radsec
構文
radsec { destination id-number { address ip-address; dynamic-requests { (logical-system ls-name <routing-instance ri-name>| routing-instance ri-name); source-address source-address; source-port source-port; } id-reuse-timeout seconds; (logical-system ls-name <routing-instance ri-name>| routing-instance ri-name); max-tx-buffers number; port port-number; source-address ip-address; tls-certificate certificate-name; tls-force-ciphers [medium | low]; tls-min-version [v1.1 | v1.2]; tls-peer-name tls-peer-name; tls-timeout seconds; } }
階層レベル
[edit access]
説明
RADIUS over TLS(RADSEC とも呼ばれる)を設定して、通常の RADIUS トラフィックを TLS 経由で接続されたリモート RADIUS サーバーにリダイレクトします。TLS接続は、RADIUSメッセージの交換に暗号化、認証、データ整合性を提供します。
TLS 経由で RADIUS を構成するには、RADIUS トラフィックの宛先として RADSEC サーバーを構成する必要があります。RADIUS サーバーを宛先とするトラフィックは、RADSEC の宛先にリダイレクトできます。RADSEC の宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバーを指す異なるパラメータを使用して、複数の RADSEC の宛先を設定できます。
TLSは、RADSECクライアントとサーバー間のデータ送信を保護するために、証明書とプライベートパブリックキー交換ペアに依存しています。RADSEC の宛先では、Junos PKI インフラストラクチャから動的に取得されるローカル証明書が使用されます。
RADSECを有効にするには、ローカル証明書の名前を指定する必要があります。証明書が利用できない場合、または証明書が取り消された場合、RADSEC の宛先は 300 秒ごとに証明書の取得を試みます。
既定
デフォルトではRADSECは有効になっていません。
オプション
destination id-number |
RADSEC 宛先のグローバル一意 ID 番号。
|
address ip-address |
RADSEC サーバーの IP アドレスを指定します。 |
id-reuse-timeout seconds |
RADIUS ID フィールド値を再利用できる秒数を設定します。
|
logical-system ls-name routing-instance ri-name |
トランスポートの論理システムまたはルーティング インスタンスを指定します。 既定:論理システムまたはルーティングインスタンスを明示的に設定しない場合、デフォルトが使用されます。論理システム、ルーティング インスタンス、またはその両方を指定できます。
|
max-tx-buffers number |
送信時にバッファされるパケットの最大数を設定します。 注:
バッファ割り当ては、[
|
port port-number |
(オプション)RADSEC サーバーのポート番号を設定します。
|
source-address ip-address |
RADSEC サーバーの IP アドレスである送信元 IP アドレスを設定します。ソース・アドレスが動的要求用に構成されていない場合、動的要求は拒否されます。 |
tls-certificate certificate-name |
ローカル証明書の名前を指定します。 |
tls-force-ciphers [medium | low] |
(オプション)デフォルトよりも低グレードの暗号方式を許可します。
|
tls-min-version [v1.1 | v1.2] |
(オプション)TLS のバージョンを構成して、SSL 接続で有効になっている TLS のサポート対象の最小バージョンを制限します。
|
tls-peer-name name |
RADSEC サーバーの認定名。 |
tls-timeout seconds |
TLS ネゴシエーションの制限を指定します。
|
残りのステートメントは別々に説明します。CLIエクスプローラーでステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックして詳細を確認します。
必要な権限レベル
アクセス—設定でこのステートメントを表示します。
アクセスコントロール—このステートメントを設定に追加します。
リリース情報
Junos OS リリース 19.1R1 で導入されたステートメント。
dynamic-requests
Junos OS リリース 19.2R1 で導入されています。