Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Servidores RADIUS y parámetros para el acceso de suscriptores

La configuración de parámetros y opciones para servidores RADIUS es una parte importante de la configuración de administración de suscriptores. Después de definir los servidores de autenticación y contabilidad, configure las opciones para todos los servidores RADIUS. También puede configurar perfiles de acceso que le permitan especificar parámetros de configuración de autenticación, autorización y contabilidad de acceso de suscriptor para suscriptores o grupos de suscriptores. La configuración del perfil anula la configuración global. Aunque algunas opciones están disponibles tanto en el nivel global como en el nivel del perfil de acceso, muchas opciones solo están disponibles en los perfiles de acceso.

Después de crear un perfil de acceso, debe especificar dónde se utiliza el perfil con una access-profile instrucción; esto se conoce como adjuntar el perfil. Los perfiles de acceso se pueden asignar en varios niveles. Por ejemplo, algunos de los lugares donde puede adjuntar perfiles de acceso

  • globalmente para una instancia de enrutamiento.

  • En perfiles dinámicos.

  • En un mapa de dominio, que asigna opciones de acceso y parámetros de sesión para sesiones de suscriptor.

  • En las interfaces para VLAN dinámicas y VLAN dinámicas apiladas.

  • En la interfaz o en un grupo de suscriptores para suscriptores con interfaces configuradas estáticamente para el aprovisionamiento dinámico de servicios.

  • En agentes de retransmisión DHCP y servidores locales DHCP para clientes o suscriptores DHCP.

Dado que puede adjuntar perfiles de acceso en muchos niveles, el perfil de acceso más específico tiene prioridad sobre cualquier otra asignación de perfil para evitar conflictos. La autenticación y la contabilidad no se ejecutan a menos que adjunte el perfil.

Autenticación RADIUS y definición de Accounting Server

Cuando utilice RADIUS para la administración de suscriptores, debe definir uno o más servidores RADIUS externos con los que se comunique el enrutador para la autenticación y la cuenta de suscriptores. Además de especificar la dirección IPv4 o IPv6 del servidor, puede configurar opciones y atributos que determinan cómo interactúa el enrutador con los servidores especificados.

Puede definir servidores RADIUS y opciones de conectividad en el nivel jerárquico [edit access radius-server] , en el nivel jerárquico [edit access profile name radius-server] o en ambos niveles.

Nota:

El proceso AAA (authd) determina qué definiciones de servidor se deben usar de la siguiente manera:

  • Cuando las definiciones de servidor RADIUS sólo están presentes en [edit access radius-server], authd utiliza esas definiciones.

  • Cuando las definiciones de servidor RADIUS solo están presentes en el perfil de acceso, authd utiliza esas definiciones.

  • Cuando las definiciones de servidor RADIUS están presentes tanto en el perfil de acceso como en [edit access radius-server] él, authd utiliza sólo las definiciones de perfil de acceso.

Para utilizar un servidor RADIUS, debe designarlo como servidor de autenticación, servidor de cuentas o ambos en un perfil de acceso. Debe hacerlo para los servidores, independientemente de si están definidos en un perfil de acceso o en el nivel jerárquico [edit access radius-server] .

Para definir servidores RADIUS y especificar cómo interactúa el enrutador con el servidor:

Nota:

Este procedimiento muestra sólo el nivel de [edit access radius-server] jerarquía. Opcionalmente, puede configurar cualquiera de estos parámetros en el nivel de [edit access profile profile-name] radius-server] jerarquía. Puede hacerlo además de la configuración global o en lugar de la configuración global. Cuando se aplica un perfil, la configuración del perfil invalida la configuración global.
  1. Especifique la dirección IPv4 o IPv6 del servidor RADIUS.
  2. (Opcional) Configure el número de puerto de contabilidad del servidor RADIUS.
  3. (Opcional) Configure el número de puerto que utiliza el enrutador para ponerse en contacto con el servidor RADIUS.
  4. Configure el secreto necesario (contraseña) que el enrutador local pasa al cliente RADIUS. Los secretos entre comillas pueden contener espacios.
  5. (Opcional) Configure el número máximo de solicitudes pendientes que puede mantener un servidor RADIUS. Una solicitud pendiente es una solicitud a la que el servidor RADIUS aún no ha respondido.
  6. Configure la dirección de origen para el servidor RADIUS. Cada solicitud RADIUS enviada a un servidor RADIUS utiliza la dirección de origen especificada. La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador.
  7. (Opcional) Configure los valores de reintento y tiempo de espera para los mensajes de autenticación y cuentas.
    1. Configure cuántas veces el enrutador intenta ponerse en contacto con un servidor RADIUS cuando no ha recibido respuesta.
    2. Configure cuánto tiempo espera el enrutador para recibir una respuesta de un servidor RADIUS antes de volver a intentar el contacto.
    Nota:

    La duración máxima del reintento (el número de reintentos multiplicado por la duración del tiempo de espera) no puede superar los 2700 segundos. Se muestra un mensaje de error si configura una duración mayor.
    Nota:

    La retry configuración y timeout se aplica tanto a los mensajes de autenticación como a los de contabilidad, a menos que configure tanto la instrucción como la accounting-retry accounting-timeout instrucción. En ese caso, la configuración y timeout solo se aplica a los mensajes de retry autenticación.
  8. (Opcional) Configure valores de reintento y tiempo de espera para mensajes de cuentas independientes de la configuración de mensajes de autenticación.
    Nota:

    Debe configurar las accounting-retry instrucciones y las accounting-timeout instrucciones. Si no lo hace, el valor que configure se omite en favor de los valores configurados con las retry instrucciones y timeout .
    1. Configure cuántas veces el enrutador intenta enviar mensajes de cuentas al servidor de contabilidad RADIUS cuando no ha recibido respuesta.
    2. Configure cuánto tiempo espera el enrutador para recibir una respuesta de un servidor de contabilidad RADIUS antes de volver a intentar la solicitud.
  9. (Opcional) Configure el enrutador para que se ponga en contacto con el servidor RADIUS para solicitudes de autenticación previa de identificación de línea lógica (LLID). Consulte Identificación de la línea lógica RADIUS.
  10. (Opcional) Configure el puerto que supervisa el enrutador para las solicitudes dinámicas (CoA) desde el servidor especificado. Consulte Administración dinámica de servicios con RADIUS.

Configuración de opciones que se aplican a todos los servidores RADIUS

Puede configurar las opciones de RADIUS que se aplican a todos los servidores RADIUS globalmente.

Para configurar las opciones de RADIUS globalmente:

  1. Especifique que desea configurar las opciones de RADIUS.
  2. (Opcional) Configure la velocidad a la que se envían las solicitudes de actualización provisional de RADIUS al servidor.
  3. (Opcional) Configure la desviación máxima permitida del intervalo de actualización configurado que el enrutador envía actualizaciones de cuentas provisionales al servidor RADIUS. La tolerancia es relativa al intervalo de actualización configurado.

    Por ejemplo, si la tolerancia se establece en 60 segundos, el enrutador envía actualizaciones de cuentas provisionales no antes de 30 segundos antes del intervalo de actualización configurado. Cuando un suscriptor inicia sesión, la primera actualización de contabilidad provisional puede enviarse hasta 30 segundos antes (en promedio 15 segundos antes).

    El intervalo de actualización se configura con la instrucción update-interval en el nivel de [edit access profile profile-name accounting] jerarquía.

  4. (Opcional) Configure el número de solicitudes por segundo que el enrutador puede enviar colectivamente a todos los servidores RADIUS configurados. Limitar el flujo de solicitudes desde el enrutador a los servidores RADIUS permite evitar que los servidores RADIUS se inunden con solicitudes.
  5. (Opcional) Configure el número de segundos que espera el enrutador después de que un servidor no sea accesible antes de volver a comprobar la conexión. Si el enrutador llega al servidor cuando expira el intervalo de reversión, el servidor se utiliza de acuerdo con el orden de la lista de servidores.
    Nota:

    También puede configurar el revert-interval en un perfil de acceso para invalidar este valor global. Consulte Configuración de opciones de perfiles de acceso para interacciones con servidores RADIUS.
  6. (Opcional) Configure la duración de un período durante el cual los servidores de autenticación RADIUS que no responden aún no se consideran inaccesibles o inactivos. Puede variar el período dependiendo de si desea redirigir las solicitudes de autenticación más rápidamente a otro servidor o proporcionar al servidor que no responde más tiempo para recuperarse y responder.

