Authentification RADIUS pour L2TP
Configurer l’authentification RADIUS pour L2TP
Le serveur de réseau L2TP (LNS) envoie des demandes d’authentification RADIUS ou de comptabilité. Les demandes d’authentification sont envoyées au port du serveur d’authentification. Les demandes de comptabilité sont envoyées au port comptable. Pour configurer l’authentification RADIUS pour L2TP sur un routeur M10i ou M7i, incluez les déclarations suivantes au niveau hiérarchique [edit access] :
[edit access] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
Les serveurs RADIUS au niveau hiérarchique [edit access] ne sont pas utilisés par le processus de serveur d’accès réseau (NASD).
Vous pouvez spécifier un numéro de port comptable sur lequel contacter le serveur de comptabilité (dans l’état accounting-port ). La plupart des serveurs RADIUS utilisent le port numéro 1813 (comme spécifié dans la RFC 2866, Comptabilité Radius).
Si vous activez la comptabilité RADIUS au niveau de la [edit access profile profile-name accounting-order] hiérarchie, la comptabilisation est déclenchée sur le port par défaut de 1813 même si vous ne spécifiez pas de valeur pour l’état accounting-port .
server-address spécifie l’adresse du serveur d’authentification RADIUS (dans l’instruction radius-server ).
Vous pouvez spécifier un numéro de port sur lequel contacter le serveur d’authentification RADIUS (dans l’instruction port ). La plupart des serveurs RADIUS utilisent le port numéro 1812 (comme spécifié dans la RFC 2865, Service d’authentification à distance de l’utilisateur [RADIUS] ).
Vous devez spécifier un mot de passe dans l’instruction secret . Si un mot de passe comprend des espaces, joignez le mot de passe entre guillemets. Le secret utilisé par le routeur local doit correspondre à celui utilisé par le serveur d’authentification RADIUS.
Vous pouvez éventuellement spécifier le temps d’attente du routeur local pour recevoir une réponse d’un serveur RADIUS (dans l’instruction timeout ) et le nombre de fois que le routeur tente de contacter un serveur d’authentification RADIUS (dans l’instruction retry ). Par défaut, le routeur attend 3 secondes. Vous pouvez le configurer pour qu’il s’agisse d’une valeur comprise entre 1 et 90 secondes. Par défaut, le routeur se connecte trois fois au serveur. Vous pouvez le configurer pour qu’il s’agisse d’une valeur comprise entre 1 et 30 fois. Si le nombre maximal de tentatives est atteint, le serveur radius est considéré comme mort pendant 5 minutes (300 secondes).
Dans l’instruction source-address , spécifiez une adresse source pour chaque serveur RADIUS configuré. Chaque demande RADIUS envoyée à un serveur RADIUS utilise l’adresse source spécifiée. L’adresse source est une adresse IPv4 valide configurée sur l’une des interfaces du routeur.
Pour configurer plusieurs serveurs RADIUS, incluez plusieurs radius-server déclarations.
Lorsque le serveur de réseau L2TP (LNS) est configuré avec l’authentification RADIUS, le comportement par défaut est d’accepter l’adresse IP radius attribuée par préférence. Auparavant, le comportement par défaut était d’accepter et d’installer l’adresse IP homologue non nulle reçue par le paquet de demande de configuration IPCP (Internet Protocol Control Protocol Protocol).
Configurer l’authentification RADIUS pour un client et un profil L2TP
Sur un routeur M10i ou M7i, L2TP prend en charge l’authentification et la comptabilisation RADIUS pour les utilisateurs avec un ensemble de serveurs RADIUS sous la [edit access] hiérarchie. Vous pouvez également configurer l’authentification RADIUS pour chaque client tunnel ou profil utilisateur.
Pour configurer l’authentification RADIUS pour les clients de tunnel L2TP sur un routeur M10i ou M7i, incluez l’instruction ppp-profile avec les l2tp attributs des clients de tunnel :
[edit access profile profile-name client client-name l2tp] ppp-profile profile-name;
ppp-profile profile-name spécifie le profil utilisé pour valider les demandes de session PPP via des tunnels L2TP. Les clients du profil référencé ne doivent avoir que des attributs PPP. Le profil de groupe référencé doit être défini.
Pour configurer l’authentification RADIUS pour un profil, incluez les déclarations suivantes au niveau de la [edit access profile profile-name] hiérarchie :
[edit access profile profile-name] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
Lorsqu’un utilisateur PPP lance une session et que l’authentification RADIUS est configurée pour le profil de l’utilisateur sur le groupe de tunnels, la séquence de priorité suivante est utilisée pour déterminer quel serveur RADIUS est utilisé pour l’authentification et la comptabilité :
-
Si l’instruction
ppp-profileest configurée sous le client de tunnel (LAC), les serveurs RADIUS configurés sous les spécifications sontppp-profileutilisés. -
Si les serveurs RADIUS sont configurés sous le profil utilisateur du groupe de tunnels, ces serveurs seront utilisés.
