Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Servidores y parámetros de RADIUS para el acceso de suscriptores

La configuración de parámetros y opciones para servidores RADIUS es una parte importante de la configuración de administración de suscriptores. Después de definir los servidores de autenticación y contabilidad, configure opciones para todos los servidores RADIUS. También puede configurar perfiles de acceso que le permiten especificar parámetros de configuración de autenticación, autorización y contabilidad de acceso de suscriptores para suscriptores o grupos de suscriptores. La configuración del perfil anula la configuración global. Aunque algunas opciones están disponibles tanto en el nivel global como en el de perfil de acceso, muchas opciones solo están disponibles en los perfiles de acceso.

Después de crear un perfil de acceso, debe especificar dónde se utiliza el perfil con una access-profile instrucción; esto se conoce como asociar el perfil. Los perfiles de acceso se pueden asignar en varios niveles. Por ejemplo, algunos de los lugares en los que puede adjuntar perfiles de acceso

  • Globalmente para una instancia de enrutamiento.

  • En perfiles dinámicos.

  • En un mapa de dominio, que asigna opciones de acceso y parámetros de sesión para sesiones de suscriptores.

  • En las interfaces para VLAN dinámicas y VLAN dinámicas apiladas.

  • En la interfaz o en un grupo de suscriptores para suscriptores con interfaces configuradas estáticamente para el aprovisionamiento dinámico de servicios.

  • En agentes de retransmisión DHCP y servidores locales DHCP para clientes o suscriptores DHCP.

Dado que puede asociar perfiles de acceso en muchos niveles, el perfil de acceso más específico tiene prioridad sobre cualquier otra asignación de perfil para evitar conflictos. La autenticación y la contabilidad no se ejecutan a menos que adjunte el perfil.

Autenticación RADIUS y definición del servidor de contabilidad

Cuando utilice RADIUS para la administración de suscriptores, debe definir uno o varios servidores RADIUS externos con los que se comunique el enrutador para la autenticación y la contabilidad del suscriptor. Además de especificar la dirección IPv4 o IPv6 del servidor, puede configurar opciones y atributos que determinen cómo interactúa el enrutador con los servidores especificados.

Puede definir servidores y opciones de conectividad de RADIUS en el nivel jerárquico [edit access radius-server] , en el nivel jerárquico [edit access profile name radius-server] o en ambos niveles.

Nota:

El proceso AAA (authd) determina qué definiciones de servidor se deben usar de la siguiente manera:

  • Cuando las definiciones del servidor RADIUS solo están presentes en [edit access radius-server], authd utiliza esas definiciones.

  • Cuando las definiciones del servidor RADIUS solo están presentes en el perfil de acceso, authd utiliza esas definiciones.

  • Cuando las definiciones de servidor de RADIUS están presentes en ambos [edit access radius-server] y en el perfil de acceso, authd sólo utiliza las definiciones de perfil de acceso.

Para utilizar un servidor RADIUS, debe designarlo como servidor de autenticación, servidor de contabilidad o ambos, en un perfil de acceso. Debe hacerlo para los servidores independientemente de si están definidos en un perfil de acceso o en el [edit access radius-server] nivel de jerarquía.

Para definir servidores RADIUS y especificar cómo interactúa el enrutador con el servidor:

Nota:

Este procedimiento solo muestra el nivel jerárquico [edit access radius-server] . Opcionalmente, puede configurar cualquiera de estos parámetros en el [edit access profile profile-name] radius-server] nivel de jerarquía. Puede hacerlo además de la configuración global o en lugar de la configuración global. Cuando se aplica un perfil, la configuración del perfil anula la configuración global.
  1. Especifique la dirección IPv4 o IPv6 del servidor de RADIUS.
  2. (Opcional) Configure el número de puerto de contabilidad del servidor RADIUS.
  3. (Opcional) Configure el número de puerto que utiliza el enrutador para ponerse en contacto con el servidor de RADIUS.
  4. Configure el secreto (contraseña) necesario que el enrutador local pasa al cliente de RADIUS. Los secretos entre comillas pueden contener espacios.
  5. (Opcional) Configure el número máximo de solicitudes pendientes que puede mantener un servidor RADIUS. Una solicitud pendiente es una solicitud a la que el servidor de RADIUS aún no ha respondido.
  6. Configure la dirección de origen para el servidor de RADIUS. Cada solicitud de RADIUS enviada a un servidor de RADIUS utiliza la dirección de origen especificada. La dirección de origen es una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador.
  7. (Opcional) Configure los valores de reintento y tiempo de espera para los mensajes de autenticación y contabilidad.
    1. Configure cuántas veces el enrutador intenta ponerse en contacto con un servidor RADIUS cuando no ha recibido respuesta.
    2. Configure cuánto tiempo espera el enrutador para recibir una respuesta de un servidor RADIUS antes de volver a intentar el contacto.
    Nota:

