Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

options (Access Profile)

構文

階層レベル

説明

RADIUS認証サーバーとアカウンティングサーバーが使用するオプションを設定します。

オプション

accounting-session-id-format

(EXシリーズ、MXシリーズのみ)ルーターまたはスイッチがアカウンティング セッションの識別に使用する形式を設定します。デフォルト decimalは です。

  • 値:

    • 10 進数—10 進数形式を使用します。

    • 説明 - ジェネリック形式を次の形式で使用します。 jnpr interface-specifier:subscriber-session-id
calling-station-id-delimiter

(MX シリーズ、T シリーズのみ)Junos OS Release 13.1以降では、ルーターがCalling-Station-ID(RADIUS IETF 属性31)文字列の連結された値間の区切り文字として使用する文字を指定します。ルーターは、 ステートメントで calling-station-id-format 複数の値を設定する場合に区切り文字を使用します。デフォルトはハッシュ (#) 文字です。

  • 値:

    • delimiter-character- 区切り文字に使用する文字。区切り文字は引用符(" ")で囲む必要があります。
chap-challenge-in-request-authenticator

(MXシリーズのみ)Junos OS リリース 15.1 以降では、チャレンジ値が 16 バイトの場合、NAS によって生成されたランダム チャレンジを Access-Request パケットの Request Authenticator フィールドに挿入するプロセスを設定します authd 。ステートメントを有効に chap-challenge-in -request-authenticator し、ランダムチャレンジの長さが16バイトでない場合、 はステートメントを無視し、デフォルトの動作を使用します。これにより、 authd ランダムチャレンジがCHAP-Challenge属性(RADIUS属性60)としてAccess-Requestパケットに挿入されます。
client-accounting-algorithm

(EXシリーズ、MXシリーズ、SRX3xx、SRX550HMのみ)EXシリーズスイッチのJunos OSリリース13.2X50-D10以降、ルーターがRADIUSアカウンティングサーバーへのアクセスに使用するアクセス方法を設定します。デフォルト direct は オプションです。デフォルトの動作は、この設定オプションをサポートしないデバイスに適用されます。

  • 値:

    • 直接 - 直接方法を使用します。

    • ラウンドロビン - ラウンドロビン方式を使用します。
client-authentication-algorithm

(EXシリーズ、M Series、MXシリーズのみ)EXシリーズスイッチのJunos OSリリース13.2X50-D10以降、複数のサーバーが構成されている場合に、認証システムがRADIUS認証サーバーにアクセスするために使用する方法を構成します。最初に、RADIUS クライアントは RADIUS 認証サーバーまたはアカウンティング サーバーに要求を送信します。オーセンティケータとして機能するルーターまたはスイッチは、サーバーからの応答を待ってから別の要求を送信します。

クライアントに対して複数のRADIUSサーバー接続が構成されている場合、オーセンティケータは構成された順序で異なるサーバーに到達しようとします。最初のRADIUSサーバーから応答がない場合、オーセンティケータは次のRADIUSサーバーに到達しようとします。このプロセスは、クライアントにアクセスが許可されるか、構成済みのサーバーがなくなるまで繰り返されます。

directメソッドが構成されている場合、認証システムは常にリスト内の最初のサーバーをプライマリ サーバーとして扱います。オーセンティケータは、最初のサーバーへの到達に失敗した場合にのみ、2 番目のサーバーに移動します。round-robinこの方法が設定されている場合、最初に選択されたサーバーは、最後に使用されたサーバーに基づいてローテーションされます。リストの最初のサーバーは、最初の認証要求ではプライマリとして扱われますが、2 番目の要求では、設定された 2 番目のサーバーがプライマリとして扱われ、以下同様に続きます。この方法では、構成されたすべてのサーバーが平均してほぼ同じ数の要求を受信するため、1 つのサーバーがすべての要求を処理する必要はありません。

メモ:

アクセス方法は round-robin 、EXシリーズスイッチではサポートされていません。

  • 既定: デフォルト direct は オプションです。

  • 値:

    • 直接 - ダイレクトアクセス方法を使用します。オーセンティケータは、要求ごとにリストの最初のRADIUSサーバーに接続し、最初のサーバーに失敗した場合は2番目のサーバーに接続します。

