Protocolo base de diámetro
Descripción general del protocolo de base de diámetro
El protocolo Diameter se define en RFC 3588, Diameter Base Protocol, y proporciona una alternativa a RADIUS que es más flexible y extensible. El protocolo base Diameter proporciona servicios básicos a una o más aplicaciones (también denominadas funciones) que se ejecutan en una instancia de Diameter diferente. La aplicación individual proporciona la funcionalidad AAA extendida. Las aplicaciones que usan Diameter incluyen Gx-Plus, JSRC, NASREQ, PTSP y S6a. A partir de Junos OS versión 13.1R1, ya no se admite la función de control de políticas y suscriptores activados por paquetes (PTSP).
Los pares de diámetro se comunican a través de una conexión confiable de capa de transporte TCP mediante el intercambio de mensajes de diámetro que transmiten estado, solicitudes y confirmaciones por medio de AVP de diámetro estándar y AVP específicos de la aplicación. La configuración de la capa de transporte de diámetro se basa en elementos de red de diámetro (DNE); se admiten varios DNE por instancia de Diámetro. Actualmente, solo se admite la instancia maestra de diámetro predefinida, pero puede configurar valores alternativos para muchos de los valores de instancia de diámetro maestro.
Cada DNE consta de una lista priorizada de pares y un conjunto de rutas que definen cómo se reenvía el tráfico. Cada ruta asocia un destino con una función (aplicación), una partición de función y una métrica. Cuando una aplicación envía un mensaje a un destino enrutado, se examinan todas las rutas dentro de la instancia del protocolo Diameter para una coincidencia. Cuando se ha seleccionado la mejor ruta al destino, el mensaje se reenvía mediante el DNE que incluye esa ruta.
Pueden existir múltiples rutas al mismo destino dentro de un DNE dado y en diferentes DNE. En el caso de varias rutas que coincidan con una solicitud de reenvío, la mejor ruta se selecciona de la siguiente manera:
Se selecciona la ruta con la métrica más baja.
En caso de empate, se selecciona la ruta con la puntuación de especificación más alta.
En caso de otro empate, los nombres de los DNE se comparan en orden lexicográfico. Se selecciona la ruta en el DNE con el valor más bajo. Por ejemplo, dne-austin tiene un valor menor que dne-boston.
Si las rutas están vinculadas dentro del mismo DNE, los nombres de las rutas se comparan en orden lexicográfico. Se selecciona la ruta con el valor más bajo.
La puntuación de especificación de una ruta es 0 de forma predeterminada. Los puntos se agregan a la puntuación de la siguiente manera:
Si el dominio de destino coincide con la solicitud, agregue 1.
Si el host de destino coincide con la solicitud, agregue 2.
Si la función coincide con la solicitud, agregue 3.
Si la partición de función coincide con la solicitud, agregue 4.
Pueden existir múltiples rutas al mismo destino dentro de un DNE dado y en diferentes DNE. En el caso de varias rutas que coincidan con una solicitud de reenvío, Diameter selecciona la mejor ruta de la siguiente manera:
Diámetro compara la métrica de las rutas y selecciona la ruta con la métrica más baja.
Si varias rutas tienen la misma métrica más baja, Diámetro selecciona la ruta más calificada. Diameter evalúa varios atributos de la ruta para determinar una puntuación que refleje cuán específicamente cada ruta coincide con la solicitud. De forma predeterminada, la puntuación de una ruta es 0. Los puntos se agregan a la puntuación de la siguiente manera:
Si el dominio de destino coincide con la solicitud, agregue 1.
Si el host de destino coincide con la solicitud, agregue 2.
Si la función coincide con la solicitud, agregue 3.
Si la partición de función coincide con la solicitud, agregue 4.
Si varias rutas están igualmente calificadas, Diámetro compara los nombres de los DNE en orden lexicográfico y selecciona la ruta en el DNE que tiene el valor más bajo. Por ejemplo, dne-austin tiene un valor menor que dne-boston.
Si las rutas están vinculadas dentro del mismo DNE, Diámetro compara los nombres de ruta en orden lexicográfico y selecciona la ruta con el valor más bajo.
Cuando cambia el estado de cualquier DNE, se reevalúa la búsqueda de ruta para todos los destinos. Todos los mensajes pendientes a destinos enrutados se redirigen según sea necesario o se descartan.
Para configurar un elemento de red Diameter, incluya la network-element instrucción en el nivel de [edit diameter] jerarquía y, a continuación, incluya la route instrucción en el nivel de [edit diameter network-element element-name forwarding] jerarquía.
Para configurar una ruta para el DNE, incluya las destination instrucciones (opcional), function (opcional) y metric en el nivel de [edit diameter network-element element-name forwarding route dne-route-name] jerarquía.
Especifique los pares de diámetro asociados a la DNE incluyendo una o varias peer instrucciones en el nivel de [edit diameter network-element element-name] jerarquía.
Establezca la prioridad para cada par con la priority instrucción en el nivel jerárquico [edit diameter network-element element-name peer peer-name] .
Diameter requiere que configure información sobre el nodo de origen; este es el nodo de punto de enlace que origina Diameter para la instancia de Diameter. Incluya las host instrucciones y realm en el nivel de [edit diameter] jerarquía para configurar el origen del diámetro.
Opcionalmente, puede configurar uno o varios transportes para especificar la dirección de origen (local) de la conexión de la capa de transporte. Para configurar un transporte de diámetro, incluya la transport instrucción en el nivel de [edit diameter] jerarquía. A continuación, incluya la address instrucción en el nivel jerárquico [edit diameter transport transport-name] .
Opcionalmente, puede especificar un sistema lógico y una instancia de enrutamiento para la conexión incluyendo las logical-system instrucciones y routing-instance en el nivel de [edit diameter transport transport-name] jerarquía. De forma predeterminada, Diameter utiliza el sistema lógico predeterminado y la instancia de enrutamiento predeterminada (mediante la tabla de enrutamiento inet.0 principal). El sistema lógico y la instancia de enrutamiento de la conexión de transporte deben coincidir con las del par o se notificará un error de configuración.
