EN ESTA PÁGINA
Especificación de un grupo de direcciones en un mapa de dominio
Especificación de un sistema lógico o una instancia de enrutamiento AAA en una asignación de dominio
Especificación de un perfil de conmutador de túnel en una asignación de dominio
Configuración del uso de nombres de dominio y dominio para mapas de dominio
Especificación de delimitadores de nombres de dominio y dominio
Especificación del orden de análisis para nombres de dominio y dominio
Especificación de la dirección de análisis para nombres de dominio y dominio
Cambiar el nombre de usuario y la contraseña para simplificar el aprovisionamiento fuera del chasis
Asignación de dominios de suscriptor a opciones de acceso y sesión
Descripción general del mapeo de dominios
La asignación de dominios permite configurar una asignación que especifica las opciones de acceso y los parámetros específicos de la sesión. La asignación se basa en el nombre de dominio de las sesiones del suscriptor: el enrutador aplica las opciones y los parámetros asignados a las sesiones para los suscriptores que tienen los dominios especificados. Por ejemplo, puede configurar una asignación de dominio basada en el nombre example.comde dominio . Las opciones y los parámetros de ese mapa de dominio se aplican cuando los suscriptores con el nombre de dominio especificado (por ejemplo, bob@example.com, , raj@example.comy juan@example.com) solicitan un servicio AAA.
El nombre de usuario de un suscriptor generalmente se compone de dos partes: el nombre del usuario seguido del nombre de dominio del usuario, que están separados por un carácter delimitador. El nombre de dominio siempre está a la derecha del delimitador de dominio. Por ejemplo, en el nombre de usuario, juan@example.com, el nombre del usuario, juan va seguido del nombre example.comde dominio , y los dos están separados por el @ carácter delimitador.
Sin embargo, algunos sistemas utilizan un formato de nombre de usuario en el que el nombre precedes de dominio es el nombre del usuario. Para evitar confusiones con el uso típico de nombres de dominio, este tipo de nombre de dominio anterior se denomina nombre de dominio y el nombre de dominio se encuentra a la izquierda del delimitador de dominio. Por ejemplo, en el nombre de usuario, top321-example.com/mary, la top321-example.com parte es el nombre del reino, mary es el nombre del usuario y el / carácter es el carácter delimitador.
El mapa de dominio proporciona eficiencia y le permite realizar cambios para un gran número de suscriptores en una sola operación. Por ejemplo, si un grupo de asignación de direcciones se agota debido al número de suscriptores que obtienen direcciones del grupo, puede crear una asignación de dominio que especifique que los suscriptores de un dominio determinado obtienen direcciones de un grupo diferente. En otro uso del mapa de dominio, puede crear un nuevo perfil dinámico y, a continuación, configurar el mapa de dominio para especificar qué suscriptores (por su dominio) utilizan ese perfil dinámico.
A partir de Junos OS versión 21.3R1, puede configurar subdominios en una asignación de dominio. En un subdominio, puede configurar perfiles de acceso por VLAN o para un rango de VLAN. Esta mejora le da la flexibilidad de diferenciar a los usuarios de un dominio y de proporcionar diferentes servicios en función de los perfiles de los usuarios.
La administración de suscriptores solo se admite en el sistema lógico predeterminado. En la documentación de la función de asignación de dominio de administración de suscriptores se describe el uso de las instrucciones and target-logical-system para configurar la aaa-logical-system asignación a un sistema lógico no predeterminado. Estas declaraciones son para futuras extensiones de la administración de suscriptores.
En la tabla 1 se describen las opciones de acceso y los parámetros que puede configurar en el mapa de dominio.
