Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Servidores y parámetros RADIUS para el acceso del suscriptor

Configurar parámetros y opciones para servidores RADIUS es una parte importante de su configuración de administración de suscriptores. Después de definir los servidores de autenticación y contabilidad, configure las opciones para todos los servidores RADIUS. También configura perfiles de acceso que le permiten especificar parámetros de configuración de autenticación de acceso de suscriptores, autorización y configuración de contabilidad para suscriptores o grupos de suscriptores. La configuración del perfil anula la configuración global. Aunque algunas opciones están disponibles tanto a nivel global como a nivel del perfil de acceso, muchas opciones solo están disponibles en los perfiles de acceso.

Después de crear un perfil de acceso, debe especificar dónde se utiliza el perfil con una access-profile instrucción; esto se conoce como adjuntar el perfil. Los perfiles de acceso se pueden asignar en varios niveles. Por ejemplo, algunos de los lugares en los que puede adjuntar perfiles de acceso

  • Globalmente para una instancia de enrutamiento.

  • En perfiles dinámicos.

  • En un mapa de dominios, que asigna opciones de acceso y parámetros de sesión para las sesiones de suscriptor.

  • En las interfaces para VLAN dinámicas y VLAN apiladas dinámicas.

  • En la interfaz o en un grupo de suscriptores para suscriptores con interfaces configuradas estáticamente para el aprovisionamiento de servicio dinámico.

  • En agentes de retransmisión DHCP y servidores locales DHCP para clientes o suscriptores DHCP.

Dado que puede adjuntar perfiles de acceso en muchos niveles, el perfil de acceso más específico tiene prioridad sobre cualquier otra asignación de perfil para evitar conflictos. La autenticación y la contabilidad no se ejecutan a menos que adjunte el perfil.

Definición del servidor de autenticación y contabilidad RADIUS

Cuando utilice RADIUS para la administración de suscriptores, debe definir uno o más servidores RADIUS externos con los que el enrutador se comunique para la autenticación y la contabilidad del suscriptor. Además de especificar la dirección IPv4 o IPv6 del servidor, puede configurar opciones y atributos que determinan cómo interactúa el enrutador con los servidores especificados.

Puede definir servidores RADIUS y opciones de conectividad en el [edit access radius-server] nivel de jerarquía, en el [edit access profile name radius-server] nivel de jerarquía o en ambos niveles.

Nota:

El proceso AAA (authd) determina qué definiciones de servidor se deben usar de la siguiente manera:

  • Cuando las definiciones del servidor RADIUS solo están presentes en [edit access radius-server], authd usa esas definiciones.

  • Cuando las definiciones del servidor RADIUS solo están presentes en el perfil de acceso, authd usa esas definiciones.

  • Cuando las definiciones del servidor RADIUS están presentes en el [edit access radius-server] perfil de acceso y en él, authd usa solo las definiciones del perfil de acceso.

Para usar un servidor RADIUS, debe designarlo como servidor de autenticación, servidor de contabilidad o ambos, en un perfil de acceso. Debe hacerlo para los servidores, independientemente de si están definidos en un perfil de acceso o en el [edit access radius-server] nivel jerárquico.

Para definir servidores RADIUS y especificar cómo interactúa el enrutador con el servidor:

Nota:

