EN ESTA PÁGINA
Especificación de un grupo de direcciones en un mapa de dominio
Especificación de un sistema lógico/instancia de enrutamiento AAA en un mapa de dominio
Especificación de un sistema lógico o una instancia de enrutamiento de destino en un mapa de dominio
Especificación de un perfil de conmutador de túnel en un mapa de dominio
Configuración del uso de nombres de dominio y dominio para mapas de dominio
Especificación de delimitadores de nombres de dominio y dominio
Especificar el orden de análisis para los nombres de dominio y dominio
Especificar la dirección de análisis para los nombres de dominio y dominio
Cambiar el nombre de usuario y la contraseña para simplificar el aprovisionamiento fuera del chasis
Asignación de dominios de suscriptor a opciones de acceso y sesión
Descripción general de la asignación de dominios
La asignación de dominios permite configurar un mapa que especifica las opciones de acceso y los parámetros específicos de la sesión. El mapa se basa en el nombre de dominio de las sesiones de suscriptor: el enrutador aplica las opciones y parámetros asignados a las sesiones para suscriptores que tienen los dominios especificados. Por ejemplo, puede configurar un mapa de dominio basado en el nombre example.com
de dominio . Las opciones y parámetros de ese mapa de dominio se aplican cuando los suscriptores con el nombre de dominio especificado (por ejemplo, bob@example.com
, raj@example.com
, y juan@example.com
) solicitan un servicio AAA.
El nombre de usuario de un suscriptor generalmente se compone de dos partes: el nombre del usuario seguido del nombre de dominio del usuario, que están separadas por un carácter delimitador. El nombre de dominio siempre está a la derecha del delimitador de dominio. Por ejemplo, en el nombre de usuario, juan@example.com
, el nombre juan
del usuario va seguido del nombre example.com
de dominio , y los dos están separados por el @
carácter delimitador.
Sin embargo, algunos sistemas utilizan un formato de nombre de usuario en el que el nombre precedes de dominio es el nombre del usuario. Para evitar confusiones con el uso típico de nombres de dominio, este tipo de nombre de dominio anterior se denomina nombre de dominio y el nombre de dominio se encuentra a la izquierda del delimitador de dominio. Por ejemplo, en el nombre de usuario, top321-example.com/mary
, la top321-example.com
parte es el nombre del reino, mary
es el nombre del usuario y el /
carácter es el carácter delimitador.
El mapa de dominio proporciona eficiencia y le permite realizar cambios para un gran número de suscriptores en una sola operación. Por ejemplo, si un grupo de asignación de direcciones se agota debido al número de suscriptores que obtienen direcciones del grupo, puede crear un mapa de dominio que especifique que los suscriptores de un dominio determinado obtienen direcciones de un grupo diferente. En otro uso del mapa de dominio, puede crear un nuevo perfil dinámico y, a continuación, configurar el mapa de dominio para especificar qué suscriptores (por su dominio) utilizan ese perfil dinámico.
A partir de Junos OS versión 21.3R1, puede configurar subdominios en un mapa de dominio. En un subdominio, puede configurar perfiles de acceso por VLAN o para un rango de VLAN. Esta mejora le da la flexibilidad para diferenciar a los usuarios en un dominio y para proporcionar diferentes servicios en función de los perfiles de los usuarios.
La administración de suscriptores solo se admite en el sistema lógico predeterminado. En la documentación de la característica de asignación de dominio de administración de suscriptores se describe el uso de las instrucciones y target-logical-system
para configurar la aaa-logical-system
asignación a un sistema lógico no predeterminado. Estas declaraciones son para futuras extensiones de la administración de suscriptores.
En la tabla 1 se describen las opciones y parámetros de acceso que se pueden configurar en el mapa de dominio.
