Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS 身份验证

Junos OS 支持在多个路由器或交换机或安全设备上对用户进行集中身份验证 RADIUS。要在设备上使用 RADIUS 身份验证,您必须配置有关网络上一个或多个 RADIUS 服务器的信息。您还可以在设备上配置 RADIUS 记帐,以收集有关从 LAN 登录或注销的用户的统计数据,并将数据发送至 RADIUS 记帐服务器。有关更多信息,请阅读本主题。

配置 RADIUS 服务器身份验证

RADIUS 身份验证是一种对尝试访问路由器或交换机的用户进行认证的方法。

为什么使用 RADIUS

Junos OS 支持在多个路由器上对用户进行集中身份验证的两个协议:RADIUS 和 TACACS +。我们建议 RADIUS,因为它是一家多供应商 IETF 标准,其功能比 TACACS + 或其他专有系统更广泛接受。此外,建议使用一次密码系统提高安全性,并且这些系统的所有供应商都支持RADIUS。

当优先级为互操作性和性能时,应使用 RADIUS:

  • 互操作性— RADIUS TACACS+ 更具互操作性,主要是因为 TACACS+ 具有专有性。尽管 TACACS + 支持更多协议,但 RADIUS 普遍受支持。

  • 性能 — RADIUS路由器和交换机上的设备要轻得多,因此,网络工程师通常比 TACACS+ RADIUS性能。

配置 RADIUS 服务器详细信息

要在设备上使用 RADIUS 身份验证,请配置有关网络上一个或多个 RADIUS 服务器的信息radius-server ,方法是[edit system]在每个 RADIUS 服务器的层次结构级别上包含一条语句。

由于远程认证配置在多台设备上,因此通常在配置组内配置。因此,此处显示的步骤位于称为global的配置组中。使用配置组是可选的。

注:

remote语句必须始终为小写。

注:

SRX1500、SRX5400、SRX5600 和 SRX5800 设备上支持此功能。

要通过 RADIUS 服务器配置身份验证:

  1. 添加 IPv4 或 IPv6 服务器地址。

    • 配置 IPv4 源地址和服务器地址:

      例如:

    • 配置 IPv6 源地址和服务器地址:

      例如:

      源地址是在一个路由器或交换机接口上配置的有效 IPv4 或 IPv6 地址。这会将固定地址设置为本地生成的 IP 数据包的源地址。

      服务器地址是分配给特定服务器的唯一 IPv4 或 IPv6 地址,用于将信息路由到服务器。如果 Junos OS 设备具有多个可到达 RADIUS 服务器的接口,请分配 Junos OS 可用于所有与 RADIUS 服务器通信的 IP 地址。

  2. 包含共享密钥密码。

    您必须在secret password语句中指定密码。如果密码包含空格,请用引号将其引起来。本地路由器或交换机使用的机密密码必须与服务器使用的相同。机密密码配置 Junos OS 设备用于访问 RADIUS 服务器的密码。

    例如:

  3. 如有必要,请指定要与 RADIUS 服务器联系的端口。

    默认情况下,使用端口号1812(在 RFC 2865 中指定)。

    注:

    您还可以指定一个记帐端口,将计费数据包与该accounting-port语句一起发送。默认值为1813(如 RFC 2866 中指定的那样)。

    例如:

  4. 指定 Junos OS 尝试身份验证的顺序。

    您必须将authentication-order语句包含在远程认证配置中。

    该示例假设您的网络同时包括 RADIUS 和 TACACS + 服务器。在此示例中,每当用户尝试登录时,Junos OS 开始查询 RADIUS 服务器进行身份验证。如果失败,则随后尝试使用本地配置的用户帐户进行身份验证。最后尝试采用 TACACS + 服务器。

    例如:

  5. 为 RADIUS 经过身份验证的用户分配登录类。

    您可以为 RADIUS 经过身份验证的用户分配不同的用户模板和登录类。这允许在 Junos OS 设备上授予 RADIUS 网络认证用户不同的管理权限。默认情况下,如果配置了remoteremoteremote用户模板,则 RADIUS 网络验证用户使用 user 模板并分配给关联类(在用户模板中指定)。用户名remote是 Junos OS 中的一种特例。它用作由远程服务器认证但在设备上没有本地配置的用户帐户的用户的模板。在此方法中,不使用本地定义的帐户,Junos OS 将远程模板的权限应用于那些经过身份验证的用户。所有映射到远程模板的用户都属于相同的登录类。

    在 Junos OS 配置中,用户模板的配置方式与常规本地用户帐户相同,不同之处在于未配置本地身份验证密码,因为身份验证是在 RADIUS 服务器上远程执行的。

    • 要对所有 RADIUS 身份验证的用户使用相同的权限:

      例如:

    • 要将不同的登录类用于不同 RADIUS 网络认证用户,请授予不同权限:

      1. 在 Junos OS 配置中创建多个用户模板。

        可以为每个用户模板分配不同的登录类。

        例如:

      2. 让 RADIUS 服务器指定要应用于经过身份验证的用户的用户模板的名称。

        对于 RADIUS 服务器指示要应用的用户模板,它需要在 RADIUS 访问-接受消息中包括 Juniper 本地用户名属性(供应商2636、类型1、字符串) Juniper VSA (供应商特定属性)。Juniper 本地用户名中的字符串值必须对应于设备上已配置的用户模板名称。有关相关 VSA 瞻博网络 RADIUS列表,请参阅 瞻博网络特定RADIUS和 LDAP 属性

        如果 "访问-接受" 消息中不包含 Juniper 本地用户名,或者该字符串包含设备上不存在的用户模板名称,则会将该用户分配给remote用户模板(如果已配置)。如果未配置,用户的身份验证将失败。

        登录后,远程身份验证用户将保留用于登录的相同用户名。但是,用户从分配的用户模板继承用户类别。

        在 RADIUS 服务器中,可为用户分配一个 Juniper 本地用户名字符串,指示要在 Junos OS 设备中使用的用户模板。从上一示例中,该字符串将为 RO、OP 或 SU。RADIUS 服务器的配置取决于所用的服务器。

配置 RADIUS 以使用管理实例

默认情况下,Junos OS 路由通过默认路由实例 RADIUS 的身份验证、授权和计费数据包。从 Junos OS 版本 18.1 R1 开始,现有 RADIUS 行为得到增强,可在非默认 VRF 实例中支持管理接口。

如果同时routing-instance mgmt_junosradius-server server-ip-addressradius server server-ip-address语句中配置了该选项,只要声明也management-instance配置了该语句,RADIUS 数据包将通过管理实例 mgmt_junos 路由。

注:

必须routing-instance mgmt_junos同时在radius-serverradius server语句中配置该选项。如果不是这样,即使management-instance设置了该语句,也只能使用默认路由实例发送 RADIUS 数据包。

有关此管理实例的详细信息,请参阅管理实例

示例:配置用于系统身份验证的 RADIUS 服务器

此示例演示如何配置 RADIUS 服务器进行系统身份验证。

要求

开始之前:

概述

在此示例中,您添加了一个 IP 地址为172.16.98.1 的新 RADIUS 服务器,并将 RADIUS 服务器的共享密钥密码指定为 Radiussecret1。该机密作为加密值存储在配置数据库中。最后,指定要包含在设备的 RADIUS 服务器请求中的源地址。大多数情况下,您可以使用设备的回传地址,在此示例中为10.0.0.1。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

GUI 快速配置
分步过程

要配置用于系统认证的 RADIUS 服务器:

  1. 在 J-Web 用户界面中,选择Configure>System Properties>User Management""。

  2. 单击Edit。此时将出现 "编辑用户管理" 对话框。

  3. 选择 " Authentication Method and Order " 选项卡。

  4. 在 RADIUS 部分中,单击Add""。将显示 "添加 Radius 服务器" 对话框。

  5. 在 IP 地址框中,键入服务器的 32 位 IP 地址。

  6. 在 "密码" 和 "确认密码" 框中,键入服务器的密码并验证输入。

  7. 在 "服务器端口" 框中,键入相应的端口。

  8. 在 "源地址" 框中,键入服务器的源 IP 地址。

  9. 在 重试尝试 框中,指定服务器应尝试验证用户凭据多少次。

  10. 在超时框中,指定设备应等待服务器响应的时间量(以秒为单位)。

  11. 单击OK以检查您的配置并将其另存为候选配置。

  12. 如果您完成了设备配置,请单击Commit Options>Commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置用于系统认证的 RADIUS 服务器:

  1. 添加新 RADIUS 服务器并设置其 IP 地址。

  2. 指定 RADIUS 服务器的共享机密(密码)。

  3. 指定设备的环路地址源地址。

成果

从配置模式,输入show system radius-server命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

注:

要完全设置 RADIUS 身份验证,您必须创建用户模板帐户并指定系统身份验证顺序。执行以下任务之一:

针对

确认配置是否正常工作。

验证 RADIUS 服务器系统身份验证配置

用途

验证 RADIUS 服务器是否已配置为系统认证。

行动

在操作模式下,输入show system radius-server命令。

示例:配置 RADIUS 身份验证

Junos OS 支持在多个路由器上对用户进行集中身份验证的两个协议:RADIUS 和 TACACS +。我们建议 RADIUS,因为它是一家多供应商 IETF 标准,其功能比 TACACS + 或其他专有系统更广泛接受。此外,建议使用一次密码系统提高安全性,并且这些系统的所有供应商都支持RADIUS。

Junos OS 使用一个或多个模板帐户执行用户身份验证。您可以创建模板帐户或帐户,然后配置用户使用该帐户的访问权限。如果 RADIUS 服务器不可用,则该回退用于登录进程以使用路由器或交换机上设置的本地帐户。

下面的示例演示如何配置 RADIUS 身份验证:

下面的示例演示如何启用 RADIUS 身份验证并在客户端与服务器之间定义共享机密。该机密使客户端和服务器能够确定他们正在与受信任的对等方交谈。

为每台服务器定义超时值,以便在指定的秒数内没有响应,路由器可以尝试下一台服务器或下一步身份验证机制。

下面的示例演示如何为不同用户或用户组配置 RADIUS 模板帐户:

配置 RADIUS 身份验证(QFX 系列或 OCX 系列)

RADIUS 身份验证是一种对尝试访问路由器或交换机的用户进行认证的方法。配置 RADIUS 身份验证的任务包括:

注:

QFabric source-address系统上的[edit system radius-options[edit system-radius-server name]层次结构中不支持该语句。

配置 RADIUS 服务器详细信息

要在路由器或交换机上使用 RADIUS 身份验证,请配置有关网络上一个或多个 RADIUS 服务器的信息radius-server ,方法是[edit system]在每个 RADIUS 服务器的层次结构级别上包含一条语句:

服务器地址 是该服务器RADIUS地址。

您可以指定要与 RADIUS 服务器联系的端口。默认情况下,使用端口号1812(在 RFC 2865 中指定)。您还可以指定一个记帐端口来发送记帐数据包。默认值为1813(如 RFC 2866 中指定的那样)。

您必须在secret password语句中指定密码。如果密码包含空格,请用引号将其引起来。本地路由器或交换机使用的密码必须与服务器使用的机密相匹配。

您也可以指定本地路由器或交换机在 RADIUS 服务器上等待接收响应的时间量(在timeout语句中),以及路由器或交换机尝试联系 RADIUS 身份验证服务器的次数(在retry语句中)。默认情况下,路由器或交换机等待3秒。您可以将该值配置为 1 到 90 秒的值。默认情况下,路由器或交换机重试三次连接到服务器。您可以将此值配置为1到10次。

您可以使用该source-address语句为单个或多个 RADIUS 服务器指定逻辑地址。

要配置多个 RADIUS 服务器,请radius-server包含多个语句。

要将共享单个帐户的一组用户配置为授权目的,您需要创建模板用户。为此,请包括 层级的 语句 user[edit system login] ,如 示例 中所述:配置认证顺序