Cada par de diámetro se especifica mediante un nombre. Los atributos del mismo nivel incluyen la dirección y el puerto TCP de destino utilizado por las conexiones activas a este par. Para configurar un par Diameter, incluya la peer instrucción en el nivel de [edit diameter] jerarquía y, a continuación, incluya las address instrucciones y connect-actively en el nivel de [edit diameter peer peer-name] jerarquía.
Para configurar la conexión activa, incluya las port instrucciones y transport en el nivel de [edit diameter peer peer-name connect-actively] jerarquía. El transporte asignado identifica la dirección de origen de la capa de transporte utilizada para establecer conexiones activas con los pares. transport Declaraciones.
Beneficios de usar el diámetro
Diameter permite una carga menor en la red y los servidores al informar la información de uso a una frecuencia mucho menor en comparación con RADIUS. RADIUS implica actualizaciones periódicas independientes de los cambios de uso. Las aplicaciones de diámetro, como Gx, le permiten establecer umbrales con empujes correlacionados de estadísticas de uso desde el enrutador hasta la PCRF. El PCRF puede entonces hacer los ajustes apropiados a los servicios y costos.
Los servicios inalámbricos y la carga se realizan normalmente con aplicaciones de Diameter, pero los servicios alámbricos generalmente han utilizado una infraestructura basada en RADIUS. Los clientes con ofertas alámbricas e inalámbricas pueden reducir la complejidad y el costo de mantener infraestructuras separadas migrando sus operaciones alámbricas a su infraestructura inalámbrica existente basada en Diameter.
Las aplicaciones que se ejecutan sobre Diameter tienden a tener estado (algunas pueden serlo, como NASREQ), mientras que RADIUS no tiene estado.
Múltiples protocolos de aplicación pueden ejecutarse sobre Diameter, como NASREQ, Gx, Gy, JSRC y S6a.
Espacio de atributos mayor que RADIUS, lo que permite un mayor número de atributos estándar y específicos del proveedor (AVP) que RADIUS. Diameter también admite los atributos estándar RADIUS, reservando AVP del 1 al 255 para ellos.
Mensajes utilizados por las aplicaciones de Diameter
Junos OS es compatible con las siguientes aplicaciones de Diameter:
JSRC: una aplicación de diámetro de Juniper Networks registrada en la IANA (http://www.iana.org) como Juniper Policy-Control-JSRC, con un ID de 16777244. Se comunica con el SAE (par SRC remoto).
PTSP: una aplicación de diámetro de Juniper Networks registrada en la IANA (http://www.iana.org) como Juniper JGx, con un ID de 16777273. Se comunica con el SAE (par SRC remoto). A partir de Junos OS versión 13.1R1, ya no se admite la función de control de políticas y suscriptores activados por paquetes (PTSP).
Gx-Plus: una aplicación que extiende la interfaz 3GPP Gx para casos de uso alámbricos. 3GPP Gx está registrado en la IANA (http://www.iana.org). Se comunica con un PCRF.
Si los datos de un AVP particular incluido en un mensaje no están disponibles para el enrutador, Gx-Plus simplemente omite el AVP del mensaje que envía al PCRF. Si el PCRF determina que no tiene información suficiente para tomar una determinación, puede denegar la solicitud. Los mensajes de respuesta de Diameter incluyen el código de resultado AVP (AVP 268); los valores de este AVP transmiten éxito, fracaso o errores al solicitante.
NASREQ: protocolo de autenticación, autorización y contabilidad basado en diámetro definido en RFC 7155. Junos OS solo admite autenticación y autorización.
Juniper Networks también registró la aplicación Juniper-Session-Recovery (16777296) y dos nuevos códigos de comando (8388628 para Juniper-Session-Events y 8388629 para Juniper-Session-Discovery) ante la IANA (http://www.iana.org).
La Tabla 1 describe los mensajes de diámetro que utilizan las aplicaciones.
Mensaje de diámetro |
Código |
Aplicación |
Descripción |
|---|---|---|---|
Solicitud AA (AAR) |
265 |
JSRC, NASREQ, PTSP |
Solicitud desde la aplicación a la SAE en el inicio de sesión del nuevo suscriptor o durante la sincronización de la aplicación SAE. La solicitud puede ser de tres tipos: autorización de dirección, solicitud de aprovisionamiento o sincronización. |
Respuesta AA (AAA) |
265 |
JSRC, NASREQ, PTSP |
Respuesta de la SAE al mensaje AA-Request de la aplicación. |
Solicitud de cancelación de sesión (ASR) |
274 |
JSRC, NASREQ, PTSP |
Solicitud de la SAE a la aplicación para cerrar la sesión de un suscriptor aprovisionado. |
Abortar-sesión-respuesta (ASA) |
274 |
JSRC, NASREQ, PTSP |
Respuesta de la aplicación al mensaje ASR de la SAE. Si la aplicación envía la solicitud de cierre de sesión a AAA, el mensaje ASA incluye una notificación de éxito (ACK). Si se produjo un error en el cierre de sesión, el mensaje ASA incluye una notificación de error (NAK). |
Solicitud de contabilidad (ACR) |
271 |
JSRC, PTSP |
Solicitud del SAE a la aplicación o de la aplicación al SAE para estadísticas. |
Contabilidad-Respuesta (ACA) |
271 |
JSRC, PTSP |
Respuesta al mensaje de ACR para proporcionar estadísticas para cada directiva (servicio) instalada. |
Solicitud de intercambio de capacidad (CER) |
257 |
Gx-Plus |
Solicitud de un par a otro cuando los pares establecen una conexión de transporte; Inicia la negociación de capacidades. El CER anuncia la identidad y las capacidades del par, como las aplicaciones y los mecanismos de seguridad compatibles. |
Respuesta de intercambio de capacidad (CEA) |
257 |
Gx-Plus |
Respuesta al mensaje de CER para anunciar las capacidades de este par. Si este par no tiene capacidades en común con el par que envió el CER, entonces debe establecer el AVP del código de resultado en DIAMETER_NO_COMMON_APPLICATION y debe interrumpir la conexión. De lo contrario, los detalles de CEA establecen capacidades comunes entre los pares y les permiten establecer aún más la comunicación. |
Solicitud de Control de Crédito (CCR) |
272 |
Gx-Plus |
