Protocolo base de diámetro
Descripción general del protocolo Diameter Base
El protocolo Diameter se define en RFC 3588, Diameter Base Protocol, y proporciona una alternativa a RADIUS que es más flexible y extensible. El protocolo base de Diameter proporciona servicios básicos a una o más aplicaciones (también denominadas funciones) que se ejecutan en una instancia de Diameter diferente. La aplicación individual proporciona la funcionalidad AAA extendida. Las aplicaciones que usan Diameter incluyen Gx-Plus, JSRC, NASREQ, PTSP y S6a. A partir de la versión 13.1R1 de Junos OS, la función de control de políticas y suscriptores desencadenados por paquetes (PTSP) ya no se admite.
Los pares de Diameter se comunican a través de una conexión confiable de capa de transporte TCP mediante el intercambio de mensajes de Diameter que transmiten estado, solicitudes y reconocimientos por medio de AVP de Diameter estándar y AVP específicos de la aplicación. La configuración de la capa de transporte de diámetro se basa en elementos de red de diámetro (DNE); se admiten varios DNE por instancia de Diameter. Actualmente solo se admite la instancia de diámetro maestra predefinida, pero puede configurar valores alternativos para muchos de los valores de instancia de diámetro maestra.
Cada DNE consta de una lista priorizada de pares y un conjunto de rutas que definen cómo se reenvía el tráfico. Cada ruta asocia un destino con una función (aplicación), una partición de función y una métrica. Cuando una aplicación envía un mensaje a un destino enrutado, todas las rutas de la instancia de protocolo Diameter se examinan en busca de una coincidencia. Cuando se ha seleccionado la mejor ruta al destino, el mensaje se reenvía mediante el DNE que incluye esa ruta.
Pueden existir múltiples rutas al mismo destino dentro de un DNE dado y en diferentes DNE. En el caso de varias rutas que coincidan con una solicitud de reenvío, la mejor ruta se selecciona de la siguiente manera:
Se selecciona la ruta con la métrica más baja.
En caso de empate, se selecciona la ruta con la puntuación de especificación más alta.
En caso de otro empate, los nombres de los DNE se comparan en orden lexicográfico. Se selecciona la ruta en el DNE con el valor más bajo. Por ejemplo, dne-austin tiene un valor más bajo que dne-boston.
Si las rutas están vinculadas dentro del mismo DNE, los nombres de las rutas se comparan en orden lexicográfico. Se selecciona la ruta con el valor más bajo.
La puntuación de especificación de una ruta es 0 de forma predeterminada. Los puntos se suman a la puntuación de la siguiente manera:
Si el dominio de destino coincide con la solicitud, agregue 1.
Si el host de destino coincide con la solicitud, agregue 2.
Si la función coincide con la solicitud, agregue 3.
Si la partición de la función coincide con la solicitud, agregue 4.
Pueden existir múltiples rutas al mismo destino dentro de un DNE dado y en diferentes DNE. En el caso de varias rutas que coincidan con una solicitud de reenvío, Diameter selecciona la mejor ruta de la siguiente manera:
Diameter compara la métrica de las rutas y selecciona la ruta con la métrica más baja.
Si varias rutas tienen la misma métrica más baja, Diámetro selecciona la ruta más calificada. Diameter evalúa varios atributos de la ruta para determinar una puntuación que refleja la forma en que cada ruta coincide específicamente con la solicitud. De forma predeterminada, la puntuación de una ruta es 0. Los puntos se suman a la puntuación de la siguiente manera:
Si el dominio de destino coincide con la solicitud, agregue 1.
Si el host de destino coincide con la solicitud, agregue 2.
Si la función coincide con la solicitud, agregue 3.
Si la partición de la función coincide con la solicitud, agregue 4.
Si varias rutas están igualmente calificadas, Diameter compara los nombres de los DNE en orden lexicográfico y selecciona la ruta en el DNE que tiene el valor más bajo. Por ejemplo, dne-austin tiene un valor más bajo que dne-boston.
Si las rutas están vinculadas dentro del mismo DNE, Diameter compara los nombres de las rutas en orden lexicográfico y selecciona la ruta con el valor más bajo.
Cuando cambia el estado de cualquier DNE, se vuelve a evaluar la búsqueda de ruta para todos los destinos. Todos los mensajes pendientes a destinos enrutados se redirigen según sea necesario o se descartan.
Para configurar un elemento de red Diameter, incluya la network-element instrucción en el nivel de [edit diameter] jerarquía y, a continuación, incluya la route instrucción en el nivel de [edit diameter network-element element-name forwarding] jerarquía.
Para configurar una ruta para el DNE, incluya las destination instrucciones (opcional), function (opcional) y metric en el [edit diameter network-element element-name forwarding route dne-route-name] nivel de jerarquía.
Especifique los pares de diámetro asociados con el DNE incluyendo una o más peer instrucciones en el nivel de [edit diameter network-element element-name] jerarquía.
Establezca la prioridad para cada par con la priority instrucción en el nivel de [edit diameter network-element element-name peer peer-name] jerarquía.
Diameter requiere que configure la información sobre el nodo de origen; este es el nodo de punto de conexión que origina Diameter para la instancia de Diameter. Incluya las host instrucciones and realm en el nivel de [edit diameter] jerarquía para configurar el origen de Diameter.
Opcionalmente, puede configurar uno o varios transportes para especificar la dirección de origen (local) de la conexión de la capa de transporte. Para configurar un transporte de diámetro, incluya la transport instrucción en el [edit diameter] nivel de jerarquía. A continuación, incluya la address instrucción en el nivel jerárquico [edit diameter transport transport-name] .
Opcionalmente, puede especificar un sistema lógico e instancia de enrutamiento para la conexión incluyendo las logical-system instrucciones and routing-instance en el [edit diameter transport transport-name] nivel de jerarquía. De forma predeterminada, Diameter utiliza el sistema lógico predeterminado y la instancia de enrutamiento predeterminada (utilizando la tabla de enrutamiento principal inet.0). El sistema lógico y la instancia de enrutamiento de la conexión de transporte deben coincidir con los del par, o se notifica un error de configuración.