    • ラウンドロビン - ラウンドロビン方式を使用します。オーセンティケータは、最初の要求については最初のRADIUSサーバーに接続し、2番目の要求については2番目のサーバーに接続します。

coa-dynamic-variable-validation

(EXシリーズ、M Series、MXシリーズのみ)EXシリーズスイッチのJunos OSリリース13.2X50-D10以降、CoAオペレーションに適用できないクライアントプロファイル動的変数への変更が含まれている場合(存在しないフィルターの更新など)、ルーターはリクエスト内のクライアントプロファイル動的変数に変更を適用せず、NACKメッセージで応答することを指定します。

  • 既定: このステートメントを設定しない場合、ルーターは誤った変数更新を適用しませんが、クライアントプロファイルの動的変数にその他の変更を加え、ACKメッセージで応答します。
ethernet-port-type-virtual

(EXシリーズ、M Series、MXシリーズのみ)ルーターまたはスイッチがクライアントの認証に使用する物理ポートタイプを指定します。ルーターまたはスイッチは、デフォルトで の ethernet ポートタイプをRADIUS属性61(NAS-Port-Type)に渡します。このステートメントは、ポート virtualタイプを指定します。

メモ:

同じアクセスプロファイルに両方のステートメントを含める場合、このステートメントは ステートメントよりも nas-port-type 優先されます。

このオプションは client-authentication-algorithm 、SRXシリーズのデバイスでは使用できません。複数のRADIUS認証サーバーが構成されている場合、直接アクセス方法が使用されます。
access-loop-id-local

エージェントリモートIDとエージェント回線IDがクライアントデータベースに存在しない場合に、これらの値がローカルで生成されることを指定します。

ip-address-change-notify

(MXシリーズのみ)Junos OS リリース 13.1 以降、デュアルスタック PPP 加入者のオンデマンドアドレス割り当てでは、オンデマンド IP アドレス割り当て中に送信されるアクセス要求と、アドレス変更を報告するために送信される中間アカウンティングメッセージに、BNG の IPv4-Release-Control VSA(26–164)を含めることを指定します。このステートメントの構成は、オンデマンドIPアドレスの割り当てまたは割り当て解除が設定されていない場合、効果はありません。

オプションで、RADIUSサーバーに送信される際にVSAに含まれるメッセージを設定します。

  • 既定: この機能はデフォルトでは無効になっています。

  • 値: message- VSA メッセージ。

  • 範囲: 最大 32 文字です。
juniper-access-line-attributes

加入者のRADIUS認証およびアカウンティング要求メッセージにジュニパーネットワークスのアクセス回線VSAを追加するようにAAAを設定します。ルーターがアクセス ノードから対応する ANCP 属性を受信して処理していない場合、AAA はこれらの RADIUS メッセージで次のもののみを提供します。

  • ダウンストリーム計算 QoS レート(IANA 4874、26-141)— デフォルトで設定されたアドバイザリ送信速度。

  • アップストリーム計算-QoS-Rate(IANA 4874、26-142)- デフォルトで設定されたアドバイザリ受信速度。

メモ:

Junos OS リリース 19.2R1 以降、 juniper-access-line-attributes オプションは オプションに置き換わります juniper-dsl-attributes 。これらのオプションの違いは、ANCP ポート ステータス メッセージで受信した DSL TLV のみがサポートされていることです juniper-dsl-attributes 。このオプションは juniper-access-line-attributes 、DSL TLVに加えてPON TLVもサポートしており、将来のアクセステクノロジーに合わせて拡張可能です。

既存のスクリプトとの後方互換性を保つため、 オプションは juniper-dsl-attributes 新しい juniper-access-line-attributes オプションにリダイレクトされます。 juniper-access-line-attributesを使用することをお勧めします。
メモ:

このオプションは juniper-access-line-attributes 、Junos OSリリース19.1以前のリリースとの後方互換性はありません。つまり、Junos OSリリース19.2以降のリリースでオプションを設定 juniper-access-line-attributes した場合、Junos OSリリース19.1以前のリリースにダウングレードするには、次の手順を実行する必要があります。

