Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用于订阅者访问的 RADIUS 服务器和参数

配置 RADIUS 服务器的参数和选项是订阅者管理配置的主要部分。定义身份验证和计费服务器后,您可以为所有 RADIUS 服务器配置选项。您还可以配置访问配置文件,以便为订阅者或订阅者组指定订阅者访问身份验证、授权和计费配置参数。配置文件设置覆盖全局设置。尽管某些选项在全局级别和访问配置文件级别都可用,但许多选项仅在访问配置文件中可用。

创建访问配置文件后,必须通过语句指定配置文件的使用 access-profile 位置;这称为附加配置文件。可以在各种级别分配访问配置文件。例如,您可以在某些位置附加访问配置文件

  • 对于路由实例,全局。

  • 在动态配置文件中。

  • 在域映射中,用于映射订阅者会话的访问选项和会话参数。

  • 在动态 VLAN 和动态堆叠 VLAN 的接口上。

  • 对于具有静态配置接口以进行动态服务调配的用户,则在接口上或用户组中。

  • 在 DHCP 中继代理和 DHCP 客户端或订阅者的 DHCP 本地服务器上。

由于可以在多个级别附加访问配置文件,因此最具体的访问配置文件优先于任何其他配置文件分配,以避免冲突。除非附加配置文件,否则身份验证和计费不会运行。

RADIUS 身份验证和计费服务器定义

使用 RADIUS 进行订阅者管理时,必须定义一个或多个外部 RADIUS 服务器,路由器要与之通信以进行订阅者身份验证和计费。除了指定服务器的 IPv4 或 IPv6 地址外,您还可以配置用于确定路由器如何与指定服务器交互的选项和属性。

您可以在层次结构级别、[edit access profile name radius-server]层次结构级别或两个级别定义 RADIUS 服务器和连接选项[edit access radius-server]

注意:

AAA进程(authd)确定要使用的服务器定义,如下所示:

  • 当 RADIUS 服务器定义仅 [edit access radius-server]存在于 中时,authd 将使用这些定义。

  • 当 RADIUS 服务器定义仅存在于访问配置文件中时,authd 将使用这些定义。

  • 当 RADIUS 服务器定义同时 [edit access radius-server] 存在于访问配置文件中时,authd 仅使用访问配置文件定义。

要使用 RADIUS 服务器,必须在访问配置文件中将其指定为身份验证服务器和/或计费服务器。对于服务器,无论它们是在访问配置文件中还是在 [edit access radius-server] 层次结构级别上定义,都必须为服务器执行此作。

要定义 RADIUS 服务器并指定路由器与服务器的交互方式,请执行以下作:

注意:

此过程仅 [edit access radius-server] 显示层次结构级别。您可以选择在层次结构级别配置 [edit access profile profile-name] radius-server] 其中任何参数。除了全局设置之外,还可以执行此作,也可以代替全局设置执行此作。应用配置文件时,配置文件设置将覆盖全局配置。
  1. 指定 RADIUS 服务器的 IPv4 或 IPv6 地址。
  2. (可选)配置 RADIUS 服务器计费端口号。
  3. (可选)配置路由器用于联系 RADIUS 服务器的端口号。
  4. 配置本地路由器传递给 RADIUS 客户端所需的密钥(密码)。用引号括起来的机密可以包含空格。
  5. (可选)配置 RADIUS 服务器可以维护的最大未完成请求数。未完成的请求是 RADIUS 服务器尚未响应的请求。
  6. 配置 RADIUS 服务器的源地址。发送到 RADIUS 服务器的每个 RADIUS 请求都使用指定的源地址。源地址是在其中一个路由器接口上配置的有效 IPv4 或 IPv6 地址。
  7. (可选)为身份验证和计费消息配置重试和超时值。
    1. 配置路由器在未收到响应时尝试联系 RADIUS 服务器的次数。
    2. 配置路由器在重试联系之前等待从 RADIUS 服务器接收响应的时间。
    注意:

