Autenticação RADIUS para L2TP
Configure a autenticação RADIUS para L2TP
O servidor de rede L2TP (LNS) envia solicitações de autenticação RADIUS ou solicitações de contabilidade. Solicitações de autenticação são enviadas para a porta do servidor de autenticação. Solicitações de contabilidade são enviadas para a porta de contabilidade. Para configurar a autenticação RADIUS para L2TP em um roteador de M10i ou M7i, inclua as seguintes declarações no nível de [edit access] hierarquia:
[edit access] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
Os servidores RADIUS no nível de [edit access] hierarquia não são usados pelo processo de servidor de acesso de rede (NASD).
Você pode especificar um número de porta contábil no qual entrar em contato com o servidor de contabilidade (na accounting-port declaração). A maioria dos servidores RADIUS usa a porta número 1813 (conforme especificado no RFC 2866, Radius Accounting).
Se você habilita a contabilidade RADIUS no nível de hierarquia, a [edit access profile profile-name accounting-order] contabilidade é acionada na porta padrão de 1813 mesmo se você não especificar um valor para a accounting-port declaração.
server-address especifica o endereço do servidor de autenticação RADIUS (na radius-server declaração).
Você pode especificar um número de porta no qual entrar em contato com o servidor de autenticação RADIUS (na port declaração). A maioria dos servidores RADIUS usa a porta número 1812 (conforme especificado no RFC 2865, Autenticação remota Dial in User Service [RADIUS] ).
Você deve especificar uma senha na secret declaração. Se uma senha incluir espaços, inclua a senha entre aspas. O segredo usado pelo roteador local deve combinar com o usado pelo servidor de autenticação RADIUS.
Opcionalmente, você pode especificar o tempo que o roteador local espera para receber uma resposta de um servidor RADIUS (na timeout declaração) e o número de vezes que o roteador tenta entrar em contato com um servidor de autenticação RADIUS (na retry declaração). Por padrão, o roteador espera 3 segundos. Você pode configurá-lo como um valor na faixa de 1 a 90 segundos. Por padrão, o roteador tenta se conectar ao servidor três vezes. Você pode configurá-lo como um valor na faixa de 1 a 30 vezes. Se o número máximo de tentativas for atingido, o servidor de raio é considerado morto por 5 minutos (300 segundos).
source-address Na declaração, especifique um endereço de origem para cada servidor RADIUS configurado. Cada solicitação RADIUS enviada a um servidor RADIUS usa o endereço de origem especificado. O endereço de origem é um endereço IPv4 válido configurado em uma das interfaces do roteador.
Para configurar vários servidores RADIUS, inclua várias radius-server declarações.
Quando o servidor de rede L2TP (LNS) é configurado com a autenticação RADIUS, o comportamento padrão é aceitar o endereço IP atribuído por RADIUS preferido. Anteriormente, o comportamento padrão era aceitar e instalar o endereço IP peer não zero recebido pelo pacote de solicitação de configuração do Protocolo de Protocolo de Internet (IPCP).
Configure a autenticação RADIUS para um cliente e perfil L2TP
Em um roteador M10i ou M7i, o L2TP oferece suporte à autenticação e contabilidade RADIUS para usuários com um conjunto de servidores RADIUS sob a [edit access] hierarquia. Você também pode configurar a autenticação RADIUS para cada cliente do túnel ou perfil do usuário.
Para configurar a autenticação RADIUS para clientes de túnel L2TP em um roteador de M10i ou M7i, inclua a ppp-profile declaração com os l2tp atributos para clientes de túnel:
[edit access profile profile-name client client-name l2tp] ppp-profile profile-name;
ppp-profile profile-name especifica o perfil usado para validar solicitações de sessão de PPP por meio de túneis L2TP. Os clientes do perfil mencionado devem ter apenas atributos PPP. O perfil do grupo mencionado deve ser definido.
Para configurar a autenticação RADIUS para um perfil, inclua as seguintes declarações no nível de [edit access profile profile-name] hierarquia:
[edit access profile profile-name] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
Quando um usuário de PPP inicia uma sessão e a autenticação RADIUS é configurada para o perfil do usuário no grupo do túnel, a sequência de prioridade a seguir é usada para determinar qual servidor RADIUS é usado para autenticação e contabilidade:
-
Se a
ppp-profiledeclaração estiver configurada sob o cliente do túnel (LAC), os servidores RADIUS configurados sob os especificadosppp-profileserão usados. -
Se os servidores RADIUS estiverem configurados sob o perfil do usuário para o grupo do túnel, esses servidores serão usados.
