このページの内容

RADIUS認証とアカウンティングサーバーの定義
すべての RADIUS サーバーに適用されるオプションの設定
タイムアウト猶予期間を設定して、RADIUSサーバーがダウンまたは到達不能と見なされるタイミングを指定する
RADIUSサーバーとの対話用のアクセスプロファイルオプションの設定
追加オプションを使用した発信ステーション ID の設定
RADIUSメッセージからのRADIUS属性とVSAのフィルタリング

加入者アクセス用のRADIUSサーバーとパラメーター

RADIUSサーバーのパラメーターとオプションの構成は、加入者管理構成の主要な部分です。認証サーバーとアカウンティングサーバーを定義した後、すべてのRADIUSサーバーのオプションを設定します。また、アクセスプロファイルを設定して、加入者または加入者グループの加入者アクセス認証、承認、アカウンティング設定パラメーターを指定できます。プロファイル設定は、グローバル設定よりも上書きされます。グローバルレベルとアクセスプロファイルレベルの両方で使用可能なオプションもありますが、多くのオプションはアクセスプロファイルでのみ使用できます。

アクセスプロファイルを作成したら、 access-profile ステートメントでプロファイルを使用する場所を指定する必要があります。これをプロファイルのアタッチと呼びます。アクセスプロファイルは、さまざまなレベルで割り当てることができます。例えば、アクセスプロファイルをアタッチできる場所

ルーティングインスタンスの場合はグローバル。
動的プロファイル内。
ドメインマップでは、加入者セッションのアクセスオプションとセッションパラメーターをマッピングします。
動的VLANおよび動的スタックVLANのインターフェイス上。
動的サービスプロビジョニング用に静的に設定されたインターフェイスを持つ加入者のインターフェイス上または加入者グループ内。
DHCPクライアントまたは加入者用のDHCPリレーエージェントおよびDHCPローカルサーバー上。

アクセスプロファイルは複数のレベルでアタッチできるため、競合を避けるために、最も具体的なアクセスプロファイルが他のプロファイル割り当てよりも優先されます。プロファイルを添付しない限り、認証とアカウンティングは実行されません。

RADIUS認証とアカウンティングサーバーの定義

加入者管理に RADIUS を使用する場合、加入者の認証とアカウンティングのためにルーターが通信する外部 RADIUS サーバーを 1 つ以上定義する必要があります。サーバーのIPv4またはIPv6アドレスを指定するだけでなく、ルーターが指定されたサーバーと対話する方法を決定するオプションと属性を構成できます。

RADIUSサーバーと接続オプションは、 [edit access radius-server] 階層レベル、 [edit access profile name radius-server] 階層レベル、またはその両方で定義できます。

注:

AAAプロセス(authd)は、以下のように使用するサーバー定義を決定します。

RADIUSサーバー定義が [edit access radius-server]にのみ存在する場合、authdはそれらの定義を使用します。
RADIUSサーバー定義がアクセスプロファイルにのみ存在する場合、authdはそれらの定義を使用します。
RADIUSサーバー定義が [edit access radius-server] とアクセスプロファイルの両方に存在する場合、authdはアクセスプロファイル定義のみを使用します。

RADIUSサーバーを使用するには、アクセスプロファイルで認証サーバー、アカウンティングサーバー、またはその両方を指定する必要があります。この操作は、アクセスプロファイルまたは [edit access radius-server] 階層レベルのどちらで定義されているかに関係なく、サーバーに対して行う必要があります。

RADIUSサーバーを定義し、ルーターとサーバーの対話方法を指定するには:

注:

この手順では、 [edit access radius-server] 階層レベルのみを示しています。オプションでこれらのパラメータのいずれかを [edit access profile profile-name] radius-server] 階層レベルで設定できます。これは、グローバル設定に加えて、またはグローバル設定の代わりに行うことができます。プロファイルを適用すると、プロファイル設定によってグローバル設定が上書きされます。

