Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Gerenciamento dinâmico de serviços com RADIUS

Usando solicitações radius dinâmicas para gerenciamento de acesso ao assinante

As solicitações dinâmicas radius oferecem uma maneira eficiente de gerenciar centralmente as sessões de assinantes. O suporte de solicitação dinâmica RADIUS da Estrutura de Serviço AAA permite que os servidores RADIUS iniciem operações relacionadas ao usuário, como uma operação de rescisão, enviando mensagens de solicitação não solicitadas ao roteador. Sem o recurso de solicitação dinâmica RADIUS, a única maneira de desconectar um usuário RADIUS é do roteador, o que pode ser complicado e demorado em grandes redes.

Em um ambiente RADIUS típico de servidor cliente, o roteador funciona como cliente e inicia solicitações enviadas ao servidor RADIUS remoto. No entanto, ao usar solicitações dinâmicas RADIUS, as funções são invertidas. Por exemplo, durante uma operação de desconexão, o servidor RADIUS remoto executa como cliente e inicia a solicitação (a ação de desconexão) — o roteador funciona como o servidor no relacionamento.

Você cria um perfil de acesso para configurar o roteador para oferecer suporte a solicitações dinâmicas radius. Essa configuração permite que o roteador receba e aja sobre os seguintes tipos de mensagens de servidores RADIUS remotos:

  • Mensagens de aceitação de acesso — ative serviços dinamicamente com base em atributos nas mensagens RADIUS Access-Accept recebidas quando um assinante faz login.

  • Mensagens de mudança de autorização (CoA) — modificam dinamicamente sessões ativas com base em atributos em mensagens de CoA. As mensagens de CoA podem incluir solicitações de criação de serviços, solicitações de exclusão, atributos RADIUS e VSAs da Juniper Networks.

  • Desconecte mensagens — encerre imediatamente sessões específicas de assinantes.

Por padrão, o roteador monitora a porta UDP 3799 para solicitações de CoA dos servidores RADIUS. Você também pode configurar uma porta sem falhas para servidores RADIUS. Você deve usar a porta padrão para todos os servidores RADIUS ou configurar a mesma porta sem falhas para todos os servidores RADIUS. Essa regra se aplica tanto nos níveis globais de acesso quanto de perfil de acesso.

Nota:

Qualquer outra configuração resulta em uma falha de verificação de confirmação. Vários números de porta — ou seja, diferentes números de porta para diferentes servidores — não são suportados.

Benefícios das solicitações do Radius Dynamic

Permite o gerenciamento central simplificado das sessões de assinantes enviando alterações não solicitadas às sessões de assinantes, incluindo mudanças nos atributos, ativação de serviços, desativação de serviços e terminação de sessão.

Veja também

Configuração do suporte a solicitações dinâmicas iniciadas pelo RADIUS

O roteador usa a lista de servidores de autenticação RADIUS especificados para operações de autenticação e solicitação dinâmica. Por padrão, o roteador monitora a porta UDP 3799 para solicitações dinâmicas, também conhecidas como solicitações de Mudança de Autorização (CoA).

Para configurar o suporte a solicitações dinâmicas RADIUS:

  • Especifique o endereço IP do servidor RADIUS.

Para configurar o roteador para oferecer suporte a solicitações dinâmicas de mais de um servidor RADIUS:

  • Especifique os endereços IP de vários servidores RADIUS.

Ao configurar portas de solicitação dinâmicas, você deve fazer um dos seguintes:

  • Use a porta padrão para todos os servidores RADIUS no nível de acesso global e em todos os perfis de acesso.

  • Configure a mesma porta sem falhas para todos os servidores no nível de acesso global e em todos os perfis de acesso.

Nota:

Qualquer outra configuração resulta em uma falha de verificação de confirmação. Vários números de porta — ou seja, diferentes números de porta para diferentes servidores — não são suportados.

