Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS серверов и параметров для доступа абонента

Настройка параметров и параметров для RADIUS серверов является основной частью конфигурации управления абонентом. После определения серверов аутентификации и учета настраиваются параметры для всех RADIUS серверов. Также настраиваются профили доступа, позволяющие указать параметры аутентификации, авторизации и учета доступа для абонентов или групп абонентов. Настройки профиля переопределяют глобальные настройки. Хотя некоторые параметры доступны как на глобальном уровне, так и на уровне профилей доступа, многие параметры доступны только в профилях доступа.

После создания профиля доступа необходимо указать, где этот профиль используется с указанием; это называется присоединением access-profile профиля. Профили доступа могут быть назначены на различных уровнях. Например, некоторые места, где можно прикрепить профили доступа

  • Глобально для экземпляра маршрутов.

  • В динамических профилях.

  • В карте домена, в которой параметров доступа и сеансов для сеансов абонента сопосмеяется.

  • На интерфейсах для динамических VLANs и динамических стеков VLANs.

  • На интерфейсе или в группе абонентов для абонентов со статически настроенными интерфейсами для динамического предоставления услуг.

  • Агенты ретрансляции DHCP и локальные серверы DHCP для клиентов или абонентов DHCP.

Поскольку профили доступа могут быть подключены на различных уровнях, наиболее конкретный профиль доступа имеет приоритет перед любыми другими назначениями профиля, чтобы избежать конфликтов. Аутентификация и учет не запускают, пока профиль не будет подключен.

RADIUS аутентификации и определения сервера учета

При использовании RADIUS для управления абонентами необходимо определить один или несколько внешних RADIUS серверов, с которые маршрутизатор взаимодействует для аутентификации и учета абонента. Помимо указания адреса IPv4 или IPv6 сервера, можно настроить параметры и атрибуты, определяющие взаимодействие маршрутизатора с указанными серверами.

Серверы RADIUS могут быть определены на уровне иерархии, на уровне иерархии или [edit access radius-server] [edit access profile name radius-server] на обоих уровнях.

Примечание.

Процесс AAA (authd) определяет определения серверов для использования следующим образом:

  • Если RADIUS серверов имеются только в этих [edit access radius-server] определениях, authd использует эти определения.

  • Если RADIUS сервер имеется только в профиле доступа, authd использует эти определения.

  • Если RADIUS сервер имеется в обоих профилях и в профиле доступа, authd использует только определения [edit access radius-server] профиля доступа.

Для использования RADIUS сервера необходимо обозначить его в качестве сервера аутентификации, сервера учета или того и иного профиля доступа. Это необходимо сделать для серверов вне зависимости от того, определены ли они в профиле доступа или [edit access radius-server] на уровне иерархии.

Чтобы определить RADIUS серверы и указать, как маршрутизатор взаимодействует с сервером:

Примечание.

Эта процедура показывает только [edit access radius-server] уровень иерархии. Можно дополнительно настроить любой из этих параметров на уровне [edit access profile profile-name] radius-server] иерархии. Это можно сделать в дополнение к глобальным настройкам или вместо глобальных настроек. При применении профиля параметры профиля переопределяют глобальную конфигурацию.

  1. Укажите адрес IPv4 или IPv6 RADIUS сервере.
  2. (Необязательно) Настройте номер RADIUS сервера учета.
  3. (Необязательно) Настройте номер порта, который маршрутизатор использует для связи с RADIUS сервером.
  4. Настройте необходимый секретный пароль, который локальный маршрутизатор передает RADIUS клиенту. Кавычка в кавычках содержит пробелы.
  5. (Необязательно) Настройте максимальное число незавершенных запросов, которое может поддерживать RADIUS сервер. Незавершенный запрос – это запрос, на который RADIUS сервер еще не ответил.
  6. Настройте адрес источника для RADIUS сервера. Каждый RADIUS, отправленный на RADIUS сервера, использует указанный адрес источника. Исходный адрес – допустимый адрес IPv4 или IPv6, настроенный на одном из интерфейсов маршрутизатора.
  7. (Необязательно) Настройте значения времени между повторной настройкой и проверкой для сообщений аутентификации и учета.
    1. Настройте, сколько раз маршрутизатор пытается связаться с RADIUS сервером, когда он не получил ответа.
    2. Настройте время ожидания ответа маршрутизатора от RADIUS сервера перед повторной попытку контакта.
    Примечание.

