 아직 연결할 수 없거나 중단된 것으로 간주되지 않는 기간을 구성합니다. 인증 요청을 다른 서버로 더 빠르게 리디렉션할지 아니면 응답하지 않는 서버에 복구 및 응답할 시간을 더 많이 제공할지에 따라 기간을 변경할 수 있습니다.

    자세한 내용은 RADIUS 서버가 다운되거나 연결할 수 없는 것으로 간주되는 시기를 지정하려면 시간 초과 유예 기간 구성을 참조하십시오.

  7. (선택 사항) 네트워크의 모든 MX 시리즈 라우터에서 고유한 NAS-Port 값을 구성합니다. 라우터 내에서만 고유하거나 네트워크의 다른 MX 라우터에서 고유한 NAS-Port 값을 구성할 수 있습니다.

    자세한 내용은 가입자에 대한 고유 NAS 포트 속성(RADIUS 속성 5) 활성화 를 참조하십시오.

RADIUS 서버가 다운되거나 연결할 수 없는 것으로 간주되는 시기를 지정하기 위한 시간 초과 유예 기간 구성

RADIUS 인증 서버가 주어진 인증 요청에 대한 시도에 응답하지 못하고 시간이 초과되면 인증은 참조를 위해 시간을 기록하지만 서버를 다운(다른 서버를 사용할 수 있는 경우) 또는 연결할 수 없음(구성된 유일한 서버인 경우)으로 즉시 표시하지는 않습니다. 대신 구성 가능한 유예 기간 타이머가 참조 시간에 시작됩니다. 유예 기간이 만료되기 전에 서버가 후속 요청에 응답하면 유예 기간이 지워집니다.

유예 기간 동안 서버는 작동 중지 또는 연결할 수 없음으로 표시되지 않습니다. 서버가 해당 서버에 대한 후속 요청에 대해 시간 초과될 때마다 authd는 유예 기간이 만료되었는지 여부를 확인합니다. 검사 결과 유예 기간이 만료되고 서버가 여전히 요청에 응답하지 않은 것으로 확인되면 서버는 도달 불가능 또는 다운으로 표시됩니다.

짧은 유예 기간을 사용하면 응답하지 않는 서버를 보다 신속하게 중단하고 사용 가능한 다른 서버로 인증 요청을 보낼 수 있습니다. 유예 기간이 길면 서버가 응답할 수 있는 기회가 더 많아지고 불필요하게 리소스를 포기하는 것을 방지할 수 있습니다. 구성된 서버가 하나 또는 적은 수의 서버만 있는 경우 더 긴 유예 기간을 지정할 수 있습니다.

응답하지 않는 RADIUS 서버가 도달 불가 또는 중단으로 표시되지 않는 유예 기간을 구성하려면 다음을 수행합니다.

  • 유예 기간의 기간을 지정합니다.

RADIUS 서버와의 상호 작용을 위한 액세스 프로파일 옵션 구성

액세스 프로필을 사용하여 라우터가 가입자 액세스를 위해 RADIUS 인증 및 계정 서버와 통신할 때 사용하는 옵션을 지정할 수 있습니다. 이 절차에서는 액세스 프로필에서만 사용할 수 있는 옵션에 대해 설명합니다. 액세스 프로필과 글로벌 수준에서 모두 사용할 수 있는 옵션은 RADIUS 서버 및 가입자 액세스를 위한 매개 변수를 참조하십시오.

RADIUS 인증 및 계정 서버 옵션을 구성하기 위해 다음을 수행합니다.

  1. RADIUS 옵션을 구성할 것인지 지정합니다.
  2. (선택 사항) 라우터가 accounting 세션을 식별하는 데 사용하는 형식을 구성합니다. 식별자는 다음 형식 중 하나일 수 있습니다.

    • decimal- 기본 형식입니다. 예를 들어 435264

    • description- 형식으로, jnpr interface-specifier:subscriber-session-id. 예를 들어 jnpr fastEthernet 3/2.6:1010101010101

  3. (선택 사항) 라우터가 RADIUS 속성 31(Calling-Station-ID)의 값 사이에 삽입하는 구분 기호 문자를 구성합니다.
  4. (선택 사항) 라우터가 RADIUS 속성 31(Calling-Station-Id)에 포함하는 정보를 구성합니다.