您还可以在[edit access][edit access profile]层次结构级别上配置 RADIUS 身份验证。Junos OS 使用以下搜索顺序确定用于认证的服务器集:

  1. [edit access profile profile-name radius-server server-address]

  2. [edit access radius-server server-address]

  3. [edit system radius-server server-address]

为密码更改支持配置 MS CHAPv2

在配置 MS CHAPv2 以实现密码更改支持之前,请确保:

  • 配置 RADIUS 服务器身份验证参数

  • authentication-order 设置为 使用 RADIUS 服务器进行初始密码尝试

您可以在路由器或交换机上配置 Microsoft 质询握手身份验证协议版本2(MS CHAPv2)的实施,以支持更改密码。此功能允许用户访问路由器或交换机在密码过期、重置或配置为下次登录时更改密码的选项。

要配置 MS-CHAP-v2,请在[edit system radius-options]层次结构级别上包括以下语句:

下面的示例显示了用于配置 MS CHAPv2 密码协议、密码身份验证顺序和用户帐户的语句:

指定 Junos OS 访问外部 RADIUS 服务器的源地址

您可以指定访问网络时 Junos OS 使用哪个源地址来联系外部 RADIUS 服务器以进行身份验证。您还可以指定在联系 RADIUS 服务器以发送计费信息时 Junos OS 使用的源地址。

要指定 RADIUS 服务器的源地址,请将source-address语句包含在[edit system radius-server server-address]层次结构级别:

源地址 是一个在路由器或交换机接口上配置的有效 IP 地址。

瞻博网络供应商特定的RADIUS LDAP 属性

Junos OS支持配置 瞻博网络 RADIUS LDAP 供应商特定的属性 (VSA)。这些 VSA 封装在一个RADIUS LDAP 供应商特定的属性中,供应商 ID 设置为 瞻博网络 ID 号 2636。 表 1 列出了瞻博网络的 VA。

表 1: 瞻博网络供应商特定的RADIUS LDAP 属性

名称

Description

类型

长度

类似

Juniper 本地用户名

指示此用户在登录设备时使用的用户模板的名称。此属性仅在访问接受数据包中使用。

1

≥3

一个或多个包含可打印 ASCII 字符的八进制数。

Juniper-允许-命令

除了用户登录类权限位授权的命令之外,还包含扩展的正则表达式,允许用户运行操作模式命令。此属性仅在访问接受数据包中使用。

2

≥3

一个或多个包含可打印 ASCII 字符的八进制数,以扩展正则表达式的形式。请参阅用于允许和拒绝 Junos OS 操作模式命令、配置语句和层次结构的正则表达式

Juniper 拒绝-命令

包含扩展正则表达式,将拒绝用户运行用户登录类权限位授权的操作模式命令的权限。此属性仅在访问接受数据包中使用。

3

≥3

一个或多个包含可打印 ASCII 字符的八进制数,以扩展正则表达式的形式。请参阅用于允许和拒绝 Junos OS 操作模式命令、配置语句和层次结构的正则表达式

Juniper-允许-配置

除了用户登录类权限位授权的命令之外,还包含扩展的正则表达式,允许用户运行配置模式命令。此属性仅在访问接受数据包中使用。

4

≥3

一个或多个包含可打印 ASCII 字符的八进制数,以扩展正则表达式的形式。请参阅用于允许和拒绝 Junos OS 操作模式命令、配置语句和层次结构的正则表达式

Juniper 拒绝-配置

包含扩展正则表达式,将拒绝用户运行由用户登录类权限位授权的配置命令的权限。此属性仅在访问接受数据包中使用。

5

≥3

一个或多个包含可打印 ASCII 字符的八进制数,以扩展正则表达式的形式。请参阅用于允许和拒绝 Junos OS 操作模式命令、配置语句和层次结构的正则表达式

瞻博网络-Interactive-Command

指示用户输入的交互式命令。此属性仅在记帐请求数据包中使用。

8

≥3

一个或多个包含可打印 ASCII 字符的八进制数。

瞻博网络配置-更改

指示导致配置(数据库)更改的交互式命令。此属性仅在记帐请求数据包中使用。

9

≥3

一个或多个包含可打印 ASCII 字符的八进制数。

Juniper 用户权限

包含服务器用于指定用户权限的信息。此属性仅在访问接受数据包中使用。

注:

当属性配置为授予 Junos OS 和 LDAP 服务器的 Junos OS RADIUS 或权限时,UNIX 轮组成员不会自动添加到用户的成员 Juniper-User-Permissionsmaintenanceall 列表中。某些操作(例如从本地su root shell 运行命令)需要滚轮组成员权限。但是,当用户以权限maintenanceall本地配置时,将自动授予该用户对 UNIX 轮组的成员。因此,我们建议您创建具有所需权限的模板用户帐户,并将各个用户帐户与该模板用户帐户相关联。

10

≥3

一个或多个包含可打印 ASCII 字符的八进制数。

该字符串是由空格分隔的权限标志列表。必须完整指定每个标志的确切名称。请参阅登录类权限标志

Juniper 身份验证-类型

指示用于认证用户的身份验证方法(本地数据库、LDAP 或 RADIUSserver)。如果用户使用本地数据库进行验证,则属性值会显示"本地"。如果用户使用加密服务器或 LDAP RADIUS,则属性值会显示"远程"。

11

≥5

一个或多个包含可打印 ASCII 字符的八进制数。

Juniper 会话端口

指示已建立会话的源端口号。

12

整数大小

等效

有关 VSA 的信息,请参阅 RFC 2138,用户服务远程认证拨号(RADIUS)。

Juniper 交换过滤器 VSA 匹配条件和操作

设备支持配置特定于瞻博网络 RADIUS 服务器属性。这些属性称为供应商特定的属性 (VSA),在 RFC 2138" 远程身份验证拨号用户服务(RADIUS) 中RADIUS。

通过 Vsa,您可以在 RADIUS 服务器上配置端口过滤属性。Vsa 是通过身份验证成功或失败导致从 RADIUS 服务器发送到设备的明文字段。身份验证可阻止未经授权的用户访问,方法是阻塞端口上的请求方,直至设备通过 RADIUS 服务器的认证。VSA 属性在认证过程中由设备解释,设备采取相应的操作。在 RADIUS 服务器上实施带有身份验证的端口过滤属性,可提供一个集中位置,用于控制请求者的 LAN 接入。

这些特定于瞻博网络的端口过滤属性封装在 RADIUS 服务器 VSA 中,供应商 ID 设置为瞻博网络 ID 号2636。

除了通过 Vsa 配置端口过滤属性,您还可以将已在设备上配置的端口防火墙过滤器直接应用到 RADIUS 服务器。与端口过滤属性一样,过滤器在身份验证过程中应用,其操作在设备端口上应用。将端口防火墙过滤器添加到 RADIUS 服务器,无需将过滤器添加到多个端口和设备。

Juniper 交换过滤器 VSA 与 802.1 X 身份验证配合使用,可集中控制请求者对网络的访问。您可以使用此 VSA 在 RADIUS 服务器上配置过滤器,并将其发送至交换机并应用到已通过 802.1 X 身份验证进行身份验证的用户。

Juniper 交换过滤器 VSA 可以包含一个或多个过滤器术语。过滤器术语使用一个或多个匹配条件进行配置,结果为操作。匹配条件是数据包为在其上应用已配置的操作而必须满足的标准。操作是当数据包满足匹配条件中的标准时,交换机采取的措施。交换机可以采取的措施是接受还是拒绝数据包。

当您为 Vsa 指定匹配条件和操作时,请遵循以下准则:

  • 双方match action语句都是必需的。

  • 如果未指定匹配条件,则默认情况下,任何数据包都被视为匹配。

  • 如果未指定任何操作,则默认操作是拒绝数据包。

  • 每个match action语句中都可以包含任何或所有选项。

  • 和操作在不同类型的字段上执行,由逗号分隔。相同类型的字段不能重复。

  • 要应用forwarding-class该选项,必须在交换机上配置转发类。如果交换机上未配置转发类,则忽略此选项。

表 2介绍了在使用 RADIUS 服务器上的match命令将 VSA 属性配置为防火墙过滤器时可指定的匹配条件。定义匹配条件的字符串称为match 语句

表 2: 匹配条件

选项

说明

destination-mac mac-address

数据包的目标媒体访问控制(地址)(MAC)地址。

source-dot1q-tag tag

802.1 Q 标头中的标记值,范围0为。 4095

destination-ip ip-address

最终目标节点的地址。

ip-protocol protocol-id

IPv4 协议值。为替代数值,您可以指定以下文本同义词之一:

ahegp (8)esp (50gre (47)icmp (1)igmp (2)ipip (4)ipv6 (41)ospf (89)pim (103)rsvp (46)、 tcp (6)、或udp (17)

source-port port

TCP 或用户数据报协议(UDP)源端口字段。通常,应将此 match 语句与ip-protocol match 语句一起指定,以确定端口上使用的协议。在 "" destination-port中列出的文本选项之一就是数字字段。

destination-port port

TCP 或 UDP 目标端口字段。通常,应将此 match 语句与ip-protocol match 语句一起指定,以确定端口上使用的协议。为了代替数值,您可以指定以下文本同义词之一(端口号也列出):

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cvspserver (2401), cmd (514), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), telnet (23), tacacs-ds (65), talk (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103),zephyr-hm (2104)

定义指定过滤标准的一个或多个术语时,您还可以定义数据包符合所有标准时应采取的操作。表 3显示了您可以在术语中指定的操作。

表 3: Vsa 操作

选项

Description

(allow |deny)

不发送互联网控制消息协议(ICMP)消息,自行接受数据包或放弃数据包。

forwarding-class class-of-service

必将数据包分类为以下转发类之一:

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

loss-priority(low |medium |high)

必将数据包丢失优先级(PLP)设置为lowmediumhigh。同时指定转发类和丢失优先级。

了解 RADIUS 核算

设备支持IETF RFC 2866, RADIUS核算。在设备上配置 RADIUS 记帐支持收集有关从 LAN 登录或注销的用户的统计数据,并将数据发送至 RADIUS 记帐服务器。收集的统计数据可用于常规网络监控、分析和跟踪使用模式,或者根据访问的时间或服务类型计费用户。

要配置 RADIUS 记帐,请指定一个或多个 RADIUS 记帐服务器,以便从设备接收统计数据,并选择要收集的记帐数据类型。

您指定的 RADIUS 记帐服务器可以是用于 RADIUS 身份验证的相同服务器,也可以是单独的 RADIUS 服务器。您可以指定 RADIUS 记帐服务器列表。如果主服务器(配置的第一台)不可用,则列表中的每台 RADIUS 服务器将按照它们在 Junos OS 中的配置顺序尝试。

设备与 RADIUS 服务器之间的 RADIUS 核算流程的工作原理如下:

  1. RADIUS 记帐服务器在特定端口上侦听用户数据报协议(UDP)数据包。例如,在 FreeRADIUS 上,默认端口为1813。

  2. 设备将包含事件记录的计费请求数据包转发到记帐服务器。与此请求者关联的事件记录包含一个帐户状态类型属性,其值表示此请求者的用户服务开始。请求方会话结束时,核算请求包含一个 Acct-Status-Type 属性值,表示用户服务终止。RADIUS 记帐服务器将此记录作为包含会话信息和会话长度的 stop-计费记录进行录制。

  3. RADIUS 记帐服务器在文件中将这些事件记录为开始计费或停止计费记录。在 FreeRADIUS 上,文件名是服务器的地址;例如 192.0.2.0。

  4. 计费服务器向设备发送一个记帐响应数据包,确认已收到计帐请求。

  5. 如果设备未收到服务器的响应,它将继续发送计费请求,直到从记帐服务器返回记帐响应。

通过此流程收集的统计信息可从 RADIUS 服务器显示;要查看这些统计信息,用户需要访问配置为接收它们的日志文件。

配置 RADIUS 系统记帐

启用RADIUS时,瞻博网络设备作为 RADIUS 客户端,可以通知 RADIUS 服务器有关用户活动,如软件登录、配置更改和交互式命令。RFC 2866 中介绍了 RADIUS 会计的框架。

