Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Asignación de dominios de suscriptor a opciones de acceso y sesión

Descripción general de la asignación de dominios

La asignación de dominios permite configurar un mapa que especifica las opciones de acceso y los parámetros específicos de la sesión. El mapa se basa en el nombre de dominio de las sesiones de suscriptor: el enrutador aplica las opciones y parámetros asignados a las sesiones para suscriptores que tienen los dominios especificados. Por ejemplo, puede configurar un mapa de dominio basado en el nombre example.comde dominio . Las opciones y parámetros de ese mapa de dominio se aplican cuando los suscriptores con el nombre de dominio especificado (por ejemplo, bob@example.com, raj@example.com, y juan@example.com) solicitan un servicio AAA.

Nota:

El nombre de usuario de un suscriptor generalmente se compone de dos partes: el nombre del usuario seguido del nombre de dominio del usuario, que están separadas por un carácter delimitador. El nombre de dominio siempre está a la derecha del delimitador de dominio. Por ejemplo, en el nombre de usuario, juan@example.com, el nombre juan del usuario va seguido del nombre example.comde dominio , y los dos están separados por el @ carácter delimitador.

Sin embargo, algunos sistemas utilizan un formato de nombre de usuario en el que el nombre precedes de dominio es el nombre del usuario. Para evitar confusiones con el uso típico de nombres de dominio, este tipo de nombre de dominio anterior se denomina nombre de dominio y el nombre de dominio se encuentra a la izquierda del delimitador de dominio. Por ejemplo, en el nombre de usuario, top321-example.com/mary, la top321-example.com parte es el nombre del reino, mary es el nombre del usuario y el / carácter es el carácter delimitador.

El mapa de dominio proporciona eficiencia y le permite realizar cambios para un gran número de suscriptores en una sola operación. Por ejemplo, si un grupo de asignación de direcciones se agota debido al número de suscriptores que obtienen direcciones del grupo, puede crear un mapa de dominio que especifique que los suscriptores de un dominio determinado obtienen direcciones de un grupo diferente. En otro uso del mapa de dominio, puede crear un nuevo perfil dinámico y, a continuación, configurar el mapa de dominio para especificar qué suscriptores (por su dominio) utilizan ese perfil dinámico.

A partir de Junos OS versión 21.3R1, puede configurar subdominios en un mapa de dominio. En un subdominio, puede configurar perfiles de acceso por VLAN o para un rango de VLAN. Esta mejora le da la flexibilidad para diferenciar a los usuarios en un dominio y para proporcionar diferentes servicios en función de los perfiles de los usuarios.

Nota:

La administración de suscriptores solo se admite en el sistema lógico predeterminado. En la documentación de la característica de asignación de dominio de administración de suscriptores se describe el uso de las instrucciones y target-logical-system para configurar la aaa-logical-system asignación a un sistema lógico no predeterminado. Estas declaraciones son para futuras extensiones de la administración de suscriptores.

En la tabla 1 se describen las opciones y parámetros de acceso que se pueden configurar en el mapa de dominio.

Tabla 1: Opciones y parámetros del mapa de dominio

Opción

Descripción

Sistema lógico/instancia de enrutamiento AAA

Sistema lógico/instancia de enrutamiento en la que AAA envía solicitudes de autenticación y contabilidad para las sesiones del suscriptor.

La administración de suscriptores solo se admite en el sistema lógico predeterminado.

Perfil de acceso

Perfil de acceso aplicado a las sesiones de suscriptor.

Grupo de direcciones

Grupo de direcciones utilizado para asignar direcciones a los suscriptores.

Reglas de nombres de dominio y dominio

Reglas para el uso de nombres de dominio y dominio, incluida la eliminación de nombres de dominio, los delimitadores admitidos y la dirección del análisis (los delimitadores y la dirección del análisis se configuran globalmente).

Perfil dinámico

Perfil dinámico aplicado a las sesiones de suscriptor.

Parámetros de PADN

Información de ruta PPPoE para sesiones de suscriptor.

Sistema lógico/instancia de enrutamiento de destino

Sistema lógico/instancia de enrutamiento a la que está conectada la interfaz de suscriptor.

La administración de suscriptores solo se admite en el sistema lógico predeterminado.

Perfil de túnel

Perfil de túnel aplicado a las sesiones de suscriptor.