Opción |
Descripción |
---|---|
Sistema lógico/instancia de enrutamiento AAA |
Sistema lógico/instancia de enrutamiento en la que AAA envía solicitudes de autenticación y contabilidad para las sesiones del suscriptor. La administración de suscriptores solo se admite en el sistema lógico predeterminado. |
Perfil de acceso |
Perfil de acceso aplicado a las sesiones de suscriptor. |
Grupo de direcciones |
Grupo de direcciones utilizado para asignar direcciones a los suscriptores. |
Reglas de nombres de dominio y dominio |
Reglas para el uso de nombres de dominio y dominio, incluida la eliminación de nombres de dominio, los delimitadores admitidos y la dirección del análisis (los delimitadores y la dirección del análisis se configuran globalmente). |
Perfil dinámico |
Perfil dinámico aplicado a las sesiones de suscriptor. |
Parámetros de PADN |
Información de ruta PPPoE para sesiones de suscriptor. |
Sistema lógico/instancia de enrutamiento de destino |
Sistema lógico/instancia de enrutamiento a la que está conectada la interfaz de suscriptor. La administración de suscriptores solo se admite en el sistema lógico predeterminado. |
Perfil de túnel |
Perfil de túnel aplicado a las sesiones de suscriptor. |
- Tipos de mapas de dominio y su orden de precedencia
- Mapa de dominio comodín
- Mapa de dominio predeterminado
- Mapa de dominio para nombres de usuario de suscriptores sin nombre de dominio o dominio
- Descripción de los mapas de dominio y los contextos del sistema lógico/instancia de enrutamiento
- Ventajas de usar mapas de dominio
Tipos de mapas de dominio y su orden de precedencia
A partir de Junos OS versión 16.1, la administración de suscriptores utiliza un orden específico al buscar un mapa de dominio que coincida con el nombre de dominio del suscriptor. La siguiente lista muestra ese orden:
Asignación de dominio de coincidencia exacta: el nombre de dominio del suscriptor es una coincidencia exacta con un mapa de dominio configurado.
Mapa de dominio comodín: el nombre de dominio del suscriptor coincide parcialmente con un mapa de dominio comodín.
default
mapa de dominio: el nombre de dominio del suscriptor no es una coincidencia exacta ni una coincidencia comodín parcial con un mapa de dominio.
Si el nombre de usuario del suscriptor no tiene un nombre de dominio, no se realiza ninguna búsqueda y el suscriptor se asocia con el mapa de none
dominio, si está configurado.
Mapa de dominio comodín
A partir de Junos OS versión 16.1, la función de mapa de dominio comodín permite especificar un nombre de dominio que utilizan los suscriptores cuando no hay una coincidencia exacta con el nombre de dominio del suscriptor. Por ejemplo, si crea un mapa de dominio comodín con el nombre xyz*.example.com
, suscriptores con los nombres xyz.example.com
de dominio , xyz-1234.example.com
, xyz-eastern.example.com
y xyz-northern.example.com
todos están asignados a ese dominio comodín si no había una coincidencia exacta para los nombres de dominio de los suscriptores. Puede insertar el carácter comodín asterisco en cualquier lugar del mapa de dominio para crear la especificación de coincidencia deseada. La asignación de dominio comodín también se utiliza en los casos en que los nombres de suscriptor se derivan del ID remoto del agente DHCPv4 (opción 82, subopción 2) o del ID remoto DHCPv6 (opción 37).
Mapa de dominio predeterminado
Puede configurar un mapa de dominio predeterminado que el enrutador utilice para los suscriptores cuyo nombre de dominio o dominio no coincida explícitamente con ningún mapa de dominio existente y tampoco coincida parcialmente con un mapa de dominio comodín. Especifique el nombre default
como domain map domain-map-name
.
Por ejemplo, puede configurar el mapa de dominio predeterminado para proporcionar compatibilidad limitada de características para los suscriptores invitados, como un grupo de direcciones específico usado para invitados o la instancia de enrutamiento que proporciona servicios AAA. Cuando el enrutador no puede proporcionar una coincidencia exacta o comodín para el suscriptor invitado, utiliza las reglas especificadas en la configuración predeterminada del mapa de dominio para manejar la solicitud del suscriptor invitado.