    La duración máxima del reintento (el número de reintentos multiplicado por la duración del tiempo de espera) no puede superar los 2700 segundos. Se muestra un mensaje de error si configura una duración mayor.
    Nota:

    La retry configuración y timeout se aplica tanto a los mensajes de autenticación como a los de contabilidad, a menos que configure tanto la instrucción como la accounting-retry accounting-timeout instrucción. En ese caso, la configuración y timeout solo se aplica a los retry mensajes de autenticación.
  8. (Opcional) Configure los valores de reintento y tiempo de espera para los mensajes de contabilidad independientes de la configuración de los mensajes de autenticación.
    Nota:

    Debe configurar las accounting-retry instrucciones y accounting-timeout . Si no lo hace, el valor que configure se omitirá en favor de los valores configurados con las retry instrucciones y timeout .
    1. Configure cuántas veces el enrutador intenta enviar mensajes de contabilidad al servidor de contabilidad de RADIUS cuando no ha recibido respuesta.
    2. Configure cuánto tiempo espera el enrutador para recibir una respuesta de un servidor de contabilidad de RADIUS antes de volver a intentar la solicitud.
  9. (Opcional) Configure el enrutador para que se comunique con el servidor de RADIUS para las solicitudes de autenticación previa de identificación de línea lógica (LLID). Consulte Identificación de línea lógica de RADIUS.
  10. (Opcional) Configure el puerto que el enrutador supervisa para las solicitudes dinámicas (CoA) del servidor especificado. Consulte Administración dinámica de servicios con RADIUS.

Opciones de configuración que se aplican a todos los servidores de RADIUS

Puede configurar opciones de RADIUS que se apliquen a todos los servidores de RADIUS globalmente.

Para configurar las opciones de RADIUS globalmente:

  1. Especifique que desea configurar las opciones de RADIUS.
  2. (Opcional) Configure la velocidad a la que se envían las solicitudes de actualización provisional de RADIUS al servidor.
  3. (Opcional) Configure la desviación máxima permitida del intervalo de actualización configurado para que el enrutador envíe actualizaciones de contabilidad provisionales al servidor de RADIUS. La tolerancia es relativa al intervalo de actualización configurado.

    Por ejemplo, si la tolerancia se establece en 60 segundos, el enrutador envía actualizaciones de contabilidad provisionales no antes de 30 segundos antes del intervalo de actualización configurado. Cuando un suscriptor inicia sesión, la primera actualización de contabilidad provisional se puede enviar hasta 30 segundos antes (en promedio, 15 segundos antes).

    El intervalo de actualización se configura con la instrucción update-interval en el nivel jerárquico [edit access profile profile-name accounting] .

  4. (Opcional) Configure el número de solicitudes por segundo que el enrutador puede enviar a todos los servidores RADIUS configurados de forma colectiva. Limitar el flujo de solicitudes desde el enrutador a los servidores RADIUS permite evitar que los servidores RADIUS se inunden de solicitudes.
  5. (Opcional) Configure el número de segundos que espera el enrutador después de que no se pueda acceder a un servidor antes de volver a comprobar la conexión. Si el enrutador llega al servidor cuando expira el intervalo de reversión, el servidor se utiliza de acuerdo con el orden de la lista de servidores.
    Nota:

    También puede configurar el en un perfil de revert-interval acceso para anular este valor global. Consulte Configuración de opciones de perfil de acceso para interacciones con servidores RADIUS.
  6. (Opcional) Configure la duración de un período durante el cual los servidores de autenticación de RADIUS que no responden aún no se consideran inaccesibles o inactivos. Puede variar el período en función de si desea redirigir las solicitudes de autenticación más rápidamente a otro servidor o proporcionar al servidor que no responde más tiempo para recuperarse y responder.