    最大重试时长(重试次数乘以超时时长)不能超过2700秒。如果配置更长的持续时间,则会显示错误消息。
    注意:

    timeout 设置retry同时适用于身份验证和计费消息,除非同时accounting-retry配置了语句和accounting-timeout语句。在这种情况下,和retrytimeout设置仅适用于身份验证消息。
  8. (可选)为会计消息配置重试和超时值,与身份验证消息的设置分开。
    注意:

    您必须同时配置 the accounting-retry 和 the accounting-timeout 语句。否则,将忽略您配置的值,取而代之的是使用 and retry timeout 语句配置的值。
    1. 配置路由器在未收到响应时尝试向 RADIUS 计费服务器发送计费消息的次数。
    2. 配置路由器在重试请求之前等待从 RADIUS 计费服务器接收响应的时间。
  9. (选答)将路由器配置为与 RADIUS 服务器联系,以进行逻辑线路识别 (LLID) 预身份验证请求。请参阅 RADIUS 逻辑线路识别
  10. (选答)配置路由器监控来自指定服务器的动态 (CoA) 请求的端口。请参阅 使用 RADIUS 进行动态服务管理

配置适用于所有 RADIUS 服务器的选项

您可以配置适用于全球所有 RADIUS 服务器的 RADIUS 选项。

要全局配置 RADIUS 选项:

  1. 指定要配置 RADIUS 选项。
  2. (可选)配置将 RADIUS 中期更新请求发送到服务器的速率。
  3. (可选)配置路由器向 RADIUS 服务器发送临时记帐更新时所配置的更新间隔允许的最大偏差。容差相对于配置的更新间隔。

    例如,如果容差设置为 60 秒,则路由器发送临时记帐更新的时间不早于配置的更新间隔 30 秒。当订阅者登录时,第一个临时会计更新最多可以提前 30 秒发送(平均提前 15 秒)。

    可以在层次结构级别使用 [edit access profile profile-name accounting] update-interval 语句配置更新间隔。

  4. (可选)配置路由器每秒可全部发送到所有已配置 RADIUS 服务器的请求数。通过限制从路由器到 RADIUS 服务器的请求流,可以防止 RADIUS 服务器被请求淹没。
  5. (可选)配置路由器在服务器无法访问后在重新检查连接之前等待的秒数。如果路由器在恢复间隔到期时到达服务器,则根据服务器列表的顺序使用服务器。
    注意:

    您还可以在访问配置文件中配置 以 revert-interval 覆盖此全局值。请参阅 配置用于与 RADIUS 服务器交互的访问配置文件选项
  6. (可选)配置尚未将无响应的 RADIUS 身份验证服务器视为无法访问或关闭的时间段的持续时间。可以根据是要更快地将身份验证请求重定向到另一台服务器,还是为无响应的服务器提供更多时间来恢复和响应,从而改变该期限。

    有关详细信息,请参阅 配置超时宽限期以指定 RADIUS 服务器何时被视为关闭或无法访问

  7. (可选)配置一个在网络中的所有 MX 系列路由器中唯一的 NAS-Port 值。您可以配置仅在路由器内唯一的 NAS 端口值,或者在网络中的不同 MX 路由器中配置唯一的值。

    更多信息,请参阅为订阅者启用唯一 NAS 端口属性 (RADIUS 属性 5)。

配置超时宽限期以指定何时将 RADIUS 服务器视为已关闭或无法访问

当 RADIUS 身份验证服务器未能响应给定身份验证请求的任何尝试并超时时时,authd 会记录时间以供参考,但不会立即将服务器标记为关闭(如果其他服务器可用)或无法访问(如果它是唯一配置的服务器)。相反,可配置的宽限期计时器从参考时间开始。如果服务器在宽限期到期之前响应后续请求,则宽限期将被清除。