Este procedimiento muestra solo el [edit access radius-server] nivel de jerarquía. Opcionalmente, puede configurar cualquiera de estos parámetros en el [edit access profile profile-name] radius-server] nivel jerárquico. Puede hacerlo además de la configuración global o en lugar de la configuración global. Cuando se aplica un perfil, la configuración de perfil reemplaza la configuración global.
  1. Especifique la dirección IPv4 o IPv6 del servidor RADIUS.
  2. (Opcional) Configure el número de puerto de contabilidad del servidor RADIUS.
  3. (Opcional) Configure el número de puerto que el enrutador usa para ponerse en contacto con el servidor RADIUS.
  4. Configure el secreto necesario (contraseña) que el enrutador local pasa al cliente RADIUS. Los secretos entre comillas pueden contener espacios.
  5. (Opcional) Configure la cantidad máxima de solicitudes pendientes que un servidor RADIUS puede mantener. Una solicitud pendiente es una solicitud a la que el servidor RADIUS aún no ha respondido.
  6. Configure la dirección de origen para el servidor RADIUS. Cada solicitud RADIUS enviada a un servidor RADIUS utiliza la dirección de origen especificada. La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador.
  7. (Opcional) Configure valores de reintento y tiempo de espera para mensajes de autenticación y contabilidad.
    1. Configure cuántas veces el enrutador intenta ponerse en contacto con un servidor RADIUS cuando no ha recibido ninguna respuesta.
    2. Configure cuánto tiempo espera el enrutador para recibir una respuesta de un servidor RADIUS antes de reintentar el contacto.
    Nota:

    La duración máxima del reintentos (el número de reintentos por la duración del tiempo de espera) no puede superar los 2700 segundos. Se muestra un mensaje de error si configura una duración más larga.
    Nota:

    La retry configuración y timeout se aplican a los mensajes de autenticación y contabilidad, a menos que configure tanto la accounting-retry instrucción como la accounting-timeout instrucción. En ese caso, la retry configuración y timeout se aplica solo a los mensajes de autenticación.
  8. (Opcional) Configure valores de reintento y tiempo de espera para los mensajes de contabilidad separados de la configuración de los mensajes de autenticación.
    Nota:

    Debe configurar tanto las accounting-retry instrucciones como las accounting-timeout . Si no es así, el valor que configure se omite en favor de los valores configurados con las retry instrucciones y timeout .
    1. Configure cuántas veces el enrutador intenta enviar mensajes de contabilidad al servidor de contabilidad RADIUS cuando no ha recibido ninguna respuesta.
    2. Configure cuánto tiempo espera el enrutador para recibir una respuesta de un servidor de contabilidad RADIUS antes de volver a intentar la solicitud.
  9. (Opcional) Configure el enrutador para que se ponga en contacto con el servidor RADIUS para obtener solicitudes de autenticación previa de identificación de línea lógica (LLID). Consulte Identificación de línea lógica RADIUS.
  10. (Opcional) Configure el puerto que el enrutador monitorea para las solicitudes dinámicas (CoA) del servidor especificado. Consulte Administración dinámica de servicios con RADIUS.

Configuración de opciones que se aplican a todos los servidores RADIUS

Puede configurar opciones RADIUS que se apliquen a todos los servidores RADIUS globalmente.

Para configurar las opciones radius globalmente:

  1. Especifique que desea configurar las opciones RADIUS.
  2. (Opcional) Configure la velocidad a la que se envían al servidor las solicitudes de actualización provisionales RADIUS.
  3. (Opcional) Configure la desviación máxima permitida del intervalo de actualización configurado para que el enrutador envíe actualizaciones de contabilidad provisionales al servidor RADIUS. La tolerancia es relativa al intervalo de actualización configurado.

    Por ejemplo, si la tolerancia se establece en 60 segundos, el enrutador envía actualizaciones de contabilidad provisionales no antes de 30 segundos antes que el intervalo de actualización configurado. Cuando un suscriptor inicia sesión, la primera actualización de contabilidad provisional se puede enviar hasta 30 segundos antes (en promedio 15 segundos antes).

    Configure el intervalo de actualización con la instrucción update-interval en el [edit access profile profile-name accounting] nivel jerárquico.

  4. (Opcional) Configure la cantidad de solicitudes por segundo que el enrutador puede enviar colectivamente a todos los servidores RADIUS configurados. Limitar el flujo de solicitudes desde el enrutador a los servidores RADIUS le permite evitar que los servidores RADIUS se inunden de solicitudes.
  5. (Opcional) Configure el número de segundos que el enrutador espera después de que un servidor se haya vuelto inalcanzable antes de volver a comprobar la conexión. Si el enrutador llega al servidor cuando caduca el intervalo de reversión, el servidor se utiliza según el orden de la lista de servidores.
    Nota:

    También puede configurar el revert-interval perfil en un acceso para invalidar este valor global. Consulte Configuración de opciones de perfil de acceso para interacciones con servidores RADIUS.
  6. (Opcional) Configure la duración de un período durante el cual los servidores de autenticación RADIUS que no responden aún no se consideran no accesibles o inactivos. Puede variar el período según si desea redirigir las solicitudes de autenticación más rápidamente a otro servidor o proporcionar al servidor que no responde más tiempo para recuperarse y responder.

