RADIUS over TLS (RADSEC)
要使用 802.1X 或 MAC RADIUS 身份验证,您必须为要连接到的每个 RADIUS 服务器指定交换机上的连接。RADIUS over TLS 旨在使用传输安全层 (TLS) 协议提供 RADIUS 请求的安全通信。RADIUS over TLS 也称为 RADSEC,它将常规 RADIUS 流量重定向到通过 TLS 连接的远程 RADIUS 服务器。RADSec 允许在不受信任的网络中安全地传递 RADIUS 身份验证、授权和计费数据。
RADSEC 将 TLS 与传输控制协议 (TCP) 结合使用。此传输配置文件提供比最初用于 RADIUS 传输的用户数据报协议 (UDP) 更强的安全性。UDP 上的 RADIUS 使用 MD5 算法加密共享密钥密码,该算法容易受到攻击。RADSEC 通过在加密的 TLS 隧道上交换 RADIUS 数据包有效负载来降低对 MD5 的攻击风险。
由于 TCP 协议的限制,RADSEC 传输中的 RADIUS 消息不得超过 255 条。
配置 RADSEC 目标
RADSEC 服务器由 RADSEC 目标对象表示。要配置 RADSEC,必须将 RADSEC 服务器定义为目标,并将 RADIUS 流量定向到该目标。
您可以使用层次结构级别的语句[edit access]
将 radsec
RADSEC 服务器定义为目标。RADSEC 目的地由唯一的数字 ID 标识。您可以使用指向同一 RADSEC 服务器的不同参数配置多个 RADSEC 目标。
要将流量从标准 RADIUS 服务器重定向到 RADSEC 服务器,请将 RADIUS 服务器与 RADSEC 目标相关联。例如,RADIUS 服务器 10.1.1.1
与 RADSEC 目标 10
相关联:
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } }
您还可以将 RADIUS 服务器与访问配置文件中的 RADSEC 目标相关联。例如,配置文件acc_profile
中的 RADIUS 服务器10.2.2.2
与 RADSEC 目标10
相关联:
access { profile acc_profile { secret zzz; radsec-destination 10; } }
您可以将多个 RADIUS 服务器重定向到同一个 RADSEC 目标。
要配置 RADSEC:
配置 TLS 连接参数
TLS 连接为 RADIUS 消息的交换提供加密、身份验证和数据完整性。TLS 依靠证书和私钥-公钥交换对来保护 RADSEC 客户端和服务器之间的数据传输。RADSEC 目标使用从 Junos PKI 基础架构动态获取的本地证书。
要启用 RADSEC,必须指定本地证书的名称。有关配置本地证书和证书颁发机构 (CA) 的信息,请参阅 配置数字证书。
示例:简单的 RADSEC 配置
以下示例是具有一个 RADIUS 服务器和一个 RADSEC 目标的简单 RADSEC 配置。RADIUS 流量从 RADIUS 服务器 10.1.1.1 重定向到 RADSEC 目标 10。
access { radius-server 10.1.1.1 { secret zzz; radsec-destination 10; } radsec { destination 10 { address 10.10.1.1; max-tx-buffers 1000; id-reuse-timeout 30; port 1777; source-address 10.1.1.2; tls-certificate my_cert; tls-min-version { v1.1 | v1.2 }; tls-peer-name x0.radsec.com tls-timeout 10; } } }
监控证书
要查看有关本地证书获取的状态和统计信息的信息,请执行以下操作:show network-access radsec local-certificate。
监控 RADSEC 目的地
要查看 RADSEC 目标的统计信息,请执行以下操作:show network-access radsec statistics。
要查看 RADSEC 目标的状态,请执行以下操作:show network-access radsec state。