RADIUSサーバーのIPv4またはIPv6アドレスを指定します。
(オプション)RADIUSサーバーのアカウンティングポート番号を設定します。
(オプション)ルーターが RADIUS サーバーとの接続に使用するポート番号を設定します。
ローカルルーターがRADIUSクライアントに渡すために必要なシークレット(パスワード)を設定します。引用符で囲まれたシークレットにはスペースを含めることができます。
(オプション)RADIUSサーバーが維持できる未処理リクエストの最大数を設定します。未解決の要求とは、RADIUSサーバーがまだ応答していない要求です。
RADIUSサーバーの送信元アドレスを設定します。RADIUSサーバーに送信された各RADIUS要求は、指定された送信元アドレスを使用します。送信元アドレスは、ルーターインターフェイスの1つに設定された有効なIPv4またはIPv6アドレスです。
(オプション)認証メッセージとアカウンティングメッセージの再試行とタイムアウト値を設定します。
1. 応答がなかった場合にルーターが RADIUS サーバーへのコンタクトを試みる回数を設定します。
2. ルーターがRADIUSサーバーからの応答を受信してからコンタクトを再試行するまで待機する時間を設定します。
注:
最大再試行時間(再試行回数にタイムアウトの長さを掛けたもの)は2700秒を超えることはできません。より長い期間を設定すると、エラーメッセージが表示されます。

注:
retryとtimeoutの設定は、accounting-retryステートメントとaccounting-timeoutステートメントの両方を設定しない限り、認証メッセージとアカウンティングメッセージの両方に適用されます。その場合、retryとtimeoutの設定は認証メッセージにのみ適用されます。
(オプション)アカウンティングメッセージの再試行とタイムアウトの値は、認証メッセージの設定とは別に設定します。

注:
accounting-retryステートメントとaccounting-timeoutステートメントの両方を設定する必要があります。そうでない場合、設定した値は無視され、retryおよびtimeoutステートメントで設定された値が優先されます。
1. 応答を受信しなかった場合に、ルーターがアカウンティングメッセージをRADIUSアカウンティングサーバーに送信しようとする回数を設定します。
2. 要求を再試行する前に、ルーターがRADIUSアカウンティングサーバーからの応答を受信するまで待機する時間を設定します。
(オプション)LLID(論理回線識別)事前認証要求のためにRADIUSサーバーに接続するようにルーターを設定します。 RADIUS論理回線識別を参照してください。
(オプション)指定されたサーバーからの動的(CoA)要求についてルーターが監視するポートを設定します。 RADIUSを使用したダイナミックサービス管理を参照してください。

すべての RADIUS サーバーに適用されるオプションの設定

グローバルにすべての RADIUS サーバーに適用される RADIUS オプションを設定できます。

RADIUSオプションをグローバルに構成するには:

RADIUSオプションを設定することを指定します。
(オプション)RADIUS 暫定更新リクエストがサーバーに送信されるレートを設定します。
(オプション)ルーターが中間アカウンティング更新を RADIUS サーバーに送信する際の設定された更新間隔からの最大許容偏差を設定します。許容範囲は、設定された更新間隔を基準にしたものです。
例えば、許容範囲が 60 秒に設定されている場合、ルーターは設定された更新間隔より 30 秒以内に中間アカウンティング更新を送信します。加入者がログインすると、最初の中間アカウンティング更新が最大30秒早く(平均15秒早く)送信される場合があります。

