Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS sobre TLS (RADSEC)

Para usar la autenticación 802.1X o MAC RADIUS, debe especificar las conexiones en el conmutador para cada servidor RADIUS al que se conecte. RADIUS sobre TLS está diseñado para proporcionar una comunicación segura de solicitudes RADIUS mediante el protocolo de capa segura de transporte (TLS). RADIUS sobre TLS, también conocido como RADSEC, redirige el tráfico radius regular a servidores RADIUS remotos conectados a través de TLS. RADSec permite que los datos de autenticación, autorización y contabilidad RADIUS se pasen de manera segura a través de redes que no son de confianza.

RADSEC usa TLS en combinación con el Protocolo de control de transmisión (TCP). Este perfil de transporte ofrece una seguridad más fuerte que el Protocolo de datagramas de usuario (UDP) que se utilizó originalmente para la transmisión RADIUS. RADIUS sobre UDP cifra la contraseña secreta compartida mediante el algoritmo MD5, que es vulnerable a los ataques. RADSEC mitiga el riesgo de ataques a MD5 mediante el intercambio de cargas de paquetes RADIUS a través de un túnel TLS cifrado.

Nota:

Debido a las limitaciones del protocolo TCP, RADSEC no puede tener más de 255 mensajes RADIUS en vuelo.

Configurar el destino RADSEC

Los servidores RADSEC están representados por objetos de destino RADSEC. Para configurar RADSEC, debe definir el servidor RADSEC como destino y dirigir el tráfico RADIUS a ese destino.

El servidor RADSEC se define como un destino mediante la radsec instrucción en el [edit access] nivel jerárquico. Los destinos RADSEC se identifican mediante un ID numérico único. Puede configurar varios destinos RADSEC con diferentes parámetros que apuntan al mismo servidor RADSEC.

Para redirigir el tráfico de un servidor RADIUS estándar a un servidor RADSEC, asocie el servidor RADIUS con un destino RADSEC. Por ejemplo, el servidor 10.1.1.1 RADIUS está asociado con el destino 10RADSEC:

También puede asociar el servidor RADIUS con un destino RADSEC dentro de un perfil de acceso. Por ejemplo, el servidor 10.2.2.2 RADIUS en el perfil acc_profile está asociado con el destino 10RADSEC:

Nota:

Puede redirigir más de un servidor RADIUS al mismo destino RADSEC.

Para configurar RADSEC:

  1. Configure el destino RADSEC con un ID único y una dirección IP.
  2. Configure el puerto del servidor RADSEC. Si no se configura ningún puerto, se utiliza el puerto RADSEC predeterminado 2083.
  3. Redirigir el tráfico desde un servidor RADIUS al destino RADSEC:

Configurar parámetros de conexión TLS

La conexión TLS proporciona cifrado, autenticación e integridad de datos para el intercambio de mensajes RADIUS. TLS se basa en certificados y pares de intercambio de claves públicas y privadas para proteger la transmisión de datos entre el cliente y el servidor RADSEC. El destino RADSEC usa certificados locales que se adquieren dinámicamente de la infraestructura PKI de Junos.

Para habilitar RADSEC, debe especificar el nombre del certificado local. Para obtener más información sobre cómo configurar el certificado local y la entidad de certificación (CA), consulte Configuración de certificados digitales.

  1. Especifique el nombre del certificado local que se utilizará para las comunicaciones TLS.
  2. Configure el nombre certificado del servidor RADSEC.
  3. (Opcional) Configure el tiempo de espera de conexión TLS (el valor predeterminado es de 5 segundos).

Ejemplo: Configuración radSEC simple

El siguiente ejemplo es una configuración RADSEC simple con un servidor RADIUS y un destino RADSEC. El tráfico RADIUS se redirige del servidor RADIUS 10.1.1.1 al destino RADSEC 10.

Certificados de supervisión

Para ver información sobre el estado y las estadísticas de la adquisición local de certificados: show network-access radsec local-certificate.

Monitoreo de destinos de RADSEC

Para ver las estadísticas de los destinos radsec: show network-access radsec statistics.

Para ver el estado de los destinos RADSEC: show network-access radsec state.