Mapa de dominio para nombres de usuario de suscriptores sin nombre de dominio o dominio
En algunos casos, es posible que un nombre de usuario de suscriptor no incluya un nombre de dominio o un nombre de dominio; puede configurar un mapa de dominio específico que el enrutador use para estos suscriptores. Especifique el nombre none
como domain map domain-map-name
.
Descripción de los mapas de dominio y los contextos del sistema lógico/instancia de enrutamiento
Puede usar un mapa de dominio para administrar el sistema lógico/instancia de enrutamiento que la administración de suscriptores usa para AAA y contextos de suscriptor. La administración de suscriptores solo se admite en el sistema lógico predeterminado, por lo que puede administrar los contextos configurando la instancia de enrutamiento. En la lista siguiente se describen los dos tipos de contextos:
Contexto del suscriptor: el sistema lógico o la instancia de enrutamiento en la que se coloca la interfaz del suscriptor. Para la mayoría de las sesiones de suscriptor dinámicas, el contexto de la sesión de suscriptor inicial es el sistema lógico predeterminado y la instancia de enrutamiento predeterminada. Una excepción es LNS, en el que el contexto inicial para una sesión LNS dinámica (PPP sobre L2TP) es el mismo que el de la interfaz del mismo nivel (la interfaz orientada hacia LAC). Por lo tanto, para las sesiones LNS, si la interfaz del mismo nivel utiliza una instancia de enrutamiento no predeterminada, el contexto inicial de la sesión del suscriptor también utiliza esa instancia de enrutamiento no predeterminada.
Contexto AAA: instancia de sistema lógico o enrutamiento que la sesión del suscriptor usa para las interacciones RADIUS, como las solicitudes de autenticación y contabilidad. De forma predeterminada, el contexto AAA es el mismo que el contexto inicial del suscriptor. Por lo tanto, para todas las sesiones de suscriptor que no sean sesiones LNS dinámicas, la autenticación y autorización se realizan en el contexto predeterminado del sistema lógico o de la instancia de enrutamiento, a menos que la instancia de enrutamiento predeterminada se cambie explícitamente.
Opcionalmente, puede configurar un mapa de dominio para usar un suscriptor específico o un contexto AAA. Por ejemplo, si inicialmente se crea una sesión LNS dinámica en una instancia de enrutamiento no predeterminada (porque el contexto del suscriptor inicial usa la instancia de enrutamiento no predeterminada), puede usar la target-routing-instance
instrucción para configurar la asignación de dominio para colocar al suscriptor en la instancia de enrutamiento predeterminada. O, por razones de seguridad, es posible que desee tener todas las interacciones de RADIUS en un contexto determinado. En este caso, debe usar la aaa-routing-instance
instrucción para configurar la asignación de dominio a fin de cambiar el contexto AAA inicial a la nueva instancia de enrutamiento.
El uso de mapas de dominio para administrar contextos AAA y de suscriptores también es útil en entornos mayoristas de capa 3. Por ejemplo, es posible que desee colocar interfaces VLAN dinámicas en diferentes instancias de enrutamiento no predeterminadas, mientras mantiene todas las interacciones RADIUS en la instancia de enrutamiento predeterminada. En este ejemplo, el contexto AAA inicial se encuentra en la instancia de enrutamiento predeterminada, pero la autorización RADIUS coloca la sesión VLAN del suscriptor en una instancia de enrutamiento no predeterminada. A continuación, puede incluir la aaa-routing-instance
instrucción en el mapa de dominio para especificar que el contexto AAA utiliza la instancia de enrutamiento predeterminada para la sesión de VLAN dinámica. La sesión del suscriptor no cambia y permanece en la instancia de enrutamiento no predeterminada.
Ventajas de usar mapas de dominio
Los mapas de dominios simplifican la administración de suscriptores a escala al permitirle realizar cambios para un gran número de suscriptores en una sola operación.