-
Si aucun serveur RADIUS n’est configuré pour le client tunnel (LAC) ou le profil utilisateur, alors les serveurs RADIUS configurés au niveau hiérarchique
[edit access]sont utilisés.
Attribut d’interface de bouclage local RADIUS pour L2TP
Vous pouvez configurer l’attribut Local-Loopback-Interface sur un serveur RADIUS pour gérer plusieurs équipements LAC. Cet attribut est utilisé comme adresse source LAC sur un tunnel LNS pour les abonnés PPPoE tunnelisés sur L2TP.
Lorsque vous utilisez l’attribut Tunnel-Client-Endpoint comme adresse source LAC, vous devez configurer l’attribut Tunnel-Client-Endpoint pour chaque routeur MX Series qui utilise le même serveur RADIUS. À partir de cette version, vous pouvez utiliser l’attribut Boucle locale-Interface, qui ne doit être configuré qu’une seule fois. Lorsque LE LAC lance un message de demande d’accès à RADIUS pour l’authentification, RADIUS renvoie l’attribut Local-Loopback-Interface dans le message Access-Accept. Cet attribut contient le nom de l’interface de bouclage, soit sous la forme d’un nom d’interface générique tel que « lo0 » ou sous la forme d’un nom spécifique comme « lo0.0 ». Le routeur MX Series utilise ensuite l’adresse IP de l’interface de bouclage configurée comme adresse source lors de la négociation de tunnel avec le LNS.
Un routeur MX Series peut faire office de LAC et utiliser n’importe quelle adresse d’interface comme adresse source de tunnel L2TP. L’adresse source peut être attribuée dynamiquement par RADIUS via l’attribut Tunnel-Client-Endpoint ou Local-Loopback-Interface. L’adresse source du tunnel peut être configurée statiquement sur le routeur MX Series à l’aide du profil de tunnel L2TP. Si RADIUS ne renvoie pas l’attribut Tunnel-Client-Endpoint ou Local-Loopback-Interface, et s’il n’y a pas de profil de tunnel L2TP correspondant configuré sur le routeur MX Series, alors le tunnel L2TP ne parvient pas à démarrer car le routeur ne dispose pas d’une adresse source de tunnel appropriée. Dans ce cas, le routeur peut utiliser l’adresse de bouclage configurée localement comme adresse source pour établir correctement le tunnel L2TP.
Exemple : configurer l’authentification RADIUS pour L2TP
Configuration
Configuration rapide cli
L’exemple suivant montre comment configurer l’authentification RADIUS pour L2TP :
[edit access]
profile example_bldg {
client client_1 {
chap-secret "$ABC123";
ppp {
interface-id west;
}
group-profile example_users;
}
client client_2 {
chap-secret "$ABC123";
group-profile example_users;
}
authentication-order radius;
}
radius-server {
198.51.100.213 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
198.51.100.223 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
}
radius-disconnect-port 2500;
radius-disconnect {
198.51.100.152 secret "$ABC123";
# SECRET-DATA
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.157 secret "$ABC123";
# SECRET-DATA
198.51.100.173 secret "$ABC123";
# SECRET-DATA
}
Exemple : configurer l’authentification RADIUS pour un profil L2TP
Configuration
Configuration rapide cli
[edit access]
profile t {
client LAC_A {
l2tp {
ppp-profile u;
}
}
}
profile u {
client client_1 {
ppp {
}
}
198.51.100.5 {
port 3333;
secret $ABC123;
source-address 198.51.100.1;
retry 3;
timeout 3;
}
198.51.100.6 secret $ABC123;
198.51.100.7 secret $ABC123;
}
Configurer le serveur de déconnexion RADIUS pour L2TP
Pour configurer le serveur RADIUS disconnect afin qu’il écoute les demandes de déconnexion d’un administrateur et les traite, incluez les déclarations suivantes au niveau de la [edit access] hiérarchie :
[edit access] radius-disconnect-port port-number; radius-disconnect { client-address { secret password; } }
port-number est le port serveur auquel le client RADIUS envoie des demandes de déconnexion. Le serveur réseau L2TP, qui accepte ces demandes de déconnexion, est le serveur. Vous pouvez spécifier un numéro de port sur lequel contacter le serveur de déconnexion RADIUS. La plupart des serveurs RADIUS utilisent le port numéro 1700.