    Максимальная продолжительность повторного действия (количество повторного числа повторной длительности) не может превышать 2700 секунд. При настройке более длительности отображается сообщение об ошибке.

    Примечание.

    Параметры retry timeout применимы как к сообщениям аутентификации, так и к учету, если не настроены как утверждение, так accounting-retry и accounting-timeout утверждение. В этом случае retry параметры и timeout параметры применимы только к сообщениям аутентификации.

  8. (Необязательно) Настройте значения времени передыжения и для сообщений учета отдельно от настроек сообщений аутентификации.
    Примечание.

    Необходимо настроить как accounting-retry утверждения, так и accounting-timeout утверждение. Если это не так, то настроенная вами величина будет игнорироваться в пользу значений, настроенных с помощью retry ех и timeout еконфигурирований.

    1. Настройте, сколько раз маршрутизатор пытается отправить сообщения учета на RADIUS учета, когда он не получил ответ.
    2. Настройте время ожидания маршрутизатором ответа от RADIUS учета перед повторной попытку запроса.
  9. (Необязательно) Настройте маршрутизатор на обращение к серверу RADIUS для запроса доавентификации логической линии (LLID). См. RADIUS логической линии.
  10. (Необязательно) Настройте порт, отслеживаемый маршрутизатором для динамических (CoA) запросов с указанного сервера. См. "Динамическое управление RADIUS".

Настройка параметров, применимых к RADIUS серверам

Можно настраивать параметры RADIUS, применимые к всем RADIUS серверам в глобальном масштабе.

Для глобальной настройки RADIUS параметров:

  1. Укажите, что необходимо настроить RADIUS параметры.
  2. (Необязательно) Настройте скорость, с которой RADIUS серверу отправляются запросы на промежуточное обновление.
  3. (Необязательно) Настройте максимально допустимые отклонения от настроенного интервала обновления, который маршрутизатор посылает промежуточные обновления учета серверу RADIUS. Порог порога относительно настроенного интервала обновления.

    Например, если порог порога установлен в 60 секунд, то маршрутизатор отправляет промежуточные обновления учета без изменения правила, чем на 30 секунд раньше настроенного интервала обновления. При входе абонента в систему первое промежуточное обновление учета может быть отправлено до 30 секунд раньше (в среднем за 15 секунд до начала).

    Интервал обновления настраивается с помощью утверждения интервала обновления на [edit access profile profile-name accounting] уровне иерархии.

  4. (Необязательно) Настройте количество запросов в секунду, которое маршрутизатор может посылать всем настроенным RADIUS серверам вместе. Ограничение потока запросов от маршрутизатора до RADIUS серверов позволяет предотвратить затопление серверов RADIUS запросами.
  5. (Необязательно) Настройте количество секунд, которое маршрутизатор ждет после того, как сервер станет недостижимым, прежде чем повторно установить соединение. Если маршрутизатор достигает сервера по истечении интервала реверса, сервер используется в соответствии с порядком списка серверов.
    Примечание.

    Можно также настроить профиль доступа для revert-interval переопределения этого глобального значения. См. "Настройка параметров профиля доступа для взаимодействия с RADIUS серверами".

  6. (Необязательно) Настройте период времени, в течение которого неосмотрительные RADIUS серверы аутентификации еще не считаются недоступными или не могут быть недоступны. Период может меняться в зависимости от того, хотите ли вы быстрее перенаправить запросы аутентификации на другой сервер или предоставить неотвежительному серверу больше времени на восстановление и ответ.