Solicitud de Gx-Plus al PCRF al iniciar sesión, cerrar sesión o actualizar del suscriptor. Se envía una solicitud inicial (CCR-I) cuando un suscriptor inicia sesión y se solicita AAA para activar la sesión del suscriptor. Gx-Plus reintenta el mensaje CCR-I si no se recibe un mensaje CCA-I del PCRF en 10 segundos. El mensaje CCR-I se vuelve a intentar hasta 3 veces. El mensaje CCR-I incluye el atributo Diameter AVP Subscription-Id (443) con el subatributo AVP Subscription-Id-Type Diameter (450) establecido en 4 (END_USER_PRIVATE) y el subatributo AVP Subscription-Id-Data Diameter (444) establecido en Si no se recibe CCA-I después de que se hayan enviado los 4 mensajes CCR-I (el primer mensaje más 3 reintentos), Gx-Plus comienza a enviar mensajes CCR-N. Los mensajes CCR-N se vuelven a intentar para siempre hasta que se recibe una respuesta de éxito o falla del PCRF. Los mensajes CCR-N incluyen el AVP de Juniper-Provisioning-Source (código AVP 2101) establecido en local para notificar al PCRF que el enrutador tiene la autoridad para tomar una decisión local con respecto a la activación del servicio de suscriptor. Se envía un mensaje de solicitud de actualización (CCR-U) cuando se alcanza un umbral de uso. El CCR-U informa el uso real de todas las estadísticas. El PCRF puede devolver un mensaje CCA-U que incluye nuevos umbrales de monitoreo, activaciones de servicio, desactivaciones de servicio. Si se agota el tiempo de espera del PCRF en el informe CCR-U, el enrutador establece el umbral predeterminado en 10 minutos. Cuando el cambio en los valores de umbral es menor que el mínimo, los valores se ajustan a los mínimos. Por ejemplo, el aumento mínimo para la duración es de 10 minutos. También se envía un CCR-U para informar el estado de activación o desactivación del servicio. Cuando un servicio monitoreado se desactiva separadamente de un cierre de sesión del suscriptor, el CCR-U indica que el servicio ya no está activo e incluye los datos de uso del servicio. Se envía una solicitud de terminación (CCR-T) al cerrar sesión del suscriptor para informar al PCRF que se está terminando una sesión de suscriptor aprovisionada. Los mensajes CCR-T se vuelven a intentar para siempre hasta que se recibe una respuesta exitosa del PCRF. Cuando se desactiva un servicio supervisado como parte del cierre de sesión del suscriptor, el mensaje CCR-T incluye datos de uso supervisados para el servicio, como los bytes utilizados. |
Crédito-Control-Respuesta (CCA) |
272 |
Gx-Plus |
Respuesta del PCRF a un mensaje CCR. En respuesta a un CCR-I, el PCRF devuelve un mensaje CCA-I que indica éxito (DIAMETER_SUCCESS) o fracaso (AUTORIZACIÓN DE DIÁMETRO RECHAZADA) dependiendo de si el suscriptor tiene suficiente crédito por los servicios solicitados. Todas las demás respuestas son ignoradas y el CCR-I es juzgado de nuevo. En respuesta a un CCR-T, el PCRF devuelve un mensaje CCA-T que indica una terminación exitosa con un valor de 2001 (DIAMETER SUCCESS) en el AVP del código de resultado. Todas las demás respuestas se ignoran y se vuelve a intentar el CCR-T. Un CCA-N es una respuesta a un CCR-N. |
Juniper-Session-Discovery-Request (JSDR) |
8388629 |
Gx-Plus |
Solicitud de descubrimiento del PCRF a Gx-Plus para descubrir sesiones de suscriptor en el router. |
Juniper-Session-Discovery-Answer (JSDA) |
8388629 |
Gx-Plus |
Responder desde el enrutador a un mensaje JSDR; Describe la información de la sesión. El AVP del código de resultado incluye uno de los siguientes valores o un valor de error:
|
Juniper-Session-Event-Request (JSER) |
8388628 |
Gx-Plus |
Solicitud del enrutador a PCRF con respecto a eventos que tienen lugar en el enrutador. Notifica al PCRF ciertos eventos en el enrutador mediante la inclusión del AVP Juniper-Event-Type (código AVP 2103). Los eventos reportados incluyen arranques fríos o calientes, solicitudes de descubrimiento explícitas, cambios sustanciales de configuración, respuesta de falta de respuesta o error de PCRF, y agotamiento de los recursos tolerantes a fallas. |
Juniper-sesión-evento-respuesta (JSEA) |
8388628 |
Gx-Plus |
Respuesta de PCRF a un mensaje JSER. |
Push-Profile-Request (PPR) |
288 |
JSRC, PTSP |
Solicitud de la SAE al enrutador para activar o desactivar servicios para un suscriptor. |
Push-Profile-Answer (PPA) |
288 |
JSRC, PTSP |
Respuesta del enrutador al mensaje PPR de la SAE. Incluye una notificación de éxito o error para cada uno de los comandos de activación o desactivación del servicio de la solicitud. |
Solicitud de reautenticación (RAR) |
258 |
Gx-Plus |
Solicitud de auditoría del PCRF al enrutador para determinar si un suscriptor específico todavía está presente. El enrutador actualiza la clave de supervisión y los valores de umbral cuando se reciben en el RAR. |
Re-Auth-Answer (RAA) |
258 |
Gx-Plus |
Responder desde el enrutador a un mensaje RAR; Indica si el suscriptor está activo. El AVP del código de resultado incluye uno de los siguientes valores:
|
Consulta de recursos de sesión (SRQ) |
277 |
JSRC, PTSP |
Solicitud del enrutador a la SAE o de la SAE al enrutador para iniciar la sincronización entre el enrutador y la SAE. |
Sesión-Recursos-Respuesta (SRR) |
277 |
JSRC, PTSP |
Respuesta al mensaje SRQ para iniciar la sincronización. |
Solicitud de terminación de sesión (STR) |
275 |
JSRC, NASREQ, PTSP |
Notificación desde el enrutador a la SAE de que un suscriptor aprovisionado ha cerrado sesión. |
Sesión-terminación-respuesta (STA) |
275 |
JSRC, NASREQ, PTSP |
Respuesta de la SAE al mensaje STR del enrutador. Incluye notificación de éxito o error. |
AVP de diámetro y aplicaciones de diámetro
Diameter transmite información mediante la inclusión de varios pares atributo-valor (AVP) en los mensajes de Diámetro, de la misma manera que RADIUS transmite información tanto en atributos RADIUS IETF estándar como en atributos específicos del proveedor (VSA). En la Tabla 2 se enumeran los AVP de diámetro estándar utilizados en las interacciones con las aplicaciones de diámetro compatibles. Diameter reserva los números de atributo AVP del 0 al 255 para los atributos RADIUS que se implementan en Diameter; los números de atributo Diameter son los mismos que para los atributos RADIUS estándar correspondientes. Los atributos numerados superiores a 255 no tienen un atributo RADIUS estándar correspondiente. A partir de Junos OS versión 13.1R1, ya no se admite la función de control de políticas y suscriptores activados por paquetes (PTSP).
