- play_arrow 用于订阅者管理的 AAA
- play_arrow 用于订阅者管理的 AAA
- play_arrow 用于订阅者管理的 RADIUS
- play_arrow 用于订阅者管理的域映射
- play_arrow AAA 测试和故障排除
- play_arrow RADIUS 字典文件
-
- play_arrow 用于订阅者管理的 DHCP 和 DHCPv6
- play_arrow 用于订阅者管理的 DHCP
- DHCP 概述
- 用于订阅者身份验证和计费参数的 DHCP 访问配置文件
- 默认 DHCP 本地服务器和 DHCP 中继配置设置的覆盖
- 延迟 DHCP 向负载平衡 DHCP 服务器提供和播发响应
- DHCP 选项和选择性流量处理
- 使用 DHCP Option 82 信息
- DHCP 订阅者的默认服务
- DHCP 客户端属性和地址分配
- IP 地址的 DHCP 租用时间
- DHCP 租约查询方法
- 使用外部 AAA 身份验证服务的 DHCP 客户端身份验证
- 从 RADIUS 服务器接收 DHCP 选项
- 接口组和服务器组的通用 DHCP 配置
- 每个接口的 DHCP 客户端数
- 在接口删除事件期间维护 DHCP 订阅者
- 从 DHCP 本地服务器动态重新配置客户端
- 使用 DHCP 自动注销保存 IP 地址
- DHCP 短周期保护
- DHCP 监控和管理
-
- play_arrow IPv6 订阅者管理
- play_arrow IPv6 订阅者管理
- IPv6 地址简介
- 使用 IPv4 和 IPv6 双协议栈迁移至 IPv6
- 使用 NDRA 的 IPv6 WAN 链路寻址
- 使用 DHCPv6 IA_NA的 IPv6 WAN 链路寻址
- 使用 DHCPv6 前缀委派的用户 LAN 寻址
- 使用 DHCPv6 IA_NA和 DHCPv6 前缀委派的 WAN 和 LAN 寻址
- 用户接入网络中的 IPv6 寻址设计
- DHCP 网络中的双堆栈访问模型
- PPPoE 网络中的双栈接入模型
- 在PPPoE接入网络中配置IPv4和IPv6双协议栈的最佳实践
- 用于使用 DHCP 的 PPPoE 接入网络的双堆栈
- 用于使用 NDRA 的 PPPoE 接入网络的双堆栈
- 数据包触发的用户服务上的 IP 多路解用接口
- 使用按需 IPv4 地址分配为双栈 PPP 用户保存 IPv4 地址
- 双堆栈订阅者监控和管理
-
- play_arrow 用于订阅者管理的 DHCPv6
- play_arrow 数据包触发的订阅者服务
- play_arrow 数据包触发的订阅者服务
-
- play_arrow 用于订阅者管理的地址分配池
- play_arrow 用于订阅者管理的地址分配池
-
- play_arrow 用于订阅者管理的 DNS 地址
- play_arrow 用于订阅者管理的 DNS 地址
-
- play_arrow M:N 订阅者冗余
- play_arrow M:N 订阅者冗余
-
- play_arrow 访问节点控制协议和用于订阅者服务的 ANCP 代理
- play_arrow 访问节点控制协议和用于订阅者服务的 ANCP 代理
-
- play_arrow 配置语句和操作命令
静态接口上的 JSRC 和订阅者
静态接口上的订阅者概述
您可以将订阅者与静态配置的接口相关联,并为这些订阅者提供动态服务激活和停用。当静态接口启动时,该事件将被视为订阅者登录。当接口宕机时,将被视为订阅者注销。
您可以将静态订阅者配置为通过 RADIUS 进行身份验证和授权。在这种情况下,RADIUS 可以通过授权变更 (CoA) 消息激活和停用服务。但是,此配置不会阻止接口启动和转发流量。此外,不会对用户接口施加授权参数。
或者,您可以使用 JSRC 为这些订阅者动态激活和停用服务。订阅者出现在会话数据库 (SDB) 中后,JSRC 可以将订阅者报告给 SAE,以便 SRC 软件随后可以管理订阅者。
以下准则适用于静态订阅者:
静态订阅者仅在以太网接口、静态多路分离接口和逻辑隧道 (PS/LT) 上的伪线接口上受支持。PS/LT 支持在 Junos OS 18.3R1 版中引入,可为流量通过 IP/MPLS 接入模式传输的静态配置用户实现完全的用户管理(相当于动态用户)。
给定接口上只能存在一个静态订阅者。
一个接口不能出现在多个组中。
无法通过动态接口创建静态订阅者。
静态订阅者旨在与 JSRC 配合使用。在[edit access profile profile-name]
层次结构级别包括语provisioning-order jsrc
句,以使 JSRC 能够按照 SRC 软件的方向处理订阅者。
如果静态订阅者的身份验证请求失败,则不可配置的 60 分钟计时器将开始倒计时。当计时器过期时,将重新发出请求。只要接口处于运行正常运行状态,此操作就会重复。
您可以通过发出 request services static-subscribers logout interface interface-name
命令来强制注销静态订阅服务器。静态订阅者也可以由 AAA 或外部策略管理器注销。在这两种情况下,在您通过发出 request services static-subscribers login interface interface-name
命令或路由器或进程重新启动来重置状态之前,不会在底层接口上进行后续登录。
您可以通过发出 request services static-subscriber logout group group-name
命令来注销接口组。随后,您可以通过发出 request services static-subscriber login group group-name
