Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración básica de autenticación y contabilidad de RADIUS

Configuración de parámetros de autenticación y contabilidad para el acceso del suscriptor

Utilice un perfil de acceso para configurar la autenticación y la compatibilidad con la auditoría de la función de administración de acceso de los suscriptores. El perfil de acceso le permite especificar el tipo de métodos utilizados para la autenticación y la contabilidad. También puede configurar cómo la administración de acceso de los suscriptores recopila y utiliza las estadísticas contables.

Para configurar la autenticación y contabilización para el acceso de los suscriptores:

  1. Especifique los métodos de autenticación y contabilidad que se deben utilizar.

    Consulte Especificación de los métodos de autenticación y contabilidad para el acceso de suscriptores.

  2. Especifique cómo se recopilan las estadísticas contables.

    Consulte Configurar la contabilidad de la sesión por suscriptor.

Especificación de los métodos de autenticación y contabilidad para el acceso del suscriptor

Puede especificar los métodos de autenticación y contabilidad que utilizará la administración de acceso de suscriptores.

Puede configurar varios métodos de autenticación y contabilidad: las authentication-order instrucciones and accounting order especifican el orden en que la función de administración de acceso de suscriptores utiliza los métodos. Por ejemplo, una entrada de autenticación de especifica que la autenticación RADIUS se realiza primero; si se agota el tiempo de radius password espera (por ejemplo, si no se puede acceder al servidor RADIUS), se intenta la autenticación local (password). Sin embargo, si un método rechaza el intento de autenticación, no se intenta ningún método posterior. Si password se configura como el primer método que se intenta, la autenticación siempre se acepta o se rechaza; en cualquier caso, no se intenta ningún otro método.

Puede especificar los siguientes métodos de autenticación con la authentication-order instrucción:

  • radius: autenticación basada en RADIUS mediante un servidor RADIUS externo.

  • password—Autenticación local utilizando nombres de usuario y contraseñas configurados y almacenados localmente.

    La administración de acceso de suscriptores no admite la opción hasta la password versión 18.2R1 de Junos OS. A partir de Junos OS versión 18.2R1, puede usar la opción de proporcionar autenticación local para suscriptores individuales, normalmente cuando no dispone de servidores de autenticación y autorización externos, o cuando desea utilizar la password autenticación local como respaldo de la autenticación externa. En este caso, configure la contraseña real del suscriptor con la password opción de la subscriber username instrucción en el perfil de acceso. En versiones anteriores, siempre debe especificar el método de radius autenticación.

Puede especificar los siguientes métodos de contabilidad:

  • radius—Contabilidad basada en RADIUS mediante un servidor RADIUS externo.

Para configurar los métodos de autenticación y contabilidad para la administración del acceso de los suscriptores:

  1. Especifique los métodos de autentificación y el orden en que se utilizan.
  2. Especifique el método de contabilidad.

Especificación de servidores de autenticación y contabilidad de RADIUS para el acceso del suscriptor

Puede especificar uno o varios servidores de autenticación o contabilidad de RADIUS para utilizarlos en la administración del acceso de los suscriptores.

Para configurar la autenticación de RADIUS y la compatibilidad con contabilidad:

  1. Especifique que desea configurar la compatibilidad con RADIUS.
  2. Especifique la dirección IP del servidor de RADIUS utilizado para la autenticación.
  3. Especifique la dirección IP del servidor RADIUS utilizado para la contabilidad.

Para configurar varios servidores de autenticación o contabilidad RADIUS:

  • Especifique las direcciones IP de todos los servidores de RADIUS utilizados para la autenticación o la contabilidad.

Configuración de la autenticación local y la autorización para suscriptores

A partir de Junos OS versión 18.2R1, puede configurar la autenticación local y la autorización local limitada para suscriptores. La autenticación local admite todos los tipos de suscriptores que actualmente son compatibles con la administración y los servicios de suscriptores en enrutadores de la serie MX. La autenticación y autorización local son útiles en las siguientes circunstancias:

  • Cuando no desee utilizar servidores de autenticación y autorización externos.