    Consulte Configurar un período de gracia de tiempo de espera para especificar cuándo se considera que los servidores RADIUS están inactivos o no accesibles para obtener más información.

  7. (Opcional) Configure un valor de puerto NAS que sea único en todos los enrutadores de la serie MX de la red. Puede configurar un valor de puerto NAS que sea único solo dentro del enrutador o único en los distintos enrutadores MX de la red.

    Consulte Habilitar atributos únicos de puerto NAS (atributo RADIUS 5) para suscriptores para obtener más información.

Configurar un período de gracia de tiempo de espera para especificar cuándo se considera que los servidores RADIUS están inactivos o inaccesibles

Cuando un servidor de autenticación RADIUS no responde a ninguno de los intentos de una solicitud de autenticación determinada y se agota el tiempo de espera, authd anota el tiempo de referencia, pero no marca inmediatamente el servidor como inactivo (si hay otros servidores disponibles) o inalcanzable (si es el único servidor configurado). En su lugar, un temporizador de período de gracia configurable comienza a la hora de referencia. El período de gracia se borra si el servidor responde a una solicitud posterior antes de que expire el período.

Durante el período de gracia, el servidor no se marca como inactivo o inaccesible. Cada vez que se agota el tiempo de espera del servidor para las solicitudes posteriores a ese servidor, authd comprueba si el período de gracia ha expirado. Cuando la comprobación determina que el período de gracia ha expirado y el servidor aún no ha respondido a una solicitud, el servidor se marca como inaccesible o inactivo.

Usar un período de gracia corto le permite abandonar más rápidamente un servidor que no responde y dirigir las solicitudes de autenticación a otros servidores disponibles. Un período de gracia largo le da a un servidor más oportunidades para responder y puede evitar abandonar innecesariamente un recurso. Puede especificar un período de gracia más largo cuando solo tenga uno o un pequeño número de servidores configurados.

Para configurar el período de gracia durante el cual un servidor RADIUS que no responde no está marcado como inaccesible o inactivo:

  • Especifique la duración del período de gracia.

Configuración de opciones de perfil de acceso para interacciones con servidores RADIUS

Puede utilizar un perfil de acceso para especificar las opciones que el enrutador utiliza cuando se comunica con los servidores de autenticación y contabilidad de RADIUS para el acceso del suscriptor. En este procedimiento se describen las opciones que solo están disponibles en los perfiles de acceso. Para conocer las opciones que están disponibles tanto en el perfil de acceso como en el nivel global, consulte Servidores y parámetros de RADIUS para el acceso del suscriptor.

Para configurar las opciones del servidor de autenticación y contabilidad de RADIUS:

  1. Especifique que desea configurar las opciones de RADIUS.
  2. (Opcional) Configure el formato que utiliza el enrutador para identificar la sesión de contabilidad. El identificador puede tener uno de los siguientes formatos:

    • decimal—El formato predeterminado. Por ejemplo, 435264

    • description—En el formato, jnpr interface-specifier:subscriber-session-id. Por ejemplo, jnpr fastEthernet 3/2.6:1010101010101

  3. (Opcional) Configure el carácter delimitador que el enrutador inserta entre los valores del atributo RADIUS 31 (Calling-Station-ID).
  4. (Opcional) Configure la información que el enrutador incluye en el atributo 31 de RADIUS (Calling-Station-Id).

    Consulte Configurar un ID de estación llamante con opciones adicionales para obtener información detallada.

