L2TP の RADIUS 認証
L2TP の RADIUS 認証の設定
L2TP ネットワーク サーバー(LNS)は、RADIUS 認証要求またはアカウンティング要求を送信します。認証要求は認証サーバー ポートに送信されます。アカウンティング要求がアカウンティング ポートに送信されます。M10i または M7i ルーターで L2TP の RADIUS 認証を設定するには、階層レベルで次のステートメントを[edit access]含めます。
[edit access] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
階層レベルの [edit access] RADIUS サーバーは、NASD(ネットワーク アクセス サーバー プロセス)では使用されません。
アカウンティング・サーバーに接続するアカウンティング・ポート番号を (ステートメント内で accounting-port ) 指定できます。ほとんどの RADIUS サーバーは、ポート番号 1813 を使用します(RFC 2866、 Radius Accounting で指定)。
階層レベルで RADIUS アカウンティングを [edit access profile profile-name accounting-order] 有効にした場合、ステートメントの値 accounting-port を指定しない場合でも、アカウンティングは 1813 のデフォルト ポートでトリガーされます。
server-address は、RADIUS 認証サーバーのアドレスを指定します(ステートメント内 radius-server )。
RADIUS 認証サーバーに接続するポート番号を(ステートメント内で port )指定できます。ほとんどの RADIUS サーバーは、ポート番号 1812 を使用します(RFC 2865、 リモート認証ダイヤルイン ユーザー サービス [RADIUS] で 指定)。
ステートメントでパスワードを指定する secret 必要があります。パスワードにスペースが含まれている場合は、パスワードを引用符で囲みます。ローカル ルーターで使用されるシークレットは、RADIUS 認証サーバーで使用されている秘密と一致する必要があります。
必要に応じて、ローカル ルーターが RADIUS サーバーからの応答の受信を待機する時間( timeout ステートメント内)と、ルーターが RADIUS 認証サーバーに接続しようとする回数(ステートメント内 retry )を指定できます。デフォルトでは、ルーターは 3 秒待機します。これを 1~90 秒の範囲の値に設定できます。デフォルトでは、ルーターはサーバーへの接続を 3 回再試行します。これを 1~30 回の範囲の値に設定できます。再試行の最大数に達すると、radius サーバーは 5 分間 (300 秒) 停止したと見なされます。
ステートメントで source-address 、設定されている各 RADIUS サーバーの送信元アドレスを指定します。RADIUS サーバーに送信される各 RADIUS 要求は、指定された送信元アドレスを使用します。送信元アドレスは、ルーター インターフェイスのいずれかで設定された有効な IPv4 アドレスです。
複数の RADIUS サーバーを設定するには、複数のステートメントを radius-server 含めます。
L2TP ネットワーク サーバー(LNS)が RADIUS 認証で設定されている場合、デフォルトの動作は、優先する RADIUS 割り当て IP アドレスを受け入れることです。以前は、インターネット プロトコル制御プロトコル(IPCP)設定要求パケットで受信した 0 以外のピア IP アドレスを受け入れてインストールするというデフォルトの動作でした。
L2TP クライアントおよびプロファイルの RADIUS 認証を設定する
M10i または M7i ルーターでは、L2TP は、階層の下に 1 つの RADIUS サーバーセットを持つユーザーに対して RADIUS 認証とアカウンティングを [edit access] サポートします。また、トンネル クライアントまたはユーザー プロファイルごとに RADIUS 認証を設定することもできます。
M10i または M7i ルーター上の L2TP トンネル クライアントの RADIUS 認証を設定するには、トンネル クライアントの ppp-profile 属性を l2tp 含むステートメントを含めます。
[edit access profile profile-name client client-name l2tp] ppp-profile profile-name;
ppp-profile profile-name は、L2TP トンネルを介した PPP セッション要求の検証に使用されるプロファイルを指定します。参照されるプロファイルのクライアントは、PPP 属性のみを持つ必要があります。参照されるグループ プロファイルを定義する必要があります。
プロファイルの RADIUS 認証を設定するには、階層レベルで次のステートメントを [edit access profile profile-name] 含めます。
[edit access profile profile-name] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
PPP ユーザーがセッションを開始し、トンネル グループ上のユーザー プロファイルに対して RADIUS 認証が設定されている場合、認証およびアカウンティングに使用する RADIUS サーバーを決定するために、以下の優先シーケンスが使用されます。
-
ステートメントが
ppp-profileトンネル クライアント(LAC)の下で設定されている場合、指定されたppp-profile下で設定された RADIUS サーバーが使用されます。 -
RADIUS サーバーがトンネル グループのユーザー プロファイルの下で設定されている場合、それらのサーバーが使用されます。
-
トンネル クライアント(LAC)またはユーザー プロファイルに RADIUS サーバーが設定されていない場合、階層レベルで
[edit access]設定された RADIUS サーバーが使用されます。
L2TP の RADIUS ローカル ループバック インターフェイス属性
