RADIUS L2TP 的身份验证
配置RADIUS L2TP 的身份验证
L2TP 网络服务器 (LNS) RADIUS或核算请求。认证请求将发送到认证服务器端口。将核算请求发送至核算端口。要RADIUS路由器上的 L2TP 配置M10i或M7i,[edit access]在层次结构级别中包括以下语句:
[edit access] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
层级RADIUS [edit access] 服务器不会由 网络接入服务器 (NASD) 使用。
您可以指定要与核算服务器联系的核算端口号(在语句 accounting-port 中)。大多数RADIUS服务器使用端口号 1813(如 RFC 2866, Radius Accounting 中指定)。
如果在层次结构级别 [edit access profile profile-name accounting-order] RADIUS当前核算,则核算将触发在 1813 accounting-port 的默认端口上,即使您不为 语句指定值也一样。
server-address 指定该认证RADIUS的地址(在 语句 radius-server 中)。
您可以指定要与 RADIUS 服务器联系的端口号(在 语句 port 中)。大多数RADIUS服务器使用端口号 1812(如 RFC 2865“ 用户服务远程认证拨号 [RADIUS] 中 指定)。
您必须在 语句中指定 secret 密码。如果密码中包含空格,请用引号将密码括起来。本地路由器使用的密钥必须与路由认证服务器使用的RADIUS匹配。
或者,您也可指定本地路由器等待接收 RADIUS timeout 服务器响应的时间量(在 语句中)以及路由器尝试联系 RADIUS retry 认证服务器多少次(在 语句中)。默认情况下,路由器将等待 3 秒。您可以将该值配置为一个范围为 1 到 90 秒的值。默认情况下,路由器会重试连接到服务器三次。您可以将该值配置为范围为 1 到 30 倍的值。如果达到了最大重试数,则 radius 服务器被视为不工作 5 分钟(300 秒)。
在 语句 source-address 中,为每台配置的服务器指定RADIUS地址。发送至RADIUS服务器的每个RADIUS都使用指定的源地址。源地址是一个路由器接口上配置的有效 IPv4 地址。
要配置多个RADIUS服务器,请包含多个 radius-server 语句。
将 L2TP 网络服务器 (LNS) 配置为RADIUS认证时,默认行为是接受RADIUS分配的 IP 地址。之前,默认行为是接受和安装互联网协议控制协议 (IPCP) 配置请求数据包收到的非零对等方 IP 地址。
配置RADIUS L2TP 客户端和配置文件的身份验证
在虚拟M10i或M7i路由器上,L2TP 支持RADIUS层次结构下具有一组 RADIUS 服务器 [edit access] 的用户进行安全认证和核算。您还可以为每个隧道RADIUS或用户配置文件配置安全认证。
要配置 RADIUS 路由器上 L2TP 通道客户端M10i M7i,ppp-profilel2tp请包含语句以及通道客户端的属性:
[edit access profile profile-name client client-name l2tp] ppp-profile profile-name;
ppp-profile profile-name 指定了用于通过 L2TP 隧道验证 PPP 会话请求的配置文件。引用配置文件的客户端必须仅有 PPP 属性。必须定义引用的组配置文件。
要配置RADIUS的认证,请包括在 层次结构级别中的 [edit access profile profile-name] 以下语句:
[edit access profile profile-name] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
当 PPP 用户发起会话并RADIUS为隧道组上的用户配置文件配置身份验证时,将按以下优先级顺序确定哪台 RADIUS 服务器用于身份验证和核算:
-
ppp-profile如果语句在隧道客户端 (LAC) 下配置,RADIUS配置的服务器将按指定ppp-profile方式配置。 -
如果在RADIUS组的用户配置文件下配置了这些服务器,则这些服务器将被使用。
-
如果未RADIUS隧道客户端 (LAC) 或用户配置文件配置任何服务器,则RADIUS
[edit access]层级配置的服务器。
RADIUS L2TP 的一个本地环路接口属性
您可以在一台RADIUS上配置 Local-Loopback-Interface 属性,以管理多个 LAC 设备。对于通过 L2TP 建立隧道的 PPPoE 订户,此功能用作 LNS 通道上的 LAC 源地址。
将 Tunnel-Client-Endpoint 属性用作 LAC 源地址时,您必须为使用相同主机服务器的每个 MX 系列路由器配置 tunnel-Client-Endpoint 属性RADIUS。从此版本开始,您可以使用本地环路接口属性,属性只需配置一次。当 LAC 启动访问请求消息以RADIUS进行身份验证时,RADIUS接受消息中返回本地环路接口属性。属性包含环路接口的名称,可以是通用接口名称,如“lo0”,要么作为类似“lo0.0”的特定名称。然后,MX 系列路由器在隧道与 LNS 协商期间,使用配置的环路接口 IP 地址作为源地址。
