Configuración CPAR AAA
Contenido
Introducción
Este documento describe el procedimiento en la autenticación del secretario del acceso de la prima de Cisco (CPAR), la autorización y la configuración de las estadísticas (AAA).
Este procedimiento solicita el entorno de un Openstack usando la versión de NEWTON donde salida no está manejando el CPAR y el CPAR está instalada directamente en la VM desplegada en Openstack.
Antecedentes
Ultra-M es una solución móvil virtualizada preembalada y validada de la base del paquete que se diseña para simplificar el despliegue de VNFs. OpenStack es el encargado virtualizado de la infraestructura (VIM) para Ultra-M y consiste en estos tipos de nodo:
- Cálculo
- Disco del almacenamiento del objeto - Cálculo (OSD - Cálculo)
- Regulador
- Plataforma de OpenStack - Director (OSPD)
La arquitectura de alto nivel de Ultra-M y los componentes implicados se representan en esta imagen:
Este documento se piensa para el personal de Cisco que es familiar con la plataforma de Cisco Ultra-M y detalla los pasos requeridos ser realizado en el OS de OpenStack y de Redhat.
Configuración CPAR
Configuración global
La configuración global del diámetro debe ser configurada con los valores apropiados, como el ID de la aplicación y el IP address del host de origen, el reino, el etc.,
Cd /Radius/Advanced/Diameter/ Diameter/ IsDiameterEnabled = TRUE General/ Product = CPAR Version = 7.3.0.3 AuthApplicationIdList = 1:5:16777264:16777265:16777272:16777250 AcctApplicationIdList = 3 TransportManagement/ Identity = aaa01.aaa.epc.mncxx.mccxx.3gppnetwork.org Realm = epc.mncxx.mccxx.3gppnetwork.org WatchdogTimeout = 500 ValidateIncomingMessages = FALSE ValidateOutgoingMessages = TRUE MaximumNumberofDiameterPackets = 8192 ReserveDiameterPacketPool = 0 DiameterPacketSize = 4096 AdvertisedHostName/ 1. aaa01.aaa.epc.mncxx.mccxx.3gppnetwork.org
/etc/hosts tiene que ser puesto al día con el IP address correspondiente que se resolverá para el nombre de dominio completo (FQDN) de la identidad AAA usado en la Administración y el hostname de transporte que se resolverán
Configuración del Cliente
La configuración del cliente debe ser configurada con los pares del diámetro donde se recibe el tráfico, en este caso DRACMAS.
Cd /Radius/Clients/ DRA01/ Name = DRA01 Description = Protocol = diameter HostName = x.x.x.x PeerPort = 3868 Vendor = IncomingScript~ = OutgoingScript~ = AdvertisedHostName = UserLogEnabled = FALSE AdvertisedRealm = InitialTimeout = 3000 MaxIncomingRequestRate = 0 KeepAliveTime = 0 AuthSessionStateInASR = No-State-Maintained SCTP-Enabled = FALSE TLS-Enabled = FALSE
Configuración rápida de las reglas
FastRules se utiliza para asociar el servicio correspondiente en el tiempo de ejecución basado en cierta condición, la condición se basa en los pares atribuidos del valor (AVP) y sus valores presentes en el mensaje del diámetro, si ningunas reglas rápidas lo correspondieron con seleccionan el servicio del valor por defecto.
Cd /Radius/FastRules/ FastRules/ RuleDefinitions/ Entries 1 to 5 from 5 total entries Current filter: <all> r1/ Name = r1 Description = Used for HSS initiated Flows Protocol = diameter Condition = "1 OR 2" Success = author(3gpp-reverse) Failure = Rule(r2) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 304 2/ Name = 2 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 305 r2/ Name = r2 Description = Used for PGW Update procedure over S6b Protocol = diameter Condition = "1 AND 2" Success = author(s6b) Failure = Rule(r3) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = Request Attribute = Auth-Application-Id Value = 16777272 2/ Name = 2 Description = Dictionary = request Attribute = Diameter-Command-Code Value = 265 r3/ Name = r3 Description = OPTIONAL used for PGW Termination procedure Protocol = diameter Condition = "1 and 2" Success = author(null) Failure = Rule(r4) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = Request Attribute = Auth-Application-Id Value = 16777272 2/ Name = 2 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 275 r4/ Name = r4 Description = Used for SWm Termination procedure Protocol = diameter Condition = "1 and 2" Success = author(3gpp-auth) Failure = Rule(r5) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = request Attribute = Auth-Application-Id Value = 16777264 2/ Name = 2 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 275 r5/ Name = r5 Description = Used for SWm ReAuthorization Protocol = diameter Condition = "1 and 2" Success = Query(query) Failure = Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 265 2/ Name = 2 Description = Dictionary = request Attribute = Auth-Application-Id Value = 16777264 Order/ Radius/ Diameter/ 1. r1 Tacacs/
Si ninguno del FastRules antedicho correspondió con, el paquete se procesa según el servicio del valor por defecto.