  5. (Opcional) Configure el enrutador para que utilice el comportamiento opcional que inserta el desafío aleatorio generado por el NAS en el campo Autenticador de solicitudes de paquetes de solicitud de acceso, en lugar de enviar el desafío aleatorio como el atributo CHAP-Challenge (atributo RADIUS 60) en los paquetes de solicitud de acceso. Este comportamiento opcional requiere que el valor del desafío sea de 16 bytes; de lo contrario, la instrucción se ignora y el desafío se envía como el atributo CHAP-Challenge.
  6. (Opcional) Configure el método que utiliza el enrutador para acceder a los servidores de autenticación y contabilidad de RADIUS cuando se configuran varios servidores:

    • direct: el método predeterminado, en el que no hay equilibrio de carga. El primer servidor configurado es el servidor primario; Se accede a los servidores en orden de configuración. Si no se puede acceder al servidor principal, el enrutador intenta comunicarse con el segundo servidor configurado, y así sucesivamente.

    • round-robin: el método que proporciona equilibrio de carga mediante la rotación de solicitudes de enrutador entre la lista de servidores RADIUS configurados. El servidor elegido para el acceso se rota en función del servidor que se utilizó por última vez. El primer servidor de la lista se trata como principal para la primera solicitud de autenticación, pero para la segunda solicitud, el segundo servidor configurado se trata como principal, y así sucesivamente. Con este método, todos los servidores configurados reciben aproximadamente el mismo número de solicitudes en promedio, por lo que ningún servidor tiene que manejar todas las solicitudes.

      Nota:

      Cuando no se puede acceder a un servidor RADIUS de la lista round-robin, se utiliza el siguiente servidor accesible de la lista round-robin para la solicitud actual. Ese mismo servidor también se usa para la siguiente solicitud porque está en la parte superior de la lista de servidores disponibles. Como resultado, después de una falla del servidor, el servidor que se usa ocupa la carga de dos servidores.

    • Para configurar el método que utiliza el enrutador para tener acceso a los servidores de contabilidad de RADIUS:

    • Para configurar el método que utiliza el enrutador para tener acceso a los servidores de autenticación de RADIUS:

  7. (Opcional) Configure el enrutador para que utilice el comportamiento opcional cuando una operación de CoA no pueda aplicar un cambio solicitado a una variable dinámica de perfil de cliente.

    El comportamiento opcional es que la administración de suscriptores no aplica ningún cambio a las variables dinámicas del perfil del cliente en la solicitud CoA y, luego, responde con un NACK. El comportamiento predeterminado es que la administración de suscriptores no aplica la actualización incorrecta, sino que aplica los demás cambios a las variables dinámicas del perfil del cliente y, luego, responde con un mensaje ACK.

  8. (Opcional) Configure el enrutador para que utilice un tipo de puerto físico para virtual autenticar clientes. El tipo de puerto se pasa en el atributo RADIUS 61 (tipo de puerto NAS). De forma predeterminada, el enrutador pasa un tipo de puerto de ethernet en el atributo RADIUS 61.
    Nota:

    Esta instrucción tiene prioridad sobre la instrucción nas-port-type si incluye ambas en el mismo perfil de acceso.
  9. (Opcional) Especifique la información que se excluye de la descripción de la interfaz que el enrutador pasa a RADIUS para incluirla en el atributo 87 de RADIUS (ID de puerto NAS). De forma predeterminada, la descripción de la interfaz incluye información del adaptador, el canal y la subinterfaz.
  10. (Opcional) Para los suscriptores de PPP de doble pila, incluya el VSA de control de liberación IPv4 (26-164) en la solicitud de acceso que se envía durante la asignación de direcciones IP a pedido y en los mensajes de contabilidad provisional que se envían para informar un cambio de dirección.

    Opcionalmente, configure un mensaje que se incluya en el VSA de control de liberación IPv4 (26–164) cuando se envíe al servidor de RADIUS

    La configuración de esta instrucción no tiene ningún efecto cuando no se configura la asignación o desasignación de direcciones IP a petición.

  11. (Opcional) Agregue VSA de la línea de acceso de Juniper Networks a los mensajes de solicitud de autenticación y contabilidad de RADIUS para los suscriptores. Si el enrutador no recibió ni procesó los atributos ANCP correspondientes del nodo de acceso, AAA solo proporciona lo siguiente en estos mensajes de RADIUS:

    • Downstream-Calculated-QoS-Rate (AANI 4874, 26-141): velocidad de transmisión de asesoramiento configurada por defecto.

