Protocolo de base de diâmetro
Visão geral do protocolo base de diâmetro
O protocolo Diameter é definido no RFC 3588, Diameter Base Protocol, e fornece uma alternativa ao RADIUS que é mais flexível e extensível. O protocolo base do Diameter fornece serviços básicos para um ou mais aplicativos (também chamados de funções) que são executados em uma instância diferente do Diameter. O aplicativo individual fornece a funcionalidade AAA estendida. Os aplicativos que usam o Diameter incluem Gx-Plus, JSRC, NASREQ, PTSP e S6a. A partir do Junos OS Release 13.1R1, não há mais suporte para o recurso de assinantes acionados por pacotes e controle de políticas (PTSP).
Os pares do Diameter se comunicam por meio de uma conexão confiável da camada de transporte TCP trocando mensagens do Diameter que transmitem status, solicitações e confirmações por meio de AVPs padrão do Diameter e AVPs específicos do aplicativo. A configuração da camada de transporte Diameter é baseada em elementos de rede Diameter (DNEs); há suporte para vários DNEs por instância de Diameter. Atualmente, há suporte apenas para a instância de Diâmetro mestre predefinida, mas você pode configurar valores alternativos para muitos dos valores de instância de Diâmetro mestre.
Cada DNE consiste em uma lista priorizada de peers e um conjunto de rotas que definem como o tráfego é encaminhado. Cada rota associa um destino a uma função (aplicativo), uma partição de função e uma métrica. Quando um aplicativo envia uma mensagem para um destino roteado, todas as rotas dentro da instância do protocolo Diameter são examinadas em busca de uma correspondência. Quando a melhor rota para o destino é selecionada, a mensagem é encaminhada por meio do DNE que inclui essa rota.
Várias rotas para o mesmo destino podem existir em um determinado DNE e em diferentes DNEs. No caso de várias rotas que correspondem a uma solicitação de encaminhamento, a melhor rota é selecionada da seguinte maneira:
A rota com a métrica mais baixa é selecionada.
Em caso de empate, a rota com a pontuação de especificação mais alta é selecionada.
Em caso de outro empate, os nomes dos DNEs são comparados em ordem lexicográfica. A rota no DNE com o valor mais baixo é selecionada. Por exemplo, dne-austin tem um valor menor que dne-boston.
Se as rotas estiverem vinculadas no mesmo DNE, os nomes das rotas serão comparados em ordem lexicográfica. A rota com o valor mais baixo é selecionada.
A pontuação de especificação de uma rota é 0 por padrão. Os pontos são adicionados à pontuação da seguinte forma:
Se a região de destino corresponder à solicitação, adicione 1.
Se o host de destino corresponder à solicitação, adicione 2.
Se a função corresponder à solicitação, adicione 3.
Se a partição de função corresponder à solicitação, adicione 4.
Várias rotas para o mesmo destino podem existir em um determinado DNE e em diferentes DNEs. No caso de várias rotas que correspondem a uma solicitação de encaminhamento, a Diameter seleciona a melhor rota da seguinte forma:
O diâmetro compara a métrica das rotas e seleciona a rota com a métrica mais baixa.
Se várias rotas tiverem a mesma métrica mais baixa, o Diâmetro selecionará a rota mais qualificada. O diâmetro avalia vários atributos da rota para determinar uma pontuação que reflita o quão especificamente cada rota corresponde à solicitação. Por padrão, a pontuação de uma rota é 0. Os pontos são adicionados à pontuação da seguinte forma:
Se a região de destino corresponder à solicitação, adicione 1.
Se o host de destino corresponder à solicitação, adicione 2.
Se a função corresponder à solicitação, adicione 3.
Se a partição de função corresponder à solicitação, adicione 4.
Se várias rotas forem igualmente qualificadas, o Diameter comparará os nomes dos DNEs em ordem lexicográfica e selecionará a rota no DNE que tem o valor mais baixo. Por exemplo, dne-austin tem um valor menor que dne-boston.
Se as rotas estiverem vinculadas dentro do mesmo DNE, o Diâmetro comparará os nomes das rotas em ordem lexicográfica e selecionará a rota com o valor mais baixo.
Quando o estado de qualquer DNE é alterado, a pesquisa de rota para todos os destinos é reavaliada. Todas as mensagens pendentes para destinos roteados são redirecionadas conforme necessário ou descartadas.
Para configurar um elemento de rede Diameter, inclua a network-element declaração no nível de [edit diameter] hierarquia e, em seguida, inclua a route declaração no nível de [edit diameter network-element element-name forwarding] hierarquia.
Para configurar uma rota para o DNE, inclua as destination (opcional), function (opcional) declarações e metric no nível da [edit diameter network-element element-name forwarding route dne-route-name] hierarquia.
Especifique os pares de diâmetro associados ao DNE incluindo uma ou mais peer instruções no nível da [edit diameter network-element element-name] hierarquia.
Defina a prioridade para cada par com a priority instrução no nível da [edit diameter network-element element-name peer peer-name] hierarquia.
O diâmetro exige que você configure informações sobre o nó de origem; este é o nó de endpoint que origina Diameter para a instância Diameter. Inclua as host instruções and realm no nível da [edit diameter] hierarquia para configurar a origem do Diameter.
Opcionalmente, você pode configurar um ou mais transportes para especificar o endereço de origem (local) da conexão da camada de transporte. Para configurar um transporte de diâmetro, inclua a transport declaração no nível da [edit diameter] hierarquia. Em seguida, inclua a address instrução no nível da [edit diameter transport transport-name] hierarquia.
Opcionalmente, você pode especificar um sistema lógico e uma instância de roteamento para a conexão, incluindo as logical-system instruções and routing-instance no nível da [edit diameter transport transport-name] hierarquia. Por padrão, o Diameter usa o sistema lógico padrão e a instância de roteamento padrão (usando a tabela de roteamento inet.0 principal). O sistema lógico e a instância de roteamento para a conexão de transporte devem corresponder aos do peer, ou um erro de configuração será relatado.