Cd /Radius/ DefaultAuthenticationService~ = encrypted-imsi-service DefaultAuthorizationService~ = 3gpp-auth
Configuración de los servicios
La configuración de servicio es donde el servicio se define según la autenticación, requisito de la autorización:
/Radius/Services/ cd
El Encryprted-IMSI-servicio se utiliza para las autenticaciones EAP-AKA y con IMSI cifrado para los dispositivos de Apple. Si no requerido, fije el parámetro de EncryptedIMSI a falso
encrypted-imsi-service/ Name = encrypted-imsi-service Description = Type = eap-aka NumberOfQuintets = 1 AlwaysRequestIdentity = True EnableIdentityPrivacy = False EnableRollingPseudonymSecret = False PseudonymSecret = <encrypted> PseudonymRenewtime = "24 Hours" PseudonymLifetime = Forever NotificationService = Generate3GPPCompliantPseudonym = False EnableReauthentication = False UseOutagePolicyForReauth = False MaximumReauthentications = 16 ReauthenticationTimeout = 3600 ReauthenticationRealm = EnableEncryptedIMSI = True EncryptedIMSIDelimiter = NULL EncryptedIMSIKeyIdDelimiter = , DefaultPrivateKey = xxxxxxxxxxxxxxxxxxxxxxxx QuintetCacheTimeout = 0 AuthenticationTimeout = 120 QuintetGenerationScript~ = UseProtectedResults = False SendReAuthIDInAccept = False Subscriber_DBLookup = DiameterDB DiameterInterface = SWx ProxyService = dia-proxy The 3GPP service is used for Registration/Profiledownload from HSS over SWx; 3gpp-auth/ Name = 3gpp-auth Description = Type = 3gpp-authorization Protocol = diameter IncomingScript~ = OutgoingScript~ = removeuserdata SessionManager = sm1 DiameterProxyService = dia-proxy FetchLocationInformation = False
El servicio del diámetro-proxy se utiliza para seleccionar el remoteserver y puede definir la directiva del par, la opción de GroupFailover se utiliza como MultiplePeerPolicy, cuando hay peeres remotos múltiples y quiere agrupar lo mismo. También, defina el GroupTimeOutPolicy a la Conmutación por falla a los múltiples grupos
dia-proxy/ Name = dia-proxy Description = Type = diameter IncomingScript~ = rmserver OutgoingScript~ = MultiplePeersPolicy = GroupFailover GroupTimeOutPolicy = FailOver ServerGroups/ Entries 1 to 2 from 2 total entries Current filter: <all> Group_Primary_DRA/ Name = Group_Primary_DRA Metric = 0 IsActive = TRUE Group_Secondary_DRA/ Name = Group_Secondary_DRA Metric = 1 IsActive = TRUE
El ServerGroups antedicho se define en /Radius/GroupServers/
GroupServers/
Entries 1 to 2 from 2 total entries
Current filter: <all>
Group_Primary_DRA/
Name = Group_Primary_DRA
Description =
MultiplePeersPolicy = RoundRobin
PeerTimeOutPolicy = FailOver
DiaRemoteServers/
Entries 1 to 2 from 2 total entries
Current filter: <all>
DRA01/
Name = DRA01
Metric = 0
Weight = 0
IsActive = TRUE
DRA02/
Name = DRA02
Metric = 1
Weight = 0
IsActive = TRUE
Group_Secondary_DRA/
Name = Group_Secondary_DRA
Description =
MultiplePeersPolicy = RoundRobin
PeerTimeOutPolicy = FailOver
DiaRemoteServers/
Entries 1 to 4 from 4 total entries
Current filter: <all>
DRA03/
Name = DRA03
Metric = 0
Weight = 0
IsActive = TRUE
DRA04/
Name = DRA04
Metric = 2
Weight = 0
IsActive = TRUE
DRA05/
Name = DRA05
Metric = 1
Weight = 0
IsActive = TRUE
El servicio S6b se utiliza para procesar el procedimiento de la actualización PGW sobre S6b.
s6b/ Name = s6b Description = Type = 3gpp-authorization Protocol = diameter IncomingScript~ = OutgoingScript~ = SessionManager = DiameterProxyService = dia-proxy FetchLocationInformation = False
El 3gpp-reverse se utiliza para que los mensajes iniciados los HS sean procesados.