    • Velocidad de QoS calculada ascendente (AANI 4874, 26-142): velocidad de recepción de asesoramiento configurada por defecto.

    A partir de la versión 19.2R1 de Junos OS, la juniper-access-line-attributes opción sustituye a la juniper-dsl-attributes opción. Para compatibilidad con versiones anteriores de scripts existentes, la juniper-dsl-attributes opción redirige a la nueva juniper-access-line-attributes opción. Le recomendamos que utilice .juniper-access-line-attributes

    Nota:

    La juniper-access-line-attributes opción no es compatible con versiones anteriores de Junos OS 19.1 o versiones anteriores. Esto significa que si configuró juniper-access-line-attributes la opción en Junos OS versión 19.2 o versiones superiores, debe realizar los siguientes pasos para cambiar a Junos OS versión 19.1 o versiones anteriores:

    1. Elimine la juniper-access-line-attributes opción de todos los perfiles de acceso que la incluyan.

    2. Realice la degradación del software.

    3. Agregue la juniper-dsl-attributes opción a los perfiles de acceso afectados.
  12. (Opcional) Configure el valor del atributo RADIUS del cliente 32 (identificador NAS), que se utiliza para las solicitudes de autenticación y contabilidad.
  13. (Opcional) Configure el cliente RADIUS para que utilice el formato extendido para el atributo 5 de RADIUS (puerto NAS) y especifique la anchura de los campos del atributo puerto NAS, el cual especifica el número de puerto físico del NAS que autentica al usuario.

    • Para suscriptores de Ethernet:

    • Para suscriptores de cajeros automáticos:

  14. (Opcional) Configure el carácter delimitador que el enrutador inserta entre los valores del atributo RADIUS 87 (ID de puerto NAS).
  15. (Opcional) Configure la información opcional que el enrutador incluye en el atributo 87 de RADIUS (ID de puerto NAS). Puede especificar una o varias opciones para que aparezcan en el orden predeterminado. Como alternativa, puede especificar tanto las opciones como el orden en que aparecen. Los pedidos son mutuamente excluyentes y se produce un error en la configuración si configura un ID de puerto NAS que incluya valores en ambos tipos de orden.

    Consulte Configurar un ID de puerto NAS con opciones adicionales y Configurar el orden en que aparecen los valores opcionales en el ID de puerto NAS para obtener información detallada.

  16. (Opcional) Configure el tipo de puerto que se incluye en el atributo 61 de RADIUS (tipo de puerto NAS). Esto especifica el tipo de puerto que el enrutador utiliza para autenticar a los suscriptores.
    Nota:

    Esta instrucción se omite si la configura ethernet-port-type-virtual en el mismo perfil de acceso.
  17. (Opcional) Configure el LAC para anular el formato de ID de estación de llamada configurado para el valor enviado en el número de llamada L2TP AVP 22. Puede anular el formato Calling-Station-ID y configurar el LAC para que utilice el ACI, el ARI o tanto el ACI como el ARI que se reciben del cliente L2TP en el paquete PADR. También puede especificar un delimitador que se usará entre los componentes de la cadena AVP y un valor de reserva que se usará cuando los componentes de reemplazo configurados no se reciban en el paquete PADR.
    Nota:

    Consulte Anular el formato de ID de estación llamante para el AVP del número de llamada para obtener más información.
  18. (Opcional) Anule el valor del atributo RADIUS NAS-IP-Address (4) en el LNS por el valor de la dirección IP del punto de conexión LAC de la sesión si está presente en la base de datos de la sesión. Si no está presente, se utiliza el valor del atributo original.
  19. (Opcional) Anule el valor del atributo RADIUS NAS-Port (5) en el LNS con el valor de la base de datos de la sesión si la información del puerto LAC NAS se transmitió al LNS en el AVP de información del puerto NAS de Cisco Systems (100). Si no está presente, se utiliza el valor del atributo original.
  20. (Opcional) Anule el valor del atributo RADIUS NAS-Port-Type (61) en el LNS con el valor de la base de datos de la sesión si la información del puerto LAC NAS se transmitió al LNS en el AVP de información del puerto NAS de Cisco Systems (100). Si no está presente, se utiliza el valor del atributo original.
  21. (Opcional) Configure un carácter delimitador para la cadena de ID de circuito remoto cuando utilice la remote-circuit-id-format instrucción para configurar la cadena que se utilizará en lugar del ID de la estación llamante en el número de llamada L2TP AVP 22. Si se configura más de un valor para el formato de ID de circuito remoto, el carácter delimitador se utiliza como separador entre los valores concatenados en la cadena de ID de circuito remoto resultante.
    Nota:

    Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el AVP del número de llamada.
  22. (Opcional) Configure el valor de reserva para que el LAC envíe el número de llamada L2TP AVP 22, ya sea el ID de estación de llamada configurado o la interfaz subyacente predeterminada. El uso del valor de reserva se activa cuando los componentes de la cadena de anulación que configuró con la remote-circuit-id-format instrucción (el ACI, el ARI o ACI y ARI) no son recibidos por el LAC en el paquete PPPoE Active Discovery Request (PADR).
  23. (Opcional) Configure el formato de la cadena que anula el formato del ID de la estación llamante en el AVP del número de llamada L2TP. Puede especificar el ACI, el ARI o ambos ACI y ARI.
    Nota:

    Debe configurar la override calling-circuit-id remote-circuit-id instrucción para el formato de ID de circuito remoto que se utilizará en el AVP del número de llamada.
  24. (Opcional) Configure el número de segundos que espera el enrutador después de que un servidor se haya vuelto inaccesible antes de realizar otro intento de comunicarse con el servidor. Si se puede acceder al servidor, se utiliza de acuerdo con el orden de la lista de servidores.
    Nota:

    También puede configurar esta opción para todos los servidores RADIUS. Consulte Opciones de configuración para servidores RADIUS.
  25. (Opcional) Configure si el suscriptor recién autenticado puede iniciar sesión correctamente cuando se produzcan errores de activación del servicio relacionados con errores de configuración durante el procesamiento authd de la solicitud de activación para la familia de direcciones del suscriptor. Puede especificar este comportamiento para los servicios configurados en perfiles dinámicos o en scripts de operación de Extensible Subscriber Services Manager (ESSM):

    • optional-at-login—La activación del servicio es opcional. El error de activación debido a errores de configuración no impide la activación de la familia de direcciones; Permite el acceso de los suscriptores. Los errores de activación del servicio debido a causas distintas a los errores de configuración provocan un error en la activación de la familia de redes. El intento de inicio de sesión finaliza a menos que otra familia de direcciones ya esté activa para el suscriptor.

    • required-at-login—Se requiere la activación del servicio. Si se produce un error de activación por cualquier motivo, se producirá un error en la activación de la familia de red. El intento de inicio de sesión finaliza a menos que otra familia de direcciones ya esté activa para el suscriptor.

  26. (Opcional) Especifique que el atributo RADIUS 5 (NAS-Port) incluye el ID de S-VLAN, además del ID de VLAN, para los suscriptores en interfaces Ethernet.

Configuración de un ID de estación telefónica con opciones adicionales

Utilice esta sección para configurar un valor alternativo para el ID de estación llamada (atributo 31 de RADIUS GTI-I) en un perfil de acceso en el enrutador de la serie MX.

Puede configurar el ID de la estación llamante para que incluya una o más de las siguientes opciones, en cualquier combinación, en la jerarquía [edit access profile profile-name radius options calling-station-id-format]:

  • Identificador de circuito de agente (agent-circuit-id): identificador del nodo de acceso del suscriptor y de la línea de suscriptor digital (DSL) en el nodo de acceso. La cadena del identificador de circuito del agente (ACI) se almacena en el campo de opción 82 de DHCP de los mensajes DHCP para el tráfico DHCP o en el VSA [26-1] del ID de circuito del foro DSL de los paquetes de control PPPoE Active Discovery Initiation (PADI) y PPPoE Active Discovery Request (PADR) para el tráfico PPPoE.

