EN ESTA PÁGINA
Servidores y parámetros RADIUS para el acceso del suscriptor
Configurar parámetros y opciones para servidores RADIUS es una parte importante de su configuración de administración de suscriptores. Después de definir los servidores de autenticación y contabilidad, configure las opciones para todos los servidores RADIUS. También configura perfiles de acceso que le permiten especificar parámetros de configuración de autenticación de acceso de suscriptores, autorización y configuración de contabilidad para suscriptores o grupos de suscriptores. La configuración del perfil anula la configuración global. Aunque algunas opciones están disponibles tanto a nivel global como a nivel del perfil de acceso, muchas opciones solo están disponibles en los perfiles de acceso.
Después de crear un perfil de acceso, debe especificar dónde se utiliza el perfil con una access-profile
instrucción; esto se conoce como adjuntar el perfil. Los perfiles de acceso se pueden asignar en varios niveles. Por ejemplo, algunos de los lugares en los que puede adjuntar perfiles de acceso
Globalmente para una instancia de enrutamiento.
En perfiles dinámicos.
En un mapa de dominios, que asigna opciones de acceso y parámetros de sesión para las sesiones de suscriptor.
En las interfaces para VLAN dinámicas y VLAN apiladas dinámicas.
En la interfaz o en un grupo de suscriptores para suscriptores con interfaces configuradas estáticamente para el aprovisionamiento de servicio dinámico.
En agentes de retransmisión DHCP y servidores locales DHCP para clientes o suscriptores DHCP.
Dado que puede adjuntar perfiles de acceso en muchos niveles, el perfil de acceso más específico tiene prioridad sobre cualquier otra asignación de perfil para evitar conflictos. La autenticación y la contabilidad no se ejecutan a menos que adjunte el perfil.
Definición del servidor de autenticación y contabilidad RADIUS
Cuando utilice RADIUS para la administración de suscriptores, debe definir uno o más servidores RADIUS externos con los que el enrutador se comunique para la autenticación y la contabilidad del suscriptor. Además de especificar la dirección IPv4 o IPv6 del servidor, puede configurar opciones y atributos que determinan cómo interactúa el enrutador con los servidores especificados.
Puede definir servidores RADIUS y opciones de conectividad en el [edit access radius-server]
nivel de jerarquía, en el [edit access profile name radius-server]
nivel de jerarquía o en ambos niveles.
El proceso AAA (authd) determina qué definiciones de servidor se deben usar de la siguiente manera:
Cuando las definiciones del servidor RADIUS solo están presentes en
[edit access radius-server]
, authd usa esas definiciones.Cuando las definiciones del servidor RADIUS solo están presentes en el perfil de acceso, authd usa esas definiciones.
Cuando las definiciones del servidor RADIUS están presentes en el
[edit access radius-server]
perfil de acceso y en él, authd usa solo las definiciones del perfil de acceso.
Para usar un servidor RADIUS, debe designarlo como servidor de autenticación, servidor de contabilidad o ambos, en un perfil de acceso. Debe hacerlo para los servidores, independientemente de si están definidos en un perfil de acceso o en el [edit access radius-server]
nivel jerárquico.
Para definir servidores RADIUS y especificar cómo interactúa el enrutador con el servidor:
Este procedimiento muestra solo el [edit access radius-server]
nivel de jerarquía. Opcionalmente, puede configurar cualquiera de estos parámetros en el [edit access profile profile-name] radius-server]
nivel jerárquico. Puede hacerlo además de la configuración global o en lugar de la configuración global. Cuando se aplica un perfil, la configuración de perfil reemplaza la configuración global.
Configuración de opciones que se aplican a todos los servidores RADIUS
Puede configurar opciones RADIUS que se apliquen a todos los servidores RADIUS globalmente.
Para configurar las opciones radius globalmente:
Configuración de un período de gracia de espera para especificar cuándo los servidores RADIUS se consideran inactivos o inalcanzables
Cuando un servidor de autenticación RADIUS no responde a ninguno de los intentos de una solicitud de autenticación determinada y el tiempo de espera, authd anota el tiempo de referencia, pero no marca de inmediato el servidor como inactivo (si hay otros servidores disponibles) o inalcanzable (si es el único servidor configurado). En su lugar, un temporizador de período de gracia configurable comienza en el momento de referencia. El período de gracia se borra si el servidor responde a una solicitud posterior antes de que expire el período.
Durante el período de gracia, el servidor no está marcado como inactivo o inalcanzable. Cada vez que el servidor agote el tiempo de espera para solicitudes posteriores a ese servidor, autenticado comprueba si el período de gracia ha vencido. Cuando la comprobación determina que el período de gracia ha vencido y que el servidor aún no ha respondido a una solicitud, el servidor se marca como inalcanzable o inactivo.
