Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración básica de autenticación y contabilidad RADIUS

Configuración de parámetros de autenticación y contabilidad para el acceso del suscriptor

Utilice un perfil de acceso para configurar la compatibilidad de autenticación y contabilidad para la función de administración de acceso de suscriptores. El perfil de acceso le permite especificar el tipo de métodos utilizados para la autenticación y la contabilidad. También puede configurar cómo la administración de acceso de suscriptores recopila y utiliza las estadísticas de contabilidad.

Para configurar la autenticación y la contabilidad para el acceso del suscriptor:

  1. Especifique los métodos de autenticación y contabilidad que se usarán.
  2. Especifique cómo se recopilan las estadísticas de contabilidad.

Especificar los métodos de autenticación y contabilidad para el acceso de los suscriptores

Puede especificar los métodos de autenticación y contabilidad que utiliza la administración de acceso de suscriptores.

Puede configurar varios métodos de autenticación y contabilidad: las authentication-order instrucciones y accounting order especifican el orden en el que la función de administración de acceso de suscriptor utiliza los métodos. Por ejemplo, una entrada de autenticación de radius password especifica que la autenticación RADIUS se realiza primero; si el tiempo de espera (por ejemplo, si el servidor RADIUS no es accesible), se intenta la autenticación local (password). Sin embargo, si un método rechaza el intento de autenticación, no se intenta ningún método posterior. Si password se configura como el primer método que se intenta, la autenticación siempre se acepta o rechaza; en cualquier caso, no se intenta ningún otro método.

Puede especificar los siguientes métodos de autenticación con la authentication-order instrucción:

  • radius—Autenticación basada en RADIUS mediante un servidor RADIUS externo.

  • password— Autenticación local mediante nombres de usuario y contraseñas configurados y almacenados localmente.

    La administración de acceso de suscriptores no admite la opción hasta la password versión 18.2R1 de Junos OS. A partir de Junos OS versión 18.2R1, puede usar la password opción para proporcionar autenticación local para suscriptores individuales, normalmente cuando no tiene servidores de autenticación y autorización externos, o cuando desea usar la autenticación local como copia de seguridad de la autenticación externa. En este caso, configure la contraseña del suscriptor real con la password opción de la subscriber username instrucción en el perfil de acceso. En versiones anteriores, siempre debe especificar el método de radius autenticación.

Puede especificar los siguientes métodos de contabilidad:

  • radius—Contabilidad basada en RADIUS mediante un servidor RADIUS externo.

Para configurar los métodos de autenticación y contabilidad para la administración de acceso de suscriptores:

  1. Especifique los métodos de autenticación y el orden en que se utilizan.
  2. Especifique el método de contabilidad.

Especificar servidores de autenticación y contabilidad RADIUS para el acceso del suscriptor

Puede especificar uno o más servidores de autenticación o contabilidad RADIUS que se usarán para la administración de acceso de suscriptores.

Para configurar la compatibilidad con la autenticación y la contabilidad RADIUS:

  1. Especifique que desea configurar la compatibilidad radius.
  2. Especifique la dirección IP del servidor RADIUS utilizado para la autenticación.
  3. Especifique la dirección IP del servidor RADIUS utilizado para la contabilidad.

Para configurar varios servidores de autenticación o contabilidad RADIUS:

  • Especifique las direcciones IP de todos los servidores RADIUS utilizados para la autenticación o la contabilidad.

Configuración de la autenticación y autorización locales para suscriptores

A partir de Junos OS versión 18.2R1, puede configurar la autenticación local y la autorización local limitada para los suscriptores. La autenticación local admite todos los tipos de suscriptores que actualmente son compatibles con la administración y los servicios de suscriptores en enrutadores serie MX. La autenticación y autorización locales son útiles en las siguientes circunstancias:

  • Cuando no desea usar servidores externos de autenticación y autorización.

  • Cuando desea que la autenticación y autorización locales proporcionen un método de copia de seguridad en el caso de que se produzca un error en la autenticación RADIUS.

  • Cuando está migrando una red desde enrutadores serie E que ejecutan software JunosE a enrutadores serie MX que ejecutan Junos OS.

Habilite la autenticación y autorización locales para los suscriptores mediante la configuración de la password opción que se va a configurar como un authentication-order método para el perfil de acceso. A continuación, configure una contraseña para cada suscriptor que desee autenticar localmente. Cuando un suscriptor asociado con el perfil de acceso inicia sesión, el nombre de usuario de inicio de sesión se compara con el nombre de usuario configurado. Si eso coincide, la contraseña de inicio de sesión se compara con la contraseña configurada. Los errores de autenticación local son el resultado de errores de credenciales; es decir, el nombre de usuario o la contraseña del suscriptor no coinciden.

La autenticación local puede adoptar la forma de cualquiera de las siguientes opciones:

  • Autenticación de contraseña de usuario: la contraseña configurada se utiliza para verificar la contraseña de inicio de sesión del suscriptor.

  • Autenticación de apretón de desafío (CHAP): la contraseña configurada actúa como el secreto de desafío para verificar la contraseña de desafío del suscriptor y la credencial de respuesta de desafío.

Opcionalmente, también puede configurar varios atributos, como conjunto de direcciones, sistema lógico o instancia de enrutamiento, para que se autoricen localmente para el suscriptor cuando la autenticación se realice correctamente. Si no configura un conjunto de direcciones o direcciones para la autorización local, la asignación de direcciones se basa en la coincidencia de red o en el primer conjunto de direcciones asignado a la instancia de enrutamiento.

Nota:

La autenticación y autorización locales admiten un máximo de 100 suscriptores en todo el chasis. Si los suscriptores están configurados en perfiles de acceso en los authentication-order password que no está configurado, no se produce la autenticación local, pero estos suscriptores cuentan con el límite del sistema de 100 suscriptores para la autenticación local.

Para configurar la autenticación y la autorización locales:

  1. Habilite la autenticación local.

    Si desea que solo se use la autenticación local, configure password como el único método de autenticación. Si desea que la autenticación local haga una copia de seguridad de la autenticación RADIUS en caso de que el tiempo de espera del método, debe configurar radius como el primer método y password como el segundo método, así:

    Si configura password como el primer método, la autenticación siempre se acepta o rechaza. En cualquier caso, nunca se intenta un segundo método.

  2. Configure la contraseña local para el suscriptor.
  3. (Opcional) Configure una dirección IPv4 para el suscriptor.
  4. (Opcional) Configure un conjunto de direcciones para asignar una dirección IPv4 para el suscriptor.
  5. (Opcional) Configure un conjunto de direcciones para asignar un prefijo IPv6 de anuncio de enrutador o una dirección DHCPv6 IA_NA/128 para el suscriptor.
  6. (Opcional) Configure un conjunto de direcciones para asignar localmente un prefijo IPv6 delegado.
  7. (Opcional) Configure un sistema lógico y, si lo desea, una instancia de enrutamiento asignada al suscriptor.
  8. (Opcional) Configure una instancia de enrutamiento para el suscriptor.

Puede usar los siguientes show comandos para mostrar información acerca de la autenticación local:

  • show network-access aaa statistics authentication detail— Muestra estadísticas de errores para la autenticación local.

  • show network-access requests statistics— Muestra tanto la autenticación local como las estadísticas de reautenticación local, como las solicitudes recibidas, y el número de respuestas de éxito y error.

  • show network-access aaa statistics re-authentication: muestra las estadísticas de reautenticación, pero se agregan desde la autenticación local y RADIUS.

Tabla de historial de versiones
Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, puede configurar la autenticación local y la autorización local limitada para los suscriptores.