Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

radsec

構文

階層レベル

説明

RADIUS over TLS(RADSEC とも呼ばれる)を設定して、通常の RADIUS トラフィックを TLS 経由で接続されたリモート RADIUS サーバーにリダイレクトします。TLS接続は、RADIUSメッセージの交換に暗号化、認証、データ整合性を提供します。

TLS 経由で RADIUS を構成するには、RADIUS トラフィックの宛先として RADSEC サーバーを構成する必要があります。RADIUS サーバーを宛先とするトラフィックは、RADSEC の宛先にリダイレクトできます。RADSEC の宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバーを指す異なるパラメータを使用して、複数の RADSEC の宛先を設定できます。

TLSは、RADSECクライアントとサーバー間のデータ送信を保護するために、証明書とプライベートパブリックキー交換ペアに依存しています。RADSEC の宛先では、Junos PKI インフラストラクチャから動的に取得されるローカル証明書が使用されます。

RADSECを有効にするには、ローカル証明書の名前を指定する必要があります。証明書が利用できない場合、または証明書が取り消された場合、RADSEC の宛先は 300 秒ごとに証明書の取得を試みます。

既定

デフォルトではRADSECは有効になっていません。

オプション

destination id-number

RADSEC 宛先のグローバル一意 ID 番号。

  • 範囲:1~65535

address ip-address

RADSEC サーバーの IP アドレスを指定します。

id-reuse-timeout seconds

RADIUS ID フィールド値を再利用できる秒数を設定します。

  • 既定:120 秒

  • 範囲:60~3600秒

logical-system ls-name routing-instance ri-name

トランスポートの論理システムまたはルーティング インスタンスを指定します。

既定:論理システムまたはルーティングインスタンスを明示的に設定しない場合、デフォルトが使用されます。論理システム、ルーティング インスタンス、またはその両方を指定できます。

  • 構成なしでは default:default を指定します。
  • ルーティングインスタンスのみを設定すると、デフォルト:ri-nameが指定されます。
  • 論理システムのみを設定すると、 ls-name:d efault が指定されます。
  • 論理システムとルーティングインスタンスの両方を設定すると、:ri-nameを指定しますls-name
max-tx-buffers number

送信時にバッファされるパケットの最大数を設定します。

注:

バッファ割り当ては、[edit access radius-server]階層レベルで設定されたマップされたRADIUSサーバーの に対応max-outstanding-requestsできる必要があります。

  • 既定:100

  • 範囲:32~3200

port port-number

(オプション)RADSEC サーバーのポート番号を設定します。

  • 既定:2083

  • 範囲:1~65535

source-address ip-address

RADSEC サーバーの IP アドレスである送信元 IP アドレスを設定します。ソース・アドレスが動的要求用に構成されていない場合、動的要求は拒否されます。

tls-certificate certificate-name

ローカル証明書の名前を指定します。

tls-force-ciphers [medium | low]

(オプション)デフォルトよりも低グレードの暗号方式を許可します。

  • 値:

    • low —中規模および低グレードの暗号方式を追加します。

    • medium — 中規模グレードの暗号方式を追加します。

    • 注:

      「tls-force-ciphers」オプションは適用されません。強力な暗号スイートは、デフォルトで常に使用されます。

tls-min-version [v1.1 | v1.2]

(オプション)TLS のバージョンを構成して、SSL 接続で有効になっている TLS のサポート対象の最小バージョンを制限します。

  • 値:

    • v1.1 — TLS 1.1 および 1.2 が必要です。

    • v1.2 — TLS 1.2が必要です。

  • 既定:v1.2

tls-peer-name name

RADSEC サーバーの認定名。

tls-timeout seconds

TLS ネゴシエーションの制限を指定します。

  • 既定:5 秒

  • 範囲:3~90秒

残りのステートメントは別々に説明します。CLIエクスプローラーでステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックして詳細を確認します。

必要な権限レベル

アクセス—設定でこのステートメントを表示します。

アクセスコントロール—このステートメントを設定に追加します。

リリース情報

Junos OS リリース 19.1R1 で導入されたステートメント。

dynamic-requests Junos OS リリース 19.2R1 で導入されています。