CPAR AAA-configuratie
Inhoud
Inleiding
Dit document beschrijft de procedure voor de configuratie van Cisco Prime Access Registrar (CPAR) voor verificatie, autorisatie en accounting (AAA).
Deze procedure is van toepassing op een OpenStack-omgeving met Newton-versie waarbij ESC geen CPAR beheert en CPAR direct op de op OpenStack geïmplementeerde VM is geïnstalleerd.
Achtergrondinformatie
Ultra-M is een voorverpakte en gevalideerde gevirtualiseerde mobiele packet-core-oplossing die is ontworpen om de implementatie van VNF's te vereenvoudigen. OpenStack is de Virtualized Infrastructure Manager (VIM) voor Ultra-M en bestaat uit de volgende knooppunten:
- Computeren
- Object Storage Disk - computing (OSD - computing)
- Controller
- OpenStack-platform - Director (OSPD)
De hoogwaardige architectuur van Ultra-M en de betrokken componenten worden in dit beeld weergegeven:
Dit document is bedoeld voor Cisco-personeel dat bekend is met Cisco Ultra-M platform en geeft de stappen aan die moeten worden uitgevoerd op OpenStack en Redhat OS.
CPAR-configuratie
Wereldwijde configuratie
De Diameter Global-configuratie moet worden geconfigureerd met de juiste waarden, zoals de Application-ID’s en het Host IP-adres, Real, enz. van oorsprong.
Cd /Radius/Advanced/Diameter/ Diameter/ IsDiameterEnabled = TRUE General/ Product = CPAR Version = 7.3.0.3 AuthApplicationIdList = 1:5:16777264:16777265:16777272:16777250 AcctApplicationIdList = 3 TransportManagement/ Identity = aaa01.aaa.epc.mncxx.mccxx.3gppnetwork.org Realm = epc.mncxx.mccxx.3gppnetwork.org WatchdogTimeout = 500 ValidateIncomingMessages = FALSE ValidateOutgoingMessages = TRUE MaximumNumberofDiameterPackets = 8192 ReserveDiameterPacketPool = 0 DiameterPacketSize = 4096 AdvertisedHostName/ 1. aaa01.aaa.epc.mncxx.mccxx.3gppnetwork.org
/etc/hosts moet worden bijgewerkt met het corresponderende IP-adres dat moet worden opgelost voor de AAA Identity Fully Qualified Domain Name (FQDN) die wordt gebruikt in transportbeheer en Hostname die moet worden opgelost
Clientconfiguratie
De clientconfiguratie moet worden geconfigureerd met de Diameter-peers waar het verkeer wordt ontvangen, in dit geval DRA.
Cd /Radius/Clients/ DRA01/ Name = DRA01 Description = Protocol = diameter HostName = x.x.x.x PeerPort = 3868 Vendor = IncomingScript~ = OutgoingScript~ = AdvertisedHostName = UserLogEnabled = FALSE AdvertisedRealm = InitialTimeout = 3000 MaxIncomingRequestRate = 0 KeepAliveTime = 0 AuthSessionStateInASR = No-State-Maintained SCTP-Enabled = FALSE TLS-Enabled = FALSE
Snelle configuratie van regels
FastRules wordt gebruikt om de bijbehorende service in de loop van de tijd in kaart te brengen op basis van bepaalde voorwaarde, de voorwaarde is gebaseerd op de Toegewezen Waardeparen (AVP) en de waarden ervan aanwezig in het diameterbericht, als er geen snelle regels overeenkwamen, selecteert het de Default-service.