RADIUS サーバーでローカル ループバック インターフェイス属性を設定して、複数の LAC デバイスを管理できます。この属性は、L2TP を介してトンネリングされた PPPoE 加入者の LNS トンネル上の LAC 送信元アドレスとして使用されます。
LAC ソース アドレスとしてトンネル クライアント エンドポイント属性を使用する場合は、同じ RADIUS サーバーを使用する各 MX シリーズ ルーターにトンネル クライアント エンドポイント属性を設定する必要があります。このリリース以降は、1 回だけ設定する必要がある Local-ループバック インターフェイス属性を使用できます。LACが認証のためにRADIUSにアクセス要求メッセージを開始すると、RADIUSはアクセス受け入れメッセージのローカルループバックインターフェイス属性を返します。この属性には、ループバック インターフェイスの名前(「lo0」などの汎用インターフェイス名または「lo0.0」などの特定の名前)が含まれます。次に、MX シリーズ ルーターは、LNS とのトンネル ネゴシエーション中に、設定されたループバック インターフェイス IP アドレスを送信元アドレスとして使用します。
MX シリーズ ルーターは LAC として機能し、その上の任意のインターフェイス アドレスを L2TP トンネル 送信元アドレスとして使用できます。送信元アドレスは、トンネルクライアントエンドポイントまたはローカルループバックインターフェイス属性を介して、RADIUSによって動的に割り当てることができます。トンネル送信元アドレスは、L2TP トンネル プロファイルを使用して MX シリーズ ルーター上で静的に設定できます。RADIUS がトンネル クライアント エンドポイントまたはローカル ループバック インターフェイス属性を返さない場合、および MX シリーズ ルーターに対応する L2TP トンネル プロファイルが設定されていない場合、ルーターに適切なトンネル 送信元アドレスがないため、L2TP トンネルの開始に失敗します。この場合、ルーターはローカルに設定されたループバック アドレスを送信元アドレスとして使用して、L2TP トンネルを正常に確立できます。
例:L2TP の RADIUS 認証を設定する
構成
CLI クイック設定
次の例では、L2TP の RADIUS 認証を設定する方法を示しています。
[edit access]
profile example_bldg {
client client_1 {
chap-secret "$ABC123";
ppp {
interface-id west;
}
group-profile example_users;
}
client client_2 {
chap-secret "$ABC123";
group-profile example_users;
}
authentication-order radius;
}
radius-server {
198.51.100.213 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
198.51.100.223 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
}
radius-disconnect-port 2500;
radius-disconnect {
198.51.100.152 secret "$ABC123";
# SECRET-DATA
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.157 secret "$ABC123";
# SECRET-DATA
198.51.100.173 secret "$ABC123";
# SECRET-DATA
}
例:L2TP プロファイルの RADIUS 認証を設定する
構成
CLI クイック設定
[edit access]
profile t {
client LAC_A {
l2tp {
ppp-profile u;
}
}
}
profile u {
client client_1 {
ppp {
}
}
198.51.100.5 {
port 3333;
secret $ABC123;
source-address 198.51.100.1;
retry 3;
timeout 3;
}
198.51.100.6 secret $ABC123;
198.51.100.7 secret $ABC123;
}
L2TP の RADIUS 切断サーバーの設定
管理者からの切断要求をリッスンして処理するように RADIUS 切断サーバーを構成するには、階層レベルで次のステートメントを [edit access] 含めます。
[edit access] radius-disconnect-port port-number; radius-disconnect { client-address { secret password; } }
port-number は、RADIUS クライアントが切断要求を送信するサーバー ポートです。これらの切断要求を受け入れる L2TP ネットワーク サーバーがサーバーです。RADIUS 切断サーバーに接続するポート番号を指定できます。ほとんどの RADIUS サーバーはポート番号 1700 を使用します。
Junos OS は、階層レベルで [edit access radius-disconnect client-address] 設定されたクライアント アドレスからの切断要求のみを受け入れます。
client-address は、RADIUS サーバーに切断要求を送信するホストです。クライアント アドレスは、ルーターまたはスイッチ インターフェイスのいずれかで設定された有効な IP アドレスです。
password RADIUSクライアントを認証しますパスワードにはスペースを含めることができます。ローカル ルーターで使用されるシークレットは、サーバーが使用するシークレットと一致する必要があります。
L2TP の RADIUS 認証を設定する方法については、「L2TP の RADIUS 認証の設定」を参照してください。
次の例は、RADIUS 切断サーバーを設定するために階層レベルに含まれる [edit access] ステートメントを示しています。
[edit access]