3gpp-reverse/ Name = 3gpp-reverse Description = Type = 3gpp-reverse-authorization IncomingScript~ = AAARTRCheck OutgoingScript~ = SessionManager = sm1 TranslationService =
El servicio de la interrogación se utiliza durante el procedimiento de la Re-autorización donde conseguir directamente el perfil actualizado del caché basado en el PPR recibido de los HS.
query/ Name = query Description = Type = diameter-query IncomingScript~ = OutgoingScript~ = removeuserdataquery UpdateSessionLastAccessTime = False SessionManagersToBeQueried/ 1. sm1 AttributesToBeReturned/ 1. Non-3GPP-User-Data 2. Service-Selection
El servicio nulo es apenas contestar con un éxito para el proceso de la terminación S6b pues no hay sesión ocultada sobre S6b.
null/ Name = null Description = Type = null IncomingScript~ = OutgoingScript~ =
Configuración de servidores remotos
Remoteservers se define con el peer remoto a quien los paquetes se envían del AAA como los HS. Si se utiliza DRACMA, después defina la misma información de DRACMAS en los clientes y RemoteServers;
RemoteServers/ DRA01/ Name = DRA01 Description = Protocol = diameter HostName = 10.169.48.235 DestinationPort = 3868 DestinationRealm = epc.mnc300.mcc310.3gppnetwork.org ReactivateTimerInterval = 300000 Vendor = IncomingScript~ = AAAReplaceResultCode OutgoingScript~ = rmdh MaxTries = 3 MaxTPSLimit = 0 MaxSessionLimit = 0 InitialTimeout = 3000 LimitOutstandingRequests = FALSE MaxPendingPackets = 0 MaxOutstandingRequests = 0 DWatchDogTimeout = 2500 SCTP-Enabled = FALSE TLS-Enabled = FALSE AdvertiseHostName = AdvertiseRealm =
Administrador de sesión
El administrador de sesión debe definir sobre la sesión que oculta, él trabaja la conjunción con el administrador de recursos. Refieren al administrador de sesión en 3gpp-auth, 3gpp-reverse y los servicios de la interrogación;
Cd /Radius/SessionManagers/ sm1/ Name = sm1 Description = Type = local EnableDiameter = True IncomingScript = OutgoingScript = AllowAccountingStartToCreateSession = FALSE SessionTimeOut = PhantomSessionTimeOut = SessionKey = User-Name:Session-Id SessionCreationCmdList = 268||305 SessionDeletionCmdList = 275 SessionRestorationTimeOut = 24h ResourceManagers/ 1. 3gpp 2. swmcache 3. per-user
Administrador de recursos
Definen para afectar un aparato los recursos y se asocian a los administradores de recursos a los administradores de sesión.
Utilizan a estos tres administradores de recursos.
Cd /Radius/ResourceManagers/ ResourceManagers/ 3gpp/ Name = 3gpp Description = Type = 3gpp EnableRegistrationFlow = TRUE EnableSessionTermination = false ReuseExistingSession = True HSSProxyService = dia-proxy Per-User/ Name = Per-User Description = Type = user-session-limit UserSessionLimit = 0 swmcache/ Name = swmcache Description = Type = session-cache OverwriteAttributes = FALSE QueryKey = Session-Id PendingRemovalDelay = 10 AttributesToBeCached/ 1. Non-3GPP-User-Data 2. Service-Selection QueryMappings/
Scripts
Esta tabla visualiza todos los scripts usados durante el proceso de los paquetes.