Para especificar uma porta de solicitação dinâmica global:

Especificar a porta de solicitação dinâmica para um perfil de acesso específico:

Considere os seguintes cenários:

  • A configuração a seguir usa a porta padrão para um servidor globalmente e para um servidor diferente no perfil de acesso. Esta é uma configuração válida.

  • A configuração a seguir especifica a porta 50201 sem desdestabiliza um servidor globalmente e um servidor diferente no perfil de acesso. Esta é uma configuração válida.

  • A configuração a seguir especifica a porta 50201 globalmente para um servidor e uma porta 51133 para o mesmo servidor no perfil de acesso ap1. Esta é uma configuração inválida e a verificação de confirmação falha, porque várias portas não indestabelecidas não são suportadas.

  • A configuração a seguir usa a porta padrão 3799 para um servidor globalmente e a porta 51133 para outro servidor globalmente. Esta é uma configuração inválida e a verificação de confirmação falha, porque para todos os servidores você deve configurar a porta padrão ou a mesma porta não indestabilizante.

Veja também

Visão geral da mudança de autorização iniciada pelo RADIUS (CoA)

A Estrutura de Serviços AAA usa mensagens de CoA para modificar dinamicamente as sessões ativas de assinantes. Por exemplo, os atributos RADIUS em mensagens de CoA podem instruir a estrutura a criar, modificar ou encerrar um serviço de assinante. Você também pode usar mensagens de CoA para definir ou modificar limites de uso para serviços de assinantes atuais.

Mensagens de CoA

O suporte dinâmico à solicitação permite que o roteador receba e processe mensagens de CoA não solicitadas de servidores RADIUS externos. As mensagens de CoA iniciadas pelo RADIUS usam os seguintes códigos em mensagens de solicitação e resposta:

  • Solicitação de CoA (43)

  • CoA-ACK (44)

  • CoA-NAK (45)

Qualificações para mudança de autorização

Para concluir a mudança de autorização para um usuário, você especifica atributos de identificação e atributos de sessão. Os atributos de identificação identificam o assinante. Os atributos de sessão especificam a operação (ativação ou desativação) para realizar na sessão do assinante e também incluem quaisquer atributos do cliente para a sessão (por exemplo, atributos QoS). A estrutura de serviço AAA lida com a solicitação real.

A Tabela 1 mostra os atributos de identificação das operações de CoA.

Tabela 1: Atributos de identificação

Atributo

Descrição

Nome do usuário [atributo RADIUS 1]

Nome de usuário do assinante.

Acct-Session-ID [atributo RADIUS 44]

Sessão específica para assinantes.
Nota:

Usar o atributo Acct-Session-ID para identificar a sessão do assinante é mais explícito do que usar o atributo Nome do Usuário. Quando você usa o nome de usuário como identificador, a operação coa é aplicada à primeira sessão que foi registrada com o nome de usuário especificado. No entanto, como um assinante pode ter várias sessões associadas ao mesmo nome de usuário, a primeira sessão pode não ser a sessão correta para a operação da CoA.

Quando você usa o atributo Acct-Session-ID, ele identifica a sessão específica para assinantes, evitando esse erro em potencial. Embora o atributo Acct-Session-ID possa incluir um especificador de interface, além do ID da sessão — quando o atributo está no formato de descrição — apenas o ID da sessão é usado para correspondência de assinantes. Por exemplo, se o assinante tiver uma ID de sessão de 54785assinante, então o assinante é compatível quando o atributo Acct-Session-ID é 54785 (formato decimais) ou jnpr demux0.1073759682:54785 (formato de descrição), ou mesmo any value:54785 (formato de descrição).

A Tabela 2 mostra os atributos da sessão para as operações da CoA. Quaisquer atributos adicionais do cliente que você incluir dependem de seus requisitos de sessão específicos.

Tabela 2: Atributos da sessão

Atributo

Descrição

Ativação de serviço [Juniper Networks VSA 26-65]

Serviço a ser ativado para o assinante.