    Дополнительные сведения см. в "Настройка периода отсрочки и отсрочки", чтобы указать, когда RADIUS серверы считаются недоступными или недоступны.

  7. (Необязательно) Настройте значение порта NAS, которое уникально для всех маршрутизаторов серии MX в сети. Можно настроить значение NAS-port, которое уникально только в пределах маршрутизатора или уникальное для различных маршрутизаторов MX в сети.

    Дополнительные сведения см. в NAS "Уникальные RADIUS-порты" для абонентов.

Настройка периода отсрочки для указания, когда RADIUS серверы считаются недоступными или недоступны

Если сервер RADIUS аутентификации не отвечает ни на какие попытки запроса аутентификации и не может превышать время аутентификации, authd отмечает время для справки, но не сразу помечает сервер как отбой (если другие серверы доступны) или недостижимые (если это единственный настроенный сервер). Вместо этого настраиваемый период отсрочки начинается со времени справки. Период отсрочки очищается, если сервер отвечает на последующий запрос до истечения периода.

Во время периода отсрочки сервер не отмечается как неавный или недостижимый. Каждый раз, когда сервер проверяет время ожидания для последующих запросов к серверу, проверяет, истек ли период отсрочки. Когда проверка определяет, что период отсрочки истек и сервер не ответил на запрос, сервер отмечается как недостижимый или не отвечает.

Использование короткого периода отсрочки позволяет быстрее отказаться от неопровержимого сервера и направить запросы аутентификации другим доступным серверам. Длительный период отсрочки предоставляет серверу больше возможностей для реагирования и может избежать необходимости отказа от ресурса. Можно указать более длительный период отсрочки, если имеется только один или небольшое число настроенных серверов.

Чтобы настроить период отсрочки, в течение которого нереактивный RADIUS сервер не маркирован как недостижимый или не может быть:

  • Укажите длительность периода отсрочки.

Настройка параметров профиля доступа для взаимодействия с RADIUS серверами

Профиль доступа можно использовать для указания параметров, которые маршрутизатор использует при общеве-RADIUS серверами аутентификации и учета для доступа абонентов. Эта процедура описывает параметры, доступные только в профилях доступа. Параметры, доступные как в профиле доступа, так и на глобальном уровне, см. в RADIUS "Серверы и параметры для доступа абонента".

Настройка параметров RADIUS аутентификации и учета:

  1. Укажите, что необходимо настроить RADIUS параметры.
  2. (Необязательно) Настройте формат, который использует маршрутизатор для определения сеанса учета. Идентификатор может быть в одном из следующих форматов:
    • decimal—Формат по умолчанию. Например 435264

    • descriptionв jnpr interface-specifier:subscriber-session-id формате. Например jnpr fastEthernet 3/2.6:1010101010101

  3. (Необязательно) Настройте символ-размыкатель, который маршрутизатор вставляет между значениями RADIUS атрибута 31 (Calling-Station-Id).
  4. (Необязательно) Настройте информацию, которую маршрутизатор включает в RADIUS 31 (Calling-Station-Id).
  5. (Необязательно) Настройте маршрутизатор на использование дополнительного поведения, которое вставляет случайный вызов, созданный NAS в поле Request Authenticator пакетов Access-Request, вместо отправки случайного вызова в качестве атрибута CHAP-Challenge (RADIUS атрибута 60) в пакетах Access-Request. Для этого дополнительного поведения требуется, чтобы значение challenge было 16 bytes; в противном случае утверждение игнорируется и отправляется вызов в качестве атрибута CHAP-Challenge.
  6. (Необязательно) Настройте метод, который маршрутизатор использует для доступа к RADIUS серверов аутентификации и учета при настройке нескольких серверов:
    • direct— Метод по умолчанию, в котором нет балансировки нагрузки. Первый настроенный сервер является основным; серверы доступны в порядке настройки. Если основной сервер недостижим, маршрутизатор пытается достичь второго настроенного сервера и так далее.