Los mapas de dominio proporcionan granularidad al aplicar cambios a grupos específicos de suscriptores en función de las definiciones de mapa.
Configuración de un mapa de dominio
Para configurar un mapa de dominio para la administración de suscriptores:
Configuración de un mapa de dominio comodín
La administración de suscriptores admite una característica de asignación de dominio comodín que permite configurar una asignación de dominio basada en una coincidencia de comodín parcial. Cuando no hay una coincidencia exacta entre el nombre de dominio del suscriptor y un mapa de dominio configurado, la administración de suscriptores busca una coincidencia parcial entre el nombre de dominio del suscriptor y un mapa de dominio comodín.
Para crear el mapa de dominio comodín, incluya el carácter comodín asterisco al configurar el nombre del mapa de dominio, como domain map example*
. Puede insertar el carácter comodín en cualquier lugar del mapa de dominio, y el comodín puede representar cero o cualquier número de caracteres. El asterisco es el único carácter comodín admitido.
Por ejemplo, la instrucción domain map example*northern.com
de configuración crea un mapa de dominio comodín que coincide parcialmente con todos los nombres de dominio que comienzan con example
y terminan con northern.com
, como examplenorthern.com
, example-northern.com
y example1234northern.com
. Sin embargo, si mueve el carácter comodín del nombre del mapa de dominio a domain map example-northern*.com
, se crea una coincidencia más restrictiva que requiere que los nombres de dominio coincidentes parciales comiencen por example-northern
, como example-northern555.com
o example-northern-alpha.com
.
La asignación de dominios comodín también es útil cuando la administración de suscriptores deriva nombres de usuario de suscriptores del ID remoto del agente DHCPv4 (opción 82, subopción 2) o del ID remoto DHCPv6 (opción 37). En estos casos, el nombre de usuario resultante está en el formato subscriberID|service-plan|accountID|unused
; por ejemplo, EricSmith|premiumTier1|314159265|0000
(donde el |
carácter es el delimitador). En este ejemplo, la administración de suscriptores analiza el nombre de usuario de izquierda a derecha e identifica el dominio del suscriptor como premiumTier1|314159265|0000
. Para crear un mapa de dominio comodín que se utilice para este suscriptor, puede configurar domain map premiumTier1*
.
En el ejemplo siguiente se describe cómo se asignan cuatro suscriptores a dominios diferentes.
Para este ejemplo, hay tres mapas de dominio configurados; el mapa de default
dominio, un mapa de dominio denominado example3000.com
y un mapa de dominio comodín denominado example*
. Los suscriptores se asignan como se muestra en la siguiente lista:
eric@example3000.com: hay una coincidencia exacta del mapa de dominio, por lo que el suscriptor se asigna al dominio
example3000.com
.jack@example1001.com: no hay una coincidencia exacta, pero hay una coincidencia parcial con el dominio comodín, por lo que el suscriptor se asigna al dominio
example*
comodín.ginger@example-western.com: no hay una coincidencia exacta, pero hay una coincidencia parcial con el dominio comodín, por lo que el suscriptor también se asigna al dominio
example*
comodín.sunshine@test.com: no hay una coincidencia exacta ni una coincidencia parcial con el dominio comodín, por lo que el suscriptor se asigna al
default
dominio.
Para configurar un mapa de dominio comodín:
Especificar un perfil de acceso en un mapa de dominio
Los perfiles de acceso se utilizan para especificar las reglas y opciones de acceso (por ejemplo, el servidor de autenticación RADIUS y los atributos) que el enrutador aplica a las sesiones de suscriptor. La función de mapa de dominio le permite aplicar un perfil de acceso específico para los suscriptores de un dominio determinado.
Los perfiles de acceso se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica los perfiles de acceso según las reglas de prioridad que se muestran en la Tabla 2.
