Exemple : configurer l’authentification CHAP avec RADIUS
Configuration
Vous pouvez envoyer des messages RADIUS via une instance de routage aux serveurs RADIUS du client sur un réseau privé. Pour configurer l’instance de routage pour envoyer des paquets à un serveur RADIUS, incluez l’instruction routing-instance au niveau de la [edit access profile profile-name radius-server] hiérarchie et appliquez le profil à une interface avec l’instruction access-profile au niveau de la [edit interfaces interface-name unit logical-unit-number ppp-options chap] hiérarchie.
Dans cet exemple, les PPP pairs d’interfaces at-0/0/0.0 et at-0/0/0.1 sont authentifiés par un serveur RADIUS accessible via une instance Ade routage . Pairs PPP des interfaces at-0/0/0.2 et at-0/0/0.3 sont authentifiés par un serveur RADIUS accessible via l’instance Bde routage .
Pour plus d’informations sur l’authentification RADIUS, voir Authentification RADIUS.
Configuration rapide cli
system {
radius-server {
192.0.2.1 secret $ABC123;
192.0.2.2 secret $ABC123;
}
}
routing-instances {
A {
instance-type vrf;
...
}
B {
instance-type vrf;
...
}
}
access {
profile A-PPP-clients {
authentication-order radius;
radius-server {
192.0.2.3 {
port 3333;
secret "$ABC123"; # # SECRET-DATA
timeout 3;
retry 3;
source-address 192.0.2.99;
routing-instance A;
}
192.0.2.4 {
routing-instance A;
secret $ABC123;
}
}
}
profile B-PPP-clients {
authentication-order radius;
radius-server {
192.0.2.5 {
routing-instance B;
secret $ABC123;
}
192.0.2.6 {
routing-instance B;
secret $ABC123;
}
}
}
}
interfaces {
at-0/0/0 {
atm-options {
vpi 0;
}
unit 0 {
encapsulation atm-ppp-llc;
ppp-options {
chap {
access-profile A-PPP-clients;
}
}
keepalives {
interval 20;
up-count 5;
down-count 5;
}
vci 0.128;
family inet {
address 192.0.2.21/32 {
destination 192.0.2.22;
}
}
}
unit 1 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile A-PPP-clients;
}
}
...
}
unit 2 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile B-PPP-clients;
}
}
...
}
unit 3 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile B-PPP-clients;
}
}
...
}
...
}
...
}
Les utilisateurs qui se connectent au routeur avec des connexions Telnet ou SSH sont authentifiés par le serveur 192.0.2.1RADIUS . Le serveur RADIUS de secours pour ces utilisateurs est 192.0.2.2.
Chaque profil peut contenir un ou plusieurs serveurs RADIUS de sauvegarde. Dans cet exemple, les pairs PPP sont authentifiés CHAP par le serveur 192.0.2.3 RADIUS (avec 192.0.2.4 comme serveur de sauvegarde) ou le serveur 192.0.2.5 RADIUS (avec 192.0.2.6 comme serveur de sauvegarde).