Tipos de mapas de dominio y su orden de precedencia

A partir de Junos OS versión 16.1, la administración de suscriptores utiliza un orden específico al buscar un mapa de dominio que coincida con el nombre de dominio del suscriptor. La siguiente lista muestra ese orden:

  • Asignación de dominio de coincidencia exacta: el nombre de dominio del suscriptor es una coincidencia exacta con un mapa de dominio configurado.

  • Mapa de dominio comodín: el nombre de dominio del suscriptor coincide parcialmente con un mapa de dominio comodín.

  • default mapa de dominio: el nombre de dominio del suscriptor no es una coincidencia exacta ni una coincidencia comodín parcial con un mapa de dominio.

Nota:

Si el nombre de usuario del suscriptor no tiene un nombre de dominio, no se realiza ninguna búsqueda y el suscriptor se asocia con el mapa de none dominio, si está configurado.

Mapa de dominio comodín

A partir de Junos OS versión 16.1, la función de mapa de dominio comodín permite especificar un nombre de dominio que utilizan los suscriptores cuando no hay una coincidencia exacta con el nombre de dominio del suscriptor. Por ejemplo, si crea un mapa de dominio comodín con el nombre xyz*.example.com, suscriptores con los nombres xyz.example.comde dominio , xyz-1234.example.com, xyz-eastern.example.comy xyz-northern.example.com todos están asignados a ese dominio comodín si no había una coincidencia exacta para los nombres de dominio de los suscriptores. Puede insertar el carácter comodín asterisco en cualquier lugar del mapa de dominio para crear la especificación de coincidencia deseada. La asignación de dominio comodín también se utiliza en los casos en que los nombres de suscriptor se derivan del ID remoto del agente DHCPv4 (opción 82, subopción 2) o del ID remoto DHCPv6 (opción 37).

Mapa de dominio predeterminado

Puede configurar un mapa de dominio predeterminado que el enrutador utilice para los suscriptores cuyo nombre de dominio o dominio no coincida explícitamente con ningún mapa de dominio existente y tampoco coincida parcialmente con un mapa de dominio comodín. Especifique el nombre default como domain map domain-map-name.

Por ejemplo, puede configurar el mapa de dominio predeterminado para proporcionar compatibilidad limitada de características para los suscriptores invitados, como un grupo de direcciones específico usado para invitados o la instancia de enrutamiento que proporciona servicios AAA. Cuando el enrutador no puede proporcionar una coincidencia exacta o comodín para el suscriptor invitado, utiliza las reglas especificadas en la configuración predeterminada del mapa de dominio para manejar la solicitud del suscriptor invitado.

Mapa de dominio para nombres de usuario de suscriptores sin nombre de dominio o dominio

En algunos casos, es posible que un nombre de usuario de suscriptor no incluya un nombre de dominio o un nombre de dominio; puede configurar un mapa de dominio específico que el enrutador use para estos suscriptores. Especifique el nombre none como domain map domain-map-name.

Descripción de los mapas de dominio y los contextos del sistema lógico/instancia de enrutamiento

Puede usar un mapa de dominio para administrar el sistema lógico/instancia de enrutamiento que la administración de suscriptores usa para AAA y contextos de suscriptor. La administración de suscriptores solo se admite en el sistema lógico predeterminado, por lo que puede administrar los contextos configurando la instancia de enrutamiento. En la lista siguiente se describen los dos tipos de contextos:

  • Contexto del suscriptor: el sistema lógico o la instancia de enrutamiento en la que se coloca la interfaz del suscriptor. Para la mayoría de las sesiones de suscriptor dinámicas, el contexto de la sesión de suscriptor inicial es el sistema lógico predeterminado y la instancia de enrutamiento predeterminada. Una excepción es LNS, en el que el contexto inicial para una sesión LNS dinámica (PPP sobre L2TP) es el mismo que el de la interfaz del mismo nivel (la interfaz orientada hacia LAC). Por lo tanto, para las sesiones LNS, si la interfaz del mismo nivel utiliza una instancia de enrutamiento no predeterminada, el contexto inicial de la sesión del suscriptor también utiliza esa instancia de enrutamiento no predeterminada.

  • Contexto AAA: instancia de sistema lógico o enrutamiento que la sesión del suscriptor usa para las interacciones RADIUS, como las solicitudes de autenticación y contabilidad. De forma predeterminada, el contexto AAA es el mismo que el contexto inicial del suscriptor. Por lo tanto, para todas las sesiones de suscriptor que no sean sesiones LNS dinámicas, la autenticación y autorización se realizan en el contexto predeterminado del sistema lógico o de la instancia de enrutamiento, a menos que la instancia de enrutamiento predeterminada se cambie explícitamente.