    Consulte Configuración de un período de gracia de tiempo de espera para especificar cuándo los servidores RADIUS se consideran inactivos o inaccesibles para obtener más información.

  7. (Opcional) Configure un valor NAS-Port que sea único en todos los enrutadores de la serie MX de la red. Puede configurar un valor NAS-Port que sea único solo dentro del enrutador o único en los diferentes enrutadores MX de la red.

    Consulte Habilitación de atributos únicos de puerto NAS (atributo RADIUS 5) para suscriptores para obtener más información.

Configuración de un período de gracia de tiempo de espera para especificar cuándo los servidores RADIUS se consideran inactivos o inaccesibles

Cuando un servidor de autenticación RADIUS no responde a ninguno de los intentos de una solicitud de autenticación determinada y agota el tiempo de espera, authd anota la hora de referencia, pero no marca inmediatamente el servidor como inactivo (si hay otros servidores disponibles) o inaccesible (si es el único servidor configurado). En su lugar, un temporizador de período de gracia configurable se inicia en el momento de referencia. El período de gracia se borra si el servidor responde a una solicitud posterior antes de que expire el período.

Durante el período de gracia, el servidor no está marcado como inactivo o inaccesible. Cada vez que se agota el tiempo de espera del servidor para solicitudes posteriores a ese servidor, authd comprueba si el período de gracia ha expirado. Cuando la comprobación determina que el período de gracia ha expirado y el servidor sigue sin responder a una solicitud, el servidor se marca como inaccesible o inactivo.

El uso de un breve período de gracia le permite abandonar más rápidamente un servidor que no responde y dirigir las solicitudes de autenticación a otros servidores disponibles. Un largo período de gracia le da a un servidor más oportunidades para responder y puede evitar abandonar innecesariamente un recurso. Puede especificar un período de gracia más largo cuando solo tenga uno o un pequeño número de servidores configurados.

Para configurar el período de gracia durante el cual un servidor RADIUS que no responde no está marcado como inaccesible o inactivo:

  • Especifique la duración del período de gracia.

Configuración de opciones de perfiles de acceso para interacciones con servidores RADIUS

Puede utilizar un perfil de acceso para especificar las opciones que utiliza el enrutador cuando se comunica con los servidores de autenticación y contabilidad RADIUS para el acceso de suscriptor. En este procedimiento se describen las opciones que solo están disponibles en los perfiles de acceso. Para conocer las opciones disponibles tanto en el perfil de acceso como a nivel global, consulte Servidores RADIUS y parámetros para el acceso de suscriptores.

Para configurar las opciones del servidor de cuentas y autenticación RADIUS:

  1. Especifique que desea configurar las opciones de RADIUS.
  2. (Opcional) Configure el formato que utiliza el enrutador para identificar la sesión de contabilidad. El identificador puede tener uno de los siguientes formatos:

    • decimal: el formato predeterminado. Por ejemplo 435264

    • description—En el formato, jnpr interface-specifier:subscriber-session-id. Por ejemplo jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure el carácter delimitador que inserta el enrutador entre los valores del atributo RADIUS 31 (Id. de estación de llamada).
  4. (Opcional) Configure la información que el enrutador incluye en el atributo RADIUS 31 (Id. de estación de llamada).

    Consulte Configuración de un identificador de estación de llamada con opciones adicionales para obtener información detallada.