  • Identificador remoto de agente (agent-remote-id): identificador del suscriptor en la interfaz del multiplexor de acceso de línea de suscriptor digital (DSLAM) que inició la solicitud de servicio. La cadena del identificador remoto del agente (ARI) se almacena en el campo de opción 82 de DHCP para el tráfico DHCP o en el VSA [26-2] del foro DSL para el tráfico PPPoE.

  • Descripción de la interfaz (interface-description): valor de la interfaz.

  • Descripción de texto de la interfaz (interface-text-description): descripción de texto de la interfaz. La descripción del texto de la interfaz se configura por separado, utilizando la set interfaces interface-name description description instrucción o la set interfaces interface-name unit unit-number description description instrucción

  • dirección MAC (mac-address): dirección MAC del dispositivo de origen del suscriptor.

  • Identificador de NAS (nas-identifier): nombre del NAS que originó la solicitud de autenticación o contabilidad. El identificador NAS es el atributo GTI-I 32 de RADIUS.

  • VLAN (stacked-vlan)apilada: ID de VLAN apilada.

  • VLAN (vlan)—ID DE VLAN.

Si configura el formato del calling station-ID con más de un valor opcional, un carácter hash (#) es el delimitador predeterminado que el enrutador utiliza como separador entre los valores concatenados en la cadena resultante de calling station-id. Opcionalmente, puede configurar un carácter delimitador alternativo para que se utilice el ID de la estación llamante. En el siguiente ejemplo, se muestra el orden de salida cuando se configuran varios valores opcionales:

Para configurar un perfil de acceso para proporcionar información opcional en el ID de la estación llamante:

  1. Especifique el perfil de acceso que desea configurar.
  2. Especifique que desea configurar las opciones de RADIUS.
  3. Especifique el carácter no predeterminado que se utilizará como delimitador entre los valores concatenados en el ID de estación llamante.

    De forma predeterminada, la administración de suscriptores utiliza el carácter hash (#) como delimitador en las cadenas Calling-Station-ID que contienen más de un valor opcional.

  4. Configure el valor del identificador NAS (atributo RADIUS 32), que se utiliza para las solicitudes de autenticación y contabilidad.
  5. Especifique que desea configurar el formato del ID de la estación llamante.
  6. (Opcional) Incluya la descripción del texto de la interfaz en el ID de la estación llamante.
  7. (Opcional) Incluya el valor de descripción de la interfaz en el ID de la estación llamante.
  8. (Opcional) Incluya el identificador del circuito del agente en el ID de la estación llamante.
  9. (Opcional) Incluya el identificador remoto del agente en el ID de la estación llamante.
  10. (Opcional) Incluya el valor del identificador NAS configurado en el ID de la estación llamante.
  11. (Opcional) Incluya el ID de VLAN apilado en el ID de la estación que llama.
  12. (Opcional) Incluya el ID de VLAN en el ID de la estación llamante.
  13. (Opcional) Incluya la dirección MAC en el ID de la estación que llama.

Ejemplo: ID de estación llamante con opciones adicionales en un perfil de acceso

En el siguiente ejemplo, se crea un perfil de acceso denominado retailer01 que configura una cadena de ID de estación llamada que incluye las opciones Identificador NAS (fox), descripción de interfaz, identificador de circuito de agente e identificador remoto de agente.

La cadena resultante de Calling-Station-ID tiene el siguiente formato:

fox*ge-1/2/0.100:100*as007*ar921

Dónde:

  • El valor de NAS-Identifier es fox.

  • El carácter delimitador del ID de la estación llamante es * (asterisco).

  • El valor de descripción de la interfaz es ge-1/2/0.100:100.

  • El valor del identificador del circuito del agente es as007.

  • El valor del identificador remoto del agente es ar921.

