RADIUS L2TP 的身份验证
配置RADIUS L2TP 的身份验证
L2TP 网络服务器 (LNS) RADIUS或核算请求。认证请求将发送到认证服务器端口。将核算请求发送至核算端口。要RADIUS路由器上的 L2TP 配置M10i或M7i,[edit access]
在层次结构级别中包括以下语句:
[edit access] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
层级RADIUS [edit access]
服务器不会由 网络接入服务器 (NASD) 使用。
您可以指定要与核算服务器联系的核算端口号(在语句 accounting-port
中)。大多数RADIUS服务器使用端口号 1813(如 RFC 2866, Radius Accounting 中指定)。
如果在层次结构级别 [edit access profile profile-name accounting-order]
RADIUS当前核算,则核算将触发在 1813 accounting-port
的默认端口上,即使您不为 语句指定值也一样。
server-address
指定该认证RADIUS的地址(在 语句 radius-server
中)。
您可以指定要与 RADIUS 服务器联系的端口号(在 语句 port
中)。大多数RADIUS服务器使用端口号 1812(如 RFC 2865“ 用户服务远程认证拨号 [RADIUS] 中 指定)。
您必须在 语句中指定 secret
密码。如果密码中包含空格,请用引号将密码括起来。本地路由器使用的密钥必须与路由认证服务器使用的RADIUS匹配。
或者,您也可指定本地路由器等待接收 RADIUS timeout
服务器响应的时间量(在 语句中)以及路由器尝试联系 RADIUS retry
认证服务器多少次(在 语句中)。默认情况下,路由器将等待 3 秒。您可以将该值配置为一个范围为 1 到 90 秒的值。默认情况下,路由器会重试连接到服务器三次。您可以将该值配置为范围为 1 到 30 倍的值。如果达到了最大重试数,则 radius 服务器被视为不工作 5 分钟(300 秒)。
在 语句 source-address
中,为每台配置的服务器指定RADIUS地址。发送至RADIUS服务器的每个RADIUS都使用指定的源地址。源地址是一个路由器接口上配置的有效 IPv4 地址。
要配置多个RADIUS服务器,请包含多个 radius-server
语句。
将 L2TP 网络服务器 (LNS) 配置为RADIUS认证时,默认行为是接受RADIUS分配的 IP 地址。之前,默认行为是接受和安装互联网协议控制协议 (IPCP) 配置请求数据包收到的非零对等方 IP 地址。
配置RADIUS L2TP 客户端和配置文件的身份验证
在虚拟M10i或M7i路由器上,L2TP 支持RADIUS层次结构下具有一组 RADIUS 服务器 [edit access]
的用户进行安全认证和核算。您还可以为每个隧道RADIUS或用户配置文件配置安全认证。
要配置 RADIUS 路由器上 L2TP 通道客户端M10i M7i,ppp-profile
l2tp
请包含语句以及通道客户端的属性:
[edit access profile profile-name client client-name l2tp] ppp-profile profile-name;
ppp-profile profile-name
指定了用于通过 L2TP 隧道验证 PPP 会话请求的配置文件。引用配置文件的客户端必须仅有 PPP 属性。必须定义引用的组配置文件。
要配置RADIUS的认证,请包括在 层次结构级别中的 [edit access profile profile-name]
以下语句:
[edit access profile profile-name] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
当 PPP 用户发起会话并RADIUS为隧道组上的用户配置文件配置身份验证时,将按以下优先级顺序确定哪台 RADIUS 服务器用于身份验证和核算:
-
ppp-profile
如果语句在隧道客户端 (LAC) 下配置,RADIUS配置的服务器将按指定ppp-profile
方式配置。 -
如果在RADIUS组的用户配置文件下配置了这些服务器,则这些服务器将被使用。
-
如果未RADIUS隧道客户端 (LAC) 或用户配置文件配置任何服务器,则RADIUS
[edit access]
层级配置的服务器。
RADIUS L2TP 的一个本地环路接口属性
您可以在一台RADIUS上配置 Local-Loopback-Interface 属性,以管理多个 LAC 设备。对于通过 L2TP 建立隧道的 PPPoE 订户,此功能用作 LNS 通道上的 LAC 源地址。
将 Tunnel-Client-Endpoint 属性用作 LAC 源地址时,您必须为使用相同主机服务器的每个 MX 系列路由器配置 tunnel-Client-Endpoint 属性RADIUS。从此版本开始,您可以使用本地环路接口属性,属性只需配置一次。当 LAC 启动访问请求消息以RADIUS进行身份验证时,RADIUS接受消息中返回本地环路接口属性。属性包含环路接口的名称,可以是通用接口名称,如“lo0”,要么作为类似“lo0.0”的特定名称。然后,MX 系列路由器在隧道与 LNS 协商期间,使用配置的环路接口 IP 地址作为源地址。