  5. (Opcional) Configure el enrutador para que utilice el comportamiento opcional que inserta el desafío aleatorio generado por el NAS en el campo Request Authenticator de los paquetes Access-Request, en lugar de enviar el desafío aleatorio como el atributo CHAP-Challenge (atributo RADIUS 60) en los paquetes de solicitud de acceso. Este comportamiento opcional requiere que el valor del desafío sea de 16 bytes; de lo contrario, la instrucción se omite y el desafío se envía como el atributo CHAP-Challenge.
  6. (Opcional) Configure el método que utiliza el enrutador para acceder a los servidores de autenticación y cuentas RADIUS cuando se configuran varios servidores:

    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor principal; Se accede a los servidores por orden de configuración. Si no se puede acceder al servidor principal, el enrutador intenta comunicarse con el segundo servidor configurado, etc.

    • round-robin: método que proporciona equilibrio de carga mediante la rotación de solicitudes de enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota en función del último servidor utilizado. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes en promedio, de modo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando no se puede acceder a un servidor RADIUS de la lista round-robin, se utiliza el siguiente servidor accesible de la lista round-robin para la solicitud actual. Ese mismo servidor también se usa para la siguiente solicitud porque está en la parte superior de la lista de servidores disponibles. Como resultado, después de un error del servidor, el servidor que se utiliza ocupa la carga de dos servidores.

    • Para configurar el método que utiliza el enrutador para acceder a los servidores de contabilidad RADIUS:

    • Para configurar el método que utiliza el enrutador para acceder a los servidores de autenticación RADIUS:

  7. (Opcional) Configure el enrutador para que utilice el comportamiento opcional cuando una operación de CoA no pueda aplicar un cambio solicitado a una variable dinámica de perfil de cliente.

    El comportamiento opcional es que la administración de suscriptores no aplica ningún cambio a las variables dinámicas de perfil de cliente en la solicitud CoA y, a continuación, responde con un NACK. El comportamiento predeterminado es que la administración de suscriptores no aplica la actualización incorrecta, pero sí los demás cambios a las variables dinámicas del perfil de cliente y, a continuación, responde con un mensaje ACK.

  8. (Opcional) Configure el enrutador para que utilice un tipo de puerto físico para virtual autenticar a los clientes. El tipo de puerto se pasa en el atributo RADIUS 61 (NAS-Port-Type). De forma predeterminada, el enrutador pasa un tipo de puerto de ethernet en el atributo RADIUS 61.
    Nota:

    Esta instrucción tiene prioridad sobre la instrucción nas-port-type si incluye ambas en el mismo perfil de acceso.
  9. (Opcional) Especifique la información que se excluye de la descripción de la interfaz que el enrutador pasa a RADIUS para su inclusión en el atributo RADIUS 87 (NAS-Port-ID). De forma predeterminada, la descripción de la interfaz incluye información sobre el adaptador, el canal y la subinterfaz.
  10. (Opcional) Para los suscriptores de PPP de doble pila, incluya el VSA de control de lanzamiento IPv4 (26–164) en la solicitud de acceso que se envía durante la asignación de direcciones IP a pedido y en los mensajes de contabilidad provisional que se envían para informar de un cambio de dirección.

    Opcionalmente, configure un mensaje que se incluye en el VSA de control de liberación IPv4 (26–164) cuando se envía al servidor RADIUS

    La configuración de esta instrucción no tiene ningún efecto cuando no se configura la asignación o desasignación de direcciones IP bajo demanda.

  11. (Opcional) Agregue VSA de línea de acceso de Juniper Networks a los mensajes de solicitud de autenticación y cuenta RADIUS para suscriptores. Si el enrutador no ha recibido ni procesado los atributos ANCP correspondientes del nodo de acceso, AAA solo proporciona lo siguiente en estos mensajes RADIUS:

    • Tasa QoS calculada descendente (IANA 4874, 26-141): velocidad de transmisión de aviso configurada por defecto.

    • Tasa QoS calculada ascendente (IANA 4874, 26-142): velocidad de recepción de avisos configurada por defecto.

    A partir de Junos OS versión 19.2R1, la juniper-access-line-attributes opción sustituye a la juniper-dsl-attributes opción. Para la compatibilidad con versiones anteriores de scripts existentes, la juniper-dsl-attributes opción redirige a la nueva juniper-access-line-attributes opción. Le recomendamos que utilice juniper-access-line-attributes.

    Nota:

    La juniper-access-line-attributes opción no es compatible con versiones anteriores de Junos OS versión 19.1 o versiones anteriores. Esto significa que si ha configurado juniper-access-line-attributes la opción en Junos OS versión 19.2 o versiones superiores, debe realizar los pasos siguientes para cambiar a Junos OS versión 19.1 o versiones anteriores:

    1. Elimine la juniper-access-line-attributes opción de todos los perfiles de acceso que la incluyan.

    2. Realice la degradación del software.

    3. Agregue la juniper-dsl-attributes opción a los perfiles de acceso afectados.
  12. (Opcional) Configure el valor para el atributo RADIUS 32 del cliente (NAS-Identifier), que se utiliza para las solicitudes de autenticación y contabilidad.
  13. (Opcional) Configure el cliente RADIUS para que utilice el formato extendido para el atributo 5 de RADIUS (puerto NAS) y especifique el ancho de los campos en el atributo NAS-Port, que especifica el número de puerto físico del NAS que autentica al usuario.

    • Para suscriptores de Ethernet:

    • Para suscriptores de cajeros automáticos:

  14. (Opcional) Configure el carácter delimitador que el enrutador inserta entre los valores del atributo RADIUS 87 (NAS-Port-Id).
  15. (Opcional) Configure la información opcional que el router incluye en el atributo RADIUS 87 (NAS-Port-Id). Puede especificar que una o más opciones aparezcan en el orden predeterminado. Como alternativa, puede especificar tanto las opciones como el orden en que aparecen. Los pedidos son mutuamente excluyentes y la configuración falla si configura un NAS-Port-ID que incluya valores en ambos tipos de pedido.

    Consulte Configuración de un NAS-Port-ID con opciones adicionales y Configuración del orden en que aparecen los valores opcionales en el NAS-Port-ID para obtener información detallada.

  16. (Opcional) Configure el tipo de puerto que se incluye en el atributo RADIUS 61 (NAS-Port-Type). Esto especifica el tipo de puerto que utiliza el enrutador para autenticar a los suscriptores.
    Nota:

    Esta instrucción se omite si configura el ethernet-port-type-virtual en el mismo perfil de acceso.
  17. (Opcional) Configure el LAC para anular el formato configurado Calling-Station-ID para el valor enviado en el número de llamada L2TP AVP 22. Puede invalidar el formato Calling-Station-ID y configurar el LAC para usar el ACI, el ARI o los dos ACI y ARI que se reciben del cliente L2TP en el paquete PADR. También puede especificar un delimitador para utilizarlo entre los componentes de la cadena AVP y un valor de reserva para utilizarlo cuando los componentes de reemplazo configurados no se reciban en el paquete PADR.
    Nota:

    Consulte Anular el formato del identificador de estación de llamada para el AVP del número de llamada para obtener más información.
  18. (Opcional) Reemplace el valor del atributo RADIUS NAS-IP-Address (4) en el LNS con el valor de la dirección IP del punto de conexión LAC de la sesión si está presente en la base de datos de la sesión. Si no está presente, se utiliza el valor del atributo original.
  19. (Opcional) Anule el valor del atributo RADIUS NAS-Port (5) en el LNS con el valor de la base de datos de sesión si la información del puerto LAC NAS se transmitió al LNS en el AVP (100) de información del puerto NAS de Cisco Systems. Si no está presente, se utiliza el valor del atributo original.
  20. (Opcional) Anule el valor del atributo RADIUS NAS-Port-Type (61) en el LNS con el valor de la base de datos de sesión si la información del puerto NAS LAC se transmitió al LNS en el AVP (100) de información del puerto NAS de Cisco Systems. Si no está presente, se utiliza el valor del atributo original.
  21. (Opcional) Configure un carácter delimitador para la cadena de ID de circuito remoto cuando utilice la remote-circuit-id-format instrucción para configurar la cadena que se utilizará en lugar del identificador de estación de llamada en el número de llamada L2TP AVP 22. Si se configura más de un valor para el formato de ID de circuito remoto, el carácter delimitador se utiliza como separador entre los valores concatenados en la cadena de ID de circuito remoto resultante.
    Nota:

    Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el AVP del número de llamada.
  22. (Opcional) Configure el valor de reserva para que el LAC envíe el número de llamada L2TP AVP 22, ya sea el identificador de estación de llamada configurado o la interfaz subyacente predeterminada. El uso del valor de reserva se desencadena cuando el LAC no recibe los componentes de la cadena de reemplazo configurada con la remote-circuit-id-format instrucción (ACI, ARI o ACI y ARI) en el paquete PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure el formato de la cadena que anula el formato Calling-Station-ID en el AVP del número de llamada L2TP. Puede especificar el ACI, el ARI o ambos ACI y ARI.
    Nota:

    Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el AVP del número de llamada.
  24. (Opcional) Configure el número de segundos que espera el enrutador después de que un servidor se ha vuelto inaccesible antes de hacer otro intento de llegar al servidor. Si el servidor es entonces accesible, se utiliza de acuerdo con el orden de la lista de servidores.
    Nota:

    También puede configurar esta opción para todos los servidores RADIUS. Consulte Opciones de configuración para servidores RADIUS.
  25. (Opcional) Configure si el suscriptor recién autenticado puede iniciar sesión correctamente cuando se produzcan errores de activación del servicio relacionados con errores de configuración durante el procesamiento automático de la solicitud de activación para la familia de direcciones del suscriptor. Puede especificar este comportamiento para los servicios configurados en perfiles dinámicos o en scripts de operación del Administrador de servicios de suscriptor extensible (ESSM):

    • optional-at-login: la activación del servicio es opcional. El error de activación debido a errores de configuración no impide la activación de la familia de direcciones; Permite el acceso de los suscriptores. Los errores de activación del servicio debidos a causas distintas de los errores de configuración provocan un error en la activación de la familia de red. El intento de inicio de sesión finaliza a menos que otra familia de direcciones ya esté activa para el suscriptor.

    • required-at-login—Se requiere la activación del servicio. Si se produce un error de activación, por cualquier motivo, se produce un error en la activación de la familia de red. El intento de inicio de sesión finaliza a menos que otra familia de direcciones ya esté activa para el suscriptor.

  26. (Opcional) Especifique que el atributo 5 de RADIUS (puerto NAS) incluye el ID de S-VLAN, además del ID de VLAN, para suscriptores en interfaces Ethernet.

Configuración de un identificador de estación de llamadas con opciones adicionales

Utilice esta sección para configurar un valor alternativo para el identificador de estación de llamada (atributo 31 del IETF RADIUS) en un perfil de acceso del enrutador de la serie MX.

Puede configurar el identificador de estación llamadora para que incluya una o varias de las siguientes opciones, en cualquier combinación, en la jerarquía [edit access profile profile-name radius options calling-station-id-format]:

  • Identificador del circuito del agente (agent-circuit-id): identificador del nodo de acceso del abonado y de la línea de abonado digital (DSL) del nodo de acceso. La cadena del identificador de circuito del agente (ACI) se almacena en el campo de la opción 82 de los mensajes DHCP para el tráfico DHCP o en el VSA [26-1] del ID de circuito del agente del foro DSL [26-1] de los paquetes de control PPPoE Active Discovery Initiation (PADI) y PPPoE Active Discovery Request (PADR) para el tráfico PPPoE.

  • Identificador remoto del agente (agent-remote-id): identificador del suscriptor en la interfaz del multiplexor de acceso de línea de suscriptor digital (DSLAM) que inició la solicitud de servicio. La cadena del identificador remoto del agente (ARI) se almacena en el campo de la opción 82 de DHCP para el tráfico DHCP o en el VSA [26-2] del agente de ID remoto del foro DSL para el tráfico PPPoE.