El uso de un breve período de gracia le permite abandonar más rápidamente un servidor que no responde y dirigir las solicitudes de autenticación a otros servidores disponibles. Un largo período de gracia le da al servidor más oportunidades de responder y puede evitar el abandono innecesaria de un recurso. Puede especificar un período de gracia más largo cuando solo tenga uno o un pequeño número de servidores configurados.
Para configurar el período de gracia durante el cual un servidor RADIUS que no responde no se marca como no accesible o no:
Especifique la duración del período de gracia.
[edit access radius-options] user@host# set timeout-grace seconds
Configuración de opciones de perfil de acceso para interacciones con servidores RADIUS
Puede usar un perfil de acceso para especificar las opciones que usa el enrutador al comunicarse con servidores de autenticación y contabilidad RADIUS para el acceso de suscriptores. En este procedimiento, se describen las opciones que solo están disponibles en los perfiles de acceso. Para ver las opciones disponibles tanto a nivel global como del perfil de acceso, consulte Servidores y parámetros RADIUS para acceso de suscriptores.
Para configurar las opciones del servidor de autenticación y contabilidad RADIUS:
Configurar un ID de la estación de llamadas con opciones adicionales
Utilice esta sección para configurar un valor alternativo para el IDENTIFICADOR de la estación de llamada (atributo IETF 31 de RADIUS) en un perfil de acceso en el enrutador de la serie MX.
Puede configurar el IDENTIFICADOR de La estación de llamada para que incluya una o más de las siguientes opciones, en cualquier combinación, en la jerarquía [edit access profile profile-name radius options calling-station-id-format
]:
Identificador de circuito del agente (
agent-circuit-id
): identificador del nodo de acceso del suscriptor y de la línea digital de suscriptor (DSL) en el nodo de acceso. La cadena de identificador de circuito de agente (ACI) se almacena en el campo de la opción 82 de mensajes DHCP de mensajes DHCP para el tráfico DHCP, o en los paquetes de control VSA de agente de circuito-circuito de DSL [26-1] de PPPoE Active Discovery Initiation (PADI) y PPPoE Active Discovery Request (PADR) para tráfico PPPoE.Identificador remoto del agente (
agent-remote-id
): identificador del suscriptor en la interfaz del multiplexor de acceso de línea de suscriptor digital (DSLAM) que inició la solicitud de servicio. La cadena del identificador remoto del agente (ARI) se almacena en el campo de opción 82 de DHCP para el tráfico DHCP o en el VSA [26-2] para el tráfico PPPoE del foro DSL Forum Agent-Remote-ID VSA [26-2].Descripción de interfaz () —
interface-description
Valor de la interfaz.Descripción de texto de la interfaz () —
interface-text-description
Descripción de texto de la interfaz. La descripción del texto de la interfaz se configura por separado, utilizando laset interfaces interface-name description description
instrucción o laset interfaces interface-name unit unit-number description description
instrucciónDirección MAC (
mac-address
): dirección MAC del dispositivo de origen para el suscriptor.Identificador NAS (
nas-identifier
): nombre del NAS que originó la solicitud de autenticación o contabilidad. El identificador NAS es el atributo IETF 32 de RADIUS.VLAN
(stacked-vlan)
apilada: ID de VLAN apilado.VLAN
(vlan)
— ID de VLAN.
Si configura el formato del ID de Calling-Station con más de un valor opcional, un carácter hash (#) es el delimitador predeterminado que el enrutador usa como separador entre los valores concatenados en la cadena De ID de Calling-Station resultante. Opcionalmente, puede configurar un carácter de delimitador alternativo para que use el IDENTIFICADOR de La estación de llamada. En el siguiente ejemplo, se muestra el orden de salida cuando se configuran varios valores opcionales:
nas-identifier#interface description#interface text description#agent-circuit-id#agent-remote-id#mac address#stacked vlan#vlan
Para configurar un perfil de acceso para que proporcione información opcional en el ID de Calling-Station:
Ejemplo: Llamar al ID de la estación con opciones adicionales en un perfil de acceso
En el siguiente ejemplo se crea un perfil de acceso denominado minorista01 que configura una cadena de ID de Calling-Station que incluye las opciones del identificador NAS (fox
), la descripción de la interfaz, el identificador de circuito del agente y el identificador remoto del agente.
[edit access profile retailer01 radius options] nas-identifier "fox"; calling-station-id-delimiter "*"; calling-station-id format { nas-identifier; interface-description; agent-circuit-id; agent-remote-id; }
La cadena de ID de Calling-Station resultante tiene el siguiente formato:
fox*ge-1/2/0.100:100*as007*ar921
Dónde:
El valor del identificador NAS es
fox
.El carácter de delimitador Calling-Station-ID es
*
(asterisco).El valor de descripción de interfaz es
ge-1/2/0.100:100
.El valor del identificador de circuito del agente es
as007
.El valor del identificador remoto del agente es
ar921
.