-
Se nenhum servidor RADIUS estiver configurado para o cliente do túnel (LAC) ou o perfil do usuário, os servidores RADIUS configurados no nível de
[edit access]hierarquia serão usados.
Atributo da interface de loopback local RADIUS para L2TP
Você pode configurar o atributo local-Loopback-Interface em um servidor RADIUS para gerenciar vários dispositivos LAC. Esse atributo é usado como endereço de origem LAC em um túnel LNS para assinantes de PPPoE em túnel sobre L2TP.
Quando você usa o atributo Tunnel-Client-Endpoint como endereço de origem LAC, você deve configurar o atributo Tunnel-Client-Endpoint para cada roteador da Série MX que usa o mesmo servidor RADIUS. A partir desta versão, você pode usar o atributo Local-Loopback-Interface, que precisa ser configurado apenas uma vez. Quando o LAC inicia uma mensagem de solicitação de acesso ao RADIUS para autenticação, o RADIUS devolve o atributo de interface de retorno local na mensagem de aceitação de acesso. Este atributo contém o nome da interface de loopback, seja como um nome de interface genérica, como "lo0" ou como um nome específico como "lo0.0". O roteador da Série MX usa o endereço IP da interface de loopback configurado como endereço de origem durante a negociação do túnel com a LNS.
Um roteador da Série MX pode atuar como o LAC e usar qualquer endereço de interface nele como um endereço de origem do túnel L2TP. O endereço de origem pode ser atribuído dinamicamente pelo RADIUS pelo atributo Tunnel-Client-Endpoint ou Local-Loopback-Interface. O endereço de origem do túnel pode ser configurado estaticamente no roteador da Série MX usando o perfil do túnel L2TP. Se o RADIUS não devolver o atributo Tunnel-Client-Endpoint ou Local-Loopback-Interface, e se não houver um perfil de túnel L2TP correspondente configurado no roteador da Série MX, o túnel L2TP não será iniciado porque o roteador não tem um endereço de origem de túnel adequado. Nesse caso, o roteador pode usar o endereço de loopback configurado localmente como endereço de origem para estabelecer com sucesso o túnel L2TP.
Exemplo: configure a autenticação RADIUS para L2TP
Configuração
Configuração rápida da CLI
O exemplo a seguir mostra como configurar a autenticação RADIUS para L2TP:
[edit access]
profile example_bldg {
client client_1 {
chap-secret "$ABC123";
ppp {
interface-id west;
}
group-profile example_users;
}
client client_2 {
chap-secret "$ABC123";
group-profile example_users;
}
authentication-order radius;
}
radius-server {
198.51.100.213 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
198.51.100.223 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
}
radius-disconnect-port 2500;
radius-disconnect {
198.51.100.152 secret "$ABC123";
# SECRET-DATA
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.157 secret "$ABC123";
# SECRET-DATA
198.51.100.173 secret "$ABC123";
# SECRET-DATA
}
Exemplo: configure a autenticação RADIUS para um perfil L2TP
Configuração
Configuração rápida da CLI
[edit access]
profile t {
client LAC_A {
l2tp {
ppp-profile u;
}
}
}
profile u {
client client_1 {
ppp {
}
}
198.51.100.5 {
port 3333;
secret $ABC123;
source-address 198.51.100.1;
retry 3;
timeout 3;
}
198.51.100.6 secret $ABC123;
198.51.100.7 secret $ABC123;
}
Configure o servidor RADIUS Disconnect para L2TP
Para configurar o servidor de desconexão RADIUS para ouvir solicitações de desconexão de um administrador e processá-las, inclua as seguintes declarações no nível de [edit access] hierarquia:
[edit access] radius-disconnect-port port-number; radius-disconnect { client-address { secret password; } }
port-number é a porta do servidor para a qual o cliente RADIUS envia solicitações de desconexão. O servidor de rede L2TP, que aceita essas solicitações de desconexão, é o servidor. Você pode especificar um número de porta no qual entrar em contato com o servidor de desconexão RADIUS. A maioria dos servidores RADIUS usa a porta número 1700.
O Junos OS aceita apenas solicitações de desconexão do endereço do cliente configurados no nível de [edit access radius-disconnect client-address] hierarquia.
client-address é o host que envia solicitações de desconexão para o servidor RADIUS. O endereço do cliente é um endereço IP válido configurado em uma das interfaces do roteador ou switch.
password autentica o cliente RADIUS. Senhas podem conter espaços. O segredo usado pelo roteador local deve combinar com o usado pelo servidor.
Para obter informações sobre como configurar a autenticação RADIUS para L2TP, consulte Configurando a autenticação RADIUS para L2TP.