命令来登录一组接口。
无需新的 CLI 语句即可为静态订阅者配置动态配置文件。动态配置文件可以非常简单;它在登录时激活,在注销时停用。如果未配置配置文件,则会自动激活 junos-default-profile 。
在 平滑路由引擎切换 (GRES) 事件期间,将恢复活动静态订阅者,清理非活动订阅者,并继续为正在注销过程中的订阅者注销。
在[edit system services]
层次结构级别包含static-subscribers
语句以配置静态订阅服务器。在[edit system processes static-subscribers]
层次结构级别包含traceoptions
语句,以便为静态订阅者配置跟踪操作。
您可以为所有静态订阅者或特定的静态订阅者组配置访问配置文件、动态配置文件、服务配置文件和身份验证参数:
要配置为所有静态订阅者的静态订阅者触发 AAA 服务的访问配置文件,请在
[edit system services static-subscribers]
层次结构级别包含语access-profile
句。或者,在[edit system services static-subscribers group group-name]
层次结构级别包含此语句,以将配置文件应用于特定组并覆盖顶级配置。要为所有静态订阅者配置静态订阅者登录时实例化的动态配置文件,请在
[edit system services static-subscribers]
层次结构级别包含语dynamic-profile
句。或者,在[edit system services static-subscribers group group-name]
层次结构级别包含此语句,以将配置文件应用于特定组并覆盖顶级配置。不要指定创建动态接口的动态配置文件。要在全局级别和组级别为所有静态订阅者配置服务配置文件,请将
[edit system services static-subscribers group group-name] hierarchy level
语句包含在service-profile
。要为所有静态订阅者配置触发向 AAA 发送 Access-Request 消息的身份验证参数,请在
[edit system services static-subscribers]
层次结构级别包含语authentication
句。或者,在[edit system services static-subscribers group group-name]
层次结构级别包含语句,以便为特定组配置身份验证并覆盖顶级配置。如果未配置身份验证,则默认情况下,接口名称将被修改并用作订阅者会话和身份验证请求的默认用户名。
可配置的身份验证参数包括密码和用户名形成方式的详细信息。在[edit system services static-subscribers authentication]
层次结构级别包含password
语句,以便为所有静态订阅者配置身份验证密码。或者,在[edit system services static-subscribers group group-name authentication]
层次结构级别包含语句,以便为特定组配置身份验证并覆盖顶级配置。
发送到 AAA 进行身份验证的用户名必须至少包含以下属性之一:
域名
用户前缀
接口名称
逻辑系统名称
路由实例名称
要配置所有静态订阅者用户名的形成方式,请在 [edit system services static-subscribers authentication]
层次结构级别包含所需的语句: domain-name
、 user-prefix
、 logical-system-name
或 routing-instance-name
。或者,在 [edit system services static-subscribers group group-name authentication]
层次结构级别包含所需的语句,以配置特定组的用户名并覆盖顶级配置。
如果更改现有组或全局静态订阅者的身份验证配置,则更改不会影响现有静态订阅者。这些更改仅应用于提交更改后尝试的任何新登录。
组配置必须指定您希望支持静态订阅者的所有接口。在[edit system services static-subscribers group group-name]
层次结构级别包含interface
语句以指定接口。通过此语句可以指定单个接口或一系列接口。
您还必须先对这些接口进行静态配置,然后才能在这些接口上支持任何静态订阅者。您必须在与包含接口的组相同的逻辑系统和路由实例中配置静态接口。
如果更改现有接口组中包含的接口,则现有静态订阅者将自动注销,然后在您提交更改时重新注销。但是,对接口本身的配置所做的更改不会影响与该接口关联的静态订阅者的登录或注销状态。
默认情况下,同一 VLAN 逻辑接口上不支持多个订阅者。如果要支持此行为,则可以通过以下两种方式之一在单个逻辑接口上管理多个订阅者。您可以合并多个订阅者的属性,例如防火墙过滤器和 CoS 属性,也可以在新订阅者登录底层 VLAN 逻辑接口时,将当前属性替换为新订阅者的属性。
要为所有静态接口启用属性合并,请在
[edit system services static-subscribers]
层次结构级别包含aggregate-clients merge
语句。或者,在[edit system services static-subscribers group group-name]
层次结构级别包含此语句,以便为一组特定的静态接口启用属性合并并覆盖顶级配置。要为所有静态接口启用属性替换,请在