Opción |
Descripción |
|---|---|
Instancia de enrutamiento/sistema lógico AAA |
Instancia de enrutamiento o sistema lógico en la que AAA envía solicitudes de autenticación y contabilidad para las sesiones del suscriptor. La administración de suscriptores solo se admite en el sistema lógico predeterminado. |
Perfil de acceso |
Perfil de acceso aplicado a sesiones de suscriptores. |
Grupo de direcciones |
Conjunto de direcciones utilizado para asignar direcciones a suscriptores. |
Reglas de nombres de dominio y reino |
Reglas para el uso de nombres de dominio y dominio, incluida la eliminación de nombres de dominio, los delimitadores admitidos y la dirección de análisis (los delimitadores y la dirección de análisis se configuran globalmente). |
Perfil dinámico |
Perfil dinámico aplicado a sesiones de suscriptores. |
Parámetros de la PADN |
Información de ruta PPPoE para sesiones de suscriptores. |
Sistema lógico de destino o instancia de enrutamiento |
Sistema lógico/instancia de enrutamiento a la que está asociada la interfaz del suscriptor. La administración de suscriptores solo se admite en el sistema lógico predeterminado. |
Perfil de túnel |
Perfil de túnel aplicado a sesiones de suscriptores. |
- Tipos de mapas de dominio y su orden de precedencia
- Mapa de dominio comodín
- Mapa de dominio predeterminado
- Mapa de dominio para nombres de usuario suscriptores sin nombre de dominio o dominio
- Descripción de los mapas de dominio y los contextos de instancia de enrutamiento o sistema lógico
- Beneficios de usar mapas de dominio
Tipos de mapas de dominio y su orden de precedencia
A partir de Junos OS versión 16.1, la administración de suscriptores utiliza un orden específico cuando busca un mapa de dominio que coincida con el nombre de dominio del suscriptor. En la lista siguiente se muestra ese orden:
Mapa de dominio de coincidencia exacta: el nombre de dominio del suscriptor es una coincidencia exacta con un mapa de dominio configurado.
Mapa de dominio comodín: el nombre de dominio del suscriptor coincide parcialmente con un mapa de dominio comodín.
defaultmapa de dominio: el nombre de dominio del suscriptor no es una coincidencia exacta ni una coincidencia comodín parcial con un mapa de dominio.
Si el nombre de usuario del suscriptor no tiene un nombre de dominio, no se realiza ninguna búsqueda y el suscriptor se asocia con el mapa de none dominio, si está configurado.
Mapa de dominio comodín
A partir de Junos OS versión 16.1, la función de mapa de dominio comodín le permite especificar un nombre de dominio que utilizarán los suscriptores cuando no haya una coincidencia exacta con el nombre de dominio del suscriptor. Por ejemplo, si crea un mapa de dominio comodín con el nombre xyz*.example.com, los suscriptores con los nombres xyz.example.comde dominio , xyz-1234.example.com, xyz-eastern.example.comy xyz-northern.example.com todos están asignados a ese dominio comodín si no había una coincidencia exacta para los nombres de dominio de los suscriptores. Puede insertar el carácter comodín de asterisco en cualquier lugar del mapa de dominio para crear la especificación coincidente deseada. La asignación de dominio comodín también se utiliza en casos en que los nombres de suscriptor se derivan del ID remoto del agente DHCPv4 (opción 82, subopción 2) o del ID remoto DHCPv6 (opción 37).
Mapa de dominio predeterminado
Puede configurar una asignación de dominio predeterminada que el enrutador utilice para los suscriptores cuyo nombre de dominio o dominio no coincida explícitamente con ninguna asignación de dominio existente y tampoco coincida parcialmente con una asignación de dominio comodín. Especifique el nombre default como .domain map domain-map-name
Por ejemplo, puede configurar la asignación de dominio predeterminada para proporcionar compatibilidad con funciones limitadas para suscriptores invitados, como un grupo de direcciones específico utilizado para invitados o la instancia de enrutamiento que proporciona servicios AAA. Cuando el enrutador no puede proporcionar una coincidencia exacta o comodín para el suscriptor invitado, el enrutador utiliza las reglas especificadas en la configuración predeterminada del mapa de dominio para gestionar la solicitud del suscriptor invitado.