    자세한 내용은 추가 옵션으로 Calling-Station-ID 구성을 참조하십시오.

  5. (선택 사항) 임의 챌린지를 Access-Request 패킷의 CHAP-Challenge 속성(RADIUS 속성 60)으로 전송하는 대신 NAS에서 생성된 임의 챌린지를 Access-Request 패킷의 Request Authenticator 필드에 삽입하는 옵션 동작을 사용하도록 라우터를 구성합니다. 이 선택적 동작을 수행하려면 챌린지 값이 16바이트여야 합니다. 그렇지 않으면 문이 무시되고 챌린지가 CHAP-Challenge 속성으로 전송됩니다.
  6. (선택 사항) 여러 서버가 구성된 경우 라우터가 RADIUS 인증 및 계정 서버에 액세스하는 데 사용하는 방법을 구성합니다.

    • direct- 로드 밸런싱이 없는 기본 방법입니다. 구성된 첫 번째 서버가 기본 서버입니다. 서버는 구성 순서대로 액세스됩니다. 주 서버가 연결할 수 없는 경우 라우터는 두 번째로 구성된 서버에 연결을 시도합니다.

    • round-robin- 구성된 RADIUS 서버 목록에서 라우터 요청을 순환시켜 로드 밸런싱을 제공하는 방법입니다. 액세스를 위해 선택한 서버는 마지막으로 사용된 서버를 기준으로 회전됩니다. 목록의 첫 번째 서버는 첫 번째 인증 요청의 경우 기본 서버로 처리되지만 두 번째 요청의 경우 구성된 두 번째 서버는 기본 서버로 처리됩니다. 이 방법을 사용하면 구성된 모든 서버가 평균적으로 거의 동일한 수의 요청을 수신하므로 단일 서버가 모든 요청을 처리할 필요가 없습니다.

      메모:

      라운드 로빈 목록의 RADIUS 서버에 연결할 수 없게 되면 라운드 로빈 목록의 다음 연결 가능한 서버가 현재 요청에 사용됩니다. 동일한 서버가 사용 가능한 서버 목록의 맨 위에 있기 때문에 다음 요청에도 사용됩니다. 결과적으로 서버 오류 후 사용되는 서버는 두 서버의 로드를 차지합니다.

    • 라우터가 RADIUS 계정 서버에 액세스하는 데 사용하는 방법을 구성하기 위해 다음을 수행합니다.

    • 라우터가 RADIUS 인증 서버에 액세스하는 데 사용하는 방법을 구성하기 위해 다음을 수행합니다.

  7. (선택 사항) CoA 작업이 요청된 변경 사항을 클라이언트 프로필 동적 변수에 적용할 수 없는 경우 선택적 동작을 사용하도록 라우터를 구성합니다.

    선택적 동작은 가입자 관리가 CoA 요청의 클라이언트 프로필 동적 변수에 변경 사항을 적용하지 않고 NACK로 응답하는 것입니다. 기본 동작은 가입자 관리가 잘못된 업데이트를 적용하지 않고 클라이언트 프로필 동적 변수에 다른 변경 사항을 적용한 다음 ACK 메시지로 응답하는 것입니다.

  8. (선택 사항) 클라이언트를 인증하기 위해 의 virtual 물리적 포트 유형을 사용하도록 라우터를 구성합니다. 포트 유형은 RADIUS 속성 61(NAS-Port-Type)로 전달됩니다. 기본적으로 라우터는 RADIUS 속성 61의 포트 유형을 ethernet 전달합니다.
    메모:

    동일한 액세스 프로필에 둘 다 포함하는 경우 이 문은 nas-port-type 문보다 우선합니다.
  9. (선택 사항) RADIUS 속성 87(NAS-Port-ID)에 포함하기 위해 라우터가 RADIUS로 전달하는 인터페이스 설명에서 제외되는 정보를 지정합니다. 기본적으로 인터페이스 설명에는 어댑터, 채널 및 하위 인터페이스 정보가 포함됩니다.
  10. (선택사항) 듀얼 스택 PPP 가입자의 경우, 온디맨드 IP 주소 할당 중에 전송되는 Access-Request와 주소 변경을 보고하기 위해 전송되는 Interim-Accounting 메시지에 IPv4-Release-Control VSA(26-164)를 포함합니다.