Cada peer de diâmetro é especificado por um nome. Os atributos de peer incluem o endereço e a porta TCP de destino usada por conexões ativas com esse peer. Para configurar um par de diâmetro, inclua a peer instrução no nível de [edit diameter] hierarquia e, em seguida, inclua as address instruções and connect-actively no nível de [edit diameter peer peer-name] hierarquia.
Para configurar a conexão ativa, inclua as port instruções and transport no nível da [edit diameter peer peer-name connect-actively] hierarquia. O transporte atribuído identifica o endereço de origem da camada de transporte usado para estabelecer conexões ativas com os pares. transport declarações.
Benefícios de usar o diâmetro
A Diameter permite uma carga menor na rede e nos servidores, relatando informações de uso em uma frequência muito menor em comparação com o RADIUS. RADIUS envolve atualizações periódicas independentes de mudanças de uso. Aplicativos de diâmetro, como o Gx, permitem que você defina limites com pushes correlacionados de estatísticas de uso do roteador para o PCRF. O PCRF pode então fazer os ajustes apropriados nos serviços e custos.
Os serviços sem fio e o carregamento são normalmente realizados com aplicativos Diameter, mas os serviços com fio geralmente usam uma infraestrutura baseada em RADIUS. Os clientes com ofertas de telefonia fixa e sem fio podem reduzir a complexidade e o custo de manutenção de infraestruturas separadas migrando suas operações com fio para a infraestrutura sem fio baseada na Diameter existente.
Os aplicativos executados no Diameter tendem a ser stateful (alguns podem ser, como NASREQ), enquanto o RADIUS não é stateful.
Vários protocolos de aplicativos podem ser executados no Diameter, como NASREQ, Gx, Gy, JSRC e S6a.
Espaço de atributos maior do que o RADIUS, o que permite um número maior de atributos padrão e específicos do fornecedor (AVPs) do que o RADIUS. O diâmetro também suporta os atributos padrão RADIUS, reservando AVPs de 1 a 255 para eles.
Mensagens usadas por aplicativos de diâmetro
O Junos OS oferece suporte aos seguintes aplicativos Diameter:
JSRC — Um aplicativo Juniper Networks Diameter registrado com o IANA (http://www.iana.org) como Juniper Policy-Control-JSRC, com um ID de 16777244. Ele se comunica com o SAE (peer SRC remoto).
PTSP — Um aplicativo Juniper Networks Diameter registrado no IANA (http://www.iana.org) como Juniper JGx, com um ID de 16777273. Ele se comunica com o SAE (peer SRC remoto). A partir do Junos OS Release 13.1R1, não há mais suporte para o recurso de assinantes acionados por pacotes e controle de políticas (PTSP).
Gx-Plus — Um aplicativo que estende a interface 3GPP Gx para casos de uso de wireline. O 3GPP Gx está registrado no IANA (http://www.iana.org). Ele se comunica com um PCRF.
Se os dados de um AVP específico incluídos em uma mensagem não estiverem disponíveis para o roteador, o Gx-Plus simplesmente omite o AVP da mensagem que envia ao PCRF. Se o PCRF determinar que não tem informações suficientes para fazer uma determinação, ele pode negar a solicitação. As mensagens de resposta do Diameter incluem o AVP de código de resultado (AVP 268); os valores desse AVP transmitem sucesso, falha ou erros ao solicitante.
NASREQ — Um protocolo de autenticação, autorização e contabilidade baseado em diâmetro definido no RFC 7155. O Junos OS oferece suporte apenas para autenticação e autorização.
Juniper Networks também registrou o aplicativo Juniper-Session-Recovery (16777296) e dois novos códigos de comando (8388628 para Juniper-Session-Events e 8388629 para Juniper-Session-Discovery) com o IANA (http://www.iana.org).
A Tabela 1 descreve as mensagens de diâmetro que os aplicativos usam.
Mensagem de diâmetro |
Código |
Aplicação |
Descrição |
|---|---|---|---|
Solicitação AA (AAR) |
265 |
JSRC, NASREQ, PTSP |
Solicitação do aplicativo para o SAE no login do novo assinante ou durante a sincronização do aplicativo SAE. A solicitação pode ser de três tipos: autorização de endereço, solicitação de provisionamento ou sincronização. |
Resposta AA (AAA) |
265 |
JSRC, NASREQ, PTSP |
Resposta do SAE à mensagem AA-Request do aplicativo. |
ASR (Solicitação de Sessão Abortada) |
274 |
JSRC, NASREQ, PTSP |
Solicite do SAE ao aplicativo para fazer logout de um assinante provisionado. |
ASA (Abort-Session-Answer, resposta de sessão abortada) |
274 |
JSRC, NASREQ, PTSP |
Resposta do aplicativo à mensagem ASR do SAE. Se o aplicativo enviar a solicitação de logout para a AAA, a mensagem do ASA incluirá uma notificação de êxito (ACK). Se o logout falhar, a mensagem do ASA incluirá uma notificação de falha (NAK). |
Solicitação de contabilidade (ACR) |
271 |
JSRC, PTSP |
Pedido de estatísticas da SAE ao pedido ou do pedido à SAE. |
Resposta contábil (ACA) |
271 |
JSRC, PTSP |
Resposta à mensagem do ACR para fornecer estatísticas para cada política instalada (serviço). |
Solicitação de troca de recursos (CER) |
257 |
Gx-Plus |
Solicitação de um peer para outro quando os peers estabelecem uma conexão de transporte; Inicia a negociação de capacidade. O CER anuncia a identidade e os recursos do peer, como aplicativos e mecanismos de segurança suportados. |
Resposta de troca de recursos (CEA) |
257 |
Gx-Plus |
Resposta à mensagem CER para anunciar os recursos desse par. Se esse peer não tiver recursos em comum com o peer que enviou o CER, ele deverá definir o AVP de código de resultado como DIAMETER_NO_COMMON_APPLICATION e descartar a conexão. Caso contrário, os detalhes do CEA estabelecem recursos comuns entre os pares e permitem que eles estabeleçam ainda mais a comunicação. |
Solicitação de controle de crédito (CCR) |
272 |
Gx-Plus |