Cd /Radius/FastRules/ FastRules/ RuleDefinitions/ Entries 1 to 5 from 5 total entries Current filter: <all> r1/ Name = r1 Description = Used for HSS initiated Flows Protocol = diameter Condition = "1 OR 2" Success = author(3gpp-reverse) Failure = Rule(r2) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 304 2/ Name = 2 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 305 r2/ Name = r2 Description = Used for PGW Update procedure over S6b Protocol = diameter Condition = "1 AND 2" Success = author(s6b) Failure = Rule(r3) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = Request Attribute = Auth-Application-Id Value = 16777272 2/ Name = 2 Description = Dictionary = request Attribute = Diameter-Command-Code Value = 265 r3/ Name = r3 Description = OPTIONAL used for PGW Termination procedure Protocol = diameter Condition = "1 and 2" Success = author(null) Failure = Rule(r4) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = Request Attribute = Auth-Application-Id Value = 16777272 2/ Name = 2 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 275 r4/ Name = r4 Description = Used for SWm Termination procedure Protocol = diameter Condition = "1 and 2" Success = author(3gpp-auth) Failure = Rule(r5) Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = request Attribute = Auth-Application-Id Value = 16777264 2/ Name = 2 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 275 r5/ Name = r5 Description = Used for SWm ReAuthorization Protocol = diameter Condition = "1 and 2" Success = Query(query) Failure = Attributes/ Entries 1 to 2 from 2 total entries Current filter: <all> 1/ Name = 1 Description = Dictionary = environment Attribute = Diameter-Command-Code Value = 265 2/ Name = 2 Description = Dictionary = request Attribute = Auth-Application-Id Value = 16777264 Order/ Radius/ Diameter/ 1. r1 Tacacs/
Als geen van de bovenstaande FastRules overeenkomt, wordt het pakket verwerkt zoals per Default Service.
Cd /Radius/ DefaultAuthenticationService~ = encrypted-imsi-service DefaultAuthorizationService~ = 3gpp-auth
Configuratie van services
Serviceconfiguratie is waarbij de service wordt gedefinieerd per verificatie, autorisatie en vereiste:
CD/RADIUS/SERVICES/
Encrypt-IMSI-Service wordt gebruikt voor EAP-AKA-verificaties en met IMSI-versleuteld voor Apple-apparaten. Indien niet vereist, stel de parameter EncryptedIMSI in op False
encrypted-imsi-service/ Name = encrypted-imsi-service Description = Type = eap-aka NumberOfQuintets = 1 AlwaysRequestIdentity = True EnableIdentityPrivacy = False EnableRollingPseudonymSecret = False PseudonymSecret = <encrypted> PseudonymRenewtime = "24 Hours" PseudonymLifetime = Forever NotificationService = Generate3GPPCompliantPseudonym = False EnableReauthentication = False UseOutagePolicyForReauth = False MaximumReauthentications = 16 ReauthenticationTimeout = 3600 ReauthenticationRealm = EnableEncryptedIMSI = True EncryptedIMSIDelimiter = NULL EncryptedIMSIKeyIdDelimiter = , DefaultPrivateKey = xxxxxxxxxxxxxxxxxxxxxxxx QuintetCacheTimeout = 0 AuthenticationTimeout = 120 QuintetGenerationScript~ = UseProtectedResults = False SendReAuthIDInAccept = False Subscriber_DBLookup = DiameterDB DiameterInterface = SWx ProxyService = dia-proxy The 3GPP service is used for Registration/Profiledownload from HSS over SWx; 3gpp-auth/ Name = 3gpp-auth Description = Type = 3gpp-authorization Protocol = diameter IncomingScript~ = OutgoingScript~ = removeuserdata SessionManager = sm1 DiameterProxyService = dia-proxy FetchLocationInformation = False
De dia-proxy service wordt gebruikt om de afstandsbediening te selecteren en kan peer-beleid definiëren, de Groupfailover optie wordt gebruikt als MultiplePeerPolicy, wanneer er meerdere externe peers zijn en wil hetzelfde groeperen. Definieer ook het GroupTimeOut-beleid naar failover naar meerdere groepen