    • round-robin- Метод, который обеспечивает балансировку нагрузки путем ротации запросов маршрутизатора среди списка настроенных RADIUS серверов. Сервер, выбранный для доступа, будет меняться в зависимости от последнего сервера. Первый сервер в списке рассматривается как основной для первого запроса аутентификации, а для второго запроса второй сервер рассматривается как основной и так далее. С помощью этого метода все настроенные серверы получают примерно одинаковое количество запросов в среднем, поэтому ни один сервер не должен обрабатывать все запросы.

      Примечание.

      Когда сервер RADIUS в списке круговой очереди становится недостижимым, для текущего запроса используется следующий достижимый сервер в списке round-robin. Этот же сервер также используется для следующего запроса, поскольку он находится вверху списка доступных серверов. В результате после сбоя используемый сервер загружает два сервера.

    • Чтобы настроить метод, который использует маршрутизатор для доступа к RADIUS учета:

    • Чтобы настроить метод, который маршрутизатор использует для доступа к RADIUS серверов аутентификации:

  7. (Необязательно) Настройте маршрутизатор на использование дополнительного поведения, если операция CoA не может применить запрашиваемое изменение к динамической переменной профиля клиента.

    Дополнительным поведением является то, что управление абонентом не применяет никаких изменений к динамическим переменным профиля клиента в запросе CoA и отвечает NACK. По умолчанию управление абонентом не применяет неправильное обновление, но применяет другие изменения к динамическим переменным профиля клиента, а затем отвечает сообщением ACK.

  8. (Необязательно) Настройте маршрутизатор на использование физического типа порта для virtual аутентификации клиентов. Тип порта передается в атрибуте 61 RADIUS (NAS-Port-Type). По умолчанию маршрутизатор передает тип порта в RADIUS ethernet 61.
    Примечание.

    Этот утверждение имеет приоритет над nas-port-type утверждением, если оба включены в один и тот же профиль доступа.

  9. (Необязательно) Укажите информацию, которая исключена из описания интерфейса, который маршрутизатор передает RADIUS для включения в RADIUS атрибут 87 (NAS-Port-ID). По умолчанию описание интерфейса включает информацию об адаптере, канале и субинтерфейсе.
  10. (Необязательно) Для абонентов с двумя стеками PPP, включите VSA IPv4-Release-Control (26–164) в запрос доступа, который отправляется во время размещения IP-адресов по требованию и в сообщениях Промежуточного учета, которые посылаются для отчета об изменении адреса.

    Дополнительно настройте сообщение, включаемое в VSA IPv4-Release-Control VSA (26–164), когда оно отправляется на RADIUS-сервер

    Конфигурация этого утверждения не действует, если не настроено размещение или распределение IP-адресов по требованию.

  11. (Необязательно) Добавьте vsAs Juniper Networks линии доступа к RADIUS аутентификации и запросов учета для абонентов. Если маршрутизатор не получил и не обработал соответствующие атрибуты ANCP от узла доступа, AAA в этих сообщениях RADIUS только следующее:
    • 9stream-Calculated-QoS-Rate (IANA 4874, 26-141) — настроенная по умолчанию скорость передачи.

    • Скорость передачи с высокой QoS IANA (4874, 26-142) — настроенная по умолчанию скорость получения рекомендаций.

    Начиная Junos OS версии 19.2R1, параметр заменяет juniper-access-line-attributes juniper-dsl-attributes параметр. Для обратной совместимости с существующими сценариями параметр juniper-dsl-attributes перенаправляется на новый juniper-access-line-attributes параметр. Рекомендуется juniper-access-line-attributes использовать.

    Примечание.