MX 系列路由器可以用作 LAC,并使用其上的任何接口地址作为 L2TP 通道源地址。源地址可通过RADIUS客户端端点或本地环路接口属性进行动态分配。通道源地址可通过 L2TP 隧道配置文件在 MX 系列路由器上静态配置。如果 RADIUS 不返回 Tunnel-Client-Endpoint 或 Local-Loopback-Interface 属性,并且 MX 系列路由器上没有配置相应的 L2TP 通道配置文件,则 L2TP 隧道无法启动,因为路由器没有合适的隧道源地址。在这种情况下,路由器可使用本地配置的环路地址作为源地址以成功建立 L2TP 隧道。
示例:配置RADIUS L2TP 的身份验证
配置
CLI快速配置
以下示例显示如何配置 L2TP RADIUS身份验证:
[edit access] profile example_bldg { client client_1 { chap-secret "$ABC123"; ppp { interface-id west; } group-profile example_users; } client client_2 { chap-secret "$ABC123"; group-profile example_users; } authentication-order radius; } radius-server { 198.51.100.213 { port 1812; accounting-port 1813; secret "$ABC123"; # SECRET-DATA } 198.51.100.223 { port 1812; accounting-port 1813; secret "$ABC123"; # SECRET-DATA } } radius-disconnect-port 2500; radius-disconnect { 198.51.100.152 secret "$ABC123"; # SECRET-DATA 198.51.100.153 secret "$ABC123"; # SECRET-DATA 198.51.100.157 secret "$ABC123"; # SECRET-DATA 198.51.100.173 secret "$ABC123"; # SECRET-DATA }
示例:配置RADIUS L2TP 配置文件的身份验证
配置
CLI快速配置
[edit access] profile t { client LAC_A { l2tp { ppp-profile u; } } } profile u { client client_1 { ppp { } } 198.51.100.5 { port 3333; secret $ABC123; source-address 198.51.100.1; retry 3; timeout 3; } 198.51.100.6 secret $ABC123; 198.51.100.7 secret $ABC123; }
配置 L2TP RADIUS断开服务器
要配置 RADIUS [edit access]
断开连接服务器以侦听从管理员断开的请求并处理它们,请包括在 层次结构级别中的以下语句:
[edit access] radius-disconnect-port port-number; radius-disconnect { client-address { secret password; } }
port-number
是服务器端口,RADIUS向该服务器端口发送断开连接请求。接受这些断开连接请求的 L2TP 网络服务器是服务器。您可以指定要与断开服务器联系的RADIUS编号。大多数RADIUS服务器使用端口号 1700。
Junos OS接受的客户端地址仅断开其从层次结构级别配置的 [edit access radius-disconnect client-address]
客户端地址。
client-address
是向服务器发送断开连接请求RADIUS主机。客户端地址是一个在路由器或交换机接口上配置的有效 IP 地址。
password
将验证 RADIUS 客户端。密码可以包含空格。本地路由器使用的密钥必须与服务器使用的密钥匹配。
有关如何配置 L2TP RADIUS的信息,请参阅 为 L2TP 配置RADIUS认证 。
以下示例显示要包括在 层次结构级别中的 [edit access]
语句,以配置断开RADIUS服务器:
[edit access] radius-disconnect-port 1700; radius-disconnect { 198.51.100.153 secret "$ABC123"; # SECRET-DATA 198.51.100.162 secret "$ABC123"; # SECRET-DATA }
配置RADIUS L2TP 的核算顺序
您可配置 RADIUS L2TP 配置文件的核算。启用RADIUS核算后,瞻博网络可充当RADIUS客户端。它们可通知RADIUS用户活动,如软件登录、配置更改和交互式命令。RFC 2866 中介绍了RADIUS核算框架。
