配置 RADIUS 代理服务器 |Mist |瞻博网络

RADIUS 代理概述

在Juniper Mist™网络中，您可以将接入点（AP）用作RADIUS （RADIUS）访问请求消息的来源。借助 RADIUS 代理功能，您可以改用 Juniper Mist Edge 设备作为 RADIUS 访问请求消息的来源。

在大型部署方案中，不可能将所有 AP 作为 RADIUS 服务器中的单个客户端添加，例如：

安装大量Juniper Mist接入点
具有 802.1x 身份验证的服务集标识符（SSID）

设置 RADIUS 代理时，只能使用一个 IP（RADIUS 代理），而不是将 AP 添加为单个客户端。

RADIUS 代理充当面向无线 AP RADIUS 客户端的服务器，以及面向 RADIUS 服务器的客户端。

配置 RADIUS 代理服务器

在配置 RADIUS 代理服务器以在Juniper Mist网络中使用之前，您必须：

声明 Mist Edge 并配置 OOBM IP 和隧道 IP。
配置Mist隧道并使用群集进行映射Mist Edge。
配置具有 RADIUS 身份验证和转发至Mist隧道功能的 WLAN。

借助 RADIUS 代理功能，您可以将 Juniper Mist Edge 设备用作 RADIUS 访问请求消息的来源，而不是将 AP 用作来源。这意味着您必须将 RADIUS 服务器配置为允许Juniper Mist边缘 OOBM IP，而不是将单个接入点添加为客户端。或者，如果启用隧道 IP 作为源，则必须将 RADIUS 服务器配置为允许隧道 IP。这些配置选项意味着，对于更大规模的部署，您可以绕过向 RADIUS 服务器添加多个单独的接入点的作。

在组织级别配置 RADIUS 服务器

默认情况下，Juniper Mist Edge 设备是组织级对象。所有站点的Juniper Mist接入点（AP）都可以与此对象形成隧道。

要在网络层次结构的组织级别配置 RADIUS 服务器，请执行以下作：

在 Juniper Mist 门户中，导航到Mist Edge > Mist Edge 集群，然后选择一个集群。
在 Radius Proxy 窗口中，单击Enabled选项按钮。
单击 Add server Radius Authentication Servers 旁边的 Radius Authentication Servers。
输入 Hostname 和 Shared Secret。
单击蓝色复选标记以保存设置。

Radius 身份验证和计费服务器位于有序列表中。这意味着，如果无法访问第一个服务器，则 RADIUS 代理会将请求转发到列表中的下一个可用服务器。
（可选）选中该Enable Key Wrap复选框以启用密钥换行。从列表中选择 Radius 身份验证服务器，然后输入和 Key Encryption Key Message Authenticator Code Key。此作将启用键类型（选择 ASCII 或十六进制）和键值的其他字段。
对 RADIUS 计费服务器重复步骤 2 到步骤 6。
（可选）如果您希望 RADIUS 数据包（和计费）以隧道 IP 身份源自源，请选中该Tunnel IP as Source 复选框。

注意：
在这种情况下 ，身份验证、授权和计费（AAA） 服务器上的网络访问服务器（NAS）客户端即为 Juniper Mist Edge 的隧道 IP。否则，它将是带外管理（OOBM） IP。
单击按钮Save将 RADIUS 代理设置保存到 Juniper Mist Edge 群集。
如果您愿意，可以使用 API 配置 RADIUS 服务器。以下是 API 有效负载。

在组织级别为 RADIUS 服务器配置 WLAN 关联性

在无线 LAN （WLAN）上，您可以根据服务集标识符（SSID）名称在部署中使用不同的 RADIUS 服务器。例如，您的部署可能会对名为 eduroam 的 SSID 使用公共 RADIUS 服务器，但对所有企业 SSID 使用不同的 RADIUS 服务器。Juniper Mist Edge 在其 RADIUS 代理服务中实现了这种灵活性。您可以将此服务配置为将 RADIUS 访问（或计费）请求转发到具有唯一 SSID 的特定网络访问控制（NAC）（基于服务器的客户端）。

要为 RADIUS 服务器配置 WLAN 关联性，请执行以下作：

在 Juniper Mist 门户中，导航到 Mist Edge。
在 Mist Edges 集群窗格中，选择现有集群或创建集群。
按照标题为“在组织级别配置 RADIUS 服务器”的过程中的步骤配置 RADIUS 代理服务器。
在 Radius Proxy 窗口中，选中匹配 SSID 复选框。每个 RADIUS 身份验证服务器和 RADIUS 计费服务器都会出现一个新的 SSID 下拉菜单。
单击 SSID 下方的添加（+），为此 RADIUS 服务器选择一个或多个 SSID。