MX 系列路由器可以用作 LAC,并使用其上的任何接口地址作为 L2TP 通道源地址。源地址可通过RADIUS客户端端点或本地环路接口属性进行动态分配。通道源地址可通过 L2TP 隧道配置文件在 MX 系列路由器上静态配置。如果 RADIUS 不返回 Tunnel-Client-Endpoint 或 Local-Loopback-Interface 属性,并且 MX 系列路由器上没有配置相应的 L2TP 通道配置文件,则 L2TP 隧道无法启动,因为路由器没有合适的隧道源地址。在这种情况下,路由器可使用本地配置的环路地址作为源地址以成功建立 L2TP 隧道。
示例:配置RADIUS L2TP 的身份验证
配置
CLI快速配置
以下示例显示如何配置 L2TP RADIUS身份验证:
[edit access]
profile example_bldg {
client client_1 {
chap-secret "$ABC123";
ppp {
interface-id west;
}
group-profile example_users;
}
client client_2 {
chap-secret "$ABC123";
group-profile example_users;
}
authentication-order radius;
}
radius-server {
198.51.100.213 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
198.51.100.223 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
}
radius-disconnect-port 2500;
radius-disconnect {
198.51.100.152 secret "$ABC123";
# SECRET-DATA
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.157 secret "$ABC123";
# SECRET-DATA
198.51.100.173 secret "$ABC123";
# SECRET-DATA
}
示例:配置RADIUS L2TP 配置文件的身份验证
配置
CLI快速配置
[edit access]
profile t {
client LAC_A {
l2tp {
ppp-profile u;
}
}
}
profile u {
client client_1 {
ppp {
}
}
198.51.100.5 {
port 3333;
secret $ABC123;
source-address 198.51.100.1;
retry 3;
timeout 3;
}
198.51.100.6 secret $ABC123;
198.51.100.7 secret $ABC123;
}
配置 L2TP RADIUS断开服务器
要配置 RADIUS [edit access] 断开连接服务器以侦听从管理员断开的请求并处理它们,请包括在 层次结构级别中的以下语句:
[edit access] radius-disconnect-port port-number; radius-disconnect { client-address { secret password; } }
port-number 是服务器端口,RADIUS向该服务器端口发送断开连接请求。接受这些断开连接请求的 L2TP 网络服务器是服务器。您可以指定要与断开服务器联系的RADIUS编号。大多数RADIUS服务器使用端口号 1700。
Junos OS接受的客户端地址仅断开其从层次结构级别配置的 [edit access radius-disconnect client-address] 客户端地址。
client-address 是向服务器发送断开连接请求RADIUS主机。客户端地址是一个在路由器或交换机接口上配置的有效 IP 地址。
password 将验证 RADIUS 客户端。密码可以包含空格。本地路由器使用的密钥必须与服务器使用的密钥匹配。
有关如何配置 L2TP RADIUS的信息,请参阅 为 L2TP 配置RADIUS认证 。
以下示例显示要包括在 层次结构级别中的 [edit access] 语句,以配置断开RADIUS服务器:
[edit access]
radius-disconnect-port 1700;
radius-disconnect {
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.162 secret "$ABC123";
# SECRET-DATA
}
配置RADIUS L2TP 的核算顺序
您可配置 RADIUS L2TP 配置文件的核算。启用RADIUS核算后,瞻博网络可充当RADIUS客户端。它们可通知RADIUS用户活动,如软件登录、配置更改和交互式命令。RFC 2866 中介绍了RADIUS核算框架。