Número de atributo |
Diámetro AVP |
Aplicación |
Descripción |
Tipo |
|---|---|---|---|---|
1 |
Nombre de usuario |
Gx-Plus, JSRC, NASREQ |
Especifica el nombre de usuario. Para un suscriptor administrado por AAA, el valor es el nombre de inicio de sesión del suscriptor. Para una interfaz estática, el valor es el nombre de la interfaz, que se utiliza como nombre de inicio de sesión del suscriptor. |
UTF8String |
2 |
Contraseña de usuario |
NASREQ |
Especifica la contraseña del usuario que se va a autenticar o la entrada del usuario en un intercambio de autenticación de varias rondas. |
OctetString |
4 |
Dirección IP del NAS |
NASREQ |
Especifica la dirección IP del NAS que autentica al usuario. |
Dirección IPAddress |
6 |
Tipo de servicio |
NASREQ |
Especifica el tipo de servicio que el usuario ha solicitado o el tipo de servicio que se va a proporcionar. Uno de estos AVP puede estar presente en una solicitud o respuesta de autenticación o autorización. No se requiere un NAS para implementar todos estos tipos de servicio. |
Enumerados |
8 |
Dirección IP enmarcada |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica la dirección IPv4 configurada para el suscriptor. Este es el mismo valor que para el atributo RADIUS Framed-IP-Address [8]. |
OctetString |
9 |
Máscara de red IP enmarcada |
NASREQ |
Identifica los cuatro octetos de la máscara de red IPv4. |
OctetString |
11 |
ID de filtro |
NASREQ |
Especifica el nombre de la lista de filtros de un usuario. Está destinado a ser legible por humanos. Se pueden enviar cero o más AVP de ID de filtro en un mensaje de respuesta de autorización. |
UTF8String |
12 |
MTU enmarcada |
NASREQ |
Especifica la unidad de transmisión máxima (MTU) que se va a configurar para el usuario, cuando no se negocia por algún otro medio (como PPP). |
Sin firmar32 |
22 |
Ruta enmarcada |
NASREQ |
Especifica la información de enrutamiento US-ASCII de 7 bits. |
UTF8String |
25 |
Clase |
NASREQ |
Devuelve información de estado de un servidor de Diameter al dispositivo de acceso. |
OctetString |
27 |
Tiempo de espera de sesión |
NASREQ |
Especifica el número máximo de segundos de servicio proporcionado al usuario antes de la finalización de la sesión. |
Sin firmar32 |
28 |
Tiempo de espera de inactividad |
NASREQ |
Especifica el número máximo de segundos consecutivos de conexión inactiva permitidos al usuario antes de que finalice la sesión o antes de que se emita un mensaje. |
Sin firmar32 |
32 |
Identificador NAS |
NASREQ |
Especifica la identidad del NAS que proporciona el servicio al usuario. |
DiamIdent |
44 |
Acct-Session-ID |
NASREQ |
Especifica el contenido del atributo RADIUS Acct-Session-Id. |
OctetString |
50 |
acct-multisesión-id |
NASREQ |
Vincula varias sesiones de contabilidad relacionadas, donde cada sesión tiene un ID de sesión único pero el mismo AVP Acct-Multi-Session-Id. |
UTF8String |
55 |
Marca de tiempo del evento |
Gx-Plus, JSRC, PTSP |
Especifica la hora del evento que desencadenó el mensaje en el que se incluye este AVP. La hora se indica en segundos desde el 1 de enero de 1900, 00:00 UTC. |
Hora |
60 |
Desafío CHAP |
NASREQ |
Especifica el desafío del Protocolo de autenticación por desafío mutuo (CHAP) PPP enviado por el NAS al par CHAP. |
OctetString |
61 |
Tipo de puerto NAS |
NASREQ |
Especifica el tipo de puerto en el que el NAS autentica al usuario. |
Enumerados |
62 |
Límite de puerto |
NASREQ |
Especifica el número máximo de puertos que el NAS proporciona al usuario. |
Sin firmar32 |
78 |
Token de configuración |
NASREQ |
Indica el tipo de perfil de usuario utilizado. |
OctetString |
85 |
Acct-Interim-Interval |
JSRC, PTSP |
Especifica el número de segundos entre cada actualización provisional de contabilidad para esta sesión. El enrutador utiliza las siguientes directrices para la contabilidad provisional:
|
Sin firmar32 |
87 |
ID de puerto NAS |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica el puerto del NAS que autentica al usuario. Este es el mismo valor que para el atributo RADIUS NAS-Port-Id [87]. |
UTF8String |
88 |
Piscina enmarcada |
NASREQ |
Especifica el nombre de un grupo de direcciones asignado que se usará para asignar una dirección para el usuario. Si un NAS no admite varios grupos de direcciones, el NAS ignora este AVP. Los grupos de direcciones generalmente se usan para direcciones IP, pero se pueden usar para otros protocolos si el NAS admite grupos para esos protocolos. |
OctetString |
97 |
Prefijo IPv6 enmarcado |
NASREQ |
Especifica el prefijo IPv6 configurado para el usuario. |
OctetString |
99 |
Ruta IPv6 enmarcada |
NASREQ |
Especifica la información de enrutamiento US-ASCII configurada para el usuario en el NAS. |
UTF8String |
100 |
Conjunto IPv6 enmarcado |
NASREQ |
Especifica el nombre de un grupo asignado que se usará para asignar un prefijo IPv6 para el usuario. Si el dispositivo de acceso no admite varios grupos de prefijos, debe ignorar este AVP. |
OctetString |
258 |
Auth-Application-ID |
NASREQ |
Especifica la compatibilidad con la parte de autenticación y autorización de una aplicación. |
Sin firmar32 |
263 |
ID de sesión |
Gx-Plus, JSRC, NASREQ, PTSP |
Especifica el identificador de sesión del suscriptor. El enrutador asigna el valor para identificar de forma exclusiva una sesión de suscriptor. |
UTF8String |
264 |
Origen-Host |
NASREQ |
Especifica el host que origina un mensaje de diámetro. |
DiamIdent |
268 |
Código de resultado |
Gx-Plus, JSRC, NASREQ, PTSP |
Indica si una solicitud se completó correctamente. Proporciona un código de error si se produjo un error en la solicitud. Diameter reconoce las siguientes clases:
Las clases no reconocidas, que comienzan con los números 6–9 o 0, se manejan como fallas permanentes. JSRC y PTSP admiten los siguientes valores; Todos los valores de no éxito se tratan como fracasos permanentes:
JSRC también admite el siguiente valor, que se trata como un error permanente:
Gx-Plus admite los siguientes valores para errores en una respuesta PCRF; Cuando se reciben estos valores o la respuesta está mal formada o irreconocible, se vuelve a intentar la solicitud.
|
Sin firmar32 |
269 |
Nombre del producto |
Gx-Plus |
Especifica el valor del campo Nombre del producto en los mensajes Solicitud de intercambio de capacidad (CER) y Respuesta de intercambio de capacidad (CEA). El valor siempre es JUNOS a menos que se configure un nombre diferente con la Si cambia el nombre del producto, el enrutador desconecta todas las conexiones existentes a los pares de diámetro y se vuelve a conectar con el nuevo nombre. |
UTF8String |
277 |
Auth-Session-State |
JSRC, NASREQ, PTSP |
Indica si se mantiene el estado de sesión AAA.
|
Enumerados |
279 |
AVP fallido |
NASREQ |
Especifica la información de depuración en los casos en que una solicitud se rechaza o no se procesa completamente debido a información errónea en un AVP específico. El valor del AVP del código de resultado proporciona información sobre el motivo del AVP con error en el AVP. |
Agrupados |
281 |
Mensaje de error |
NASREQ |
Especifica un mensaje de error legible que puede acompañar a un AVP de código de resultado. El AVP de mensaje de error no está pensado para ser útil en tiempo real; No espere que las entidades de red analicen el mensaje. |
UTF8String |
283 |
Reino de destino |
NASREQ |
Especifica el dominio Diámetro al que se enruta el mensaje Diámetro. |
DiamIdent |
293 |
Destino-Host |
NASREQ |
Especifica el host al que se enruta un mensaje de Diammer. |
DiamIdent |
295 |
Causa de terminación |
JSRC, NASREQ, PTSP |
Indica el motivo por el que se terminó una sesión en el dispositivo de acceso.
|
Enumerados |
296 |
Origen-Reino |
NASREQ |
Identifica el dominio Diameter del originador de un mensaje Diameter. |
DiamIdent |
402 |
Autenticación CHAP |
NASREQ |
Especifica la información necesaria para autenticar a un usuario mediante CHAP. |
Agrupados |
415 |
Número de solicitud CC |
Gx-Plus |
Identifica una solicitud dentro de una sesión. La combinación de Session-Id y CC-Request-Type es única a nivel mundial. El número se incrementa para cada solicitud durante el transcurso de una sesión. El número se restablece cuando se produce un evento de alta disponibilidad del enrutador. |
Sin firmar32 |
416 |
CC-Request-Type |
Gx-Plus |
Especifica el tipo de solicitud de control de crédito:
|
Enumerados |
431 |
Unidad de Servicio Otorgado |
Gx-Plus |
Contiene la cantidad que se puede proporcionar de una o más de las siguientes unidades solicitadas especificadas por el cliente: CC-Input-Octets, CC-Output-Octets, CC-Time o CC-Total-Octets. Incluido en los mensajes CCA-I, y puede incluirse en los mensajes CCA-U. |
Agrupados |
443 |
ID de suscripción |
Gx-Plus |
Contiene los siguientes subatributos que no aparecen solos:
|
Agrupados |
446 |
Unidad de servicio usada |
Gx-Plus |
Contiene la cantidad de unidades solicitadas que se han utilizado realmente; medido a partir de 4 cuando se activa el servicio. Las unidades son una o más de las siguientes unidades solicitadas especificadas por el cliente: CC-Input-Octets, CC-Output-Octets, CC-Time o CC-Total-Octets. Incluido en los mensajes de CCR-U. |
Agrupados |
480 |
Tipo de registro contable |
JSRC, PTSP |
Especifica el tipo de registro de cuenta para la contabilidad de servicio:
|
Enumerados |
1001 |
Regla de carga-instalación |
Gx-Plus, NASREQ |
Solicita la instalación de la regla (activación del servicio) designada por el AVP (1005) de la regla de carga incluido. Este AVP tiene un identificador de proveedor de 10415 (3GPP). |
Agrupados |
1002 |
Carga-Reglas-Eliminar |
Gx-Plus |
Solicita la eliminación de la regla (desactivación del servicio) designada por el AVP (1005) de la regla de cobro incluido. Este AVP tiene un identificador de proveedor de 10415 (3GPP). |
Agrupados |
1005 |
Nombre de la regla de carga |
Gx-Plus, NASREQ |
Especifica el nombre de una regla específica que se ha instalado, modificado o quitado. |
OctetString |
1066 |
Clave de monitoreo |
Gx-Plus |
Especifica cuál de las estructuras de supervisión se va a usar. Incluido en el AVP de instalación de reglas de carga (1001). El enrutador MX no admite la agregación de estadísticas entre servicios, por lo que el valor de este AVP debe ser diferente para cada servicio. Este AVP tiene un identificador de proveedor de 10415 (3GPP). |
OctetString |
1067 |
Información de monitoreo de uso |
Gx-Plus |
Establece umbrales de supervisión. Cuando las estadísticas de servicio coinciden con al menos uno de los valores de servicio otorgados, el enrutador envía un informe CCR-U con las estadísticas actuales al PCRF. Incluye el AVP de clave de supervisión (1066) y el AVP de unidad de servicio otorgado (431). Este AVP tiene un identificador de proveedor de 10415 (3GPP). |
Agrupados |
Los AVP de Juniper Networks se utilizan además de los AVP de diámetro estándar. Estos AVP tienen un ID de proveedor (número de empresa) de 2636 o 4874 y son similares en concepto a los atributos específicos del proveedor (VSA) de RADIUS. En la Tabla 3 se enumeran los AVP de Juniper Networks que utilizan las aplicaciones Diameter compatibles.