dia-proxy/ Name = dia-proxy Description = Type = diameter IncomingScript~ = rmserver OutgoingScript~ = MultiplePeersPolicy = GroupFailover GroupTimeOutPolicy = FailOver ServerGroups/ Entries 1 to 2 from 2 total entries Current filter: <all> Group_Primary_DRA/ Name = Group_Primary_DRA Metric = 0 IsActive = TRUE Group_Secondary_DRA/ Name = Group_Secondary_DRA Metric = 1 IsActive = TRUE
De bovengenoemde servergroepen worden gedefinieerd in /Radius/GroupServers/
GroupServers/
Entries 1 to 2 from 2 total entries
Current filter: <all>
Group_Primary_DRA/
Name = Group_Primary_DRA
Description =
MultiplePeersPolicy = RoundRobin
PeerTimeOutPolicy = FailOver
DiaRemoteServers/
Entries 1 to 2 from 2 total entries
Current filter: <all>
DRA01/
Name = DRA01
Metric = 0
Weight = 0
IsActive = TRUE
DRA02/
Name = DRA02
Metric = 1
Weight = 0
IsActive = TRUE
Group_Secondary_DRA/
Name = Group_Secondary_DRA
Description =
MultiplePeersPolicy = RoundRobin
PeerTimeOutPolicy = FailOver
DiaRemoteServers/
Entries 1 to 4 from 4 total entries
Current filter: <all>
DRA03/
Name = DRA03
Metric = 0
Weight = 0
IsActive = TRUE
DRA04/
Name = DRA04
Metric = 2
Weight = 0
IsActive = TRUE
DRA05/
Name = DRA05
Metric = 1
Weight = 0
IsActive = TRUE
De S6b service wordt gebruikt om de PGW Update procedure te verwerken via S6b.
s6b/ Name = s6b Description = Type = 3gpp-authorization Protocol = diameter IncomingScript~ = OutgoingScript~ = SessionManager = DiameterProxyService = dia-proxy FetchLocationInformation = False
De 3gpp-reverse wordt gebruikt voor door HSS geïnitieerde berichten die moeten worden verwerkt.
3gpp-reverse/ Name = 3gpp-reverse Description = Type = 3gpp-reverse-authorization IncomingScript~ = AAARTRCheck OutgoingScript~ = SessionManager = sm1 TranslationService =
De query service wordt gebruikt tijdens de re-autorisatieprocedure waar het geactualiseerde profiel direct uit cache wordt gehaald op basis van de PPR die van HSS wordt ontvangen.
query/ Name = query Description = Type = diameter-query IncomingScript~ = OutgoingScript~ = removeuserdataquery UpdateSessionLastAccessTime = False SessionManagersToBeQueried/ 1. sm1 AttributesToBeReturned/ 1. Non-3GPP-User-Data 2. Service-Selection
De ongeldige dienst is gewoon te antwoorden met een succes voor S6b Afsluitingsproces omdat er geen sessie wordt gecached over S6b.
null/ Name = null Description = Type = null IncomingScript~ = OutgoingScript~ =
Configuratie van externe servers
Remotservers zijn gedefinieerd met remote peer waarnaar pakketten worden verzonden vanuit AAA zoals de HSS. Als DRA wordt gebruikt, dan definieer de zelfde DRA info in zowel Clients als RemoteServers;
RemoteServers/ DRA01/ Name = DRA01 Description = Protocol = diameter HostName = 10.169.48.235 DestinationPort = 3868 DestinationRealm = epc.mnc300.mcc310.3gppnetwork.org ReactivateTimerInterval = 300000 Vendor = IncomingScript~ = AAAReplaceResultCode OutgoingScript~ = rmdh MaxTries = 3 MaxTPSLimit = 0 MaxSessionLimit = 0 InitialTimeout = 3000 LimitOutstandingRequests = FALSE MaxPendingPackets = 0 MaxOutstandingRequests = 0 DWatchDogTimeout = 2500 SCTP-Enabled = FALSE TLS-Enabled = FALSE AdvertiseHostName = AdvertiseRealm =
Session Manager
Session Manager moet definiëren over de sessie caching, het werkt in combinatie met Resource Manager. De sessiemanager wordt doorverwezen in 3gpp-auth, 3gpp-reverse en query services;
Cd /Radius/SessionManagers/ sm1/ Name = sm1 Description = Type = local EnableDiameter = True IncomingScript = OutgoingScript = AllowAccountingStartToCreateSession = FALSE SessionTimeOut = PhantomSessionTimeOut = SessionKey = User-Name:Session-Id SessionCreationCmdList = 268||305 SessionDeletionCmdList = 275 SessionRestorationTimeOut = 24h ResourceManagers/ 1. 3gpp 2. swmcache 3. per-user
Resource Manager
Resource managers worden gedefinieerd om de resources toe te wijzen en toegewezen aan sessiemanagers.
Deze drie resourcemanagers worden ingezet.
Cd /Radius/ResourceManagers/ ResourceManagers/ 3gpp/ Name = 3gpp Description = Type = 3gpp EnableRegistrationFlow = TRUE EnableSessionTermination = false ReuseExistingSession = True HSSProxyService = dia-proxy Per-User/ Name = Per-User Description = Type = user-session-limit UserSessionLimit = 0 swmcache/ Name = swmcache Description = Type = session-cache OverwriteAttributes = FALSE QueryKey = Session-Id PendingRemovalDelay = 10 AttributesToBeCached/ 1. Non-3GPP-User-Data 2. Service-Selection QueryMappings/
Scripts
Deze tabel geeft alle scripts weer die tijdens de pakketverwerking worden gebruikt.
| Naam |
Scriptbestand |
Punt van ingang |
Beschrijving |
| Clid |
test.tcl |
dekbed |
Zoekt de Applicatie-ID 16777264 en de Diameter-Command Code 268, krijgt de gebruikersnaam waarde, en kopieert deze naar het call-station-ID attribuut van het aankomende verzoek. Dit script wordt gebruikt in Radius Incoming scriptpoint |
| relmserver |
test.tcl |
rm_server |
Zoekt het attribuut Server-Assignment-Type, als het bestaat, verwijdert het veld Remote-Server uit het inkomende verzoek. Dit script wordt in dia-proxy service Incoming scriptpoint genoemd |
| verwijderde gebruikersgegevens |
libremoveuserdata.so |
Gebruikersgegevens verwijderen |
Rex script wordt gebruikt om eerst de ontvangen informatie van HSS te controleren, met name de ‘Non-3GPP-IP-Access’ en ‘Non-3GPP-IP-Access-APN’ moeten beide de waarde ‘NON_3GPP_SUBSCRIption_MAY (0)’ hebben en ‘Non_3GPP_APNS_ENABLE (0)’ anders zal het de autorisatie niet doorstaan. Gevolgd door een eenvoudige vergelijking van APN-naam ontvangen van SWm DER bericht (service-selection AVP) met de APN-configuratie gedownload van HSS, als er een match is, kopieert het alleen de specifieke APN-details en verwijder de ongewenste AVP's en bereid de definitieve DEA naar de ePDG. Als er geen match autorisatie mislukt en er geen service-selectie AVP in DER is wordt alle APN info verzonden maar als router AVP. Dit script wordt gebruikt in 3gpp-auth Outgoing scriptpoint |
| removeuserdataquery |
libremoveuserdataquery.so |
Gebruikersgegevens verwijderen |
Rex script wordt gebruikt om eerst de ontvangen informatie van HSS te controleren, vooral de Non-3GPP-IP-Access en Non-3GPP-IP-Access-APN moeten beide de waarde NON_3GPP_SUBSCRIption_MAY (0) en Non_3GPP_APNS_ENABLE (0) anders heeft het de autorisatie niet. Gevolgd door een eenvoudige vergelijking van APN-naam ontvangen van SWm DER bericht (service-selection AVP) met de APN-configuratie gedownload van HSS, als er een match is, kopieert het alleen de specifieke APN-details en verwijder de ongewenste AVP's en bereid de definitieve DEA naar de ePDG. Als er geen match autorisatie mislukt en er geen service-selectie AVP in DER is wordt alle APN info verzonden maar als router AVP. Dit script wordt doorverwezen in query serviceUitgaande scriptpoint |
| uit |
test.tcl |
nieuwe sessiestatus |