Precedencia (de mayor a menor) |
Cómo se aplica el perfil de acceso |
---|---|
1 |
Especificado por el atributo RADIUS Redirect-VRouter-Name (VSA 26-25) |
2 |
Especificado en la estrofa de configuración del mapa de dominio |
3 |
Especificado indirectamente en la estrofa de configuración del mapa de dominio por la asignación de instancia de enrutamiento o sistema lógico AAA |
4 |
Especificado en la estrofa de configuración del cliente |
5 |
Se especifica en la estrofa de configuración del sistema lógico/instancia de enrutamiento |
Para incluir un perfil de acceso en un mapa de dominio:
Especificación de un grupo de direcciones en un mapa de dominio
Puede utilizar la función de asignación de dominios para especificar el grupo de direcciones que utiliza el enrutador para asignar la dirección de las sesiones de suscriptor. El grupo de direcciones puede incluir intervalos de direcciones IPv4 e IPv6.
Los grupos de direcciones se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica el grupo de direcciones según las reglas de prioridad que se muestran en la tabla 3.
Precedencia (de mayor a menor) |
Cómo se proporciona la referencia del grupo de direcciones |
---|---|
1 |
Especificado por el atributo RADIUS Framed-Pool (atributo RADIUS 88) |
2 |
Configurado en la estrofa de configuración del mapa de dominio |
3 |
Especificado en la estrofa de configuración del cliente (por reglas de coincidencia de direcciones) |
Para especificar el grupo de direcciones usado para un mapa de dominio:
Especificación de un perfil dinámico en un mapa de dominio
Un perfil dinámico define el conjunto de características que proporcionan acceso y servicios dinámicos para las sesiones de suscriptor (como clase de servicio, protocolos y compatibilidad con interfaces). La función de mapa de dominio le permite aplicar un perfil dinámico específico basado en dominios de suscriptor.
Los perfiles dinámicos se configuran en la [edit dynamic-profiles]
jerarquía y se pueden especificar o modificar de varias maneras diferentes. Si se producen conflictos, el enrutador aplica los perfiles dinámicos según las reglas de prioridad que se muestran en la Tabla 4.
Precedencia (de mayor a menor) |
Cómo se aplica el perfil dinámico |
---|---|
1 |
Especificado por el atributo RADIUS Virtual-Router (VSA 26-1) o el atributo Redirect-VRouter-Name (VSA 26-25) |
2 |
Especificado en la estrofa de configuración del mapa de dominio |
3 |
Especificado en la estrofa de configuración del cliente |
Para incluir un perfil dinámico en un mapa de dominio:
Especificación de un sistema lógico/instancia de enrutamiento AAA en un mapa de dominio
De forma predeterminada, una asignación de dominio utiliza el sistema lógico del suscriptor/instancia de enrutamiento como contexto en el que el authd
demonio envía solicitudes de autenticación y cuentas AAA. Opcionalmente, puede configurar la asignación de dominio para dirigir las solicitudes AAA a un contexto determinado, en función del nombre de dominio del suscriptor. Especificar un contexto AAA no predeterminado permite administrar el flujo de trabajo y la carga de tráfico, y realizar cambios de forma eficaz para un gran número de suscriptores. Por ejemplo, después de actualizar los servicios RADIUS, puede configurar un mapa de dominio para especificar que ahora todos los suscriptores del dominio example.com
estén autenticados por un servidor RADIUS en un contexto AAA determinado.
Cambiar el contexto AAA no cambia el contexto del suscriptor. Utilice la target-logical-system
instrucción para configurar explícitamente el sistema lógico o la instancia de enrutamiento para los suscriptores.
Para configurar el contexto del sistema lógico o de la instancia de enrutamiento que se usa para las solicitudes AAA:
La administración de suscriptores solo se admite en el sistema lógico predeterminado.
Especificación de un sistema lógico o una instancia de enrutamiento de destino en un mapa de dominio
De forma predeterminada, el enrutador coloca al suscriptor en el contexto del sistema lógico/instancia de enrutamiento de la interfaz en la que se inician las negociaciones del suscriptor. Posteriormente, puede cambiar la instancia de enrutamiento del contexto del suscriptor mediante un mapa de dominio o el servidor de autenticación RADIUS.