  • Cuando desee autenticación local y autorización para proporcionar un método de respaldo en caso de que falle la autenticación RADIUS.

  • Cuando migre una red de enrutadores E Series que ejecutan software JunosE a enrutadores de la serie MX que ejecutan Junos OS.

Habilite la autenticación y autorización locales para los suscriptores configurando la password opción que se configurará como un authentication-order método para el perfil de acceso. A continuación, configure una contraseña para cada suscriptor que desee autenticar localmente. Cuando un suscriptor asociado con el perfil de acceso inicia sesión, el nombre de usuario de inicio de sesión se compara con el nombre de usuario configurado. Si coincide, la contraseña de inicio de sesión se compara con la contraseña configurada. Los errores de autenticación local se deben a errores de coincidencia de credenciales; es decir, el nombre de usuario o la contraseña del suscriptor no coinciden.

La autenticación local puede adoptar la forma de cualquiera de las siguientes opciones:

  • Autenticación de contraseña de usuario: la contraseña configurada se utiliza para comprobar la contraseña de inicio de sesión del suscriptor.

  • Autenticación de desafío con apretón de manos (CHAP): la contraseña configurada actúa como secreto de desafío para comprobar la contraseña de desafío y la credencial de respuesta de desafío del suscriptor.

También puede configurar opcionalmente varios atributos, como el conjunto de direcciones, el sistema lógico o la instancia de enrutamiento, para que se autoricen localmente para el suscriptor cuando la autenticación se realice correctamente. Si no configura una dirección o agrupación de direcciones para la autorización local, la asignación de direcciones se basa en la coincidencia de red o en la primera agrupación de direcciones asignada a la instancia de enrutamiento.

Nota:

La autenticación y autorización local admiten un máximo de 100 suscriptores en todo el chasis. Si los suscriptores se configuran en perfiles de acceso donde authentication-order password no está configurado, no se produce la autenticación local, pero estos suscriptores cuentan para el límite del sistema de 100 suscriptores para la autenticación local.

Para configurar la autenticación y autorización locales:

  1. Habilite la autenticación local.

    Si desea que solo se utilice la autenticación local, configúrela password como el único método de autenticación. Si desea que la autenticación local realice una copia de seguridad de la autenticación RADIUS en caso de que se agote el tiempo de espera del método, debe configurarlo radius como el primer método y password como el segundo método, así:

    Si configura password como el primer método, la autenticación siempre se acepta o se rechaza. En cualquier caso, nunca se intenta un segundo método.

  2. Configure la contraseña local para el suscriptor.
  3. (Opcional) Configure una dirección IPv4 para el suscriptor.
  4. (Opcional) Configure un conjunto de direcciones para asignar una dirección IPv4 al suscriptor.
  5. (Opcional) Configure un grupo de direcciones para asignar un prefijo IPv6 de anuncio enrutador o una dirección DHCPv6 IA_NA/128 para el suscriptor.
  6. (Opcional) Configure un conjunto de direcciones para asignar localmente un prefijo IPv6 delegado.
  7. (Opcional) Configure un sistema lógico y, si lo desea, una instancia de enrutamiento asignada al suscriptor.
  8. (Opcional) Configure una instancia de enrutamiento para el suscriptor.

Puede utilizar los siguientes show comandos para mostrar información acerca de la autenticación local:

  • show network-access aaa statistics authentication detail: muestra estadísticas de errores para la autenticación local.

  • show network-access requests statistics: muestra estadísticas de autenticación local y reautenticación local, como las solicitudes recibidas y el número de respuestas correctas y fallidas.

  • show network-access aaa statistics re-authentication: muestra estadísticas de reautenticación, pero se agregan tanto a partir de la autenticación local como de RADIUS.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, puede configurar la autenticación local y la autorización local limitada para suscriptores.