radsec
语法
radsec { destination id-number { address ip-address; dynamic-requests { (logical-system ls-name <routing-instance ri-name>| routing-instance ri-name); source-address source-address; source-port source-port; } id-reuse-timeout seconds; (logical-system ls-name <routing-instance ri-name>| routing-instance ri-name); max-tx-buffers number; port port-number; source-address ip-address; tls-certificate certificate-name; tls-force-ciphers [medium | low]; tls-min-version [v1.1 | v1.2]; tls-peer-name tls-peer-name; tls-timeout seconds; } }
层次结构级别
[edit access]
描述
配置 RADIUS over TLS(也称为 RADSEC)以将常规 RADIUS 流量重定向到通过 TLS 连接的远程 RADIUS 服务器。TLS 连接为 RADIUS 消息的交换提供加密、身份验证和数据完整性。
要配置 RADIUS over TLS,您需要将 RADSEC 服务器配置为 RADIUS 流量的目标。然后,可以将发往 RADIUS 服务器的流量重定向到 RADSEC 目标。RADSEC 目的地由唯一的数字 ID 标识。您可以使用指向同一 RADSEC 服务器的不同参数配置多个 RADSEC 目标。
TLS 依靠证书和私钥-公钥交换对来保护 RADSEC 客户端和服务器之间的数据传输。RADSEC 目标使用从 Junos PKI 基础架构动态获取的本地证书。
要启用 RADSEC,必须指定本地证书的名称。如果证书不可用,或者证书已被吊销,RADSEC 目标将尝试每 300 秒检索一次证书。
默认
默认情况下不启用 RADSEC。
选项
destination id-number | RADSEC 目标的全局唯一 ID 号。
|
address ip-address | 指定 RADSEC 服务器的 IP 地址。 |
id-reuse-timeout seconds | 配置可以重复使用 RADIUS ID 字段值的秒数。
|
logical-system ls-name routing-instance ri-name | 指定要传输的逻辑系统或路由实例。 默认: 如果未显式配置逻辑系统或路由实例,则使用默认值。您可以指定逻辑系统和/或路由实例。
|
max-tx-buffers number | 配置传输时缓冲的最大数据包数。
注意:
缓冲区分配应能够容纳
|
port port-number | (可选)配置 RADSEC 服务器的端口号。
|
source-address ip-address | 配置源 IP 地址,即 RADSEC 服务器的 IP 地址。如果未为动态请求配置源地址,则动态请求将被拒绝。 |
tls-certificate certificate-name | 指定本地证书的名称。 |
tls-force-ciphers [medium | low] | (可选)允许使用低于默认等级的密码。
|
tls-min-version [v1.1 | v1.2] | (可选)配置 TLS 版本以限制为 SSL 连接启用的最低支持的 TLS 版本。
|
tls-peer-name name | RADSEC 服务器的认证名称。 |
tls-timeout seconds | 指定 TLS 协商的限制。
|
其余语句将单独解释。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。
所需权限级别
access - 在配置中查看此语句。
访问控制 - 将此语句添加到配置中。
发布信息
Junos OS 19.1R1 版中引入的语句。
dynamic-requests
在 Junos OS 19.2R1 版中引入。