[edit system services static-subscribers]
层次结构级别包含aggregate-clients replace
语句。或者,在[edit system services static-subscribers group group-name]
层次结构级别包含此语句,以便为一组特定的静态接口启用属性替换并覆盖顶层配置。
静态接口上的订阅者优势
为 static-subscribers 提供配置服务配置文件的功能。
通过静态配置的接口为关联的订阅者提供动态服务激活。
通过 RFC 合规性提供竞争优势。
静态接口订阅者配置概述
本主题介绍通过静态接口(静态订阅者)配置订阅者的过程。
在通过静态接口配置订阅者之前,请执行以下操作:
配置要在其上创建和管理订阅者的静态接口。
创建访问配置文件以触发静态订阅者的 AAA 服务。
创建一个动态配置文件,该配置文件将在静态订阅者登录时实例化。
要配置静态订阅者,请执行以下操作:
示例:配置静态订阅服务器以进行订阅者访问
此示例显示了静态订阅者配置。
配置要用于静态订阅者的访问配置文件。
content_copy zoom_out_mapaccess { profile access5 { provisioning-order jsrc; accounting { order radius; } authentication { order radius; } } }
配置用于静态订阅者的动态配置文件。
如果未配置此配置文件,则使用默认配置文件 junos-default-profile。
配置用于对静态订阅者进行分层的静态接口。
配置在配置上下文中全局应用于所有静态订阅者的参数。
content_copy zoom_out_mapstatic-subscribers { access-profile access5; dynamic-profile dyn-profile-1; authentication { password $ABC123; username-include { user-prefix Building5; interface; logical-system-name; routing-instance-name; domain-name example.com; } } }
如果要覆盖某些静态订阅者的全局参数,请为这些订阅者创建一组静态接口,并配置参数以应用于该组。根据需要对任意数量的组重复此步骤。
content_copy zoom_out_mapstatic-subscribers { group boston { interface ge-1/0/1.1 upto ge-1/0/1.102 interface ge-1/0/1.6 exclude interface ge-1/0/1.70 upto ge-1/0/1.80 exclude access-profile boston-acs; dynamic-profile dyn-profile-2; authentication { password $ABC123; username-include { user-prefix 2ndFloor; interface; logical-system-name; routing-instance-name; domain-name example.net; } } } }
为静态订阅者事件配置跟踪选项。
content_copy zoom_out_mapstatic-subscribers { traceoptions { file filename <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; flag flag; level (all | error | info | notice | verbose | warning); no-remote-trace; } }
指定静态订阅者全局访问配置文件
指定以前创建的访问配置文件,用于为所有静态订阅者触发 AAA 服务。当为一组静态订阅者配置不同的配置文件时,可以覆盖该组的此值。
要指定用于所有静态订阅者的访问配置文件,请执行以下操作:
指定配置文件名称。
content_copy zoom_out_map[edit system services static-subscribers] user@host# set access-profile access5
指定静态订阅者全局动态配置文件
指定以前创建的动态配置文件,该配置文件将在静态订阅者登录时实例化。此配置文件用于所有静态订阅者。当为一组静态订阅者配置不同的配置文件时,可以覆盖该组的此值。
要指定用于所有静态订阅者的动态配置文件:
指定配置文件名称。
content_copy zoom_out_map[edit system services static-subscribers] user@host# set dynamic-profile dyn-profile-1
在 VLAN 逻辑接口上为所有静态订阅者启用多个订阅者
对于给定接口,仅登录一个静态订阅者(或组)。尽管我们不建议这样做,但您可能在同一接口上配置了其他类型的订阅者,例如由 DHCP 应用程序管理的 DHCP 订阅者。您可以使用该 aggregate-clients
语句扩展所有静态订阅者的动态配置文件,以使多个订阅者能够共享同一个 VLAN 逻辑接口。
您可以指定为逻辑接口合并多个订阅者的属性(例如 CoS 或防火墙)。也就是说,在接口上实例化多个不同类型订阅者的配置文件,但每个订阅者的配置文件属性将合并在一起。或者,您可以指定将当前订阅者的实例化配置文件替换为使用同一逻辑接口登录的新订阅者的配置文件。当为一组静态订阅者应用不同的配置时,可以覆盖该组的此配置。
aggregate-clients
语句不支持增强型订阅者管理。
要使多个订阅者能够为所有静态订阅者共享同一个 VLAN 逻辑接口,请执行下列操作之一:
指定合并逻辑接口的多个订阅者属性。
content_copy zoom_out_map[edit system services static-subscribers dynamic-profile dyn-profile-1] user@host# set aggregate-clients merge
指定当新用户使用同一 VLAN 逻辑接口登录网络时,将替换整个逻辑接口。
content_copy zoom_out_map[edit system services static-subscribers dynamic-profile dyn-profile-3] user@host# set aggregate-clients replace
配置静态订阅者全局身份验证密码
您可以配置一个密码,该密码包含在发送给 AAA 的 Access-Request 消息中,用于对所有静态订阅者进行身份验证。当为一组静态订阅者配置不同的密码时,可以覆盖该组的此值。
要指定用于所有静态订阅者的身份验证密码:
指定密码。
content_copy zoom_out_map[edit system services static-subscribers authentication] user@host# set password $ABC123
配置静态订阅者全局用户名
您可以配置用户名的形成方式。用户名用作创建的所有静态订阅者的用户名,这些订阅者包含在发送至 AAA 的 Access-Request 消息中,用于对所有静态订阅者进行身份验证。当为一组静态订阅者配置不同的用户名时,可以覆盖该组的此值。
用户名必须至少包含一个可能的元素。每个元素的值按特定顺序连接;生成的字符串是用户名。如果指定包含这些标记,则接口名称、逻辑系统名称、路由实例名称和 VLAN 标记都源自配置上下文。元素的顺序如下(使用默认分隔符显示):
user-prefix.interface.outer-tag–inner-tag.logical-system-name.routing-instance-name@domain-name
要为所有静态订阅者配置用户名,请执行以下操作:
请考虑以下配置:
[edit system services static-subscribers authentication username-include] user@host# set user-prefix Building5 user@host# set interface user@host# set logical-system-name user@host# set routing-instance-name user@host# set domain-name campus.example.com
在接口 ge-0/1/1.100 的缺省逻辑系统和主路由实例中配置的此示例配置将生成以下用户名:
Building5.ge-0-1-1-100.default.master@campus.example.com
现在考虑另一种配置,其中静态接口具有双标记 VLAN,外部 VLAN ID 为 4040,内部 VLAN ID 为 3000:
[edit system services static-subscribers authentication username-include] user@host# set user-prefix Floor12 user@host# set domain-name Bldg5.example.com user@host# set vlan-tags user@host# set delimiter $
此示例配置将生成以下用户名:
Floor12$4040-3000@Bldg5.example.com
即使配置了分隔符, $
外部和内部 VLAN ID 始终用 -
分隔,域名与前面的元素之间始终用 @
分隔。
创建静态订阅者组
您可以通过创建由一组静态配置的接口组成的静态订阅者组来覆盖全局应用于静态订阅者的配置。然后,您可以为组应用通用配置,其值不同于访问和动态配置文件、密码和用户名的全局值。
要为静态订阅者配置接口组,请执行以下操作:
指定静态订阅者组访问配置文件
您可以通过为一组静态订阅者指定不同的配置文件来覆盖配置的全局访问配置文件。访问配置文件会触发该静态订阅者组的 AAA 服务。
要指定用于一组静态订阅者的访问配置文件,请执行以下操作:
指定配置文件名称。
content_copy zoom_out_map[edit system services static-subscribers group boston] user@host# set access-profile boston-acs
指定静态订阅者组动态配置文件
您可以通过为一组静态订阅者指定不同的配置文件来覆盖配置的全局动态配置文件。当组中的任何静态订阅者登录时,将实例化动态配置文件。
要指定用于一组静态订阅者的动态配置文件,请执行以下操作:
指定配置文件名称。
content_copy zoom_out_map[edit system services static-subscribers group boston] user@host# set dynamic-profile dyn-profile-2
指定静态订阅者组服务配置文件