  • Descripción de la interfaz (interface-description): valor de la interfaz.

  • Descripción de texto de la interfaz (interface-text-description): descripción textual de la interfaz. La descripción del texto de la interfaz se configura por separado, utilizando la set interfaces interface-name description description instrucción o la set interfaces interface-name unit unit-number description description instrucción

  • Dirección MAC (mac-address): dirección MAC del dispositivo de origen del suscriptor.

  • Identificador de NAS (nas-identifier): nombre del NAS que originó la solicitud de autenticación o contabilidad. El identificador NAS es el atributo 32 de RADIUS IETF.

  • VLAN (stacked-vlan)apilada: ID de VLAN apilada.

  • VLAN (vlan): ID DE VLAN.

Si configura el formato del identificador de estación llamadora con más de un valor opcional, un carácter hash (#) es el delimitador predeterminado que el enrutador utiliza como separador entre los valores concatenados en la cadena Calling-Station-ID resultante. Opcionalmente, puede configurar un carácter delimitador alternativo para que lo utilice el identificador de estación llamante. En el ejemplo siguiente se muestra el orden de salida cuando se configuran varios valores opcionales:

Para configurar un perfil de acceso para proporcionar información opcional en el identificador de estación de llamadas:

  1. Especifique el perfil de acceso que desea configurar.
  2. Especifique que desea configurar las opciones de RADIUS.
  3. Especifique el carácter no predeterminado que se utilizará como delimitador entre los valores concatenados en el identificador de estación de llamada.

    De forma predeterminada, la administración de suscriptores utiliza el carácter hash (#) como delimitador en las cadenas de ID de estación de llamada que contienen más de un valor opcional.

  4. Configure el valor para el identificador NAS (atributo RADIUS 32), que se utiliza para las solicitudes de autenticación y contabilidad.
  5. Especifique que desea configurar el formato del identificador de la estación de llamadas.
  6. (Opcional) Incluya la descripción del texto de la interfaz en el identificador de la estación de llamadas.
  7. (Opcional) Incluya el valor de descripción de interfaz en el identificador de estación llamante.
  8. (Opcional) Incluya el identificador del circuito del agente en el identificador de la estación de llamadas.
  9. (Opcional) Incluya el identificador remoto del agente en el identificador de la estación de llamadas.
  10. (Opcional) Incluya el valor del identificador NAS configurado en el identificador de estación de llamada.
  11. (Opcional) Incluya el ID de VLAN apilado en el identificador de estación de llamadas.
  12. (Opcional) Incluya el ID de VLAN en el identificador de la estación de llamadas.
  13. (Opcional) Incluya la dirección MAC en el identificador de la estación de llamadas.

Ejemplo: ID de estación de llamada con opciones adicionales en un perfil de acceso

En el ejemplo siguiente se crea un perfil de acceso denominado retailer01 que configura una cadena de ID de estación de llamada que incluye las opciones NAS-Identifier (fox), descripción de la interfaz, identificador del circuito del agente e identificador remoto del agente.

La cadena Calling-Station-ID resultante tiene el siguiente formato:

fox*ge-1/2/0.100:100*as007*ar921

Dónde:

  • El valor del identificador NAS es fox.

  • El carácter delimitador del identificador de la estación de llamada es * (asterisco).

  • El valor de descripción de la interfaz es ge-1/2/0.100:100.

  • El valor del identificador del circuito del agente es as007.

  • El valor del identificador remoto del agente es ar921.

