Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

RADIUS 身份验证和计费基本配置

配置订阅者访问的身份验证和计费参数

您可以使用访问配置文件为订阅者访问管理功能配置身份验证和计费支持。通过访问配置文件,您可以指定用于身份验证和计费的方法类型。您还可以配置订阅者访问管理如何收集和使用计费统计信息。

要配置订阅者访问的身份验证和计费:

  1. 指定要使用的身份验证和计费方法。

    请参阅 指定订阅者访问的认证和计费方法

  2. 指定会计统计信息的收集方式。

    请参阅 配置按订阅者会话计费

指定订阅者访问的身份验证和计费方法

您可以指定订阅者访问管理使用的身份验证和计费方法。

您可以配置多种身份验证和计费方式 — authentication-orderaccounting order 语句指定订阅者访问管理功能使用这些方法的顺序。例如,身份验证条目 指定 radius password 首先执行 RADIUS 身份验证;如果超时(例如,如果 RADIUS 服务器无法访问),则尝试本地身份验证 (password)。但是,如果某个方法拒绝身份验证尝试,则不会尝试后续方法。如果配置为要尝试的第一种方法,则 password 始终接受或拒绝身份验证;在任何一种情况下,都不会尝试其他方法。

您可以使用语句指定以下身份验证方法 authentication-order

  • radius— 使用外部 RADIUS 服务器进行基于 RADIUS 身份验证。

  • password— 使用本地配置和存储的用户名和密码进行本地身份验证。

    在 Junos OS 18.2R1 版之前,订阅者访问管理不支持该password选项。从 Junos OS 18.2R1 版开始,您可以使用该password选项为单个订阅者提供本地身份验证,通常是在您没有外部身份验证和授权服务器时,或者您希望使用本地身份验证作为外部身份验证的备份时。在这种情况下,您可以使用访问配置文件中的语句选项subscriber username配置password实际的用户密码。在早期版本中,必须始终指定radius身份验证方法。

您可以指定以下计费方法:

  • radius— 使用外部 RADIUS 服务器进行基于 RADIUS 的计费。

要配置订阅者访问管理的身份验证和计费方法,请执行以下作:

  1. 指定身份验证方法及其使用顺序。
  2. 指定计费方法。

指定用于订阅者访问的 RADIUS 身份验证和计费服务器

您可以指定一个或多个 RADIUS 身份验证或计费服务器以用于订阅者访问管理。

要配置 RADIUS 身份验证和计费支持:

  1. 指定要配置 RADIUS 支持。
  2. 指定用于身份验证的 RADIUS 服务器的 IP 地址。
  3. 指定用于记帐的 RADIUS 服务器的 IP 地址。

要配置多个 RADIUS 身份验证或计费服务器:

  • 指定用于身份验证或记帐的所有 RADIUS 服务器的 IP 地址。

为订阅者配置本地身份验证和授权

从 Junos OS 18.2R1 版开始,您可以为订阅者配置本地身份验证和有限本地授权。本地身份验证支持MX 系列路由器上订阅者管理和服务当前支持的所有订阅者类型。本地身份验证和授权在以下情况下很有用:

  • 当您不想使用外部身份验证和授权服务器时。

  • 如果希望本地身份验证和授权在 RADIUS 身份验证失败时提供备份方法。

  • 将网络从运行 JunosE 软件的E Series路由器迁移到运行 JunosE 软件的MX 系列路由器时Junos OS。

通过将选项配置 password 为访问配置文件的方法, authentication-order 为订阅者启用本地身份验证和授权。然后,为每个要在本地进行身份验证的用户配置密码。与访问配置文件关联的用户登录时,系统会将登录用户名与配置的用户名进行比较。如果匹配,则会将登录密码与配置的密码进行比较。本地身份验证失败是由于证书不匹配造成的;也就是说,订阅者用户名或密码不匹配。

本地身份验证可以采用以下任一形式:

  • 用户密码身份验证 — 配置的密码用于验证用户的登录密码。

  • 质询握手身份验证 (CHAP) — 配置的密码充当质询密钥,用于验证订阅者的质询密码和质询响应证书。

您还可以选择性地配置多个属性,如地址池、逻辑系统或路由实例,以便在身份验证成功时在本地为用户进行授权。如果未为本地授权配置地址或地址池,则地址分配将基于网络匹配或分配给路由实例的第一个地址池。

注意:

本地身份验证和授权支持机箱范围最多 100 个订阅者。如果在未配置的接入配置文件 authentication-order password 中配置了订阅者,则不会进行本地身份验证,但这些订阅者将计入 100 个本地身份验证的系统限制。

要配置本地身份验证和授权:

  1. 启用本地身份验证。

    如果您只想使用本地身份验证,请配置 password 为唯一的身份验证方法。如果希望本地身份验证在方法超时时备份 RADIUS 身份验证,则必须配置 radius 为第一种方法和 password 第二种方法,如下所示:

    如果配置 password 为第一种方法,则始终接受或拒绝身份验证。无论哪种情况,都不会尝试第二种方法。

  2. 用户配置本地密码。
  3. (可选)为订阅者配置 IPv4 地址。
  4. (可选)配置地址池,为订阅者分配 IPv4 地址。
  5. (可选)配置地址池,以便为订阅者分配路由器通告 IPv6 前缀或 DHCPv6 IA_NA/128 地址。
  6. (可选)配置地址池以在本地分配委托的 IPv6 前缀。
  7. (可选)配置逻辑系统,如果需要,还可配置分配给用户的路由实例。
  8. (可选)为订阅者配置路由实例。

您可以使用以下 show 命令显示有关本地身份验证的信息:

  • show network-access aaa statistics authentication detail— 显示本地身份验证的失败统计信息。

  • show network-access requests statistics— 同时显示本地身份验证和本地重新身份验证统计信息,例如收到的请求以及成功和失败响应的数量。

  • show network-access aaa statistics re-authentication— 显示重新身份验证统计信息,但这些统计信息是通过本地身份验证和 RADIUS 聚合而来的。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
18.2R1
从 Junos OS 18.2R1 版开始,您可以为订阅者配置本地身份验证和有限本地授权。