Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

close
keyboard_arrow_left
list Table of Contents

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Pruebas AAA y solución de problemas

date_range 06-Dec-23

Pruebas de configuración AAA y solución de problemas

La administración de suscriptores admite una función de prueba que le permite comprobar la configuración AAA de un suscriptor. Puede usar la función de prueba para verificar la configuración AAA del suscriptor y para ayudar a solucionar o aislar los problemas de inicio de sesión del suscriptor. El proceso de prueba AAA crea una pseudosesión que autentica al suscriptor, asigna una dirección para el suscriptor y emite un paquete de inicio de contabilidad. A continuación, el proceso emite una solicitud de detención contable, libera la dirección y finaliza la pseudosesión.

Los resultados de la prueba AAA proporcionan detalles sobre los atributos que la administración de suscriptores asigna al suscriptor durante el inicio de sesión. Los atributos pueden ser asignados por RADIUS, un perfil dinámico, una configuración de interfaz estática o pueden asignarse estáticamente. Puede probar la configuración AAA para suscriptores DHCP, PPP y authd-lite. Para los clientes L2TP, el proceso de prueba AAA muestra todos los parámetros del túnel, pero no crea una sesión de túnel real.

Nota:

Los test aaa comandos admiten todos los atributos de origen RADIUS, tanto los atributos estándar de IETF como los VSA de Juniper Networks. Los atributos recibidos se muestran en la salida. Para obtener información acerca de los atributos RADIUS estándar, consulte Atributos IETF RADIUS compatibles con AAA Service Framework. Para obtener información acerca de los VSA de Juniper Networks, consulte VSA de Juniper Networks compatibles con AAA Service Framework.

Nota:

Los test aaa comandos no admiten la contabilidad de volumen y tiempo (Juniper Networks VSA 26-69 con un valor de 2). Si la contabilidad de volumen y tiempo está configurada para el suscriptor de prueba, el test comando reemplaza las estadísticas con estadísticas contables de solo tiempo.

Probar la configuración AAA de un suscriptor

Propósito

Muestra los atributos AAA que la administración de suscriptores asigna al suscriptor durante el inicio de sesión.

En el ejemplo siguiente se prueba la configuración AAA de un suscriptor PPP. Puede utilizar el comando para realizar una prueba similar para los suscriptores DHCP y el comando para probar a test aaa dhcp user los test aaa authd-lite user suscriptores authd-lite.

Acción

content_copy zoom_out_map
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
    ************User Attributes***********
         User Name -                              user45@test.net      
         Client IP Address -                      192.168.1.1       
         Client IP Netmask -                      255.255.0.0  
         Virtual Router Name -                    default          
         Agent Remote Id -                        NULL             
         Reply Message -                          NULL
         Primary DNS IP Address -                 0.0.0.0   
         Secondary DNS IP Address -               0.0.0.0   
         Primary WINS IP Address -                0.0.0.0          
         Secondary WINS IP Address -              0.0.0.0          
         Primary DNS IPv6 Address  -              ::
         Secondary DNS IPv6 Address  -            ::
         Framed Pool -                            not set          
         Class Attribute -                        TEST            
         Service Type -                           0                
         Client IPv6 Address -                    ::               
         Client IPv6 Mask -                       null             
         Framed IPv6 Prefix -                     ::/0
         Framed IPv6 Pool -                       not-set          
         NDRA IPv6 Prefix -                       not-set          
         Login IPv6 Host -                        ::               
         Framed Interface Id -                    0:0:0:0      
         Delegated IPv6 Prefix -                  ::/0  
         Delegated IPv6 Pool -                    not-set          
         User Password -                          $ABC123           
         CHAP Password -                          NULL             
         Mac Address -                            00:00:5E:00:53:ab
         Idle Timeout -                           600             
         Session Timeout -                        6000            
         Service Name (1) -                       cos-service(video_sch, nc_sch)
         Service Statistics (1) -                 1                
         Service Acct Interim (1) -               600              
         Service Activation Type (1) -            1                
         Service Name (2) -                       filter-service(in_filter, out_filter)
         Service Statistics (2) -                 2                
         Service Acct Interim (2) -               900              
         Service Activation Type (2) -            1                
         Cos shaping rate -                       100m             
         Filter Id -                              not set          
         Framed MTU -                             (null)           
         Framed Route -                           not set          
         Ingress Policy Name -                    not set          
         Egress Policy Name -                     not set          
         IGMP -                                   disabled         
         Redirect VR Name -                       default          
         Service Bundle -                         Null             
         Framed Ip Route Tag -                    not set          
         Ignore DF Bit -                          disabled         
         IGMP Access Group Name -                 not set          
         IGMP Access Source Group Name -          not set          
         MLD Access Group Name -                  not set          
         MLD Access Source Group Name -           not set          
         IGMP Version -                           not set          
         MLD Version -                            not set          
         IGMP Immediate Leave -                   disabled         
         MLD Immediate Leave -                    disabled         
         IPv6 Ingress Policy Name -               not set          
         IPv6 Egress Policy Name -                not set          
         Acct Session ID -                        1                
         Acct Interim Interval -                  750              
         Acct Type -                              1                
         Ingress Statistics -                     disabled         
         Egress Statistics -                      disabled         
         Chargeable user identity -               0                
         NAS Port Id -                            -0/0/0.0         
         NAS Port -                               4095             
         NAS Port Type -                          15               
         Framed Protocol -                        1                
         IPv4 ADF Rule -                          010100
         IPv4 ADF Rule -                          010101
         IPv6 ADF Rule -                          030100
         IPv6 ADF Rule -                          030101
    ****Pausing 10 seconds before disconnecting the test user*********
    Logging out subscriber
         Terminate Id -                           not set          
    Test complete. Exiting