Opcionalmente, puede configurar un mapa de dominio para usar un suscriptor específico o un contexto AAA. Por ejemplo, si inicialmente se crea una sesión LNS dinámica en una instancia de enrutamiento no predeterminada (porque el contexto del suscriptor inicial usa la instancia de enrutamiento no predeterminada), puede usar la target-routing-instance instrucción para configurar la asignación de dominio para colocar al suscriptor en la instancia de enrutamiento predeterminada. O, por razones de seguridad, es posible que desee tener todas las interacciones de RADIUS en un contexto determinado. En este caso, debe usar la aaa-routing-instance instrucción para configurar la asignación de dominio a fin de cambiar el contexto AAA inicial a la nueva instancia de enrutamiento.

El uso de mapas de dominio para administrar contextos AAA y de suscriptores también es útil en entornos mayoristas de capa 3. Por ejemplo, es posible que desee colocar interfaces VLAN dinámicas en diferentes instancias de enrutamiento no predeterminadas, mientras mantiene todas las interacciones RADIUS en la instancia de enrutamiento predeterminada. En este ejemplo, el contexto AAA inicial se encuentra en la instancia de enrutamiento predeterminada, pero la autorización RADIUS coloca la sesión VLAN del suscriptor en una instancia de enrutamiento no predeterminada. A continuación, puede incluir la aaa-routing-instance instrucción en el mapa de dominio para especificar que el contexto AAA utiliza la instancia de enrutamiento predeterminada para la sesión de VLAN dinámica. La sesión del suscriptor no cambia y permanece en la instancia de enrutamiento no predeterminada.

Ventajas de usar mapas de dominio

  • Los mapas de dominios simplifican la administración de suscriptores a escala al permitirle realizar cambios para un gran número de suscriptores en una sola operación.

  • Los mapas de dominio proporcionan granularidad al aplicar cambios a grupos específicos de suscriptores en función de las definiciones de mapa.

Configuración de un mapa de dominio

Para configurar un mapa de dominio para la administración de suscriptores:

  1. Cree el mapa de dominio. Para el nombre del mapa, especifique el nombre de dominio que desea que utilice el mapa de dominio. (Usar default para el nombre del mapa de dominio predeterminado.)
    • Por ejemplo, para crear un mapa de dominio que se asignará a suscriptores con el nombre example.comde dominio:

    • Para crear un mapa de dominio comodín para asignarlo a suscriptores cuyo nombre de dominio no coincida exactamente, pero sí parcialmente:

      Consulte Configuración de un mapa de dominio comodín.

    • Para crear una asignación de dominio predeterminada para asignarla a suscriptores con nombres de dominio que no coinciden:

    • Para crear un mapa de dominio para asignarlo a suscriptores sin un nombre de dominio o dominio:

  2. (Opcional) Especifique el perfil de acceso utilizado para aplicar reglas de acceso para el mapa de dominio.
  3. (Opcional) En el caso de perfiles dinámicos, aclare la configuración dinámica proporcionada para la sesión del suscriptor.
  4. (Opcional) Especifique el grupo de direcciones utilizado para asignar la dirección para el mapa de dominio.
  5. (Opcional) Configure el sistema lógico/instancia de enrutamiento de destino para el contexto del suscriptor.
  6. (Opcional) Configure el sistema lógico o la instancia de enrutamiento de destino en la que se envían las solicitudes AAA para el mapa de dominio.
  7. (Opcional) Configure reglas para nombres de dominio; por ejemplo; delimitadores, dirección de análisis y eliminación de dominios. Los delimitadores y la dirección de análisis se configuran globalmente para todos los mapas de dominio. La eliminación de dominios está habilitada en el mapa de dominios.
  8. (Opcional) Configure reglas para quitar la parte del dominio del nombre de usuario con fines de autenticación, contabilidad y visualización.
  9. (Opcional) Configure el análisis de la parte de usuario del nombre de usuario y elimine la parte de usuario solo para autenticación.
  10. (Opcional) Especifique una contraseña para usarla en todas las autenticaciones de suscriptor de un mapa de dominio. Esta opción solo afecta al nombre de usuario o la contraseña enviados en la solicitud de acceso a servidores RADIUS o de políticas externos.
  11. (Opcional) Asigne un perfil de túnel que proporcione definiciones de túnel para el mapa de dominio.
  12. (Opcional) Asigne un perfil de conmutador de túnel para que lo aplique el mapa de dominio.

