Pruebas y resolución de problemas de AAA
Pruebas de configuración y resolución de problemas de configuración AAA
La administración de suscriptores admite una función de prueba que le permite comprobar la configuración AAA de un suscriptor. Puede usar la función de prueba para verificar la configuración de AAA del suscriptor y para ayudar a solucionar o aislar los problemas de inicio de sesión del suscriptor. El proceso de prueba AAA crea una pseudosesión que autentica al suscriptor, asigna una dirección para el suscriptor y emite un paquete de inicio de contabilidad. Luego, el proceso emite una solicitud de detención de contabilidad, libera la dirección y finaliza la pseudosesión.
Los resultados de la prueba AAA proporcionan detalles sobre los atributos que la administración de suscriptores asigna al suscriptor durante el inicio de sesión. Los atributos pueden asignarse mediante RADIUS, un perfil dinámico, una configuración de interfaz estática o pueden asignarse estáticamente. Puede probar la configuración de AAA para suscriptores de DHCP, PPP y authd-lite. Para los clientes L2TP, el proceso de prueba AAA muestra todos los parámetros del túnel, pero no crea una sesión de túnel real.
Los test aaa comandos admiten todos los atributos de origen de RADIUS, tanto los atributos estándar de GTI-I como VSA de Juniper Networks. Los atributos recibidos se muestran en la salida. Para obtener información acerca de los atributos estándar de RADIUS, consulte Atributos GTI-I de RADIUS compatibles con el marco de servicio de AAA. Para obtener más información acerca de los VSA de Juniper Networks, consulte VSA de Juniper Networks compatibles con el marco de servicio AAA.
Los test aaa comandos no admiten la contabilidad de volumen-tiempo (Juniper Networks VSA 26-69 con un valor de 2). Si la contabilidad de volumen-tiempo está configurada para el suscriptor de prueba, el test comando sustituye las estadísticas por estadísticas de contabilidad de sólo tiempo.
Probar una configuración AAA de suscriptor
Propósito
Muestra los atributos AAA que la administración de suscriptores asigna al suscriptor durante el inicio de sesión.
En el ejemplo siguiente se prueba la configuración de AAA para un suscriptor PPP. Puede utilizar el test aaa dhcp user comando para realizar una prueba similar para los suscriptores de DHCP y el comando para probar los test aaa authd-lite user suscriptores de authd-lite.
Acción
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
Puede utilizar la opción con los test aaa dhcp user comandos y test aaa ppp user para comprobar la agent-remote-id ari autenticación del suscriptor DHCP y PPP en aquellas redes que admiten el DSL Forum Agent-Remote-ID (VSA 26-2).
Si especifica el ID remoto del agente del foro DSL, el resultado incluye el valor especificado. Si no especifica el VSA, el valor de Agent-Remote-ID se muestra como NULL.
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
En el siguiente ejemplo, se muestra el resultado cuando se produce un error en la concesión de autenticación debido a una contraseña no válida:
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
Para algunas redes, como una red de capa 2 con suscriptores VLAN-OOB, RADIUS está configurado para proporcionar la dirección del suscriptor en un perfil de cliente con el VSA de nombre de perfil de cliente (26–174). En la configuración predeterminada, la prueba falla cuando no recibe una dirección de suscriptor directamente de RADIUS. Para probar con éxito estos suscriptores, debe incluir la no-address-request opción. El resultado del comando muestra el nombre del perfil de cliente en el campo Perfil dinámico y el nombre de la instancia de enrutamiento transmitida por el VSA del enrutador virtual (26-1) en el campo Instancia de enrutamiento.
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
A partir de Junos OS versión 19.3R1, el formato de salida XML ha cambiado. Cada nombre de atributo del servidor RADIUS tiene un valor de atributo asociado. Cada uno de estos pares ahora está encerrado por la etiqueta <radius-server-data>. La nueva etiqueta facilita el reconocimiento de los pares nombre/valor, tanto para los operadores como para los clientes de API.
Es posible que tenga que cambiar los scripts que utilizan la salida XML para que funcionen correctamente con el nuevo formato.
En el ejemplo siguiente se muestra un extracto de ejemplo de salida XML en el formato antiguo:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
En el siguiente ejemplo, se muestra un extracto de ejemplo de salida XML en el nuevo formato:
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.