Mapa de dominio para nombres de usuario suscriptores sin nombre de dominio o dominio
En algunos casos, es posible que el nombre de usuario de un suscriptor no incluya un nombre de dominio o un nombre de dominio; puede configurar una asignación de dominio específica que el enrutador utilice para estos suscriptores. Especifique el nombre none como .domain map domain-map-name
Descripción de los mapas de dominio y los contextos de instancia de enrutamiento o sistema lógico
Puede utilizar un mapa de dominio para administrar el sistema lógico o la instancia de enrutamiento que la administración de suscriptores utiliza para los contextos de AAA y de suscriptores. La administración de suscriptores solo se admite en el sistema lógico predeterminado, por lo que los contextos se administran configurando la instancia de enrutamiento. En la siguiente lista se describen los dos tipos de contextos:
Contexto del suscriptor: el sistema lógico o la instancia de enrutamiento en la que se coloca la interfaz del suscriptor. Para la mayoría de las sesiones dinámicas de los suscriptores, el contexto inicial de la sesión del suscriptor es el sistema lógico predeterminado y la instancia de enrutamiento predeterminada. Una excepción es LNS, en el que el contexto inicial de una sesión LNS dinámica (PPP a través de L2TP) es el mismo que el de la interfaz par (la interfaz orientada a LAC). Por lo tanto, para las sesiones LNS, si la interfaz par utiliza una instancia de enrutamiento no predeterminada, el contexto inicial de la sesión del suscriptor también utiliza esa instancia de enrutamiento no predeterminada.
Contexto AAA: la instancia lógica del sistema o enrutamiento que utiliza la sesión del suscriptor para las interacciones de RADIUS, como las solicitudes de autenticación y contabilidad. De forma predeterminada, el contexto de AAA es el mismo que el contexto del suscriptor inicial. Por lo tanto, para todas las sesiones de suscriptor que no sean sesiones LNS dinámicas, la autenticación y autorización se realizan en el contexto predeterminado del sistema lógico o de la instancia de enrutamiento, a menos que la instancia de enrutamiento predeterminada se cambie explícitamente.
Opcionalmente, puede configurar un mapa de dominio para usar un contexto específico de suscriptor o AAA. Por ejemplo, si una sesión LNS dinámica se crea inicialmente en una instancia de enrutamiento no predeterminada (porque el contexto del suscriptor inicial utiliza la instancia de enrutamiento no predeterminada), puede utilizar la target-routing-instance instrucción para configurar la asignación de dominio a fin de colocar al suscriptor en la instancia de enrutamiento predeterminada. O, por razones de seguridad, es posible que desee tener todas las interacciones de RADIUS en un contexto particular. En este caso, usaría la aaa-routing-instance instrucción para configurar la asignación de dominio para cambiar el contexto AAA inicial a la nueva instancia de enrutamiento.
El uso de mapas de dominio para administrar contextos AAA y de suscriptores también es útil en entornos al por mayor de capa 3. Por ejemplo, es posible que desee colocar interfaces de VLAN dinámicas en diferentes instancias de enrutamiento no predeterminadas, a la vez que mantiene todas las interacciones de RADIUS en la instancia de enrutamiento predeterminada. En este ejemplo, el contexto AAA inicial se encuentra en la instancia de enrutamiento predeterminada, pero la autorización de RADIUS coloca la sesión de VLAN del suscriptor en una instancia de enrutamiento no predeterminada. A continuación, puede incluir la aaa-routing-instance instrucción en el mapa de dominio para especificar que el contexto AAA utiliza la instancia de enrutamiento predeterminada para la sesión de VLAN dinámica. La sesión del suscriptor no cambia y permanece en la instancia de enrutamiento no predeterminada.
Beneficios de usar mapas de dominio
Los mapas de dominios simplifican la administración de suscriptores a escala al permitirle realizar cambios para una gran cantidad de suscriptores en una sola operación.