O exemplo a seguir mostra as declarações a serem incluídas no nível de [edit access] hierarquia para configurar o servidor de desconexão RADIUS:
[edit access]
radius-disconnect-port 1700;
radius-disconnect {
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.162 secret "$ABC123";
# SECRET-DATA
}
Configure a ordem de contabilidade RADIUS para L2TP
Você pode configurar a contabilidade RADIUS para um perfil L2TP. Com a contabilidade RADIUS habilitada, os dispositivos Juniper podem atuar como clientes RADIUS. Eles podem notificar o servidor RADIUS sobre atividades do usuário, como logins de software, alterações de configuração e comandos interativos. A estrutura para a contabilidade RADIUS é descrita no RFC 2866.
Para configurar a contabilidade RADIUS, inclua a accounting-order declaração no nível de [edit access profile profile-name] hierarquia:
[edit access profile profile-name] accounting-order radius;
Quando você habilita a contabilidade RADIUS para um perfil L2TP, ela se aplica a todos os clientes nesse perfil. Você deve habilitar a contabilidade RADIUS em pelo menos um perfil LT2P para o servidor de autenticação RADIUS para enviar mensagens de parada e início de contabilidade.
Quando você habilita a contabilidade RADIUS para um perfil L2TP, você não precisa configurar a accounting-port declaração no nível de [edit access radius-server server-address] hierarquia. Quando você habilita a contabilidade RADIUS para um perfil L2TP, a contabilidade é acionada na porta padrão de 1813.
Para L2TP, os servidores de autenticação RADIUS estão configurados no nível de [edit access radius-server] hierarquia.
Exemplo: configure a autenticação e a contabilidade de assinantes baseadas em RADIUS
Configuração
Configuração rápida da CLI
[edit access]
radius-server {
198.51.100.250 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123$ABC123;
source-address 198.51.100.100;
timeout 45;
}
198.51.100.251 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123;
source-address 198.51.100.100;
timeout 30;
}
2001:DB8:0f101::2{
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 4;
secret $ABC123$ABC123$ABC123-;
source-address 2001:DB8:0f101::1;
timeout 20;
}
}
profile isp-bos-metro-fiber-basic {
authentication-order radius;
accounting {
order radius;
accounting-stop-on-access-deny;
accounting-stop-on-failure;
immediate-update;
statistics time;
update-interval 12;
wait-for-acct-on-ack;
send-acct-status-on-config-change;
}
radius {
authentication-server 198.51.100.251 198.51.100.252;
accounting-server 198.51.100.250 198.51.100.251;
options {
accounting-session-id-format decimal;
client-accounting-algorithm round-robin;
client-authentication-algorithm round-robin;
nas-identifier 56;
nas-port-id-delimiter %;
nas-port-id-format {
nas-identifier;
interface-description;
}
nas-port-type {
ethernet {
wireless-80211;
}
}
}
attributes {
ignore {
framed-ip-netmask;
}
exclude {
accounting-delay-time [accounting-start accounting-stop];
accounting-session-id [access-request accounting-on accounting-off
accounting-start accounting-stop];
dhcp-gi-address [access-request accounting-start accounting-stop];
dhcp-mac-address [access-request accounting-start accounting-stop];
nas-identifier [access-request accounting-start accounting-stop];
nas-port [accounting-start accounting-stop];
nas-port-id [accounting-start accounting-stop];
nas-port-type [access-request accounting-start accounting-stop];
}
}
}
}
[edit logical-systems isp-bos-metro-12 routing-instances isp-cmbrg-12-32]
interfaces {
lo0 {
unit 0 {
family inet {
address 198.51.100.100/24;
}
}
}
ge-0/0/0 {
vlan-tagging;
unit 0 {
vlan-id 200;
family inet {
unnumbered-address lo0.0;
}
}
}
}
Atributos RADIUS para L2TP
O Junos OS oferece suporte aos seguintes tipos de atributos RADIUS para L2TP:
-
Atributos específicos do fornecedor (VSAs) da Juniper Networks
-
Pares de valor de atributo (AVPs) definidos pela Força-Tarefa de Engenharia da Internet (IETF)
-
Parada de contabilidade RADIUS e início de AVPs
Os atributos RADIUS específicos do fornecedor da Juniper Networks são descritos no RFC 2865, Dial in User Service (RADIUS) de autenticação remota. Esses atributos são encapsulados com o conjunto de ID do fornecedor para o ID da Juniper Networks número 2636. A Tabela 1 lista os VSAs da Juniper Networks que você pode configurar para L2TP.