在宽限期内,服务器不会被标记为关闭或无法访问。每次服务器对该服务器的后续请求超时时,authd 都会检查宽限期是否已过期。当检查确定宽限期已过期且服务器仍未响应请求时,服务器将被标记为无法访问或关闭。

使用较短的宽限期可以让您更快地放弃无响应的服务器,并将身份验证请求定向到其他可用服务器。较长的宽限期使服务器有更多响应的机会,并可能避免不必要地放弃资源。如果只有一台或少量配置的服务器,可以指定更长的宽限期。

要配置无响应的 RADIUS 服务器未被标记为无法访问或关闭的宽限期:

  • 指定宽限期的持续时间。

配置用于与 RADIUS 服务器交互的访问配置文件选项

您可以使用访问配置文件指定路由器在与 RADIUS 身份验证和计费服务器通信以进行订阅者访问时使用的选项。此过程介绍仅在访问配置文件中可用的选项。有关访问配置文件和全局级别可用的选项,请参阅 RADIUS 服务器和订阅者访问参数

要配置 RADIUS 身份验证和计费服务器选项,请执行以下作:

  1. 指定要配置 RADIUS 选项。
  2. (可选)配置路由器用于识别计费会话的格式。标识符可以采用以下格式之一:

    • decimal- 默认格式。例如, 435264

    • description—格式为, jnpr interface-specifier:subscriber-session-id。例如, jnpr fastEthernet 3/2.6:1010101010101

  3. (可选)配置路由器在 RADIUS 属性 31 (Calling-Station-Id) 中的值之间插入的分隔符。
  4. (可选)配置路由器包含在 RADIUS 属性 31 (Calling-Station-Id) 中的信息。

    有关详细信息,请参阅使用 附加选项配置呼叫站 ID

  5. (可选)将路由器配置为使用可选行为,即将 NAS 生成的随机质询插入 Access-Request 数据包的请求验证器字段,而不是将随机质询作为 Access-Request 数据包中的 CHAP-Challenge 属性(RADIUS 属性 60)发送。此可选行为要求质询的值必须为 16 个字节;否则,将忽略该语句,并将质询作为 CHAP-Challenge 属性发送。
  6. (可选)配置了多个服务器时,路由器用于访问 RADIUS 身份验证和计费服务器的方法:

    • direct- 默认方法,其中没有负载平衡。配置的第一台服务器是主服务器;服务器将按配置顺序进行访问。如果主服务器无法访问,路由器将尝试访问第二个配置的服务器,依此类推。

    • round-robin— 通过在配置的 RADIUS 服务器列表中轮换路由器请求来提供负载平衡的方法。选择访问的服务器将根据上次使用的服务器进行轮换。列表中的第一台服务器被视为第一个身份验证请求的主服务器,但对于第二个请求,配置的第二台服务器被视为主服务器,依此类推。使用此方法,所有配置的服务器平均接收的请求数量大致相同,因此无需单个服务器处理所有请求。

      注意:

      当轮询列表中的 RADIUS 服务器变得无法访问时,轮询列表中的下一个可访问服务器将用于当前请求。同一服务器也用于下一个请求,因为它位于可用服务器列表的顶部。因此,在服务器发生故障后,使用的服务器会占用两台服务器的负载。

    • 要配置路由器用于访问 RADIUS 计费服务器的方法:

    • 要配置路由器用于访问 RADIUS 身份验证服务器的方法,请执行以下作:

  7. (可选)将路由器配置为在 CoA作无法将请求的更改应用于客户端配置文件动态变量时使用可选行为。

    可选行为是,订阅者管理不会对 CoA 请求中的客户端配置文件动态变量应用任何更改,然后使用 NACK 进行响应。默认行为是,订阅者管理不会应用不正确的更新,而是会将其他更改应用于客户端配置文件动态变量,然后通过 ACK 消息进行响应。