Puede usar la opción con los test aaa dhcp user comandos y test aaa ppp user para comprobar la agent-remote-id ari autenticación de suscriptor DHCP y PPP en aquellas redes compatibles con DSL Forum Agent-Remote-Id (VSA 26-2).

Si especifica el ID de agente de foro DSL, el resultado incluye el valor especificado. Si no especifica el VSA, el valor de Agent-Remote-Id se muestra como NULL.

content_copy zoom_out_map
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”

    Authentication Grant
    ************User Attributes***********
         User Name -                              thomastank
         Client IP Address -                      192.168.1.1
         Client IP Netmask -                      255.255.0.0
         ...
         NAS Ip Address -                         0.0.0.0
         Agent Remote Id -                        (202)555–1212
         ...

En el ejemplo siguiente se muestra el resultado cuando se produce un error en la concesión de autenticación debido a una contraseña no válida:

content_copy zoom_out_map
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
    Reason : Access Denied
    Received Attributes :
         User Name -                              user45@test.net    
         Client IP Address -                      0.0.0.0          
         Client IP Netmask -                      0.0.0.0          
         Virtual Router Name -                    default          
         Agent Remote Id -                        NULL             
         Reply Message -                          NULL             
         Primary DNS IP Address -                 0.0.0.0          
         Secondary DNS IP Address -               0.0.0.0          
         Primary WINS IP Address -                0.0.0.0          
         Secondary WINS IP Address -              0.0.0.0          
         Primary DNS IPv6 Address  -              ::               
         Secondary DNS IPv6 Address  -            ::               
         Framed Pool -                            not set          
         Class Attribute -                        not set          
         Service Type -                           0                
         Client IPv6 Address -                    ::               
         Client IPv6 Mask -                       null             
         Framed IPv6 Prefix -                     ::/0             
         Framed IPv6 Pool -                       not-set          
         NDRA IPv6 Prefix -                       not-set          
         Login IPv6 Host -                        ::               
         Framed Interface Id -                    0:0:0:0          
         Delegated IPv6 Prefix -                  ::/0             
         Delegated IPv6 Pool -                    not-set          
         User Password -                          55N33%%56        
         CHAP Password -                          NULL             
         Mac Address -                            00:00:5E:00:53:ab
         Filter Id -                              not set          
         Framed MTU -                             (null)           
         Framed Route -                           not set          
         Ingress Policy Name -                    not set          
         Egress Policy Name -                     not set          
         IGMP -                                   disabled         
         Redirect VR Name -                       default          
         Service Bundle -                         Null             
         Framed Ip Route Tag -                    not set          
         Ignore DF Bit -                          disabled         
         IGMP Access Group Name -                 not set          
         IGMP Access Source Group Name -          not set          
         MLD Access Group Name -                  not set          
         MLD Access Source Group Name -           not set          
         IGMP Version -                           not set          
         MLD Version -                            not set          
         IGMP Immediate Leave -                   disabled         
         MLD Immediate Leave -                    disabled         
         IPv6 Ingress Policy Name -               not set          
         IPv6 Egress Policy Name -                not set          
         Acct Session ID -                        12               
         Acct Interim Interval -                  0                
         Acct Type -                              0                
         Ingress Statistics -                     disabled         
         Egress Statistics -                      disabled         
         Chargeable user identity -               0                
         NAS Port Id -                            -0/0/0.0         
         NAS Port -                               4095             
         NAS Port Type -                          15               
         Framed Protocol -                        0                
    Test complete. Exiting

