Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

RADIUS 身份验证和计费基本配置

配置订阅者访问的身份验证和计费参数

您可以使用访问配置文件为订阅者访问管理功能配置身份验证和计费支持。通过访问配置文件,可以指定用于身份验证和计费的方法类型。您还可以配置订阅者访问管理收集和使用计费统计信息的方式。

要为订阅者访问配置身份验证和计费:

  1. 指定要使用的身份验证和计费方法。

    请参阅 指定订阅者访问的身份验证和计费方法

  2. 指定如何收集会计统计信息。

    请参阅 配置按订阅者的会话计费

指定订阅者访问的身份验证和计费方法

您可以指定订阅者访问管理使用的身份验证和计费方法。

您可以配置多种身份验证和计费方法 — authentication-orderaccounting order 语句指定订阅者访问管理功能使用这些方法的顺序。例如,身份验证条目指定 radius password 首先执行 RADIUS 身份验证;如果超时(例如,如果 RADIUS 服务器无法访问),则尝试本地身份验证 (password)。但是,如果方法拒绝身份验证尝试,则不会尝试后续方法。如果 password 配置为要尝试的第一个方法,则始终接受或拒绝身份验证;在任何一种情况下,都不会尝试其他方法。

您可以使用语 authentication-order 句指定以下身份验证方法:

  • radius—使用外部 RADIUS 服务器的基于 RADIUS 的身份验证。

  • password- 使用本地配置和存储的用户名和密码进行本地身份验证。

    在 Junos OS 18.2R1 版之前,订阅者访问管理不支持该 password 选项。从 Junos OS 18.2R1 版开始, password 您可以使用选项为单个订阅者提供本地身份验证,通常是在没有外部身份验证和授权服务器时,或者希望使用本地身份验证作为外部身份验证备份时。在这种情况下,您可以使用 password 访问配置文件中的语句选项 subscriber username 配置实际订阅者密码。在早期版本中,必须始终指定 radius 身份验证方法。

您可以指定以下计费方法:

  • radius—使用外部 RADIUS 服务器的基于 RADIUS 的记帐。

要为订阅者访问管理配置身份验证和计费方法,请执行以下操作:

  1. 指定身份验证方法及其使用顺序。
  2. 指定计费方法。

指定用于订阅者访问的 RADIUS 身份验证和计费服务器

您可以指定一个或多个 RADIUS 身份验证或计费服务器,用于订阅者访问管理。

要配置 RADIUS 身份验证和计费支持,请执行以下操作:

  1. 指定要配置 RADIUS 支持。
  2. 指定用于身份验证的 RADIUS 服务器的 IP 地址。
  3. 指定用于计费的 RADIUS 服务器的 IP 地址。

要配置多个 RADIUS 身份验证或计费服务器,请执行以下操作:

  • 指定用于身份验证或计费的所有 RADIUS 服务器的 IP 地址。

为订阅者配置本地身份验证和授权

从 Junos OS 18.2R1 版开始,您可以为订阅者配置本地身份验证和有限本地授权。本地身份验证支持 MX 系列路由器上的订阅者管理和服务当前支持的所有订阅者类型。在以下情况下,本地身份验证和授权很有用:

  • 当您不想使用外部身份验证和授权服务器时。

  • 当您希望本地身份验证和授权在 RADIUS 身份验证失败时提供备份方法时。

  • 将网络从运行 JunosE 软件的 E Series 路由器迁移到运行 Junos OS 的 MX 系列路由器时。

通过配置 password 要配置为 authentication-order 访问配置文件方法的选项,为订阅者启用本地身份验证和授权。然后,为要在本地进行身份验证的每个订阅者配置密码。当与访问配置文件关联的订阅者登录时,系统会将登录用户名与配置的用户名进行比较。如果匹配,则会将登录密码与配置的密码进行比较。本地身份验证失败源于凭据不匹配;也就是说,订阅者用户名或密码不匹配。

本地身份验证可以采用以下任一形式:

  • 用户密码身份验证 — 配置的密码用于验证订阅者的登录密码。

  • 质询握手身份验证 (CHAP) — 配置的密码用作质询密钥,用于验证订阅者的质询密码和质询响应凭据。

您还可以选择性地配置多个属性,例如地址池、逻辑系统或路由实例,以便在身份验证成功时为订阅者本地授权。如果未配置本地授权地址或地址池,则基于网络匹配或分配给路由实例的第一个地址池进行地址分配。

注意:

本地身份验证和授权支持机箱范围内最多 100 个订阅者。如果在未配置的访问配置文件中配置了订阅者,则 authentication-order password 不会进行本地身份验证,但这些订阅者将计入系统限制(100 个订阅者)进行本地身份验证。

要配置本地身份验证和授权,请执行以下操作:

  1. 启用本地身份验证。

    如果只想使用本地身份验证,请配置 password 为唯一身份验证方法。如果希望本地身份验证在方法超时时备份 RADIUS 身份验证,则必须配置 radius 为第一种方法和 password 第二种方法,如下所示:

    如果配置 password 为第一种方法,则始终接受或拒绝身份验证。无论哪种情况,都不会尝试第二种方法。

  2. 为订阅者配置本地密码。
  3. (可选)为订阅者配置 IPv4 地址。
  4. (可选)配置地址池以为订阅者分配 IPv4 地址。
  5. (可选)配置地址池以为订阅者分配路由器播发 IPv6 前缀或 DHCPv6 IA_NA/128 地址。
  6. (可选)配置地址池以在本地分配委托的 IPv6 前缀。
  7. (可选)配置逻辑系统,如果需要,还可分配给订阅者的路由实例。
  8. (可选)为订阅者配置路由实例。

您可以使用以下 show 命令显示有关本地身份验证的信息:

  • show network-access aaa statistics authentication detail- 显示本地身份验证的故障统计信息。

  • show network-access requests statistics- 显示本地身份验证和本地重新身份验证统计信息,例如收到的请求以及成功和失败响应的数量。

  • show network-access aaa statistics re-authentication- 显示重新身份验证统计信息,但这些统计信息是从本地身份验证和 RADIUS 聚合而成的。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
18.2R1
从 Junos OS 18.2R1 版开始,您可以为订阅者配置本地身份验证和有限本地授权。