Configuración de un mapa de dominio comodín

La administración de suscriptores admite una característica de asignación de dominio comodín que permite configurar una asignación de dominio basada en una coincidencia de comodín parcial. Cuando no hay una coincidencia exacta entre el nombre de dominio del suscriptor y un mapa de dominio configurado, la administración de suscriptores busca una coincidencia parcial entre el nombre de dominio del suscriptor y un mapa de dominio comodín.

Para crear el mapa de dominio comodín, incluya el carácter comodín asterisco al configurar el nombre del mapa de dominio, como domain map example*. Puede insertar el carácter comodín en cualquier lugar del mapa de dominio, y el comodín puede representar cero o cualquier número de caracteres. El asterisco es el único carácter comodín admitido.

Por ejemplo, la instrucción domain map example*northern.com de configuración crea un mapa de dominio comodín que coincide parcialmente con todos los nombres de dominio que comienzan con example y terminan con northern.com, como examplenorthern.com, example-northern.comy example1234northern.com. Sin embargo, si mueve el carácter comodín del nombre del mapa de dominio a domain map example-northern*.com, se crea una coincidencia más restrictiva que requiere que los nombres de dominio coincidentes parciales comiencen por example-northern, como example-northern555.com o example-northern-alpha.com.

La asignación de dominios comodín también es útil cuando la administración de suscriptores deriva nombres de usuario de suscriptores del ID remoto del agente DHCPv4 (opción 82, subopción 2) o del ID remoto DHCPv6 (opción 37). En estos casos, el nombre de usuario resultante está en el formato subscriberID|service-plan|accountID|unused; por ejemplo, EricSmith|premiumTier1|314159265|0000 (donde el | carácter es el delimitador). En este ejemplo, la administración de suscriptores analiza el nombre de usuario de izquierda a derecha e identifica el dominio del suscriptor como premiumTier1|314159265|0000. Para crear un mapa de dominio comodín que se utilice para este suscriptor, puede configurar domain map premiumTier1*.

En el ejemplo siguiente se describe cómo se asignan cuatro suscriptores a dominios diferentes.

Para este ejemplo, hay tres mapas de dominio configurados; el mapa de default dominio, un mapa de dominio denominado example3000.comy un mapa de dominio comodín denominado example*. Los suscriptores se asignan como se muestra en la siguiente lista:

  • eric@example3000.com: hay una coincidencia exacta del mapa de dominio, por lo que el suscriptor se asigna al dominio example3000.com.

  • jack@example1001.com: no hay una coincidencia exacta, pero hay una coincidencia parcial con el dominio comodín, por lo que el suscriptor se asigna al dominio example*comodín.

  • ginger@example-western.com: no hay una coincidencia exacta, pero hay una coincidencia parcial con el dominio comodín, por lo que el suscriptor también se asigna al dominio example*comodín.

  • sunshine@test.com: no hay una coincidencia exacta ni una coincidencia parcial con el dominio comodín, por lo que el suscriptor se asigna al default dominio.

Para configurar un mapa de dominio comodín:

  1. Especifique el nombre del mapa de dominio, incluido el carácter comodín.
  2. Especifique las características opcionales para el mapa de dominio comodín.

Especificar un perfil de acceso en un mapa de dominio

Los perfiles de acceso se utilizan para especificar las reglas y opciones de acceso (por ejemplo, el servidor de autenticación RADIUS y los atributos) que el enrutador aplica a las sesiones de suscriptor. La función de mapa de dominio le permite aplicar un perfil de acceso específico para los suscriptores de un dominio determinado.

Los perfiles de acceso se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica los perfiles de acceso según las reglas de prioridad que se muestran en la Tabla 2.

Tabla 2: Reglas de precedencia para aplicar perfiles de acceso

Precedencia (de mayor a menor)

Cómo se aplica el perfil de acceso

1

Especificado por el atributo RADIUS Redirect-VRouter-Name (VSA 26-25)

2

Especificado en la estrofa de configuración del mapa de dominio

3

Especificado indirectamente en la estrofa de configuración del mapa de dominio por la asignación de instancia de enrutamiento o sistema lógico AAA

4

Especificado en la estrofa de configuración del cliente

5

Se especifica en la estrofa de configuración del sistema lógico/instancia de enrutamiento

Para incluir un perfil de acceso en un mapa de dominio:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique el perfil de acceso que desea incluir en el mapa de dominio.