Solicitação do Gx-Plus ao PCRF no login, logout ou atualização do assinante. Uma solicitação inicial (CCR-I) é enviada quando um assinante faz login e a AAA é solicitada a ativar a sessão do assinante. O Gx-Plus tenta novamente a mensagem CCR-I se uma mensagem CCA-I não for recebida do PCRF em 10 segundos. A mensagem CCR-I é repetida até 3 vezes. A mensagem CCR-I inclui o atributo Diameter AVP Subscription-Id (443) com o subatributo Subscription-Id-Type Diameter AVP (450) definido como 4 (END_USER_PRIVATE) e o subatributo Subscription-Id-Data Diameter AVP (444) definido como Se nenhum CCA-I for recebido após o envio das 4 mensagens CCR-I — a primeira mensagem mais 3 tentativas — o Gx-Plus começará a enviar mensagens CCR-N. As mensagens CCR-N são repetidas para sempre até que uma resposta de sucesso ou falha seja recebida do PCRF. As mensagens CCR-N incluem o Juniper-Provisioning-Source AVP (código AVP 2101) definido como local para notificar o PCRF de que o roteador tem autoridade para tomar uma decisão local sobre a ativação do serviço de assinante. Uma mensagem de solicitação de atualização (CCR-U) é enviada quando um limite de uso é atingido. O CCR-U relata o uso real de todas as estatísticas. O PCRF pode retornar uma mensagem CCA-U que inclui novos limites de monitoramento, ativações de serviço, desativações de serviço. Se o PCRF atingir o tempo limite no relatório CCR-U, o roteador definirá o padrão de limite para 10 minutos. Quando a alteração nos valores limite for menor que o mínimo, os valores serão ajustados para os mínimos. Por exemplo, o aumento mínimo para a duração é de 10 minutos. Uma CCR-U também é enviada para informar o status de ativação ou desativação do serviço. Quando um serviço monitorado é desativado separadamente do logout de um assinante, o CCR-U indica que o serviço não está mais ativo e inclui os dados de uso do serviço. Uma solicitação de encerramento (CCR-T) é enviada no logout do assinante para informar ao PCRF que uma sessão de assinante provisionada está sendo encerrada. As mensagens CCR-T são repetidas para sempre até que uma resposta bem-sucedida seja recebida do PCRF. Quando um serviço monitorado é desativado como parte do logout do assinante, a mensagem CCR-T inclui dados de uso monitorados para o serviço, como bytes usados. |
Resposta de controle de crédito (CCA) |
272 |
Gx-Plus |
Resposta do PCRF a uma mensagem CCR. Em resposta a um CCR-I, o PCRF retorna uma mensagem CCA-I que indica sucesso (DIAMETER_SUCCESS) ou falha (AUTORIZAÇÃO DE DIÂMETRO REJEITADA), dependendo se o assinante tem crédito suficiente para os serviços solicitados. Todas as outras respostas são ignoradas e o CCR-I é repetido. Em resposta a um CCR-T, o PCRF retorna uma mensagem CCA-T que indica uma terminação bem-sucedida com um valor de 2001 (DIAMETER SUCCESS) no AVP de código de resultado. Todas as outras respostas são ignoradas e o CCR-T é repetido. Um CCA-N é uma resposta a um CCR-N. |
Juniper-Session-Discovery-Request (JSDR) |
8388629 |
Gx-Plus |
Solicitação de descoberta do PCRF ao Gx-Plus para descobrir sessões de assinantes no roteador. |
Juniper-Session-Discovery-Answer (JSDA) |
8388629 |
Gx-Plus |
Resposta do roteador a uma mensagem JSDR; Descreve as informações da sessão. O AVP de código de resultado inclui um dos seguintes valores ou um valor de erro:
|
Juniper-Session-Event-Request (JSER) |
8388628 |
Gx-Plus |
Solicitação do roteador ao PCRF sobre eventos que ocorrem no roteador. Notifica o PCRF de certos eventos no roteador, incluindo o AVP do tipo de evento da Juniper (código AVP 2103). Os eventos relatados incluem inicializações a frio ou a quente, solicitações explícitas de descoberta, alterações substanciais na configuração, não resposta ou resposta a erros do PCRF e esgotamento de recursos tolerantes a falhas. |
Juniper-Session-Event-Answer (JSEA) |
8388628 |
Gx-Plus |
Resposta do PCRF a uma mensagem JSER. |
Solicitação de perfil push (PPR) |
288 |
JSRC, PTSP |
Solicitação do SAE ao roteador para ativar ou desativar serviços para um assinante. |
Push-Profile-Answer (PPA) |
288 |
JSRC, PTSP |
Resposta do roteador à mensagem PPR do SAE. Inclui notificação de êxito ou falha para cada um dos comandos de ativação ou desativação de serviço na solicitação. |
Solicitação de nova autenticação (RAR) |
258 |
Gx-Plus |
Solicitação de auditoria do PCRF ao roteador para determinar se um assinante específico ainda está presente. O roteador atualiza a chave de monitoramento e os valores de limite quando eles são recebidos no RAR. |
Re-Auth-Answer (RAA) |
258 |
Gx-Plus |
Resposta do roteador a uma mensagem RAR; Indica se o assinante está ativo. O AVP de código de resultado inclui um dos seguintes valores:
|
Consulta de recursos de sessão (SRQ) |
277 |
JSRC, PTSP |
Solicitação do roteador para o SAE ou do SAE para o roteador para iniciar a sincronização entre o roteador e o SAE. |
Resposta de recurso de sessão (SRR) |
277 |
JSRC, PTSP |
Resposta à mensagem SRQ para iniciar a sincronização. |
Solicitação de término de sessão (STR) |
275 |
JSRC, NASREQ, PTSP |
Notificação do roteador para o SAE de que um assinante provisionado se desconectou. |
Resposta de término de sessão (STA) |
275 |
JSRC, NASREQ, PTSP |
Resposta do SAE à mensagem STR do roteador. Inclui notificação de êxito ou falha. |
AVPs de diâmetro e aplicações de diâmetro
O Diameter transmite informações incluindo vários pares de valor de atributo (AVPs) em mensagens do Diameter, da mesma forma que o RADIUS transmite informações em atributos IETF RADIUS padrão e atributos específicos do fornecedor (VSAs). A Tabela 2 lista os AVPs de diâmetro padrão usados em interações com os aplicativos de diâmetro suportados. O Diameter reserva os números de atributo AVP de 0 a 255 para atributos RADIUS implementados no Diameter; os números de atributo Diameter são os mesmos que para os atributos RADIUS padrão correspondentes. Os atributos numerados acima de 255 não têm nenhum atributo RADIUS padrão correspondente. A partir do Junos OS Release 13.1R1, não há mais suporte para o recurso de assinantes acionados por pacotes e controle de políticas (PTSP).