    Consulte Configurar un período de gracia de espera para especificar cuándo los servidores RADIUS se consideran inactivos o no accesibles para obtener más información.

  7. (Opcional) Configure un valor de puerto NAS único en todos los enrutadores de la serie MX de la red. Puede configurar un valor de puerto NAS único solo en el enrutador o único en los diferentes enrutadores MX de la red.

    Consulte Habilitación de atributos de puerto NAS únicos (atributo RADIUS 5) para suscriptores para obtener más información.

Configuración de un período de gracia de espera para especificar cuándo los servidores RADIUS se consideran inactivos o inalcanzables

Cuando un servidor de autenticación RADIUS no responde a ninguno de los intentos de una solicitud de autenticación determinada y el tiempo de espera, authd anota el tiempo de referencia, pero no marca de inmediato el servidor como inactivo (si hay otros servidores disponibles) o inalcanzable (si es el único servidor configurado). En su lugar, un temporizador de período de gracia configurable comienza en el momento de referencia. El período de gracia se borra si el servidor responde a una solicitud posterior antes de que expire el período.

Durante el período de gracia, el servidor no está marcado como inactivo o inalcanzable. Cada vez que el servidor agote el tiempo de espera para solicitudes posteriores a ese servidor, autenticado comprueba si el período de gracia ha vencido. Cuando la comprobación determina que el período de gracia ha vencido y que el servidor aún no ha respondido a una solicitud, el servidor se marca como inalcanzable o inactivo.

El uso de un breve período de gracia le permite abandonar más rápidamente un servidor que no responde y dirigir las solicitudes de autenticación a otros servidores disponibles. Un largo período de gracia le da al servidor más oportunidades de responder y puede evitar el abandono innecesaria de un recurso. Puede especificar un período de gracia más largo cuando solo tenga uno o un pequeño número de servidores configurados.

Para configurar el período de gracia durante el cual un servidor RADIUS que no responde no se marca como no accesible o no:

  • Especifique la duración del período de gracia.

Configuración de opciones de perfil de acceso para interacciones con servidores RADIUS

Puede usar un perfil de acceso para especificar las opciones que usa el enrutador al comunicarse con servidores de autenticación y contabilidad RADIUS para el acceso de suscriptores. En este procedimiento, se describen las opciones que solo están disponibles en los perfiles de acceso. Para ver las opciones disponibles tanto a nivel global como del perfil de acceso, consulte Servidores y parámetros RADIUS para acceso de suscriptores.

Para configurar las opciones del servidor de autenticación y contabilidad RADIUS:

  1. Especifique que desea configurar las opciones RADIUS.
  2. (Opcional) Configure el formato que usa el enrutador para identificar la sesión de contabilidad. El identificador puede estar en uno de los siguientes formatos:

    • decimal— Formato predeterminado. Por ejemplo, 435264

    • description— En el formato, jnpr interface-specifier:subscriber-session-id. Por ejemplo, jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure el carácter de delimitador que el enrutador inserta entre valores en el atributo RADIUS 31 (Identificador de estación de llamada).
  4. (Opcional) Configure la información que el enrutador incluye en el atributo RADIUS 31 (Identificador de estación de llamada).

    Consulte Configurar un ID de estación de llamada con opciones adicionales para obtener información detallada.