Número de atributo |
Diámetro AVP |
ID de proveedor |
Aplicación |
Descripción |
Tipo |
|---|---|---|---|---|---|
213 |
Interfaz-Set-Targeting-Weight |
4874 |
NASREQ |
Especifique una ponderación de un conjunto de interfaces para asociarlo y sus vínculos miembro a un vínculo miembro de Ethernet agregado para la distribución de destino. |
Sin firmar32 |
214 |
Interfaz-Targeting-Weight |
4874 |
NASREQ |
Especifique una ponderación para una interfaz a fin de asociarla a un conjunto de interfaces y, por lo tanto, al vínculo miembro Ethernet agregado del conjunto para la distribución de destino. Cuando un conjunto de interfaces no tiene un peso, se utiliza para el conjunto el valor de peso de interfaz de la primera interfaz de suscriptor autorizada. |
Sin firmar32 |
2004 |
Juniper-Service-Bundle |
2636 |
JSRC |
Especifica el nombre del paquete de servicios. |
OctetString |
2010 |
Opciones de DHCP de Juniper |
2636 |
JSRC |
Especifica las opciones DHCP del cliente. |
OctetString |
2011 |
Juniper-DHCP-GI-Address |
2636 |
JSRC |
Especifica la dirección IP del agente de retransmisión DHCP. |
OctetString |
2020 |
Juniper-Policy-Install |
2636 |
JSRC, PTSP |
Especifica las directivas que se activarán para el suscriptor. Incluye Juniper-Policy-Name y Juniper-Policy-Definition |
Agrupados |
2021 |
nombre-de-política de juniper |
2636 |
JSRC, PTSP |
Define el nombre de una decisión de directiva. |
OctetString |
2022 |
Definición de políticas de Juniper |
2636 |
JSRC, PTSP |
Define una decisión de política. Incluye juniper-policy-name, juniper-template-name y juniper-substitution. |
Agrupados |
2023 |
Juniper-Template-Name |
2636 |
JSRC, PTSP |
Especifica el nombre de perfil definido por el enrutador. PTSP solo admite la plantilla de |
UTF8String |
2024 |
Sustitución de Juniper |
2636 |
JSRC, PTSP |
Define los atributos de sustitución. Incluye Juniper-substitution-name y juniper-substitution-value. |
OctetString |
2025 |
Juniper-Substitution-Name |
2636 |
JSRC, PTSP |
Define el nombre de la variable que se va a reemplazar. |
OctetString |
2026 |
Juniper-Substitution-Value |
2636 |
JSRC, PTSP |
Define el valor de la variable que se va a reemplazar. |
OctetString |
2027 |
Juniper-Policy-Remove |
2636 |
JSRC, PTSP |
Especifica las directivas que se desactivarán para el suscriptor. Incluye el nombre de la política de Juniper. |
Agrupados |
2035 |
Error en la política de Juniper |
2636 |
JSRC, PTSP |
Especifica el nombre de la activación o desactivación de la directiva que falló. |
OctetString |
2038 |
Éxito de las políticas de Juniper |
2636 |
JSRC, PTSP |
Especifica el nombre de la activación o desactivación de la directiva que se realizó correctamente. |
OctetString |
2046 |
Sistema lógico de Juniper |
2636 |
JSRC, PTSP |
Especifica el sistema lógico. |
UTF8String |
2047 |
Instancia de enrutamiento de Juniper |
2636 |
JSRC, PTSP |
Especifica la instancia de enrutamiento. |
UTF8String |
2048 |
juniper-jsrc-partición |
2636 |
JSRC, PTSP |
Especifica el sistema lógico y la instancia de enrutamiento para el suscriptor o la solicitud. Incluye Juniper-Logical-System y Juniper-Routing-Instance |
Agrupados |
2050 |
Juniper-Request-Type |
2636 |
JSRC, PTSP |
Describe el tipo de solicitud:
|
Enumerados |
2051 |
Juniper-Synchronization-Type |
2636 |
JSRC, PTSP |
Describe el tipo de sincronización:
|
Enumerados |
2052 |
Juniper-Synchronization |
2636 |
JSRC, PTSP |
Describe el estado de sincronización:
|
Enumerados |
2053 |
Juniper-ACCT-Record |
2636 |
JSRC, PTSP |
Especifica los datos estadísticos de cada directiva instalada para este suscriptor. Incluye el nombre de la política de Juniper. |
Agrupados |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Especifica si se deben recopilar datos de contabilidad para la política (servicio) instalada cuando se incluye en el AVP Juniper-Policy-Install:
|
Enumerados |
2058 |
ID de estado de Juniper |
2636 |
JSRC, PTSP |
Especifica el valor asignado a cada ciclo de sincronización con el fin de identificar los mensajes que se van a descartar. Todas las solicitudes solicitadas que contengan lo mismo
Nota:
Para las solicitudes de sincronización solicitadas, el mensaje SRQ contiene el valor incrementado |
Sin firmar32 |
2100 |
Enrutador virtual Juniper |
2636 |
Gx-Plus, JSRC |
Especifica el nombre del enrutador virtual asociado a la sesión. |
UTF8String |
2101 |
Juniper-Provisioning-Source |
2636 |
Gx-Plus |
Especifica el origen de aprovisionamiento para la sesión en los mensajes CCR-N y JSDA:
|
Enumerados |
2102 |
Juniper-Provisioning-Descriptor |
2636 |
Gx-Plus |
Define el grupo usado en los mensajes de JSDA que incluye el ID de sesión y, opcionalmente, los datos de Juniper-Provisioning-Source y del suscriptor. |
