Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS по TLS (RADSEC)

RADIUS TLS разработан для обеспечения безопасной связи между RADIUS запросами с помощью протокола TLS транспортной безопасности. RADIUS TLS, также известного как RADSEC, перенаправляет обычный RADIUS трафик на удаленные RADIUS серверы, подключенные через TLS. RADSec RADIUS аутентификацию, авторизацию и учетные данные для безопасной передачи через неподтверченные сети.

ПРОТОКОЛ RADSEC использует TLS в сочетании с протоколом управления передачей (TCP). Этот транспортный профиль обеспечивает более сильную защиту, чем протокол датаграмм пользователя (UDP), который первоначально использовался для RADIUS данных. RADIUS UDP шифрует общий секретный пароль с помощью алгоритма MD5, который уязвим для атак. RADSEC снижает риск атак на MD5 путем обмена RADIUS пакетами через зашифрованный туннель TLS.

Прим.:

Из-за ограничений протокола TCP протокол RADSEC может иметь не более 255 RADIUS при пролете.

Настройка назначения RADSEC

Серверы RADSEC представлены объектами назначения RADSEC. Для настройки RADSEC необходимо определить сервер RADSEC в качестве RADIUS назначения.

Сервер RADSEC определяется как место назначения с помощью утверждения radsec на [edit access] уровне иерархии. Пункты назначения RADSEC идентифицированы с помощью уникального цифрового ID. Можно настроить несколько назначений RADSEC с различными параметрами, которые указывают на один и тот же сервер RADSEC.

Чтобы перенаправить трафик со стандартного RADIUS сервера на сервер RADSEC, связываем RADIUS сервера с назначением RADSEC. Например, сервер RADIUS с 1.1.1.1 назначением RADSEC: 10

Можно также связать сервер RADIUS с назначением RADSEC внутри профиля доступа. Например, RADIUS профиль связан с назначением 2.2.2.2acc_profile10 RADSEC:

Прим.:

Можно перенаправить несколько RADIUS в то же место назначения RADSEC.

Настройка RADSEC:

  1. Настройте назначение RADSEC с уникальным ID и IP-адресом.
  2. Настройка порта сервера RADSEC. Если порт не настроен, используется по умолчанию порт 2083 RADSEC.
  3. Перенаправление трафика с RADIUS сервера к месту назначения RADSEC:

Настройка параметров TLS-подключения

TLS-соединение обеспечивает шифрование, аутентификацию и целостность данных для обмена RADIUS сообщений. Для обеспечения защищенной передачи данных между клиентом и сервером RADSEC TLS использует сертификаты и пары обмена частными ключами. Назначение RADSEC использует локальные сертификаты, динамически полученные из Junos PKI.

Чтобы включить RADSEC, необходимо указать имя локального сертификата. Для получения сведений о настройке локального сертификата и центр сертификации (CA) см. "Настройка цифровых сертификатов".

  1. Укажите имя локального сертификата, который будет использоваться для TLS-связи.
  2. Настройте сертифицированное имя сервера RADSEC.
  3. (Необязательно) Настройте время, затев TLS-подключение (по умолчанию – 5 секунд).

Примере: Простая конфигурация RADSEC

В следующем примере простая конфигурация RADSEC с одним RADIUS сервером и одним местом назначения RADSEC. RADIUS трафик перенаправляется с RADIUS 1.1.1.1 на место назначения 10 RADSEC.

Сертификаты мониторинга

Чтобы просмотреть информацию о состоянии и статистике получения локального сертификата: show network-access radsec local-certificate.

Мониторинг мест назначения RADSEC

Для просмотра статистики по местам назначения RADSEC: show network-access radsec statistics.

Чтобы просмотреть состояние назначений RADSEC: show network-access radsec state.