    선택적으로 RADIUS 서버로 전송될 때 IPv4-Release-Control VSA(26-164)에 포함된 메시지를 구성합니다

    이 문의 구성은 온디맨드 IP 주소 할당 또는 할당 취소가 구성되지 않은 경우에는 적용되지 않습니다.

  11. (선택 사항) 가입자를 위한 RADIUS 인증 및 계정 요청 메시지에 주니퍼 네트웍스 액세스 라인 VSA를 추가합니다. 라우터가 액세스 노드로부터 해당 ANCP 속성을 수신 및 처리하지 않은 경우 AAA는 이러한 RADIUS 메시지에서 다음 사항만 제공합니다.

    • Downstream-Calculated-QoS-Rate(IANA 4874, 26-141)—기본적으로 구성된 권고 전송 속도입니다.

    • Upstream-Calculated-QoS-Rate(IANA 4874, 26-142)—기본적으로 구성된 권고 수신 속도입니다.

    Junos OS 릴리스 19.2R1부터는 juniper-access-line-attributes 옵션이 옵션을 대체합니다 juniper-dsl-attributes . 기존 스크립트와의 이전 버전과의 호환성을 juniper-dsl-attributes 위해 옵션은 새 juniper-access-line-attributes 옵션으로 리디렉션됩니다. 를 사용하는 juniper-access-line-attributes것이 좋습니다.

    메모:

    juniper-access-line-attributes 옵션은 Junos OS 릴리스 19.1 또는 이전 릴리스와 역호환되지 않습니다. 즉, Junos OS 릴리스 19.2 이상 릴리스에서 옵션을 구성 juniper-access-line-attributes 한 경우 Junos OS 릴리스 19.1 또는 이전 릴리스로 다운그레이드하려면 다음 단계를 수행해야 합니다.

    1. 해당 옵션을 포함하는 모든 액세스 프로필에서 juniper-access-line-attributes 옵션을 삭제합니다.

    2. 소프트웨어 다운그레이드를 수행합니다.

    3. 영향을 받는 액세스 프로필에 juniper-dsl-attributes 옵션을 추가합니다.
  12. (선택 사항) 인증 및 계정 요청에 사용되는 클라이언트 RADIUS 속성 32(NAS-Identifier)의 값을 구성합니다.
  13. (선택 사항) RADIUS 클라이언트를 구성하여 RADIUS 속성 5(NAS-Port)에 확장 형식을 사용하고 NAS-Port 속성의 필드 너비를 지정합니다. 이는 사용자를 인증하는 네트워크 액세스 서버(NAS)의 물리적 포트 번호를 지정합니다.

    • 이더넷 가입자의 경우:

    • ATM 가입자의 경우:

  14. (선택 사항) RADIUS 속성 87(NAS-Port-ID)의 값 사이에 라우터가 삽입하는 구분 기호 문자를 구성합니다.
  15. (선택 사항) 라우터가 RADIUS 속성 87(NAS-Port-ID)에 포함하는 옵션 정보를 구성합니다. 기본 순서로 표시할 옵션을 하나 이상 지정할 수 있습니다. 또는 옵션과 표시되는 순서를 모두 지정할 수 있습니다. 주문은 상호 배타적이며, 두 가지 유형의 순서에 값을 모두 포함하는 NAS-Port-ID를 구성하는 경우 구성이 실패합니다.

    자세한 내용은 추가 옵션으로 NAS-Port-ID 구성NAS-Port-ID에 선택적 값이 표시되는 순서 구성을 참조하십시오.