Los mapas de dominio proporcionan granularidad en la aplicación de cambios a grupos específicos de suscriptores en función de sus definiciones de mapa.
Configuración de un mapa de dominio
Para configurar un mapa de dominio para la administración de suscriptores:
Configuración de un mapa de dominio comodín
La administración de suscriptores admite una función de asignación de dominio comodín que le permite configurar una asignación de dominio basada en una coincidencia parcial de caracteres comodín. Cuando no hay una coincidencia exacta entre el nombre de dominio del suscriptor y un mapa de dominio configurado, la administración de suscriptores busca a continuación una coincidencia parcial entre el nombre de dominio del suscriptor y un mapa de dominio comodín.
Para crear el mapa de dominio comodín, incluya el carácter comodín de asterisco cuando configure el nombre del mapa de dominio, como, domain map example*. Puede insertar el carácter comodín en cualquier lugar dentro del mapa de dominio, y el comodín puede representar cero o cualquier número de caracteres. El asterisco es el único carácter comodín admitido.
Por ejemplo, la instrucción domain map example*northern.com de configuración crea una asignación de dominio comodín que es una coincidencia parcial para todos los nombres de dominio que comienzan con example y terminan con northern.com, como examplenorthern.com, example-northern.comy example1234northern.com. Sin embargo, si mueve el carácter comodín en el nombre del mapa de dominio a domain map example-northern*.com, esto crea una coincidencia más restrictiva que requiere que los nombres de dominio coincidentes parciales comiencen con example-northern, como example-northern555.com o example-northern-alpha.com.
La asignación de dominios comodín también es útil cuando la administración de suscriptores deriva nombres de usuario de suscriptores del ID remoto del agente DHCPv4 (opción 82, subopción 2) o del ID remoto DHCPv6 (opción 37). En estos casos, el nombre de usuario resultante está en el formato subscriberID|service-plan|accountID|unused; por ejemplo, EricSmith|premiumTier1|314159265|0000 (donde el | carácter es el delimitador). En este ejemplo, la administración de suscriptores analiza el nombre de usuario de izquierda a derecha e identifica el dominio del suscriptor como premiumTier1|314159265|0000. Para crear una asignación de dominio comodín que se utilice para este suscriptor, puede configurar domain map premiumTier1*.
En el siguiente ejemplo, se describe cómo se asignan cuatro suscriptores a dominios diferentes.
Para este ejemplo, hay tres mapas de dominio configurados; El mapa de default dominio, un mapa de dominio llamado example3000.com, y un mapa de dominio comodín llamado example*. Los suscriptores se asignan como se muestra en la siguiente lista:
eric@example3000.com: hay una coincidencia exacta del mapa de dominio, por lo que el suscriptor se asigna al dominio
example3000.com.jack@example1001.com: no hay una coincidencia exacta, pero hay una coincidencia parcial con el dominio comodín, por lo que el suscriptor se asigna al dominio
example*comodín.ginger@example-western.com: no hay una coincidencia exacta, pero hay una coincidencia parcial con el dominio comodín, por lo que el suscriptor también se asigna al dominio
example*comodín.sunshine@test.com: no hay una coincidencia exacta ni parcial con el dominio comodín, por lo que el suscriptor se asigna al
defaultdominio.
Para configurar una asignación de dominio comodín:
Especificación de un perfil de acceso en un mapa de dominio
Utilice perfiles de acceso para especificar las reglas y opciones de acceso (por ejemplo, el servidor de autenticación RADIUS y los atributos) que el enrutador aplica a las sesiones de suscriptor. La función de mapa de dominio le permite aplicar un perfil de acceso específico para suscriptores en un dominio en particular.
Los perfiles de acceso se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica los perfiles de acceso según las reglas de precedencia que se muestran en la tabla 2.