Considere un ejemplo en el que todas las opciones están configuradas, pero no hay valores disponibles para el ID de circuito del agente, el ID remoto del agente o el identificador de VLAN apilado. Los otros valores son los siguientes:

  • Identificador NAS: solarium

  • Descripción de la interfaz: ge-1/0/0.1073741824:101

  • Descripción del texto de la interfaz: interfaz de ejemplo

  • dirección MAC—00:00:5E:00:53:00

  • Identificador de VLAN: 101

Estos valores dan como resultado el siguiente ID de estación llamante:

Filtrado de atributos de RADIUS y VSA de mensajes de RADIUS

Los atributos estándar y los atributos específicos del proveedor (VSA) recibidos en los mensajes de RADIUS tienen prioridad sobre los valores de atributo aprovisionados internamente. El filtrado de atributos consiste en elegir ignorar determinados atributos cuando se reciben en paquetes de Access Accept y excluir determinados atributos para que no se envíen al servidor de RADIUS. Si se ignoran los atributos recibidos del servidor RADIUS, se podrán utilizar los valores aprovisionados localmente en su lugar. Excluir atributos de ser enviados es útil, por ejemplo, para atributos que no cambian durante la vida útil de un suscriptor. Le permite reducir el tamaño del paquete sin pérdida de información.

Puede especificar atributos estándar de RADIUS y VSA que el enrutador o conmutador ignore posteriormente cuando se reciban en mensajes de aceptación de acceso de RADIUS. También puede especificar atributos y VSA que el enrutador o conmutador excluye de los tipos de mensajes RADIUS especificados. La exclusión significa que el enrutador o conmutador no incluye el atributo en los mensajes especificados que envía al servidor de RADIUS.

A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para que ignore o excluya los atributos estándar de RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la AANI y el número de VSA, respectivamente. Con este método de configuración flexible, puede configurar cualquier atributo estándar y VSA admitido por su plataforma para que se ignore o excluya. La configuración no tiene ningún efecto si configura atributos, proveedores y VSA no compatibles.

El método heredado le permite configurar solo aquellos atributos y VSA para los cuales la sintaxis de instrucción incluye una opción específica. Por lo tanto, puede usar el método heredado para omitir solo un subconjunto de todos los atributos que se pueden recibir en los mensajes de Access-Accept.

Para configurar los atributos ignorados o excluidos por su enrutador o conmutador:

  1. Especifique que desea configurar RADIUS en el perfil de acceso.
  2. Especifique que desea configurar cómo se filtran los atributos de RADIUS.
  3. (Opcional) Especifique uno o más atributos que desea que el enrutador o conmutador ignore cuando los atributos estén en los mensajes de acceso aceptado.

    • Método heredado: especifique la opción dedicada para el atributo:

    • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AANI y el número VSA:

  4. (Opcional) Configure un atributo que desee que el enrutador o conmutador excluya de uno o varios tipos de mensajes RADIUS especificados. No puede configurar una lista de atributos, pero puede especificar una lista de tipos de mensaje para cada atributo.

    • Método heredado: especifique la opción dedicada para el atributo y el tipo de mensaje:

    • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AANI, el número VSA y el tipo de mensaje:

En el siguiente ejemplo, se comparan los métodos de configuración heredados y flexibles para ignorar el atributo estándar de RADIUS, Framed-IP-Netmask (9), y los VSA de Juniper Networks, Ingress-Policy-Name (26-10) y Egress-Policy-Name (26-11).

  • Método heredado:

  • Método flexible:

En el siguiente ejemplo, se comparan los métodos de configuración flexibles y heredados para excluir el atributo estándar de RADIUS, Framed-IP-Netmask (9), y los VSA de Juniper Networks, Ingress-Policy-Name (26-10) y Egress-Policy-Name (26-11).

  • Método heredado:

  • Método flexible: especifique el número de atributo estándar o el ID de proveedor asignado por la AANI, el número VSA y el tipo de mensaje:

¿Qué sucede si especifica un atributo con ambos métodos en el mismo perfil? La configuración efectiva es el OR lógico de los dos métodos. Considere el siguiente ejemplo para el atributo estándar, accounting-delay-time (41):

El resultado es que el atributo se excluye de los cuatro tipos de mensajes: Accounting-Off, Accounting-On, Accounting-Start y Accounting-Stop. El efecto es el mismo que si se utiliza cualquiera de las siguientes configuraciones:

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, puede configurar el enrutador o conmutador para que ignore o excluya los atributos estándar de RADIUS y VSA especificando el número de atributo estándar o el ID de proveedor asignado por la AANI y el número de VSA, respectivamente.