Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

인증 및 권한 부여를 위한 NASREQ

Diameter Network Access Server Application(NASREQ)

NASREQ(Diameter Network Access Server Requirements) 프로토콜은 RFC 7155, Diameter Network Access Server Application에 정의된 Diameter 기반 인증, 권한 부여 및 어카운팅 프로토콜입니다. Diameter 환경에서 RADIUS AAA를 사용하는 대신 사용할 수 있습니다. Junos OS는 인증 및 권한 부여 기능을 지원하지만 어카운팅은 지원하지 않습니다. 인증은 가입자 ID를 확인하기 위한 초기 가입자 로그인에 사용됩니다. 마찬가지로 로그인 시 권한 부여는 가입자에게 필요할 수 있는 초기 조건이나 서비스 또는 둘 다를 설정하는 데 사용됩니다. NASREQ 프로토콜은 가입자의 재인증 또는 재인증에 사용되지 않습니다.

Junos OS는 다음과 같은 NASREQ 프로토콜 교환을 지원합니다.

  • AA-Request/Answer - 로그인 시 인증/권한 부여 요청입니다.

  • Session-Termination-Request/Answer—가입자의 세션이 종료되었음을 알립니다.

  • Abort-Session-Request/Answer—NASREQ 서버에서 가입자의 세션을 종료하도록 요청합니다.

메모:

Auth-Application-Id AVP는 AA-Request, Session-Termination-Request 및 Abort-Session-Request 메시지에서 값 1로 설정해야 합니다.

NASREQ 클라이언트에는 전송 큐와 응답 큐라는 두 개의 큐가 있습니다. 전송 대기열은 Diameter로 전송될 때까지 아웃바운드 패킷을 저장하며 요청 및 응답을 포함합니다. 응답 대기열은 Diameter가 요청에 응답할 때까지 패킷을 저장하고 응답을 기다리는 요청만 포함합니다.

다음 구성 변수는 전송 플로우와 대기열 사용을 제어합니다.

  • outstanding-requests- 유선 전송을 위해 Diameter로 전송되는 최대 요청 수(AAR 및 STR 포함) - 사실상 응답 대기열의 최대 요청 수(응답 또는 시간 초과가 없는 최대 진행 중인 요청 수)입니다. 전송된 응답은 포함되지 않습니다.

  • request-retry- 초기 요청에 대해 시간이 초과된 후 지정된 요청을 Diameter에 다시 전송하는 횟수입니다. 이 값은 응답 큐의 요청에만 적용됩니다.

  • timeout- 아웃바운드 패킷이 시간 초과로 선언되기 전에 전송 대기열에 남아 있는 시간(초)입니다. 시간 제한 값을 초과하는 패킷은 전송되지 않습니다. Diameter는 전송 후 시간 초과된 패킷을 관리합니다. 시간 제한 값은 전송될 요청과 응답을 모두 포함하여 전송 대기열의 모든 패킷에 적용됩니다.

교환 흐름은 다음과 같이 발생합니다.

  1. 가입자가 로그인을 시도하고 NASREQ 클라이언트 역할을 하는 인증이 가입자 및 인증 정보에 대한 정보가 포함된 AAR(Diameter AA-Request) 메시지를 NASREQ 서버에 보냅니다.

    • 미해결 요청 수가 구성된 최대 미해결 요청 값보다 적은 경우 인증은 전송을 위해 NASREQ 서버로 요청을 보내고 응답 대기열에 요청을 배치합니다.

    • 미해결 요청 수가 구성된 최대 미해결 요청 값보다 크거나 같으면 authd는 전송 대기열에 요청을 저장합니다.

  2. NASREQ 서버에서 AAA(Diameter AA-Answer) 메시지 형식으로 응답을 받으면 authd는 응답 대기열에서 AAR(Matching Request)을 확인합니다.

    • 일치하는 요청이 발견되면 큐에서 요청을 가져와 응답을 처리하는 데 사용합니다.

    • 일치하는 요청이 없으면 응답이 무시되고 삭제됩니다.

Diameter가 NASREQ 클라이언트에 요청 시간 초과를 알리면 다음 조치 중 하나가 발생합니다.

  • 요청이 응답 큐에 없는 경우 제한시간은 무시됩니다.

  • 이 요청에 대한 재시도 카운터가 구성된 request-retry 값보다 작으면 authd는 요청을 다시 보내고 해당 요청에 대한 재시도 카운터를 증가시킵니다.

  • 이 요청에 대한 재시도 카운터가 구성된 값보다 크거나 같으면 authd는 요청 제한시간을 처리하고 전송 대기열에 있는 다음 요청을 NASREQ 서버로 보냅니다.

구성된 제한 시간이 만료되면 인증은 전송 대기열에서 만료된 아웃바운드 패킷을 제거하고 시간 초과된 것으로 처리합니다.

Diameter NASREQ 프로토콜 사용의 이점

  • 은(는) RADIUS 서버를 사용하는 대신 외부 NASREQ 서버를 사용하여 가입자에게 인증 및 권한 부여를 제공할 수 있도록 합니다. 일부 고객 모델은 RADIUS 서버를 사용하지 않거나 Diameter 가입자 프로비저닝 모델로 전환할 때 RADIUS 서버 사용을 중단하려고 할 수 있습니다.

NASREQ(Diameter Network Access Server Application) 구성

가입자가 로그인할 때 가입자 인증 및 권한 부여를 위해 RADIUS 대안으로 NASREQ 클라이언트를 구성합니다.

인증 및 권한 부여를 위해 NASREQ를 구성하려면:

  1. NASREQ를 네트워크 요소와 연관된 Diameter 응용 프로그램(기능)으로 지정합니다.
  2. NASREQ를 Diameter 네트워크 요소 전달 함수 및 파티션으로 지정합니다.
  3. 가입자 인증 및 권한 부여를 위해 NASREQ를 지정합니다.
  4. 가입자 권한 부여만(인증 없음)에 대해서만 NASREQ를 지정합니다.
    메모:

    authorization-order를 모두 authentication-order 구성하면 가입자 유형에 따라 동작이 달라집니다. DHCP 가입자의 경우, 이(가) authorization-order 보다 우선합니다authentication-order. 다른 모든 가입자 유형의 경우 이(가) authentication-order 보다 우선합니다authorization-order.
  5. NASREQ 파티션의 대상 ID를 지정합니다.
  6. 전송을 위해 Diameter 엔진으로 보낼 최대 요청 수를 지정합니다. 이는 응답 큐의 최대 요청 수이기도 합니다.
  7. 요청에 대해 Diameter에서 시간 초과가 수신된 경우 Diameter 엔진으로 요청 전송을 다시 시도할 횟수를 지정합니다.
  8. 아웃바운드 패킷이 시간 초과로 선언되기 전에 전송 대기열에 남아 있는 시간(초)을 지정합니다.

관련 설명서