当外部策略服务器不可用时,您可以通过指定 Junos OS 17.4R1 版及更高版本的服务配置文件来分配要应用于静态订阅者会话的默认动态服务配置文件。可以在组级别和全局级别指定服务配置文件。在 中指定 service-profile
语句 [edit system services static-subscribers group group-name] hierarchy level
要指定用于一组静态订阅者的服务配置文件,请执行以下操作:
指定动态服务配置文件名称。
content_copy zoom_out_map[edit system services static-subscribers group group-name] user@host# set service-profile service-profile-name
在 VLAN 逻辑接口上为静态用户组启用多个用户
对于给定接口,仅登录一个静态用户组(或静态用户)。尽管我们不建议这样做,但您可能在同一接口上配置了其他类型的订阅者,例如由 DHCP 应用程序管理的 DHCP 订阅者。您可以使用语 aggregate-clients
句来扩展静态订阅者组的动态配置文件,以使多个订阅者能够共享同一个 VLAN 逻辑接口。
您可以指定为逻辑接口合并多个订阅者的属性(例如 CoS 或防火墙)。也就是说,在接口上实例化多个不同类型订阅者的配置文件,但每个订阅者的配置文件属性将合并在一起。或者,您可以指定将当前订阅者组的实例化配置文件替换为使用同一逻辑接口登录的新订阅者的配置文件。此配置将覆盖应用于非组成员的所有静态订阅者的配置。
要使多个订阅者能够为静态订阅者组共享同一 VLAN 逻辑接口,请执行下列操作之一:
指定合并逻辑接口的多个订阅者属性。
content_copy zoom_out_map[edit system services static-subscribers group boston dynamic-profile dyn-profile-2] user@host# set aggregate-clients merge
指定当新用户使用同一 VLAN 逻辑接口登录网络时,将替换整个逻辑接口。
content_copy zoom_out_map[edit system services static-subscribers group boston dynamic-profile dyn-profile-4] user@host# set aggregate-clients replace
配置静态订阅者组身份验证密码
您可以通过为一组静态订阅者指定不同的密码来覆盖配置的全局身份验证密码。此密码包含在发送至 AAA 的 Access-Request 消息中,用于对组中的所有静态订阅者进行身份验证。
要指定用于一组静态订阅者的身份验证密码,请执行以下操作:
指定密码。
content_copy zoom_out_map[edit system services static-subscribers group boston authentication] user@host# set password $ABC123
配置静态订阅者组用户名
您可以通过为一组静态订阅者指定不同的用户名来覆盖配置的全局用户名。用户名用作创建的一组静态订阅者的用户名,该订阅者包含在发送至 AAA 以验证该组的 Access-Request 消息中。
用户名必须至少包含一个可能的元素。每个元素的值按特定顺序连接;生成的字符串是用户名。如果指定包含这些标记,则接口名称、逻辑系统名称、路由实例名称和 VLAN 标记都源自配置上下文。元素的顺序如下(使用默认分隔符显示):
user-prefix.interface.outer-tag–inner-tag.logical-system-name.routing-instance-name@domain-name
要为一组静态订阅者配置用户名:
请考虑订阅者组的以下配置: shipping
[edit system services static-subscribers group shipping authentication username-include] user@host# set user-prefix warehouse3 user@host# set interface user@host# set logical-system-name user@host# set routing-instance-name user@host# set domain-name campus.example.com
在默认逻辑系统和路由实例 R5 中为接口 ge-0/1/2.50 配置,此示例配置将生成以下用户名:
warehouse3.ge-0-1-2-50.default.R5@campus.example.com
现在考虑对同一用户组使用不同的配置,其中静态接口具有外部 VLAN ID 为 2101 的单标记 VLAN:
[edit system services static-subscribers group shipping authentication username-include] user@host# set user-prefix warehouse3 user@host# set domain-name Bldg5.example.com user@host# set vlan-tags user@host# set delimiter %
此示例配置将生成以下用户名:
warehouse3%2101@Bldg5.example.com
即使配置了分隔符, %
域名也始终与前面的元素之间用 @
分隔。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。