  8. (可选)将路由器配置为使用物理端口类型 来 virtual 对客户端进行身份验证。端口类型在 RADIUS 属性 61 (NAS-Port-Type) 中传递。默认情况下,路由器在 RADIUS 属性 61 中传递端口类型 ethernet
    注意:

    如果在同一访问配置文件中包含 nas-port-type 语句,则此语句优先于 nas-port-type 语句。
  9. (可选)指定从路由器传递给 RADIUS 的接口说明中排除的信息,以便包含在 RADIUS 属性 87 (NAS-Port-ID) 中。默认情况下,接口说明包括适配器、通道和子接口信息。
  10. (可选)对于双栈 PPP 用户,请在按需 IP 地址分配期间发送的访问请求和为报告地址更改而发送的临时计费消息中包括 IPv4 释放控制 VSA (26–164)。

    (可选)配置将消息发送至 RADIUS 服务器时包含在 IPv4-Release-Control VSA (26–164) 中的消息

    当未配置按需 IP 地址分配或取消分配时,此语句的配置无效。

  11. (可选)将瞻博网络接入线路 VSA 添加到订阅者的 RADIUS 身份验证和计费请求消息中。如果路由器尚未从接入节点接收和处理相应的 ANCP 属性,则 AAA 仅在这些 RADIUS 消息中提供以下内容:

    • 下游计算 QoS 速率 (IANA 4874, 26-141) — 默认配置的咨询传输速度。

    • Upstream-Calculated-QoS-Rate (IANA 4874, 26-142) — 默认配置的咨询接收速度。

    从 Junos OS 19.2R1 版开始,该 juniper-access-line-attributes 选项取代了该 juniper-dsl-attributes 选项。为了向后兼容现有脚本,该 juniper-dsl-attributes 选项将重定向到新 juniper-access-line-attributes 选项。我们建议您使用 juniper-access-line-attributes

    注意:

    juniper-access-line-attributes 选项向后兼容 Junos OS 19.1 或更早版本。这意味着,如果您在 Junos OS 19.2 或更高版本中配置 juniper-access-line-attributes 了选项,则必须执行以下步骤才能降级到 Junos OS 19.1 或更早版本:

    1. 从包含该选项的所有访问配置文件中删除该 juniper-access-line-attributes 选项。

    2. 执行软件降级。

    3. 将该选项添加到 juniper-dsl-attributes 受影响的访问配置文件。
  12. (可选)配置客户端 RADIUS 属性 32 (NAS 标识符)的值,用于身份验证和计费请求。
  13. (可选)将 RADIUS 客户端配置为使用 RADIUS 属性 5 (NAS-Port) 的扩展格式,并指定 NAS-Port 属性中字段的宽度,该属性将指定用于对用户进行身份验证的 NAS 的物理端口号。

    • 对于以太网用户:

    • 对于 ATM 用户:

  14. (可选)配置路由器在 RADIUS 属性 87 (NAS-Port-Id) 中的值之间插入的分隔符。
  15. (可选)配置路由器包含在 RADIUS 属性 87 (NAS-Port-Id) 中的可选信息。您可以指定一个或多个选项以默认顺序显示。或者,您可以指定选项及其出现顺序。这些顺序是互斥的,如果配置的 NAS-Port-ID 包含两种类型顺序的值,则配置将失败。

    有关详细信息,请参阅 使用附加选项配置 NAS 端口 ID配置可选值在 NAS 端口 ID 中的显示顺序

  16. (可选)配置 RADIUS 属性 61 (NAS-Port-Type) 中包含的端口类型。这指定路由器用于对用户进行身份验证的端口类型。
    注意:

    如果在同一访问配置文件中配置 , ethernet-port-type-virtual 则忽略此语句。
  17. (可选)配置 LAC 以覆盖在 L2TP 呼叫号码 AVP 22 中发送的值的配置呼叫站 ID 格式。您可以覆盖呼叫站 ID 格式,并将 LAC 配置为使用 PADR 数据包中从 L2TP 客户端接收的 ACI、ARI 或 ACI 和 ARI。您还可以指定要在 AVP 字符串的组件之间使用的分隔符,以及在 PADR 数据包中未收到配置的覆盖组件时使用的回退值。
    注意:

    有关更多信息,请参阅 覆盖主叫号码 AVP 的呼叫站 ID 格式
  18. (可选)使用会话的 LAC 端点 IP 地址值(如果会话数据库中存在)覆盖 LNS 的 RADIUS NAS-IP-Address 属性 (4) 值。如果不存在,则使用原始属性值。
  19. (可选)如果 LAC NAS 端口信息已传送到 Cisco Systems NAS 端口信息 AVP (100) 中的 LNS,则使用会话数据库中的值覆盖 RADIUS NAS 端口属性 (5) 的值。如果不存在,则使用原始属性值。
  20. (可选)如果 LAC NAS 端口信息已传送到 Cisco Systems NAS 端口信息 AVP (100) 中的 LNS,则使用会话数据库中的值覆盖 RADIUS NAS-Port-Type 属性 (61) 的值。如果不存在,则使用原始属性值。
  21. (可选)在 L2TP 呼叫号码 AVP 22 中使用该语句配置要使用的字符串而不是呼叫站 ID 时,为远程电路 ID 字符串 remote-circuit-id-format 配置分隔符。如果为远程电路 ID 格式配置了多个值,则分隔符将用作生成的远程电路 ID 字符串中串联值之间的分隔符。
    注意:

    您必须为呼叫号码 AVP 中使用的远程电路 ID 格式配置 override calling-circuit-id remote-circuit-id 该语句。
  22. (可选)配置要在 L2TP 呼叫号码 AVP 22(配置的呼叫站 ID 或默认底层接口)中发送的 LAC 回退值。当 LAC 未在 PPPoE 主动发现请求 (PADR) 数据包中收到使用语句配置 remote-circuit-id-format 的覆盖字符串的组件(ACI、ARI 或 ACI 和 ARI)时,将触发回退值的使用。
  23. (可选)配置覆盖 L2TP 呼叫号码 AVP 中呼叫站 ID 格式的字符串格式。您可以指定 ACI、ARI 或同时指定 ACI 和 ARI。
    注意:

    您必须为呼叫号码 AVP 中使用的远程电路 ID 格式配置 override calling-circuit-id remote-circuit-id 该语句。
  24. (可选)配置路由器在服务器无法访问后等待的秒数,然后再尝试访问服务器。如果服务器随后可访问,则按照服务器列表的顺序使用它。
    注意:

    您还可以为所有 RADIUS 服务器配置此选项。请参阅 RADIUS 服务器的配置选项
  25. (可选)配置在对用户地址族的激活请求进行身份验证处理期间,发生与配置错误相关的服务激活失败时,新通过身份验证的用户是否可以成功登录。您可以为动态配置文件或在可扩展订阅者服务管理器 (ESSM)作脚本中配置的服务指定此行为:

    • optional-at-login— 服务激活是可选的。由于配置错误导致的激活失败不会阻止地址族的激活;它允许订阅者访问。由于配置错误以外的原因导致的服务激活失败会导致网络系列激活失败。除非另一个地址族已为订阅者激活,否则登录尝试将终止。

    • required-at-login—需要激活服务。无论出于何种原因,激活失败都会导致网络家族激活失败。除非另一个地址族已为订阅者激活,否则登录尝试将终止。

  26. (可选)指定 RADIUS 属性 5(NAS 端口)除 VLAN ID 外,还包括以太网接口上的用户的 S-VLAN ID。

使用附加选项配置呼叫站 ID

使用此部分可为 MX 系列路由器上的接入配置文件中的呼叫站 ID (RADIUS IETF 属性 31) 配置替代值。

您可以将呼叫站 ID 配置为在 [edit access profile profile-name radius options calling-station-id-format] 层次结构中以任意组合的形式包含以下一个或多个选项:

  • 代理电路标识符 (agent-circuit-id) — 接入节点上的用户接入节点和数字用户线 (DSL) 的标识符。代理电路标识符 (ACI) 字符串存储在 DHCP 流量的 DHCP 消息的 DHCP option 82 字段中,或存储在 PPPoE 流量的 PPPoE 主动发现初始化 (PADI) 和 PPPoE 主动发现请求 (PADR) 控制数据包的 DSL 论坛代理电路 ID VSA [26-1] 中。

  • 代理远程标识符 (agent-remote-id) — 发起服务请求的数字用户线接入复用器 (DSLAM) 接口上的用户标识符。对于 DHCP 流量,代理远程标识符 (ARI) 字符串存储在 DHCP option 82 字段中,或者对于 PPPoE 流量,存储在 DSL 论坛代理远程 ID VSA [26-2] 中。

  • 接口说明 (interface-description) — 接口的值。

  • 接口文本说明 (interface-text-description) — 接口的文本说明。接口文本说明可使用语句或set interfaces interface-name unit unit-number description description语句单独set interfaces interface-name description description配置

  • MAC 地址 (mac-address) — 订阅者源设备的 MAC 地址。

  • NAS 标识符 (nas-identifier) — 发起身份验证或记帐请求的 NAS 的名称。NAS标识符是RADIUS IETF属性32。

  • 堆叠 VLAN (stacked-vlan)— 堆叠 VLAN ID。

  • VLAN (vlan)— VLAN ID。

如果将呼叫站 ID 的格式配置为多个可选值,则散列字符 (#) 是路由器用作生成的呼叫站 ID 字符串中串联值之间的分隔符的默认分隔符。或者,您可以为呼叫站 ID 配置要使用的备用分隔符。以下示例显示了配置多个可选值时的输出顺序:

要配置访问配置文件以在呼叫站 ID 中提供可选信息:

  1. 指定要配置的访问配置文件。
  2. 指定要配置 RADIUS 选项。
  3. 指定要用作呼叫站 ID 中串联值之间的分隔符的非默认字符。

    默认情况下,订阅者管理使用散列字符 (#) 作为包含多个可选值的 Calling-Station-ID 字符串中的分隔符。

  4. 配置用于身份验证和计费请求的 NAS 标识符(RADIUS 属性 32)值。
  5. 指定要配置呼叫站 ID 的格式。
  6. (可选)在 Calling-Station-ID 中包含接口文本说明。
  7. (可选)在 Calling-Station-ID 中包括接口描述值。
  8. (可选)在 Calling-Station-ID 中包含代理电路标识符。
  9. (可选)在呼叫站 ID 中包含座席远程标识符。
  10. (可选)在 Calling-Station-ID 中包括配置的 NAS 标识符值。
  11. (可选)在 Calling-Station-ID 中包含堆叠 VLAN ID。
  12. (可选)在呼叫站 ID 中包含 VLAN ID。
  13. (可选)在呼叫站 ID 中包含 MAC 地址。

示例:呼叫站 ID 在接入配置文件中带有附加选项

以下示例创建名为 retailer01 的访问配置文件,用于配置一个呼叫站 ID 字符串,其中包含 NAS 标识符 ()、fox接口描述、代理电路标识符和代理远程标识符选项。

生成的 Calling-Station-ID 字符串的格式如下:

fox*ge-1/2/0.100:100*as007*ar921

其中:

  • NAS 标识符值为 fox

  • 呼叫站 ID 分隔符为 * (星号)。

  • 接口描述值为 ge-1/2/0.100:100

  • 代理电路标识符值为 as007

  • 代理远程标识符值为 ar921

考虑一个示例,其中配置了所有选项,但代理电路 ID、代理远程 ID 或堆叠 VLAN 标识符没有可用的值。其他值如下:

  • NAS 标识符 — Solarium

  • 接口说明—ge-1/0/0.1073741824:101

  • 接口文本说明—example-interface

  • MAC 地址—00:00:5E:00:53:00

  • VLAN 标识符 — 101

这些值将产生以下呼叫站 ID:

从 RADIUS 消息过滤 RADIUS 属性和 VSA

在 RADIUS 消息中接收的标准属性和供应商特定属性 (VSA) 优先于内部调配的属性值。过滤属性包括选择在访问接受数据包中 收到某些属性 时忽略这些属性,以及 排除 某些属性不发送到 RADIUS 服务器。忽略从 RADIUS 服务器接收的属性可以改用本地调配的值。例如,从发送中排除属性很有用,例如,对于在订阅服务器的生存期内不会更改的属性。它使您能够在不丢失信息的情况下减小数据包大小。

您可以指定标准 RADIUS 属性和 VSA,当路由器或交换机随后在 Access-Accept 消息中收到这些属性和 VSA 时RADIUS它们会 忽略 这些属性和 VSA。您还可以指定路由器或交换机从指定的 RADIUS 消息类型中 排除 的属性和 VSA。排除意味着路由器或交换机在其发送到 RADIUS 服务器的指定消息中不包含该属性。

从 Junos OS 18.1R1 版开始,您可以分别指定标准属性编号或 IANA 分配的供应商 ID 和 VSA 编号,从而将路由器或交换机配置为忽略或排除 RADIUS 标准属性和 VSA。使用这种灵活的配置方法,您可以将平台支持的任何标准属性和 VSA 配置为忽略或排除。如果配置了不受支持的属性、供应商和 VSA,则该配置无效。

传统方法仅允许您配置语句语法包含特定选项的属性和 VSA。因此,您可以使用传统方法仅忽略可在 Access-Accept 消息中接收的所有属性的子集。

要配置路由器或交换机忽略或排除的属性,请执行以下作:

  1. 指定要在接入配置文件中配置 RADIUS。
  2. 指定要配置如何过滤 RADIUS 属性。
  3. (可选)指定您希望路由器或交换机在访问-接受消息中的属性时忽略的一个或多个属性。

    • 旧方法:为属性指定专用选项:

    • 灵活的方法:指定标准属性编号或 IANA 分配的供应商 ID 和 VSA 编号:

  4. (可选)配置您希望路由器或交换机从一个或多个指定的 RADIUS 消息类型中排除的属性。无法配置属性列表,但可以为每个属性指定消息类型列表。

    • 旧方法:为属性和消息类型指定专用选项:

    • 灵活方法:指定标准属性编号或 IANA 分配的供应商 ID、VSA 编号和消息类型:

以下示例比较了传统和灵活的配置方法,以忽略标准 RADIUS 属性 Framed-IP-Netmask (9) 和瞻博网络 VSA,Ingress-Policy-Name (26-10) 和 Egress-Policy-Name (26-11)。

  • 原有方法:

  • 灵活的方法:

以下示例比较了传统和灵活的配置方法,以排除标准 RADIUS 属性 Framed-IP-Netmask (9) 和瞻博网络 VSA、Ingress-Policy-Name (26-10) 和 Egress-Policy-Name (26-11)。

  • 原有方法:

  • 灵活方法:指定标准属性编号或 IANA 分配的供应商 ID、VSA 编号和消息类型:

如果在同一配置文件中指定具有两种方法的属性,会发生什么情况?有效配置是两种方法的逻辑或。请考虑以下标准属性 accounting-delay-time (41) 的示例:

结果是从所有四种消息类型中排除该属性:Accounting-Off、Accounting-On、Accounting-Start 和 Accounting-Stop。效果与使用以下任一配置时相同:

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
18.1R1
从 Junos OS 18.1R1 版开始,您可以分别指定标准属性编号或 IANA 分配的供应商 ID 和 VSA 编号,从而将路由器或交换机配置为忽略或排除 RADIUS 标准属性和 VSA。