Número do atributo |
Diâmetro AVP |
Aplicação |
Descrição |
Digite |
|---|---|---|---|---|
1 |
Nome de usuário |
Gx-Plus, JSRC, NASREQ |
Especifica o nome de usuário. Para um assinante gerenciado pela AAA, o valor é o nome de login do assinante. Para uma interface estática, o valor é o nome da interface, que é usado como o nome de login do assinante. |
UTF8String |
2 |
Senha de usuário |
NASREQ |
Especifica a senha do usuário a ser autenticado ou a entrada do usuário em uma troca de autenticação de várias rodadas. |
OctetString |
4 |
Endereço IP NAS |
NASREQ |
Especifica o endereço IP do NAS que está autenticando o usuário. |
Endereço IP |
6 |
Tipo de serviço |
NASREQ |
Especifica o tipo de serviço que o usuário solicitou ou o tipo de serviço a ser fornecido. Um desses AVPs pode estar presente em uma solicitação ou resposta de autenticação ou autorização. Um NAS não é necessário para implementar todos esses tipos de serviço. |
Enumerado |
8 |
Endereço IP emoldurado |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica o endereço IPv4 configurado para o assinante. Esse é o mesmo valor do atributo RADIUS Framed-IP Address [8]. |
OctetString |
9 |
Máscara de rede IP emoldurada |
NASREQ |
Identifica os quatro octetos da máscara de rede IPv4. |
OctetString |
11 |
ID do filtro |
NASREQ |
Especifica o nome da lista de filtros de um usuário. Destina-se a ser legível por humanos. Zero ou mais AVPs de ID de filtro podem ser enviados em uma mensagem de resposta de autorização. |
UTF8String |
12 |
MTU emoldurado |
NASREQ |
Especifica a unidade máxima de transmissão (MTU) a ser configurada para o usuário, quando ela não é negociada por algum outro meio (como PPP). |
Não assinado32 |
22 |
Rota emoldurada |
NASREQ |
Especifica as informações de roteamento US-ASCII de 7 bits. |
UTF8String |
25 |
Aula |
NASREQ |
Retorna informações de estado de um servidor Diameter para o dispositivo de acesso. |
OctetString |
27 |
Tempo limite da sessão |
NASREQ |
Especifica o número máximo de segundos de serviço fornecido ao usuário antes do término da sessão. |
Não assinado32 |
28 |
Tempo limite ocioso |
NASREQ |
Especifica o número máximo de segundos consecutivos de conexão ociosa permitida ao usuário antes do término da sessão ou antes que um prompt seja emitido. |
Não assinado32 |
32 |
Identificador de NAS |
NASREQ |
Especifica a identidade do NAS que fornece serviço ao usuário. |
DiamIdent |
44 |
ID da sessão da conta |
NASREQ |
Especifica o conteúdo do atributo RADIUS Acct-Session-Id. |
OctetString |
50 |
ID da conta com várias sessões |
NASREQ |
Vincula várias sessões de contabilidade relacionadas, em que cada sessão tem um ID de sessão exclusivo, mas o mesmo AVP de ID de sessão múltipla. |
UTF8String |
55 |
Carimbo de data/hora do evento |
Gx-Plus, JSRC, PTSP |
Especifica a hora do evento que acionou a mensagem na qual esse AVP está incluído. O tempo é indicado em segundos desde 1º de janeiro de 1900, 00:00 UTC. |
Hora |
60 |
Desafio CHAP |
NASREQ |
Especifica o desafio PPP Challenge-Handshake Authentication Protocol (CHAP) enviado pelo NAS ao peer CHAP. |
OctetString |
61 |
Tipo de porta NAS |
NASREQ |
Especifica o tipo de porta na qual o NAS está autenticando o usuário. |
Enumerado |
62 |
Limite de porta |
NASREQ |
Especifica o número máximo de portas que o NAS fornece ao usuário. |
Não assinado32 |
78 |
Token de configuração |
NASREQ |
Indica o tipo de perfil de usuário usado. |
OctetString |
85 |
Intervalo Intermediário de Conta |
JSRC, PTSP |
Especifica o número de segundos entre cada atualização contábil intermediária para essa sessão. O roteador usa as seguintes diretrizes para contabilidade provisória:
|
Não assinado32 |
87 |
ID da porta NAS |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica a porta do NAS que autentica o usuário. Este é o mesmo valor que para o atributo NAS-Port-Id RADIUS [87]. |
UTF8String |
88 |
Piscina emoldurada |
NASREQ |
Especifica o nome de um pool de endereços atribuído a ser usado para atribuir um endereço ao usuário. Se um NAS não oferecer suporte a vários pools de endereços, o NAS desconsiderará esse AVP. Os pools de endereços geralmente são usados para endereços IP, mas podem ser usados para outros protocolos se o NAS oferecer suporte a pools para esses protocolos. |
OctetString |
97 |
Prefixo IPv6 emoldurado |
NASREQ |
Especifica o prefixo IPv6 configurado para o usuário. |
OctetString |
99 |
Rota IPv6 emoldurada |
NASREQ |
Especifica as informações de roteamento US-ASCII configuradas para o usuário no NAS. |
UTF8String |
100 |
pool IPv6 emoldurado |
NASREQ |
Especifica o nome de um pool atribuído a ser usado para atribuir um prefixo IPv6 para o usuário. Se o dispositivo de acesso não oferecer suporte a vários pools de prefixo, ele deverá desconsiderar esse AVP. |
OctetString |
258 |
ID do aplicativo de autenticação |
NASREQ |
Especifica o suporte da parte de Autenticação e Autorização de um aplicativo. |
Não assinado32 |
263 |
ID da sessão |
Gx-Plus, JSRC, NASREQ, PTSP |
Especifica o identificador de sessão do assinante. O roteador atribui o valor para identificar exclusivamente uma sessão de assinante. |
UTF8String |
264 |
Host de origem |
NASREQ |
Especifica o host que origina uma mensagem de diâmetro. |
DiamIdent |
268 |
Código do resultado |
Gx-Plus, JSRC, NASREQ, PTSP |
Indica se uma solicitação foi concluída com êxito. Fornece um código de erro se a solicitação falhar. As seguintes classes são reconhecidas por Diâmetro:
Classes não reconhecidas, que começam com numerais 6–9 ou 0, são tratadas como falhas permanentes. O JSRC e o PTSP oferecem suporte aos seguintes valores; Todos os valores de não sucesso são tratados como falhas permanentes:
O JSRC também suporta o seguinte valor, que é tratado como uma falha permanente:
O Gx-Plus suporta os seguintes valores para erros em uma resposta PCRF; Quando esses valores são recebidos ou a resposta é malformada ou irreconhecível, a solicitação é repetida.
