이 페이지에서
가입자 관리를 위한 동적 프로필
동적 프로필 개요
동적 프로필은 광대역 애플리케이션에 대한 동적 가입자 액세스 및 서비스를 제공하는 데 사용할 수 있는 구성을 생성, 업데이트 또는 제거할 수 있는 일종의 템플릿 역할을 하는 일련의 특성입니다. 이러한 프로필을 사용하면 클라이언트 또는 클라이언트 그룹의 모든 공통 속성을 통합하고 속성을 적용하거나 동적으로 생성된 개체를 동시에 적용할 수 있습니다. 프로필이 생성되면 프로필 라이브러리의 라우터에 상주합니다.
클라이언트 프로필과 서비스 프로필이라는 두 가지 종류의 동적 프로필로 가입자를 동적으로 관리할 수 있습니다. 두 프로필 유형은 계층 수준에서 구성 [edit dynamic-profiles]
되며 서로 독립적입니다. 동적 클라이언트 프로필 외에 동적 서비스 프로필을 사용할 때는 가입자 간의 차별화를 지원하는 방법과 가입자 서비스를 패키지화하는 방법에 따라 다릅니다.
동적 프로필 용어는 잠재적으로 혼란스러울 수 있습니다.
동적 클라이언트 프로파일을 동적 가입자 프로필이라고도 할 수 있습니다.
동적 클라이언트 프로파일을 클라이언트 액세스 프로필이라고도 하지만, 이 용어는 [edit access profile profile-name] 계층 수준에서 구성된 액세스 프로파일과 혼동을 야기합니다. 액세스 프로필은 가입자 액세스, 일부 세션 속성 및 L2TP 및 PPP 세션에 대한 클라이언트별 속성을 위한 인증, 어카운팅 및 권한 부여 매개 변수를 구성하는 데 사용됩니다. 액세스 프로필은 문과 함께
access-profile
다양한 구성 수준에서 적용됩니다.
동적 클라이언트 프로필 및 동적 서비스 프로필
동적 클라이언트 및 동적 서비스 프로필의 주요 차이점은 다음과 같습니다.
동적 클라이언트 프로필이 프로비저닝되어 클라이언트 애플리케이션 구성에 적용됩니다. 예를 들어 DHCP, DHCPv6, L2TP LNS, PPPoE, 정적 가입자 및 VLAN을 예로 들어 보겠습니다. 프로필의 내용은 가입자 세션의 논리적 인터페이스에 적용됩니다. 대부분의 경우 동적 클라이언트 프로필은 프로필이 적용되는 논리적 인터페이스의 동적 인스턴스화를 지원하지만 클라이언트 프로필은 정적 가입자 논리적 인터페이스에도 적용될 수 있습니다.
동적 클라이언트 프로필은 을(를) 제외한 아래
[edit dynamic-profiles profile-name]
의 스탠자(stanzas)를 포함할 수 있습니다variables variable-name
.동적 서비스 프로필에는 동적 클라이언트 프로필에서 사용할 수 있는 구성의 하위 집합인 서비스 관련 구성만 포함됩니다. 가입자 세션에 대한 다른 구성 속성은 포함하지 않습니다. 서비스 프로필을 사용하여 논리적 인터페이스를 생성하거나 수정할 수 없습니다. 동적 서비스 프로필은 논리적 인터페이스를 생성한 후 사용되는 동적 클라이언트 프로필에 대한 보충 기능입니다.
동적 서비스 프로필에는 , ,
firewall
protocols
services
,variables
및 에서[edit dynamic-profiles profile-name]
class-of-service
다음과 같은 stanzas가 포함될 수 있습니다.
동적 클라이언트 프로필과 동적 서비스 프로필은 사용할 수 있는 변수 유형도 다릅니다.
동적 클라이언트 프로필에는 프로파일에 포함된 사전 정의된 변수에 대한 기본값을 정의하는 사전 정의된 변수 기본값이 포함될 수 주니퍼 네트웍스. 프로필의 기본 값은 RADIUS 변수에 대한 값을 반환하지 않을 때 사용됩니다. 사전 정의된 변수에 대한 정보는 동적 프로필에서 미리 정의된 변수에 대한 동적 변수 개요 및 기본값 구성 을 참조하십시오.
동적 서비스 프로필에는 기능 호출의 매개 변수처럼 작동하는 사용자 정의 변수가 포함될 수 있습니다. 가변 값은 RADIUS 서버에서 제공되어 가입자당 보다 전문화된 맞춤화를 지원할 수 있습니다. 또한 RADIUS 값을 제공하지 않을 때 사용할 이러한 변수의 기본값을 설정할 수도 있습니다. 사용자 정의 변수에 대한 정보는 동적 프로필의 사용자 정의 변수를 참조하십시오.