更新間隔は、[edit access profile profile-name accounting]階層レベルのupdate-intervalステートメントで設定します。
(オプション)ルーターが設定されたすべてのRADIUSサーバーにまとめて送信できる1秒あたりのリクエスト数を設定します。ルーターから RADIUS サーバーへのリクエストのフローを制限することで、RADIUS サーバーにリクエストが殺到するのを防ぐことができます。
(オプション)サーバーが到達不能になった後、接続を再確認する前にルーターが待機する秒数を設定します。リバート間隔が終了したときにルーターがサーバーに到達すると、サーバーリストの順序に従ってサーバーが使用されます。
注:
また、アクセスプロファイルの revert-interval を設定して、このグローバル値を上書きすることもできます。 RADIUSサーバーとの対話のためのアクセスプロファイルオプションの設定を参照してください。
(オプション)応答しないRADIUS認証サーバーがまだ到達不能またはダウンしていないと見なされる期間を設定します。認証要求をより迅速に別のサーバーにリダイレクトするか、応答しないサーバーに回復して応答する時間を増やすかに応じて、期間を変更できます。
詳細については、タイムアウト猶予期間の設定を参照し、RADIUSサーバーがダウンまたは到達不能と見なされるタイミングを指定します。
(オプション)ネットワーク内のすべてのMXシリーズルーターで一意のNASポート値を設定します。ルーター内のみで一意のNASポート値を設定することも、ネットワーク内の異なるMXルーター全体でも一意の値を設定することができます。
詳細については、「加入者向けの一意の NAS ポート属性(RADIUS 属性 5)の有効化」を参照してください。

タイムアウト猶予期間を設定して、RADIUSサーバーがダウンまたは到達不能と見なされるタイミングを指定する

RADIUS認証サーバーが特定の認証リクエストの試行に応答せず、タイムアウトした場合、authdは参照用に時間を記録しますが、すぐにサーバーをダウン(他のサーバーが利用可能な場合)または到達不能(設定済みのサーバーのみの場合)としてマークすることはありません。代わりに、設定可能な猶予期間タイマーが基準時刻に開始されます。猶予期間が終了する前にサーバーが後続のリクエストに応答した場合、猶予期間はクリアされます。

猶予期間中、サーバーはダウンまたは到達不能としてマークされません。サーバーがそのサーバーへの後続リクエストでタイムアウトするたびに、authd は猶予期間が終了したかどうかを確認します。猶予期間が過ぎてもサーバーが要求に応答していないことがチェックで判断された場合、サーバーは到達不能またはダウンとしてマークされます。

短い猶予期間を使用することで、応答しないサーバーをより迅速に破棄し、他の利用可能なサーバーに認証要求を転送することができます。猶予期間が長いと、サーバーが応答する機会が増え、不必要にリソースを放棄するのを避けることができます。設定されているサーバーが 1 台または少数の場合は、より長い猶予期間を指定することができます。

応答しないRADIUSサーバーが到達不能またはダウンとしてマークされない猶予期間を設定するには:

猶予期間の期間を指定します。

RADIUSサーバーとの対話用のアクセスプロファイルオプションの設定

アクセスプロファイルを使用して、ルーターが加入者アクセス用のRADIUS認証およびアカウンティングサーバーと通信する際に使用するオプションを指定できます。この手順では、アクセスプロファイルでのみ使用可能なオプションについて説明します。アクセスプロファイルとグローバルレベルの両方で利用可能なオプションについては、加入者アクセス用のRADIUSサーバーとパラメーターを参照してください。

RADIUS 認証とアカウンティングサーバーのオプションを設定するには:

RADIUSオプションを設定することを指定します。

(オプション)ルーターがアカウンティングセッションを識別するために使用する形式を設定します。識別子は、以下のいずれかの形式にすることができます。
- decimal- デフォルトの形式。例えば 435264
- description— jnpr interface-specifier:subscriber-session-id の形式で。例えば jnpr fastEthernet 3/2.6:1010101010101
(オプション)ルーターがRADIUS属性31(Calling-Station-Id)の値の間に挿入する区切り文字を設定します。
(オプション)ルーターがRADIUS属性31(Calling-Station-Id)に含める情報を設定します。
詳細については、「追加オプションを使用した発信者ステーション ID の設定」を参照してください。
(オプション)ランダムチャレンジをAccess-RequestパケットのCHAP-Challenge属性(RADIUS属性60)としてランダムチャレンジを送信するのではなく、NASによって生成されたランダムチャレンジをAccess-RequestパケットのRequest Authenticatorフィールドに挿入するオプションの動作を使用するようにルーターを設定します。このオプションの動作では、チャレンジの値が 16 バイトでなければなりません。それ以外の場合、ステートメントは無視され、チャレンジは CHAP-Challenge 属性として送信されます。
(オプション)複数のサーバーが設定されている場合に、ルーターがRADIUS認証サーバーおよびアカウンティングサーバーにアクセスするために使用する方法を設定します。
- direct—ロードバランシングがないデフォルトの方法。最初に設定されたサーバーがプライマリサーバーです。サーバーへのアクセスは、設定順に行われます。プライマリサーバーに到達できない場合、ルーターは2番目に設定されたサーバーへの到達を試みます。
- round-robin—設定されたRADIUSサーバーのリスト間でルーター要求をローテーションすることでロードバランシングを提供するメソッド。アクセス用に選択したサーバーは、最後に使用されたサーバーに基づいてローテーションされます。リストの最初のサーバーは、最初の認証要求ではプライマリとして扱われますが、2番目の要求では、設定された2番目のサーバーがプライマリとして扱われます。この方法では、設定されたすべてのサーバーが平均してほぼ同じ数のリクエストを受信するため、単一のサーバーがすべてのリクエストを処理する必要はありません。
  
  注:
  ラウンドロビンリスト内のRADIUSサーバーが到達不能になった場合、ラウンドロビンリスト内の次に到達可能なサーバーが現在のリクエストに使用されます。同じサーバーが使用可能なサーバーのリストの一番上にあるため、次のリクエストにも使用されます。その結果、サーバーに障害が発生した後、使用されているサーバーが 2 台のサーバーの負荷を引き受けることになります。
- ルーターが RADIUS アカウンティングサーバーにアクセスするために使用する方法を設定するには:
- ルーターが RADIUS 認証サーバーにアクセスするために使用する方法を設定するには:
(オプション)CoA操作が要求された変更をクライアントプロファイル動的変数に適用できない場合に、オプションの動作を使用するようにルーターを設定します。
オプションの動作として、加入者管理はCoAリクエストのクライアントプロファイル動的変数に変更を適用せず、NACKで応答します。デフォルトの動作では、加入者管理は誤った更新を適用せず、その他の変更をクライアントプロファイルの動的変数に適用し、ACKメッセージで応答します。
(オプション) virtual の物理ポートタイプを使用してクライアントを認証するようにルーターを設定します。ポートタイプは、RADIUS属性61(NAS-Port-Type)で渡されます。デフォルトでは、ルーターは属性61のポートタイプ ethernet RADIUS渡します。
注:
同じアクセスプロファイルに両方を含めると、このステートメントは nas-port-type ステートメントよりも優先されます。
(オプション)ルーターが RADIUS 属性 87(NAS-Port-ID)に含めるために RADIUS に渡すインターフェイスの説明から除外される情報を指定します。デフォルトでは、インターフェイスの説明には、アダプター、チャネル、サブインターフェイス情報が含まれています。
(オプション)デュアルスタックPPP加入者の場合、オンデマンドIPアドレス割り当て中に送信されるアクセスリクエストと、アドレス変更を報告するために送信されるInterim-AccountingメッセージにIPv4-Release-Control VSA(26-164)を含めます。
オプションで、IPv4-Release-Control VSA(26-164)に含まれたメッセージをRADIUSサーバーに送信するときに設定します