Junos OS accepte uniquement les demandes de déconnexion de l’adresse client configurée au niveau de la [edit access radius-disconnect client-address] hiérarchie.
client-address est l’hôte qui envoie des demandes de déconnexion au serveur RADIUS. L’adresse client est une adresse IP valide configurée sur l’une des interfaces du routeur ou du commutateur.
password authentifie le client RADIUS. Les mots de passe peuvent contenir des espaces. Le secret utilisé par le routeur local doit correspondre à celui utilisé par le serveur.
Pour plus d’informations sur la configuration de l’authentification RADIUS pour L2TP, voir Configuration de l’authentification RADIUS pour L2TP.
L’exemple suivant illustre les déclarations à inclure au niveau de la [edit access] hiérarchie pour configurer le serveur de déconnexion RADIUS :
[edit access]
radius-disconnect-port 1700;
radius-disconnect {
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.162 secret "$ABC123";
# SECRET-DATA
}
Configurer l’ordre comptable RADIUS pour L2TP
Vous pouvez configurer la comptabilité RADIUS pour un profil L2TP. Avec la comptabilité RADIUS activée, les équipements Juniper peuvent agir comme des clients RADIUS. Ils peuvent informer le serveur RADIUS des activités des utilisateurs telles que les connexions logicielles, les modifications de configuration et les commandes interactives. Le cadre de la comptabilité RADIUS est décrit dans la RFC 2866.
Pour configurer la comptabilité RADIUS, incluez l’instruction accounting-order au niveau de la [edit access profile profile-name] hiérarchie :
[edit access profile profile-name] accounting-order radius;
Lorsque vous activez la comptabilisation RADIUS pour un profil L2TP, elle s’applique à tous les clients de ce profil. Vous devez activer la comptabilité RADIUS sur au moins un profil LT2P pour que le serveur d’authentification RADIUS envoie des messages d’arrêt et de début de comptabilité.
Lorsque vous activez la comptabilisation RADIUS pour un profil L2TP, vous n’avez pas besoin de configurer l’instruction accounting-port au niveau de la [edit access radius-server server-address] hiérarchie. Lorsque vous activez la comptabilisation RADIUS pour un profil L2TP, la comptabilisation est déclenchée sur le port par défaut de 1813.
Pour le protocole L2TP, les serveurs d’authentification RADIUS sont configurés au niveau hiérarchique [edit access radius-server] .
Exemple : configurer l’authentification et la comptabilisation des abonnés basées sur RADIUS
Configuration
Configuration rapide cli
[edit access]
radius-server {
198.51.100.250 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123$ABC123;
source-address 198.51.100.100;
timeout 45;
}
198.51.100.251 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123;
source-address 198.51.100.100;
timeout 30;
}
2001:DB8:0f101::2{
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 4;
secret $ABC123$ABC123$ABC123-;
source-address 2001:DB8:0f101::1;
timeout 20;
}
}
profile isp-bos-metro-fiber-basic {
authentication-order radius;
accounting {
order radius;
accounting-stop-on-access-deny;
accounting-stop-on-failure;
immediate-update;
statistics time;
update-interval 12;
wait-for-acct-on-ack;
send-acct-status-on-config-change;
}
radius {
authentication-server 198.51.100.251 198.51.100.252;
accounting-server 198.51.100.250 198.51.100.251;
options {
accounting-session-id-format decimal;
client-accounting-algorithm round-robin;
client-authentication-algorithm round-robin;
nas-identifier 56;
nas-port-id-delimiter %;
nas-port-id-format {
nas-identifier;
interface-description;
}
nas-port-type {
ethernet {
wireless-80211;
}
}
}
attributes {
ignore {
framed-ip-netmask;
}
exclude {
accounting-delay-time [accounting-start accounting-stop];
accounting-session-id [access-request accounting-on accounting-off
accounting-start accounting-stop];
dhcp-gi-address [access-request accounting-start accounting-stop];
dhcp-mac-address [access-request accounting-start accounting-stop];
nas-identifier [access-request accounting-start accounting-stop];
nas-port [accounting-start accounting-stop];
nas-port-id [accounting-start accounting-stop];
nas-port-type [access-request accounting-start accounting-stop];
}
}
}
}
[edit logical-systems isp-bos-metro-12 routing-instances isp-cmbrg-12-32]
interfaces {
lo0 {
unit 0 {
family inet {
address 198.51.100.100/24;
}
}
}
ge-0/0/0 {
vlan-tagging;
unit 0 {
vlan-id 200;
family inet {
unnumbered-address lo0.0;
}
}
}
}
Attributs RADIUS pour L2TP
Junos OS prend en charge les types d’attributs RADIUS suivants pour L2TP :
-
Attributs spécifiques aux fournisseurs (VSA) de Juniper Networks
-
Paires attribut-valeur (AVP) définies par l’Internet Engineering Task Force (IETF)
-
Comptabilité RADIUS : arrêt et démarrage des ASP
Les attributs RADIUS propres aux fournisseurs de Juniper Networks sont décrits dans la RFC 2865, Service d’authentification à distance dial dans l’utilisateur (RADIUS). Ces attributs sont encapsulés avec l’ID fournisseur défini sur l’ID Juniper Networks 2636. Le tableau 1 répertorie les VAS Juniper Networks que vous pouvez configurer pour le protocole L2TP.
