Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS over TLS(RADSEC)

802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。RADIUS over TLSは、トランスポートセキュアレイヤー(TLS)プロトコルを使用して、RADIUSリクエストのセキュアな通信を提供するように設計されています。RADIUS over TLS(RADSECとも呼ばれる)は、TLSで接続されたリモートRADIUSサーバーに通常のRADIUSトラフィックをリダイレクトします。RADSecを使用すると、RADIUS認証、許可、アカウンティングデータを信頼できないネットワークに安全に渡すことができます。

RADSEC は、TLS を TCP(伝送制御プロトコル)と組み合わせて使用します。このトランスポートプロファイルは、RADIUS送信に最初に使用されたユーザーデータグラムプロトコル(UDP)よりも強力なセキュリティを提供します。RADIUS over UDP は、MD5 アルゴリズムを使用して共有秘密パスワードを暗号化します。これは攻撃に対して脆弱です。RADSECは、暗号化されたTLSトンネル上でRADIUSパケットペイロードを交換することで、MD5への攻撃のリスクを軽減します。

注:

TCPプロトコルの制限により、RADSECは255件以下のRADIUSメッセージを機内に送信することはできません。

RADSEC の宛先を設定する

RADSEC サーバーは、RADSEC の宛先オブジェクトで表されます。RADSEC を設定するには、RADSEC サーバーを宛先として定義し、RADIUS トラフィックを宛先に誘導する必要があります。

階層レベルの ステートメントを使用して、RADSEC サーバーを radsec [edit access]宛先として定義します。RADSEC の宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバーを指す異なるパラメータを使用して、複数の RADSEC の宛先を設定できます。

標準の RADIUS サーバーから RADSEC サーバーにトラフィックをリダイレクトするには、RADIUS サーバーを RADSEC の宛先に関連付けます。例えば、RADIUS サーバー 10.1.1.1 は RADSEC 宛先 10に関連付けられています。

また、RADIUS サーバーをアクセス プロファイル内の RADSEC 宛先に関連付けることもできます。たとえば、プロファイルacc_profile内の RADIUS サーバー10.2.2.2は RADSEC の宛先10に関連付けられています。

注:

複数の RADIUS サーバーを同じ RADSEC 宛先にリダイレクトできます。

RADSECを設定するには:

  1. 一意の ID と IP アドレスで RADSEC の宛先を設定します。
  2. RADSEC サーバーのポートを設定します。ポートが設定されていない場合、デフォルトのRADSECポート2083が使用されます。
  3. RADIUS サーバーから RADSEC の宛先へのトラフィックのリダイレクト:

TLS接続パラメーターの設定

TLS接続は、RADIUSメッセージの交換に暗号化、認証、データ整合性を提供します。TLSは、RADSECクライアントとサーバー間のデータ送信を保護するために、証明書とプライベートパブリックキー交換ペアに依存しています。RADSEC の宛先では、Junos PKI インフラストラクチャから動的に取得されるローカル証明書が使用されます。

RADSECを有効にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書および認証局(CA)の設定については、 デジタル証明書の設定を参照してください。

  1. TLS 通信に使用するローカル証明書の名前を指定します。
  2. RADSEC サーバーの認定名を設定します。
  3. (オプション)TLS接続のタイムアウトを設定します(デフォルトは5秒)。

例:シンプルなRADSEC構成

次の例は、1 台の RADIUS サーバーと 1 台の RADSEC 宛先を持つ簡単な RADSEC 構成です。RADIUS トラフィックは、RADIUS サーバー 1 0.1.1.1 から RADSEC 宛先 10 にリダイレクトされます。

証明書の監視

ローカル証明書取得の状態と統計に関する情報を表示するには、次の手順にしたがっています。show network-access radsec local-certificate.

RADSEC の宛先の監視

RADSEC の宛先の統計情報を表示するには、以下の手順にしたがっています。show network-access radsec statistics.

RADSEC の宛先の状態を表示するには、以下の手順にしたがっています。show network-access radsec state.