  16. (선택 사항) RADIUS 속성 61(NAS-Port-Type)에 포함된 포트 유형을 구성합니다. 라우터가 가입자를 인증하는 데 사용하는 포트 유형을 지정합니다.
    메모:

    동일한 액세스 프로필에서 을(를 ethernet-port-type-virtual ) 구성하는 경우 이 명령문은 무시됩니다.
  17. (선택 사항) L2TP 발신 번호 AVP 22에서 전송된 값에 대해 구성된 Calling-Station-ID 형식을 재정의하도록 LAC를 구성합니다. Calling-Station-ID 형식을 재정의하고 PADR 패킷의 L2TP 클라이언트에서 수신한 ACI, ARI 또는 ACI와 ARI를 모두 사용하도록 LAC를 구성할 수 있습니다. 또한 AVP 문자열의 구성 요소 간에 사용할 구분 기호와 구성된 재정의 구성 요소가 PADR 패킷에서 수신되지 않을 때 사용할 폴백 값을 지정할 수 있습니다.
    메모:

    자세한 내용은 발신 번호 AVP에 대한 Calling-Station-ID 형식 재정의 를 참조하십시오.
  18. (선택 사항) LNS의 RADIUS NAS-IP-Address 속성(4)이 세션 데이터베이스에 있는 경우 세션의 LAC 엔드포인트 IP 주소 값을 재정의합니다. 없는 경우 원래 속성 값이 사용됩니다.
  19. (선택 사항) LAC NAS 포트 정보가 Cisco Systems NAS Port Info AVP(100)의 LNS로 전달된 경우 LNS의 RADIUS NAS-Port 속성(5) 값을 세션 데이터베이스의 값으로 재정의합니다. 없는 경우 원래 속성 값이 사용됩니다.
  20. (선택 사항) LAC NAS 포트 정보가 Cisco Systems NAS Port Info AVP(100)의 LNS로 전달된 경우 LNS의 RADIUS NAS-Port-Type 특성(61) 값을 세션 데이터베이스의 값으로 재정의합니다. 없는 경우 원래 속성 값이 사용됩니다.
  21. (선택 사항) L2TP 발신 번호 AVP 22에서 발신 스테이션 ID 대신 사용할 문자열을 remote-circuit-id-format 구성하기 위해 명령문을 사용할 때 원격 회선 ID 문자열의 구분 기호 문자를 구성합니다. 원격 서킷 ID 형식에 대해 둘 이상의 값이 구성된 경우, 구분 기호 문자는 결과 원격 서킷 ID 문자열에서 연결된 값 사이의 구분 기호로 사용됩니다.
    메모:

    발신 번호 AVP에 사용될 원격 서킷 ID 형식에 대한 명령문을 구성해야 override calling-circuit-id remote-circuit-id 합니다.
  22. (선택 사항) L2TP 발신 번호 AVP 22(구성된 Calling-Station-ID 또는 기본 인터페이스)에서 전송할 LAC의 폴백 값을 구성합니다. 폴백 값의 사용은 명령문으로 remote-circuit-id-format 구성한 재정의 문자열의 구성 요소(ACI, ARI 또는 ACI와 ARI 모두)가 PPPoE PADR(Active Discovery Request) 패킷의 LAC에 의해 수신되지 않을 때 트리거됩니다.
  23. (선택 사항) L2TP 발신 번호 AVP에서 Calling-Station-ID 형식을 재정의하는 문자열 형식을 구성합니다. ACI, ARI 또는 ACI와 ARI를 모두 지정할 수 있습니다.
    메모:

    발신 번호 AVP에 사용될 원격 서킷 ID 형식에 대한 명령문을 구성해야 override calling-circuit-id remote-circuit-id 합니다.
  24. (선택 사항) 서버에 연결할 수 없게 된 후 서버에 다시 연결을 시도하기 전에 라우터가 대기하는 시간(초)을 구성합니다. 서버에 연결할 수 있는 경우 서버 목록의 순서에 따라 사용됩니다.
    메모:

    또한 모든 RADIUS 서버에 대해 이 옵션을 구성할 수 있습니다. RADIUS 서버에 대한 옵션 구성하기를 참조하십시오.
  25. (선택 사항) 가입자의 주소 패밀리에 대한 활성화 요청을 인증한 처리 중에 구성 오류와 관련된 서비스 활성화 실패가 발생할 때 새로 인증된 가입자가 성공적으로 로그인할 수 있는지 여부를 구성합니다. 동적 프로파일 또는 ESSM(Extensible Subscriber Services Manager) 운영 스크립트에서 구성된 서비스에 대해 이 동작을 지정할 수 있습니다.