La administración de suscriptores solo se admite en el sistema lógico predeterminado; sin embargo, puede configurar el mapa de dominio para que utilice una instancia de enrutamiento no predeterminada. Además, si ya está configurada una instancia de enrutamiento no predeterminada, puede configurar la asignación de dominio para que utilice la instancia de enrutamiento predeterminada.
Para configurar el contexto del sistema lógico/de instancia de enrutamiento utilizado para la interfaz de un suscriptor:
La administración de suscriptores solo se admite en el sistema lógico predeterminado.
Especificación de un perfil de túnel en un mapa de dominio
Los perfiles de túnel especifican definiciones de túnel (por ejemplo, un conjunto de túneles L2TP y sus atributos) que el enrutador aplica a las sesiones de suscriptor. La función de mapa de dominio le permite aplicar un perfil de túnel específico a los suscriptores de un dominio determinado.
Un perfil de túnel especificado por un servidor RADIUS en el atributo Tunnel-Group (VSA 26-64) tiene prioridad sobre el perfil de túnel especificado en el mapa de dominio.
Para incluir un perfil de túnel en un mapa de dominio:
Ver también
Especificación de un perfil de conmutador de túnel en un mapa de dominio
Los perfiles de conmutador de túnel determinan si los paquetes de una sesión de suscriptor L2TP de un LAC se conmutan a otra sesión que tenga un LNS de destino diferente. El perfil de conmutador de túnel también puede especificar cómo se manejan ciertos AVP L2TP cuando los paquetes se conmutan a un segundo túnel. La función de asignación de dominio le permite aplicar un perfil de conmutador de túnel específico a los suscriptores de un dominio determinado.
Un perfil de conmutación de túnel especificado por un servidor RADIUS en el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el perfil de conmutación de túnel especificado en el mapa de dominio. Si se recibe el VSA de grupo de túnel (26-64) además del VSA de perfil de conmutación de túnel (26-91), el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el VSA de grupo de túnel (26-64), lo que garantiza que los suscriptores tengan conmutación de túnel en lugar de túnel de LAC.
Para incluir un perfil de conmutador de túnel en un mapa de dominio:
Ver también
Configuración del uso de nombres de dominio y dominio para mapas de dominio
Puede configurar cómo el enrutador determina los nombres de dominio que se utilizan para la función de asignación de dominios. En el nivel global, puede especificar reglas que se utilizan para los mapas de dominio. Las reglas globales permiten especificar caracteres adicionales que el enrutador puede reconocer como delimitadores de nombres de dominio o dominio y especificar la dirección que utiliza el enrutador para analizar los nombres de dominio o dominio. El propósito de analizar un nombre de dominio o dominio es identificar un nombre único y único que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre está en el formato típico de nombre de dominio (joseph@example.com) o en el formato de nombre de dominio (example.com\marilyn). El enrutador utiliza el nombre de dominio resultante para operaciones como la búsqueda y el procesamiento de mapas de dominio. En el nivel del mapa de dominio, también puede habilitar la eliminación de nombres de dominio. La eliminación de nombres de dominio especifica que el enrutador quite el dominio analizado o el nombre de dominio del suscriptor antes de realizar cualquier procesamiento adicional para el mapa de dominio.
Para configurar reglas de uso de nombres de dominio para mapas de dominio:
Especificación de delimitadores de nombres de dominio y dominio
Un delimitador es el carácter que separa un nombre de usuario de suscriptor del nombre de dominio o reino. Los delimitadores se usan comúnmente para el análisis de nombres de dominio o dominios o la eliminación de nombres de dominio. Puede especificar un máximo de ocho delimitadores que el enrutador utilice para reconocer nombres de dominio o dominio para un mapa de dominio. Si no configura ningún delimitador, el enrutador utiliza el carácter por defecto para los nombres de @
dominio. No hay ningún delimitador predeterminado para los nombres de dominio.