オンデマンドIPアドレスの割り当てまたは割り当て解除が設定されていない場合、このステートメントの設定は効果がありません。
(オプション)加入者向けのRADIUS認証およびアカウンティングリクエストメッセージにジュニパーネットワークスアクセスラインVSAを追加します。ルーターがアクセスノードから対応するANCP属性を受信して処理していない場合、AAAはこれらのRADIUSメッセージで次のもののみを提供します。
- Downstream-Calculated-QoS-Rate(IANA 4874、26-141)—デフォルト設定されたアドバイザリ送信速度。
- Upstream-Calculated-QoS-Rate(IANA 4874、26-142)—デフォルト設定されたアドバイザリ受信速度。
Junos OS リリース 19.2R1 以降、 juniper-access-line-attributes オプションは juniper-dsl-attributes オプションに置き換わります。既存のスクリプトとの後方互換性のために、 juniper-dsl-attributes オプションは新しい juniper-access-line-attributes オプションにリダイレクトされます。 juniper-access-line-attributesの使用をお勧めします。
注:
juniper-access-line-attributesオプションは、Junos OSリリース19.1以前のリリースとの下位互換性がありません。つまり、Junos OSリリース19.2以前のリリースでjuniper-access-line-attributesオプションを設定している場合、リリース19.1以前のリリースにダウングレードするには、以下の手順を実行する必要がありますJunos OS。
1. juniper-access-line-attributesオプションを含むすべてのアクセスプロファイルからオプションを削除します。
2. ソフトウェアのダウングレードを実行します。
3. 影響を受けるアクセスプロファイルに juniper-dsl-attributes オプションを追加します。
(オプション)認証とアカウンティング要求に使用されるクライアントRADIUS属性32(NAS識別子)の値を設定します。
(オプション)属性5(NAS-Port)RADIUSに拡張フォーマットを使用するようにRADIUSクライアントを設定し、ユーザーを認証するNASの物理ポート番号を指定するNAS-Port属性のフィールド幅を指定します。
- イーサネット加入者の場合:
- ATM加入者の場合:
(オプション)ルーターがRADIUS属性87(NAS-Port-Id)の値の間に挿入する区切り文字を設定します。
(オプション)ルーターがRADIUS属性87(NAS-Port-Id)に含めるオプション情報を設定します。デフォルトの順序で表示するオプションを1つ以上指定できます。または、オプションとその表示順序の両方を指定することもできます。順序は相互に排他的であり、両方のタイプの順序の値を含むNAS-Port-IDを設定すると、設定に失敗します。
詳細については、「追加オプションを使用した NAS-Port-ID の設定」および「 NAS-Port-ID におけるオプションの値の表示順序の設定」を参照してください。
(オプション)RADIUS属性61(NAS-Port-Type)に含まれるポートタイプを設定します。これは、ルーターが加入者の認証に使用するポートタイプを指定します。
注:
同じアクセスプロファイルで ethernet-port-type-virtual を設定した場合、このステートメントは無視されます。
(オプション)L2TP 発信者番号 AVP 22 で送信された値の設定された Calling-Station-ID フォーマットを上書きするように LAC を設定します。Calling-Station-IDフォーマットを上書きし、PADRパケットのL2TPクライアントから受信したACI、ARI、またはACIとARIの両方を使用するようにLACを設定できます。また、AVP文字列のコンポーネント間で使用する区切り記号と、設定済みの上書きコンポーネントがPADRパケットで受信されない場合に使用するフォールバック値を指定することもできます。
注:
詳細については、「発信者番号 AVP の発信ステーション ID フォーマットを上書きする」を参照してください。