  5. (Opcional) Configure el enrutador para que utilice el comportamiento opcional que inserta el desafío aleatorio generado por el NAS en el campo Autenticador de solicitud de los paquetes de solicitud de acceso, en lugar de enviar el desafío aleatorio como el atributo CHAP-Challenge (atributo RADIUS 60) en paquetes de solicitud de acceso. Este comportamiento opcional requiere que el valor del desafío sea de 16 bytes; de lo contrario, la instrucción se ignora y el desafío se envía como el atributo CHAP-Challenge.
  6. (Opcional) Configure el método que el enrutador utiliza para acceder a los servidores de autenticación y contabilidad RADIUS cuando se configuran varios servidores:

    • direct— El método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; se accede a los servidores por orden de configuración. Si el servidor principal no es accesible, el enrutador intenta llegar al segundo servidor configurado, y así sucesivamente.

    • round-robin— El método que proporciona equilibrio de carga mediante la rotación de solicitudes del enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota según el último servidor utilizado. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente la misma cantidad de solicitudes en promedio, de modo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando un servidor RADIUS de la lista de robins se vuelve inalcanzable, se utiliza el siguiente servidor accesible de la lista de rotación para la solicitud actual. Ese mismo servidor también se utiliza para la siguiente solicitud, ya que se encuentra en la parte superior de la lista de servidores disponibles. Como resultado, después de un error de servidor, el servidor que se utiliza ocupa la carga de dos servidores.

    • Para configurar el método que el enrutador utiliza para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que usa el enrutador para acceder a los servidores de autenticación RADIUS:

  7. (Opcional) Configure el enrutador para que use el comportamiento opcional cuando una operación de CoA no pueda aplicar un cambio solicitado a una variable dinámica de perfil de cliente.

    El comportamiento opcional es que la administración de suscriptores no aplica ningún cambio a las variables dinámicas del perfil del cliente en la solicitud CoA y, luego, responde con un NACK. El comportamiento predeterminado es que la administración de suscriptores no aplica la actualización incorrecta, pero sí los demás cambios a las variables dinámicas del perfil de cliente y, luego, responde con un mensaje ACK.

  8. (Opcional) Configure el enrutador para que use un tipo de puerto físico para virtual autenticar clientes. El tipo de puerto se pasa en el atributo RADIUS 61 (NAS-Port-Type). De forma predeterminada, el enrutador pasa un tipo de puerto del ethernet atributo RADIUS 61.
    Nota:

    Esta instrucción tiene prioridad sobre la nas-port-type instrucción si incluye ambos en el mismo perfil de acceso.
  9. (Opcional) Especifique la información que está excluida de la descripción de interfaz que el enrutador pasa a RADIUS para su inclusión en el atributo RADIUS 87 (NAS-Port-ID). De forma predeterminada, la descripción de la interfaz incluye información del adaptador, el canal y la subinterface.
  10. (Opcional) Para los suscriptores de PPP de doble pila, incluya el VSA IPv4-Release-Control (26-164) en la solicitud de acceso que se envía durante la asignación de direcciones IP a pedido y en los mensajes de contabilidad intermedia que se envían para informar un cambio de dirección.

    Opcionalmente, configure un mensaje que se incluya en el VSA IPv4-Release-Control (26–164) cuando se envíe al servidor RADIUS

    La configuración de esta instrucción no tiene ningún efecto cuando la asignación o desasignación de direcciones IP a pedido no está configurada.

  11. (Opcional) Agregue VSA de la línea de acceso de Juniper Networks a los mensajes de solicitud de autenticación y contabilidad RADIUS para suscriptores. Si el enrutador no ha recibido y procesado los atributos ANCP correspondientes desde el nodo de acceso, AAA proporciona solo lo siguiente en estos mensajes RADIUS:

    • Velocidad de QoS calculada descendente (IANA 4874, 26-141): velocidad de transmisión predeterminada de asesoramiento configurado.

    • Velocidad de QoS calculada arriba (IANA 4874, 26-142): velocidad de recepción predeterminada de la asesoría configurada.

    A partir de Junos OS versión 19.2R1, la juniper-access-line-attributes opción sustituye a la juniper-dsl-attributes opción. Para la compatibilidad con versiones anteriores con scripts existentes, la juniper-dsl-attributes opción redirige a la nueva juniper-access-line-attributes opción. Recomendamos que utilice juniper-access-line-attributes.