    Этот juniper-access-line-attributes параметр обратно совместим с Junos OS версии 19.1 или более ранних версий. Это означает, что если настроен параметр в выпуске 19.2 Junos OS более высоких версий, необходимо выполнить следующие шаги для понижения версии Junos OS до выпуска 19.1 или более ранних juniper-access-line-attributes версий:

    1. Удалите juniper-access-line-attributes параметр из всех профилей доступа, которые его включают.

    2. Выполните понижение по программному обеспечению.

    3. Добавьте этот juniper-dsl-attributes параметр в затронутые профили доступа.

  12. (Необязательно) Настройте значение для RADIUS 32 (NAS-идентификатора), которое используется для запросов аутентификации и учета.
  13. (Дополнительно) Настройте RADIUS клиента на использование расширенного формата для RADIUS атрибута 5 (NAS-Port) и укажите ширину полей в атрибуте NAS-Port, который определяет физический номер порта NAS, аутентификации пользователя.
    • Для абонентов Ethernet:

    • Для абонентов ATM:

  14. (Необязательно) Настройте символ-размыкатель, который маршрутизатор вставляет между значениями RADIUS атрибута 87 (NAS-Port-Id).
  15. (Необязательно) Настройте необязательные сведения, которые включает маршрутизатор в RADIUS 87 (NAS-Port-Id). Можно указать один или несколько параметров, которые будут отображаться в порядке по умолчанию. Кроме того, можно указать как параметры, так и порядок их появления. Эти заказы являются взаимоисключающими, и конфигурация не удалась, если NAS-Port-ID, который содержит значения обоих типов порядка.

    Дополнительные сведения см. в NAS port-ID и настройке порядка, в котором дополнительные значения отображаются в NAS-port-ID.

  16. (Необязательно) Настройте тип порта, включенный в RADIUS атрибута 61 (NAS-Port-Type). Это указывает тип порта, который маршрутизатор использует для аутентификации абонентов.
    Примечание.

    Данное утверждение игнорируется при настройке того же ethernet-port-type-virtual профиля доступа.

  17. (Необязательно) Настройте LAC на переопределить настроенный формат Calling-Station-ID для значения, отправленного в L2TP Calling Number AVP 22. Можно переопределить формат Calling-Station-ID и настроить LAC для использования ACI, ARI или ACI и ARI, полученных от клиента L2TP в пакете PADR. Можно также указать обилие для использования между компонентами строки AVP и значение, используемого при откате, чтобы использовать, если настроенные переопределяемые компоненты не получены в пакете PADR.
    Примечание.

    Дополнительныесведения см. в переопределе формате calling-Station-ID для AVP вызываемого номера.

  18. (Необязательно) Переопределять значение атрибута RADIUS NAS-IP-адреса (4) в LNS со значением IP-адреса LAC конечной точки сеанса, если оно присутствует в базе данных сеанса. Если атрибута нет, используется исходное значение атрибута.
  19. (Необязательно) Переопределять значение атрибута RADIUS NAS-Port (5) в LNS со значением из базы данных сеанса, если информация о порте LAC NAS была передана на LNS в Cisco Systems NAS Port Info AVP (100). Если атрибута нет, используется исходное значение атрибута.
  20. (Необязательно) Переопределять значение атрибута RADIUS NAS-Port-Type (61) в LNS со значением из базы данных сеанса, если информация lac NAS port была передана LNS в Cisco Systems NAS Port Info AVP (100). Если атрибута нет, используется исходное значение атрибута.
  21. (Необязательно) Настройте символ размыкания для строки идентификации удаленного контура при использовании утверждения для настройки строки для использования вместо идентификации вызываемой станции в remote-circuit-id-format L2TP Calling Number AVP 22. Если для формата идентификации удаленного контура настроено более одного значения, символ-удалитель используется как сепаратор между сцепленными значениями в итоговой строке идентификации удаленного контура.
    Примечание.

    Необходимо настроить override calling-circuit-id remote-circuit-id утверждение, чтобы формат идентификации удаленного цепи использовался в AVP вызываемого номера.

  22. (Необязательно) Настройте значение функции fallback для LAC для отправки в L2TP вызываемом номере AVP 22, настроенного calling-Station-ID или на основном интерфейсе по умолчанию. remote-circuit-id-format Использование значения перепада запускается, когда компоненты переопределяемой строки, настроенные с помощью утверждения — ACI, ARI, или оба ACI и ARI — не получаются LAC в пакете запроса активного обнаружения PPPoE (PADR).
  23. (Необязательно) Настройте формат строки, которая переопределяет формат Calling-Station-ID в L2TP Calling Number AVP. Можно указать ACI, ARI или как ACI, так и ARI.
    Примечание.

    Необходимо настроить override calling-circuit-id remote-circuit-id утверждение, чтобы формат идентификации удаленного цепи использовался в AVP вызываемого номера.

  24. (Необязательно) Настройте время ожидания маршрутизатором времени после того, как сервер станет недостижимым перед очередной попыткой получить доступ к серверу. Если сервер затем достижим, он используется в соответствии с порядком списка серверов.
    Примечание.

    Этот параметр можно также настроить для всех RADIUS серверов. См. "Настройка параметров, применимых к RADIUS серверам".

  25. (Дополнительный) Настройте, может ли вновь аутентификационный абонент успешно войти в систему, если во время аутентификации запроса активации для семейства адресов абонента происходят сбои активации, связанные с ошибками конфигурации. Можно указать такое поведение для служб, настроенных в динамических профилях или в сценариях работы Диспетчера служб абонента с возможностью и возможностью для работы:
    • optional-at-login— Активация служб не является обязательной. Сбой активации из-за ошибок конфигурации не предотвращает активацию семейства адресов; он обеспечивает доступ абонента. Сбои активации служб по причине других причин, кроме ошибок конфигурации, могут привести к сбою активации семейства сетей. Попытка входа завершается, если для абонента уже не активна другая семейка адресов.

    • required-at-login— Требуется активация службы. Сбой активации по любой причине приводит к сбою активации семейства сетей. Попытка входа завершается, если для абонента уже не активна другая семейка адресов.

  26. (Необязательно) Укажите RADIUS атрибут 5 (NAS-Port) включает В себя ID S-VLAN в дополнение к VLAN ID для абонентов на интерфейсах Ethernet.

Настройка функции Calling-Station-ID с дополнительными настройками

Этот раздел используется для настройки альтернативного значения calling-Station-ID (RADIUS IETF атрибута 31) в профиле доступа на серия MX маршрутизаторе.

Функцию Calling-Station-ID можно настроить так, чтобы она включала один или несколько из следующих параметров в любой комбинации в edit access profile profile-name radius options calling-station-id-format иерархию []

  • Идентификатор цепи агента () — идентификатор узла доступа абонента и цифровой абонентской линии agent-circuit-id (DSL) на узле доступа. Строка идентификатора цепи агента (ACI) хранится либо в поле DHCP-параметра 82 сообщений DHCP для трафика DHCP, либо в строке DSL Forum Agent-Circuit-ID VSA [26-1] инициирования активного обнаружения PPPoE (PADI) и Запрос активного обнаружения PPPoE (PADR) управляет пакетами для трафика PPPoE.

  • Идентификатор удаленного агента () — идентификатор абонента на мультиплексере доступа к цифровой абонентской линии (DSLAM) интерфейса, инициировал agent-remote-id запрос на обслуживание. Строка удаленного идентификатора агента (ARI) хранится либо в поле DHCP параметра 82 для трафика DHCP, либо в поле DSL Forum Agent-Remote-ID VSA [26-2] для трафика PPPoE.

  • Описание interface-description интерфейса ()— Значение интерфейса.

  • Описание текста интерфейса interface-text-description ()—Текстовое описание интерфейса. Текст интерфейса настраивается отдельно, используя либо set interfaces interface-name description description инструкцию, либо set interfaces interface-name unit unit-number description description утверждение.

