이 페이지 내용
AAA 테스트 및 문제 해결
AAA 구성 테스트 및 문제 해결
가입자 관리는 가입자의 AAA 구성을 확인할 수 있는 테스트 기능을 지원합니다. 테스트 기능을 사용하여 가입자의 AAA 설정을 확인하고 가입자 로그인 문제를 해결하거나 격리할 수 있습니다. AAA 테스트 프로세스는 가입자를 인증하고, 가입자의 주소를 할당하며, 어카운팅 시작 패킷을 발행하는 의사 세션을 생성합니다. 그런 다음 프로세스는 계정 중지 요청을 발행하고, 주소를 해제하고, 의사 세션을 종료합니다.
AAA 테스트 결과는 가입자 관리가 로그인 시 가입자에게 할당하는 속성에 대한 세부 정보를 제공합니다. 속성은 RADIUS, 동적 프로파일, 정적 인터페이스 구성에 의해 할당되거나 정적으로 할당될 수 있습니다. DHCP, PPP 및 authd-lite 가입자에 대해 AAA 구성을 테스트할 수 있습니다. L2TP 클라이언트의 경우 AAA 테스트 프로세스는 모든 터널 매개 변수를 표시하지만 실제 터널 세션을 생성하지는 않습니다.
명령은 test aaa 모든 RADIUS 소스 속성(IETF 표준 속성과 주니퍼 네트웍스 VSA 모두)을 지원합니다. 수신된 속성이 출력에 표시됩니다. 표준 RADIUS 속성에 대한 자세한 내용은 AAA 서비스 프레임워크에서 지원하는 RADIUS IETF 속성을 참조하십시오. 주니퍼 네트웍스 VSA에 대한 자세한 내용은 AAA 서비스 프레임워크에서 지원하는 주니퍼 네트웍스 VSA를 참조하십시오.
명령은 test aaa 볼륨 시간 accounting(값 2의 주니퍼 네트웍스 VSA 26-69)을 지원하지 않습니다. 테스트 가입자에 대해 볼륨 시간 accounting이 구성된 경우, test 명령은 통계를 time-only accounting statistics로 대체합니다.
가입자 AAA 구성 테스트
목적
로그인 시 가입자 관리가 가입자에게 할당하는 AAA 속성을 표시합니다.
다음 예는 PPP 가입자에 대한 AAA 구성을 테스트합니다. 명령을 사용하여 DHCP 가입자에 test aaa authd-lite user 대해 유사한 테스트를 수행하고 명령을 사용하여 authd-lite 가입자를 테스트할 수 test aaa dhcp user 있습니다.
행동
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
및 test aaa ppp user 명령과 agent-remote-id ari test aaa dhcp user 함께 옵션을 사용하여 DSL Forum Agent-Remote-Id(VSA 26-2)를 지원하는 네트워크에서 DHCP 및 PPP 가입자 인증을 확인할 수 있습니다.
DSL Forum Agent-Remote-Id를 지정하면 출력에 지정된 값이 포함됩니다. VSA를 지정하지 않으면 Agent-Remote-Id 값이 로 NULL표시됩니다.
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
다음 예는 유효하지 않은 비밀번호로 인해 인증 부여가 실패하는 경우의 출력을 보여줍니다.
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
VLAN-OOB 가입자가 있는 레이어 2 네트워크와 같은 일부 네트워크의 경우, RADIUS는 클라이언트 프로필의 가입자 주소에 Client-Profile-Name VSA(26–174)를 제공하도록 구성됩니다. 기본 구성에서 RADIUS로부터 직접 가입자 주소를 수신하지 않을 경우 테스트가 실패합니다. 이러한 가입자를 성공적으로 테스트하려면 옵션을 포함 no-address-request 해야 합니다. 명령 출력의 동적 프로필 필드에 클라이언트 프로필 이름이 표시되고 라우팅 인스턴스 필드에 가상 라우터 VSA(26-1)가 전달하는 라우팅 인스턴스의 이름이 표시됩니다.
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
Junos OS 릴리스 19.3R1부터 XML 출력 형식이 변경되었습니다. 각 RADIUS 서버 속성 이름에는 관련 속성 값이 있습니다. 이러한 각 페어는 이제 <radius-server-data> 태그로 둘러싸여 있습니다. 새 태그를 사용하면 연산자와 API 클라이언트 모두에 대해 이름/값 쌍을 더 쉽게 인식할 수 있습니다.
새 형식에서 제대로 작동하려면 XML 출력을 사용하는 스크립트를 변경해야 할 수 있습니다.
다음 예제에서는 이전 형식의 샘플 XML 출력을 발췌한 것입니다.
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
다음 예제에서는 새 형식의 샘플 XML 출력을 발췌한 것입니다.
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.