Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

RADIUS over TLS (RADSEC)

Para usar a autenticação 802.1X ou MAC RADIUS, você deve especificar as conexões no switch para cada servidor RADIUS ao qual você se conectará. O RADIUS over TLS foi projetado para fornecer comunicação segura de solicitações RADIUS usando o protocolo de Camada segura de transporte (TLS). O RADIUS over TLS, também conhecido como RADSEC, redireciona o tráfego RADIUS regular para servidores RADIUS remotos conectados no TLS. O RADSec permite que os dados de autenticação, autorização e contabilidade RADIUS sejam transmitidos com segurança por redes não confiáveis.

O RADSEC usa O TLS em combinação com o Protocolo de Controle de Transmissão (TCP). Esse perfil de transporte oferece segurança mais forte do que o Protocolo de Datagram do Usuário (UDP), que foi originalmente usado para transmissão RADIUS. O RADIUS over UDP criptografa a senha secreta compartilhada usando o algoritmo MD5, que é vulnerável a ataques. O RADSEC reduz o risco de ataques ao MD5 trocando cargas de pacotes RADIUS por um túnel TLS criptografado.

Nota:

Devido às limitações do protocolo TCP, o RADSEC não pode ter mais do que 255 mensagens RADIUS em voo.

Configure o destino RADSEC

Os servidores RADSEC são representados por objetos de destino RADSEC. Para configurar o RADSEC, você deve definir o servidor RADSEC como um destino e direcionar o tráfego RADIUS para esse destino.

Você define o servidor RADSEC como um destino usando a radsec declaração no nível de [edit access] hierarquia. Os destinos RADSEC são identificados por uma ID numérica única. Você pode configurar vários destinos RADSEC com diferentes parâmetros apontando para o mesmo servidor RADSEC.

Para redirecionar o tráfego de um servidor RADIUS padrão para um servidor RADSEC, associe o servidor RADIUS a um destino RADSEC. Por exemplo, o servidor 10.1.1.1 RADIUS está associado ao destino 10RADSEC:

Você também pode associar o servidor RADIUS a um destino RADSEC dentro de um perfil de acesso. Por exemplo, o servidor 10.2.2.2 RADIUS no perfil acc_profile está associado ao destino 10RADSEC:

Nota:

Você pode redirecionar mais de um servidor RADIUS para o mesmo destino RADSEC.

Para configurar o RADSEC:

  1. Configure o destino RADSEC com um ID exclusivo e um endereço IP.
  2. Configure a porta do servidor RADSEC. Se nenhuma porta estiver configurada, a porta RADSEC padrão 2083 será usada.
  3. Redirecione o tráfego de um servidor RADIUS para o destino RADSEC:

Configure parâmetros de conexão TLS

A conexão TLS oferece criptografia, autenticação e integridade de dados para a troca de mensagens RADIUS. O TLS conta com certificados e pares de troca de chaves públicos privados para proteger a transmissão de dados entre o cliente RADSEC e o servidor. O destino RADSEC usa certificados locais que são adquiridos dinamicamente da infraestrutura PKI do Junos.

Para habilitar o RADSEC, você deve especificar o nome do certificado local. Para obter informações sobre a configuração do certificado local e da autoridade de certificado (CA), consulte Configuração de certificados digitais.

  1. Especifique o nome do certificado local a ser usado para comunicações TLS.
  2. Configure o nome certificado do servidor RADSEC.
  3. (Opcional) Configure o tempo limite de conexão TLS (padrão é de 5 segundos).

Exemplo: Configuração simples do RADSEC

O exemplo a seguir é uma configuração RADSEC simples com um servidor RADIUS e um destino RADSEC. O tráfego RADIUS é redirecionado do servidor RADIUS 10.1.1.1 para o destino RADSEC 10.

Certificados de monitoramento

Para visualizar informações sobre o estado e estatísticas da aquisição de certificados locais: show network-access radsec local-certificate.

Monitoramento dos destinos RADSEC

Para ver estatísticas dos destinos RADSEC: show network-access radsec statistics.

Para ver o estado dos destinos RADSEC: show network-access radsec state.

Tópicos relacionados