  1. juniper-access-line-attributesオプションを含むすべてのアクセスプロファイルからオプションを削除します。

  2. ソフトウェア ダウングレードを実行します。

  3. juniper-dsl-attributes影響を受けるアクセスプロファイルにオプションを追加します。

  • 既定: ジュニパーネットワークスのアクセス回線VSAは、RADIUS認証およびアカウンティングリクエストメッセージに追加されません。ただし、DSLフォーラムVSAが利用可能な場合、デフォルトでRADIUSメッセージに追加されます。
nas-identifier

(EXシリーズ、MXシリーズ、SRXシリーズのみ)クライアントのRADIUS属性32(NAS識別子)の値を設定します。この属性は、認証およびアカウンティング要求に使用されます。このステートメントは、SRX300、SRX320、SRX340、SRX345、および SRX550M シリーズ デバイス向けの Junos OS リリース 15.1X49-D110 で導入されました。

  • 値: identifier-value- 認証およびアカウンティング要求に使用する文字列。

  • 範囲: 1 から 64 文字。
nas-port-id-delimiter

(MXシリーズのみ)Junos OS リリース 11.4 以降では、NAS-Port-ID 文字列の連結された値間の区切り文字としてルーターが使用する文字を指定します。ルーターは、 ステートメントで nas-port-id-format 複数の値を設定する場合に区切り文字を使用します。デフォルトはハッシュ (#) 文字です。このステートメントは、EXシリーズスイッチのJunos OSリリース13.2X50-D10で導入されました。

  • 値: delimiter-character- 区切り文字に使用される文字。
remote-circuit-id-delimiter

(MXシリーズのみ)MXシリーズのJunos OSリリース13.3R1以降、L2TP発信者番号AVP 22の発信側ステーションIDの代わりに使用する文字列を設定するためにステートメントを使用する場合は remote-circuit-id-format 、リモート回線ID文字列に区切り文字を設定します。リモート回線IDフォーマットに複数の値が設定されている場合は、結果として得られるリモート回線ID文字列の連結された値間の区切り文字として、区切り文字が使用されます。デフォルトはハッシュ (#) 文字です。

  • 値: delimiter- リモート回線 ID 文字列のコンポーネント間に使用される区切り文字。
remote-circuit-id-fallback

(MXシリーズのみ)MXシリーズのJunos OSリリース13.3R1以降、L2TP発信者番号AVP 22(設定された発信ステーションIDまたはデフォルトの基盤となるインターフェイス)で送信するLACのフォールバック値を設定します。フォールバック値の使用は、 ステートメントで remote-circuit-id-format 設定した上書き文字列のコンポーネント(ACI、ARI、ACI と ARI の両方)が PPPoE アクティブ検出要求(PADR)パケット内の LAC によって受信されない場合にトリガーされます。

  • 値:

    • 設定された発信側ステーション ID:発信者番号 AVP で設定された発信側ステーション ID を送信します。

    • default:発信者番号 AVP の基礎となるインターフェイス値を送信します。
remote-circuit-id-format

(MXシリーズのみ)MXシリーズのJunos OSリリース13.3R1以降、L2TPセッションが確立されているときに、LACからICRQパケットのLNSに送信された発信者番号AVP 22の発信者番号AVP ID形式を上書きする文字列の形式を設定します。ACI、ARI、またはACIとARIの両方を指定できます。このステートメントにより、AVP 22値をRADIUS発信ステーションID属性(31)から切り離すことができます。ステートメントを使用して calling-station-id-format AVP 22 を設定する場合、AVP 22 と発信ステーション ID 属性の値は同じです。

メモ:

発信者番号 AVP で使用するリモート回線 ID 形式に対して、 override calling-circuit-id remote-circuit-id ステートメントを設定する必要があります。

  • 値:

    • agent-circuit-id:加入者のアクセス ノードとアクセス ノード上のデジタル加入者線(DSL)を一意に識別する ACI 文字列の使用を指定します。PPPoE トラフィックの場合、ACI 文字列は PPPoE アクティブ検出開始(PADI)および PPPoE アクティブ検出要求(PADR)制御パケットの DSL Forum Agent-Circuit-ID VSA [26-1] にあります。