Cada par de diámetro se especifica mediante un nombre. Los atributos del par incluyen la dirección y el puerto TCP de destino utilizado por las conexiones activas a este par. Para configurar un par Diameter, incluya la peer instrucción en el nivel de [edit diameter] jerarquía y, luego, incluya las address instrucciones y connect-actively en el nivel de [edit diameter peer peer-name] jerarquía.
Para configurar la conexión activa, incluya las port instrucciones and transport en el [edit diameter peer peer-name connect-actively] nivel de jerarquía. El transporte asignado identifica la dirección de origen de la capa de transporte utilizada para establecer conexiones activas con los pares. transport declaraciones.
Beneficios de usar Diameter
Diameter permite una menor carga en la red y los servidores al reportar información de uso a una frecuencia mucho menor en comparación con RADIUS. RADIUS implica actualizaciones periódicas independientes de los cambios de uso. Las aplicaciones de diámetro, como Gx, le permiten establecer umbrales con la correlación de empujes de estadísticas de uso del enrutador al PCRF. Luego, el PCRF puede realizar los ajustes apropiados a los servicios y costos.
Los servicios inalámbricos y la carga generalmente se realizan con aplicaciones de Diameter, pero los servicios de línea fija generalmente han utilizado una infraestructura basada en RADIUS. Los clientes con ofertas alámbricas e inalámbricas pueden reducir la complejidad y el costo de mantener infraestructuras separadas migrando sus operaciones de línea fija a su infraestructura inalámbrica existente basada en Diameter.
Las aplicaciones que se ejecutan sobre Diameter tienden a tener estado (algunas pueden estarlo, como NASREQ), mientras que RADIUS no tiene estado.
Múltiples protocolos de aplicación pueden ejecutarse sobre Diameter, como NASREQ, Gx, Gy, JSRC y S6a.
Mayor espacio de atributos que RADIUS, lo que permite una mayor cantidad de atributos estándar y específicos del proveedor (AVP) que RADIUS. Diameter también admite los atributos estándar de RADIUS, reservando AVP del 1 al 255 para ellos.
Mensajes utilizados por Diameter Applications
Junos OS es compatible con las siguientes aplicaciones de diámetro:
JSRC: una aplicación de Juniper Networks Diameter registrada en el AANI (http://www.iana.org) como Juniper Policy-Control-JSRC con un ID de 16777244. Se comunica con el SAE (par SRC remoto).
PTSP: una aplicación de Juniper Networks Diameter registrada con el AANI (http://www.iana.org) como Juniper JGx con un ID de 16777273. Se comunica con el SAE (par SRC remoto). A partir de la versión 13.1R1 de Junos OS, la función de control de políticas y suscriptores desencadenados por paquetes (PTSP) ya no se admite.
Gx-Plus: una aplicación que extiende la interfaz 3GPP Gx para casos de uso de línea fija. 3GPP Gx está registrado en la AANI (http://www.iana.org). Se comunica con un PCRF.
Si los datos para un AVP en particular incluidos en un mensaje no están disponibles para el enrutador, Gx-Plus simplemente omite el AVP del mensaje que envía al PCRF. Si el PCRF determina que no tiene información suficiente para tomar una determinación, puede denegar la solicitud. Los mensajes de respuesta de Diameter incluyen el código de resultado AVP (AVP 268); los valores de este AVP transmiten éxito, fracaso o errores al solicitante.
NASREQ: un protocolo de autenticación, autorización y contabilidad basado en el diámetro definido en RFC 7155. Junos OS solo admite autenticación y autorización.
Juniper Networks también ha registrado la aplicación Juniper-Session-Recovery (16777296) y dos nuevos códigos de comando (8388628 para Juniper-Session-Events y 8388629 para Juniper-Session-Discovery) en el AANI (http://www.iana.org).
En la Tabla 1 se describen los mensajes de diámetro que utilizan las aplicaciones.
Mensaje de diámetro |
Código |
Aplicación |
Descripción |
|---|---|---|---|
Solicitud de AA (AAR) |
265 |
JSRC, NASREQ, PTSP |
Solicitud de la aplicación al SAE en el inicio de sesión del nuevo suscriptor o durante la sincronización de la aplicación SAE. La solicitud puede ser de uno de estos tres tipos: autorización de dirección, solicitud de aprovisionamiento o sincronización. |
AA-Respuesta (AAA) |
265 |
JSRC, NASREQ, PTSP |
Respuesta del SAE al mensaje de solicitud de AA de la aplicación. |
Solicitud de sesión abortada (ASR) |
274 |
JSRC, NASREQ, PTSP |
Solicitud del SAE a la aplicación para cerrar la sesión de un suscriptor aprovisionado. |
Anular la sesión de respuesta (ASA) |
274 |
JSRC, NASREQ, PTSP |
Respuesta de la aplicación al mensaje de ASR de SAE. Si la aplicación envía la solicitud de cierre de sesión a AAA, el mensaje de ASA incluye una notificación de éxito (ACK). Si se produjo un error en el cierre de sesión, el mensaje de ASA incluye una notificación de error (NAK). |
Solicitud de contabilidad (ACR) |
271 |
JSRC, PTSP |
Solicitud de la SAE a la aplicación o de la solicitud a la SAE para estadísticas. |
Respuesta contable (ACA) |
271 |
JSRC, PTSP |
Respuesta al mensaje de ACR para proporcionar estadísticas para cada política instalada (servicio). |
Solicitud de intercambio de capacidades (CER) |
257 |
Gx-Plus |
Solicitud de un par a otro cuando los pares establecen una conexión de transporte; inicia la negociación de capacidades. El CER anuncia la identidad y las capacidades del par, como las aplicaciones y los mecanismos de seguridad admitidos. |
Respuesta de intercambio de capacidades (CEA) |
257 |
Gx-Plus |
Respuesta al mensaje de CER para anunciar las capacidades de este par. Si este par no tiene capacidades en común con el par que envió la CER, debe establecer el AVP de código de resultado en DIAMETER_NO_COMMON_APPLICATION y debe descartar la conexión. De lo contrario, los detalles de CEA establecen capacidades comunes entre los pares y les permiten establecer aún más la comunicación. |
Solicitud de control de crédito (CCR) |
272 |
Gx-Plus |