配置 RADIUS 系统记帐的任务包括:

在 RADIUS 服务器上配置用户事件审核

要审核用户事件,请在[edit system accounting]层次结构级别包括以下语句:

指定 RADIUS 服务器的计费和审核事件

要指定使用 RADIUS 服务器进行身份验证时要审核的事件,请将events语句包含在[edit system accounting]层次结构级别:

events是以下一个或多个选项:

  • login—审核登录

  • change-log— 审核配置更改

  • interactive-commands—审核交互式命令(所有命令行输入)

配置 RADIUS 服务器计费

要配置 RADIUS 服务器计费,请在server[edit system accounting destination radius]层次结构级别包括语句:

server-address指定 RADIUS 服务器的地址。要配置多个 RADIUS 服务器,请server包含多个语句。

注:

如果未在[edit system accounting destination radius]语句层次结构级别配置 RADIUS 服务器,Junos OS 将使用在[edit system radius-server]层次结构级别配置的 RADIUS 服务器。

accounting-port port-number指定 RADIUS 服务器记帐端口号。

默认端口号为1813。

注:

如果您在[edit access profile profile-name accounting-order]层次结构级别启用 RADIUS 核算,即使您没有为该accounting-port语句指定值,也将在默认端口1813上触发计费。

routing-instance routing-instance是非默认管理实例的名称。用作 mgmt_junos 路由实例名称。请参阅非默认实例中的管理接口

您必须指定本地路由器或交换机通过包含此secret语句传递至 RADIUS 客户端的机密(密码)。如果密码中包含空格,请用引号 (" ") 将整个密码括起来。

source-address语句中,为 RADIUS 服务器指定源地址。发送到 RADIUS 服务器的每个 RADIUS 请求都使用指定的源地址。源地址是在某个路由器或交换机接口上配置的有效 IPv4 地址(如果 radius 服务器地址为 IPv4)或 IPv6 地址(如果 radius 服务器地址为 IPv6)。

您也可以指定路由器或交换机尝试通过包含该retry语句与 RADIUS 认证服务器联系的次数。默认情况下,路由器或交换机重试三次。您可以配置路由器或交换机以重试 1 到 10 次。

您也可以指定本地路由器或交换机通过包含该timeout语句等待从 RADIUS 服务器接收响应的时间长度。默认情况下,路由器或交换机将等待 3 秒。您可以将超时配置为 1 到 90 秒。

从 Junos OS 版本14.1 和 Junos OS Release 17.3 R1 开始,您可以配置enhanced-accounting语句以查看已登录用户的属性值。如果您在enhanced-accounting层次[edit system radius-options]结构级别使用该语句,则可以审核访问方法、远程端口和访问权限等 RADIUS 属性。您可以使用enhanced-avs-max <number>[edit system accounting]层次结构级别的语句限制要为审核显示的属性值数量。

当瞻博网络路由器或交换机配置 RADIUS 记帐时,会将其发送Accounting-StartAccounting-Stop RADIUS 服务器并发出消息。这些消息包含有关用户活动的信息,例如软件登录、配置更改和交互式命令。此信息通常用于监控网络、收集使用情况统计数据以及确保用户获得正确的计费。

下面的示例显示了为 RADIUS 记帐配置的三台服务器(10.5.5.5、10.6.6.6 和10.7.7.7):

发布历史记录表
版本
说明
17.4R1
从 Junos OS 版本 18.1 R1 开始,现有 RADIUS 行为得到增强,可在非默认 VRF 实例中支持管理接口。
14.1
从 Junos OS 版本14.1 和 Junos OS Release 17.3 R1 开始,您可以配置enhanced-accounting语句以查看已登录用户的属性值。