|
Não assinado32 |
269 |
Nome do produto |
Gx-Plus |
Especifica o valor do campo Nome do Produto nas mensagens Capability Exchange Request (CER) e Capability Exchange Answer (CEA). O valor é sempre JUNOS, a menos que um nome diferente seja configurado com a Se você alterar o nome do produto, o roteador desconectará todas as conexões existentes com os pares de diâmetro e se reconectará usando o novo nome. |
UTF8String |
277 |
estado da sessão de autenticação |
JSRC, NASREQ, PTSP |
Indica se o estado da sessão AAA é mantido.
|
Enumerado |
279 |
AVP com falha |
NASREQ |
Especifica informações de depuração nos casos em que uma solicitação é rejeitada ou não é totalmente processada devido a informações incorretas em um AVP específico. O valor do AVP de código de resultado fornece informações sobre o motivo do AVP de AVP com falha. |
Agrupado |
281 |
Mensagem de erro |
NASREQ |
Especifica uma mensagem de erro legível que pode acompanhar um AVP de código de resultado. O AVP de mensagem de erro não se destina a ser útil em tempo real; Não espere que as entidades de rede analisem a mensagem. |
UTF8String |
283 |
reino de destino |
NASREQ |
Especifica a região de Diâmetro para a qual a mensagem de Diâmetro é roteada. |
DiamIdent |
293 |
Host de destino |
NASREQ |
Especifica o host para o qual uma mensagem Diamter é roteada. |
DiamIdent |
295 |
Causa da rescisão |
JSRC, NASREQ, PTSP |
Indica o motivo pelo qual uma sessão foi encerrada no dispositivo de acesso.
|
Enumerado |
296 |
Origem-Reino |
NASREQ |
Identifica o reino Diameter do originador de uma mensagem Diameter. |
DiamIdent |
402 |
CHAP-Auth |
NASREQ |
Especifica as informações necessárias para autenticar um usuário usando o CHAP. |
Agrupado |
415 |
Número da solicitação CC |
Gx-Plus |
Identifica uma solicitação em uma sessão. A combinação de Session-Id e CC-Request-Type é globalmente exclusiva. O número é incrementado para cada solicitação durante o curso de uma sessão. O número é redefinido quando ocorre um evento de alta disponibilidade do roteador. |
Não assinado32 |
416 |
CC-Request-Type |
Gx-Plus |
Especifica o tipo de solicitação de controle de crédito:
|
Enumerado |
431 |
Unidade de Serviço Concedida |
Gx-Plus |
Contém a quantidade que pode ser fornecida de uma ou mais das seguintes unidades solicitadas especificadas pelo cliente: CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Incluído em mensagens CCA-I e pode ser incluído em mensagens CCA-U. |
Agrupado |
443 |
ID da assinatura |
Gx-Plus |
Contém os seguintes subatributos que não aparecem sozinhos:
|
Agrupado |
446 |
Unidade de serviço usada |
Gx-Plus |
Contém a quantidade das unidades solicitadas que foram efetivamente utilizadas; medido a partir de 4 quando o serviço é ativado. As unidades são uma ou mais das seguintes unidades solicitadas especificadas pelo cliente: CC-Input-Octets, CC-Output-Octets, CC-Time ou CC-Total-Octets. Incluído nas mensagens CCR-U. |
Agrupado |
480 |
Tipo de registro contábil |
JSRC, PTSP |
Especifica o tipo de registro de conta para contabilidade de serviço:
|
Enumerado |
1001 |
Instalação de regra de cobrança |
Gx-Plus, NASREQ |
Solicita a instalação da regra (ativação do serviço) designada pelo AVP incluído (1005). Esse AVP tem um ID de fornecedor de 10415 (3GPP). |
Agrupado |
1002 |
Remoção de regra de cobrança |
Gx-Plus |
Solicita a remoção da regra (desativação do serviço) designada pelo AVP incluído (1005). Esse AVP tem um ID de fornecedor de 10415 (3GPP). |
Agrupado |
1005 |
Nome da regra de cobrança |
Gx-Plus, NASREQ |
Especifica o nome de uma regra específica que foi instalada, modificada ou removida. |
OctetString |
1066 |
Chave de monitoramento |
Gx-Plus |
Especifica qual das estruturas de monitoramento usar. Incluído em Charging-Rule-Install AVP (1001). O roteador MX não oferece suporte à agregação de estatísticas entre serviços, portanto, o valor desse AVP deve ser diferente para cada serviço. Esse AVP tem um ID de fornecedor de 10415 (3GPP). |
OctetString |
1067 |
Informações de monitoramento de uso |
Gx-Plus |
Define limites de monitoramento. Quando as estatísticas de serviço correspondem a pelo menos um dos valores de serviço concedidos, o roteador envia um relatório CCR-U com as estatísticas atuais para o PCRF. Inclui o AVP de chave de monitoramento (1066) e o AVP de unidade de serviço concedido (431). Esse AVP tem um ID de fornecedor de 10415 (3GPP). |
Agrupado |
Os AVPs da Juniper Networks são usados além dos AVPs de diâmetro padrão. Esses AVPs têm um ID de fornecedor (número da empresa) de 2636 ou 4874 e são semelhantes em conceito aos atributos específicos de fornecedor (VSAs) do RADIUS. A Tabela 3 lista os AVPs da Juniper Networks que os aplicativos Diameter suportados usam.