Dia proxy service inkomend script - gebruikt om de sticky te verwijderen voor de berichten die al worden verwerkt. Voor ex; als MAR/MAA van DRA1 wordt ontvangen, zal de verdere gebruiker SAR dezelfde DRA1 gebruiken en als het niet beschikbaar is en kleverig wordt gehandhaafd, het niet failover. Om failover te kunnen wisselen, moet deze sticky worden verwijderd. Het script wordt gebruikt om de Visited-Network-Identifier te verwijderen naar S6b SAR (PGW_update) HSS. |
| voorn |
test.tcl |
voorn |
Verwijdert DestinationHost AVP in pakketten met DiameterCode 301 en 303. |
| herdenken |
test.tcl |
herdenken |
Verwijdert Visited-Network-Identifier AVP in pakketten met DiameterCode 256 en het Server-Assignment-Type is 13. |
| AAAReplaceResultCode |
test.tcl |
VervangResultaatcode |
Vervang Resultaat-Code AVP door "Test" in pakketten met DiameterCode 274 en Resultaat-Code "Diameter-Onbekend-Session-ID" |
| AARTRCcheck |
librexblockRTR.so |
AARTRCcheck |
Wanneer er meerdere RTR's voor dezelfde sessie zijn ontvangen, worden er duplicaten verwijderd en vastgelegd. |
Sommige scripts zijn mogelijk niet vereist in een hogere versie, de in de CPAR versie 7.3.0.3 opgenomen scripts moeten worden gebruikt
Alle scripts bevinden zich in het pad /opt/CSCOar/scripts/radius/.
Configuratie CPAR-vastlegging
De map /opt/CSCOar/logs slaat alle toepassingslogboeken op. Het bestand name_radius_1_log registreert alle gevallen en afgewezen aanvragen, dus het is belangrijk om dit bestand op te slaan voor probleemoplossing doeleinden.
CPAR staat een zeer flexibele configuratie toe om dit logboek volgens uw behoeften op te slaan. Op basis van de vereiste kan deze waarde worden gedefinieerd, hier worden de laatste 20 logbestanden bewaard, elk bestand met een grootte van 5 Mb.
Om deze specifieke logboekregistratie in te schakelen, moeten 2 parameters worden geconfigureerd in de aregcmd-modus:
/Radius/Advanced
LogFileSize = "5 megabytes"
Aantal logbestanden = 20
De regels voor de naamgeving van het logboek worden in deze tabel beschreven:
| Beschrijving |
Naam van het logbestand |
| Nieuwste logbestand |
naam_radius_1_log |
| 2e naar laatste logboek |
naam_radius_1_log.01 |
| 3e naar laatste logboek |
naam_radius_1_log.02 |
| ... |
... |
| 20e tot laatste logboek |
naam_radius_1_log.19 |
Tabel 2 Lognummering.
Time-outwaarden
CPAR heeft server configureerbare timeouts. In de huidige installatie vindt u de volgende configuratie:
Algemene timeouts gevonden in /Radius/Advanced
- DiameterStaleConnectionDeletionTimeOut 300000 (ms) Deze timer gaf aan hoe lang een diameterverbinding inactief kan zijn voordat CPAR het als down markeert.
Clientonderbrekingen in /RADIUS/clients/<client_name>
- InitialTimeout 3000 (ms) De tijd wachtte op een antwoord van DRA alvorens CPAR het onbereikbaar acht.
Time-outs van externe servers in /Radius/RemoteServers/<remote_server_name>
- InitialTimeout 3000 (ms) De tijd wachtte op een antwoord van DRA alvorens CPAR het onbereikbaar acht.
- DWatchDogTimeout 2500 (ms) De tijd wachtte op een herhaling van DRA voor pakket DiamaterWatchDog alvorens CPAR het onbereikbaar acht.
- ReactiveerdTimerInterval 300000 (ms) Tijd dat CPAR zal wachten tot het opnieuw proberen om een verbinding met een diameterpeer te vestigen.