要配置RADIUS核算,请 accounting-order 包含层级的 [edit access profile profile-name] 语句:
[edit access profile profile-name] accounting-order radius;
启用 L2TP RADIUS核算时,它适用于该配置文件内的所有客户端。您必须在至少RADIUS一个 LT2P 配置文件上启用加密核算,RADIUS服务器才能发送核算停止并启动消息。
启用 L2TP accounting-port RADIUS核算时,无需在 层次结构级别配置 [edit access radius-server server-address] 语句。启用 L2TP RADIUS核算时,在 1813 的默认端口上触发核算。
对于 L2TP,RADIUS服务器配置在 层次结构 [edit access radius-server] 级别。
示例:RADIUS基于配置的订阅者身份验证和核算
配置
CLI快速配置
[edit access]
radius-server {
198.51.100.250 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123$ABC123;
source-address 198.51.100.100;
timeout 45;
}
198.51.100.251 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123;
source-address 198.51.100.100;
timeout 30;
}
2001:DB8:0f101::2{
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 4;
secret $ABC123$ABC123$ABC123-;
source-address 2001:DB8:0f101::1;
timeout 20;
}
}
profile isp-bos-metro-fiber-basic {
authentication-order radius;
accounting {
order radius;
accounting-stop-on-access-deny;
accounting-stop-on-failure;
immediate-update;
statistics time;
update-interval 12;
wait-for-acct-on-ack;
send-acct-status-on-config-change;
}
radius {
authentication-server 198.51.100.251 198.51.100.252;
accounting-server 198.51.100.250 198.51.100.251;
options {
accounting-session-id-format decimal;
client-accounting-algorithm round-robin;
client-authentication-algorithm round-robin;
nas-identifier 56;
nas-port-id-delimiter %;
nas-port-id-format {
nas-identifier;
interface-description;
}
nas-port-type {
ethernet {
wireless-80211;
}
}
}
attributes {
ignore {
framed-ip-netmask;
}
exclude {
accounting-delay-time [accounting-start accounting-stop];
accounting-session-id [access-request accounting-on accounting-off
accounting-start accounting-stop];
dhcp-gi-address [access-request accounting-start accounting-stop];
dhcp-mac-address [access-request accounting-start accounting-stop];
nas-identifier [access-request accounting-start accounting-stop];
nas-port [accounting-start accounting-stop];
nas-port-id [accounting-start accounting-stop];
nas-port-type [access-request accounting-start accounting-stop];
}
}
}
}
[edit logical-systems isp-bos-metro-12 routing-instances isp-cmbrg-12-32]
interfaces {
lo0 {
unit 0 {
family inet {
address 198.51.100.100/24;
}
}
}
ge-0/0/0 {
vlan-tagging;
unit 0 {
vlan-id 200;