Desativação de serviço [Juniper Networks VSA 26-66]

Serviço para desativar para o assinante.

Volume de serviço [Juniper Networks VSA 26-67]

Quantidade de tráfego, em MB, que pode usar o serviço; o serviço é desativado quando o volume é excedido.

Tempo limite de serviço [Juniper Networks VSA 26-68]

Número de segundos em que o serviço pode estar ativo; o serviço é desativado quando o tempo limite expira.

Gigawords de volume de serviço [Juniper Networks VSA 26-179]

Quantidade de tráfego, em unidades de 4GB, que podem usar o serviço; o serviço é desativado quando o volume é excedido.

Serviço de atualização [Juniper Networks VSA 26-180]

Novos valores de cotas de serviço e tempo para o serviço existente.

Troca de mensagens

O servidor RADIUS e a estrutura de serviço AAA no roteador trocam mensagens usando UDP. A mensagem CoA-Request enviada pelo servidor RADIUS tem o mesmo formato do pacote Desconecte-Solicitação que é enviado para uma operação de desconexão.

A resposta é uma CoA-ACK ou uma mensagem CoA-NAK:

  • Se a Estrutura de Serviços AAA mudar com sucesso a autorização, a resposta será um pacote formatado por RADIUS com uma mensagem CoA-ACK, e o filtro de dados é aplicado à sessão.

  • Se a estrutura de serviço AAA não tiver sucesso, a solicitação estiver malformada ou os atributos estiverem faltando, a resposta será um pacote formatado em RADIUS com uma mensagem CoA-NAK.

Nota:

A Estrutura de Serviços AAA processa uma solicitação dinâmica de cada vez por assinante. Se a estrutura receber uma segunda solicitação dinâmica (ou outro CoA ou uma Solicitação de Desconexão) enquanto processa uma solicitação anterior para o mesmo assinante, a estrutura responde com uma mensagem CoA-NAK. A partir do Junos OS Release 15.1R5, as mensagens de remissão de CoA-Request são ignoradas e nenhuma CoA-NAK é enviada em resposta a elas.

Transações de CoA em massa

A partir do Junos OS Release 17.2R1, as solicitações de CoA em massa são apoiadas para melhorar a eficiência de processamento dos serviços de assinantes baseados em RADIUS no BNG. A funcionalidade CoA em massa permite o acúmulo de uma série de solicitações de CoA e compromete todos eles juntos, em massa, automaticamente.

As transações de CoA em massa são particularmente valiosas para serviços empresariais. Os serviços de assinantes baseados em RADIUS usam os VSAs da Juniper Networks, Activate-Service (26-65) e Deactivate-Service (26-66). Os VSAs são fornecidos em mensagens RADIUS-Accept durante o login ou em solicitações de CoA após o login.

Para serviços convencionais e dinâmicos baseados em perfil de serviços, até 12 ativações de serviços podem se encaixar facilmente em qualquer mensagem RADIUS. No entanto, os serviços baseados em script de operações usados pelas empresas normalmente têm requisitos de escalabilidade que excedem a capacidade de qualquer mensagem. Isso significa que especificar e ativar todos os serviços necessários em uma determinada sessão de assinantes pode exigir o uso de uma mensagem de acesso aceito e várias solicitações de CoA.

Cada mensagem de solicitação da CoA é independente de solicitações de CoA anteriores e futuras na mesma sessão de assinantes. Todas as ativações e desativações de serviços em uma mensagem são processadas antes que uma resposta à CoA seja oferecida. A solicitação da CoA fornece uma maneira de modificar incrementalmente uma sessão de assinantes sem afetar os serviços existentes que já estão presentes.