Solicite desde Gx-Plus al PCRF al iniciar sesión, cerrar sesión o actualizar el suscriptor. Una solicitud inicial (CCR-I) se envía cuando un suscriptor inicia sesión y se solicita a AAA que active la sesión del suscriptor. Gx-Plus vuelve a intentar el mensaje CCR-I si no se recibe un mensaje CCA-I del PCRF en 10 segundos. El mensaje CCR-I se vuelve a intentar hasta 3 veces. El mensaje CCR-I incluye el atributo Diameter AVP Subscription-Id (443) con el subatributo Subscription-Id-Type Diameter AVP (450) establecido en 4 (END_USER_PRIVATE) y el subatributo Subscription-Id-Data Diameter AVP (444) establecido en Si no se recibe CCA-I después de que se hayan enviado los 4 mensajes CCR-I, el primer mensaje más 3 reintentos, Gx-Plus comienza a enviar mensajes CCR-N. Los mensajes CCR-N se reintentan para siempre hasta que se recibe una respuesta correcta o fallida de la PCRF. Los mensajes CCR-N incluyen el AVP de fuente de aprovisionamiento de Juniper (código AVP 2101) configurado en local para notificar al PCRF que el enrutador tiene la autoridad para tomar una decisión local con respecto a la activación del servicio del suscriptor. Se envía un mensaje de solicitud de actualización (CCR-U) cuando se alcanza un umbral de uso. El CCR-U informa el uso real de todas las estadísticas. La PCRF puede devolver un mensaje CCA-U que incluye nuevos umbrales de monitoreo, activaciones de servicio y desactivaciones de servicio. Si se agota el tiempo de espera de PCRF en el informe CCR-U, el enrutador establece el umbral predeterminado en 10 minutos. Cuando el cambio en los valores de umbral es menor que el mínimo, los valores se ajustan a los mínimos. Por ejemplo, el aumento mínimo para la duración es de 10 minutos. También se envía un CCR-U para informar el estado de activación o desactivación del servicio. Cuando un servicio supervisado se desactiva independientemente del cierre de sesión de un suscriptor, la CCR-U indica que el servicio ya no está activo e incluye los datos de uso del servicio. Se envía una solicitud de terminación (CCR-T) al cerrar la sesión del suscriptor para informar al PCRF que se está terminando una sesión de suscriptor aprovisionada. Los mensajes CCR-T se reintentan para siempre hasta que se recibe una respuesta correcta de la PCRF. Cuando se desactiva un servicio supervisado como parte del cierre de sesión del suscriptor, el mensaje CCR-T incluye datos de uso supervisados para el servicio, como los bytes utilizados. |
Crédito-Control-Respuesta (CCA) |
272 |
Gx-Plus |
Respuesta del PCRF a un mensaje CCR. En respuesta a un CCR-I, la PCRF devuelve un mensaje CCA-I que indica éxito (DIAMETER_SUCCESS) o fracaso (DIAMETER AUTHORIZATION REJECTED) dependiendo de si el suscriptor tiene suficiente crédito para los servicios solicitados. Todas las demás respuestas se ignoran y se vuelve a intentar el CCR-I. En respuesta a un CCR-T, el PCRF devuelve un mensaje CCA-T que indica una terminación correcta con un valor de 2001 (DIAMETER SUCCESS) en el AVP de código de resultado. Todas las demás respuestas se ignoran y se vuelve a intentar el CCR-T. Un CCA-N es una respuesta a un CCR-N. |
Solicitud de descubrimiento de sesión de Juniper (JSDR) |
8388629 |
Gx-Plus |
Solicitud de descubrimiento del PCRF a Gx-Plus para descubrir sesiones de suscriptores en el enrutador. |
Juniper-Session-Discovery-Answer (JSDA) |
8388629 |
Gx-Plus |
Responder desde el enrutador a un mensaje JSDR; Describe la información de la sesión. El AVP de código de resultado incluye uno de los siguientes valores, o un valor de error:
|
Solicitud de evento de sesión de Juniper (JSER) |
8388628 |
Gx-Plus |
Solicitud del enrutador a PCRF con respecto a eventos que tienen lugar en el enrutador. Notifica al PCRF de ciertos eventos en el enrutador al incluir el AVP de tipo evento de Juniper (código AVP 2103). Los eventos reportados incluyen arranques fríos o calientes, solicitudes de descubrimiento explícito, cambios sustanciales de configuración, falta de respuesta o respuesta de error de PCRF y agotamiento de los recursos tolerantes a fallas. |
Juniper-Session-Event-Answer (JSEA) |
8388628 |
Gx-Plus |
Respuesta de PCRF a un mensaje JSER. |
Solicitud de perfil de inserción (PPR) |
288 |
JSRC, PTSP |
Solicitud del SAE al enrutador para activar o desactivar servicios para un suscriptor. |
Push-Profile-Answer (PPA) |
288 |
JSRC, PTSP |
Respuesta del enrutador al mensaje PPR de SAE. Incluye una notificación de éxito o error para cada uno de los comandos de activación o desactivación del servicio en la solicitud. |
Solicitud de reautenticación (RAR) |
258 |
Gx-Plus |
Solicitud de auditoría de la PCRF al enrutador para determinar si un suscriptor específico todavía está presente. El enrutador actualiza la clave de supervisión y los valores de umbral cuando se reciben en el RAR. |
Reautenticación y respuesta (RAA) |
258 |
Gx-Plus |
Responder desde el enrutador a un mensaje RAR; Indica si el suscriptor está activo. El AVP de código de resultado incluye uno de los siguientes valores:
|
Consulta-de-recursos-de-sesión (SRQ) |
277 |
JSRC, PTSP |
Solicite desde el enrutador al SAE o desde el SAE al enrutador para iniciar la sincronización entre el enrutador y el SAE. |
Respuesta de recursos de sesión (SRR) |
277 |
JSRC, PTSP |
Responda al mensaje SRQ para iniciar la sincronización. |
Solicitud de terminación de sesión (STR) |
275 |
JSRC, NASREQ, PTSP |
Notificación del enrutador al SAE de que un suscriptor aprovisionado ha cerrado la sesión. |
Respuesta-terminación-de-sesión (STA) |
275 |
JSRC, NASREQ, PTSP |
Respuesta del SAE al mensaje STR del enrutador. Incluye una notificación de éxito o fracaso. |
AVP de diámetro y aplicaciones de diámetro
Diameter transmite información al incluir varios pares atributo-valor (AVP) en los mensajes de Diameter, de la misma manera que RADIUS transmite información tanto en los atributos estándar de GTI-I RADIUS como en los atributos específicos del proveedor (VSA). En la Tabla 2 se enumeran los AVP de diámetro estándar utilizados en interacciones con las aplicaciones de diámetro compatibles. Diameter reserva los números de atributo AVP del 0 al 255 para los atributos RADIUS que se implementan en Diameter; los números de atributo de diámetro son los mismos que para los atributos de RADIUS estándar correspondientes. Los atributos numerados superiores a 255 no tienen ningún atributo RADIUS estándar correspondiente. A partir de la versión 13.1R1 de Junos OS, la función de control de políticas y suscriptores desencadenados por paquetes (PTSP) ya no se admite.