radius-disconnect-port 1700;
radius-disconnect {
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.162 secret "$ABC123";
# SECRET-DATA
}
L2TP の RADIUS アカウンティング順序の設定
L2TP プロファイルの RADIUS アカウンティングを設定できます。RADIUS アカウンティングが有効になっている場合、ジュニパーデバイスは RADIUS クライアントとして機能できます。ソフトウェア ログイン、設定変更、インタラクティブ コマンドなどのユーザー アクティビティについて RADIUS サーバーに通知できます。RADIUS アカウンティングのフレームワークについては、RFC 2866 で説明されています。
RADIUS アカウンティングを設定するには、階層レベルで accounting-order ステートメントを [edit access profile profile-name] 含めます。
[edit access profile profile-name] accounting-order radius;
L2TP プロファイルの RADIUS アカウンティングを有効にすると、そのプロファイル内のすべてのクライアントに適用されます。アカウンティング停止および開始メッセージを送信するには、RADIUS 認証サーバーに対して少なくとも 1 つの LT2P プロファイルで RADIUS アカウンティングを有効にする必要があります。
L2TP プロファイルの RADIUS アカウンティングを有効にする場合、階層レベルでステートメントを accounting-port 設定する [edit access radius-server server-address] 必要はありません。L2TP プロファイルの RADIUS アカウンティングを有効にすると、デフォルト ポート 1813 でアカウンティングがトリガーされます。
L2TP の場合、RADIUS 認証サーバーは階層レベルで [edit access radius-server] 設定されます。
例:RADIUS ベースの加入者認証およびアカウンティングの設定
構成
CLI クイック設定
[edit access]
radius-server {
198.51.100.250 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123$ABC123;
source-address 198.51.100.100;
timeout 45;
}
198.51.100.251 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123;
source-address 198.51.100.100;
timeout 30;
}
2001:DB8:0f101::2{
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 4;
secret $ABC123$ABC123$ABC123-;
source-address 2001:DB8:0f101::1;
timeout 20;
}
}
profile isp-bos-metro-fiber-basic {
authentication-order radius;
accounting {
order radius;
accounting-stop-on-access-deny;
accounting-stop-on-failure;
immediate-update;
statistics time;
update-interval 12;
wait-for-acct-on-ack;
send-acct-status-on-config-change;
}
radius {
authentication-server 198.51.100.251 198.51.100.252;
accounting-server 198.51.100.250 198.51.100.251;
options {
accounting-session-id-format decimal;
client-accounting-algorithm round-robin;
client-authentication-algorithm round-robin;
nas-identifier 56;
nas-port-id-delimiter %;
nas-port-id-format {
nas-identifier;
interface-description;
}
nas-port-type {
ethernet {
wireless-80211;
}
}
}
attributes {
ignore {
framed-ip-netmask;
}
exclude {
accounting-delay-time [accounting-start accounting-stop];
accounting-session-id [access-request accounting-on accounting-off
accounting-start accounting-stop];
dhcp-gi-address [access-request accounting-start accounting-stop];
dhcp-mac-address [access-request accounting-start accounting-stop];
nas-identifier [access-request accounting-start accounting-stop];
nas-port [accounting-start accounting-stop];
nas-port-id [accounting-start accounting-stop];
nas-port-type [access-request accounting-start accounting-stop];
}
}
}
}
[edit logical-systems isp-bos-metro-12 routing-instances isp-cmbrg-12-32]
interfaces {
lo0 {
unit 0 {
