Beispiel: Konfigurieren der CHAP-Authentifizierung mit RADIUS
Konfiguration
Sie können RADIUS-Nachrichten über eine Routinginstanz an Kunden-RADIUS-Server in einem privaten Netzwerk senden. Um die Routinginstanz so zu konfigurieren, dass Pakete an einen RADIUS-Server gesendet werden, schließen Sie die routing-instance Anweisung auf Hierarchieebene [edit access profile profile-name radius-server] ein und wenden Sie das Profil auf eine Schnittstelle mit der access-profile Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number ppp-options chap] an.
In diesem Beispiel werden PPP-Peers von Schnittstellen at-0/0/0.0 und at-0/0/0.1 von einem RADIUS-Server authentifiziert, der über eine Routinginstanz Aerreichbar ist. PPP-Peers von Schnittstellen at-0/0/0.2 und at-0/0/0.3 werden von einem RADIUS-Server authentifiziert, der über eine Routing-Instanz Berreichbar ist.
Weitere Informationen zur RADIUS-Authentifizierung finden Sie unter RADIUS-Authentifizierung.
CLI-Schnellkonfiguration
system {
radius-server {
192.0.2.1 secret $ABC123;
192.0.2.2 secret $ABC123;
}
}
routing-instances {
A {
instance-type vrf;
...
}
B {
instance-type vrf;
...
}
}
access {
profile A-PPP-clients {
authentication-order radius;
radius-server {
192.0.2.3 {
port 3333;
secret "$ABC123"; # # SECRET-DATA
timeout 3;
retry 3;
source-address 192.0.2.99;
routing-instance A;
}
192.0.2.4 {
routing-instance A;
secret $ABC123;
}
}
}
profile B-PPP-clients {
authentication-order radius;
radius-server {
192.0.2.5 {
routing-instance B;
secret $ABC123;
}
192.0.2.6 {
routing-instance B;
secret $ABC123;
}
}
}
}
interfaces {
at-0/0/0 {
atm-options {
vpi 0;
}
unit 0 {
encapsulation atm-ppp-llc;
ppp-options {
chap {
access-profile A-PPP-clients;
}
}
keepalives {
interval 20;
up-count 5;
down-count 5;
}
vci 0.128;
family inet {
address 192.0.2.21/32 {
destination 192.0.2.22;
}
}
}
unit 1 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile A-PPP-clients;
}
}
...
}
unit 2 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile B-PPP-clients;
}
}
...
}
unit 3 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile B-PPP-clients;
}
}
...
}
...
}
...
}
Benutzer, die sich über Telnet- oder SSH-Verbindungen am Router anmelden, werden vom RADIUS-Server 192.0.2.1authentifiziert. Der Backup-RADIUS-Server für diese Benutzer ist 192.0.2.2.
Jedes Profil kann einen oder mehrere Backup-RADIUS-Server enthalten. In diesem Beispiel werden PPP-Peers vom RADIUS-Server 192.0.2.3 (mit als Backup-Server) oder vom RADIUS-Server 192.0.2.5 (mit 192.0.2.4 als 192.0.2.6 Backup-Server) CHAP-authentifiziert.