Para serviços baseados em script de op, as sessões de serviço são criadas de forma colaborativa pelos processos authd e essmd de modo que a última operação inicie um compromisso de aplicar todas as interfaces lógicas de negócios estáticas resultantes a partir da solicitação da CoA. Como o tempo de comprometimento é geralmente a maior parte da aplicação de um serviço de negócios estático, há uma vantagem em empacotar tantas ativações ou desativações de serviços que se encaixam em uma mensagem RADIUS para usar com eficiência a janela de confirmação. Até que a operação de confirmação seja concluída, o BNG não pode aceitar uma solicitação de CoA subsequente para aplicar serviços comerciais adicionais para a mesma sessão de assinantes.

A CoA em massa melhora a eficiência do processamento de compromissos usando uma única ação de confirmação para todos os serviços na transação em massa. A transação em massa tem o efeito de gerenciar uma série de solicitações como uma meta-solicitação única. Ele adia o processamento de confirmação até que a solicitação final de CoA na transação em massa seja recebida.

A CoA em massa exige que cada solicitação individual contenha uma única instância do VSA da Juniper Networks Bulk-CoA-Transaction-Id (26-194). Este VSA identifica solicitações como pertencentes à mesma transação em massa; 26-194 devem ter o mesmo valor em todas as solicitações de CoA na série em massa. Cada transação em massa sucessiva na sessão deve ter um identificador diferente; por exemplo, três transações em massa sucessivas podem ter IDs de 1, 2 e 1, mas não podem ter IDs sucessivos de 1, 1 e 2. Na prática, o valor de Id de transação em massa normalmente é incrementado para várias transações em massa, mas isso não é necessário. Um valor de ID usado em uma determinada sessão de assinantes também pode ser usado em diferentes sessões de assinantes.

Cada solicitação de CoA em uma transação em massa tem seu próprio identificador único, fornecido por uma única instância do VSA (26-195) em cada CoA. Uma série crescente de valores para a ID é típica, mas não aplicada. Os valores podem ser reutilizados em uma determinada sessão e entre as sessões. A solicitação final de CoA na série é identificada por ter um valor de 0xFFFFFFFF para o Bulk-CoA-Identifier.

Benefícios da mudança de autorização iniciada pelo Radius

Permite que mudanças nos valores de atributos sejam dinamicamente empurradas para as sessões de assinantes, bem como ativação dinâmica e desativação de serviços de assinantes.

Veja também

Visão geral da desconexão iniciada pelo RADIUS

Esta seção descreve o suporte da Estrutura de Serviço AAA para solicitações dinâmicas de desconexão iniciadas pelo RADIUS. A Estrutura de Serviços AAA usa mensagens de desconexão para encerrar dinamicamente as sessões ativas de assinantes.

Desconectar mensagens

Para controlar centralmente a desconexão de assinantes de acesso remoto, o recurso de solicitação dinâmica RADIUS no roteador recebe e processa mensagens não solicitadas dos servidores RADIUS.

O recurso de solicitação dinâmica usa o formato existente de mensagens de solicitação de desconexão RADIUS e resposta. A desconexão iniciada pelo RADIUS usa os seguintes códigos em suas mensagens de solicitação e resposta RADIUS:

  • Solicitação de desconexão (40)

  • Desconecte-ACK (41)

  • Desconectamento-NAK (42)

Qualificações para desconectar

Para que a estrutura de serviços AAA desconecte um usuário, a mensagem de solicitação de desconexão deve conter um atributo com um ID de sessão de contabilidade. A mensagem de solicitação de desconexão pode conter um atributo Acct-Session-Id (44) ou um atributo Acct-Multi-Session-Id (50) para o ID da sessão ou ambos. Se os atributos Acct-Session-Id e Acct-Multi-Session-Id estiverem presentes na solicitação, o roteador usará ambos os atributos. Se o atributo Nome do usuário (1) também estiver presente na solicitação, o nome de usuário e a ID da sessão de contabilidade serão usados para realizar a desconexão. A estrutura de serviço AAA lida com a solicitação real.

Troca de mensagens

O servidor RADIUS e a estrutura de serviço AAA trocam mensagens usando UDP. A mensagem de solicitação de desconexão enviada pelo servidor RADIUS tem o mesmo formato do pacote CoA-Request que é enviado para uma mudança na operação de autorização.