Especificación de un grupo de direcciones en un mapa de dominio

Puede utilizar la función de asignación de dominios para especificar el grupo de direcciones que utiliza el enrutador para asignar la dirección de las sesiones de suscriptor. El grupo de direcciones puede incluir intervalos de direcciones IPv4 e IPv6.

Los grupos de direcciones se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica el grupo de direcciones según las reglas de prioridad que se muestran en la tabla 3.

Tabla 3: Reglas de prioridad para determinar el grupo de direcciones que se va a utilizar

Precedencia (de mayor a menor)

Cómo se proporciona la referencia del grupo de direcciones

1

Especificado por el atributo RADIUS Framed-Pool (atributo RADIUS 88)

2

Configurado en la estrofa de configuración del mapa de dominio

3

Especificado en la estrofa de configuración del cliente (por reglas de coincidencia de direcciones)

Para especificar el grupo de direcciones usado para un mapa de dominio:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique el grupo de direcciones que desea usar para el mapa de dominios.

Especificación de un perfil dinámico en un mapa de dominio

Un perfil dinámico define el conjunto de características que proporcionan acceso y servicios dinámicos para las sesiones de suscriptor (como clase de servicio, protocolos y compatibilidad con interfaces). La función de mapa de dominio le permite aplicar un perfil dinámico específico basado en dominios de suscriptor.

Los perfiles dinámicos se configuran en la [edit dynamic-profiles] jerarquía y se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica los perfiles dinámicos según las reglas de prioridad que se muestran en la Tabla 4.

Tabla 4: Reglas de precedencia para la aplicación de perfiles dinámicos

Precedencia (de mayor a menor)

Cómo se aplica el perfil dinámico

1

Especificado por el atributo RADIUS Virtual-Router (VSA 26-1) o el atributo Redirect-VRouter-Name (VSA 26-25)

2

Especificado en la estrofa de configuración del mapa de dominio

3

Especificado en la estrofa de configuración del cliente

Para incluir un perfil dinámico en un mapa de dominio:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique el perfil dinámico que desea incluir en el mapa de dominio.

Especificación de un sistema lógico/instancia de enrutamiento AAA en un mapa de dominio

De forma predeterminada, una asignación de dominio utiliza el sistema lógico del suscriptor/instancia de enrutamiento como contexto en el que el authd demonio envía solicitudes de autenticación y cuentas AAA. Opcionalmente, puede configurar la asignación de dominio para dirigir las solicitudes AAA a un contexto determinado, en función del nombre de dominio del suscriptor. Especificar un contexto AAA no predeterminado permite administrar el flujo de trabajo y la carga de tráfico, y realizar cambios de forma eficaz para un gran número de suscriptores. Por ejemplo, después de actualizar los servicios RADIUS, puede configurar un mapa de dominio para especificar que ahora todos los suscriptores del dominio example.com estén autenticados por un servidor RADIUS en un contexto AAA determinado.

Nota:

Cambiar el contexto AAA no cambia el contexto del suscriptor. Utilice la target-logical-system instrucción para configurar explícitamente el sistema lógico o la instancia de enrutamiento para los suscriptores.

Para configurar el contexto del sistema lógico o de la instancia de enrutamiento que se usa para las solicitudes AAA:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique la instancia de enrutamiento. Si actualmente está configurada una instancia de enrutamiento no predeterminada, puede utilizar la default opción para especificar que la asignación de dominio utilice la instancia de enrutamiento predeterminada. El sistema lógico AAA se establece automáticamente en el valor predeterminado.
Nota:

La administración de suscriptores solo se admite en el sistema lógico predeterminado.

Especificación de un sistema lógico o una instancia de enrutamiento de destino en un mapa de dominio

De forma predeterminada, el enrutador coloca al suscriptor en el contexto del sistema lógico/instancia de enrutamiento de la interfaz en la que se inician las negociaciones del suscriptor. Posteriormente, puede cambiar la instancia de enrutamiento del contexto del suscriptor mediante un mapa de dominio o el servidor de autenticación RADIUS.

La administración de suscriptores solo se admite en el sistema lógico predeterminado; sin embargo, puede configurar el mapa de dominio para que utilice una instancia de enrutamiento no predeterminada. Además, si ya está configurada una instancia de enrutamiento no predeterminada, puede configurar la asignación de dominio para que utilice la instancia de enrutamiento predeterminada.

