Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren eines RADIUS-Proxyservers

Dieses Kapitel enthält Informationen zum Konfigurieren des RADIUS-Proxyservers (Remote Authentication Dial-In User Service) für eine Juniper Mist™ Edge-Appliance.

RADIUS-Proxy – Übersicht

In einem Juniper Mist™ Netzwerk können Sie Access Points (APs) als Quelle für RADIUS-Zugriffsanforderungsnachrichten (Remote Authentication Dial-In User Service) verwenden. Mit der RADIUS-Proxyfunktion können Sie stattdessen Ihre Juniper Mist Edge-Appliance als Quelle für RADIUS-Zugriffsanforderungsnachrichten verwenden.

Es ist unmöglich, alle APs als einzelne Clients im RADIUS-Server in einem großen Bereitstellungsszenario wie dem folgenden hinzuzufügen:

  • Installation einer großen Anzahl von Juniper Mist APs

  • Service Set Identifier (SSIDs) mit 802.1x-Authentifizierung

Wenn Sie einen RADIUS-Proxy einrichten, können Sie, anstatt die APs als einzelne Clients hinzuzufügen, nur eine IP-Adresse (den RADIUS-Proxy) verwenden.

Der RADIUS-Proxy fungiert als Server gegenüber den drahtlosen AP-RADIUS-Clients und als Client gegenüber den RADIUS-Servern.

Konfigurieren eines RADIUS-Proxyservers

Bevor Sie einen RADIUS-Proxyserver für die Verwendung in Ihrem Juniper Mist Netzwerk konfigurieren können, müssen Sie Folgendes tun:

  • Beanspruchen Sie Juniper Mist Edge und konfigurieren Sie OOBM-IP und Tunnel-IP.

  • Konfigurieren Sie Mist Tunnel und ordnen Sie sie mit Juniper Mist Edge Cluster zu.

  • Konfigurieren Sie WLAN mit RADIUS-Authentifizierung und Weiterleitung an Mist Tunnel.

Mit der RADIUS-Proxyfunktion können Sie eine Juniper Mist Edge-Appliance als Quelle für RADIUS-Zugriffsanforderungsnachrichten verwenden, anstatt den AP als Quelle zu verwenden. Das bedeutet, dass Sie den RADIUS-Server so konfigurieren müssen, dass er die OOBM-IP der Juniper Mist Edge zulässt, anstatt einzelne APs als Clients hinzuzufügen. Wenn Sie die Tunnel-IP als Quelle aktivieren, müssen Sie den RADIUS-Server so konfigurieren, dass die Tunnel-IP zugelassen wird. Dank dieser Konfigurationsoptionen können Sie das Hinzufügen mehrerer einzelner APs zum RADIUS-Server für größere Bereitstellungen umgehen.

Konfigurieren eines RADIUS-Servers auf Organisationsebene

Standardmäßig ist eine Juniper Mist Edge-Appliance ein Objekt auf Organisationsebene. Juniper Mist Access Points (APs) von allen Standorten können mit diesem Objekt Tunnel bilden.

So konfigurieren Sie einen RADIUS-Server auf Organisationsebene der Netzwerkhierarchie:

  1. Navigieren Sie im Juniper Mist Portal zu Mist Edges > Juniper Mist Edge Cluster, und wählen Sie einen Cluster aus.
  2. Klicken Sie im Fenster "Radius-Proxy" auf das Enabled Optionsfeld.
  3. Klicken Sie neben Radius-Authentifizierungsserver auf Add server .
  4. Geben Sie das und ein Hostname Shared Secret.
  5. Klicken Sie auf das blaue Häkchen, um die Einstellungen zu speichern.

    Die Server für Radius-Authentifizierung und -Abrechnung befinden sich in einer geordneten Liste. Dies bedeutet, dass der RADIUS-Proxy die Anforderung an den nächsten verfügbaren Server in der Liste weiterleitet, wenn der erste Server nicht erreichbar ist.