    Nota:

    La juniper-access-line-attributes opción no es compatible con versiones anteriores de Junos OS versión 19.1 o anteriores. Esto significa que si ha configurado juniper-access-line-attributes la opción en Junos OS versión 19.2 o versiones posteriores, debe realizar los siguientes pasos para degradar a Junos OS versión 19.1 o versiones anteriores:

    1. Elimine la juniper-access-line-attributes opción de todos los perfiles de acceso que la incluyan.

    2. Realice la degradación del software.

    3. Agregue la juniper-dsl-attributes opción a los perfiles de acceso afectados.
  12. (Opcional) Configure el valor para el atributo RADIUS del cliente 32 (identificador NAS), que se utiliza para solicitudes de autenticación y contabilidad.
  13. (Opcional) Configure el cliente RADIUS para usar el formato extendido para el atributo RADIUS 5 (puerto NAS) y especifique el ancho de los campos en el atributo PUERTO NAS, el cual especifica el número de puerto físico del NAS que autentica al usuario.

    • Para suscriptores de Ethernet:

    • Para suscriptores de ATM:

  14. (Opcional) Configure el carácter de delimitador que el enrutador inserta entre valores en el atributo RADIUS 87 (NAS-Port-Id).
  15. (Opcional) Configure la información opcional que el enrutador incluye en el atributo RADIUS 87 (NAS-Port-Id). Puede especificar una o más opciones para que aparezcan en el orden predeterminado. De forma alternativa, puede especificar las opciones y el orden en que aparecen. Los pedidos son excluyentes entre sí y la configuración falla si configura un NAS-Port-ID que incluya valores en ambos tipos de pedido.

    Consulte Configurar un NAS-Port-ID con opciones adicionales y Configurar el orden en el que aparecen valores opcionales en el NAS-Port-ID para obtener información detallada.

  16. (Opcional) Configure el tipo de puerto incluido en el atributo RADIUS 61 (NAS-Port-Type). Esto especifica el tipo de puerto que el enrutador usa para autenticar a los suscriptores.
    Nota:

    Esta instrucción se omite si configura el ethernet-port-type-virtual perfil de acceso en el mismo.
  17. (Opcional) Configure el LAC para reemplazar el formato configurado de Calling-Station-ID para el valor enviado en el número de llamada L2TP AVP 22. Puede invalidar el formato del ID de la estación de llamada y configurar la LAC para que use la ACI, el ARI o ambos ACI y ARI que se reciben del cliente L2TP en el paquete PADR. También puede especificar un delimitador para usar entre los componentes de la cadena AVP y un valor de reserva para usar cuando los componentes de reemplazo configurados no se reciben en el paquete PADR.
    Nota:

    ConsulteReemplazar el formato del ID de la estación de llamada para el AVP de número de llamada para obtener más información.
  18. (Opcional) Invalide el valor del atributo de dirección IP del NAS-RADIUS (4) en el LNS con el valor de la dirección IP del punto de conexión LAC de la sesión si está presente en la base de datos de sesión. Si no está presente, se utiliza el valor del atributo original.
  19. (Opcional) Invalide el valor del atributo del puerto NAS RADIUS (5) en el LNS con el valor de la base de datos de sesión si la información del puerto LAC NAS se trasladó a la LNS en la AVP (100) de información de puerto NAS de Cisco Systems. Si no está presente, se utiliza el valor del atributo original.
  20. (Opcional) Invalide el valor del atributo del tipo de puerto NAS RADIUS (61) en el LNS con el valor de la base de datos de sesión si la información del puerto LAC NAS se trasladó a las LNS en el AVP (100) de información de puerto NAS de Cisco Systems. Si no está presente, se utiliza el valor del atributo original.
  21. (Opcional) Configure un carácter de delimitador para la cadena de ID de circuito remoto cuando utilice la remote-circuit-id-format instrucción para configurar la cadena para usar en lugar del ID de estación de llamada en el número de llamada AVP 22 de L2TP. Si se configura más de un valor para el formato de ID de circuito remoto, el carácter de delimitador se utiliza como separador entre los valores concatenados en la cadena de ID de circuito remoto resultante.
    Nota:

    Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el número de llamada AVP.
  22. (Opcional) Configure el valor de reserva para que el LAC envíe el número de llamada L2TP AVP 22, ya sea el ID de Calling-Station configurado o la interfaz subyacente predeterminada. El uso del valor de reserva se activa cuando la LAC no recibe los componentes de la cadena de anulación que configuró con la remote-circuit-id-format instrucción (ACI, ARI o ambos ACI y ARI) en el paquete PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure el formato de la cadena que invalida el formato del ID de la estación de llamada en el AVP de número de llamada L2TP. Puede especificar la ACI, la ARI o ambas ACI y ARI.
    Nota:

    Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el número de llamada AVP.
  24. (Opcional) Configure el número de segundos que el enrutador espera después de que un servidor se haya vuelto inalcanzable antes de hacer otro intento de comunicarse con el servidor. Si el servidor es entonces accesible, se utiliza de acuerdo con el orden de la lista de servidores.
    Nota:

    También puede configurar esta opción para todos los servidores RADIUS. Consulte Configuración de opciones que se aplican a todos los servidores RADIUS.
  25. (Opcional) Configure si el suscriptor recién autenticado puede iniciar sesión correctamente cuando se producen errores de activación del servicio relacionados con errores de configuración durante el procesamiento autenticado de la solicitud de activación para la familia de direcciones del suscriptor. Puede especificar este comportamiento para los servicios configurados en perfiles dinámicos o en scripts de operación del Administrador de servicios de suscriptor extensible (ESSM):

    • optional-at-login— La activación del servicio es opcional. La falla de activación debido a errores de configuración no impide la activación de la familia de direcciones; permite el acceso de los suscriptores. Los errores de activación del servicio debidos a causas distintas a los errores de configuración provocan que la activación de la familia de red falle. El intento de inicio de sesión finaliza a menos que otra familia de direcciones ya esté activa para el suscriptor.

    • required-at-login— Se requiere la activación del servicio. El error de activación por cualquier motivo hace que la activación de la familia de red falle. El intento de inicio de sesión finaliza a menos que otra familia de direcciones ya esté activa para el suscriptor.

  26. (Opcional) Especifique que el atributo RADIUS 5 (puerto NAS) incluye el ID de S-VLAN, además del ID de VLAN, para suscriptores en interfaces Ethernet.

Configurar un ID de la estación de llamadas con opciones adicionales

Utilice esta sección para configurar un valor alternativo para el IDENTIFICADOR de la estación de llamada (atributo IETF 31 de RADIUS) en un perfil de acceso en el enrutador de la serie MX.

Puede configurar el IDENTIFICADOR de La estación de llamada para que incluya una o más de las siguientes opciones, en cualquier combinación, en la jerarquía [edit access profile profile-name radius options calling-station-id-format]:

  • Identificador de circuito del agente (agent-circuit-id): identificador del nodo de acceso del suscriptor y de la línea digital de suscriptor (DSL) en el nodo de acceso. La cadena de identificador de circuito de agente (ACI) se almacena en el campo de la opción 82 de mensajes DHCP de mensajes DHCP para el tráfico DHCP, o en los paquetes de control VSA de agente de circuito-circuito de DSL [26-1] de PPPoE Active Discovery Initiation (PADI) y PPPoE Active Discovery Request (PADR) para tráfico PPPoE.

  • Identificador remoto del agente (agent-remote-id): identificador del suscriptor en la interfaz del multiplexor de acceso de línea de suscriptor digital (DSLAM) que inició la solicitud de servicio. La cadena del identificador remoto del agente (ARI) se almacena en el campo de opción 82 de DHCP para el tráfico DHCP o en el VSA [26-2] para el tráfico PPPoE del foro DSL Forum Agent-Remote-ID VSA [26-2].