Prioridad (de mayor a menor) |
Cómo se aplica el perfil de acceso |
|---|---|
1 |
Especificado por el atributo RADIUS Redirect-VRouter-Name (VSA 26-25) |
2 |
Especificado en la estrofa de configuración del mapa de dominio |
3 |
Especificado indirectamente en la estrofa de configuración del mapa de dominio por la asignación de instancia de enrutamiento o sistema lógico AAA |
4 |
Especificado en la estrofa de configuración del cliente |
5 |
Especificado en la estrofa de configuración del sistema lógico/instancia de enrutamiento |
Para incluir un perfil de acceso en un mapa de dominio:
Especificación de un grupo de direcciones en un mapa de dominio
Puede utilizar la función de asignación de dominio para especificar el conjunto de direcciones que el enrutador utiliza para asignar direcciones para las sesiones de suscriptor. El conjunto de direcciones puede incluir rangos de direcciones IPv4 e IPv6.
Los grupos de direcciones se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica el conjunto de direcciones según las reglas de precedencia que se muestran en la tabla 3.
Prioridad (de mayor a menor) |
Cómo se proporciona la referencia del conjunto de direcciones |
|---|---|
1 |
Especificado por el atributo Framed-Pool de RADIUS (atributo RADIUS 88) |
2 |
Configurado en la estrofa de configuración del mapa de dominio |
3 |
Especificado en la estrofa de configuración del cliente (por reglas de coincidencia de dirección) |
Para especificar el conjunto de direcciones utilizado para un mapa de dominio:
Especificación de un perfil dinámico en un mapa de dominio
Un perfil dinámico define el conjunto de características que proporcionan acceso y servicios dinámicos para las sesiones del suscriptor (como la clase de servicio, los protocolos y la compatibilidad con interfaces). La función de mapa de dominio le permite aplicar un perfil dinámico específico basado en los dominios de los suscriptores.
Los perfiles dinámicos se configuran en la [edit dynamic-profiles] jerarquía y se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica los perfiles dinámicos según las reglas de precedencia que se muestran en la tabla 4.
Prioridad (de mayor a menor) |
Cómo se aplica el perfil dinámico |
|---|---|
1 |
Especificado por el atributo RADIUS Virtual-Router (VSA 26-1) o el atributo Redirect-VRouter-Name (VSA 26-25) |
2 |
Especificado en la estrofa de configuración del mapa de dominio |
3 |
Especificado en la estrofa de configuración del cliente |
Para incluir un perfil dinámico en un mapa de dominio:
Especificación de un sistema lógico o una instancia de enrutamiento AAA en una asignación de dominio
De forma predeterminada, un mapa de dominio utiliza el sistema lógico del suscriptor o la instancia de enrutamiento como contexto en el que el daemon envía solicitudes de authd autenticación y contabilidad AAA. Opcionalmente, puede configurar la asignación de dominio para dirigir las solicitudes AAA a un contexto determinado, según el nombre de dominio del suscriptor. La especificación de un contexto de AAA no predeterminado le permite administrar el flujo de trabajo y la carga de tráfico, y realizar cambios de manera eficiente para un gran número de suscriptores. Por ejemplo, después de actualizar los servicios de RADIUS, puede configurar una asignación de dominio para especificar que todos los suscriptores del dominio example.com estén ahora autenticados por un servidor de RADIUS en un contexto AAA determinado.
Cambiar el contexto de AAA no cambia el contexto del suscriptor. Utilice la target-logical-system instrucción para configurar explícitamente el sistema lógico/instancia de enrutamiento para los suscriptores.
Para configurar el contexto de instancia de enrutamiento o sistema lógico que se usa para las solicitudes AAA:
La administración de suscriptores solo se admite en el sistema lógico predeterminado.
Especificación de un sistema lógico de destino/instancia de enrutamiento en una asignación de dominio
De forma predeterminada, el enrutador coloca a un suscriptor en el contexto de instancia de enrutamiento o sistema lógico de la interfaz en la que se inician las negociaciones del suscriptor. Más adelante puede cambiar la instancia de enrutamiento del contexto del suscriptor mediante el uso de un mapa de dominio o del servidor de autenticación RADIUS.