(オプション)LNSのRADIUS NAS-IP-Address属性(4)の値を、セッションのLACエンドポイントIPアドレスの値(セッションデータベースに存在する場合)で上書きします。存在しない場合は、元の属性値が使用されます。
(オプション)Cisco Systems NASポート情報AVP(100)でLAC NASポート情報がLNSに伝達された場合、LNSのRADIUS NAS-Port属性(5)の値をセッションデータベースからの値で上書きします。存在しない場合は、元の属性値が使用されます。
(オプション)LAC NASポート情報が Cisco Systems NAS Port Info AVP(100)の LNS に転送された場合、LNS の RADIUS NAS-Port-Type 属性(61)の値をセッションデータベースからの値で上書きします。存在しない場合は、元の属性値が使用されます。
(オプション) remote-circuit-id-format ステートメントを使用して、L2TP発信者番号AVP 22の発信者ステーションIDの代わりに使用する文字列を設定する場合、リモート回線ID文字列に区切り文字を設定します。リモート回線IDフォーマットに複数の値が設定されている場合、結果のリモート回線ID文字列の連結された値の間に区切り文字が使われます。
注:
発信者番号AVPで使用するリモート回線IDフォーマットの override calling-circuit-id remote-circuit-id ステートメントを設定する必要があります。
(オプション)設定されたCalling-Station-IDまたはデフォルトの基盤となるインターフェイスのいずれかで、L2TP発信者番号AVP 22を送信するLACのフォールバック値を設定します。フォールバック値の使用は、 remote-circuit-id-format ステートメントで設定した上書き文字列のコンポーネント(ACI、ARI、またはACIとARIの両方)がPPPoE PADR(アクティブディスカバリーリクエスト)パケットのLACによって受信されなかった場合にトリガーされます。
(オプション)L2TP発信者番号AVPのCalling-Station-ID形式を上書きする文字列の形式を設定します。ACI、ARI、またはACIとARIの両方を指定できます。
注:
発信者番号AVPで使用するリモート回線IDフォーマットの override calling-circuit-id remote-circuit-id ステートメントを設定する必要があります。
(オプション)サーバーが到達不能になった後、サーバーへの到達を試みるまでのルーター待機時間(秒)を設定します。サーバーが到達可能であれば、サーバーリストの順序に従って使用されます。
注:
また、すべてのRADIUSサーバーに対してこのオプションを設定することもできます。 RADIUSサーバーのオプションの設定を参照してください。
(オプション)加入者のアドレスファミリーのアクティベーション要求の認証処理中に、設定エラーに関連するサービスアクティベーション障害が発生した場合に、新たに認証された加入者が正常にログインできるかどうかを設定します。この動作は、動的プロファイルまたはESSM(Extensible Subscriber Services Manager)操作スクリプトで設定されたサービスに指定できます。
- optional-at-login—サービスのアクティベーションはオプションです。設定エラーによるアクティベーションに失敗しても、アドレスファミリーのアクティベーションが妨げられることはありません。これにより、加入者アクセスが許可されます。設定エラー以外の原因によるサービスアクティベーションに失敗すると、ネットワークファミリーのアクティベーションに失敗します。別のアドレスファミリーがすでに加入者に対してアクティブでない限り、ログイン試行は終了します。
- required-at-login—サービスのアクティベーションが必要です。何らかの理由でアクティベーションに失敗すると、ネットワークファミリーのアクティベーションに失敗します。別のアドレスファミリーがすでに加入者に対してアクティブでない限り、ログイン試行は終了します。
(オプション)RADIUS属性5(NAS-Port)に、イーサネットインターフェイス上の加入者のVLAN IDに加えて、S-VLAN IDが含まれることを指定します。

