在此页面上
用于订阅者管理的动态配置文件
动态配置文件概述
动态配置文件是一组充当模板的特征,使您能够创建、更新或删除可用于为宽带应用程序提供动态订阅者访问和服务的配置。使用这些配置文件可以合并一个客户端或一组客户端的所有公共属性,并同时应用这些属性或动态创建的对象。创建配置文件后,它们驻留在路由器上的配置文件库中。
您可以使用两种动态配置文件动态管理订阅者: 客户端配置文件 和服务 配置文件。这两种配置文件类型都是在 [edit dynamic-profiles]
层次结构级别配置的,并且彼此独立。除了动态客户端配置文件之外,是否还使用动态服务配置文件取决于您如何支持订阅者之间的差异化以及如何打包订阅者服务。
动态配置文件术语可能会造成混淆。
动态客户端配置文件也可以正确地称为动态订阅者配置文件。
尽管动态客户端配置文件有时称为客户端访问配置文件,但该术语会导致与在 [编辑访问配置文件 profile-name] 层次结构级别配置的访问配置文件混淆。访问配置文件用于配置订阅者访问的身份验证、记帐和授权参数、某些会话属性以及 L2TP 和 PPP 会话的客户端特定属性。访问配置文件通过语句
access-profile
应用于各个配置级别。
动态客户端配置文件和动态服务配置文件
动态客户端配置文件和动态服务配置文件之间的主要区别如下:
调配动态客户端配置文件并将其应用于客户端应用程序配置;例如,DHCP、DHCPv6、L2TP LNS、PPPoE、静态订阅者和 VLAN。配置文件的内容将应用于订阅者会话的逻辑接口。大多数情况下,动态客户端配置文件支持应用配置文件的逻辑接口的动态实例化,但客户端配置文件也可以应用于静态订阅者逻辑接口。
动态客户机配置文件可以包含 下
[edit dynamic-profiles profile-name]
的任何节,但 除外variables variable-name
。动态服务配置文件仅包括与服务相关的配置,这些配置是动态客户端配置文件中可用配置的子集。它们不包括订阅者会话的其他配置属性。您不能使用服务配置文件创建或修改逻辑接口。动态服务概要文件是对动态客户端概要文件的补充,动态客户机概要文件在创建逻辑接口之后使用。
动态服务配置文件可以在 、
firewall
protocols
services
和variables
下[edit dynamic-profiles profile-name]
class-of-service
包含以下节。
动态客户端配置文件和动态服务配置文件在可以使用的变量类型方面也有所不同:
动态客户端配置文件可以包含预定义变量默认值,这些默认值定义配置文件中包含的瞻博网络预定义变量的默认值。当 RADIUS 不返回变量的值时,将使用配置文件中的默认值。有关预定义变量的信息,请参阅 动态变量概述 和 配置动态配置文件中预定义变量的默认值 。
动态服务配置文件可以包括用户定义的变量,这些变量在函数调用中充当参数。变量值可以由 RADIUS 服务器提供,以支持每个订阅者进行更专业的自定义。您还可以为这些变量设置默认值,以便在 RADIUS 不提供该值时使用。有关用户定义变量的信息,请参阅 动态配置文件中的用户定义变量 。
动态客户端配置文件不包括用户定义的变量。动态服务配置文件不包括预定义的变量默认值。
表 1 列出了访问配置文件和服务配置文件支持的变量类型。
动态配置文件的类型 |
Junos OS 预定义变量(本地) |
Junos OS 预定义变量 (RADIUS) |
用户定义的变量 |
---|---|---|---|
访问配置文件 |
是的 |
是的 |
是的 |
服务简介 |
是的 |
不 |
是的 |
表 2 列出了访问配置文件和服务配置文件支持的默认值、表达式和唯一标识符。
动态配置文件的类型 |
默认值 |
表达 式 |
唯一标识符 |
---|---|---|---|
访问配置文件 |
是(仅限 RADIUS 预定义变量) |
不 |
是(仅限调度器和调度器图) |
服务简介 |
是(仅限用户定义的变量) |
是(仅限服务激活) |
是(仅限防火墙过滤器) |
将服务动态应用于订阅者会话
您可以通过多种方式配置要应用于订阅者会话的服务:
在动态客户端配置文件中包括订阅者会话的服务配置。例如,您可以配置第 2 层服务(如服务等级 (CoS))和第 3 层服务(如动态防火墙过滤器)。第 3 层服务适用于 DHCP、DHCPv6 和 PPPoE 用户的协商地址族。请参阅 更改 CoS 服务概述。
注意:动态客户机概要文件不能引用动态服务概要文件。它只能直接包含服务配置。
使用 RADIUS 配置应用动态服务配置文件。订阅者进行身份验证时在 RADIUS 访问-接受消息中返回的瞻博网络激活服务 VSA (26-65) 可以引用动态服务配置文件,也可以选择传递服务的其他参数。对于 DHCP 和 PPPoE 会话,当激活会话的地址族时,将应用此服务配置文件。请参阅 RADIUS 的动态服务管理。