동적 클라이언트 프로필에는 사용자 정의 변수가 포함되지 않습니다. 동적 서비스 프로필에는 사전 정의된 variable-default가 포함되지 않습니다.
표 1 에는 액세스 프로필 및 서비스 프로파일에서 지원하는 변수 유형이 나와 있습니다.
동적 프로필 유형 |
Junos OS 사전 정의된 변수(로컬) |
Junos OS 사전 정의된 변수(RADIUS) |
사용자 정의 변수 |
---|---|---|---|
액세스 프로필 |
예 |
예 |
예 |
서비스 프로필 |
예 |
아니요 |
예 |
표 2 에는 액세스 프로필 및 서비스 프로필에서 지원하는 기본 값, 표현식 및 고유 식별자가 나열되어 있습니다.
동적 프로필 유형 |
기본값 |
식 |
고유 식별자 |
---|---|---|---|
액세스 프로필 |
예(RADIUS 사전 정의된 변수만 해당) |
아니요 |
예(스케줄러 및 스케줄러 맵만 해당) |
서비스 프로필 |
예(사용자 정의 변수만 해당) |
예(서비스 활성화 전용) |
예(방화벽 필터만 해당) |
가입자 세션에 동적으로 서비스 적용
가입자 세션에 적용할 서비스를 다음과 같은 여러 방법으로 구성할 수 있습니다.
동적 클라이언트 프로필에 가입자 세션에 대한 서비스 구성을 포함합니다. 예를 들어, CoS(Class of Service) 및 동적 방화벽 필터와 같은 레이어 3 서비스와 같은 레이어 2 서비스를 구성할 수 있습니다. 레이어 3 서비스는 DHCP, DHCPv6 및 PPPoE 가입자에 대해 협상된 주소 패밀리에 적용됩니다. CoS 서비스 변경 개요를 참조하십시오.
참고:동적 클라이언트 프로필은 동적 서비스 프로필을 참조할 수 없습니다. 서비스 구성만 직접 포함할 수 있습니다.
RADIUS 구성을 사용하여 동적 서비스 프로필을 적용합니다. 주니퍼 네트웍스 Activate-Service VSA(26-65)는 가입자가 인증할 때 RADIUS Access-Accept 메시지에 반환되어 동적 서비스 프로필을 참조하고 서비스에 대한 추가 매개 변수를 선택적으로 전달할 수 있습니다. DHCP 및 PPPoE 세션의 경우, 이 서비스 프로필은 세션의 주소 패밀리가 활성화될 때 적용됩니다. RADIUS 통한 동적 서비스 관리를 참조하십시오.
다른 주니퍼 네트웍스 VSA, 비활성화 서비스(26-66)를 사용하여 Access Accept 메시지에서 서비스를 비활성화할 수 있습니다.
RADIUS 인증 변경(CoA) 메시지에서 주니퍼 네트웍스 VSA와 함께 서비스 프로필을 적용합니다. CoA 메시지를 사용하여 (VSA 26-65) 또는 (VSA 26-66) 서비스를 비활성화할 수 있습니다. 예를 들어, 가입자는 세션이 설정된 후 서비스를 거부하거나 거부할 수 있습니다. RADIUS 시작 CoA(Change of Authorization) 개요를 참조하십시오.
DHCP 로컬 서버, DHCP 릴레이 에이전트, L2TP 또는 정적 가입자에 대한 구성에서 프로필을 참조하는 문을 포함하여
service-profile
동적 서비스 프로필을 적용합니다. 예를 들어 , 정적 가입자 그룹 서비스 프로필 지정, 인 라인 서비스 인터페이스를 통한 LNS 세션에 대한 L2TP 터널 그룹 구성, LNS에서 L2TP 액세스 프로필 구성을 참조하십시오.
동적 프로필 재정의
Junos OS 릴리스 14.1부터 RADIUS 클라이언트 프로필 이름 VSA[26-174]에서 다른 동적 프로필을 지정하여 구성된 클라이언트 동적 프로필을 RADIUS 재정의할 수 있습니다. RADIUS Access-Accept 메시지의 다른 클라이언트 세션 속성과 함께 이 VSA를 AAA로 반환합니다. 이후 AAA는 클라이언트의 세션 데이터베이스 항목에서 해당 프로필 이름 속성을 재정의하며, 이 새로운 프로필은 원래 구성된 프로파일 대신 인스턴스화됩니다.
동적 프로필 버전 생성
현재 가입자가 사용하고 있는 동적 프로필의 새 버전을 만들 수 있습니다. 동적 프로필 버전 생성은 계층 수준에서 활성화 [edit system]
됩니다. 활성화되면 라우터에서 모든 동적 프로필의 여러 버전을 만들 수 있습니다. 동적 프로필 수정 후 로그인하는 모든 가입자는 동적 프로필의 최신 버전을 사용합니다. 이미 활성 상태인 가입자는 로그아웃하거나 세션이 종료될 때까지 동적 프로필의 이전 버전을 계속 사용합니다.