Considere un ejemplo en el que todas las opciones están configuradas, pero no hay valores disponibles para el ID de circuito del agente, el ID remoto del agente o el identificador de VLAN apilado. Los demás valores son los siguientes:

  • Identificador NAS: solarium

  • Descripción de la interfaz—GE-1/0/0.1073741824:101

  • Descripción del texto de la interfaz: interfaz de ejemplo

  • Dirección MAC—00:00:5E:00:53:00

  • Identificador VLAN: 101

Estos valores dan como resultado el siguiente identificador de estación de llamada:

Filtrado de atributos RADIUS y VSA de mensajes RADIUS

Los atributos estándar y los atributos específicos del proveedor (VSA) recibidos en los mensajes RADIUS tienen prioridad sobre los valores de atributo aprovisionados internamente. El filtrado de atributos consiste en elegir omitir ciertos atributos cuando se reciben en paquetes de aceptación de acceso y excluir ciertos atributos para que no se envíen al servidor RADIUS. Ignorar los atributos recibidos del servidor RADIUS permite utilizar en su lugar los valores aprovisionados localmente. Excluir atributos de ser enviados es útil, por ejemplo, para atributos que no cambian durante la vida útil de un suscriptor. Le permite reducir el tamaño del paquete sin pérdida de información.

Puede especificar atributos RADIUS estándar y VSA que el enrutador o conmutador ignore posteriormente cuando se reciban en los mensajes de aceptación de acceso RADIUS. También puede especificar atributos y VSA que el enrutador o conmutador excluya de los tipos de mensaje RADIUS especificados. Exclusión significa que el enrutador o conmutador no incluye el atributo en los mensajes especificados que envía al servidor RADIUS.

A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para que ignore o excluya los atributos estándar de RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la IANA y el número de VSA, respectivamente. Con este método de configuración flexible, puede configurar cualquier atributo estándar y VSA admitidos por su plataforma para que se ignoren o excluyan. La configuración no tiene ningún efecto si configura atributos, proveedores y VSA no compatibles.

El método heredado permite configurar sólo aquellos atributos y VSA para los que la sintaxis de la instrucción incluye una opción específica. Por consiguiente, puede utilizar el método heredado para omitir sólo un subconjunto de todos los atributos que se pueden recibir en los mensajes de acceso-aceptación.

Para configurar los atributos ignorados o excluidos por el enrutador o conmutador:

  1. Especifique que desea configurar RADIUS en el perfil de acceso.
  2. Especifique que desea configurar cómo se filtran los atributos RADIUS.
  3. (Opcional) Especifique uno o más atributos que desea que su enrutador o conmutador ignore cuando los atributos estén en mensajes de acceso-aceptación.

    • Método heredado: especifique la opción dedicada para el atributo:

    • Método flexible: Especifique el número de atributo estándar o el ID de proveedor asignado por la IANA y el número de VSA:

  4. (Opcional) Configure un atributo que desee que el enrutador o conmutador excluya de uno o varios tipos de mensajes RADIUS especificados. No puede configurar una lista de atributos, pero puede especificar una lista de tipos de mensajes para cada atributo.

    • Método heredado: especifique la opción dedicada para el atributo y el tipo de mensaje:

    • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la IANA, el número de VSA y el tipo de mensaje:

En el siguiente ejemplo se comparan los métodos de configuración heredados y flexibles para ignorar el atributo RADIUS estándar, Framed-IP-Netmask (9), y los VSA, Ingress-Policy-Name (26-10) y Egress-Policy-Name (26-11) de Juniper Networks.

  • Método heredado:

  • Método flexible:

En el siguiente ejemplo se comparan los métodos de configuración heredados y flexibles para excluir el atributo RADIUS estándar, Framed-IP-Netmask (9), y los VSA, Ingress-Policy-Name (26-10) y Egress-Policy-Name (26-11) de Juniper Networks.

  • Método heredado:

  • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la IANA, el número de VSA y el tipo de mensaje:

¿Qué sucede si especifica un atributo con ambos métodos en el mismo perfil? La configuración efectiva es el OR lógico de los dos métodos. Considere el siguiente ejemplo para el atributo estándar, tiempo de retraso contable (41):

El resultado es que el atributo se excluye de los cuatro tipos de mensajes: Accounting-Off, Accounting-On, Accounting-Start y Accounting-Stop. El efecto es el mismo que si se utilizara alguna de las siguientes configuraciones:

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para que ignore o excluya los atributos estándar de RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la IANA y el número de VSA, respectivamente.