Diameter-pakketgrootte
Dit document gaat in op de betekenis van de opdracht Diameter Packet Size en de redenen die u ertoe hebben gebracht deze parameter tot de waarde 4096 te handhaven.
Zoals in de bovenstaande afbeelding is uitgelegd, is de maximale pakketgrootte van een diameter die CPAR verwacht te ontvangen 4096 bytes. Deze waarde wordt geconfigureerd onder DiameterPacketSize-variabele in de directory /Radius/Advanced/Diameter/TransportManagement. Alle pakketten die niet aan deze waarde voldoen, worden gewist. De totale pakketgrootte wordt verkregen na het toevoegen van de grootte van zitting cached eigenschappen plus de grootte van het ontvangen pakket van de diameter.
Laten we bijvoorbeeld kijken naar een PPR-pakketgrootte van 4000 bytes en binnen dat bericht heeft Non-3GPP-User-Data een grootte van 3800 bytes. Als de sessie al bepaalde kenmerken heeft gecachet en de grootte van de gecachede gegevens 297 bytes is, is de sessiegrootte meer dan 4096 bytes en wordt het bericht door CPAR verwijderd.
Tijdens het project werd een analyse uitgevoerd van pakketten groter dan 4096. De resultaten geven aan dat gemiddeld 36 pakketten (SAA) groter dan 4096 per CPAR-instantie per dag aankomen. Dit aantal pakketten is niet betekenisvol aangezien het zeer klein is.
Deze parameter is configureerbaar en kan indien nodig worden verhoogd. De waarde wordt echter na 4096 verhoogd, wat enkele nadelen heeft:
- Als DiameterPacketSize wordt verhoogd tot 5KB, zal CPAR SAA-pakketten accepteren die groter zijn dan 4096 bytes. Als PPR echter wordt gestart voor dezelfde gebruikerssessie, omdat de grootte van de niet-3GPP-User-Data 4260 bytes is, is de sessie-update mislukt en leidt dit tot deregistratie van de gebruiker.
- DiameterPacketSize heeft direct effect op het opstartgeheugen dat is toegewezen aan het radiusproces. Hoe groter de DiameterPacketSize hoe groter de hoeveelheid RES-geheugen dat is toegewezen aan het Radius-proces bij het opstarten van CPAR.
Dit beeld toont een voorbeeld van de output van hoogste bevel in een instantie waar DiameterPacketSize aan 4096 wordt gevormd:
Als de parameter DiameterPackerSize wordt verhoogd tot 6000, ziet de uitvoer van de bovenste opdracht er als volgt uit:
- Naast de opstartgeheugentoewijzing, zodra het systeem in gebruik is, is er een interne dynamische geheugenbuffer die groeit in verhouding tot hoeveel pakketten CPAR raken. Als bijvoorbeeld 1000 pakketten op één punt CPAR raken, wordt intern via CPAR in de buffer 1000 * DiameterPacketSize-waarde van het geheugen toegewezen, ongeacht de grootte van de afzonderlijke pakketten (CPAR weet dat de DiameterPacketSize de maximale pakketgrootte aangeeft). Deze interne geheugenbuffer wijst meer geheugen toe als DiameterPacketSize wordt verhoogd en minder geheugen als het is verkleind.
Aanbevolen wordt deze parameter te handhaven als 4096, aangezien besloten is dat het aantal pakketten groter dan 4096 verwaarloosbaar is en de nadelen ongewenste gedragingen zouden opleveren.
Sessies beheren in CPAR
Het enige mechanisme dat in CPAR bestaat om het aantal sessies te controleren is door middel van de methode die in dit document wordt uitgelegd. Er is geen OID dan kan worden opgehaald via SNMP die deze informatie bevat.
CPAR kan sessies beheren, de CPAR CLI met /opt/CSCOar/bin/aregcmd invoeren en inloggen met beheerdersreferenties.
Met de opdrachttellingssessies /r toont alle CPAR alle sessies die er op dat moment aan gekoppeld zijn.