family inet {
address 198.51.100.100/24;
}
}
}
ge-0/0/0 {
vlan-tagging;
unit 0 {
vlan-id 200;
family inet {
unnumbered-address lo0.0;
}
}
}
}
L2TP の RADIUS 属性
Junos OS は、L2TP の次のタイプの RADIUS 属性をサポートしています。
-
ジュニパーネットワークスのベンダー固有の属性(VSA)
-
インターネット技術タスク フォース(IETF)によって定義された属性と値のペア(AVP)
-
RADIUS アカウンティングの停止と開始 AVP
ジュニパーネットワークスのベンダー固有の RADIUS 属性については、RFC 2865、 RADIUS(リモート認証ダイヤルイン ユーザー サービス)で説明されています。これらの属性は、ベンダー ID が Juniper Networks ID 番号 2636 に設定されたカプセル化されます。 表 1 は、L2TP 用に設定できるジュニパーネットワークスの VSA を示しています。
| 属性名 |
標準番号 |
値 |
|---|---|---|
| Juniper-Primary-DNS |
31 |
IP アドレス |
| Juniper-Primary-WINS |
32 |
IP アドレス |
| Juniper-Secondary-DNS |
33 |
IP アドレス |
| ジュニパーとセカンダリの WINS |
34 |
IP アドレス |
| Juniper-Interface-ID |
35 |
文字列 |
| Juniper-IP-Pool-Name |
36 |
文字列 |
| ジュニパーキープアライブ |
37 |
整数 |
表 2 は、LT2P でサポートされる IETF RADIUS AVP を示しています。
| 属性名 |
標準番号 |
値 |
|---|---|---|
| ユーザー名 |
1 |
文字列 |
| ユーザーパスワード |
2 |
文字列 |
| CHAP-パスワード |
3 |
文字列 |
| NAS-IPアドレス |
4 |
IP アドレス |
| NASポート |
5 |
整数 |
| サービス タイプ |
6 |
整数 |
| Framed-Protocol |
7 |
整数 |
| フレーム化された IP アドレス |
8 |
IP アドレス |
| Framed-IP-Netmask |
9 |
IP アドレス |
| フレーム MTU |
12 |
整数 |
| フレームルート |
22 |
文字列 |
| セッション タイムアウト |
27 |
整数 |
| アイドル タイムアウト |
28 |
整数 |
| 呼び出しステーション ID |
30 |
文字列 |
| 通話ステーション ID |
31 |
文字列 |
| CHAP の課題 |
60 |
文字列 |
| NASポートタイプ |
61 |
整数 |
| フレーム プール |
88 |
整数 |
表 3 は、L2TP でサポートされる RADIUS アカウンティング開始 AVP を示しています。
| 属性名 |
標準番号 |
値 |
|---|---|---|
| ユーザー名 |
1 |
文字列 |
| NAS-IPアドレス |
4 |
IP アドレス |
| NASポート |
5 |
整数 |
| サービス タイプ |
6 |
整数 |
| Framed-Protocol |
7 |
整数 |
| フレーム化された IP アドレス |
8 |
IP アドレス |
| 呼び出しステーション ID |
30 |
文字列 |
| 通話ステーション ID |
31 |
文字列 |
| Acct ステータス タイプ |
40 |
整数 |
| Acct 遅延時間 |
41 |
整数 |
| Acct-Session-ID |
44 |
文字列 |
| Acct-Authentic |
45 |
整数 |
| NASポートタイプ |
61 |
整数 |
| トンネルクライアントエンドポイント |
66 |
文字列 |
| トンネルサーバーエンドポイント |
67 |
文字列 |
| Acct トンネル接続 |
68 |
文字列 |
| トンネル クライアント認証 ID |
90 |
文字列 |
| トンネルサーバー認証 ID |
91 |
文字列 |
表 4 は、L2TP でサポートされる RADIUS アカウンティング ストップ AVP を示しています。
| 属性名 |
標準番号 |
値 |
|---|---|---|
| ユーザー名 |
1 |
文字列 |
| ローカル ループバック インターフェイス |
3 |
文字列 |
| NAS-IPアドレス |
4 |
IP アドレス |
| NASポート |
5 |
整数 |
| サービス タイプ |
6 |
整数 |
| Framed-Protocol |
7 |
整数 |
| フレーム化された IP アドレス |
8 |
IP アドレス |
| 呼び出しステーション ID |
30 |
文字列 |
| 通話ステーション ID |
31 |
文字列 |
| Acct ステータス タイプ |
40 |
整数 |
| Acct 遅延時間 |
41 |
整数 |
| Acct-Input-Octets |
42 |
整数 |
| Acct-Output-Octets |
43 |
整数 |
| Acct-Session-ID |
44 |
文字列 |
| Acct-Authentic |
45 |
整数 |
| Acct-Session-Time |
46 |
整数 |
| Acct-Input-Packets |
47 |
整数 |
| Acct-output-packets |
48 |
整数 |
| Acct-終了原因 |
49 |
整数 |
| Acct-Multi-Session-ID |
50 |
文字列 |
| Acct-Link-Count |
51 |
整数 |
| NASポートタイプ |
61 |
整数 |
| トンネルクライアントエンドポイント |
66 |
文字列 |
| トンネルサーバーエンドポイント |
67 |
文字列 |
| Acct トンネル接続 |
68 |
文字列 |
| トンネル クライアント認証 ID |
90 |
文字列 |
| トンネルサーバー認証 ID |
91 |
文字列 |