Número de atributo |
Diámetro AVP |
Aplicación |
Descripción |
Tipo |
|---|---|---|---|---|
1 |
Nombre de usuario |
Gx-Plus, JSRC, NASREQ |
Especifica el nombre de usuario. Para un suscriptor administrado por AAA, el valor es el nombre de inicio de sesión del suscriptor. Para una interfaz estática, el valor es el nombre de interfaz, el cual se utiliza como nombre de inicio de sesión del suscriptor. |
Cadena UTF8 |
2 |
Contraseña de usuario |
NASREQ |
Especifica la contraseña del usuario que se va a autenticar o la entrada del usuario en un intercambio de autenticación de varias rondas. |
OctetString |
4 |
Dirección IP de NAS |
NASREQ |
Especifica la dirección IP del NAS que autentica al usuario. |
Dirección IP |
6 |
tipo de servicio |
NASREQ |
Especifica el tipo de servicio que el usuario ha solicitado o el tipo de servicio que se va a proporcionar. Uno de esos AVP puede estar presente en una solicitud o respuesta de autenticación o autorización. No se requiere un NAS para implementar todos estos tipos de servicio. |
Enumerado |
8 |
dirección IP enmarcada |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica la dirección IPv4 configurada para el suscriptor. Este es el mismo valor que para el atributo RADIUS Framed-IP-Address [8]. |
OctetString |
9 |
máscara de red de IP enmarcada |
NASREQ |
Identifica los cuatro octetos de la máscara de red IPv4. |
OctetString |
11 |
ID de filtro |
NASREQ |
Especifica el nombre de la lista de filtros para un usuario. Está destinado a ser legible por humanos. Es posible que se envíen cero o más AVP con ID de filtro en un mensaje de respuesta de autorización. |
Cadena UTF8 |
12 |
UMT enmarcada |
NASREQ |
Especifica la unidad máxima de transmisión (UMT) que se configurará para el usuario, cuando no se negocia por otros medios (como PPP). |
Sin firmar32 |
22 |
Ruta enmarcada |
NASREQ |
Especifica la información de enrutamiento US-ASCII de 7 bits. |
Cadena UTF8 |
25 |
Clase |
NASREQ |
Devuelve información de estado de un servidor Diameter al dispositivo de acceso. |
OctetString |
27 |
Tiempo de espera de sesión |
NASREQ |
Especifica el número máximo de segundos de servicio proporcionados al usuario antes de la finalización de la sesión. |
Sin firmar32 |
28 |
tiempo de espera de inactividad |
NASREQ |
Especifica el número máximo de segundos consecutivos de conexión inactiva que se permite al usuario antes de finalizar la sesión o antes de que se emita un mensaje. |
Sin firmar32 |
32 |
Identificador NAS |
NASREQ |
Especifica la identidad del NAS que proporciona servicio al usuario. |
DiamIdent |
44 |
ID de sesión de cuenta |
NASREQ |
Especifica el contenido del atributo RADIUS Acct-Session-ID. |
OctetString |
50 |
ID de sesión múltiple de cuenta |
NASREQ |
Vincula varias sesiones de contabilidad relacionadas, donde cada sesión tiene un ID de sesión único pero el mismo AVP de ID de sesión múltiple de cuenta. |
Cadena UTF8 |
55 |
Marca de tiempo del evento |
Gx-Plus, JSRC, PTSP |
Especifica la hora del evento que desencadenó el mensaje en el que se incluye este AVP. La hora se indica en segundos desde el 1 de enero de 1900 a las 00:00 UTC. |
Hora |
60 |
Desafío CHAP |
NASREQ |
Especifica el desafío PPP Challenge-Handshake Authentication Protocol (CHAP) enviado por el NAS al par CHAP. |
OctetString |
61 |
Tipo de puerto NAS |
NASREQ |
Especifica el tipo de puerto en el que el NAS autentica al usuario. |
Enumerado |
62 |
Límite de puerto |
NASREQ |
Especifica el número máximo de puertos que el NAS proporciona al usuario. |
Sin firmar32 |
78 |
token de configuración |
NASREQ |
Indica el tipo de perfil de usuario utilizado. |
OctetString |
85 |
Cuenta-interim-intervalo |
JSRC, PTSP |
Especifica el número de segundos entre cada actualización de contabilidad provisional para esta sesión. El enrutador utiliza las siguientes directrices para la contabilidad provisional:
|
Sin firmar32 |
87 |
ID de puerto NAS |
Gx-Plus, JSRC, NASREQ, PTSP |
Identifica el puerto del NAS que autentica al usuario. Este es el mismo valor que para el atributo RADIUS NAS-Port-Id [87]. |
Cadena UTF8 |
88 |
piscina enmarcada |
NASREQ |
Especifica el nombre de un grupo de direcciones asignado que se utilizará para asignar una dirección para el usuario. Si un NAS no admite varios grupos de direcciones, el NAS no tiene en cuenta este AVP. Los grupos de direcciones se utilizan normalmente para direcciones IP, pero se pueden utilizar para otros protocolos si el NAS admite grupos para esos protocolos. |
OctetString |
97 |
prefijo IPv6 enmarcado |
NASREQ |
Especifica el prefijo IPv6 configurado para el usuario. |
OctetString |
99 |
Ruta IPv6 enmarcada |
NASREQ |
Especifica la información de enrutamiento US-ASCII configurada para el usuario en el NAS. |
Cadena UTF8 |
100 |
grupo de IPv6 enmarcado |
NASREQ |
Especifica el nombre de un grupo asignado que se utilizará para asignar un prefijo IPv6 al usuario. Si el dispositivo de acceso no admite varios grupos de prefijos, debe ignorar este AVP. |
OctetString |
258 |
ID de aplicación de autenticación |
NASREQ |
Especifica la compatibilidad de la parte de autenticación y autorización de una aplicación. |
Sin firmar32 |
263 |
ID de sesión |
Gx-Plus, JSRC, NASREQ, PTSP |
Especifica el identificador de sesión del suscriptor. El enrutador asigna el valor para identificar de forma exclusiva una sesión de suscriptor. |
Cadena UTF8 |
264 |
Origin-Host |
NASREQ |
Especifica el host que origina un mensaje de diámetro. |
DiamIdent |
268 |
código de resultado |
Gx-Plus, JSRC, NASREQ, PTSP |
Indica si una solicitud se completó correctamente. Proporciona un código de error si se produjo un error en la solicitud. El diámetro reconoce las siguientes clases:
Las clases no reconocidas, que comienzan con los números 6-9 o 0, se manejan como fallas permanentes. JSRC y PTSP admiten los valores siguientes; Todos los valores de no éxito se tratan como fracasos permanentes:
JSRC también admite el siguiente valor, que se trata como una anomalía permanente:
Gx-Plus admite los siguientes valores para errores en una respuesta PCRF; Cuando se reciben estos valores o la respuesta tiene un formato incorrecto o es irreconocible, se vuelve a intentar la solicitud.