family inet {
unnumbered-address lo0.0;
}
}
}
}
RADIUS L2TP 的一些属性
Junos OS支持以下类型的 L2TP RADIUS属性:
-
瞻博网络供应商特定的属性 (VSA)
-
由 互联网工程任务组 定义的属性-值对 (AVPs) (IETF)
-
RADIUS停止核算并启动 ACP
瞻博网络供应商特定的RADIUS属性在 RFC 2865, 远程身份验证拨号用户服务 (RADIUS) 中进行了介绍。这些属性使用供应商 ID 集封装至 id 瞻博网络 2636。 表 1 列出了瞻博网络为 L2TP 配置的 VAS。
| 属性名称 |
标准编号 |
价值 |
|---|---|---|
| 瞻博网络-主-DNS |
31 |
IP 地址 |
| 瞻博网络-主要-WINS |
32 |
IP 地址 |
| 瞻博网络二级 DNS |
33 |
IP 地址 |
| 瞻博网络二级 WINS |
34 |
IP 地址 |
| 瞻博网络接口 ID |
35 |
字符串 |
| 瞻博网络-IP-Pool-Name |
36 |
字符串 |
| 瞻博网络保持活力 |
37 |
整数 |
表 2 列出了IETF RADIUS LT2P 支持的 ACP。
| 属性名称 |
标准编号 |
价值 |
|---|---|---|
| 用户名 |
1 |
字符串 |
| 用户密码 |
2 |
字符串 |
| CHAP-Password |
3 |
字符串 |
| NAS-IP 地址 |
4 |
IP 地址 |
| NAS端口 |
5 |
整数 |
| 服务类型 |
6 |
整数 |
| 有帧协议 |
7 |
整数 |
| 帧 IP 地址 |
8 |
IP 地址 |
| 框架-IP-Netmask |
9 |
IP 地址 |
| 有帧MTU |
12 |
整数 |
| 有帧路由 |
22 |
字符串 |
| 会话超时 |
27 |
整数 |
| 空闲超时 |
28 |
整数 |
| 称为站 ID |
30 |
字符串 |
| 呼叫站 ID |
31 |
字符串 |
| CHAP 挑战赛 |
60 |
字符串 |
| NAS端口类型 |
61 |
整数 |
| 有帧池 |
88 |
整数 |
表 3 列出了 L2TP RADIUS核算开始 AVP 的支持。
| 属性名称 |
标准编号 |
价值 |
|---|---|---|
| 用户名 |
1 |
字符串 |
| NAS-IP 地址 |
4 |
IP 地址 |
| NAS端口 |
5 |
整数 |
| 服务类型 |
6 |
整数 |
| 有帧协议 |
7 |
整数 |
| 帧 IP 地址 |
8 |
IP 地址 |
| 称为站 ID |
30 |
字符串 |
| 呼叫站 ID |
31 |
字符串 |
| Acct-Status-Type |
40 |
整数 |
| Acct-Delay-Time |
41 |
整数 |
| Acct-Session-ID |
44 |
字符串 |
| Acct-Authentic |
45 |
整数 |
| NAS端口类型 |
61 |
整数 |
| 隧道客户端-端点 |
66 |
字符串 |
| 通道-服务器-端点 |
67 |
字符串 |
| Acct-Tunnel-Connection |
68 |
字符串 |
| 隧道客户端-身份验证 ID |
90 |
字符串 |
| 隧道-服务器-身份验证 ID |
91 |
字符串 |
表 4 列出了 L2TP RADIUS核算停止 AVP 支持的列表。
| 属性名称 |
标准编号 |
价值 |
|---|---|---|
| 用户名 |
1 |
字符串 |
| 本地环路接口 |
3 |
字符串 |
| NAS-IP 地址 |
4 |
IP 地址 |
| NAS端口 |
5 |
整数 |
| 服务类型 |
6 |
整数 |
| 有帧协议 |
7 |
整数 |
| 帧 IP 地址 |
8 |
IP 地址 |
| 称为站 ID |
30 |
字符串 |
| 呼叫站 ID |
31 |
字符串 |
| Acct-Status-Type |
40 |
整数 |
| Acct-Delay-Time |
41 |
整数 |
| Acct-Input-Octets |
42 |
整数 |
| Acct-Output-Octets |
43 |
整数 |
| Acct-Session-ID |
44 |
字符串 |
| Acct-Authentic |
45 |
整数 |
| Acct-Session-Time |
46 |
整数 |
| Acct-Input-Packets |
47 |
整数 |
| Acct-Output-Packets |
48 |
整数 |
| Acct-终止原因 |
49 |
整数 |
| Acct-Multi-Session-ID |
50 |
字符串 |
| Acct-Link-Count |
51 |
整数 |
| NAS端口类型 |
61 |
整数 |
| 隧道客户端-端点 |
66 |
字符串 |
| 通道-服务器-端点 |
67 |
字符串 |
| Acct-Tunnel-Connection |
68 |
字符串 |
| 隧道客户端-身份验证 ID |
90 |
字符串 |
| 隧道-服务器-身份验证 ID |
91 |
字符串 |