Por ejemplo, la red puede incluir los suscriptores bob@test.com
, pete!example.com
, y test.net\maria
. En este caso, configuraría el enrutador para que reconozca los caracteres @
y !
como delimitadores de nombres de dominio, y el \
carácter como un delimitador de nombre de dominio.
Tenga en cuenta las siguientes directrices al especificar delimitadores:
No puede utilizar el punto y coma (;) como delimitador.
Si configura delimitadores de nombre de dominio opcionales, también debe especificar el
@
carácter (el delimitador predeterminado) si desea seguir usándolo como delimitador.Si configura delimitadores de nombres de dominio opcionales y, a continuación, los desconfigura, el enrutador vuelve a establecer el delimitador de asignación de dominio en el carácter predeterminado
@
.
Para configurar delimitadores de nombres de dominio y dominios para mapas de dominio:
Especificar el orden de análisis para los nombres de dominio y dominio
El enrutador analiza el nombre de usuario, dominio o nombre de dominio para identificar un nombre único y único que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si la fuente del nombre está en el formato de nombre de dominio típico (joseph@example.com) o en el formato de nombre de dominio (example.com\marilyn). Puede especificar si el enrutador busca primero en el nombre de usuario del suscriptor un nombre de dominio o un nombre de dominio. Si el enrutador no encuentra el nombre especificado (por ejemplo, usted especifica realm-first
y no hay ningún nombre de dominio en el nombre de usuario), entonces el enrutador busca el segundo tipo de nombre (nombre de dominio, en este caso). Si el enrutador no encuentra ni un nombre de dominio ni un nombre de dominio, entonces no hay ningún dominio que se pueda usar para las operaciones de asignación de dominio.
Para configurar la dirección de análisis del nombre de dominio para los mapas de dominio:
Especificar la dirección de análisis para los nombres de dominio y dominio
Puede especificar la dirección en la que el enrutador realiza la operación de análisis que utiliza para identificar los nombres de dominio o dominio de suscriptor para los mapas de dominio. Durante la operación de análisis, el enrutador busca el nombre de usuario hasta que reconoce un delimitador. Luego considera cualquier cosa a la derecha del delimitador como el dominio. De forma predeterminada, el enrutador analiza de derecha a izquierda, comenzando en el carácter más a la derecha en el nombre de usuario.
El enrutador utiliza el nombre de dominio de un suscriptor para realizar operaciones de búsqueda y procesamiento de mapas de dominio. Puede configurar cómo el enrutador identifica un nombre de dominio único cuando el nombre del usuario se presenta en un formato de nombre de dominio tradicional o un nombre de dominio. En el formato tradicional de nombre de dominio, el nombre del usuario va seguido del nombre de dominio; por ejemplo, joe@example.com. En el formato de nombre de dominio, el nombre del usuario está precedido por el nombre de dominio, denominado nombre de dominio; Por ejemplo, example.com@joe. El propósito de analizar un nombre de dominio o dominio es identificar un único nombre que el enrutador utiliza como nombre de dominio del suscriptor, independientemente de si el origen del nombre es el nombre de dominio o el nombre de dominio original del usuario. El enrutador utiliza el nombre de dominio resultante para operaciones como la búsqueda y el procesamiento de mapas de dominio. En el nivel del mapa de dominio, también puede habilitar la eliminación de nombres de dominio.
La dirección de análisis del dominio que utilice es importante cuando hay nombres de dominio anidados. Por ejemplo, para el nombre user1@test.com@example.com
de usuario , el análisis de derecha a izquierda produce un nombre de dominio de example.com
. Para el mismo nombre de usuario, el análisis de izquierda a derecha produce un nombre de dominio de test.com@example.com
.
Esta operación es similar a analizar la parte de usuario de un nombre de usuario, pero la dirección predeterminada y los resultados son diferentes.
