Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración básica de autenticación y contabilidad RADIUS

Configuración de parámetros de autenticación y contabilidad para el acceso de suscriptores

Utilice un perfil de acceso para configurar la compatibilidad de autenticación y contabilidad para la característica de administración de acceso de suscriptores. El perfil de acceso permite especificar el tipo de métodos utilizados para la autenticación y la contabilidad. También puede configurar cómo la administración de acceso de suscriptores recopila y utiliza estadísticas contables.

Para configurar la autenticación y la contabilidad del acceso de suscriptor:

  1. Especifique los métodos de autenticación y contabilidad que se van a utilizar.

    Consulte Especificación de los métodos de autenticación y contabilidad para el acceso de suscriptores.

  2. Especifique cómo se recopilan las estadísticas contables.

    Consulte Configuración de la contabilidad de sesión por suscriptor.

Especificación de los métodos de autenticación y contabilidad para el acceso de suscriptor

Puede especificar los métodos de autenticación y contabilidad que utiliza la administración de acceso de suscriptores.

Puede configurar varios métodos de autenticación y contabilidad: las authentication-order instrucciones y accounting order especifican el orden en que la característica de administración de acceso de suscriptores utiliza los métodos. Por ejemplo, una entrada de autenticación de especifica que primero se realiza la autenticación RADIUS; si se agota el tiempo de radius password espera (por ejemplo, si no se puede acceder al servidor RADIUS), se intenta la autenticación local (password). Sin embargo, si un método rechaza el intento de autenticación, no se intenta ningún método posterior. Si password se configura como el primer método que se intenta, la autenticación siempre se acepta o se rechaza; en cualquier caso, no se intenta ningún otro método.

Puede especificar los siguientes métodos de autenticación con la authentication-order instrucción:

  • radius: autenticación basada en RADIUS mediante un servidor RADIUS externo.

  • password: autenticación local mediante nombres de usuario y contraseñas configurados y almacenados localmente.

    La administración de acceso de suscriptores no admite la opción hasta la password versión 18.2R1 de Junos OS. A partir de Junos OS versión 18.2R1, puede utilizar la opción para proporcionar autenticación local para suscriptores individuales, normalmente cuando no tiene servidores externos de autenticación y autorización, o cuando desea utilizar la password autenticación local como copia de seguridad de la autenticación externa. En este caso, configure la contraseña de suscriptor real con la password opción de la subscriber username instrucción en el perfil de acceso. En versiones anteriores, siempre debe especificar el método de radius autenticación.

Puede especificar los siguientes métodos de contabilidad:

  • radius: contabilidad basada en RADIUS mediante un servidor RADIUS externo.

Para configurar los métodos de autenticación y contabilidad para la administración de acceso de suscriptores:

  1. Especifique los métodos de autenticación y el orden en que se utilizan.
  2. Especifique el método de contabilidad.

Especificación de servidores de autenticación y cuentas RADIUS para el acceso de suscriptores

Puede especificar uno o más servidores de autenticación o cuentas RADIUS para usarlos en la administración de acceso de suscriptores.

Para configurar la autenticación RADIUS y la compatibilidad con cuentas:

  1. Especifique que desea configurar la compatibilidad con RADIUS.
  2. Especifique la dirección IP del servidor RADIUS utilizado para la autenticación.
  3. Especifique la dirección IP del servidor RADIUS utilizado para la contabilidad.

Para configurar varios servidores de cuentas o autenticación RADIUS:

  • Especifique las direcciones IP de todos los servidores RADIUS utilizados para la autenticación o la contabilidad.

Configuración de la autenticación y autorización locales para suscriptores

A partir de Junos OS versión 18.2R1, puede configurar la autenticación local y la autorización local limitada para suscriptores. La autenticación local admite todos los tipos de suscriptores que actualmente admiten la administración de suscriptores y los servicios de los enrutadores de la serie MX. La autenticación y autorización local son útiles en las siguientes circunstancias:

  • Cuando no desee utilizar servidores externos de autenticación y autorización.