La administración de suscriptores solo se admite en el sistema lógico predeterminado, sin embargo, puede configurar la asignación de dominio para utilizar una instancia de enrutamiento no predeterminada. Además, si ya está configurada una instancia de enrutamiento no predeterminada, puede configurar la asignación de dominio para que utilice la instancia de enrutamiento predeterminada.
Para configurar el contexto de instancia de enrutamiento o sistema lógico utilizado para la interfaz de un suscriptor:
La administración de suscriptores solo se admite en el sistema lógico predeterminado.
Especificación de un perfil de túnel en un mapa de dominio
Los perfiles de túnel especifican las definiciones de túnel (por ejemplo, un conjunto de túneles L2TP y sus atributos) que el enrutador aplica a las sesiones de los suscriptores. La función de mapa de dominio le permite aplicar un perfil de túnel específico a los suscriptores de un dominio determinado.
Un perfil de túnel especificado por un servidor RADIUS en el atributo Tunnel-Group (VSA 26-64) tiene prioridad sobre el perfil de túnel especificado en el mapa de dominio.
Para incluir un perfil de túnel en un mapa de dominio:
Ver también
Especificación de un perfil de conmutador de túnel en una asignación de dominio
Los perfiles de conmutador de túnel determinan si los paquetes de una sesión de suscriptor L2TP de una LAC se conmutan a otra sesión que tiene un LNS de destino diferente. El perfil de conmutador de túnel también puede especificar cómo se manejan ciertos AVP L2TP cuando los paquetes se conmutan a un segundo túnel. La función de mapa de dominio le permite aplicar un perfil de conmutador de túnel específico a los suscriptores de un dominio determinado.
Un perfil de conmutador de túnel especificado por un servidor RADIUS en el VSA de perfil de conmutador de túnel (26-91) tiene prioridad sobre el perfil de conmutador de túnel especificado en el mapa de dominio. Si se recibe el VSA de grupo de túnel (26-64) además del VSA de perfil de conmutación de túnel (26-91), el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el VSA de grupo de túnel (26-64), lo que garantiza que los suscriptores estén conmutados por túneles en lugar de tunelizados por LAC.
Para incluir un perfil de conmutador de túnel en un mapa de dominio:
Ver también
Configuración del uso de nombres de dominio y dominio para mapas de dominio
Puede configurar cómo el enrutador determina los nombres de dominio que se utilizan para la función de asignación de dominios. A nivel global, puede especificar reglas que se utilizan para los mapas de dominio. Las reglas globales permiten especificar caracteres adicionales que el enrutador puede reconocer como delimitadores de nombres de dominio o dominio y especificar la dirección que utiliza el enrutador para analizar nombres de dominio o dominio. El propósito de analizar un nombre de dominio o dominio es identificar un nombre único y único que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre está en el formato de nombre de dominio típico (joseph@example.com) o en el formato de nombre de dominio (example.com\marilyn). El enrutador utiliza el nombre de dominio resultante para operaciones tales como la búsqueda y el procesamiento de mapas de dominio. En el nivel del mapa de dominio, también puede habilitar la eliminación de nombres de dominio. La eliminación de nombres de dominio especifica que el enrutador elimine el dominio analizado o el nombre de dominio del nombre de usuario del suscriptor antes de realizar cualquier procesamiento adicional para el mapa de dominio.
Para configurar reglas de uso de nombres de dominio para mapas de dominio:
Especificación de delimitadores de nombres de dominio y dominio
Un delimitador es el carácter que separa el nombre de usuario de un suscriptor del nombre de dominio o dominio. Los delimitadores se utilizan comúnmente para el análisis de nombres de dominio o dominio o la eliminación de nombres de dominio. Puede especificar un máximo de ocho delimitadores que el enrutador utilizará para reconocer nombres de dominio o dominio para un mapa de dominio. Si no configura ningún delimitador, el enrutador utilizará el carácter de forma predeterminada para los @ nombres de dominio. No hay un delimitador predeterminado para los nombres de dominio.