|
Sin firmar32 |
269 |
Nombre del producto |
Gx-Plus |
Especifica el valor del campo Nombre del producto en los mensajes Solicitud de intercambio de capacidades (CER) y Respuesta de intercambio de capacidades (CEA). El valor siempre es JUNOS a menos que se configure un nombre diferente con la Si cambia el nombre del producto, el enrutador desconecta todas las conexiones existentes a los pares de Diameter y se vuelve a conectar con el nuevo nombre. |
Cadena UTF8 |
277 |
estado de sesión de autenticación |
JSRC, NASREQ, PTSP |
Indica si se mantiene el estado de sesión AAA.
|
Enumerado |
279 |
AVP fallido |
NASREQ |
Especifica la información de depuración en los casos en que una solicitud se rechaza o no se procesa por completo debido a información errónea en un AVP específico. El valor del AVP de código de resultado proporciona información sobre el motivo del AVP de AVP fallido. |
Agrupado |
281 |
mensaje de error |
NASREQ |
Especifica un mensaje de error legible que puede acompañar a un AVP de código de resultado. El AVP de mensajes de error no está destinado a ser útil en tiempo real; No espere que las entidades de red analicen el mensaje. |
Cadena UTF8 |
283 |
Reino de destino |
NASREQ |
Especifica el reino Diameter al que se enruta el mensaje Diameter. |
DiamIdent |
293 |
Anfitrión de destino |
NASREQ |
Especifica el host al que se enruta un mensaje Diamter. |
DiamIdent |
295 |
Causa de terminación |
JSRC, NASREQ, PTSP |
Indica el motivo por el que se finalizó una sesión en el dispositivo de acceso.
|
Enumerado |
296 |
Reino de origen |
NASREQ |
Identifica el reino Diameter del originador de un mensaje Diameter. |
DiamIdent |
402 |
CHAP-Auth |
NASREQ |
Especifica la información necesaria para autenticar a un usuario mediante CHAP. |
Agrupado |
415 |
Número de solicitud CC |
Gx-Plus |
Identifica una solicitud dentro de una sesión. La combinación de ID de sesión y CC-Request-Type es única a nivel mundial. El número se incrementa por cada solicitud durante el transcurso de una sesión. El número se restablece cuando se produce un evento de alta disponibilidad del enrutador. |
Sin firmar32 |
416 |
Tipo de solicitud CC |
Gx-Plus |
Especifica el tipo de solicitud de control de crédito:
|
Enumerado |
431 |
Unidad de Servicio Concedido |
Gx-Plus |
Contiene la cantidad que se puede proporcionar de una o más de las siguientes unidades solicitadas especificadas por el cliente: CC-Input-Octets, CC-Output-Octets, CC-Time o CC-Total-Octets. Se incluye en los mensajes CCA-I y puede incluirse en los mensajes CCA-U. |
Agrupado |
443 |
id de suscripción |
Gx-Plus |
Contiene los siguientes subatributos que no aparecen solos:
|
Agrupado |
446 |
Unidad de servicio usado |
Gx-Plus |
Contiene la cantidad de las unidades solicitadas que se han utilizado realmente; medido desde 4 cuando se activa el servicio. Las unidades son una o más de las siguientes unidades solicitadas especificadas por el cliente: CC-Input-Octets, CC-Output-Octets, CC-Time o CC-Total-Octets. Incluido en los mensajes CCR-U. |
Agrupado |
480 |
Tipo-de-registro-contable |
JSRC, PTSP |
Especifica el tipo de registro de cuenta para la contabilidad de servicios:
|
Enumerado |
1001 |
Regla de carga-instalación |
Gx-Plus, NASREQ |
Solicita la instalación de la regla (activación del servicio) designada por el nombre de la regla de carga AVP incluido (1005). Este AVP tiene un ID de proveedor de 10415 (3GPP). |
Agrupado |
1002 |
Regla de carga-eliminación |
Gx-Plus |
Solicita la eliminación de la regla (desactivación del servicio) designada por el nombre de la regla de carga incluido AVP (1005). Este AVP tiene un ID de proveedor de 10415 (3GPP). |
Agrupado |
1005 |
nombre-de-la-regla-de-carga |
Gx-Plus, NASREQ |
Especifica el nombre de una regla específica que se ha instalado, modificado o quitado. |
OctetString |
1066 |
clave de monitoreo |
Gx-Plus |
Especifica cuál de las estructuras de supervisión se va a utilizar. Incluido en el AVP de carga-regla-instalación (1001). El enrutador MX no admite la agregación de estadísticas entre servicios, por lo que el valor de este AVP debe ser diferente para cada servicio. Este AVP tiene un ID de proveedor de 10415 (3GPP). |
OctetString |
1067 |
Información de monitoreo de uso |
Gx-Plus |
Establece umbrales de monitoreo. Cuando las estadísticas de servicio coinciden con al menos uno de los valores de servicio concedidos, el enrutador envía un informe CCR-U con las estadísticas actuales a la PCRF. Incluye el AVP de clave de supervisión (1066) y el AVP de la unidad de servicio concedido (431). Este AVP tiene un ID de proveedor de 10415 (3GPP). |
Agrupado |
Los AVP de Juniper Networks se utilizan además de los AVP de diámetro estándar. Estos AVP tienen un ID de proveedor (número de empresa) de 2636 o 4874 y son similares en concepto a los atributos específicos del proveedor (VSA) de RADIUS. La Tabla 3 enumera los AVP de Juniper Networks que utilizan las aplicaciones de Diameter compatibles.