  6. (Optional) Aktivieren Sie das Enable Key Wrap Kontrollkästchen, um den Keywrap zu aktivieren. Wählen Sie den Radius-Authentifizierungsserver aus der Liste aus, und geben Sie die und ein Key Encryption Key Message Authenticator Code Key. Diese Aktion aktiviert zusätzliche Felder des Schlüsseltyps (ASCII oder Hex auswählen) und Schlüsselwerte.
  7. Wiederholen Sie die Schritte 2 bis 6 für RADIUS-Kontoführungsserver.
  8. (Optional) Aktivieren Sie das Tunnel IP as Source Kontrollkästchen, wenn Sie möchten, dass RADIUS-Pakete (und Accounting) von der Quelle als Tunnel-IP stammen.
    Anmerkung:

    In diesem Fall ist der NAS-Client (Network-Access-Server) auf dem AAA-Server (Authentifizierung, Autorisierung und Abrechnung) die Tunnel-IP von Juniper Mist Edge. Andernfalls wäre es Out-of-Band-Management-IP (OOBM).
  9. Klicken Sie auf die Save Schaltfläche, um die RADIUS-Proxyeinstellungen im Juniper Mist Edge-Cluster zu speichern.
    Sie können den RADIUS-Server mithilfe der API konfigurieren, wenn Sie dies bevorzugen. Im Folgenden finden Sie die API-Nutzlast.

Konfigurieren der WLAN-Affinität für RADIUS-Server auf Organisationsebene

In einem WLAN (WLAN) verwenden Sie basierend auf dem SSID-Namen (Service Set Identifier) unterschiedliche RADIUS-Server in Ihrer Bereitstellung. Beispielsweise kann Ihre Bereitstellung einen öffentlichen RADIUS-Server für eine SSID mit dem Namen eduroam verwenden, aber einen anderen RADIUS-Server für alle SSIDs des Unternehmens. Juniper Mist Edge ermöglicht diese Flexibilität in seinem RADIUS-Proxydienst. Sie können diesen Service so konfigurieren, dass RADIUS-Zugriffsanforderungen (oder Kontoführungsanforderungen) mit einer eindeutigen SSID an einen bestimmten serverbasierten Client für die Netzwerkzugriffssteuerung (Network Access Control, NAC) weitergeleitet werden.

So konfigurieren Sie die WLAN-Affinität für einen RADIUS-Server:

  1. Navigieren Sie im Juniper Mist Portal zu Mist Edges.
  2. Wählen Sie im Bereich Mist Edge-Cluster einen vorhandenen Cluster aus, oder erstellen Sie einen Cluster.
  3. Konfigurieren Sie den RADIUS-Proxyserver, indem Sie die Schritte im Verfahren Konfigurieren eines RADIUS-Servers auf Organisationsebene ausführen.
  4. Aktivieren Sie im Fenster "Radius-Proxy" das Kontrollkästchen "SSID abgleichen". Für jeden RADIUS-Authentifizierungsserver und jeden RADIUS-Kontoführungsserver wird ein neues SSID-Dropdown-Menü angezeigt.
  5. Wählen Sie eine oder mehrere SSIDs für diesen RADIUS-Server aus, indem Sie unter der SSID auf Hinzufügen (+) klicken.
    Anmerkung:

    Im Dropdown-Menü wird nur die SSID mit 802.1x- oder MAB-Authentifizierung angezeigt. Es wird empfohlen, standortübergreifend eindeutige SSID-Namen zu konfigurieren, wenn die Administration beabsichtigt, unterschiedliche RADIUS-Server zu verwenden.
  6. Klicken Sie auf das blaue Häkchen, um die Servereinstellungen zu speichern.
  7. (Optional) Sie können Schritt 5 und Schritt 6 für jeden weiteren RADIUS-Authentifizierungsserver in der Liste wiederholen.
  8. Sie können die Schritte 5 bis 7 wiederholen, um die WLAN-Affinität für RADIUS-Kontoführungsserver zu konfigurieren.
  9. Klicken Sie auf Speichern, um die RADIUS-Proxyeinstellungen für den Cluster zu speichern.
    Sie können die WLAN-Affinität für den RADIUS-Server mithilfe der API konfigurieren, wenn Sie dies bevorzugen.

    Im Folgenden finden Sie die API und ein Beispielblob mit der Konfiguration. Diese Konfiguration stellt sicher, dass der Juniper Mist Edge RADIUS-bezogene Konfigurationsinformationen empfängt und den RADIUS-Proxydienst startet.