A resposta de desconexão é uma desconecte-ACK ou uma mensagem Desconecte-NAK:

  • Se a estrutura de serviço AAA desconectar com sucesso o usuário, a resposta será um pacote formatado em RADIUS com uma mensagem Desconecte-ACK.

  • Se a estrutura de serviço AAA não puder desconectar o usuário, a solicitação estiver malformada ou os atributos estiverem faltando na solicitação, a resposta será um pacote formatado por RADIUS com uma mensagem Disconnect-NAK.

Nota:

A Estrutura de Serviços AAA processa uma solicitação dinâmica de cada vez por assinante. Se a estrutura receber uma segunda solicitação dinâmica enquanto processa uma solicitação anterior (uma CoA ou outra Solicitação de Desconexão) para o mesmo assinante, a estrutura responde com uma mensagem Disconnect-NAK.

Benefícios das desconexões iniciadas pelo radius

Permite que um servidor RADIUS encerre dinamicamente as sessões de assinantes. Esse recurso centralizado de gerenciamento de assinantes simplifica o manuseio de um grande número de assinantes porque a rescisão da operadora exigiria ação no roteador.

Veja também

Limites de uso para serviços de assinantes

A partir do Junos OS Release 14.1, o gerenciamento de assinantes permite que você gerencie serviços de assinantes estabelecendo limites de uso quando um serviço é ativado dinamicamente ou quando um serviço existente é modificado por uma ação RADIUS CoA. O serviço é desativado quando o limite especificado é atingido.

O gerenciamento de assinantes oferece suporte a dois tipos de limites de uso — volume e tempo de tráfego. Você usa os VSAs da Juniper Networks para definir os limites de uso. Os VSAs são transmitidos em mensagens RADIUS Access-Accept para serviços ativados dinamicamente, ou em mensagens de CoA-Request iniciadas pelo RADIUS para serviços existentes. O limite de volume define a quantidade máxima do tráfego total de entrada e saída que pode usar o serviço antes que o serviço seja desativado. Um limite de tempo define o tempo máximo que o serviço pode estar ativo. A Tabela 3 mostra os VSAs usados para limiares de volume e tempo.

Tabela 3: VSAs de rede da Juniper usados para limites de serviço

Número do atributo

Nome do atributo

Descrição

Valor

26-67

Volume de serviços

Quantidade de tráfego de entrada e saída, em MB, que pode usar o serviço; o serviço é desativado quando o volume é excedido. TAGED VSA, que oferece suporte a 8 tags (1-8). O roteador pesquisa o tráfego em intervalos de 10 minutos.

  • intervalo = 0 a 16777215 MB

  • 0 = sem limite

26-68

Tempo limite de serviço

Número de segundos em que o serviço pode estar ativo; o serviço é desativado quando o tempo limite expira. TAGED VSA, que oferece suporte a 8 tags (1-8).

  • intervalo = 0 a 16777215 segundos

  • 0 = sem tempo limite

26-179

Gigawords de volume de serviço

Quantidade de tráfego de entrada e saída, em unidades de 4GB que podem usar o serviço; o serviço é desativado quando o volume é excedido. TAGED VSA, que oferece suporte a 8 tags (1-8). O roteador pesquisa o tráfego em intervalos de 10 minutos.

  • intervalo = 0 a 16777215 unidades de 4GB

  • 0 = sem limite

26-180

Serviço de atualização

Novos valores de cotas de serviço e tempo para um serviço existente. TAGED VSA, que oferece suporte a 8 tags (1-8).

corda: service-name

Veja também

Visão geral de logins e ativação de serviços para assinantes

Quando um assinante tenta fazer login e é autenticado pelo RADIUS, a mensagem de aceitação de acesso pode incluir serviços no RADIUS Activate-Service VSA (26-65) a serem ativados para uma determinada família de rede. Dependendo da configuração e do tipo de serviço, a não ativação de um serviço pode resultar na negação do login do assinante.