  • Descripción de interfaz () —interface-description Valor de la interfaz.

  • Descripción de texto de la interfaz () —interface-text-description Descripción de texto de la interfaz. La descripción del texto de la interfaz se configura por separado, utilizando la set interfaces interface-name description description instrucción o la set interfaces interface-name unit unit-number description description instrucción

  • Dirección MAC (mac-address): dirección MAC del dispositivo de origen para el suscriptor.

  • Identificador NAS (nas-identifier): nombre del NAS que originó la solicitud de autenticación o contabilidad. El identificador NAS es el atributo IETF 32 de RADIUS.

  • VLAN (stacked-vlan)apilada: ID de VLAN apilado.

  • VLAN (vlan)— ID de VLAN.

Si configura el formato del ID de Calling-Station con más de un valor opcional, un carácter hash (#) es el delimitador predeterminado que el enrutador usa como separador entre los valores concatenados en la cadena De ID de Calling-Station resultante. Opcionalmente, puede configurar un carácter de delimitador alternativo para que use el IDENTIFICADOR de La estación de llamada. En el siguiente ejemplo, se muestra el orden de salida cuando se configuran varios valores opcionales:

Para configurar un perfil de acceso para que proporcione información opcional en el ID de Calling-Station:

  1. Especifique el perfil de acceso que desea configurar.
  2. Especifique que desea configurar las opciones RADIUS.
  3. Especifique el carácter no predeterminado que se utilizará como delimitador entre los valores concatenados en el Identificador de estación de llamada.

    De forma predeterminada, la administración de suscriptores usa el carácter hash (#) como delimitador en cadenas de ID de Calling-Station que contienen más de un valor opcional.

  4. Configure el valor para el identificador NAS (atributo RADIUS 32), que se utiliza para solicitudes de autenticación y contabilidad.
  5. Especifique que desea configurar el formato del ID de Calling-Station.
  6. (Opcional) Incluya la descripción de texto de la interfaz en el IDENTIFICADOR de la estación de llamadas.
  7. (Opcional) Incluya el valor de la descripción de interfaz en el IDENTIFICADOR de La estación de llamada.
  8. (Opcional) Incluya el identificador de circuito del agente en el IDENTIFICADOR de la estación de llamadas.
  9. (Opcional) Incluya el identificador remoto del agente en el IDENTIFICADOR de La estación de llamadas.
  10. (Opcional) Incluya el valor del identificador NAS configurado en el ID de La estación de llamadas.
  11. (Opcional) Incluya el ID de VLAN apilado en el IDENTIFICADOR de la estación de llamadas.
  12. (Opcional) Incluya el ID de VLAN en el ID de la estación de llamadas.
  13. (Opcional) Incluya la dirección MAC en el IDENTIFICADOR de la estación de llamadas.

Ejemplo: Llamar al ID de la estación con opciones adicionales en un perfil de acceso

En el siguiente ejemplo se crea un perfil de acceso denominado minorista01 que configura una cadena de ID de Calling-Station que incluye las opciones del identificador NAS (fox), la descripción de la interfaz, el identificador de circuito del agente y el identificador remoto del agente.

La cadena de ID de Calling-Station resultante tiene el siguiente formato:

fox*ge-1/2/0.100:100*as007*ar921

Dónde:

  • El valor del identificador NAS es fox.

  • El carácter de delimitador Calling-Station-ID es * (asterisco).

  • El valor de descripción de interfaz es ge-1/2/0.100:100.

  • El valor del identificador de circuito del agente es as007.

  • El valor del identificador remoto del agente es ar921.