要配置RADIUS核算,请 accounting-order
包含层级的 [edit access profile profile-name]
语句:
[edit access profile profile-name] accounting-order radius;
启用 L2TP RADIUS核算时,它适用于该配置文件内的所有客户端。您必须在至少RADIUS一个 LT2P 配置文件上启用加密核算,RADIUS服务器才能发送核算停止并启动消息。
启用 L2TP accounting-port
RADIUS核算时,无需在 层次结构级别配置 [edit access radius-server server-address]
语句。启用 L2TP RADIUS核算时,在 1813 的默认端口上触发核算。
对于 L2TP,RADIUS服务器配置在 层次结构 [edit access radius-server]
级别。
示例:RADIUS基于配置的订阅者身份验证和核算
配置
CLI快速配置
[edit access] radius-server { 198.51.100.250 { port 1812; accounting-port 1813; accounting-retry 6; accounting-timeout 20; retry 3; secret $ABC123$ABC123; source-address 198.51.100.100; timeout 45; } 198.51.100.251 { port 1812; accounting-port 1813; accounting-retry 6; accounting-timeout 20; retry 3; secret $ABC123; source-address 198.51.100.100; timeout 30; } 2001:DB8:0f101::2{ port 1812; accounting-port 1813; accounting-retry 6; accounting-timeout 20; retry 4; secret $ABC123$ABC123$ABC123-; source-address 2001:DB8:0f101::1; timeout 20; } } profile isp-bos-metro-fiber-basic { authentication-order radius; accounting { order radius; accounting-stop-on-access-deny; accounting-stop-on-failure; immediate-update; statistics time; update-interval 12; wait-for-acct-on-ack; send-acct-status-on-config-change; } radius { authentication-server 198.51.100.251 198.51.100.252; accounting-server 198.51.100.250 198.51.100.251; options { accounting-session-id-format decimal; client-accounting-algorithm round-robin; client-authentication-algorithm round-robin; nas-identifier 56; nas-port-id-delimiter %; nas-port-id-format { nas-identifier; interface-description; } nas-port-type { ethernet { wireless-80211; } } } attributes { ignore { framed-ip-netmask; } exclude { accounting-delay-time [accounting-start accounting-stop]; accounting-session-id [access-request accounting-on accounting-off accounting-start accounting-stop]; dhcp-gi-address [access-request accounting-start accounting-stop]; dhcp-mac-address [access-request accounting-start accounting-stop]; nas-identifier [access-request accounting-start accounting-stop]; nas-port [accounting-start accounting-stop]; nas-port-id [accounting-start accounting-stop]; nas-port-type [access-request accounting-start accounting-stop]; } } } } [edit logical-systems isp-bos-metro-12 routing-instances isp-cmbrg-12-32] interfaces { lo0 { unit 0 { family inet { address 198.51.100.100/24; } } } ge-0/0/0 { vlan-tagging; unit 0 { vlan-id 200; family inet { unnumbered-address lo0.0; } } } }