    • optional-at-login- 서비스 활성화는 선택 사항입니다. 구성 오류로 인한 활성화 실패는 주소 패밀리의 활성화를 막지 않습니다. 가입자 액세스를 허용합니다. 구성 오류 이외의 원인으로 인한 서비스 활성화 실패로 인해 네트워크 제품군 활성화가 실패합니다. 가입자에 대해 다른 주소 패밀리가 이미 활성화되어 있지 않으면 로그인 시도가 종료됩니다.

    • required-at-login- 서비스 활성화가 필요합니다. 어떤 이유로든 정품 인증에 실패하면 네트워크 제품군 정품 인증이 실패합니다. 가입자에 대해 다른 주소 패밀리가 이미 활성화되어 있지 않으면 로그인 시도가 종료됩니다.

  26. (선택 사항) RADIUS 속성 5(NAS-Port)가 이더넷 인터페이스의 가입자에 대해 VLAN ID 외에 S-VLAN ID를 포함하도록 지정합니다.

추가 옵션으로 Calling-Station-ID 구성

이 섹션을 사용하여 MX 시리즈 라우터의 액세스 프로필에서 Calling-Station-ID(RADIUS IETF 속성 31)에 대한 대체 값을 구성할 수 있습니다.

[edit access profile profile-name radius options calling-station-id-format] 계층에서 임의의 조합으로 다음 옵션 중 하나 이상을 포함하도록 Calling-Station-ID를 구성할 수 있습니다.

  • Agent Circuit Identifier(agent-circuit-id) - 가입자의 액세스 노드 식별자 및 액세스 노드의 DSL(Digital Subscriber Line) 식별자. ACI(Agent Circuit Identifier) 문자열은 DHCP 트래픽에 대한 DHCP 메시지의 DHCP 옵션 82 필드 또는 PPPoE 트래픽에 대한 PPPoE PADI(Active Discovery Initiation) 및 PPPoE PADR(Active Discovery Request) 제어 패킷의 DSL Forum Agent-Circuit-ID VSA [26-1]에 저장됩니다.

  • Agent remote identifier(agent-remote-id) - 서비스 요청을 시작한 DSLAM(Digital Subscriber Line Access Multiplexer) 인터페이스의 가입자 식별자. 에이전트 원격 식별자(ARI) 문자열은 DHCP 트래픽의 경우 DHCP 옵션 82 필드, PPPoE 트래픽의 경우 DSL 포럼 에이전트 원격 ID VSA [26-2]에 저장됩니다.

  • 인터페이스 설명()interface-description - 인터페이스의 값입니다.

  • 인터페이스 텍스트 설명(interface-text-description) - 인터페이스의 텍스트 설명입니다. 인터페이스 텍스트 설명은 문 또는 set interfaces interface-name unit unit-number description description 문을 사용하여 set interfaces interface-name description description 별도로 구성됩니다

  • MAC 주소(mac-address) - 가입자에 대한 소스 디바이스의 MAC 주소입니다.

  • NAS identifier(nas-identifier) - 인증 또는 계정 요청을 시작한 NAS의 이름입니다. NAS-Identifier는 RADIUS IETF 속성 32입니다.

  • 스택형 VLAN (stacked-vlan)—스택형 VLAN ID입니다.

  • VLAN (vlan)—VLAN ID입니다.

둘 이상의 선택적 값으로 Calling-Station-ID의 형식을 구성하는 경우 해시 문자(#)는 라우터가 결과 Calling-Station-ID 문자열에서 연결된 값 사이의 구분 기호로 사용하는 기본 구분 기호입니다. 선택적으로 Calling-Station-ID가 사용할 대체 구분 기호 문자를 구성할 수 있습니다. 다음 예제에서는 여러 옵션 값을 구성할 때의 출력 순서를 보여줍니다.