동적 프로필 버전을 생성할 때는 다음 사항을 유념하십시오.
라우터에서 동적 프로필을 생성하거나 사용하기 전에 동적 프로필 버전 생성을 활성화하거나 비활성화해야 합니다. 동적 프로필이 구성된 후 동적 프로필 버전 생성을 활성화하거나 비활성화하는 기능은 지원되지 않습니다.
참고:동적 프로필이 구성된 라우터에 대해 동적 프로필 버전 생성을 활성화하거나 비활성화하기 전에 먼저 라우터 구성에서 모든 동적 프로필을 제거해야 합니다.
동적 프로필의 각 버전은 프로필 데이터베이스에 새로운 프로필로 저장됩니다.
새 프로필 버전의 이름은 원래 기본 동적 프로필 이름에 문자열을 추가하여 파생됩니다. 이 문자열에는 프로필 이름의 버전 필드를 식별하기 위해 2달러 기호($) 문자가 포함되어 있습니다. 이 두 문자 뒤에 동적 프로필의 "버전 번호"를 나타내는 숫자 문자(예: 01)가 뒤따릅니다.
동적 프로필의 버전 번호는 시스템에서 자동으로 생성됩니다.
수정하는 동적 프로필은 항상 최신 버전으로 저장됩니다. 수정된 동적 프로필을 생성하여 이전 버전으로 저장할 수 없습니다. 예를 들어, 사용 중인 동적 프로필의 버전 3을 수정하면 동적 프로필이 버전 4로 저장됩니다.
동적 프로필의 최신 버전만 수정할 수 있습니다.
버전 번호에 대한 최대 값은 99999입니다. 그러나 각 프로필에 대해 한 번에 10개의 활성 버전만 지원됩니다.
수정하는 동적 프로필 버전이 가입자가 사용하지 않는 경우 새 버전을 생성하지 않고 커밋된 변경 사항과 프로필 덮어쓰기됩니다.
동적 프로필의 9999번째 수정 버전에 도달한 후 동적 프로필을 추가로 수정하면 해당 최종 버전을 덮어쓰게 됩니다. 최종 버전을 사용할 경우 커밋 시 수정 시도가 실패합니다.
동적 프로필은 해당 버전이 사용되지 않는 경우에만 삭제할 수 있습니다.
동적 프로필 버전 기능은 Graceful Restart 및 통합 ISSU를 지원합니다.
동적 프로필 의미 체계 검사
변수는 동적 프로필에 동적으로 적용되며 기존 CLI 명령으로는 확인할 수 없습니다. 시맨틱 체크는 동적 프로필의 일부 변수를 검증하여 잠재적인 구성 오류를 식별하는 데 도움이 됩니다.
시맨틱 검사는 커밋 중 및 프로필 인스턴스화 중에 수행됩니다. 커밋 시간 검사를 통해 동적 프로필 내의 올바른 위치에 변수가 나타나는지 확인합니다. 프로파일 인스턴스화 전에 수행된 검사는 변수를 대체하는 값이 올바른지 확인합니다. 값에 대해 수행된 점검에는 다음이 포함됩니다.
범위 검증
변수 유형 검증
필수 변수의 존재
정규 표현식에 대한 변수 일치
커밋 시간 검사 실패로 인해 오류 메시지가 표시되고 파일에 기록되고 커밋이 /var/log/messages
실패하게 됩니다. 인스턴스화 실패로 인해 파일에 오류가 기록되고 /var/log/messages
프로필 인스턴스화가 실패합니다.
기본 동적 프로필 구성
이 주제에서는 기본 동적 프로필을 만드는 방법에 대해 설명합니다. 기본 프로필은 프로필 이름을 포함해야 하며 계층 수준에 포함된 [edit dynamic-profiles profile-name interfaces
인터페이스 변수 이름(예: $junos-interface-ifd-name
)과 계층 수준에서 논리 인터페이스 변수 이름(예: $junos-underlying-interface-unit
또는$junos-interface-unit
)을 [edit dynamic-profiles profile-name interfaces variable-interface-name unit]
모두 가져야 합니다.
초기 클라이언트 액세스를 위한 동적 프로필을 구성하기 전에 다음을 수행합니다.
네트워크에 액세스할 때 DHCP 클라이언트가 사용할 필수 라우터 인터페이스를 구성합니다.
동적 프로필과 함께 사용할 수 있는 인터페이스 유형 및 구성 방법에 대한 정보는 DHCP 가입자 인터페이스 개요 를 참조하십시오.
멀티캐스트 네트워크에 대한 액세스를 위해 DHCP 클라이언트를 검증할 때 프로필이 사용할 모든 RADIUS 값을 구성합니다.
기본 동적 프로필을 구성하려면 다음을 수행합니다.