Você pode usar a service activation declaração no [edit access profile profile-name radius optionsnível ] hierarquia para configurar o comportamento após uma falha de ativação.

Use as seguintes opções para configurar esse comportamento separadamente para dois tipos de serviços:

  • dynamic-profile— Esse tipo de serviço está configurado no perfil dinâmico que é aplicado pelo perfil de acesso do assinante.

  • extensible-service— Esse tipo de serviço está configurado em um script de operação do Gerenciador de serviços de assinante extensível (ESSM). Esses serviços geralmente configuram novas interfaces para assinantes empresariais.

Use as seguintes opções para especificar se a ativação bem-sucedida desses serviços é necessária ou opcional para acesso de login ao assinante:

  • required-at-login— A ativação é necessária. A falha por qualquer motivo faz com que a solicitação de ativação da família de rede para essa família de rede seja reprovada. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo do cliente registrará o assinante. Esse é o comportamento padrão para o dynamic-profile tipo de serviço.

  • optional-at-login— A ativação é opcional. A falha decorrente de erros de configuração não impede a ativação da família de endereços; permite o acesso ao assinante. A falha por qualquer outro motivo faz com que a ativação da família de rede falhe. Se nenhuma outra família de rede já estiver ativa para o assinante, o aplicativo do cliente registrará o assinante. Esse é o comportamento padrão para o extensible-service tipo de serviço.

Nota:

Falhas associadas à ativação de políticas seguras de assinantes (para espelhar o tráfego em um dispositivo de mediação) não têm efeito sobre o acesso por assinantes sujeitos à política.

Essa configuração não se aplica aos serviços ativados por meio de solicitações radius CoA, mensagens JSRC Push-Profile-Request (PPR) ou políticas seguras para assinantes.

Para o dynamic-profile tipo de serviço, os erros de configuração incluem o seguinte:

  • Analisando erros do perfil dinâmico e de seus atributos.

  • Faltam variáveis de usuário obrigatórias.

  • Referências a perfis dinâmicos que não existem.

  • Falhas de verificação semânticas no perfil dinâmico.

Para o extensible-service tipo de serviço, os erros de configuração incluem o seguinte:

  • Analisando erros do script de operação.

  • Confirmar falhas.

Para ativar um serviço, o authd envia uma solicitação de ativação dos serviços apropriados para a infraestrutura de gerenciamento de assinantes (SMI). Por exemplo, se a solicitação for para a família IPv4, ela solicita ativação apenas dos serviços IPv4. Por sua vez, a SMI envia solicitações aos daemons de servidor associados ao serviço, como cosd ou filtrado. Os resultados devolvidos pelos daemons determinam se a ativação do serviço é um sucesso ou uma falha.

  • Quando todos os daemons de servidor reportam sucesso, a SMI relata sucesso ao authd e o serviço é ativado.

  • Se algum daemon de servidor relatar um erro de configuração e nenhum daemons relatar um erro de não configuração, a SMI reportará um erro de configuração authd. O serviço não está ativado, mas dependendo da configuração, a ativação da família de rede pode ter sucesso.

  • Se algum daemon de servidor relatar um erro de não configuração, a SMI relatará falha no authd e o serviço não será ativado.

Processo de ativação da família de serviços e rede

Quando um assinante faz login, o authd precisa ativar a família de endereços correspondente após a autenticação do assinante. O aplicativo do cliente, como DHCP ou PPP, pode solicitar a ativação de uma única família de rede, IPv4 ou IPv6, ou pode solicitar sequencialmente que ambas as famílias sejam ativadas. A ativação bem-sucedida da família de rede está relacionada à ativação de serviços associados. As etapas a seguir descrevem o processo quando authd está configurado para usar o RADIUS para autenticação:

  1. Um assinante tenta fazer login.

    1. O aplicativo do cliente solicita autenticação do authd.

    2. authd envia uma mensagem de solicitação de acesso ao servidor RADIUS.