| Nombre |
Archivo de secuencia de comandos |
Punto de entrada |
Descripción |
| Clid |
test.tcl |
clid |
Busca la Appplication-identificación 16777264 y el código 268 del Diámetro-comando, consigue el valor username, y lo copia en el atributo llamar-estación-identificación de la petición de llegada. Este script se refiere en el scriptinpoint entrante del radio |
| rmserver |
test.tcl |
rm_server |
Busca el Servidor-Asignación-tipo atributo, si existe quita el campo del servidor remoto del pedido entrante. Este script se refiere en el scriptinpoint entrante del servicio del diámetro-proxy |
| removeuserdata |
libremoveuserdata.so |
removeUserData |
El script de Rex se utiliza a la en primer lugar controle la información recibida de los HS especialmente el “Non-3GPP-IP-Access” y “Non-3GPP-IP-Access-APN” ambos debe tener el valor “NON_3GPP_SUBSCRIPTION_ALLOWED (0)” y “Non_3GPP_APNS_ENABLE (0)” fallará la autorización. Seguido por una comparación simple del nombre APN recibida del mensaje de SWm DER (servicio-selección AVP) con la configuración APN descargada de los HS, si hay una coincidencia copia solamente los detalles específicos APN y quita el AVPs indeseado y prepara el DEA final hacia el ePDG. Si hay ninguna autorización de la coincidencia falla y si no hay servicio-selección AVP en DER todo el la información APN se envía sino como AVP externo. Este script se refiere en el scriptinpoint saliente 3gpp-auth |
| removeuserdataquery |
libremoveuserdataquery.so |
removeUserData |
El script de Rex se utiliza a la en primer lugar controle la información recibida de los HS especialmente el Non-3GPP-IP-Access y el Non-3GPP-IP-Access-APN que ambos deben tener el valor NON_3GPP_SUBSCRIPTION_ALLOWED (0) y Non_3GPP_APNS_ENABLE (0) falla la autorización. Seguido por una comparación simple del nombre APN recibida del mensaje de SWm DER (servicio-selección AVP) con la configuración APN descargada de los HS, si hay una coincidencia copia solamente los detalles específicos APN y quita el AVPs indeseado y prepara el DEA final hacia el ePDG. Si hay ninguna autorización de la coincidencia falla y si no hay servicio-selección AVP en DER todo el la información APN se envía sino como AVP externo. Este script se refiere en el scriptinpoint serviceOutgoing de la interrogación |
| hacia fuera |
test.tcl |
newsessionState |
Script entrante del servicio de representación diámetro – usado para unset el Sticky para los mensajes que se procesan ya. Para ex; si MAR/MAA se recibe de DRA1, el usuario subsiguiente SAR utilizará el mismo DRA1 y si no está disponible y Sticky se mantiene, no hace Conmutación por falla. Para la Conmutación por falla para alternar DRACMAS este Sticky debe ser quitada. El script se utiliza para quitar el Visitar-Red-identificador hacia S6b SAR(PGW_update) HS. |
| rmdh |
test.tcl |
rmdh |
Quita DestinationHost AVP en los paquetes con DiameterCode 301 y 303. |
| rmvnid |
test.tcl |
rmvnid |
Quita el Visitar-Red-identificador AVP en los paquetes con DiameterCode 256 y el Servidor-Asignación-tipo es 13. |
| AAAReplaceResultCode |
test.tcl |
replaceResultCode |
Substituya el código de resultado AVP por la “prueba” en los paquetes con DiameterCode 274 y el código de resultado “Diámetro-Desconocido-Sesión-identificación” |
| AAARTRCheck |
librexblockRTR.so |
AAARTRCheck |
Cuando RTR múltiples se reciben para la misma sesión, el duplicado unos será suprimido y registrado. |
Algunos de los scripts no se pueden requerir en la versión más reciente, los scripts enumerados hacia fuera deben ser utilizados en la versión 7.3.0.3 CPAR
Todos los scripts están situados en la trayectoria /opt/CSCOar/scripts/radius/.
Configuración de registro CPAR
La carpeta /opt/CSCOar/logs salva todos los registros de aplicación. El fichero name_radius_1_log registra todas las peticiones caídas y rechazadas, así que es importante salvar este fichero para resolver problemas los propósitos.
El CPAR permite que una configuración muy flexible salve este registro según sus necesidades. De acuerdo con el requisito este valor se puede definir, aquí los últimos 20 archivos del registro se guarda, cada fichero con un tamaño del 5 Mb.
Para activar los parámetros específicos de este registro 2 se debe configurar en el modo del aregcmd:
/Radius/Advanced
LogFileSize = megabytes "5”
LogFileCount = 20
La convención para nombres del registro sigue la regla especificada en esta tabla:
| Descripción |
Nombre del archivo del registro |
| El último registro |
name_radius_1_log |
| 2do a registrar lo más tarde posible |
name_radius_1_log.01 |
| 3ro a registrar lo más tarde posible |
name_radius_1_log.02 |
| …. |
…. |
| vigésimo a registrar lo más tarde posible |
name_radius_1_log.19 |
Enumeración del registro del cuadro 2.