    • agent-remote-id—サービスリクエストを開始したデジタル加入者回線多重化装置(DSLAM)インターフェイスで加入者を識別するARI文字列の使用を指定します。エージェントリモート識別子(ARI)文字列は、PPPoEトラフィック用のDSLフォーラムエージェントリモートID VSA [26-2]に保存されます。
service-activation

(MXシリーズのみ)Junos OS リリース 16.2 以降では、新しく認証された加入者の authd によるファミリー アクティベーション要求の処理中に、設定エラーに関連するサービス アクティベーションが失敗した場合でも、加入者がログインできるかどうかを指定します。コンフィギュレーションエラーには、シンタックスの欠落または不正確、動的プロファイルへの参照の欠落または不完全、変数の欠落または不完全などがあります。

メモ:

この設定は、RADIUS CoAリクエスト、JSRC Push-Profile-Request(PPR)メッセージ、または加入者のセキュアポリシーによってアクティブ化されたサービスには適用されません。

と の 2 つの service-activation タイプの dynamic-profile extensible-serviceサブスクライバーログインサービスに対して個別の設定を有効にできます。動的プロファイルのタイプサービスは、 dynamic-profile [edit dynamic-profiles] 階層レベルで設定します。このプロファイルは、ブロードバンドアプリケーション向けの動的な加入者アクセスとサービスを提供するために使用されます。この extensible-service タイプは、操作スクリプトで構成され、拡張サブスクライバー・サービス・マネージャー・デーモン (essmd) によってプロビジョニングされるビジネス・サービス用です。

  • 既定:

    デフォルトの動作は、サービスタイプによって異なります。

    • サービスの場合 extensible-service : optional-at-login.

    • サービスの場合 dynamic-profile : required-at-login.

  • 値:

    • ログイン時オプション - サービスのアクティブ化はオプションです。設定エラーによる障害が発生しても、アドレスファミリのアクティブ化は妨げられません。これにより、加入者アクセスが許可されます。その他の理由で障害が発生すると、ネットワーク ファミリのアクティブ化が失敗します。サブスクライバに対して他のネットワーク ファミリがまだアクティブになっていない場合、クライアント アプリケーションはサブスクライバをログアウトします。

    • ログイン時に必要 - サービスのアクティブ化が必要です。何らかの理由で失敗すると、そのネットワークファミリーのネットワークファミリーアクティブ化要求が失敗します。サブスクライバに対して他のネットワーク ファミリがまだアクティブになっていない場合、クライアント アプリケーションはサブスクライバをログアウトします。
vlan-nas-port-stacked-format

(MXシリーズのみ)RADIUS属性5(NASポート)を設定して、イーサネットインターフェイス上の加入者向けに、VLAN IDに加えてS-VLAN IDを含めます。

残りのステートメントについては、個別に説明します。詳細については、CLI エクスプローラーでステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。

必要な権限レベル

admin:設定でこのステートメントを表示します。

admin-control—このステートメントを設定に追加します。

リリース情報

Junos OSリリース9.1で導入されたステートメント。

juniper-dsl-attributes Junos OS リリース 11.4 で導入されました。

nas-port-id-delimiter Junos OS リリース 11.4 で導入されました。EXシリーズスイッチのJunos OSリリース13.2X50-D10で導入されたステートメント。

calling-station-id-delimiter Junos OS リリース 13.1 で導入されました。

ip-address-change-notify Junos OS リリース 13.1 で導入されました。

coa-dynamic-variable-validation、 、 client-authentication-algorithmおよび client-accounting-algorithm EX シリーズ スイッチの Junos OS リリース 13.2X50-D10 で導入されました。

remote-circuit-id-delimiter、 、 remote-circuit-id-fallbackおよび remote-circuit-id-format MX シリーズの Junos OS リリース 13.3R1 で導入されました。

chap-challenge-in-request-authenticator Junos OS リリース 15.1 で導入されました。

nas-identifier SRX300、SRX320、SRX340、SRX345、および SRX550M シリーズ デバイス向けの Junos OS リリース 15.1X49-D110 で導入されました。

service-activation Junos OS リリース 16.2 で導入されました。

juniper-access-line-attributes Junos OSリリース19.2R1で導入されました。

関連ドキュメント