Para configurar la dirección de análisis del nombre de dominio para los mapas de dominio:
Habilitación de la eliminación de nombres de dominio
Puede configurar el enrutador para quitar el nombre de dominio de los nombres de usuario antes de utilizar cualquier servicio AAA. La eliminación de nombres de dominio se realiza para mapas de dominio. El enrutador utiliza los delimitadores y la dirección de análisis que se configuran globalmente para determinar el nombre de dominio que se quita. Por ejemplo, si el enrutador utiliza el delimitador predeterminado y la dirección right-to-left
de análisis, el nombre user1@example.com
de usuario se elimina para que sea user1
.
Para configurar el enrutador para quitar el nombre de dominio de los nombres de usuario en un mapa de dominio:
Cambiar el nombre de usuario y la contraseña para simplificar el aprovisionamiento fuera del chasis
Para algunos casos de uso, es posible que desee aprovisionar nombres de usuario de suscriptor de L2TP LAC y contraseñas de autenticación fuera del chasis del enrutador. Puede quitar la parte de usuario del nombre de usuario y anular la contraseña de usuario.
Puede configurar la forma en que el enrutador identifica la parte de usuario que se va a quitar cuando el nombre de usuario se presenta en el formato de nombre de dominio tradicional o en el formato de nombre de dominio. En el formato tradicional de nombre de dominio, el nombre del usuario va seguido del nombre de dominio; por ejemplo, joe@example.com. En el formato de nombre de dominio, el nombre del usuario está precedido por el nombre de dominio, denominado nombre de dominio; Por ejemplo, example.com@joe.
Puede especificar la dirección en la que el enrutador realiza la operación de análisis que utiliza para identificar la parte de usuario del nombre de usuario. Durante la operación de análisis, el enrutador busca el nombre de usuario hasta que reconoce un delimitador. De forma predeterminada, el enrutador analiza de izquierda a derecha, comenzando en el carácter más a la izquierda del nombre de usuario. Todo lo que está a la izquierda del delimitador es la parte del usuario. Esta dirección funciona para el formato de nombre de dominio tradicional. Con esta configuración, el enrutador identifica y elimina a joe de joe@example.com.
Para los nombres de usuario en el formato de nombre de dominio, debe cambiar la dirección del análisis a right-to-left
. El enrutador analiza de derecha a izquierda, comenzando en el carácter más a la derecha en el nombre de usuario. Cuando el enrutador reconoce el delimitador, considera cualquier cosa a la derecha del delimitador como la parte del usuario. Con esta configuración, el enrutador identifica y elimina joe de example.com@joe.
Esta operación es similar a la operación de análisis de nombre de dominio/nombre de dominio, pero la dirección predeterminada y los resultados son diferentes a los del análisis de nombre de dominio/nombre de dominio.
La parte de usuario se elimina solo para el nombre de usuario enviado a un servidor externo para su autenticación. El nombre de usuario sin quitar se utiliza para las operaciones de contabilidad.
Para configurar la parte de usuario que se eliminará del nombre de usuario para todos los nombres de usuario asociados con un mapa de dominio:
Especifique la dirección de análisis que desea que utilice el enrutador:
Se utiliza
left-to-right
cuando el nombre de usuario está en el formato de nombre de dominio típico, en el que el nombre de dominio sigue al nombre del usuario.[edit access domain map domain-map-name] user@host# set strip-username left-to-right
Se usa
right-to-left
cuando el nombre de usuario está en el formato de nombre de dominio, en el que el nombre de dominio precede al nombre del usuario.[edit access domain map domain-map-name] user@host# set strip-username right-to-left
Puede especificar una nueva contraseña para anular la contraseña existente para autenticar a cualquier suscriptor asociado con el mapa de dominios. Para anular la contraseña:
Especifique la contraseña de anulación para la autenticación PAP.
[edit access domain map map-name] user@host# set override-password password
-
Especifique la contraseña de reemplazo para la autenticación CHAP.
[edit access domain map map-name] user@host# set override-chap-password password
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.