Número de atributo |
Diámetro AVP |
ID del proveedor |
Aplicación |
Descripción |
Tipo |
|---|---|---|---|---|---|
213 |
Peso de destino de conjunto de interfaz |
4874 |
NASREQ |
Especifique un peso para un conjunto de interfaces a fin de asociarlo y sus vínculos de miembro a un vínculo de miembro Ethernet agregado para la distribución de destino. |
Sin firmar32 |
214 |
peso de destino de interfaz |
4874 |
NASREQ |
Especifique un peso para una interfaz a fin de asociarla a un conjunto de interfaces y, por lo tanto, al vínculo de miembro Ethernet agregado del conjunto para la distribución de destino. Cuando un conjunto de interfaces no tiene ponderación, se utiliza el valor de ponderación de interfaz para la primera interfaz de suscriptor autorizado para el conjunto. |
Sin firmar32 |
2004 |
Paquete de servicio de Juniper |
2636 |
JSRC |
Especifica el nombre del paquete de servicios. |
OctetString |
2010 |
juniper-DHCP-options |
2636 |
JSRC |
Especifica las opciones de DHCP del cliente. |
OctetString |
2011 |
dirección juniper-dhcp-gi |
2636 |
JSRC |
Especifica la dirección IP del agente de retransmisión DHCP. |
OctetString |
2020 |
Instalación de políticas de Juniper |
2636 |
JSRC, PTSP |
Especifica las políticas que se activarán para el suscriptor. Incluye Juniper-Policy-Name y Juniper-Policy-Definition |
Agrupado |
2021 |
nombre-de-politic-de-juniper |
2636 |
JSRC, PTSP |
Define el nombre de una decisión de política. |
OctetString |
2022 |
Definición de política de Juniper |
2636 |
JSRC, PTSP |
Define una decisión de política. Incluye juniper-policy-name, juniper-template-name y juniper-substitution. |
Agrupado |
2023 |
nombre-de-plantilla-de-juniper |
2636 |
JSRC, PTSP |
Especifica el nombre de perfil definido por el enrutador. El PTSP solo admite la plantilla de |
Cadena UTF8 |
2024 |
Cambio en Juniper |
2636 |
JSRC, PTSP |
Define los atributos de sustitución. Incluye juniper-substitution-name y juniper-substitution-value. |
OctetString |
2025 |
nombre-de-sustitución-de-juniper |
2636 |
JSRC, PTSP |
Define el nombre de la variable que se va a reemplazar. |
OctetString |
2026 |
Valor de sustitución de Juniper |
2636 |
JSRC, PTSP |
Define el valor de la variable que se va a reemplazar. |
OctetString |
2027 |
Eliminar política de Juniper |
2636 |
JSRC, PTSP |
Especifica las políticas que se desactivarán para el suscriptor. Incluye juniper-policy-name. |
Agrupado |
2035 |
Política de Juniper fallida |
2636 |
JSRC, PTSP |
Especifica el nombre de la activación o desactivación de políticas que produjo un error. |
OctetString |
2038 |
Éxito de la política de Juniper |
2636 |
JSRC, PTSP |
Especifica el nombre de la activación o desactivación de la política que se realizó correctamente. |
OctetString |
2046 |
Sistema lógico de Juniper |
2636 |
JSRC, PTSP |
Especifica el sistema lógico. |
Cadena UTF8 |
2047 |
Instancia de enrutamiento de Juniper |
2636 |
JSRC, PTSP |
Especifica la instancia de enrutamiento. |
Cadena UTF8 |
2048 |
juniper-jsrc-partition |
2636 |
JSRC, PTSP |
Especifica el sistema lógico y la instancia de enrutamiento para el suscriptor o la solicitud. Incluye el sistema lógico de Juniper y la instancia de enrutamiento de Juniper |
Agrupado |
2050 |
Tipo de solicitud de Juniper |
2636 |
JSRC, PTSP |
Describe el tipo de solicitud:
|
Enumerado |
2051 |
Tipo de sincronización de Juniper |
2636 |
JSRC, PTSP |
Describe el tipo de sincronización:
|
Enumerado |
2052 |
Sincronización de Juniper |
2636 |
JSRC, PTSP |
Describe el estado de sincronización:
|
Enumerado |
2053 |
Juniper-Acct-Record |
2636 |
JSRC, PTSP |
Especifica los datos estadísticos de cada política instalada para este suscriptor. Incluye juniper-policy-name. |
Agrupado |
2054 |
Juniper-Acct-Collect |
2636 |
JSRC, PTSP |
Especifica si se deben recopilar datos de contabilidad para la política instalada (servicio) cuando se incluye en el AVP Juniper-Policy-Install:
|
Enumerado |
2058 |
Juniper-State-ID |
2636 |
JSRC, PTSP |
Especifica el valor asignado a cada ciclo de sincronización con el fin de identificar los mensajes que se deben descartar. Todas las solicitudes solicitadas que contienen lo mismo
Nota:
En el caso de las solicitudes de sincronización solicitadas, el mensaje SRQ contiene el valor incrementado |
Sin firmar32 |
2100 |
Enrutador virtual de Juniper |
2636 |
Gx-Plus, JSRC |
Especifica el nombre del enrutador virtual asociado con la sesión. |
Cadena UTF8 |
2101 |
Fuente de aprovisionamiento de Juniper |
2636 |
Gx-Plus |
Especifica el origen de aprovisionamiento para la sesión en los mensajes CCR-N y JSDA:
|
Enumerado |
2102 |
descriptor de aprovisionamiento de Juniper |
2636 |
Gx-Plus |
Define el grupo utilizado en los mensajes JSDA que incluye el ID de sesión y, opcionalmente, el origen de aprovisionamiento de Juniper y los datos del suscriptor. |
Agrupado |
2103 |
Tipo de evento de Juniper |
2636 |
Gx-Plus |
Comunica el tipo de evento en los mensajes JSER:
|
Enumerado |
2104 |
descriptor de descubrimiento de Juniper |
2636 |
Gx-Plus |
Define el grupo utilizado en los mensajes JSDR y JSDA que incluye los parámetros de una solicitud de detección: tipo de detección, cadena de solicitud, verbosidad, resultados máximos. |
