小编 RADIUS属性禁用和转换功能
RADIUS属性禁用和转换功能
不同厂商支持的RADIUS属性集不同,再加上各个厂商都有自己的私有属性,这就造成不同厂商间的RADIUS属性存在不兼容问题,进一步导致不同厂商设备之间发送的RADIUS属性相互无法解析。鉴于以上问题,在对接替换场景中经常使用RADIUS属性禁用功能和RADIUS属性转换功能。
RADIUS属性禁用功能
RADIUS服务器上定义的RADIUS属性与设备上相比,可能存在属性编号相同、名称相同、但封装的格式或内容不同的情形。此时,可以通过属性禁用功能禁用该属性,之后,设备接收到RADIUS服务器下发的该属性时,不会解析该属性;设备在发送RADIUS报文到服务器时,也不会封装该属性。
当前,设备支持禁用华为支持的RADIUS属性(即属性名称和编号华为支持),支持禁用发送的或者接收的RADIUS属性。
RADIUS属性转换功能
属性转换主要是为了兼容不同厂商RADIUS属性定义的差别。例如,华为设备通过私有属性Exec-Privilege(26-29)下发管理员用户的优先级,但某个厂商的接入设备和RADIUS服务器通过属性Login-service(15)下发管理员用户的优先级。在共用一台RADIUS服务器的情况下,用户希望华为设备能够兼容属性Login-service(15)。这种情况在华为设备上配置RADIUS属性转换,源属性为Login-service(15),目的属性为Exec-Privilege (26-29),当设备收到RADIUS认证回应报文解析到属性Login-Service(15)时,会自动当成Exec-Privilege (26-29)属性来处理。
对于发送方向,如果把属性A转换成属性B,那么设备在发送报文时,属性Type是B,但属性Value是按照属性A的内容与格式封装的;
对于接收方向,如果把属性A转换成属性B,那么设备在收到包含属性A的报文时,会把属性A的Value按照属性B的方式来解析,即配置了属性转换后,相当于收到的不是属性A,而是属性B。
华为支持的RADIUS属性和华为不支持的RADIUS属性之间能够进行转换,转换方式如表2-13所示。
其他厂家RADIUS属性Type字段长度为1个字节时,设备才支持对其进行转换。
源RADIUS属性和目的RADIUS属性的类型一致时,设备才支持对其进行转换。例如:RADIUS属性NAS-Identifier和NAS-Port-Id的类型都是string,两者支持转换;RADIUS属性NAS-Identifier和NAS-Port的类型分别是string和integer,两者不支持转换。
源RADIUS属性华为是否支持 | 目的RADIUS属性华为是否支持 | 支持转换的方向 | 对应的配置命令(RADIUS服务器模板视图) |
|---|---|---|---|
支持 | 支持 | 发送、接收 | radius-attribute translate src-attribute-name dest-attribute-name { receive | send | access-accept | access-request | account-request | account-response } * 说明: 该命令指定的参数之间是并集的关系,当同时指定转换方向和报文类型时,两者都生效。 |
支持 | 不支持 | 发送 | radius-attribute translate extend src-attribute-name vendor-specific dest-vendor-id dest-sub-id { access-request | account-request } * |
不支持 | 支持 | 接收 | radius-attribute translate extend vendor-specific src-vendor-id src-sub-id dest-attribute-name { access-accept | account-response } * |
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » RADIUS属性禁用和转换功能
作者: 小编
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm