Autenticación RADIUS para L2TP
Configure la autenticación RADIUS para L2TP
El servidor de red L2TP (LNS) envía solicitudes de autenticación RADIUS o solicitudes de contabilidad. Las solicitudes de autenticación se envían al puerto del servidor de autenticación. Las solicitudes de contabilidad se envían al puerto de contabilidad. Para configurar la autenticación RADIUS para L2TP en un enrutador M10i o M7i, incluya las siguientes instrucciones en el [edit access] nivel jerárquico:
[edit access] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
El proceso del [edit access] servidor de acceso a la red (NASD) no utiliza los servidores RADIUS a nivel de jerarquía.
Puede especificar un número de puerto de contabilidad en el que comunicarse con el servidor de contabilidad (en la accounting-port instrucción). La mayoría de los servidores RADIUS utilizan el número de puerto 1813 (como se especifica en RFC 2866, Contabilidad radius).
Si habilita la contabilidad RADIUS en el [edit access profile profile-name accounting-order] nivel de jerarquía, la contabilidad se activa en el puerto predeterminado de 1813, incluso si no especifica un valor para la accounting-port instrucción.
server-address especifica la dirección del servidor de autenticación RADIUS (en la radius-server instrucción).
Puede especificar un número de puerto en el que ponerse en contacto con el servidor de autenticación RADIUS (en la port instrucción). La mayoría de los servidores RADIUS utilizan el número de puerto 1812 (como se especifica en RFC 2865, marcado de autenticación remota en el servicio de usuario [RADIUS] ).
Debe especificar una contraseña en la secret instrucción. Si una contraseña incluye espacios, incluya la contraseña entre comillas. El secreto que usa el enrutador local debe coincidir con el que usa el servidor de autenticación RADIUS.
Opcionalmente, puede especificar la cantidad de tiempo que espera el enrutador local para recibir una respuesta de un servidor RADIUS (en la timeout instrucción) y la cantidad de veces que el enrutador intenta ponerse en contacto con un servidor de autenticación RADIUS (en la retry instrucción). De forma predeterminada, el enrutador espera 3 segundos. Puede configurarlo para que sea un valor en el intervalo de 1 a 90 segundos. De forma predeterminada, el enrutador reintenta la conexión al servidor tres veces. Puede configurarlo para que sea un valor en el intervalo de 1 a 30 veces. Si se alcanza la cantidad máxima de reintentos, el servidor radius se considera muerto durante 5 minutos (300 segundos).
En la source-address instrucción, especifique una dirección de origen para cada servidor RADIUS configurado. Cada solicitud RADIUS enviada a un servidor RADIUS utiliza la dirección de origen especificada. La dirección de origen es una dirección IPv4 válida configurada en una de las interfaces del enrutador.
Para configurar varios servidores RADIUS, incluya varias radius-server instrucciones.
Cuando el servidor de red L2TP (LNS) está configurado con autenticación RADIUS, el comportamiento predeterminado es aceptar la dirección IP asignada por RADIUS preferida. Anteriormente, el comportamiento predeterminado era aceptar e instalar la dirección IP de par distinto a cero recibida por el paquete de solicitud de configuración del protocolo de control de protocolo de Internet (IPCP).
Configure la autenticación RADIUS para un cliente y perfil L2TP
En un enrutador M10i o M7i, L2TP admite autenticación RADIUS y contabilidad para usuarios con un conjunto de servidores RADIUS bajo la [edit access] jerarquía. También puede configurar la autenticación RADIUS para cada cliente de túnel o perfil de usuario.
Para configurar la autenticación RADIUS para clientes de túnel L2TP en un enrutador M10i o M7i, incluya la ppp-profile instrucción con los l2tp atributos de los clientes de túnel:
[edit access profile profile-name client client-name l2tp] ppp-profile profile-name;
ppp-profile profile-name especifica el perfil utilizado para validar las solicitudes de sesión PPP a través de túneles L2TP. Los clientes del perfil al que se hace referencia solo deben tener atributos PPP. Se debe definir el perfil de grupo al que se hace referencia.
Para configurar la autenticación RADIUS para un perfil, incluya las siguientes instrucciones en el [edit access profile profile-name] nivel de jerarquía:
[edit access profile profile-name] radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; }
Cuando un usuario PPP inicia una sesión y la autenticación RADIUS está configurada para el perfil de usuario en el grupo de túneles, se utiliza la siguiente secuencia de prioridad para determinar qué servidor RADIUS se utiliza para la autenticación y la contabilidad:
-
Si la
ppp-profileinstrucción está configurada bajo el cliente de túnel (LAC), se utilizan los servidores RADIUS configurados en el especificadoppp-profile. -
Si los servidores RADIUS están configurados bajo el perfil de usuario para el grupo de túneles, se usarán esos servidores.
-
Si no hay ningún servidor RADIUS configurado para el cliente de túnel (LAC) o el perfil de usuario, se utilizan los servidores RADIUS configurados en el
[edit access]nivel jerárquico.
Atributo de interfaz de circuito cerrado local RADIUS para L2TP
Puede configurar el atributo de interfaz de circuito cerrado local en un servidor RADIUS para administrar varios dispositivos LAC. Este atributo se utiliza como dirección de origen LAC en un túnel LNS para suscriptores PPPoE tunelados a través de L2TP.
Cuando utilice el atributo Tunnel-Client-Endpoint como dirección de origen LAC, debe configurar el atributo Tunnel-Client-Endpoint para cada enrutador de la serie MX que utilice el mismo servidor RADIUS. A partir de esta versión, puede usar el atributo Local-Loopback-Interface, que debe configurarse solo una vez. Cuando la LAC inicia un mensaje de solicitud de acceso a RADIUS para la autenticación, RADIUS devuelve el atributo de interfaz de circuito cerrado local en el mensaje de aceptación de acceso. Este atributo contiene el nombre de la interfaz de circuito cerrado, ya sea como un nombre de interfaz genérico como "lo0" o como un nombre específico como "lo0.0". A continuación, el enrutador de la serie MX utiliza la dirección IP de interfaz de circuito cerrado configurada como dirección de origen durante la negociación de túnel con el LNS.
Un enrutador de la serie MX puede actuar como LAC y usar cualquier dirección de interfaz como dirección de origen de túnel L2TP. RADIUS puede asignar dinámicamente la dirección de origen mediante el atributo Tunnel-Client-Endpoint o Local-Loopback-Interface. La dirección de origen del túnel se puede configurar estáticamente en el enrutador de la serie MX mediante el perfil de túnel L2TP. Si RADIUS no devuelve el atributo Tunnel-Client-Endpoint o Local-Loopback-Interface, y si no hay ningún perfil de túnel L2TP correspondiente configurado en el enrutador de la serie MX, el túnel L2TP no se puede iniciar porque el enrutador no tiene una dirección de origen de túnel adecuada. En este caso, el enrutador puede usar la dirección de circuito cerrado configurada localmente como dirección de origen para establecer correctamente el túnel L2TP.
Ejemplo: Configure la autenticación RADIUS para L2TP
Configuración
Configuración rápida de CLI
En el ejemplo siguiente se muestra cómo configurar la autenticación RADIUS para L2TP:
[edit access]
profile example_bldg {
client client_1 {
chap-secret "$ABC123";
ppp {
interface-id west;
}
group-profile example_users;
}
client client_2 {
chap-secret "$ABC123";
group-profile example_users;
}
authentication-order radius;
}
radius-server {
198.51.100.213 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
198.51.100.223 {
port 1812;
accounting-port 1813;
secret "$ABC123"; # SECRET-DATA
}
}
radius-disconnect-port 2500;
radius-disconnect {
198.51.100.152 secret "$ABC123";
# SECRET-DATA
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.157 secret "$ABC123";
# SECRET-DATA
198.51.100.173 secret "$ABC123";
# SECRET-DATA
}
Ejemplo: Configure la autenticación RADIUS para un perfil L2TP
Configuración
Configuración rápida de CLI
[edit access]
profile t {
client LAC_A {
l2tp {
ppp-profile u;
}
}
}
profile u {
client client_1 {
ppp {
}
}
198.51.100.5 {
port 3333;
secret $ABC123;
source-address 198.51.100.1;
retry 3;
timeout 3;
}
198.51.100.6 secret $ABC123;
198.51.100.7 secret $ABC123;
}
Configure el servidor de desconexión RADIUS para L2TP
Para configurar el servidor de desconexión RADIUS para que escuche las solicitudes de desconexión de un administrador y las procese, incluya las siguientes instrucciones en el [edit access] nivel jerárquico:
[edit access] radius-disconnect-port port-number; radius-disconnect { client-address { secret password; } }
port-number es el puerto del servidor al que el cliente RADIUS envía solicitudes de desconexión. El servidor de red L2TP, que acepta estas solicitudes de desconexión, es el servidor. Puede especificar un número de puerto en el que ponerse en contacto con el servidor de desconexión RADIUS. La mayoría de los servidores RADIUS utilizan el número de puerto 1700.
Junos OS solo acepta solicitudes de desconexión de la dirección del cliente configurada en el [edit access radius-disconnect client-address] nivel jerárquico.
client-address es el host que envía solicitudes de desconexión al servidor RADIUS. La dirección del cliente es una dirección IP válida configurada en una de las interfaces del enrutador o del conmutador.
password autentica al cliente RADIUS. Las contraseñas pueden contener espacios. El secreto utilizado por el enrutador local debe coincidir con el utilizado por el servidor.
Para obtener información acerca de cómo configurar la autenticación RADIUS para L2TP, consulte Configurar la autenticación RADIUS para L2TP.
En el ejemplo siguiente se muestran las instrucciones que se incluirán en el [edit access] nivel de jerarquía para configurar el servidor de desconexión RADIUS:
[edit access]
radius-disconnect-port 1700;
radius-disconnect {
198.51.100.153 secret "$ABC123";
# SECRET-DATA
198.51.100.162 secret "$ABC123";
# SECRET-DATA
}
Configure la orden de contabilidad RADIUS para L2TP
Puede configurar la contabilidad RADIUS para un perfil L2TP. Con la contabilidad RADIUS habilitada, los dispositivos Juniper pueden actuar como clientes RADIUS. Pueden notificar al servidor RADIUS acerca de las actividades del usuario, como inicios de sesión de software, cambios de configuración y comandos interactivos. El marco de trabajo para la contabilidad RADIUS se describe en RFC 2866.
Para configurar la contabilidad RADIUS, incluya la accounting-order instrucción en el [edit access profile profile-name] nivel de jerarquía:
[edit access profile profile-name] accounting-order radius;
Cuando habilita la contabilidad RADIUS para un perfil L2TP, se aplica a todos los clientes de ese perfil. Debe habilitar la contabilidad RADIUS en al menos un perfil LT2P para que el servidor de autenticación RADIUS envíe mensajes de detención e inicio de cuentas.
Cuando habilita la contabilidad RADIUS para un perfil L2TP, no es necesario configurar la accounting-port instrucción en el [edit access radius-server server-address] nivel de jerarquía. Cuando habilita la contabilidad RADIUS para un perfil L2TP, la contabilidad se activa en el puerto predeterminado de 1813.
Para L2TP, los servidores de autenticación RADIUS se configuran en el [edit access radius-server] nivel jerárquico.
Ejemplo: Configure la autenticación y la contabilidad de suscriptores basadas en RADIUS
Configuración
Configuración rápida de CLI
[edit access]
radius-server {
198.51.100.250 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123$ABC123;
source-address 198.51.100.100;
timeout 45;
}
198.51.100.251 {
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 3;
secret $ABC123;
source-address 198.51.100.100;
timeout 30;
}
2001:DB8:0f101::2{
port 1812;
accounting-port 1813;
accounting-retry 6;
accounting-timeout 20;
retry 4;
secret $ABC123$ABC123$ABC123-;
source-address 2001:DB8:0f101::1;
timeout 20;
}
}
profile isp-bos-metro-fiber-basic {
authentication-order radius;
accounting {
order radius;
accounting-stop-on-access-deny;
accounting-stop-on-failure;
immediate-update;
statistics time;
update-interval 12;
wait-for-acct-on-ack;
send-acct-status-on-config-change;
}
radius {
authentication-server 198.51.100.251 198.51.100.252;
accounting-server 198.51.100.250 198.51.100.251;
options {
accounting-session-id-format decimal;
client-accounting-algorithm round-robin;
client-authentication-algorithm round-robin;
nas-identifier 56;
nas-port-id-delimiter %;
nas-port-id-format {
nas-identifier;
interface-description;
}
nas-port-type {
ethernet {
wireless-80211;
}
}
}
attributes {
ignore {
framed-ip-netmask;
}
exclude {
accounting-delay-time [accounting-start accounting-stop];
accounting-session-id [access-request accounting-on accounting-off
accounting-start accounting-stop];
dhcp-gi-address [access-request accounting-start accounting-stop];
dhcp-mac-address [access-request accounting-start accounting-stop];
nas-identifier [access-request accounting-start accounting-stop];
nas-port [accounting-start accounting-stop];
nas-port-id [accounting-start accounting-stop];
nas-port-type [access-request accounting-start accounting-stop];
}
}
}
}
[edit logical-systems isp-bos-metro-12 routing-instances isp-cmbrg-12-32]
interfaces {
lo0 {
unit 0 {
family inet {
address 198.51.100.100/24;
}
}
}
ge-0/0/0 {
vlan-tagging;
unit 0 {
vlan-id 200;
family inet {
unnumbered-address lo0.0;
}
}
}
}
Atributos RADIUS para L2TP
Junos OS admite los siguientes tipos de atributos RADIUS para L2TP:
-
Atributos específicos del proveedor (VSA) de Juniper Networks
-
Pares de atributo-valor (AVP) definidos por el Grupo de trabajo de ingeniería de Internet (IETF)
-
La contabilidad RADIUS detiene e inicia los AVPs
Los atributos RADIUS específicos del proveedor de Juniper Networks se describen en RFC 2865, Marcado de autenticación remota en el servicio de usuario (RADIUS). Estos atributos se encapsulan con el ID de proveedor establecido en el número de ID de Juniper Networks 2636. La tabla 1 enumera las VSA de Juniper Networks que puede configurar para L2TP.
| Nombre del atributo |
Número estándar |
Valor |
|---|---|---|
| Juniper-Primary-DNS |
31 |
Dirección IP |
| Victorias en las primarias de Juniper |
32 |
Dirección IP |
| Juniper-Secondary-DNS |
33 |
Dirección IP |
| Victorias en la secundaria de Juniper |
34 |
Dirección IP |
| Juniper-Interface-ID |
35 |
Cadena |
| Juniper-IP-Pool-Name |
36 |
Cadena |
| Juniper-Keep-Alive |
37 |
Entero |
La tabla 2 enumera los AVP IETF RADIUS compatibles con LT2P.
| Nombre del atributo |
Número estándar |
Valor |
|---|---|---|
| Nombre de usuario |
1 |
Cadena |
| Contraseña de usuario |
2 |
Cadena |
| Contraseña CHAP |
3 |
Cadena |
| Dirección NAS-IP |
4 |
Dirección IP |
| Puerto NAS |
5 |
Entero |
| Tipo de servicio |
6 |
Entero |
| Protocolo enmarcado |
7 |
Entero |
| Dirección IP enmarcada |
8 |
Dirección IP |
| Máscara de red IP enmarcada |
9 |
Dirección IP |
| MTU enmarcada |
12 |
Entero |
| Ruta enmarcada |
22 |
Cadena |
| Tiempo de espera de sesión |
27 |
Entero |
| Tiempo de inactividad |
28 |
Entero |
| Id. de estación llamada |
30 |
Cadena |
| Id. de estación de llamada |
31 |
Cadena |
| CHAP-Challenge |
60 |
Cadena |
| Tipo de puerto NAS |
61 |
Entero |
| Conjunto enmarcado |
88 |
Entero |
La tabla 3 enumera las AVP de inicio de la contabilidad RADIUS compatibles para L2TP.
| Nombre del atributo |
Número estándar |
Valor |
|---|---|---|
| Nombre de usuario |
1 |
Cadena |
| Dirección NAS-IP |
4 |
Dirección IP |
| Puerto NAS |
5 |
Entero |
| Tipo de servicio |
6 |
Entero |
| Protocolo enmarcado |
7 |
Entero |
| Dirección IP enmarcada |
8 |
Dirección IP |
| Id. de estación llamada |
30 |
Cadena |
| Id. de estación de llamada |
31 |
Cadena |
| Tipo de estado de acceso |
40 |
Entero |
| Tiempo de retraso de acceso |
41 |
Entero |
| Acct-Session-ID |
44 |
Cadena |
| Acct-Authentic |
45 |
Entero |
| Tipo de puerto NAS |
61 |
Entero |
| Túnel-cliente-punto de conexión |
66 |
Cadena |
| Punto de conexión de túnel-servidor |
67 |
Cadena |
| Conexión acct-tunnel |
68 |
Cadena |
| Tunnel-Client-Auth-ID |
90 |
Cadena |
| Tunnel-Server-Auth-ID |
91 |
Cadena |
La tabla 4 enumera las AVP de parada de contabilidad RADIUS compatibles para L2TP.
| Nombre del atributo |
Número estándar |
Valor |
|---|---|---|
| Nombre de usuario |
1 |
Cadena |
| Interfaz de circuito cerrado local |
3 |
Cadena |
| Dirección NAS-IP |
4 |
Dirección IP |
| Puerto NAS |
5 |
Entero |
| Tipo de servicio |
6 |
Entero |
| Protocolo enmarcado |
7 |
Entero |
| Dirección IP enmarcada |
8 |
Dirección IP |
| Id. de estación llamada |
30 |
Cadena |
| Id. de estación de llamada |
31 |
Cadena |
| Tipo de estado de acceso |
40 |
Entero |
| Tiempo de retraso de acceso |
41 |
Entero |
| Acct-Input-Octets |
42 |
Entero |
| Acct-Output-Octets |
43 |
Entero |
| Acct-Session-ID |
44 |
Cadena |
| Acct-Authentic |
45 |
Entero |
| Tiempo de sesión de acceso |
46 |
Entero |
| Acct-Input-Packets |
47 |
Entero |
| Acct-Output-Packets |
48 |
Entero |
| Causa de terminación de acceso |
49 |
Entero |
| Acct-Multi-Session-ID |
50 |
Cadena |
| Recuento de vínculos de acceso |
51 |
Entero |
| Tipo de puerto NAS |
61 |
Entero |
| Túnel-cliente-punto de conexión |
66 |
Cadena |
| Punto de conexión de túnel-servidor |
67 |
Cadena |
| Conexión acct-tunnel |
68 |
Cadena |
| Tunnel-Client-Auth-ID |
90 |
Cadena |
| Tunnel-Server-Auth-ID |
91 |
Cadena |