  • MAC-адрес ) mac-address — MAC-адрес устройства-источника для абонента.

  • NAS идентификатор () — имя NAS, с которого исходил запрос на nas-identifier аутентификацию или учет. NAS-идентификатор – RADIUS IETF атрибут 32.

  • Stacked VLAN ( Stacked VLAN (stacked-vlan) ID) — стековая VLAN ID.

  • VLAN (vlan) — VLAN ID.

Если настроить формат функции Calling-Station-ID с использованием более одного дополнительного значения, то хэш-символ (#) является делектором по умолчанию, который маршрутизатор использует в качестве сепаратора между совпаными значениями в итоговой строке Calling-Station-ID. Дополнительно можно настроить альтернативный символ-размыкатель для использования calling-station-ID. В следующем примере показан порядок вывода при настройке нескольких дополнительных значений:

Чтобы настроить профиль доступа для предоставления дополнительной информации в функции Calling-Station-ID:

  1. Укажите профиль доступа, который необходимо настроить.
  2. Укажите, что необходимо настроить RADIUS параметры.
  3. Укажите символ по нестандартным номерам, который будет использовать в качестве размыканика между современными значениями в ID вызываемой станции.

    По умолчанию управление абонентом использует символ hash () в качестве размыкания в строках # Calling-Station-ID, содержащих несколько дополнительных значений.

  4. Настройте значение идентификатора NAS (RADIUS 32), которое используется для запросов аутентификации и учета.
  5. Укажите, что необходимо настроить формат вызываемой станции-ID.
  6. (Необязательно) Включит текстовое описание интерфейса в сообщение Calling-Station-ID.
  7. (Необязательно) Включит значение описания интерфейса в ID calling-Station.ID.
  8. (Необязательно) Включит идентификатор цепи агента в идентификатор вызываемой станции.
  9. (Необязательно) Включит удаленный идентификатор агента в идентификатор вызываемой станции.
  10. (Необязательно) Включит настроенное NAS идентификатор в идентификатор вызываемой станции.
  11. (Необязательно) Включите стек VLAN ID в ID вызываемой станции.
  12. (Необязательно) Включите VLAN ID в ID вызываемой станции.
  13. (Необязательно) Включит MAC-адрес в ID вызываемой станции.

Пример: Calling-Station-ID с дополнительными опциями в профиле доступа

В следующем примере создается профиль доступа с именемтвеака1, который настраивает строку calling-station-ID, которая включает NAS-идентификатор (), описание интерфейса, идентификатор агента цепи и параметры удаленного идентификатора fox агента.

Итоговая строка Calling-Station-ID отформатирована следующим образом:

fox*ge-1/2/0.100:100*as007*ar921

Где:

  • Значение NAS-идентификатора : fox .

  • Символ делеметра calling-Station-ID – * (звездочка).

  • Значение описания интерфейса : ge-1/2/0.100:100 .

  • Значение идентификатора каналов агента: as007 .

  • Значение удаленного идентификатора агента : ar921 .

Рассмотрим пример, где настроены все параметры, но для идентификатора Agent-Circuit-ID, Agent-Remote-Id или стека VLAN недоступны значения. Другие значения:

  • NAS — solarium

  • описание интерфейса — ge-1/0/0.1073741824:101

  • текстовое описание интерфейса — пример-интерфейс

  • MAC-адрес 00:00:5E:00:53:00

  • Идентификатор VLAN — 101

В результате выудить следующее значение calling-Station-ID:

Фильтрация RADIUS и VSAs из RADIUS сообщений

Стандартные атрибуты и атрибуты, специфические для поставщика (VSAs), полученные в RADIUS сообщениях, имеют приоритет по сравнению с внутренними значениями атрибутов. Атрибуты фильтрации состоят из выбора игнорирования определенных атрибутов при их приеме в пакетах Access Accept и исключения некоторых атрибутов из числа отправленных на RADIUS сервер. Игнорирование атрибутов, полученных от RADIUS сервера, позволяет использовать локальные значения. Исключение от отправленных атрибутов полезно, например, для атрибутов, которые не меняются в течение срока службы абонента. Это позволяет уменьшить размер пакета без потери информации.