Número do atributo |
Diâmetro AVP |
ID do fornecedor |
Aplicação |
Descrição |
Digite |
|---|---|---|---|---|---|
213 |
Peso de segmentação de conjunto de interface |
4874 |
NASREQ |
Especifique um peso para um conjunto de interfaces para associá-lo e seus links de membros a um link de membro Ethernet agregado para distribuição direcionada. |
Não assinado32 |
214 |
Peso de segmentação de interface |
4874 |
NASREQ |
Especifique um peso para uma interface para associá-la a um conjunto de interfaces e, portanto, ao enlace de membro Ethernet agregado do conjunto para distribuição direcionada. Quando um conjunto de interfaces não tem um peso, o valor do peso da interface para a primeira interface de assinante autorizada é usado para o conjunto. |
Não assinado32 |
2004 |
Pacote de serviços da Juniper |
2636 |
JSRC |
Especifica o nome do pacote de serviços. |
OctetString |
2010 |
Opções de Juniper-DHCP |
2636 |
JSRC |
Especifica as opções de DHCP do cliente. |
OctetString |
2011 |
Endereço Juniper-DHCP-GI |
2636 |
JSRC |
Especifica o endereço IP do agente de retransmissão DHCP. |
OctetString |
2020 |
Juniper-Policy-Install |
2636 |
JSRC, PTSP |
Especifica as políticas a serem ativadas para o assinante. Inclui juniper-policy-name e juniper-policy-definition |
Agrupado |
2021 |
Nome da Política da Juniper |
2636 |
JSRC, PTSP |
Define o nome de uma decisão de política. |
OctetString |
2022 |
Definição de política da Juniper |
2636 |
JSRC, PTSP |
Define uma decisão de política. Inclui juniper-policy-name, juniper-template-name e juniper-substitution. |
Agrupado |
2023 |
juniper-nome-da-predefinição |
2636 |
JSRC, PTSP |
Especifica o nome do perfil definido pelo roteador. O PTSP dá suporte apenas ao modelo de |
UTF8String |
2024 |
Substituição da Juniper |
2636 |
JSRC, PTSP |
Define os atributos de substituição. Inclui juniper-substitution-name e juniper-substitution-value. |
OctetString |
2025 |
juniper-substitution-name |
2636 |
JSRC, PTSP |
Define o nome da variável a ser substituída. |
OctetString |
2026 |
Juniper-Substitution-Value |
2636 |
JSRC, PTSP |
Define o valor da variável a ser substituída. |
OctetString |
2027 |
Juniper-Policy-Remove |
2636 |
JSRC, PTSP |
Especifica as políticas a serem desativadas para o assinante. Inclui Juniper-Policy-Name. |
Agrupado |
2035 |
Política de falha da Juniper |
2636 |
JSRC, PTSP |
Especifica o nome da ativação ou desativação da política que falhou. |
OctetString |
2038 |
Juniper-Policy-Success |
2636 |
JSRC, PTSP |
Especifica o nome da ativação ou desativação da política que foi bem-sucedida. |
OctetString |
2046 |
Sistema lógico da Juniper |
2636 |
JSRC, PTSP |
Especifica o sistema lógico. |
UTF8String |
2047 |
Juniper-Routing-Instance |
2636 |
JSRC, PTSP |
Especifica a instância de roteamento. |
UTF8String |
2048 |
partição juniper-jsrc |
2636 |
JSRC, PTSP |
Especifica o sistema lógico e a instância de roteamento para o assinante ou solicitação. Inclui Juniper-Logical-System e Juniper-Routing-Instance |
Agrupado |
2050 |
Juniper-Request-Type |
2636 |
JSRC, PTSP |
Descreve o tipo de solicitação:
|
Enumerado |
2051 |
Juniper-Synchronization-Type |
2636 |
JSRC, PTSP |
Descreve o tipo de sincronização:
|
Enumerado |
2052 |
Juniper-Synchronization |
2636 |
JSRC, PTSP |
Descreve o estado de sincronização:
|
Enumerado |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
Especifica os dados estatísticos de cada política instalada para este assinante. Inclui Juniper-Policy-Name. |
Agrupado |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Especifica se os dados contábeis da política (serviço) instalada devem ser coletados quando incluídos no AVP Juniper-Policy-Install:
|
Enumerado |
2058 |
Juniper-State-ID |
2636 |
JSRC, PTSP |
Especifica o valor atribuído a cada ciclo de sincronização com a finalidade de identificar quais mensagens descartar. Todas as solicitações solicitadas contendo o mesmo
Observação:
Para solicitações de sincronização solicitadas, a mensagem SRQ contém o valor incrementado |
Não assinado32 |
2100 |
Juniper-Virtual-Router |
2636 |
Gx-Plus, JSRC |
Especifica o nome do roteador virtual associado à sessão. |
UTF8String |
2101 |
Juniper-Provisioning-Source |
2636 |
Gx-Plus |
Especifica a origem de provisionamento para a sessão em mensagens CCR-N e JSDA:
|
Enumerado |
2102 |
Juniper-Provisioning-Descriptor |
2636 |
Gx-Plus |
Define o grupo usado em mensagens JSDA que inclui o ID da sessão e, opcionalmente, dados da Juniper-Provisioning-Source e do assinante. |
Agrupado |
2103 |
tipo de evento da Juniper |
2636 |
Gx-Plus |
Comunica o tipo de evento em mensagens JSER:
|
Enumerado |
2104 |
Juniper-Discovery-Descriptor |
2636 |
Gx-Plus |
Define o grupo usado em mensagens JSDR e JSDA que inclui parâmetros de uma solicitação de descoberta: tipo de descoberta, string de solicitação, detalhamento, resultados máximos. |
Agrupado |
2105 |
Tipo de descoberta da Juniper |
2636 |
Gx-Plus |
Especifica o subcomando discovery para mensagens JSDR e JSDA:
|
Enumerado |
2106 |
Nível de detalhamento da Juniper |
2636 |
Gx-Plus |
Especifica o nível de detalhamento para mensagens JSDR e JSDA:
|
Enumerado |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Especifica uma cadeia de caracteres genérica que é interpretada de acordo com o contexto. |