| Nome do atributo |
Número padrão |
Valor |
|---|---|---|
| Juniper-Primary-DNS |
31 |
Endereço IP |
| Juniper-Primary-WINS |
32 |
Endereço IP |
| Juniper-Secondary-DNS |
33 |
Endereço IP |
| Juniper-Secondary-WINS |
34 |
Endereço IP |
| Juniper-Interface-ID |
35 |
String |
| Nome do Juniper-IP-Pool |
36 |
String |
| Juniper-Keep-Alive |
37 |
Inteiro |
A Tabela 2 lista os AVPs IETF RADIUS suportados para LT2P.
| Nome do atributo |
Número padrão |
Valor |
|---|---|---|
| Nome do usuário |
1 |
String |
| Senha do usuário |
2 |
String |
| CHAP-Password |
3 |
String |
| Endereço NAS-IP |
4 |
Endereço IP |
| Porta NAS |
5 |
Inteiro |
| Tipo de serviço |
6 |
Inteiro |
| Protocolo emoldurado |
7 |
Inteiro |
| Endereço IP emoldurado |
8 |
Endereço IP |
| Máscara emoldurada ip-net |
9 |
Endereço IP |
| Emoldurado-MTU |
12 |
Inteiro |
| Roteamento emoldurado |
22 |
String |
| Tempo de sessão |
27 |
Inteiro |
| Tempo de inatividade |
28 |
Inteiro |
| Chamado de Station-ID |
30 |
String |
| ID de estação de chamada |
31 |
String |
| DESAFIO CHAP |
60 |
String |
| Tipo de porta NAS |
61 |
Inteiro |
| Pool emoldurado |
88 |
Inteiro |
A Tabela 3 lista os AVPs de início de contabilidade RADIUS suportados para L2TP.
| Nome do atributo |
Número padrão |
Valor |
|---|---|---|
| Nome do usuário |
1 |
String |
| Endereço NAS-IP |
4 |
Endereço IP |
| Porta NAS |
5 |
Inteiro |
| Tipo de serviço |
6 |
Inteiro |
| Protocolo emoldurado |
7 |
Inteiro |
| Endereço IP emoldurado |
8 |
Endereço IP |
| Chamado de Station-ID |
30 |
String |
| ID de estação de chamada |
31 |
String |
| Tipo de status acct |
40 |
Inteiro |
| Acct-Delay-Time |
41 |
Inteiro |
| Acct-Session-ID |
44 |
String |
| Acct-Authentic |
45 |
Inteiro |
| Tipo de porta NAS |
61 |
Inteiro |
| Ponto final do cliente em túnel |
66 |
String |
| Endpoint do servidor de túnel |
67 |
String |
| Conexão acct-tunnel |
68 |
String |
| Tunnel-Client-Auth-ID |
90 |
String |
| Tunnel-Server-Auth-ID |
91 |
String |
A Tabela 4 lista os AVPs de parada contábil RADIUS suportados para L2TP.
| Nome do atributo |
Número padrão |
Valor |
|---|---|---|
| Nome do usuário |
1 |
String |
| Interface de retorno de loop local |
3 |
String |
| Endereço NAS-IP |
4 |
Endereço IP |
| Porta NAS |
5 |
Inteiro |
| Tipo de serviço |
6 |
Inteiro |
| Protocolo emoldurado |
7 |
Inteiro |
| Endereço IP emoldurado |
8 |
Endereço IP |
| Chamado de Station-ID |
30 |
String |
| ID de estação de chamada |
31 |
String |
| Tipo de status acct |
40 |
Inteiro |
| Acct-Delay-Time |
41 |
Inteiro |
| Acct-Input-Octets |
42 |
Inteiro |
| Acct-Output-Octets |
43 |
Inteiro |
| Acct-Session-ID |
44 |
String |
| Acct-Authentic |
45 |
Inteiro |
| Acct-Session-Time |
46 |
Inteiro |
| Pacotes de entrada acct |
47 |
Inteiro |
| Pacotes de saída acct |
48 |
Inteiro |
| Causa de encerramento de acct |
49 |
Inteiro |
| Acct-Multi-Session-ID |
50 |
String |
| Contagem de links acct |
51 |
Inteiro |
| Tipo de porta NAS |
61 |
Inteiro |
| Ponto final do cliente em túnel |
66 |
String |
| Endpoint do servidor de túnel |
67 |
String |
| Conexão acct-tunnel |
68 |
String |
| Tunnel-Client-Auth-ID |
90 |
String |
| Tunnel-Server-Auth-ID |
91 |
String |