Para configurar el contexto del sistema lógico/de instancia de enrutamiento utilizado para la interfaz de un suscriptor:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique la instancia de enrutamiento de destino (el sistema lógico predeterminado se utiliza de forma predeterminada). Si actualmente está configurada una instancia de enrutamiento no predeterminada, puede utilizar la default opción para especificar que la asignación de dominio utilice la instancia de enrutamiento predeterminada.
Nota:

La administración de suscriptores solo se admite en el sistema lógico predeterminado.

Especificación de un perfil de túnel en un mapa de dominio

Los perfiles de túnel especifican definiciones de túnel (por ejemplo, un conjunto de túneles L2TP y sus atributos) que el enrutador aplica a las sesiones de suscriptor. La función de mapa de dominio le permite aplicar un perfil de túnel específico a los suscriptores de un dominio determinado.

Nota:

Un perfil de túnel especificado por un servidor RADIUS en el atributo Tunnel-Group (VSA 26-64) tiene prioridad sobre el perfil de túnel especificado en el mapa de dominio.

Para incluir un perfil de túnel en un mapa de dominio:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique el perfil de túnel que desea incluir en el mapa de dominio.

Especificación de un perfil de conmutador de túnel en un mapa de dominio

Los perfiles de conmutador de túnel determinan si los paquetes de una sesión de suscriptor L2TP de un LAC se conmutan a otra sesión que tenga un LNS de destino diferente. El perfil de conmutador de túnel también puede especificar cómo se manejan ciertos AVP L2TP cuando los paquetes se conmutan a un segundo túnel. La función de asignación de dominio le permite aplicar un perfil de conmutador de túnel específico a los suscriptores de un dominio determinado.

Nota:

Un perfil de conmutación de túnel especificado por un servidor RADIUS en el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el perfil de conmutación de túnel especificado en el mapa de dominio. Si se recibe el VSA de grupo de túnel (26-64) además del VSA de perfil de conmutación de túnel (26-91), el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el VSA de grupo de túnel (26-64), lo que garantiza que los suscriptores tengan conmutación de túnel en lugar de túnel de LAC.

Para incluir un perfil de conmutador de túnel en un mapa de dominio:

  1. Especifique el mapa de dominio que desea configurar.
  2. Especifique el perfil de conmutador de túnel que desea incluir en el mapa de dominio.

Configuración del uso de nombres de dominio y dominio para mapas de dominio

Puede configurar cómo el enrutador determina los nombres de dominio que se utilizan para la función de asignación de dominios. En el nivel global, puede especificar reglas que se utilizan para los mapas de dominio. Las reglas globales permiten especificar caracteres adicionales que el enrutador puede reconocer como delimitadores de nombres de dominio o dominio y especificar la dirección que utiliza el enrutador para analizar los nombres de dominio o dominio. El propósito de analizar un nombre de dominio o dominio es identificar un nombre único y único que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre está en el formato típico de nombre de dominio (joseph@example.com) o en el formato de nombre de dominio (example.com\marilyn). El enrutador utiliza el nombre de dominio resultante para operaciones como la búsqueda y el procesamiento de mapas de dominio. En el nivel del mapa de dominio, también puede habilitar la eliminación de nombres de dominio. La eliminación de nombres de dominio especifica que el enrutador quite el dominio analizado o el nombre de dominio del suscriptor antes de realizar cualquier procesamiento adicional para el mapa de dominio.

Para configurar reglas de uso de nombres de dominio para mapas de dominio:

  1. (Opcional) Para los nombres de dominio o dominio, configure el orden de análisis, que especifica si el enrutador busca primero el nombre de dominio o el nombre de dominio.
  2. (Opcional) Para nombres de dominio o dominio, configure los delimitadores que desea que el enrutador reconozca para los mapas de dominio.
  3. (Opcional) Para nombres de dominio o dominio, configure la dirección de análisis que desea que utilice el enrutador al determinar los nombres de dominio para los mapas de dominio.
  4. (Opcional) Para los nombres de dominio, configure el enrutador para quitar el dominio analizado o el nombre de dominio de los nombres de usuario en el mapa de dominio antes de usar los servicios AAA.

Especificación de delimitadores de nombres de dominio y dominio

Un delimitador es el carácter que separa un nombre de usuario de suscriptor del nombre de dominio o reino. Los delimitadores se usan comúnmente para el análisis de nombres de dominio o dominios o la eliminación de nombres de dominio. Puede especificar un máximo de ocho delimitadores que el enrutador utilice para reconocer nombres de dominio o dominio para un mapa de dominio. Si no configura ningún delimitador, el enrutador utiliza el carácter por defecto para los nombres de @ dominio. No hay ningún delimitador predeterminado para los nombres de dominio.