追加オプションを使用した発信ステーション ID の設定

このセクションでは、MXシリーズルーターのアクセスプロファイルの発信者局ID(RADIUS IETF属性31)の代替値を設定します。

[edit access profile profile-name radius options calling-station-id-format] 階層に次のオプションを 1 つ以上任意組み合わせで含めるように、Calling-Station-ID を設定できます。

エージェント回線識別子(agent-circuit-id)—加入者のアクセスノードとアクセスノード上のデジタル加入者回線(DSL)の識別子。エージェント回線識別子(ACI)文字列は、DHCPトラフィックのDHCPメッセージのDHCPオプション82フィールド、またはPPPoEトラフィックのPPPoEアクティブディスカバリー開始(PADI)およびPPPoEアクティブディスカバリーリクエスト(PADR)制御パケットのDSLフォーラムエージェントサーキットID VSA [26-1]に格納されます。
エージェントリモート識別子(agent-remote-id)—サービスリクエストを開始したデジタル加入者回線アクセスマルチプレクサ(DSLAM)インターフェイス上の加入者の識別子。エージェントリモート識別子(ARI)文字列は、DHCP トラフィックの場合は DHCP オプション 82 フィールド、PPPoE トラフィックの場合は DSL フォーラムの Agent-Remote-ID VSA [26-2] に保存されます。
インターフェイス記述(interface-description)—インターフェイスの値。
インターフェイステキスト記述(interface-text-description)—インターフェイスのテキスト記述。インターフェイスのテキスト記述は、 set interfaces interface-name description description ステートメントまたは set interfaces interface-name unit unit-number description description ステートメントのいずれかを使用して、別途設定します
MACアドレス(mac-address)—加入者の送信元デバイスのMACアドレス。
NAS識別子(nas-identifier)—認証またはアカウンティング要求を発信したNASの名前。NAS識別子は、RADIUS IETF属性32です。
スタック VLAN (stacked-vlan)—スタック VLAN ID。
VLAN (vlan)—VLAN ID。

Calling-Station-IDの形式に複数のオプション値を設定した場合、ハッシュ文字(#)がデフォルトの区切り記号となり、ルーターは結果のCalling-Station-ID文字列の連結された値の区切り記号として使用します。オプションで、発信者ステーションIDが使用する代替区切り文字を設定することもできます。以下に、複数のオプション値を設定した場合の出力順序を示します。

Calling-Station-IDにオプションの情報を提供するようにアクセスプロファイルを設定するには:

設定するアクセスプロファイルを指定します。

RADIUSオプションを設定することを指定します。

Calling-Station-IDの連結された値間の区切り文字として使用するデフォルト以外の文字を指定します。
デフォルトでは、加入者管理では、複数のオプション値を含むCalling-Station-ID文字列の区切り文字としてハッシュ文字(#)が使用されます。
認証とアカウンティング要求に使用されるNAS識別子(RADIUS属性32)の値を設定します。

Calling-Station-IDのフォーマットを設定することを指定します。

(オプション)Calling-Station-IDにインターフェイステキストの説明を含めます。

(オプション)Calling-Station-IDにインターフェイス記述値を含めます。

(オプション)Calling-Station-IDにエージェント回線識別子を含めます。

(オプション)Calling-Station-IDにエージェントリモート識別子を含めます。

(オプション)設定されたNAS識別子の値をCalling-Station-IDに含めます。

(オプション)Calling-Station-IDにスタックされたVLAN IDを含めます。

(オプション)Calling-Station-IDにVLAN IDを含めます。

(オプション)Calling-Station-IDにMACアドレスを含めます。

例:アクセスプロファイルの追加オプションを使用した発信ステーションID

次の例では、NAS識別子(fox)、インターフェイス記述、エージェント回線識別子、エージェントリモート識別子オプションを含むCalling-Station-ID文字列を設定するretailer01という名前のアクセスプロファイルを作成します。

結果のCalling-Station-ID文字列は、次のようにフォーマットされます。

fox*ge-1/2/0.100:100*as007*ar921

どこ：

NAS識別子値は foxです。
Calling-Station-ID区切り文字は * (アスタリスク)です。
インターフェイス記述値は ge-1/2/0.100:100です。
エージェント回線識別子の値は as007です。
エージェントリモート識別子の値は ar921です。

すべてのオプションが設定されているが、Agent-Circuit-ID、Agent-Remote-ID、またはスタックVLAN識別子に値がない例を考えてみましょう。その他の値は以下のとおりです。

NAS識別子—ソラリウム
インターフェイスの説明—ge-1/0/0.1073741824:101
インターフェイステキストの説明—example-interface
MACアドレス—00:00:5E:00:53:00
VLAN 識別子—101