Por ejemplo, su red puede incluir los bob@test.comsuscriptores , , pete!example.comy test.net\maria. En este caso, configuraría el enrutador para que reconozca los caracteres @ y ! como delimitadores de nombre de dominio, y el carácter como delimitador de nombre de \ dominio.
Tenga en cuenta las siguientes directrices al especificar delimitadores:
No puede usar el punto y coma (;) como delimitador.
Si configura delimitadores de nombre de dominio opcionales, también debe especificar el
@carácter (el delimitador predeterminado) si desea seguir utilizándolo como delimitador.Si configura delimitadores de nombre de dominio opcionales y, a continuación, los desconfigura, el enrutador vuelve a establecer el delimitador de mapa de dominio en el carácter predeterminado
@.
Para configurar delimitadores de nombres de dominio y dominio para mapas de dominio:
Especificación del orden de análisis para nombres de dominio y dominio
El enrutador analiza el dominio del nombre de usuario o el nombre de dominio para identificar un nombre único y único que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre está en el formato de nombre de dominio típico (joseph@example.com) o en el formato de nombre de dominio (example.com\marilyn). Puede especificar si el enrutador busca primero en el nombre de usuario del suscriptor un nombre de dominio o un nombre de dominio. Si el enrutador no encuentra el nombre especificado (por ejemplo, usted especifica realm-first y no hay ningún nombre de dominio en el nombre de usuario), el enrutador busca el segundo tipo de nombre (nombre de dominio, en este caso). Si el enrutador no encuentra ni un nombre de dominio ni un nombre de dominio, no hay ningún dominio que se pueda utilizar para las operaciones de asignación de dominios.
Para configurar la dirección de análisis del nombre de dominio para los mapas de dominio:
Especificación de la dirección de análisis para nombres de dominio y dominio
Puede especificar la dirección en la que el enrutador realiza la operación de análisis que utiliza para identificar el dominio del suscriptor o los nombres de dominio para los mapas de dominio. Durante la operación de análisis, el enrutador busca el nombre de usuario hasta que reconoce un delimitador. Luego considera cualquier cosa a la derecha del delimitador como el dominio. De forma predeterminada, el enrutador analiza de derecha a izquierda, comenzando por el carácter más a la derecha del nombre de usuario.
El enrutador utiliza el nombre de dominio de un suscriptor para llevar a cabo la búsqueda del mapa de dominio y las operaciones de procesamiento. Puede configurar cómo el enrutador identifica un nombre de dominio único cuando el nombre del usuario se presenta en un formato de nombre de dominio tradicional o en un nombre de dominio. En el formato tradicional de nombre de dominio, el nombre del usuario va seguido del nombre de dominio; por ejemplo, joe@example.com. En el formato de nombre de dominio, el nombre del usuario va precedido por el nombre de dominio, denominado nombre de dominio; Por ejemplo, example.com@joe. El propósito de analizar un nombre de dominio o dominio es identificar un único nombre que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre es el nombre de dominio original del usuario o el nombre de dominio. El enrutador utiliza el nombre de dominio resultante para operaciones tales como la búsqueda y el procesamiento de mapas de dominio. En el nivel del mapa de dominio, también puede habilitar la eliminación de nombres de dominio.
La dirección de análisis de dominio que utilice es importante cuando hay nombres de dominio anidados. Por ejemplo, para el nombre user1@test.com@example.comde usuario , el análisis de derecha a izquierda produce un nombre de dominio de example.com. Para el mismo nombre de usuario, el análisis de izquierda a derecha produce un nombre de dominio de test.com@example.com.
Esta operación es similar a analizar la parte de usuario de un nombre de usuario, pero la dirección predeterminada y los resultados son diferentes.