Para algunas redes, como una red de capa 2 con suscriptores de VLAN-OOB, RADIUS está configurado para proporcionar la dirección de suscriptor en un perfil de cliente con el VSA de nombre de perfil de cliente (26–174). En la configuración predeterminada, la prueba falla cuando no recibe una dirección de suscriptor directamente de RADIUS. Para probar correctamente estos suscriptores, debe incluir la no-address-request opción. El resultado del comando muestra el nombre del perfil de cliente en el campo Perfil dinámico y el nombre de la instancia de enrutamiento transmitida por el VSA del enrutador virtual (26-1) en el campo Instancia de enrutamiento.

content_copy zoom_out_map
user@host>test aaa ppp user thomastank no-address-request

    Authentication Grant
    ************User Attributes***********
         User Name -                              thomastank
         Client IP Address -                      0.0.0.0
         Client IP Netmask -                      0.0.0.0
         ...
         IPv6 Egress Policy Name -                not set          
         Dynamic Profile-                         filter-service
         Routing Instance -                       VR27fin
         ...

A partir de Junos OS versión 19.3R1, el formato de salida XML ha cambiado. Cada nombre de atributo de servidor RADIUS tiene un valor de atributo asociado. Cada uno de estos pares ahora está encerrado por la etiqueta <radius-server-data>. La nueva etiqueta facilita el reconocimiento de los pares nombre/valor, tanto para operadores como para clientes de API.

Nota:

Es posible que tenga que cambiar las secuencias de comandos que utilizan la salida XML para que funcione correctamente con el nuevo formato.

En el ejemplo siguiente se muestra un extracto de la salida XML de ejemplo en el formato antiguo:

content_copy zoom_out_map
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml

<rpc-reply xmlns:junos="namespace-URL">
    <aaa-test-result>
        <aaa-test-status>Authentication Grant</aaa-test-status>
        <aaa-test-status>************User Attributes***********</aaa-test-status>
        <radius-server-attribute-name>User Name -</radius-server-attribute-name>
        <radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
        <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
        <radius-server-attribute-value>default:default</radius-server-attribute-value>
        <radius-server-attribute-name>Service Type -</radius-server-attribute-name>
        <radius-server-attribute-value>Framed</radius-server-attribute-value>
        <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
        <radius-server-attribute-value>&lt;not set&gt;</radius-server-attribute-value>
...
  <aaa-test-status>Test complete. Exiting</aaa-test-status>
    </aaa-test-result>
    <cli>
        <banner></banner>
    </cli>
</rpc-reply>

En el ejemplo siguiente se muestra un extracto de la salida XML de ejemplo en el nuevo formato:

content_copy zoom_out_map
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml

<rpc-reply xmlns:junos="namespace-URL">
    <aaa-test-result>
        <aaa-test-status>Authentication Grant</aaa-test-status>
        <aaa-test-status>************User Attributes***********</aaa-test-status>
        <radius-server-data>
            <radius-server-attribute-name>User Name -</radius-server-attribute-name>
            <radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
        </radius-server-data>
        <radius-server-data>
            <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
            <radius-server-attribute-value>default:default</radius-server-attribute-value>
        </radius-server-data>
        <radius-server-data>
            <radius-server-attribute-name>Service Type -</radius-server-attribute-name>
            <radius-server-attribute-value>Framed</radius-server-attribute-value>
        </radius-server-data>
        <radius-server-data>
            <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
            <radius-server-attribute-value>&lt;not set&gt;</radius-server-attribute-value>
        </radius-server-data>
...
        <aaa-test-status>Test complete. Exiting</aaa-test-status>
    </aaa-test-result>
    <cli>
        <banner></banner>
    </cli>
</rpc-reply>

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.3R1
A partir de Junos OS versión 19.3R1, el formato de salida XML ha cambiado.
external-footer-nav