Agrupados |
2103 |
Tipo de evento de Juniper |
2636 |
Gx-Plus |
Comunica el tipo de evento en mensajes JSER:
|
Enumerados |
2104 |
Juniper-Discovery-Descriptor |
2636 |
Gx-Plus |
Define el grupo utilizado en los mensajes JSDR y JSDA que incluye parámetros de una solicitud de detección: tipo de detección, cadena de solicitud, detalle, resultados máximos. |
Agrupados |
2105 |
Juniper-Discovery-Type |
2636 |
Gx-Plus |
Especifica el subcomando de detección para los mensajes JSDR y JSDA:
|
Enumerados |
2106 |
Juniper-Verbosity-Level |
2636 |
Gx-Plus |
Especifica el nivel de detalle para los mensajes JSDR y JSDA:
|
Enumerados |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Especifica una cadena genérica que se interpreta según el contexto. |
UTF8String |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Especifica una cadena genérica que se interpreta según el contexto. |
UTF8String |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Especifica una cadena genérica que se interpreta según el contexto. |
UTF8String |
2110 |
Juniper-Unsigned32-A |
2636 |
Gx-Plus |
Especifica un entero genérico de 32 bits sin signo que se interpreta según el contexto. |
Sin firmar32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gx-Plus |
Especifica un entero genérico de 32 bits sin signo que se interpreta según el contexto. |
Sin firmar32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gx-Plus |
Especifica un entero genérico de 32 bits sin signo que se interpreta según el contexto. |
Sin firmar32 |
2200 |
prefijo juniper-IPv6-NDRA |
2636 |
JSRC |
Si está disponible en la entrada IPv6Prefix de la base de datos de sesión del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Prefijo IPv6 |
2201 |
Máscara de red IPv6 con fotograma de Juniper |
2636 |
JSRC |
Si está disponible en la entrada IPv6Address de la base de datos de sesión del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Dirección IPv6 |
2202 |
ID de circuito del agente de Juniper |
2636 |
JSRC |
Identifica al suscriptor por nodo de acceso y línea de suscriptor. Si está disponible en la entrada de la base de datos de sesión del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
OctetString |
2203 |
ID remoto del agente de Juniper |
2636 |
JSRC |
Identifica al suscriptor en el nodo de acceso. Si está disponible en la entrada de la base de datos de sesión del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
OctetString |
2204 |
Juniper-ACCT-IPv6-Input-Octets |
2636 |
JSRC |
Número de octetos IPv6 recibidos en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
2205 |
Juniper-ACCT-IPv6-Output-Octets |
2636 |
JSRC |
Número de octetos IPv6 enviados en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
2206 |
juniper-acct-IPv6-Input-PKTS |
2636 |
JSRC |
Número de paquetes IPv6 recibidos en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
2207 |
juniper-acct-IPv6-output-pkts |
2636 |
JSRC |
Número de paquetes IPv6 enviados en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP sólo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
Los AVP de Tekelec se utilizan únicamente para Gx-Plus. Estos AVP tienen un número de empresa de 21274. La Tabla 4 enumera los AVP de Tekelec. Estas cuatro variables se utilizan para proporcionar valores de sustitución para las variables de servicio de CoS definidas por el usuario.
Número de atributo |
Diámetro AVP |
Aplicación |
Descripción |
Tipo |
|---|---|---|---|---|
5555 |
Tekelec-Charging-Rule-Argument-Name |
Gx-Plus |
Define el nombre de la variable de servicio que se va a reemplazar. |
OctetString |
5556 |
tekelec-carga-regla-argumento-valor |
Gx-Plus |
Define el valor de la variable de servicio que se va a reemplazar. |
OctetString |
5557 |
Tekelec-Charging-Rule-Argument |
Gx-Plus |
Define los atributos de sustitución utilizados para reemplazar las variables de servicio. Incluye Tekelec-Charging-Rule-Argument-Name AVP (5555) y Tekelec-Charging-Rule-Argument-Value AVP (5556). |
Agrupados |
5558 |
Tekelec-Charging Rule-With-Arguments |
Gx-Plus |
Solicita la instalación de la regla (activación del servicio) designada por el AVP (1005) de la regla de carga incluido. Las sustituciones de variables de servicio solicitadas son proporcionadas por el opcionalmente incluido Tekelec-Charging-Rule-Argument AVP (5557). |
Agrupados |
Configuración del diámetro
Diameter se configura especificando el origen del punto de conexión, los pares remotos, la conexión de la capa de transporte y los elementos de red que asocian rutas con pares. Actualmente solo se admite la instancia maestra de Diameter. Puede configurar valores alternativos para esta instancia de Diameter solo en el contexto de la instancia de enrutamiento predeterminada.