| Nom de l’attribut |
Numéro standard |
Valeur |
|---|---|---|
| Juniper-Primary-DNS |
31 |
Adresse IP |
| Juniper-Primary-WINS |
32 |
Adresse IP |
| DNS secondaire de Juniper |
33 |
Adresse IP |
| Juniper-Secondaire-WINS |
34 |
Adresse IP |
| Id d’interface Juniper |
35 |
String |
| Nom juniper-IP-pool |
36 |
String |
| Juniper-Keep-Alive |
37 |
Entier |
Le tableau 2 répertorie les AAV RADIUS IETF pris en charge pour LT2P.
| Nom de l’attribut |
Numéro standard |
Valeur |
|---|---|---|
| Nom d’utilisateur |
1 |
String |
| Mot de passe utilisateur |
2 |
String |
| MOT DE PASSE CHAP |
3 |
String |
| Adresse IP NAS |
4 |
Adresse IP |
| Port NAS |
5 |
Entier |
| Type de service |
6 |
Entier |
| Protocole framed-protocol |
7 |
Entier |
| Adresse IP encadrée |
8 |
Adresse IP |
| Masque de réseau IP encadré |
9 |
Adresse IP |
| MTU encadré |
12 |
Entier |
| Route encadrée |
22 |
String |
| Délai d’expiration des sessions |
27 |
Entier |
| Délai d’inactivité |
28 |
Entier |
| ID de station |
30 |
String |
| Id de station d’appel |
31 |
String |
| Défi CHAP |
60 |
String |
| Type de port NAS |
61 |
Entier |
| Pool encadré |
88 |
Entier |
Le tableau 3 répertorie les AFP de début de comptabilité RADIUS pris en charge pour L2TP.
| Nom de l’attribut |
Numéro standard |
Valeur |
|---|---|---|
| Nom d’utilisateur |
1 |
String |
| Adresse IP NAS |
4 |
Adresse IP |
| Port NAS |
5 |
Entier |
| Type de service |
6 |
Entier |
| Protocole framed-protocol |
7 |
Entier |
| Adresse IP encadrée |
8 |
Adresse IP |
| ID de station |
30 |
String |
| Id de station d’appel |
31 |
String |
| Type d’état de l’acct |
40 |
Entier |
| Acct-Delay-Time |
41 |
Entier |
| Acct-Session-ID |
44 |
String |
| Acct-Authentic |
45 |
Entier |
| Type de port NAS |
61 |
Entier |
| Tunnel-client-point de terminaison |
66 |
String |
| Tunnel-serveur-point de terminaison |
67 |
String |
| Connexion acct-tunnel |
68 |
String |
| Tunnel-Client-Auth-ID |
90 |
String |
| Tunnel-Serveur-Auth-ID |
91 |
String |
Le tableau 4 répertorie les AAV d’arrêt de comptabilisation RADIUS pris en charge pour L2TP.
| Nom de l’attribut |
Numéro standard |
Valeur |
|---|---|---|
| Nom d’utilisateur |
1 |
String |
| Interface de bouclage local |
3 |
String |
| Adresse IP NAS |
4 |
Adresse IP |
| Port NAS |
5 |
Entier |
| Type de service |
6 |
Entier |
| Protocole framed-protocol |
7 |
Entier |
| Adresse IP encadrée |
8 |
Adresse IP |
| ID de station |
30 |
String |
| Id de station d’appel |
31 |
String |
| Type d’état de l’acct |
40 |
Entier |
| Acct-Delay-Time |
41 |
Entier |
| Acct-entrée-octets |
42 |
Entier |
| Acct-output-octets |
43 |
Entier |
| Acct-Session-ID |
44 |
String |
| Acct-Authentic |
45 |
Entier |
| Acct-Session Time |
46 |
Entier |
| Acct-Input-Packets |
47 |
Entier |
| Acct-Output-Packets |
48 |
Entier |
| Acct-Terminate-Cause |
49 |
Entier |
| Acct-multi-session-ID |
50 |
String |
| Nombre de liaisons acct |
51 |
Entier |
| Type de port NAS |
61 |
Entier |
| Tunnel-client-point de terminaison |
66 |
String |
| Tunnel-serveur-point de terminaison |
67 |
String |
| Connexion acct-tunnel |
68 |
String |
| Tunnel-Client-Auth-ID |
90 |
String |
| Tunnel-Serveur-Auth-ID |
91 |
String |