これらの値は、次のCalling-Station-IDになります。

RADIUSメッセージからのRADIUS属性とVSAのフィルタリング

RADIUSメッセージで受信した標準属性とVSA(ベンダー固有属性)は、内部でプロビジョニングされた属性値よりも優先されます。属性のフィルタリングは、Access Acceptパケットで受信した特定の属性を無視し、特定の属性をRADIUSサーバーに送信しないように選択することで構成されています。RADIUSサーバーから受信した属性を無視すると、ローカルでプロビジョニングされた値を代わりに使用できます。属性の送信を除外することは、例えば、加入者の存続期間中に変更されない属性の場合に便利です。情報を失うことなくパケットサイズを小さくすることができます。

Access-Acceptメッセージで 受信したときに ルーターまたはスイッチが無視する標準RADIUS属性とVSA RADIUS指定できます。また、ルーターまたはスイッチが指定された RADIUS メッセージタイプから除外する属性と VSA を指定することもできます。除外とは、ルーターまたはスイッチが RADIUS サーバーに送信する特定のメッセージに属性が含まれていないことを意味します。

Junos OSリリース18.1R1以降、標準属性番号またはIANAに割り当てられたベンダーIDとVSA番号をそれぞれ指定することで、RADIUS標準属性とVSAを無視または除外するようにルーターまたはスイッチを設定できます。この柔軟な設定方法により、プラットフォームでサポートされている標準属性とVSAを無視または除外するように設定できます。サポートされていない属性、ベンダー、VSAを設定した場合、設定は効果がありません。

従来の方法では、ステートメント構文に特定のオプションが含まれている属性とVSAのみを設定できます。その結果、従来の方法を使用して、Access-Acceptメッセージで受信できるすべての属性のサブセットのみを無視できます。

ルーターまたはスイッチによって無視または除外される属性を設定するには:

アクセスプロファイルでRADIUSを設定することを指定します。
RADIUS属性をフィルターする方法を設定することを指定します。
(オプション)属性がAccess-Acceptメッセージに含まれるときにルーターまたはスイッチで無視する属性を1つ以上指定します。
- 従来の方法: 属性に専用オプションを指定します。
- 柔軟な方法: 標準属性番号、または IANA に割り当てられたベンダー ID と VSA 番号を指定します。
(オプション)ルーターまたはスイッチが1つ以上の指定されたRADIUSメッセージタイプから除外する属性を設定します。属性のリストを設定することはできませんが、各属性のメッセージタイプのリストは指定できます。
- 従来の方法: 属性とメッセージタイプに専用オプションを指定します。
- 柔軟な方法: 標準属性番号または IANA に割り当てられたベンダー ID、VSA 番号、およびメッセージタイプを指定します。

次の例では、従来の設定方法と柔軟な設定方法を比較し、標準のRADIUS属性であるFramed-IP-Netmask(9)とジュニパーネットワークスのVSA、Ingress-Policy-Name(26-10)とEgress-Policy-Name(26-11)を無視しています。

従来の方法:

柔軟な方法:

次の例では、従来の設定方法と柔軟な設定方法を比較し、標準のRADIUS属性であるFramed-IP-Netmask(9)とジュニパーネットワークスのVSA、Ingress-Policy-Name(26-10)とEgress-Policy-Name(26-11)を除外しています。

従来の方法:

柔軟な方法: 標準属性番号または IANA に割り当てられたベンダー ID、VSA 番号、およびメッセージタイプを指定します。

同じプロファイルで両方のメソッドを持つ属性を指定するとどうなりますか?有効な設定は、2 つの方法の論理 OR です。標準属性 accounting-delay-time(41)の次の例を考えてみましょう。

その結果、属性は 4 つのメッセージタイプ (Accounting-Off、Accounting-On、Accounting-Start、Accounting-Stop) すべてから除外されます。効果は、以下の設定のいずれかを使用した場合と同じです。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。機能エクスプローラーを使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース

説明

18.1R1

Junos OSリリース18.1R1以降、標準属性番号またはIANAに割り当てられたベンダーIDとVSA番号をそれぞれ指定することで、RADIUS標準属性とVSAを無視または除外するようにルーターまたはスイッチを設定できます。