    3. O servidor RADIUS envia uma mensagem de aceitação de acesso ao authd que inclui o RADIUS Activate-Service VSA (26-65).

    4. authd caches os atributos de ativação de serviço e envia uma doação para o aplicativo do cliente.

  2. O aplicativo do cliente envia a primeira solicitação network-family-Activate para a família de endereços IPv4 ou IPv6. Essa solicitação é às vezes referida como a solicitação de ativação do cliente.

  3. authd analisa os atributos de ativação de serviços em cache e envia uma solicitação de ativação para os serviços apropriados para a infraestrutura de gerenciamento de assinantes (SMI). Por exemplo, se a solicitação for para a família IPv4, ela solicita ativação apenas dos serviços IPv4. Por sua vez, a SMI envia solicitações aos daemons de servidor associados ao serviço, como cosd ou filtrado.

  4. O que authd faz a seguir depende se a solicitação de ativação do serviço falha e se o serviço é opcional ou necessário.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é opcional:

      1. authd exclui os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração DE RADIUS de autorização (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. Os lucros do login do assinante.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é necessário:

      1. authd exclui os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração DE RADIUS de autorização (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo do cliente encerre o login do assinante.

    • Quando a ativação do serviço falha devido a um erro de não configuração, o serviço é opcional ou necessário:

      1. authd exclui os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração DE RADIUS de autorização (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo do cliente encerre o login do assinante.

    • Quando a ativação do serviço for bem sucedida:

      1. authd ativa o serviço.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. Os lucros do login do assinante.

  5. A menos que a ativação do serviço fosse necessária e falhasse, fazendo com que a ativação da família falhasse na primeira solicitação, o aplicativo do cliente pode enviar uma segunda solicitação, mas apenas para a família não solicitada da primeira vez. Se a primeira solicitação foi para IPv4, a segunda solicitação só pode ser para IPv6. Se a primeira solicitação foi para iPv6, então a segunda solicitação só pode ser para IPv4.

  6. authd analisa os atributos de ativação de serviços em cache e as solicitações de ativação dos serviços associados à família de endereços solicitados.

  7. O que authd faz a seguir depende se a solicitação de ativação do serviço falha e se o serviço é opcional ou necessário.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é opcional:

      1. authd exclui os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração DE RADIUS de autorização (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. Os lucros do login do assinante.

    • Quando a ativação do serviço falha devido a um erro de configuração e o serviço é necessário:

      1. authd exclui os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração DE RADIUS de autorização (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família. Como esta é a segunda solicitação de ativação familiar, o resultado da ativação da primeira família determina o que acontece a seguir:

        • Se a primeira ativação da família foi bem sucedida e esse assinante entrou, a falha da segunda solicitação não interrompe o login atual do assinante. Este evento também não faz com que authd registre o assinante anterior (primeira solicitação).

        • Se a primeira ativação da família não tiver sido bem sucedida, a falha da segunda solicitação faz com que o aplicativo do cliente encerre o login atual do assinante.

    • Quando a ativação do serviço falha devido a um erro de não configuração, o serviço é opcional ou necessário:

      1. authd exclui os atributos de ativação de serviços em cache para o serviço.

        Nota:

        Essa exclusão permite que você reemitir a solicitação de serviço usando uma solicitação de alteração DE RADIUS de autorização (CoA) ou um comando CLI, sem interferência do serviço com falha.

      2. authd envia um NACK em resposta à ativação da família, o que faz com que o aplicativo do cliente encerre o login do assinante.

    • Quando a ativação do serviço for bem sucedida:

      1. authd ativa o serviço.

      2. authd envia uma ACK em resposta à solicitação de ativação da família e a família é ativada.