Agrupado |
2105 |
Tipo de descubrimiento de Juniper |
2636 |
Gx-Plus |
Especifica el subcomando de detección para los mensajes JSDR y JSDA:
|
Enumerado |
2106 |
Nivel de detalle de Juniper |
2636 |
Gx-Plus |
Especifica el nivel de detalle de los mensajes JSDR y JSDA:
|
Enumerado |
2107 |
Juniper-String-A |
2636 |
Gx-Plus |
Especifica una cadena genérica que se interpreta según el contexto. |
Cadena UTF8 |
2108 |
Juniper-String-B |
2636 |
Gx-Plus |
Especifica una cadena genérica que se interpreta según el contexto. |
Cadena UTF8 |
2109 |
Juniper-String-C |
2636 |
Gx-Plus |
Especifica una cadena genérica que se interpreta según el contexto. |
Cadena UTF8 |
2110 |
Juniper-Unsigned32-A |
2636 |
Gx-Plus |
Especifica un entero genérico de 32 bits sin signo que se interpreta según el contexto. |
Sin firmar32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gx-Plus |
Especifica un entero genérico de 32 bits sin signo que se interpreta según el contexto. |
Sin firmar32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gx-Plus |
Especifica un entero genérico de 32 bits sin signo que se interpreta según el contexto. |
Sin firmar32 |
2200 |
prefijo juniper-IPv6-NDRA |
2636 |
JSRC |
Si está disponible en la base de datos de sesiones del suscriptor Entrada IPv6Prefix, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
IPv6Prefijo |
2201 |
máscara de red IPv6 enmarcada por Juniper |
2636 |
JSRC |
Si está disponible en la entrada IPv6Address de la base de datos de sesiones del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Dirección IPv6 |
2202 |
ID de circuito del agente de Juniper |
2636 |
JSRC |
Identifica al suscriptor por nodo de acceso y línea de suscriptor. Si está disponible en la entrada de la base de datos de la sesión del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
OctetString |
2203 |
juniper-agent-remote-id |
2636 |
JSRC |
Identifica al suscriptor en el nodo de acceso. Si está disponible en la entrada de la base de datos de la sesión del suscriptor, este AVP se incluye en los mensajes de solicitud de aprovisionamiento de AAR enviados a la SAE. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
OctetString |
2204 |
Octetos de entrada de Juniper-acct-IPv6 |
2636 |
JSRC |
Número de octetos IPv6 recibidos en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
2205 |
Juniper-Acct-IPv6-Octetos de salida |
2636 |
JSRC |
Número de octetos IPv6 enviados en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
2206 |
paquetes de entrada juniper-acct-IPv6 |
2636 |
JSRC |
Número de paquetes IPv6 recibidos en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
2207 |
Paquetes de salida de Juniper-acct-IPv6-IPv6 |
2636 |
JSRC |
Número de paquetes IPv6 enviados en la interfaz. Este AVP se incluye en los mensajes de solicitud de contabilidad de ACR enviados a la SAE, incluso cuando el valor es cero. Este AVP solo se utiliza cuando se habilita la compatibilidad con la pila doble de JSRC. |
Sin firmar64 |
Los AVP de Tekelec se utilizan solo para Gx-Plus. Estos AVP tienen un número de empresa de 21274. La Tabla 4 enumera los AVP de Tekelec. Estas cuatro variables se utilizan para proporcionar valores de sustitución para las variables de servicio de CoS definidas por el usuario.
Número de atributo |
Diámetro AVP |
Aplicación |
Descripción |
Tipo |
|---|---|---|---|---|
5555 |
tekelec-cargo-rule-argumento-nombre |
Gx-Plus |
Define el nombre de la variable de servicio que se va a reemplazar. |
OctetString |
5556 |
tekelec-cargando-rule-argumento-valor |
Gx-Plus |
Define el valor de la variable de servicio que se va a reemplazar. |
OctetString |
5557 |
Argumento de la regla de carga de tekelec |
Gx-Plus |
Define los atributos de sustitución que se usan para reemplazar las variables de servicio. Incluye Tekelec-Charging-Rule-Argument-Name AVP (5555) y Tekelec-Charging-Rule-Argument-Value AVP (5556). |
Agrupado |
5558 |
Tekelec-Cargando-Regla-Con-Argumentos |
Gx-Plus |
Solicita la instalación de la regla (activación del servicio) designada por el nombre de la regla de carga AVP incluido (1005). Las sustituciones de variables de servicio solicitadas son proporcionadas por el Tekelec-Charging-Rule-Argument AVP (5557) incluido opcionalmente. |
Agrupado |
Configuración del diámetro
Para configurar Diameter, especifique el origen del punto de conexión, los pares remotos, la conexión de la capa de transporte y los elementos de red que asocian rutas con pares. Actualmente solo se admite la instancia maestra de Diameter. Puede configurar valores alternativos para esta instancia de Diameter solo en el contexto de la instancia de enrutamiento predeterminada.
Para configurar el protocolo base de Diameter:
Configuración de los atributos de origen de la instancia de diámetro
Puede configurar las características de identificación del nodo de punto de conexión que origina los mensajes de Diameter para la instancia de Diameter. El nombre de host se proporciona como el valor de Origin-Host AVP por la instancia de Diameter. El reino se proporciona como el valor de Origin-Realm AVP mediante la instancia de Diameter.