RADIUS L2TP 的一些属性
Junos OS支持以下类型的 L2TP RADIUS属性:
-
瞻博网络供应商特定的属性 (VSA)
-
由 互联网工程任务组 定义的属性-值对 (AVPs) (IETF)
-
RADIUS停止核算并启动 ACP
瞻博网络供应商特定的RADIUS属性在 RFC 2865, 远程身份验证拨号用户服务 (RADIUS) 中进行了介绍。这些属性使用供应商 ID 集封装至 id 瞻博网络 2636。 表 1 列出了瞻博网络为 L2TP 配置的 VAS。
属性名称 |
标准编号 |
价值 |
---|---|---|
瞻博网络-主-DNS |
31 |
IP 地址 |
瞻博网络-主要-WINS |
32 |
IP 地址 |
瞻博网络二级 DNS |
33 |
IP 地址 |
瞻博网络二级 WINS |
34 |
IP 地址 |
瞻博网络接口 ID |
35 |
字符串 |
瞻博网络-IP-Pool-Name |
36 |
字符串 |
瞻博网络保持活力 |
37 |
整数 |
表 2 列出了IETF RADIUS LT2P 支持的 ACP。
属性名称 |
标准编号 |
价值 |
---|---|---|
用户名 |
1 |
字符串 |
用户密码 |
2 |
字符串 |
CHAP-Password |
3 |
字符串 |
NAS-IP 地址 |
4 |
IP 地址 |
NAS端口 |
5 |
整数 |
服务类型 |
6 |
整数 |
有帧协议 |
7 |
整数 |
帧 IP 地址 |
8 |
IP 地址 |
框架-IP-Netmask |
9 |
IP 地址 |
有帧MTU |
12 |
整数 |
有帧路由 |
22 |
字符串 |
会话超时 |
27 |
整数 |
空闲超时 |
28 |
整数 |
称为站 ID |
30 |
字符串 |
呼叫站 ID |
31 |
字符串 |
CHAP 挑战赛 |
60 |
字符串 |
NAS端口类型 |
61 |
整数 |
有帧池 |
88 |
整数 |
表 3 列出了 L2TP RADIUS核算开始 AVP 的支持。
属性名称 |
标准编号 |
价值 |
---|---|---|
用户名 |
1 |
字符串 |
NAS-IP 地址 |
4 |
IP 地址 |
NAS端口 |
5 |
整数 |
服务类型 |
6 |
整数 |
有帧协议 |
7 |
整数 |
帧 IP 地址 |
8 |
IP 地址 |
称为站 ID |
30 |
字符串 |
呼叫站 ID |
31 |
字符串 |
Acct-Status-Type |
40 |
整数 |
Acct-Delay-Time |
41 |
整数 |
Acct-Session-ID |
44 |
字符串 |
Acct-Authentic |
45 |
整数 |
NAS端口类型 |
61 |
整数 |
隧道客户端-端点 |
66 |
字符串 |
通道-服务器-端点 |
67 |
字符串 |
Acct-Tunnel-Connection |
68 |
字符串 |
隧道客户端-身份验证 ID |
90 |
字符串 |
隧道-服务器-身份验证 ID |
91 |
字符串 |
表 4 列出了 L2TP RADIUS核算停止 AVP 支持的列表。
属性名称 |
标准编号 |
价值 |
---|---|---|
用户名 |
1 |
字符串 |
本地环路接口 |
3 |
字符串 |
NAS-IP 地址 |
4 |
IP 地址 |
NAS端口 |
5 |
整数 |
服务类型 |
6 |
整数 |
有帧协议 |
7 |
整数 |
帧 IP 地址 |
8 |
IP 地址 |
称为站 ID |
30 |
字符串 |
呼叫站 ID |
31 |
字符串 |
Acct-Status-Type |
40 |
整数 |
Acct-Delay-Time |
41 |
整数 |
Acct-Input-Octets |
42 |
整数 |
Acct-Output-Octets |
43 |
整数 |
Acct-Session-ID |
44 |
字符串 |
Acct-Authentic |
45 |
整数 |
Acct-Session-Time |
46 |
整数 |
Acct-Input-Packets |
47 |
整数 |
Acct-Output-Packets |
48 |
整数 |
Acct-终止原因 |
49 |
整数 |
Acct-Multi-Session-ID |
50 |
字符串 |
Acct-Link-Count |
51 |
整数 |
NAS端口类型 |
61 |
整数 |
隧道客户端-端点 |
66 |
字符串 |
通道-服务器-端点 |
67 |
字符串 |
Acct-Tunnel-Connection |
68 |
字符串 |
隧道客户端-身份验证 ID |
90 |
字符串 |
隧道-服务器-身份验证 ID |
91 |
字符串 |