Por ejemplo, la red puede incluir los suscriptores bob@test.com, pete!example.com, y test.net\maria. En este caso, configuraría el enrutador para que reconozca los caracteres @ y ! como delimitadores de nombres de dominio, y el \ carácter como un delimitador de nombre de dominio.

Tenga en cuenta las siguientes directrices al especificar delimitadores:

  • No puede utilizar el punto y coma (;) como delimitador.

  • Si configura delimitadores de nombre de dominio opcionales, también debe especificar el @ carácter (el delimitador predeterminado) si desea seguir usándolo como delimitador.

  • Si configura delimitadores de nombres de dominio opcionales y, a continuación, los desconfigura, el enrutador vuelve a establecer el delimitador de asignación de dominio en el carácter predeterminado @ .

Para configurar delimitadores de nombres de dominio y dominios para mapas de dominio:

  1. Especifique que desea configurar los atributos de dominio.
  2. Especifique los caracteres que desea utilizar como delimitadores de nombres de dominio. No incluya espacios entre los delimitadores.
  3. Especifique los caracteres que desea utilizar como delimitadores de nombres de dominio. No incluya espacios entre los delimitadores.

Especificar el orden de análisis para los nombres de dominio y dominio

El enrutador analiza el nombre de usuario, dominio o nombre de dominio para identificar un nombre único y único que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si la fuente del nombre está en el formato de nombre de dominio típico (joseph@example.com) o en el formato de nombre de dominio (example.com\marilyn). Puede especificar si el enrutador busca primero en el nombre de usuario del suscriptor un nombre de dominio o un nombre de dominio. Si el enrutador no encuentra el nombre especificado (por ejemplo, usted especifica realm-first y no hay ningún nombre de dominio en el nombre de usuario), entonces el enrutador busca el segundo tipo de nombre (nombre de dominio, en este caso). Si el enrutador no encuentra ni un nombre de dominio ni un nombre de dominio, entonces no hay ningún dominio que se pueda usar para las operaciones de asignación de dominio.

Para configurar la dirección de análisis del nombre de dominio para los mapas de dominio:

  1. Especifique que desea configurar los atributos de dominio.
  2. Especifique el orden de análisis que desea que utilice el enrutador, ya sea el nombre de dominio primero o el nombre de dominio primero.

Especificar la dirección de análisis para los nombres de dominio y dominio

Puede especificar la dirección en la que el enrutador realiza la operación de análisis que utiliza para identificar los nombres de dominio o dominio de suscriptor para los mapas de dominio. Durante la operación de análisis, el enrutador busca el nombre de usuario hasta que reconoce un delimitador. Luego considera cualquier cosa a la derecha del delimitador como el dominio. De forma predeterminada, el enrutador analiza de derecha a izquierda, comenzando en el carácter más a la derecha en el nombre de usuario.

El enrutador utiliza el nombre de dominio de un suscriptor para realizar operaciones de búsqueda y procesamiento de mapas de dominio. Puede configurar cómo el enrutador identifica un nombre de dominio único cuando el nombre del usuario se presenta en un formato de nombre de dominio tradicional o un nombre de dominio. En el formato tradicional de nombre de dominio, el nombre del usuario va seguido del nombre de dominio; por ejemplo, joe@example.com. En el formato de nombre de dominio, el nombre del usuario está precedido por el nombre de dominio, denominado nombre de dominio; Por ejemplo, example.com@joe. El propósito de analizar un nombre de dominio o dominio es identificar un único nombre que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre es el nombre de dominio o el nombre de dominio original del usuario. El enrutador utiliza el nombre de dominio resultante para operaciones como la búsqueda y el procesamiento de mapas de dominio. En el nivel del mapa de dominio, también puede habilitar la eliminación de nombres de dominio.

La dirección de análisis del dominio que utilice es importante cuando hay nombres de dominio anidados. Por ejemplo, para el nombre user1@test.com@example.comde usuario , el análisis de derecha a izquierda produce un nombre de dominio de example.com. Para el mismo nombre de usuario, el análisis de izquierda a derecha produce un nombre de dominio de test.com@example.com.

Nota:

Esta operación es similar a analizar la parte de usuario de un nombre de usuario, pero la dirección predeterminada y los resultados son diferentes.