您可以使用另一个瞻博网络 VSA,即停用服务 (26-66) 来停用“访问接受”消息中的服务。
在 RADIUS 授权变更 (CoA) 消息中应用具有瞻博网络 VSA 的服务配置文件。您可以使用 CoA 消息激活 (VSA 26-65) 或停用 (VSA 26-66) 服务。例如,订阅者可以在会话建立后选择加入或退出服务。请参阅 RADIUS 发起的授权变更 (CoA) 概述。
应用动态服务配置文件,方法是在
service-profile
DHCP 本地服务器、DHCP 中继代理、L2TP 或静态订阅者的配置中包含语句以引用该配置文件。例如,请参阅 指定静态订阅者组服务配置文件、 为具有内联服务接口的 LNS 会话配置 L2TP 隧道组和 在 LNS 上配置 L2TP 访问配置文件。
动态配置文件覆盖
从 Junos OS 14.1 版开始,您可以在 RADIUS 客户端配置文件名称 VSA [26-174] 中指定不同的动态配置文件,以使 RADIUS 覆盖已配置的客户端动态配置文件。RADIUS 将此 VSA 返回到 AAA,并在访问-接受消息中具有其他客户端会话属性。随后,AAA 将覆盖客户端会话数据库条目中的相应配置文件名称属性,并将实例化此新配置文件,而不是最初配置的配置文件。
动态配置文件版本创建
您可以创建订阅者当前正在使用的动态配置文件的新版本。在层次结构级别启用 [edit system]
动态配置文件版本创建。启用后,您可以在路由器上创建任何动态配置文件的多个版本。在动态配置文件修改后登录的任何订阅者都使用最新版本的动态配置文件。已经处于活动状态的订阅者将继续使用旧版本的动态配置文件,直到他们注销或会话终止。
创建动态配置文件的版本时,请记住以下几点:
在路由器上创建或使用任何动态配置文件之前,必须启用或禁用动态配置文件版本创建。不支持在配置动态配置文件后启用或禁用动态配置文件版本创建。
注意:必须先从路由器配置中删除所有动态配置文件,然后才能为配置了任何动态配置文件的路由器启用或禁用动态配置文件版本创建。
动态配置文件的每个版本都作为新配置文件存储在配置文件数据库中。
新配置文件版本的名称是通过将字符串追加到原始基本动态配置文件名称来派生的。此字符串包含两个美元符号 ($) 字符,用于标识配置文件名称的版本字段。这两个字符后跟数字字符,表示动态配置文件的“版本号”(例如,01)。
动态配置文件的版本号由系统自动生成。
您修改的动态配置文件始终存储为最新版本。您无法创建修改后的动态配置文件并将其另存为早期版本。例如,如果在动态配置文件正在使用时修改其版本三,则该动态配置文件将另存为版本四。
您只能修改动态配置文件的最新版本。
版本号的最大值为 99999。但是,对于每个配置文件,一次仅支持 10 个活动版本。
如果您修改的动态配置文件版本未被任何订阅者使用,则配置文件将被提交的更改覆盖,而不会创建新版本。
到达动态配置文件的第 99999 个修改版本后,对动态配置文件的任何进一步修改都会导致覆盖该最终版本。如果正在使用最终版本,则提交时任何修改尝试都会失败。
仅当动态配置文件未使用任何版本时,才能删除该配置文件。
动态配置文件版本功能支持平滑重启和统一 ISSU。
动态配置文件语义检查
变量动态应用于动态配置文件,无法使用现有 CLI 命令进行检查。语义检查验证动态配置文件中的某些变量,以帮助识别潜在的配置错误。
语义检查在提交期间和配置文件实例化期间执行。提交时间检查可确保变量显示在动态配置文件中的正确位置。在配置文件实例化之前执行的检查可确保替换变量的值正确。对值执行的检查包括:
范围验证
变量类型验证
存在强制性变量
与正则表达式匹配的变量
提交时间检查失败会导致在文件中显示和记录 /var/log/messages
错误消息,并且提交失败。实例化失败会导致文件中记录 /var/log/messages
错误,并且配置文件实例化失败。
配置基本动态配置文件
本主题介绍如何创建基本动态配置文件。基本概要文件必须包含概要文件名称,并且在层次结构级别包含接口变量名称(如$junos-interface-ifd-name
),在层次结构级别包含[edit dynamic-profiles profile-name interfaces
[edit dynamic-profiles profile-name interfaces variable-interface-name unit]
逻辑接口变量名称(如$junos-underlying-interface-unit
或$junos-interface-unit
)。
为初始客户端访问配置动态配置文件之前:
配置您希望 DHCP 客户端在访问网络时使用的必要路由器接口。
有关可用于动态配置文件的接口类型以及如何配置它们的信息,请参阅 DHCP 订阅者接口概述 。
配置您希望配置文件在验证 DHCP 客户端以访问组播网络时使用的所有 RADIUS 值。
要配置基本动态配置文件:
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。