sub-domain
構文
sub-domain name { aaa-logical-system name { aaa-routing-instance (default | name); } target-logical-system name { target-routing-instance (default | name); } access-profile access-profile; address-pool address-pool; dynamic-profile dynamic-profile; override-chap-password override-chap-password; override-password override-password; qualifier { vlan-id-list [ vlan-id-list ... ]; } strip-domain; strip-username (left-to-right | right-to-left); tunnel-profile tunnel-profile; using-user-password; }
説明
ドメインマップの下でサブドメインを設定できます。サブドメインを使用すると、同じドメイン内のユーザーに対して異なるアクセスプロファイル、異なるVLAN ID、またはVLAN ID範囲を選択できます。サブドメインを使用すると、ドメイン内のユーザーを柔軟に区別できます。プロファイル構成ごとに異なるサービスを提供します。
ドメインマップレベルで使用可能なオプションは、サブドメインでも使用できます。ただし、サブドメインに定義されたオプションは、他のサブドメインやドメインマップレベルのオプションから独立しています。
サブドメインの特徴
-
ドメイン内のサブドメイン構成は、ドメイン・マップ・レベルの構成よりも優先されます。
-
修飾子オプションは、サブドメインを定義するために必須です。
-
修飾子(VLAN ID)は、ドメイン内で重複することはできません。
-
ドメイン内には最大 16 個のサブドメインを設定できます。
さまざまな種類のサブドメイン構成とその動作の例を次に示します。
-
サブドメインを使用した VLAN ID 修飾子を持つドメイン内のアクセス プロファイル設定。
[edit access domain map abc.com] user@host# set access-profile A user@host# set sub-domain sub1 qualifier vlan-id-list 1 user@host# set sub-domain sub1 access-profile B user@host# set sub-domain sub2 qualifier vlan-id-list [ 11 20 29-35 100-199 ] user@host# set sub-domain sub2 access-profile C user@host# set sub-domain sub3 qualifier vlan-id-list 300-399 user@host# set sub-domain sub3 access-profile D
この設定では、VLAN ID 修飾子とサブドメインを使用して、異なるアクセス プロファイルを作成します。
-
ドメインマップを介してプロファイルにアクセスし、ドメイン設定を削除します。
[edit access domain map abc.com] user@host# set access-profile A user@host# set strip-domain user@host# set sub-domain sub1 qualifier vlan-id-list 1 user@host# set sub-domain sub1 access-profile B user@host# set sub-domain sub1 strip-domain user@host# set sub-domain sub2 qualifier vlan-id-list [ 11 20 29-35 100-199 ] user@host# set sub-domain sub2 access-profile C user@host# set sub-domain sub2 strip-domain user@host# set sub-domain sub3 qualifier vlan-id-list 300-399 user@host# set sub-domain sub3 access-profile D user@host# set sub-domain sub3 strip-domain
この設定の目的は、アクセス プロファイルの選択にドメイン マップを使用し、ドメイン名を削除することです。サブドメインごとに、VLAN IDに応じて異なるアクセスプロファイルを割り当てることができますが、すべての
strip-domain
ケースで共通のままです。サブドメインでは繰り返し設定のように見えますが、サブドメインは完全に独立しているため、修飾子を選択的に割り当てる際の柔軟性が向上します。 -
完全に独立した属性選択のためのドメインマップとサブドメイン設定。
[edit access domain map abc.com] user@host# set access-profile A user@host# set strip-domain user@host# set sub-domain sub1 qualifier vlan-id-list 1 user@host# set sub-domain sub1 access-profile B user@host# set sub-domain sub1 strip-domain user@host# set sub-domain sub2 qualifier vlan-id-list [ 11 20 29-35 100-199 ] user@host# set sub-domain sub2 access-profile C user@host# set sub-domain sub2 address-pool user@host# set sub-domain sub3 qualifier vlan-id-list 900-399 user@host# set sub-domain sub3 access-profile D user@host# set sub-domain sub3 dynamic-profile vlan-profile-9xx
同じドメインの場合、各サブドメインと非修飾ドメイン
abc.com
マップ(トップレベル)は、そのアクションを個別に定義しています。VLAN IDはサブドメインの修飾子であり、これが優先され、修飾されたサブドメインで利用可能な独立したセットで非修飾属性を上書きします。 -
空のサブドメインを設定します。
[edit access domain map abc.com] user@host# set access-profile A user@host# set strip-domain user@host# set sub-domain sub1 qualifier vlan-id-list [ 100 200-299 400-450 ]
この設定では、VLAN 範囲のセットを持つ空のサブドメインが作成されます。この設定は、VLAN IDに応じて同じドメインのユーザーを除外する例です。
サブドメイン一致の対象となるユーザーログインには、オプションは適用されません。ドメイン内の他のすべての一致しないユーザーは、非修飾のトップレベルドメインマップからオプションを取得します。
-
サブドメイン設定が無効です(サブドメイン内で重複する VLAN ID 範囲)。
[edit access domain map abc.com] user@host# set access-profile A user@host# set strip-domain user@host# set sub-domain sub1 qualifier vlan-id-list [ 100 200-299 400-450 ] user@host# set sub-domain sub1 access-profile B user@host# set sub-domain sub1 strip-domain user@host# set sub-domain sub2 qualifier vlan-id-list [ 250-300 ] user@host# set sub-domain sub2 access-profile C user@host# set sub-domain sub2 strip-domain
この設定はコミット中に拒否されます。同じドメイン マップ内の修飾子は重複できません。
このような無効なサブドメイン設定のコミットを試行しているときのエラーメッセージの例:
root@host# commit 2021-02-03 22:50:39.730422 IST: Running FIPS Self-tests Veriexec is not enforced, FIPS mode not available 2021-02-03 22:50:39.768595 IST: FIPS Self-tests Skipped [edit access domain map abc.com sub-domain sub2 qualifier] 'vlan-id-list 250-300' Range 250-300 overlaps with range 200-299 in another sub-domain under same domain error: configuration check-out failed
オプション
sub-domain name | サブドメインの名前。 |
aaa-logical-system | AAA サービスの適用に使用される論理システム。 |
aaa-routing-instance | AAA サービスを適用するために使用されるルーティング インスタンス。
|
target-routing-instance | サブスクライバコンテキストのルーティングインスタンスを指定します。
|
access-profile profile-name | アクセスプロファイルの名前。 |
address-pool | ドメインマップに関連付けられた加入者にアドレスを割り当てるために使用するアドレスプールを指定します。 |
dynamic-profile | サブドメインに関連付けられた加入者セッションに使用される動的プロファイルを指定します。 |
override-chap-password | この CHAP パスワードを認証に使用します。 |
override-password | このパスワードを認証に使用します。 |
strip-domain | ユーザー名からのドメイン名の削除を有効にします。 |
strip-username | ユーザー名からのユーザー名の削除を有効にします。
|
tunnel-profile | サブドメインに関連付けられたトンネルの定義を提供するトンネルプロファイルを指定します。 |
using-user-password | ユーザーパスワードを使用して、上書きされたCHAPパスワードを送信します。 |
必要な権限レベル
access—設定でこのステートメントを表示します。
access-control—設定にこのステートメントを追加します。
リリース情報
Junos OSリリース21.3R1で導入されたステートメント。