UTF8String |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Especifica uma cadeia de caracteres genérica que é interpretada de acordo com o contexto. |
UTF8String |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Especifica uma cadeia de caracteres genérica que é interpretada de acordo com o contexto. |
UTF8String |
2110 |
Juniper-Não assinado32-A |
2636 |
Gx-Plus |
Especifica um inteiro genérico de 32 bits sem sinal que é interpretado de acordo com o contexto. |
Não assinado32 |
2111 |
Juniper-Não assinado32-B |
2636 |
Gx-Plus |
Especifica um inteiro genérico de 32 bits sem sinal que é interpretado de acordo com o contexto. |
Não assinado32 |
2112 |
Juniper-Não assinado32-C |
2636 |
Gx-Plus |
Especifica um inteiro genérico de 32 bits sem sinal que é interpretado de acordo com o contexto. |
Não assinado32 |
2200 |
prefixo juniper-IPv6-NDRA |
2636 |
JSRC |
Se disponível na entrada IPv6Prefix do banco de dados de sessão do assinante, esse AVP será incluído nas mensagens de solicitação de provisionamento de AAR enviadas ao SAE. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
Prefixo IPv6 |
2201 |
Máscara de rede IPv6 emoldurada da Juniper |
2636 |
JSRC |
Se disponível na entrada IPv6Address do banco de dados de sessão do assinante, esse AVP será incluído nas mensagens de solicitação de provisionamento de AAR enviadas ao SAE. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
Endereço IPv6 |
2202 |
ID do circuito do agente da Juniper |
2636 |
JSRC |
Identifica o assinante por nó de acesso e linha de assinante. Se disponível na entrada do banco de dados de sessão do assinante, esse AVP será incluído nas mensagens de solicitação de provisionamento de AAR enviadas ao SAE. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
OctetString |
2203 |
Juniper-Agente-Remote-ID |
2636 |
JSRC |
Identifica o assinante no nó de acesso. Se disponível na entrada do banco de dados de sessão do assinante, esse AVP será incluído nas mensagens de solicitação de provisionamento de AAR enviadas ao SAE. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
OctetString |
2204 |
juniper-acct-IPv6-input-ocets |
2636 |
JSRC |
Número de octetos IPv6 recebidos na interface. Esse AVP é incluído nas mensagens de solicitação de contabilidade do ACR enviadas ao SAE, mesmo quando o valor é zero. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
Não assinado64 |
2205 |
juniper-acct-IPv6-output-octetos |
2636 |
JSRC |
Número de octetos IPv6 enviados na interface. Esse AVP é incluído nas mensagens de solicitação de contabilidade do ACR enviadas ao SAE, mesmo quando o valor é zero. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
Não assinado64 |
2206 |
juniper-acct-IPv6-input-pkts |
2636 |
JSRC |
Número de pacotes IPv6 recebidos na interface. Esse AVP é incluído nas mensagens de solicitação de contabilidade do ACR enviadas ao SAE, mesmo quando o valor é zero. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
Não assinado64 |
2207 |
juniper-acct-IPv6-saída-pacotes |
2636 |
JSRC |
Número de pacotes IPv6 enviados na interface. Esse AVP é incluído nas mensagens de solicitação de contabilidade do ACR enviadas ao SAE, mesmo quando o valor é zero. Esse AVP é usado somente quando você habilita o suporte a pilha dupla JSRC. |
Não assinado64 |
Os AVPs da Tekelec são usados apenas para o Gx-Plus. Esses AVPs têm um número corporativo de 21274. A Tabela 4 lista os AVPs da Tekelec. Essas quatro variáveis são usadas para fornecer valores de substituição para variáveis de serviço CoS definidas pelo usuário.
Número do atributo |
Diâmetro AVP |
Aplicação |
Descrição |
Digite |
|---|---|---|---|---|
5555 |
tekelec-charging-rule-argument-name |
Gx-Plus |
Define o nome da variável de serviço a ser substituída. |
OctetString |
5556 |
tekelec-charge-rule-argument-value |
Gx-Plus |
Define o valor da variável de serviço a ser substituída. |
OctetString |
5557 |
tekelec-charging-rule-argument |
Gx-Plus |
Define os atributos de substituição usados para substituir variáveis de serviço. Inclui tekelec-charging-rule-argument-name avp (5555) e tekelec-charging-rule-argument-value avp (5556). |
Agrupado |
5558 |
Tekelec-Charging-Rule-with-arguments |
Gx-Plus |
Solicita a instalação da regra (ativação do serviço) designada pelo AVP incluído (1005). As substituições de variáveis de serviço solicitadas são fornecidas pelo AVP Tekelec-Charging-Rule-Argument incluído opcionalmente (5557). |
Agrupado |
Configurando o diâmetro
Você configura o Diameter especificando a origem do endpoint, os peers remotos, a conexão da camada de transporte e os elementos de rede que associam rotas aos peers. No momento, somente a instância mestre Diameter é suportada. Você pode configurar valores alternativos para essa instância de Diâmetro somente no contexto da instância de roteamento padrão.
Para configurar o protocolo base do Diameter:
Configurando os atributos de origem da instância de diâmetro
Você pode configurar as características de identificação do nó de endpoint que origina mensagens de diâmetro para a instância de diâmetro. O nome do host é fornecido como o valor para o AVP do Origin-Host pela instância Diameter. O realm é fornecido como o valor para o AVP do Origin-Realm pela instância Diameter.