      3. Os lucros do login do assinante.

Configuração de como falhas de ativação de serviço afetam o login do assinante

Você pode configurar como uma falha de ativação de serviços opcionais durante o login do assinante afeta o resultado do login. Esses serviços opcionais são aqueles mencionados pelo RADIUS Activate-Service VSA (26-65) que aparece na mensagem RADIUS Access-Accept durante o login inicial do assinante.

Você pode configurar esses dois tipos de ativação de serviços a serem necessários ou opcionais.

  • dynamic-profile— Esses serviços estão configurados no perfil dinâmico aplicado pelo perfil de acesso ao assinante para fornecer acesso ao assinante e serviços para aplicativos de banda larga. Por padrão, a ativação do serviço é necessária para um login bem-sucedido. Um erro de configuração durante a ativação do serviço impede que a família de rede seja ativada e faz com que o login do assinante seja reprovado.

  • extensible-service— Esses serviços são aplicados por scripts de operação tratados pelo daemon extensível de serviços para assinantes (ESSMd) para assinantes empresariais. Por padrão, a ativação do serviço é opcional para um login bem-sucedido do assinante.

Nota:

A configuração da service-activation declaração afeta apenas falhas de ativação devido a erros de configuração no perfil dinâmico ou no script de operação do ESSM. Falhas decorrentes de erros de não configuração sempre resultam em negação de acesso para o assinante e terminação da tentativa de login.

Para configurar o comportamento para serviços de perfil dinâmico, faça um dos seguintes:

  • Especifique que a ativação do serviço é opcional.

  • Especifique se a ativação do serviço é necessária (o padrão).

Para configurar o comportamento dos serviços ESSM, faça um dos seguintes:

  • Especifique se a ativação do serviço é necessária.

  • Especifique que a ativação do serviço é opcional (o padrão).

Veja também

Códigos de causa de erro (RADIUS Attribute 101) para solicitações dinâmicas

Quando uma operação de CoA ou desconexão iniciada pelo RADIUS não tem sucesso, o roteador inclui um atributo de causa de erro (atributo RADIUS 101) na mensagem CoA-NAK ou Disconnect-NAK que ele envia de volta para o servidor RADIUS. Se o erro detectado não for mapeado para um dos atributos de causa de erro suportados, o roteador envia a mensagem sem um atributo de causa de erro. A Tabela 4 descreve os códigos de causa de erro.

Tabela 4: Códigos de causa de erro (atributo RADIUS 101)

Código

Valor

Descrição

401

Atributo sem suporte

A solicitação contém um atributo que não é suportado (por exemplo, um atributo de terceiros).

402

Atributo ausente

Um atributo crítico (por exemplo, o atributo de identificação da sessão) está ausente de uma solicitação.

404

Solicitação inválida

Algum outro aspecto da solicitação é inválido, como se um ou mais atributos não forem formatados corretamente.

503

Contexto de sessão não encontrado

O contexto da sessão identificado na solicitação não existe no roteador.

504

Contexto de sessão não removível

O assinante identificado por atributos na solicitação pertence a um componente que não é compatível.

506

Recursos indisponíveis

Uma solicitação não pôde ser homenageada devido à falta de recursos NAS disponíveis (como memória).

Veja também

Verificação das estatísticas de solicitação dinâmica do RADIUS

Propósito

Exibir estatísticas e informações da solicitação dinâmica do RADIUS.

Ação

  • Para exibir estatísticas de solicitação dinâmica do RADIUS:

Veja também

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
17.2R1
A partir do Junos OS Release 17.2R1, as solicitações de CoA em massa são apoiadas para melhorar a eficiência de processamento dos serviços de assinantes baseados em RADIUS no BNG.
15.1R5
A partir do Junos OS Release 15.1R5, as mensagens de remissão de CoA-Request são ignoradas e nenhuma CoA-NAK é enviada em resposta a elas.
14.1
A partir do Junos OS Release 14.1, o gerenciamento de assinantes permite que você gerencie serviços de assinantes estabelecendo limites de uso quando um serviço é ativado dinamicamente ou quando um serviço existente é modificado por uma ação RADIUS CoA.