注意：
下拉菜单仅显示具有 802.1x 或 MAB 身份验证的 SSID。如果管理部门打算使用不同的 RADIUS 服务器，我们建议跨站点配置唯一的 SSID 名称。
单击蓝色复选标记以保存服务器设置。
（可选）您可以对列表中的任何其他 RADIUS 身份验证服务器重复步骤 5 和步骤 6。
您可以重复步骤 5 到步骤 7，为 RADIUS 计费服务器配置 WLAN 关联性。
单击“保存”以保存群集的 RADIUS 代理设置。
如果您愿意，可以使用 API 为 RADIUS 服务器配置 WLAN 关联性。
以下是 API 和包含该配置的示例 Blob。此配置可确保 Juniper Mist Edge 接收与 RADIUS 相关的配置信息并启动 RADIUS 代理服务。

在站点级别配置 RADIUS 代理服务器

必须先配置Mist隧道，然后才能在站点级别配置 RADIUS 代理服务器。如果尚未配置隧道，请立即配置隧道，然后再继续执行配置任务。请参阅在站点级别部署 Mist Edge 。

要从传统架构过渡，或者如果站点足够大以托管Juniper Mist边缘，您需要分布式部署。在这种情况下，您可以将Juniper Mist边缘设备分配给某个站点，并为该站点上的接入点（AP）配置隧道和 RADIUS 代理服务。

要在站点级别配置 RADIUS 代理服务器，请执行以下作：

在Juniper Mist门户中，导航到“组织>站点配置”，然后选择一个站点。
此时将显示站点的站点配置窗口。
在 Radius Proxy 窗口中，单击该Enable按钮以启用 RADIUS 代理服务器。
单击添加服务器。
通过输入、 Port和 Shared Secret的Hostname值来配置服务器详细信息。
（可选）选中该Enable Key Wrap复选框以启用密钥换行。从列表中选择 Radius 身份验证服务器，然后输入和 Key Encryption Key Message Authenticator Code Key。这将启用键类型（选择 ASCII 或十六进制）和键值的其他字段。
[可选] 如果希望 RADIUS 数据包（和计费）以隧道 IP 作为源源发起，请选中该Tunnel IP as Source 复选框。
单击蓝色复选标记以保存您的设置。
对 RADIUS 计费服务器重复步骤 2 到步骤 7。

如果您愿意，可以使用 API 在站点级别配置 RADIUS 服务器。以下是 API 有效负载。

为站点上的 RADIUS 服务器配置 WLAN 关联性

在无线 LAN （WLAN）上，您可以根据服务集标识符（SSID）名称在部署中使用不同的 RADIUS 服务器。例如，您的部署可能会对名为 eduroam SSID 的 SSID 使用公共 RADIUS 服务器，但对所有企业 SSID 使用不同的 RADIUS 服务器。Juniper Mist Edge 在其 RADIUS 代理服务中实现了这种灵活性。您可以将此服务配置为将 RADIUS 访问（或计费）请求转发到具有唯一 SSID 的特定网络访问控制（NAC）（基于服务器的客户端）。

此外，如果您在站点级别使用 Juniper Mist Edge 设备，则可以专门为该设备配置 RADIUS 服务器。

要为站点边缘上的 RADIUS 服务器配置 WLAN 关联性，请执行以下作：

在Juniper Mist门户中，导航到“组织>站点配置”。
在“站点”页中，从列表中选择一个站点。
为 WLAN 上的 Juniper Mist Edge 代理启用 Radius 代理。
要完成此过程，请参阅在网络层次结构的组织级别配置 RADIUS 服务器中的步骤 3。
要完成配置，请在隧道式 WLAN 上启用 802.1x/MAB 身份验证，然后在 WLAN 配置中选择 Mist Edge 代理作为 RadSec 服务器。

本页内容

配置 RADIUS 代理服务器

RADIUS 代理概述

配置 RADIUS 代理服务器

在组织级别配置 RADIUS 服务器

在组织级别为 RADIUS 服务器配置 WLAN 关联性

在站点级别配置 RADIUS 代理服务器

为站点上的 RADIUS 服务器配置 WLAN 关联性