Considere un ejemplo en el que todas las opciones están configuradas, pero no hay valores disponibles para Agent-Circuit-ID, Agent-Remote-Id o el identificador de VLAN apilado. Los demás valores son los siguientes:
Identificador NAS: solarium
descripción de interfaz—ge-1/0/0.1073741824:101
descripción de texto de interfaz: ejemplo de interfaz
Dirección MAC— 00:00:5E:00:53:00
Identificador VLAN— 101
Estos valores dan como resultado el siguiente IDENTIFICADOR de la estación de llamada:
solarium#ge-1/0/0.1073741824:101#example-interface###00-00-5E-00-53-00##101
Filtrado de atributos RADIUS y VSA desde mensajes RADIUS
Los atributos estándar y los atributos específicos del proveedor (VSA) recibidos en los mensajes RADIUS tienen prioridad sobre los valores de atributo aprovisionados internamente. Los atributos de filtrado consisten en elegir ignorar ciertos atributos cuando se reciben en Access Aceptar paquetes y excluir que ciertos atributos se envíen al servidor RADIUS. Ignorar atributos recibidos del servidor RADIUS permite usar los valores aprovisionados localmente en su lugar. Excluir atributos del envío es útil, por ejemplo, para atributos que no cambian durante la vida útil de un suscriptor. Le permite reducir el tamaño del paquete sin pérdida de información.
Puede especificar atributos radius estándar y VSA que el enrutador o conmutador ignore posteriormente cuando se reciben en los mensajes de aceptación de acceso RADIUS. También puede especificar atributos y VSA que el enrutador o conmutador excluye de los tipos de mensaje RADIUS especificados. La exclusión significa que el enrutador o conmutador no incluye el atributo en mensajes especificados que envía al servidor RADIUS.
A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para ignorar o excluir atributos estándar RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la AIANA y el número VSA, respectivamente. Con este método de configuración flexible, puede configurar cualquier atributo estándar y VSA compatibles con su plataforma para que se ignoren o excluyan. La configuración no tiene ningún efecto si configura atributos, proveedores y VSA no compatibles.
El método heredado le permite configurar solo esos atributos y VSA para los que la sintaxis de instrucción incluye una opción específica. En consecuencia, puede usar el método heredado para ignorar solo un subconjunto de todos los atributos que se pueden recibir en los mensajes de Access-Accept.
Para configurar los atributos ignorados o excluidos por su enrutador o conmutador:
En el siguiente ejemplo se comparan los métodos de configuración flexibles y heredados para ignorar el atributo RADIUS estándar, la máscara de red framed-IP (9) y las VSA de Juniper Networks, nombre de política de entrada (26-10) y nombre de política de salida (26-11).
Método heredado:
[edit access profile prof-ign radius attributes] user@host# set ignore framed-ip-netmask input-filter output-filter
Método flexible:
[edit access profile prof-ign radius attributes] user@host# set ignore standard-attribute 9 user@host# set ignore vendor-id 4874 vendor-attribute [ 10 11 ]
En el ejemplo siguiente se comparan los métodos de configuración heredados y flexibles para excluir el atributo RADIUS estándar, la máscara de red Framed-IP (9) y las VSA de Juniper Networks, nombre de política de entrada (26-10) y nombre de política de salida (26-11).
Método heredado:
[edit access profile prof-exc radius attributes] user@host# set exclude framed-ip-netmask accounting-stop user@host# set exclude input-filter [ accounting-start accounting-stop ] user@host# set exclude output-filter [ accounting-start accounting-stop ]
Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AIANA, el número VSA y el tipo de mensaje:
[edit access profile prof-exc radius attributes] user@host# set exclude standard-attribute 9 packet-type accounting-stop user@host# set exclude vendor-id 4874 vendor-attribute 10 packet-type [ accounting-start accounting-stop ] user@host# set exclude vendor-id 4874 vendor-attribute 11 packet-type [ accounting-start accounting-stop ]
¿Qué sucede si especifica un atributo con ambos métodos en el mismo perfil? La configuración efectiva es el OR lógico de los dos métodos. Considere el siguiente ejemplo para el atributo estándar, accounting-delay-time (41):
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on ] user@host# set exclude standard-attribute 41 packet-type [ accounting-start accounting-stop ]
El resultado es que el atributo se excluye de los cuatro tipos de mensaje: Accounting-Off, Accounting-On, Accounting-Start y Accounting-Stop. El efecto es el mismo que si se utiliza alguna de las siguientes configuraciones:
-
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on accounting-start accounting-stop ]
-
[edit access profile prof-3 radius attributes] user@host# set exclude standard-attribute 41 packet-type [ accounting-off accounting-on accounting-start accounting-stop ]