Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

radius-server

语法

层次结构级别

描述

配置 RADIUS 以进行订阅者访问管理、L2TP 或 PPP。

要配置多个 RADIUS 服务器,请包含多个 radius-server 语句。服务器将按顺序和轮询方式进行尝试,直到从其中一个服务器收到有效响应或达到所有配置的重试限制。

选项

server-address

RADIUS 服务器的 IPv4 或 IPv6 地址。
accounting-port

配置要联系 RADIUS 记帐服务器的端口号。

注意:

指定记帐端口是可选的,端口 1813 是默认端口。但是,我们建议您对其进行配置以避免混淆,因为某些 RADIUS 服务器可能引用较旧的默认值。

  • 值: port-number- 要联系 RADIUS 记帐服务器的端口号。大多数 RADIUS 服务器使用端口 1813,如 RFC 2866 中指定。

  • 默认值: 1813
accounting-retry

配置设备在未收到来自服务器的响应时重新传输 RADIUS 记帐消息的次数。如果未配置此语句,则重试尝试的次数由 retry 语句确定。

注意:

要成功为不同于认证服务器的记帐服务器设置重试限制,必须同时 accounting-retry 配置 和 accounting-timeout 语句 。如果仅配置其中一个语句,则会忽略您配置的值,而选择使用 and retry timeout 语句配置的值。
注意:

最大重试持续时间(重试次数乘以超时长度)不能超过 2700 秒。如果配置较长的持续时间,则会显示错误消息。

  • 值: number- 重试次数。

  • 范围: 0 到 100

  • 默认值: 0(禁用)
accounting-timeout

配置本地设备在重新传输消息之前等待从 RADIUS 记帐服务器接收响应的时间。如果未配置此语句,则超时的长度由 timeout 语句确定。

注意:

要为不同于认证服务器的记帐服务器成功设置超时值,必须同时配置 和accounting-retryaccounting-timeout语句 。如果仅配置其中一个语句,则会忽略您配置的值,而选择使用 and retry timeout 语句配置的值。
注意:

最大重试持续时间(重试次数乘以超时长度)不能超过 2700 秒。如果配置较长的持续时间,则会显示错误消息。

  • 值: seconds- 超时期限的持续时间。

  • 范围: 0 到 1000 秒

  • 默认值: 0(禁用)
dynamic-request-port

指定路由器监控来自指定 RADIUS 服务器的动态 (CoA) 请求的端口。您可以全局配置端口,也可以为特定访问配置文件配置端口。

您必须对所有 RADIUS 服务器使用默认端口,或者为所有 RADIUS 服务器配置相同的非默认端口。此规则适用于全局访问和访问配置文件级别。

注意:

任何其他配置都会导致提交检查失败。不支持多个端口号,即不同服务器的不同端口号。

  • 值: port-number— 受监控端口的编号。

  • 默认值: 3799(如 RFC 5176 中指定)
max-outstanding-requests

配置此 RADIUS 服务器的最大未完成请求数。此值是立即增加的,而如果当前未完成的请求数超过新值,则减少则更为缓慢。

  • 值: requests- 此 RADIUS 服务器的最大未完成请求数。

  • 范围: 每台服务器 0 到 2000 个未完成请求

  • 默认值: 每个服务器 1000 个未完成的请求
port

配置要联系 RADIUS 服务器的端口号。

  • 值: port-number- 要联系 RADIUS 服务器的端口号。

  • 默认值: 1812(在 RFC 2865 中指定)
preauthentication-port

配置用于联系 RADIUS 服务器以获取逻辑线路标识 (LLID) 预身份验证请求的端口号。如果未为预身份验证目的配置单独的 UDP 端口,则使用通过包含 port port-number 语句为身份验证消息配置的相同 UDP 端口。

  • 值: port-number- 用于预身份验证请求以联系 RADIUS 服务器的端口号。
preauthentication-secret

配置用于 RADIUS 服务器以用于 LLID 预身份验证请求的密码。如果未为预身份验证目的配置单独的 UDP 密码,则使用通过包含 secret password 语句为身份验证消息配置的相同密码。本地路由器使用的秘密密码必须与服务器使用的密钥密码匹配。

  • 值: password- 使用密码。要包含空格,请用引号将字符串括起来。
retry

指定允许设备尝试联系 RADIUS 身份验证或记帐服务器的次数。您可以使用语句 accounting-retry 覆盖记帐服务器的重试限制。

注意:

要成功为不同于认证服务器的记帐服务器设置重试限制,必须同时 accounting-retry 配置 和 accounting-timeout 语句 。如果仅配置其中一个语句,则会忽略您配置的值,而选择使用 and retry timeout 语句配置的值。
注意:

最大重试持续时间(重试次数乘以超时长度)不能超过 2700 秒。如果配置较长的持续时间,则会显示错误消息。

  • 值: attempts—允许路由器尝试联系 RADIUS 服务器的次数。

  • 范围: 1 到 100

  • 默认值: 3
routing-instance

配置用于将 RADIUS 数据包发送到 RADIUS 服务器的路由实例。

  • 值: routing-instance-name- 路由实例名称。
source-address

为每个已配置的 RADIUS 服务器配置源地址。发送到 RADIUS 服务器的每个 RADIUS 请求都使用指定的源地址。Junos OS 16.1 版中引入了对 IPv6 source-address 的支持。

  • 值: source-address— 在其中一个路由器或交换机接口上配置的有效 IPv4 或 IPv6 地址。仅在 M 系列路由器上,源地址可以是 IPv6 地址,UDP 源端口可以是 514。

timeout

配置本地设备等待接收来自 RADIUS 身份验证和记帐服务器的响应的时间量。您可以使用语句 accounting-timeout 覆盖记帐服务器的超时值。

注意:

要为不同于认证服务器的记帐服务器成功设置超时值,必须同时配置 和accounting-retryaccounting-timeout语句 。如果仅配置其中一个语句,则会忽略您配置的值,而选择使用 and retry timeout 语句配置的值。
注意:

最大重试持续时间(重试次数乘以超时长度)不能超过 2700 秒。如果配置较长的持续时间,则会显示错误消息。

  • 值: seconds- 等待时间。

  • 范围: 1 到 1000 秒

  • 默认值: 3 秒

其余语句将单独解释。有关详细信息,请在 CLI 资源管理器中搜索语句,或单击语法部分中的链接语句。

所需权限级别

system - 在配置中查看此语句。

系统控制 - 将此语句添加到配置中。

发布信息

在 Junos OS 7.4 版之前引入的语句。

max-outstanding-requests 在 Junos OS 11.4 版中引入。

accounting-retry 并在 accounting-timeout Junos OS 14.1 版中引入。

dynamic-request-port 在适用于 MX 系列路由器的 Junos OS 14.2R1 版中添加了选项。

preauthentication-port 以及在 preauthentication-secret Junos OS 15.1 版中为 MX 系列路由器添加的选项。

accounting-port 在适用于 EX 系列交换机的 Junos OS 13.2X50-D10 版中引入,支持增强型第 2 层软件 (ELS)。它是在以下版本中不带 ELS 的 Junos OS 中引入的:适用于 EX 系列交换机的 Junos OS 12.3R10、14.1X53-D25 和 15.1R4 版本。

支持 Junos OS 16.1 版中引入的 IPv6 server-address

相关文档