Para configurar los atributos de origen para una instancia de Diameter:
Configuración de pares de diámetro
Puede configurar los pares a los que Diameter envía mensajes. Diameter utiliza el sistema lógico y la instancia de enrutamiento predeterminados. El puerto 3868 se utiliza para conexiones activas a pares de forma predeterminada.
Para configurar un par remoto para una instancia de Diameter:
Por ejemplo, la siguiente configuración para el par p3 especifica una dirección IPv4, la instancia de enrutamiento ri8, el puerto de destino 49152, transporte t6, un origen del host 1 en example.com e incluye el AVP de estado de origen en los mensajes.
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Configuración del transporte de diámetro
Puede configurar uno o varios transportes para una instancia de Diameter a fin de establecer la dirección IPv4 o IPv6 para la conexión local y, opcionalmente, configurar un contexto de instancia de enrutamiento o sistema lógico. Diameter utiliza el sistema lógico y la instancia de enrutamiento predeterminados. El sistema lógico y la instancia de enrutamiento de la conexión de transporte deben coincidir con los del par, o se notifica un error de configuración. Varios pares pueden compartir el mismo transporte.
Para configurar un transporte para una instancia de Diameter:
Por ejemplo, la siguiente configuración para el transporte t1 especifica una dirección IPv6, un sistema lógico ls5 y una instancia de enrutamiento ri10.
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Configuración de elementos de red de diámetro
Un elemento de red de diámetro (DNE) consta de aplicaciones asociadas (denominadas funciones en la CLI), una lista de pares priorizados y un conjunto de reglas de reenvío. Las reglas de reenvío definen rutas individuales a través de un conjunto de destinos, aplicaciones y métricas asociados. Se debe configurar al menos un DNE por chasis para iniciar el proceso de Diámetro (jdiameterd).
Antes de configurar los elementos de red de Diameter, realice la siguiente tarea:
Defina los pares de diámetro. Consulte Configuración de pares de diámetro.
Para configurar un elemento de red Diameter:
Ejemplo: Configuración de la aplicación S6A
En este ejemplo, se muestra cómo configurar la aplicación S6a de autenticación basada en diámetro en el firewall de la serie SRX para recuperar información de autenticación del servidor del suscriptor.
Requisitos
En este ejemplo, se utiliza el siguiente hardware:
Cualquier firewall de la serie SRX
Antes de comenzar, lea Descripción general del protocolo Diameter Base.
Descripción general
En este ejemplo, se crea una partición S6a y se especifica el origen del punto de conexión, los pares remotos y los elementos de red que asocian rutas con pares para controlar el reenvío de diámetro de mensajes S6a. También puede crear una partición S6a en Actualmente solo se admite la instancia principal de Diameter. Puede configurar valores alternativos para la master instancia de diámetro solo en el contexto de la instancia de enrutamiento predeterminada.
Configuración
- Configure los parámetros de aplicación del perfil de acceso y el diámetro
- Configuración de interfaces Ethernet redundantes
- Configure zonas de seguridad y políticas de seguridad para permitir la aplicación S6A Diameter
Configure los parámetros de aplicación del perfil de acceso y el diámetro
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar los parámetros de aplicación del perfil y diámetro de acceso:
Especifique el perfil de acceso que se utilizará para el orden de autenticación.
[edit access-profile] user@host# set s6a_test
Especifique el orden en que se utilizan los métodos de autenticación.
[edit access profile] user@host# set s6a_test authentication-order s6a
Cree la partición o especifique el nombre de una partición existente.
[edit access] user@host# set s6a partition partition_name
Configure el reino de destino para la partición s6a.
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
Configure el host de destino para la partición s6a.
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
Especifique la instancia de Diameter para la partición s6a.
[edit access] user@host# set s6a partition partition_name diameter-instance master
Nota:Actualmente, solo se admite la instancia predeterminada de Diameter,
master, .Establezca un límite en la cantidad de solicitudes pendientes.
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
Configure la cantidad de tiempo en segundos antes de que el s6a deje de intentar enviar un mensaje de cierre de sesión del suscriptor.
[edit access] user@host# set s6a partition partition_name response-timeout 20
Incluya el nombre del reino que origina el mensaje Diameter.
[edit diameter] user@host# set origin realm zzz.com
Incluya el nombre del host que origina el mensaje de diámetro.
[edit diameter] user@host# set origin host s6a.zzz.com
Especifique el nombre del elemento de red.
[edit diameter] user@host# set network-element ne3
Asocie un par Diameter con el elemento de red.
[edit diameter] user@host# set network-element peer p3
Establezca la prioridad para el par.
[edit diameter] user@host# set network-element peer p3 priority 100
Especifique una ruta a la que se pueda llegar a través del elemento de red en función de las reglas de reenvío que defina.
[edit diameter] user@host# set network-element ne3 forwarding route r0
Especifique una métrica para la ruta.
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
Especifique la dirección IP del par Diameter.
[edit diameter] user@host# set peer p3 address 192.0.0.244
Especifique el puerto que Diameter utiliza para las conexiones activas al par.
[edit diameter] user@host# set peer p3 connect-actively port 63101
Resultados
Desde el modo de configuración, ingrese los comandos y show diameter para confirmar la show access configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de interfaces Ethernet redundantes
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar interfaces Ethernet redundantes:
Configure interfaces Ethernet redundantes.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configure zonas de seguridad y políticas de seguridad para permitir la aplicación S6A Diameter
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar políticas y zonas de seguridad:
Configure los servicios y protocolos del sistema en la interfaz reth1.0.
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
Establezca los servicios y protocolos del sistema en la interfaz reth0.0.
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
Configure las políticas de seguridad.
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificación del estado de S6A
Propósito
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Acción
Desde el modo operativo, escriba los show network-access s6a statecomandos , show network-access s6a statisticsy show network-access s6a statistics extensive para comprobar el estado de acceso a la red y las estadísticas de la aplicación s6a.
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
Significado
Los show network-access s6a statecomandos , show network-access s6a statisticsy show network-access s6a statistics extensive muestran el estado de la aplicación S6a y las estadísticas de la información de autenticación recuperada del servidor suscrito.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.