Para configurar os atributos de origem para uma instância de Diameter:
Configuração de pares de diâmetro
Você pode configurar os peers para os quais o Diameter envia mensagens. O diâmetro usa o sistema lógico padrão e a instância de roteamento. A porta 3868 é usada para conexões ativas com peers por padrão.
Para configurar um peer remoto para uma instância do Diameter:
Por exemplo, a configuração a seguir para o peer p3 especifica um endereço IPv4, a instância de roteamento ri8, a porta de destino 49152, o transporte t6, uma origem do host 1 em example.com e inclui o AVP de estado de origem em mensagens.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Configurando o transporte de diâmetro
Você pode configurar um ou mais transportes para uma instância de diâmetro para definir o endereço IPv4 ou IPv6 para a conexão local e, opcionalmente, configurar um contexto lógico de sistema ou instância de roteamento. O diâmetro usa o sistema lógico padrão e a instância de roteamento. O sistema lógico e a instância de roteamento para a conexão de transporte devem corresponder aos do peer, ou um erro de configuração será relatado. Vários peers podem compartilhar o mesmo transporte.
Para configurar um transporte para uma instância de Diameter:
Por exemplo, a configuração a seguir para o transporte t1 especifica um endereço IPv6, um sistema lógico ls5 e uma instância de roteamento ri10.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Configuração de elementos de rede de diâmetro
Um elemento de rede de diâmetro (DNE) consiste em aplicativos associados (chamados de funções na CLI), uma lista de peers priorizados e um conjunto de regras de encaminhamento. As regras de encaminhamento definem rotas individuais por meio de um conjunto de destinos, aplicativos e métricas associados. Pelo menos um DNE deve ser configurado por chassi para iniciar o processo de diâmetro (jdiameterd).
Antes de configurar os elementos de rede do Diameter, execute a seguinte tarefa:
Defina os pares de diâmetro. Consulte Configuração de pares de diâmetro.
Para configurar um elemento de rede Diameter:
Exemplo: Configurar aplicativo S6a
Este exemplo mostra como configurar o aplicativo S6a de autenticação baseada em diâmetro em seu firewall da Série SRX para recuperar informações de autenticação do servidor do assinante.
Requerimentos
Este exemplo usa o seguinte hardware:
Qualquer firewall da Série SRX
Antes de começar, leia Visão geral do protocolo base de diâmetro.
Visão geral
Neste exemplo, você cria a partição S6a e especifica a origem do endpoint, os pares remotos e os elementos de rede que associam rotas a pares para controlar o encaminhamento de diâmetro de mensagens S6a. Você também cria a partição S6a para Somente a instância mestre Diameter é suportada no momento. Você pode configurar valores alternativos para a master instância de Diâmetro somente no contexto da instância de roteamento padrão.
Configuração
- Configurar o perfil de acesso e os parâmetros do aplicativo de diâmetro
- Configurar interfaces Ethernet redundantes
- Configure Zonas de Segurança e Políticas de Segurança para permitir o Aplicativo de Diâmetro S6a
Configurar o perfil de acesso e os parâmetros do aplicativo de diâmetro
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha, altere os detalhes necessários para corresponder à configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para configurar o perfil de acesso e os parâmetros de aplicação de diâmetro:
Especifique o perfil de acesso a ser usado para a ordem de autenticação.
[edit access-profile] user@host# set s6a_test
Especifique a ordem na qual os métodos de autenticação são usados.
[edit access profile] user@host# set s6a_test authentication-order s6a
Crie a partição ou especifique o nome de uma partição existente.
[edit access] user@host# set s6a partition partition_name
Configure a região de destino para a partição s6a.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Configure o host de destino para a partição s6a.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Especifique a instância Diameter para a partição s6a.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Observação:Atualmente, há suporte apenas para a instância padrão de Diameter,
master, .Defina um limite para o número de solicitações pendentes.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Configure a quantidade de tempo em segundos antes que o s6a pare de tentar enviar uma mensagem de logout do assinante.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Inclua o nome da região que origina a mensagem Diameter.
[edit diameter] user@host# set origin realm zzz.com
Inclua o nome do host que origina a mensagem Diameter.
[edit diameter] user@host# set origin host s6a.zzz.com
Especifique o nome do elemento de rede.
[edit diameter] user@host# set network-element ne3
Associe um peer de diâmetro ao elemento de rede.
[edit diameter] user@host# set network-element peer p3
Defina a prioridade para o peer.
[edit diameter] user@host# set network-element peer p3 priority 100
Especifique uma rota que possa ser acessada por meio do elemento de rede com base nas regras de encaminhamento que você definir.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Especifique uma métrica para a rota.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Especifique o endereço IP do peer Diameter.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Especifique a porta que o Diameter usa para conexões ativas com o peer.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Resultados
No modo de configuração, confirme sua configuração digitando os show access comandos e show diameter . Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurar interfaces Ethernet redundantes
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha, altere os detalhes necessários para corresponder à configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para configurar interfaces Ethernet redundantes:
Configure interfaces Ethernet redundantes.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Resultados
No modo de configuração, confirme sua configuração digitando o show interfaces comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configure Zonas de Segurança e Políticas de Segurança para permitir o Aplicativo de Diâmetro S6a
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha, altere os detalhes necessários para corresponder à configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para configurar zonas e políticas de segurança:
Defina os serviços e protocolos do sistema na interface reth1.0.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Defina os serviços e protocolos do sistema na interface reth0.0.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Configure as políticas de segurança.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Resultados
No modo de configuração, confirme sua configuração digitando o show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando o status do S6a
Finalidade
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
Ação
Do modo operacional, insira os show network-access s6a statecomandos , show network-access s6a statisticse para show network-access s6a statistics extensive verificar o estado de acesso à rede e as estatísticas do aplicativo s6a.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Significado
Os show network-access s6a statecomandos , show network-access s6a statistics, e show network-access s6a statistics extensive mostram o estado do aplicativo S6a e as estatísticas das informações de autenticação recuperadas do servidor inscrito.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.