Para configurar el protocolo base de diámetro:
Configuración de los atributos de origen de la instancia de diámetro
Puede configurar las características de identificación del nodo de punto de enlace que origina mensajes de diámetro para la instancia de diámetro. La instancia Diameter proporciona el nombre de host como valor para el AVP Origin-Host. La instancia Diameter proporciona el dominio como valor para el AVP Origen-Realm.
Para configurar los atributos de origen para una instancia de Diámetro:
Configuración de pares de diámetro
Puede configurar los pares a los que Diameter envía mensajes. Diameter utiliza el sistema lógico predeterminado y la instancia de enrutamiento. El puerto 3868 se usa para conexiones activas a pares de forma predeterminada.
Para configurar un par remoto para una instancia de Diameter:
Por ejemplo, la siguiente configuración para el par p3 especifica una dirección IPv4, la instancia de enrutamiento ri8, el puerto de destino 49152, el transporte t6, un origen del host 1 en example.com e incluye el AVP de estado de origen en los mensajes.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Configuración del transporte de diámetro
Puede configurar uno o varios transportes para una instancia de Diameter a fin de establecer la dirección IPv4 o IPv6 para la conexión local y, opcionalmente, configurar un contexto de instancia de sistema lógico o de enrutamiento. Diameter utiliza el sistema lógico predeterminado y la instancia de enrutamiento. El sistema lógico y la instancia de enrutamiento de la conexión de transporte deben coincidir con las del par o se notificará un error de configuración. Varios pares pueden compartir el mismo transporte.
Para configurar un transporte para una instancia de Diámetro:
Por ejemplo, la siguiente configuración para el transporte t1 especifica una dirección IPv6, un sistema lógico ls5 y una instancia de enrutamiento ri10.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Configuración de elementos de red de diámetro
Un elemento de red de diámetro (DNE) consta de aplicaciones asociadas (denominadas funciones en la CLI), una lista de pares priorizados y un conjunto de reglas de reenvío. Las reglas de reenvío definen rutas individuales a través de un conjunto de destinos, aplicaciones y métricas asociadas. Se debe configurar al menos un DNE por chasis para iniciar el proceso de diámetro (jdiameterd).
Antes de configurar los elementos de red Diameter, realice la siguiente tarea:
Defina los pares de diámetro. Consulte Configuración de pares de diámetro.
Para configurar un elemento de red Diameter:
Ejemplo: configurar la aplicación S6a
En este ejemplo se muestra cómo configurar la aplicación S6a de autenticación basada en diámetro en el firewall de la serie SRX para recuperar información de autenticación del servidor de suscriptor.
Requisitos
En este ejemplo se utiliza el siguiente hardware:
Cualquier firewall de la serie SRX
Antes de comenzar, lea Información general sobre el protocolo base de diámetro.
Visión general
En este ejemplo, puede crear una partición de S6a y especificar el origen del punto de conexión, los pares remotos y los elementos de red que asocian rutas con pares para controlar el reenvío de diámetro de los mensajes de S6a. También puede crear una partición de S6a en Solo se admite actualmente la instancia maestra de diámetro. Puede configurar valores alternativos para la master instancia Diameter solo en el contexto de la instancia de enrutamiento predeterminada.
Configuración
- Configurar el perfil de acceso y los parámetros de la aplicación de diámetro
- Configurar interfaces Ethernet redundantes
- Configurar zonas de seguridad y políticas de seguridad para permitir la aplicación de diámetro S6a
Configurar el perfil de acceso y los parámetros de la aplicación de diámetro
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar los parámetros de aplicación de perfil y diámetro de acceso:
Especifique el perfil de acceso que se usará para el orden de autenticación.
[edit access-profile] user@host# set s6a_test
Especifique el orden en que se utilizan los métodos de autenticación.
[edit access profile] user@host# set s6a_test authentication-order s6a
Cree la partición o especifique el nombre de una partición existente.
[edit access] user@host# set s6a partition partition_name
Configure el dominio de destino para la partición s6a.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Configure el host de destino para la partición s6a.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Especifique la instancia Diameter para la partición s6a.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Nota:Actualmente, solo se admite la instancia predeterminada de Diámetro,
master, .Establezca un límite en el número de solicitudes pendientes.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Configure la cantidad de tiempo en segundos antes de que el s6a deje de intentar enviar un mensaje de cierre de sesión de suscriptor.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Incluya el nombre del dominio que origina el mensaje Diámetro.
[edit diameter] user@host# set origin realm zzz.com
Incluya el nombre del host que origina el mensaje Diámetro.
[edit diameter] user@host# set origin host s6a.zzz.com
Especifique el nombre del elemento de red.
[edit diameter] user@host# set network-element ne3
Asocie un par Diameter con el elemento de red.
[edit diameter] user@host# set network-element peer p3
Establezca la prioridad para el par.
[edit diameter] user@host# set network-element peer p3 priority 100
Especifique una ruta accesible a través del elemento de red en función de las reglas de reenvío que defina.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Especifique una métrica para la ruta.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Especifique la dirección IP del par Diámetro.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Especifique el puerto que Diameter utiliza para las conexiones activas al par.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show access comandos y show diameter . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configurar interfaces Ethernet redundantes
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar interfaces Ethernet redundantes:
Configure interfaces Ethernet redundantes.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show interfaces comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configurar zonas de seguridad y políticas de seguridad para permitir la aplicación de diámetro S6a
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar zonas y políticas de seguridad:
Establezca los servicios y protocolos del sistema en la interfaz reth1.0.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Establezca los servicios y protocolos del sistema en la interfaz reth0.0.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Configure las políticas de seguridad.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificación del estado del S6a
Propósito
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Acción
Desde el modo operativo, introduzca los show network-access s6a statecomandos , show network-access s6a statisticsy show network-access s6a statistics extensive para comprobar el estado de acceso a la red y las estadísticas de la aplicación s6a.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Significado
Los show network-access s6a statecomandos , show network-access s6a statisticsy show network-access s6a statistics extensive muestran el estado de la aplicación S6a y las estadísticas de la información de autenticación recuperada del servidor suscrito.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.