Valores de agotamiento del tiempo
El CPAR tiene descansos configurables del servidor. La disposición actual tiene este configuración:
Descansos generales situados en /Radius/Advanced
- DiameterStaleConnectionDeletionTimeOut 300000 (ms) este temporizador indicado cuánto tiempo una conexión del diámetro puede estar inactiva antes de la marca CPAR él como tragan.
Tiempos de espera agotados del cliente situados en el <client_name> de /Radius/Clients/
- El tiempo de InitialTimeout 3000 (ms) esperado una contestación de DRACMAS antes del CPAR lo considera inalcanzable.
Descansos del servidor remoto situados en el <remote_server_name> de /Radius/RemoteServers/
- El tiempo de InitialTimeout 3000 (ms) esperado una contestación de DRACMAS antes del CPAR lo considera inalcanzable.
- El tiempo de DWatchDogTimeout 2500 (ms) esperado una respuesta de DRACMAS para el paquete de DiamaterWatchDog antes del CPAR lo considera inalcanzable.
- Tiempo de ReactivateTimerInterval 300000 (ms) que el CPAR esperará hasta revisar a stablish una conexión con un par del diámetro.
Tamaño de paquetes del diámetro
Este documento dirige el significado del comando del tamaño de paquetes del diámetro y de las razones que le condujeron para mantener este parámetro al valor 4096.
Como se explica en la imagen antedicha, el tamaño de paquetes del diámetro máximo que el CPAR espera recibir es 4096 bytes. Este valor se configura bajo variable de DiameterPacketSize situada en el directorio de /Radius/Advanced/Diameter/TransportManagement. Todos los paquetes que no cumplen con este valor serán caídos. El tamaño de total de paquetes se obtiene después de agregar el tamaño de los atributos ocultados sesión más el tamaño del paquete del diámetro recibido.
Por ejemplo, déjenos consideran un tamaño de paquetes PPR de 4000 bytes y dentro de ese mensaje Non-3GPP-User-Data tiene tamaño de los bytes 3800. Si la sesión ha ocultado ya algunos atributos y tamaño del dato almacenado es 297 bytes, el tamaño de la sesión excede 4096 bytes y el mensaje es caído por el CPAR.
Durante el proyecto y el análisis de los paquetes más grandes de 4096 fueron realizados. Los resultados indican que en los paquetes de la media 36 (SAA) más en gran parte de 4096 llegan a cada caso CPAR por el día. Éstos número de paquetes no son tan significativo que es muy pequeño.
Este parámetro es configurable y se puede aumentar si es necesario. Sin embargo, el valor se aumenta más allá de 4096 exige algunas desventajas:
- Si el DiameterPacketSize se aumenta a 5KB, el CPAR validará bytes más grandes de los paquetes SAA de 4096. Sin embargo, si el PPR se inicia para la misma sesión del usuario, puesto que el tamaño de Non-3GPP-User-Data es 4260 bytes, la actualización de la sesión falla y lleva a la cancelación de la matrícula del usuario.
- DiameterPacketSize afecta directamente a la memoria de lanzamiento afectada un aparato al proceso del radio. Más grande es el DiameterPacketSize más grande es la cantidad de memoria de la RES afectada un aparato al proceso del radio en el lanzamiento CPAR.
Esta imagen muestra un ejemplo de la salida del comando top en un caso donde DiameterPacketSize se configura a 4096:
Si el parámetro de DiameterPackerSize se aumenta a 6000 la salida del comando top parece esto:
- Además a la asignación de memoria de lanzamiento, una vez que el sistema es funcionando, hay un almacenador intermediario interno de memoria dinámica que crece en relación con cuántos paquetes están golpeando el CPAR. Si por ejemplo 1000 paquetes golpean el CPAR en una punta, el CPAR afecta un aparato internamente en el almacenador intermediario 1000 * valor de DiameterPacketSize de la memoria, sin importar el tamaño de los paquetes individuales (el CPAR sabe que el DiameterPacketSize indica el tamaño máximo de paquete). Este almacenador intermediario de memoria interna afecta un aparato más memoria si se incrementa DiameterPacketSize y menos memoria si decremented.