Calling-Station-ID에 선택적 정보를 제공하도록 액세스 프로필을 구성하려면,

  1. 구성할 액세스 프로필을 지정합니다.
  2. RADIUS 옵션을 구성할 것인지 지정합니다.
  3. Calling-Station-ID에서 연결된 값 사이의 구분 기호로 사용할 기본이 아닌 문자를 지정합니다.

    기본적으로 가입자 관리는 두 개 이상의 선택적 값을 포함하는 Calling-Station-ID 문자열의 구분 기호로 해시 문자(#)를 사용합니다.

  4. 인증 및 계정 요청에 사용되는 NAS 식별자(RADIUS 속성 32)의 값을 구성합니다.
  5. Calling-Station-ID의 형식을 구성할 것인지 지정합니다.
  6. (선택 사항) Calling-Station-ID에 인터페이스 텍스트 설명을 포함합니다.
  7. (선택 사항) Calling-Station-ID에 인터페이스 설명 값을 포함합니다.
  8. (선택 사항) Calling-Station-ID에 에이전트 서킷 식별자를 포함합니다.
  9. (선택 사항) Calling-Station-ID에 에이전트 원격 식별자를 포함합니다.
  10. (선택 사항) Calling-Station-ID에 구성된 NAS 식별자 값을 포함합니다.
  11. (선택 사항) Calling-Station-ID에 스택된 VLAN ID를 포함합니다.
  12. (선택 사항) Calling-Station-ID에 VLAN ID를 포함합니다.
  13. (선택 사항) Calling-Station-ID에 MAC 주소를 포함합니다.

예: 액세스 프로필에 추가 옵션이 있는 Calling-Station-ID

다음 예에서는 NAS-Identifier(), 인터페이스 설명,fox Agent Circuit Identifier 및 Agent Remote Identifier 옵션을 포함하는 Calling-Station-ID 문자열을 구성하는 retailer01이라는 액세스 프로필을 생성합니다.

결과 Calling-Station-ID 문자열의 형식은 다음과 같습니다.

fox*ge-1/2/0.100:100*as007*ar921

어디:

  • NAS-Identifier 값은 입니다 fox.

  • Calling-Station-ID 구분 기호 문자는 (별표)입니다 * .

  • 인터페이스 설명 값은 입니다 ge-1/2/0.100:100.

  • 에이전트 서킷 식별자 값은 입니다 as007.

  • 에이전트 원격 식별자 값은 입니다 ar921.

모든 옵션이 구성되었지만 Agent-Circuit-ID, Agent-Remote-ID 또는 스택 VLAN 식별자에 사용할 수 있는 값이 없는 경우를 예로 들어 보겠습니다. 다른 값은 다음과 같습니다.

  • NAS 식별자—solarium

  • 인터페이스 설명 —ge-1/0/0.1073741824:101

  • 인터페이스 텍스트 설명—example-interface

  • MAC 주소—00:00:5E:00:53:00

  • VLAN 식별자—101

이러한 값은 다음과 같은 Calling-Station-ID를 생성합니다.

RADIUS 메시지에서 RADIUS 속성 및 VSA 필터링

RADIUS 메시지에서 수신된 표준 속성 및 VSA(벤더별 속성)는 내부적으로 프로비저닝된 속성 값보다 우선합니다. 속성 필터링은 Access Accept 패킷에서 수신된 특정 속성을 무시 하고 RADIUS 서버로 전송되지 않도록 특정 속성을 제외 하는 것으로 구성됩니다. RADIUS 서버에서 수신한 속성을 무시하면 로컬로 프로비저닝된 값을 대신 사용할 수 있습니다. 예를 들어 구독자의 수명 동안 변경되지 않는 속성의 경우 전송에서 특성을 제외하는 것이 유용합니다. 정보 손실 없이 패킷 크기를 줄일 수 있습니다.

표준 RADIUS 속성 및 VSA를 지정할 수 있으며 라우터나 스위치는 RADIUS Access-Accept 메시지에서 수신될 때 이러한 속성과 VSA를 무시합니다. 또한 라우터나 스위치가 지정된 RADIUS 메시지 유형에서 제외 하는 속성과 VSA를 지정할 수도 있습니다. 제외는 라우터 또는 스위치가 RADIUS 서버로 전송하는 지정된 메시지에 해당 속성을 포함하지 않음을 의미합니다.

Junos OS 릴리스 18.1R1부터는 표준 속성 번호 또는 IANA 할당 벤더 ID 및 VSA 번호를 각각 지정하여 RADIUS 표준 속성 및 VSA를 무시하거나 제외하도록 라우터 또는 스위치를 구성할 수 있습니다. 이 유연한 구성 방법을 사용하면 플랫폼에서 지원하는 모든 표준 속성과 VSA를 무시하거나 제외하도록 구성할 수 있습니다. 지원되지 않는 특성, 벤더 및 VSA를 구성하는 경우에는 구성이 적용되지 않습니다.

레거시 방법을 사용하면 문 구문에 특정 옵션이 포함된 속성 및 VSA만 구성할 수 있습니다. 따라서 레거시 메서드를 사용하여 Access-Accept 메시지에서 받을 수 있는 모든 특성의 하위 집합만 무시할 수 있습니다.

라우터 또는 스위치에서 무시되거나 제외된 속성을 구성하려면 다음을 수행합니다.

  1. 액세스 프로필에서 RADIUS를 구성할 것인지 지정합니다.
  2. RADIUS 속성이 필터링되는 방법을 구성할 것인지 지정합니다.
  3. (선택 사항) 하나 이상의 속성을 지정하여 해당 속성이 Access-Accept 메시지에 있을 때 라우터나 스위치가 무시하도록 합니다.

    • 레거시 방법: 속성에 대한 전용 옵션 지정:

    • 유연한 방법: 표준 특성 번호 또는 IANA에서 할당한 공급업체 ID 및 VSA 번호를 지정합니다.

  4. (선택 사항) 라우터나 스위치가 하나 이상의 지정된 RADIUS 메시지 유형에서 제외할 속성을 구성합니다. 특성 목록을 구성할 수는 없지만 각 특성에 대한 메시지 유형 목록을 지정할 수 있습니다.

    • 레거시 방법: 속성 및 메시지 유형에 대한 전용 옵션 지정:

    • 유연한 방법: 표준 특성 번호 또는 IANA에서 할당한 공급업체 ID, VSA 번호 및 메시지 유형을 지정합니다.

다음 예는 표준 RADIUS 속성인 Framed-IP-Netmask(9)와 주니퍼 네트웍스 VSA, Ingress-Policy-Name(26-10) 및 Egress-Policy-Name(26-11)을 무시하기 위한 레거시 및 유연한 구성 방법을 비교합니다.

  • 레거시 방법:

  • 유연한 방법:

다음 예는 레거시 및 유연한 구성 방법을 비교하여 표준 RADIUS 속성인 Framed-IP-Netmask(9)와 주니퍼 네트웍스 VSA, Ingress-Policy-Name(26-10) 및 Egress-Policy-Name(26-11)을 제외합니다.

  • 레거시 방법:

  • 유연한 방법: 표준 특성 번호 또는 IANA에서 할당한 공급업체 ID, VSA 번호 및 메시지 유형을 지정합니다.

동일한 프로필에서 두 가지 방법을 모두 사용하여 속성을 지정하면 어떻게 됩니까? 효과적인 구성은 두 가지 방법의 논리적 OR입니다. 표준 속성인 accounting-delay-time (41)에 대해 다음 예를 고려하십시오.

그 결과 이 속성은 네 가지 메시지 유형(Accounting-Off, Accounting-On, Accounting-Start 및 Accounting-Stop)에서 모두 제외됩니다. 효과는 다음 구성 중 하나를 사용하는 경우와 동일합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
18.1R1 시리즈
Junos OS 릴리스 18.1R1부터는 표준 속성 번호 또는 IANA 할당 벤더 ID 및 VSA 번호를 각각 지정하여 RADIUS 표준 속성 및 VSA를 무시하거나 제외하도록 라우터 또는 스위치를 구성할 수 있습니다.