Para configurar la dirección de análisis del nombre de dominio para los mapas de dominio:
Habilitación de la eliminación de nombres de dominio
Puede configurar el enrutador para eliminar el nombre de dominio de los nombres de usuario antes de utilizar cualquier servicio AAA. La eliminación de nombres de dominio se realiza para mapas de dominio. El enrutador utiliza los delimitadores y la dirección de análisis que configure globalmente para determinar el nombre de dominio que se elimina. Por ejemplo, si el enrutador utiliza el delimitador predeterminado y la dirección right-to-leftde análisis, el nombre user1@example.com de usuario se elimina para que sea user1.
Para configurar el enrutador para eliminar el nombre de dominio de los nombres de usuario en un mapa de dominio:
Cambiar el nombre de usuario y la contraseña para simplificar el aprovisionamiento fuera del chasis
En algunos casos de uso, es posible que desee aprovisionar nombres de usuario y contraseñas de autenticación de los suscriptores de L2TP LAC del chasis del enrutador. Puede quitar la parte de usuario del nombre de usuario y anular la contraseña de usuario.
Puede configurar cómo el enrutador identifica la parte del usuario que se eliminará cuando el nombre de usuario se presenta en el formato de nombre de dominio tradicional o en el formato de nombre de dominio. En el formato tradicional de nombre de dominio, el nombre del usuario va seguido del nombre de dominio; por ejemplo, joe@example.com. En el formato de nombre de dominio, el nombre del usuario va precedido por el nombre de dominio, denominado nombre de dominio; Por ejemplo, example.com@joe.
Puede especificar la dirección en la que el enrutador realiza la operación de análisis que utiliza para identificar la parte de usuario del nombre de usuario. Durante la operación de análisis, el enrutador busca el nombre de usuario hasta que reconoce un delimitador. De forma predeterminada, el enrutador analiza de izquierda a derecha, comenzando en el carácter del extremo izquierdo del nombre de usuario. Todo lo que está a la izquierda del delimitador es la parte del usuario. Esta dirección funciona para el formato de nombre de dominio tradicional. Con esta configuración, el enrutador identifica y elimina a Joe de joe@example.com.
Para los nombres de usuario en el formato de nombre de dominio, debe cambiar la dirección de análisis a right-to-left. El enrutador analiza de derecha a izquierda, comenzando en el carácter más a la derecha del nombre de usuario. Cuando el enrutador reconoce el delimitador, considera cualquier cosa a la derecha del delimitador como la parte del usuario. Con esta configuración, el enrutador identifica y elimina a Joe de example.com@joe.
Esta operación es similar a la operación de análisis de nombres de dominio/nombres de dominio, pero la dirección predeterminada y los resultados son diferentes al análisis de nombres de dominio/nombres de dominio.
La parte de usuario se elimina solo para el nombre de usuario enviado a un servidor externo para su autenticación. El nombre de usuario no eliminado se utiliza para las operaciones contables.
Para configurar la parte de usuario que se eliminará del nombre de usuario para todos los nombres de usuario asociados con un mapa de dominio:
Especifique la dirección de análisis que desea que utilice el enrutador:
Úselo
left-to-rightcuando el nombre de usuario esté en el formato típico de nombre de dominio, en el que el nombre de dominio sigue al nombre del usuario.[edit access domain map domain-map-name] user@host# set strip-username left-to-right
Úselo
right-to-leftcuando el nombre de usuario está en el formato de nombre de dominio, en el que el nombre de dominio precede al nombre del usuario.[edit access domain map domain-map-name] user@host# set strip-username right-to-left
Puede especificar una nueva contraseña para anular la contraseña existente para autenticar a cualquier suscriptor asociado con el mapa de dominio. Para anular la contraseña:
Especifique la contraseña de anulación para la autenticación PAP.
[edit access domain map map-name] user@host# set override-password password
-
Especifique la contraseña de anulación para la autenticación CHAP.
[edit access domain map map-name] user@host# set override-chap-password password
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.