Considere un ejemplo en el que todas las opciones están configuradas, pero no hay valores disponibles para Agent-Circuit-ID, Agent-Remote-Id o el identificador de VLAN apilado. Los demás valores son los siguientes:

  • Identificador NAS: solarium

  • descripción de interfaz—ge-1/0/0.1073741824:101

  • descripción de texto de interfaz: ejemplo de interfaz

  • Dirección MAC— 00:00:5E:00:53:00

  • Identificador VLAN— 101

Estos valores dan como resultado el siguiente IDENTIFICADOR de la estación de llamada:

Filtrado de atributos RADIUS y VSA desde mensajes RADIUS

Los atributos estándar y los atributos específicos del proveedor (VSA) recibidos en los mensajes RADIUS tienen prioridad sobre los valores de atributo aprovisionados internamente. Los atributos de filtrado consisten en elegir ignorar ciertos atributos cuando se reciben en Access Aceptar paquetes y excluir que ciertos atributos se envíen al servidor RADIUS. Ignorar atributos recibidos del servidor RADIUS permite usar los valores aprovisionados localmente en su lugar. Excluir atributos del envío es útil, por ejemplo, para atributos que no cambian durante la vida útil de un suscriptor. Le permite reducir el tamaño del paquete sin pérdida de información.

Puede especificar atributos radius estándar y VSA que el enrutador o conmutador ignore posteriormente cuando se reciben en los mensajes de aceptación de acceso RADIUS. También puede especificar atributos y VSA que el enrutador o conmutador excluye de los tipos de mensaje RADIUS especificados. La exclusión significa que el enrutador o conmutador no incluye el atributo en mensajes especificados que envía al servidor RADIUS.

A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para ignorar o excluir atributos estándar RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la AIANA y el número VSA, respectivamente. Con este método de configuración flexible, puede configurar cualquier atributo estándar y VSA compatibles con su plataforma para que se ignoren o excluyan. La configuración no tiene ningún efecto si configura atributos, proveedores y VSA no compatibles.

El método heredado le permite configurar solo esos atributos y VSA para los que la sintaxis de instrucción incluye una opción específica. En consecuencia, puede usar el método heredado para ignorar solo un subconjunto de todos los atributos que se pueden recibir en los mensajes de Access-Accept.

Para configurar los atributos ignorados o excluidos por su enrutador o conmutador:

  1. Especifique que desea configurar RADIUS en el perfil de acceso.
  2. Especifique que desea configurar cómo se filtran los atributos RADIUS.
  3. (Opcional) Especifique uno o varios atributos que desea que su enrutador o conmutador ignoren cuando los atributos se encuentran en mensajes de Access-Accept.

    • Método heredado: Especifique la opción dedicada para el atributo:

    • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AIANA y el número VSA:

  4. (Opcional) Configure un atributo que desea que el enrutador o conmutador excluyan de uno o más tipos de mensaje RADIUS especificados. No puede configurar una lista de atributos, pero puede especificar una lista de tipos de mensaje para cada atributo.

    • Método heredado: especifique la opción dedicada para el tipo de atributo y mensaje:

    • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AIANA, el número VSA y el tipo de mensaje:

En el siguiente ejemplo se comparan los métodos de configuración flexibles y heredados para ignorar el atributo RADIUS estándar, la máscara de red framed-IP (9) y las VSA de Juniper Networks, nombre de política de entrada (26-10) y nombre de política de salida (26-11).

  • Método heredado:

  • Método flexible:

En el ejemplo siguiente se comparan los métodos de configuración heredados y flexibles para excluir el atributo RADIUS estándar, la máscara de red Framed-IP (9) y las VSA de Juniper Networks, nombre de política de entrada (26-10) y nombre de política de salida (26-11).

  • Método heredado:

  • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AIANA, el número VSA y el tipo de mensaje:

¿Qué sucede si especifica un atributo con ambos métodos en el mismo perfil? La configuración efectiva es el OR lógico de los dos métodos. Considere el siguiente ejemplo para el atributo estándar, accounting-delay-time (41):

El resultado es que el atributo se excluye de los cuatro tipos de mensaje: Accounting-Off, Accounting-On, Accounting-Start y Accounting-Stop. El efecto es el mismo que si se utiliza alguna de las siguientes configuraciones:

Tabla de historial de versiones
Lanzamiento
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para ignorar o excluir atributos estándar RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la AIANA y el número VSA, respectivamente.