Konfigurieren eines RADIUS-Proxyservers auf Standortebene

Bevor Sie einen RADIUS-Proxyserver auf Standortebene konfigurieren können, müssen Sie die Mist Tunnel konfigurieren. Wenn Sie die Tunnel noch nicht konfiguriert haben, tun Sie dies jetzt, bevor Sie mit der Konfigurationsaufgabe fortfahren. Weitere Informationen finden Sie unter Bereitstellen von Juniper Mist Edge auf Standortebene .

Für den Übergang von einer veralteten Architektur oder bei Standorten, die groß genug sind, um einen Juniper Mist Edge zu hosten, benötigen Sie eine verteilte Bereitstellung. In solchen Fällen können Sie einem Standort Juniper Mist Edge-Appliances zuweisen und das Tunneling sowie den RADIUS-Proxydienst für die Access Points (APs) am Standort konfigurieren.

So konfigurieren Sie einen RADIUS-Proxyserver auf Standortebene:
  1. Navigieren Sie im Juniper Mist-Portal zu Organisations->Standortkonfiguration, und wählen Sie einen Standort aus.
    Das Site-Konfigurationsfenster für die Site wird angezeigt.
  2. Klicken Sie im Fenster "Radius-Proxy" auf die Enable Schaltfläche, um den RADIUS-Proxyserver zu aktivieren.
  3. Klicken Sie auf Server hinzufügen.
  4. Konfigurieren Sie die Serverdetails, indem Sie die Werte für Hostname, Portund eingebenShared Secret.
  5. (Optional) Aktivieren Sie das Enable Key Wrap Kontrollkästchen, um den Keywrap zu aktivieren. Wählen Sie den Radius-Authentifizierungsserver aus der Liste aus und geben Sie die und Key Encryption Key Message Authenticator Code Keyein. Dadurch werden zusätzliche Felder des Schlüsseltyps (ASCII oder Hex auswählen) und der Schlüsselwerte aktiviert.
  6. [Optional] Aktivieren Sie das Tunnel IP as Source Kontrollkästchen, wenn Sie möchten, dass RADIUS-Pakete (und Accounting) mit Tunnel-IP als Quelle stammen.
  7. Klicken Sie auf das blaue Häkchen, um Ihre Einstellungen zu speichern.
  8. Wiederholen Sie die Schritte 2 bis 7 für RADIUS-Kontoführungsserver.
    Sie können einen RADIUS-Server auf Standortebene mithilfe der API konfigurieren, wenn Sie dies bevorzugen. Im Folgenden finden Sie die API-Nutzlast.

Konfigurieren der WLAN-Affinität für einen RADIUS-Server am Standort

In einem WLAN (WLAN) verwenden Sie basierend auf dem SSID-Namen (Service Set Identifier) unterschiedliche RADIUS-Server in Ihrer Bereitstellung. Beispielsweise kann Ihre Bereitstellung einen öffentlichen RADIUS-Server für eine SSID mit dem Namen eduroam-SSID verwenden, aber einen anderen RADIUS-Server für alle Unternehmens-SSIDs. Juniper Mist Edge ermöglicht diese Flexibilität in seinem RADIUS-Proxydienst. Sie können diesen Service so konfigurieren, dass RADIUS-Zugriffsanforderungen (oder Kontoführungsanforderungen) mit einer eindeutigen SSID an einen bestimmten serverbasierten Client für die Netzwerkzugriffssteuerung (Network Access Control, NAC) weitergeleitet werden.

Wenn Sie eine Juniper Mist Edge-Appliance auf Standortebene verwenden, können Sie außerdem einen RADIUS-Server speziell für diese Appliance konfigurieren.

So konfigurieren Sie die WLAN-Affinität für einen RADIUS-Server am Standort-Edge:

  1. Navigieren Sie im Juniper Mist-Portal zu Organization>Site Configuration.
  2. Wählen Sie auf der Seite "Sites" eine Site aus der Liste aus.
  3. Aktivieren Sie den RADIUS-Proxy für den Juniper Mist Edge-Proxy im WLAN.
    Informationen zum Abschließen des Verfahrens finden Sie in Schritt 3 unter Konfigurieren eines RADIUS-Servers auf Organisationsebene der Netzwerkhierarchie.
  4. Um die Konfiguration abzuschließen, aktivieren Sie die 802.1x/MAB-Authentifizierung im getunnelten WLAN und wählen Sie in der WLAN-Konfiguration den Juniper Mist Edge Proxy als RadSec-Server aus.