Para configurar la dirección de análisis del nombre de dominio para los mapas de dominio:

  1. Especifique que desea configurar los atributos de dominio.
  2. Especifique la dirección de análisis que desea que utilice el enrutador si el nombre de usuario utiliza el formato de nombre de dominio típico, en el que el nombre de dominio sigue al nombre del usuario.
  3. Especifique la dirección de análisis que desea que utilice el enrutador si el nombre de usuario utiliza el formato de nombre de dominio, en el que el nombre de dominio precede al nombre del usuario.

Habilitación de la eliminación de nombres de dominio

Puede configurar el enrutador para quitar el nombre de dominio de los nombres de usuario antes de utilizar cualquier servicio AAA. La eliminación de nombres de dominio se realiza para mapas de dominio. El enrutador utiliza los delimitadores y la dirección de análisis que se configuran globalmente para determinar el nombre de dominio que se quita. Por ejemplo, si el enrutador utiliza el delimitador predeterminado y la dirección right-to-leftde análisis, el nombre user1@example.com de usuario se elimina para que sea user1.

Para configurar el enrutador para quitar el nombre de dominio de los nombres de usuario en un mapa de dominio:

  1. Especifique el mapa de dominio para la operación de eliminación.
  2. Habilite la eliminación de nombres de dominio.

Cambiar el nombre de usuario y la contraseña para simplificar el aprovisionamiento fuera del chasis

Para algunos casos de uso, es posible que desee aprovisionar nombres de usuario de suscriptor de L2TP LAC y contraseñas de autenticación fuera del chasis del enrutador. Puede quitar la parte de usuario del nombre de usuario y anular la contraseña de usuario.

Puede configurar la forma en que el enrutador identifica la parte de usuario que se va a quitar cuando el nombre de usuario se presenta en el formato de nombre de dominio tradicional o en el formato de nombre de dominio. En el formato tradicional de nombre de dominio, el nombre del usuario va seguido del nombre de dominio; por ejemplo, joe@example.com. En el formato de nombre de dominio, el nombre del usuario está precedido por el nombre de dominio, denominado nombre de dominio; Por ejemplo, example.com@joe.

Puede especificar la dirección en la que el enrutador realiza la operación de análisis que utiliza para identificar la parte de usuario del nombre de usuario. Durante la operación de análisis, el enrutador busca el nombre de usuario hasta que reconoce un delimitador. De forma predeterminada, el enrutador analiza de izquierda a derecha, comenzando en el carácter más a la izquierda del nombre de usuario. Todo lo que está a la izquierda del delimitador es la parte del usuario. Esta dirección funciona para el formato de nombre de dominio tradicional. Con esta configuración, el enrutador identifica y elimina a joe de joe@example.com.

Para los nombres de usuario en el formato de nombre de dominio, debe cambiar la dirección del análisis a right-to-left. El enrutador analiza de derecha a izquierda, comenzando en el carácter más a la derecha en el nombre de usuario. Cuando el enrutador reconoce el delimitador, considera cualquier cosa a la derecha del delimitador como la parte del usuario. Con esta configuración, el enrutador identifica y elimina joe de example.com@joe.

Nota:

Esta operación es similar a la operación de análisis de nombre de dominio/nombre de dominio, pero la dirección predeterminada y los resultados son diferentes a los del análisis de nombre de dominio/nombre de dominio.

Nota:

La parte de usuario se elimina solo para el nombre de usuario enviado a un servidor externo para su autenticación. El nombre de usuario sin quitar se utiliza para las operaciones de contabilidad.

Para configurar la parte de usuario que se eliminará del nombre de usuario para todos los nombres de usuario asociados con un mapa de dominio:

Especifique la dirección de análisis que desea que utilice el enrutador:

  • Se utiliza left-to-right cuando el nombre de usuario está en el formato de nombre de dominio típico, en el que el nombre de dominio sigue al nombre del usuario.

  • Se usa right-to-left cuando el nombre de usuario está en el formato de nombre de dominio, en el que el nombre de dominio precede al nombre del usuario.

Puede especificar una nueva contraseña para anular la contraseña existente para autenticar a cualquier suscriptor asociado con el mapa de dominios. Para anular la contraseña:

  • Especifique la contraseña de anulación para la autenticación PAP.

  • Especifique la contraseña de reemplazo para la autenticación CHAP.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
16.1
A partir de Junos OS versión 16.1, la administración de suscriptores utiliza un orden específico al buscar un mapa de dominio que coincida con el nombre de dominio del suscriptor.
16.1
A partir de Junos OS versión 16.1, la función de mapa de dominio comodín permite especificar un nombre de dominio que utilizan los suscriptores cuando no hay una coincidencia exacta con el nombre de dominio del suscriptor.