Om meer informatie van de sessie(s) te zien, heeft CPAR de opdrachtquery-sessies /r alles wat de informatie geeft van alle sessies die aan CPAR zijn gekoppeld.
Om alleen de informatie van een specifieke sessie te tonen, kan de opdracht worden gewijzigd en de USER-waarde gebruiken, d.w.z.: query-sessies /r with-User 310310990007655
Deze lijst bevat alle mogelijke filters voor query-sessies opdracht:
- Alle
- met-ID
- met-NAS
- met gebruiker
- met sleutel
- met leeftijd+
- met-kenmerk.
Tot slot, om sessies van CPAR los te maken, gebruik de commando release-sessies /r alle, en alle sessies die aan dat moment zijn gekoppeld zijn losgekoppeld.
Een filter kan worden toegepast om een specifieke sessie los te maken.
Attributen (AVP) die bij CPAR AAA voor Subscriber Sessies zijn gecachet
Prime Access Registrar ondersteunt attribuut caching bij Session Managers waarmee gegevens kunnen worden opgevraagd. Deze Diameter-query-service bevat een lijst met sessiemanagers waaruit een vraag moet worden gesteld en een lijst met (cached) eigenschappen die in het access-acceptatiepakket moeten worden geretourneerd in antwoord op een Diameter Query-verzoek. Dit wordt geïnitieerd door een extensie point script of door de Rule en Policy Engine door deze in te stellen op een nieuwe omgevingsvariabele met de naam Query-Service.
De DIAMETER Query-service moet worden geselecteerd door middel van een extensie point script of door de Rule en Policy Engine door deze in te stellen op een nieuwe omgevingsvariabele met de naam Query-Service. De reden hiervoor is dat het Diameter Query-verzoek wordt ingediend als een Access-request en dat de server op geen enkele manier weet of het een Diameter Query-verzoek of een normaal authenticatieverzoek is. Als u de omgevingsvariabele Query-Service instelt, wordt de Prime Access Registrar-server meegedeeld dat het verzoek een verzoek voor Diameter Query is, zodat de Prime Access Registrar-server het verzoek kan verwerken met de Diameter-query-service die is ingesteld in de omgevingsvariabele Query-Service.
Wanneer een Diameter Query-service is geselecteerd voor het verwerken van een Access-request, wordt de geconfigureerde lijst van Session Managers voor een overeenkomende record opgevraagd met behulp van de QueryKey-waarde die is geconfigureerd in de Session-cache Resource Manager die onder deze Session Managers als sleutel wordt aangeduid. Als een overeenkomende record wordt gevonden, wordt een Access-Accept met een lijst van in de cache opgenomen kenmerken (gebaseerd op de configuratie) in de overeenkomende record teruggestuurd naar de client. Als het sessiecache een multivalued attribuut bevat, worden alle waarden van dat attribuut in de respons teruggegeven als een multivalued attribuut. Als er geen overeenkomende record is, wordt er een access-reject-pakket naar de client verzonden.
Prime Access Registrar introduceert scriptingpunten op het niveau van Session Manager, samen met geautomatiseerde programmeerbare interfaces (API’s) voor toegang tot gecachede informatie in het sessierecord. U kunt deze scripting points en API's gebruiken om extensiepuntscripts te schrijven om de gecachede informatie aan te passen.
Op dit moment heeft onze implementatie geen geschreven scripts of maakt gebruik van programmeerbare API's om toegang te krijgen tot dergelijke gegevens, maar de optie is er.
De eigenschappen die onze sessiemanager op dit moment opslaat zijn:
Gehard gecodeerd op /radius/resourcemanagers/swmcache/AttributesToBeCached:
- Niet-3GP-gebruikersgegevens
- Service-selectie
Standaard:
- Gebruikersnaam (IMSI)
- Origin-host
- Autorisatie-toepassing-ID
- Origin-Real
- Session-ID
Dergelijke eigenschappen zijn zichtbaar per sessie wanneer deze opdracht query-sessies worden gebruikt op CLI.
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)