Se recomienda para mantener este parámetro como 4096, pues era decidido que el número de paquetes más grandes de 4096 es insignificante y las desventajas plantearían el comportamiento indeseado.
Maneje las sesiones en el CPAR
El único mecanismo que existe en el CPAR para vigilar el número de sesiones está con el método explicado en este documento. No hay OID que puede ser extraído vía el SNMP que contiene esta información.
El CPAR es capaz de manejar las sesiones, ingresa el CPAR CLI con /opt/CSCOar/bin/aregcmd y la clave con las credenciales del administrador.
Con las cuenta-sesiones /r del comando todo el CPAR muestra todas las sesiones asociadas a él en ese momento.
Para ver más información de las sesiones el CPAR tiene las interrogación-sesiones /r todo del comando que da la información de todas las sesiones asociadas al CPAR.
Para apenas mostrar la información de una sesión específica, el comando puede ser cambiado y utilizar el valor de USUARIO, es decir: con-usuario 310310990007655 de /r de las interrogación-sesiones
Esta lista contiene todos los filtros posibles para el comando de las interrogación-sesiones:
- Todos
- CON-identificación
- CON-NAS
- Con-usuario
- Con-clave
- with-Age+
- Con-atributo.
Finalmente, separar las sesiones del CPAR, utilice las versión-sesiones /r todo del comando, y todas las sesiones asociadas a ese momento son separadas.
Un filtro se puede aplicar para separar una sesión específica.
Atributos (AVP) ocultados en CPAR AAA para las sesiones del suscriptor
Las ayudas primeras del secretario del acceso atribuyen el almacenamiento en memoria inmediata en los administradores de sesión que pueden ser utilizados para preguntar los datos. Este servicio de la Diámetro-interrogación contiene una lista de administradores de sesión que se preguntarán de y una lista de atributos (ocultados) que se volverán en el paquete del Acceso-validar en respuesta a una petición de la interrogación del DIÁMETRO. Esto es iniciada con un script del punto de extensión o a través de la regla y del motor de directivas fijándolo a una nueva variable de entorno nombrada Interrogación-Servicio.
El servicio de la interrogación del DIÁMETRO se debe seleccionar con un script del punto de extensión o a través de la regla y del motor de directivas fijándolo a una nueva variable de entorno nombrada Interrogación-Servicio. La razón de esto es que viene la petición de la interrogación del DIÁMETRO adentro pues una Acceso-petición y el servidor no tiene ninguna manera de saber si es una petición de la interrogación del DIÁMETRO o petición normal de la autenticación. La determinación de la variable de entorno del Interrogación-servicio dice a servidor primero del secretario del acceso que la petición es una petición de la interrogación del DIÁMETRO así que el servidor primero del secretario del acceso puede procesar la petición con el conjunto de servicio de la diámetro-interrogación en la variable de entorno del Interrogación-servicio.
Cuando un servicio de la interrogación del DIÁMETRO se selecciona para procesar una Acceso-petición, pregunta la lista configurada de administradores de sesión para un expediente que corresponde con usando el valor de QueryKey configurado en el administrador de recursos del sesión-caché referido bajo estos administradores de sesión como clave. Si se encuentra un expediente que corresponde con, Acceso-Validar que contiene una lista de atributos ocultados presentes (basado en la configuración) en el expediente correspondido con se devuelve al cliente. Si el caché de la sesión contiene un atributo polivalente, todos los valores de ese atributo se vuelven en la respuesta como atributo polivalente. Si no hay expediente que corresponde con, un paquete del Acceso-rechazo se envía al cliente.
El secretario primero del acceso introduce las puntas scripting en el administrador de sesión llano junto con los interfaces programables automatizados (APIs) para tener acceso a la información ocultada presente en el expediente de la sesión. Usted puede utilizar estas puntas y APIs scripting para escribir los scrips del punto de extensión para modificar la información ocultada.
En este momento, nuestro despliegue no tiene ningún script escrito ni hace uso de los APIs programables para tener acceso a tales datos pero la opción está allí.
Los atributos que nuestros almacenes del administrador de sesión en el momento están:
Puesto en hard-code en /radius/resourcemanagers/swmcache/AttributesToBeCached:
- Non-3GPP-User-Data
- Servicio-selección
Por abandono:
- Username (IMSI)
- Host de origen
- Auténtico-Aplicación-identificación
- Origen-reino
- ID de sesión
Tales atributos son visibles por la sesión cuando las interrogación-sesiones de este comando se utilizan en el CLI.
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshooting
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)