Можно указать стандартные RADIUS и VSAs, которые маршрутизатор или коммутатор впоследствии игнорирует при их приеме в сообщениях access-Accept RADIUS доступа. Можно также указать атрибуты и VSAs, которые маршрутизатор или коммутатор исключает из определенных RADIUS сообщений. Исключение означает, что маршрутизатор или коммутатор не включают атрибут в указанные сообщения, которые он посылает RADIUS серверу.

Начиная с Junos OS выпуска 18.1R1, можно настроить маршрутизатор или коммутатор для игнорирования или исключения RADIUS стандартных атрибутов и VSAS путем указания стандартного номера атрибута или IANA-назначенного поставщика и номера VSA, соответственно. С помощью этого гибкого метода настройки можно настроить любой стандартный атрибут и VSA, поддерживаемый платформой, для игнорирования или исключения. Конфигурация не действует при настройке неподтвершенных атрибутов, поставщиков и VSAS.

Устаревший метод позволяет настраивать только те атрибуты и VSAs, для которых в синтаксисе утверждения включен определенный параметр. Следовательно, можно использовать устаревший метод для игнорирования только подмножество всех атрибутов, которые можно получить в сообщениях Access-Accept.

Чтобы настроить атрибуты, проигнорированые или исключенные маршрутизатором или коммутатором:

  1. Укажите, что необходимо настроить RADIUS в профиле доступа.
  2. Необходимо указать, как RADIUS атрибуты фильтруются.
  3. (Необязательно) Укажите один или несколько атрибутов, которые маршрутизатор или коммутатор должен игнорировать, когда атрибуты находятся в сообщениях Access-Accept.
    • Устаревший метод: укажите выделенный параметр для атрибута:

    • Гибкий метод: укажите стандартный номер IANA поставщика и номер VSA:

  4. (Необязательно) Настройте атрибут, который маршрутизатор или коммутатор необходимо исключить из одного или RADIUS типов сообщений. Нельзя настроить список атрибутов, но можно указать список типов сообщений для каждого атрибута.
    • Устаревший метод: укажите специализированный параметр для атрибута и типа сообщения:

    • Гибкий метод: указать стандартный номер IANA поставщика, номер VSA и тип сообщения:

В следующем примере сравнивались устаревшие и гибкие методы конфигурации с игнорированием стандартного RADIUS Framed-IP-Netmask (9) и Juniper Networks VSAs, Ingress-Policy-Name (26-10) и Egress-Policy-Name (26-11).

  • Устаревший метод:

  • Гибкий метод:

В следующем примере сравниваются устаревшие и гибкие методы конфигурации, чтобы исключить стандартный атрибут RADIUS Framed-IP-Netmask (9) и Juniper Networks VSAs, Ingress-Policy-Name (26-10) и Egress-Policy-Name (26-11).

  • Устаревший метод:

  • Гибкий метод: указать стандартный номер IANA поставщика, номер VSA и тип сообщения:

Что произойдет, если указать атрибут с обоими методами в одном профиле? Эффективная конфигурация является логической ИЛИ из двух методов. Рассмотрим следующий пример стандартного атрибута(accounting-delay-time) (41):

В результате атрибут исключен из всех четырех типов сообщений: Accounting-Off, Accounting-On, Accounting-Start и Accounting-Stop. Эффект тот же, как если бы использовался любая из следующих конфигураций:

Таблица истории релизов
Выпуска
Описание
18.1R1
Начиная с Junos OS выпуска 18.1R1, можно настроить маршрутизатор или коммутатор для игнорирования или исключения RADIUS стандартных атрибутов и VSAS путем указания стандартного номера атрибута или IANA-назначенного поставщика и номера VSA, соответственно.