Ejemplo: Configurar la autenticación CHAP con RADIUS
Configuración
Puede enviar mensajes RADIUS a través de una instancia de enrutamiento a servidores RADIUS del cliente en una red privada. Para configurar la instancia de enrutamiento para enviar paquetes a un servidor RADIUS, incluya la routing-instance instrucción en el [edit access profile profile-name radius-server] nivel de jerarquía y aplique el perfil a una interfaz con la access-profile instrucción en el [edit interfaces interface-name unit logical-unit-number ppp-options chap] nivel de jerarquía.
En este ejemplo, los pares PPP de interfaces at-0/0/0.0 y at-0/0/0.1 se autentican mediante un servidor RADIUS accesible mediante instancia Ade enrutamiento. Pares PPP de interfaces at-0/0/0.2 y at-0/0/0.3 se autentican mediante un servidor RADIUS accesible a través de la instancia Bde enrutamiento.
Para obtener más información acerca de la autenticación RADIUS, consulte Autenticación RADIUS.
Configuración rápida de CLI
system {
radius-server {
192.0.2.1 secret $ABC123;
192.0.2.2 secret $ABC123;
}
}
routing-instances {
A {
instance-type vrf;
...
}
B {
instance-type vrf;
...
}
}
access {
profile A-PPP-clients {
authentication-order radius;
radius-server {
192.0.2.3 {
port 3333;
secret "$ABC123"; # # SECRET-DATA
timeout 3;
retry 3;
source-address 192.0.2.99;
routing-instance A;
}
192.0.2.4 {
routing-instance A;
secret $ABC123;
}
}
}
profile B-PPP-clients {
authentication-order radius;
radius-server {
192.0.2.5 {
routing-instance B;
secret $ABC123;
}
192.0.2.6 {
routing-instance B;
secret $ABC123;
}
}
}
}
interfaces {
at-0/0/0 {
atm-options {
vpi 0;
}
unit 0 {
encapsulation atm-ppp-llc;
ppp-options {
chap {
access-profile A-PPP-clients;
}
}
keepalives {
interval 20;
up-count 5;
down-count 5;
}
vci 0.128;
family inet {
address 192.0.2.21/32 {
destination 192.0.2.22;
}
}
}
unit 1 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile A-PPP-clients;
}
}
...
}
unit 2 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile B-PPP-clients;
}
}
...
}
unit 3 {
encapsulation atm-ppp-llc;
...
ppp-options {
chap {
access-profile B-PPP-clients;
}
}
...
}
...
}
...
}
Los usuarios que inician sesión en el enrutador con conexiones telnet o SSH se autentican mediante el servidor 192.0.2.1RADIUS. El servidor RADIUS de copia de seguridad para estos usuarios es 192.0.2.2.
Cada perfil puede contener uno o más servidores RADIUS de respaldo. En este ejemplo, los pares PPP son CHAP autenticados por el servidor 192.0.2.3 RADIUS (con 192.0.2.4 como servidor de copia de seguridad) o el servidor 192.0.2.5 RADIUS (con 192.0.2.6 como servidor de copia de seguridad).