  • Cuando desee que la autenticación local y la autorización proporcionen un método de copia de seguridad en caso de que se produzca un error en la autenticación RADIUS.

  • Cuando migra una red de enrutadores serie E que ejecutan software JunosE a enrutadores serie MX que ejecutan Junos OS.

Habilite la autenticación y autorización locales para suscriptores configurando la password opción que se configurará como método authentication-order para el perfil de acceso. A continuación, configure una contraseña para cada suscriptor que desee autenticar localmente. Cuando un suscriptor asociado con el perfil de acceso inicia sesión, el nombre de usuario de inicio de sesión se compara con el nombre de usuario configurado. Si eso coincide, entonces la contraseña de inicio de sesión se compara con la contraseña configurada. Los errores de autenticación local se deben a una falta de coincidencia de credenciales; es decir, el nombre de usuario o la contraseña del suscriptor no coinciden.

La autenticación local puede adoptar la forma de cualquiera de los siguientes elementos:

  • Autenticación de contraseña de usuario: la contraseña configurada se utiliza para verificar la contraseña de inicio de sesión del suscriptor.

  • Autenticación por desafío mutuo (CHAP): la contraseña configurada actúa como secreto de desafío para verificar la contraseña de desafío y la credencial de respuesta de desafío del suscriptor.

También puede configurar opcionalmente varios atributos, como el grupo de direcciones, el sistema lógico o la instancia de enrutamiento, para que se autoricen localmente para el suscriptor cuando la autenticación se realice correctamente. Si no configura una dirección o un grupo de direcciones para la autorización local, la asignación de direcciones se basa en la coincidencia de red o en el primer grupo de direcciones asignado a la instancia de enrutamiento.

Nota:

La autenticación y autorización locales admiten un máximo de 100 suscriptores en todo el chasis. Si los suscriptores están configurados en perfiles de acceso donde authentication-order password no está configurado, no se produce la autenticación local, pero estos suscriptores cuentan para el límite del sistema de 100 suscriptores para la autenticación local.

Para configurar la autenticación y autorización locales:

  1. Habilite la autenticación local.

    Si desea que solo se use la autenticación local, configúrela password como único método de autenticación. Si desea que la autenticación local realice una copia de seguridad de la autenticación RADIUS en caso de que se agote el tiempo de espera del método, debe configurarlo radius como primer método y password como segundo método así:

    Si se configura password como primer método, la autenticación siempre se acepta o se rechaza. En cualquier caso, nunca se intenta un segundo método.

  2. Configure la contraseña local para el suscriptor.
  3. (Opcional) Configure una dirección IPv4 para el suscriptor.
  4. (Opcional) Configure un grupo de direcciones para asignar una dirección IPv4 para el suscriptor.
  5. (Opcional) Configure un grupo de direcciones para asignar un prefijo IPv6 de anuncio de enrutador o una dirección DHCPv6 IA_NA/128 para el suscriptor.
  6. (Opcional) Configure un grupo de direcciones para asignar localmente un prefijo IPv6 delegado.
  7. (Opcional) Configure un sistema lógico y, si lo desea, una instancia de enrutamiento asignada al suscriptor.
  8. (Opcional) Configure una instancia de enrutamiento para el suscriptor.

Puede utilizar los siguientes show comandos para mostrar información sobre la autenticación local:

  • show network-access aaa statistics authentication detail: muestra estadísticas de errores para la autenticación local.

  • show network-access requests statistics: muestra estadísticas de autenticación local y de reautenticación local, como las solicitudes recibidas y el número de respuestas correctas y erróneas.

  • show network-access aaa statistics re-authentication: muestra estadísticas de reautenticación, pero se agregan tanto a partir de la autenticación local como de RADIUS.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, puede configurar la autenticación local y la autorización local limitada para suscriptores.