Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS über TLS (RADSEC)

Um die 802.1X- oder MAC RADIUS-Authentifizierung zu verwenden, müssen Sie die Verbindungen auf dem Switch für jeden RADIUS-Server angeben, mit dem Sie eine Verbindung herstellen möchten. RADIUS over TLS wurde entwickelt, um eine sichere Kommunikation von RADIUS-Anforderungen mithilfe des TLS-Protokolls (Transport Secure Layer) zu ermöglichen. RADIUS over TLS, auch bekannt als RADSEC, leitet regulären RADIUS-Datenverkehr an Remote-RADIUS-Server um, die über TLS verbunden sind. Mit RADSec können RADIUS-Authentifizierungs-, Autorisierungs- und Abrechnungsdaten sicher über nicht vertrauenswürdige Netzwerke übertragen werden.

RADSEC verwendet TLS in Kombination mit dem Transmission Control Protocol (TCP). Dieses Transportprofil bietet eine höhere Sicherheit als das User Datagram Protocol (UDP), das ursprünglich für die RADIUS-Übertragung verwendet wurde. RADIUS über UDP verschlüsselt das gemeinsam genutzte geheime Kennwort mithilfe des MD5-Algorithmus, der anfällig für Angriffe ist. RADSEC verringert das Risiko von Angriffen auf MD5 durch den Austausch von RADIUS-Paketnutzlasten über einen verschlüsselten TLS-Tunnel.

HINWEIS:

Aufgrund von Einschränkungen des TCP-Protokolls kann RADSEC nicht mehr als 255 RADIUS-Nachrichten im Fluss haben.

Konfigurieren des RADSEC-Ziels

RADSEC-Server werden durch RADSEC-Zielobjekte dargestellt. Um RADSEC zu konfigurieren, müssen Sie den RADSEC-Server als Ziel definieren und den RADIUS-Datenverkehr an dieses Ziel leiten.

Sie definieren den RADSEC-Server als Ziel mit der Anweisung auf Hierarchieebene . radsec [edit access] RADSEC-Ziele werden durch eine eindeutige numerische ID identifiziert. Sie können mehrere RADSEC-Ziele mit unterschiedlichen Parametern konfigurieren, die auf denselben RADSEC-Server verweisen.

Um Datenverkehr von einem standardmäßigen RADIUS-Server zu einem RADSEC-Server umzuleiten, ordnen Sie den RADIUS-Server einem RADSEC-Ziel zu. Beispielsweise ist der RADIUS-Server dem RADSEC-Ziel zugeordnet:10.1.1.110

Sie können den RADIUS-Server auch einem RADSEC-Ziel innerhalb eines Zugriffsprofils zuordnen. Beispiel: Der RADIUS-Server im Profil ist dem RADSEC-Ziel zugeordnet:10.2.2.2acc_profile10

HINWEIS:

Sie können mehr als einen RADIUS-Server an dasselbe RADSEC-Ziel umleiten.

So konfigurieren Sie RADSEC:

  1. Konfigurieren Sie das RADSEC-Ziel mit einer eindeutigen ID und einer IP-Adresse.
  2. Konfigurieren Sie den Port des RADSEC-Servers. Wenn kein Port konfiguriert ist, wird der Standard-RADSEC-Port 2083 verwendet.
  3. Datenverkehr von einem RADIUS-Server an das RADSEC-Ziel umleiten:

Konfigurieren von TLS-Verbindungsparametern

Die TLS-Verbindung bietet Verschlüsselung, Authentifizierung und Datenintegrität für den Austausch von RADIUS-Nachrichten. TLS stützt sich auf Zertifikate und Private-Public-Key-Austauschpaare, um die Datenübertragung zwischen dem RADSEC-Client und -Server zu sichern. Das RADSEC-Ziel verwendet lokale Zertifikate, die dynamisch von der Junos PKI-Infrastruktur abgerufen werden.

Um RADSEC zu aktivieren, müssen Sie den Namen des lokalen Zertifikats angeben. Informationen zum Konfigurieren des lokalen Zertifikats und der Zertifizierungsstelle (Certificate Authority, CA) finden Sie unter Konfigurieren digitaler Zertifikate.Configuring Digital Certificates

  1. Geben Sie den Namen des lokalen Zertifikats an, das für die TLS-Kommunikation verwendet werden soll.
  2. Konfigurieren Sie den zertifizierten Namen des RADSEC-Servers.
  3. (Optional) Konfigurieren Sie das Zeitlimit für die TLS-Verbindung (Standardwert ist 5 Sekunden).

Beispiel: Einfache RADSEC-Konfiguration

Das folgende Beispiel ist eine einfache RADSEC-Konfiguration mit einem RADIUS-Server und einem RADSEC-Ziel. RADIUS-Datenverkehr wird von RADIUS-Server 1 0.1.1.1 an RADSEC-Ziel 10 umgeleitet.

Überwachen von Zertifikaten

So zeigen Sie Informationen über den Status und Statistiken des lokalen Zertifikaterwerbs an: show network-access radsec local-certificate.

Überwachung von RADSEC-Zielen

So zeigen Sie Statistiken für die RADSEC-Ziele an: show network-access radsec statistics.

So zeigen Sie den Status der RADSEC-Ziele an: show network-access radsec state.