Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RADIUS сервера для аутентификации

Juniper Networks Ethernet-коммутаторы используют аутентификацию 802.1X, MAC-RADIUS или Captive Portal для обеспечения контроля доступа к устройствам или пользователям. Когда аутентификации 802.1X, MAC-RADIUS или Captive Portal настроены на коммутаторе, конечные устройства оцениваются при начальном подключении с помощью сервера аутентификации (RADIUS). Чтобы использовать аутентификацию 802.1X или MAC RADIUS, необходимо указать соединения на коммутаторе для каждого RADIUS сервера, к которому необходимо подключиться. Дополнительные сведения об этом разделе.

Указание RADIUS серверных подключений на коммутаторах (интерфейс командной строки процедура)

IEEE аутентификация 802.1X и MAC-RADIUS обеспечивает безопасность сети и защищает сети Ethernet LANs от несанкционированного доступа пользователя, блокируя весь трафик на интерфейсе и с устройств на интерфейсе до тех пор, пока учетные данные или MAC-адрес приложения не будут представлены и не будут совпаны на сервере аутентификации (RADIUS сервер). После аутентификации необходимого пользователя коммутатор прекращает блокирование доступа и открывает интерфейс для него.

Чтобы использовать аутентификацию 802.1X или MAC-RADIUS, необходимо указать соединения на коммутаторе для каждого RADIUS сервера, к которому вы будете подключены.

Для настройки нескольких RADIUS, включив в себя radius-server несколько еконфигурирований. При настройке нескольких серверов доступ к серверам происходит в порядке настройки по умолчанию. Первый настроенный сервер является основным. Если основной сервер недостижим, маршрутизатор пытается достичь второго настроенного сервера и так далее. Можно загрузить баланс между запросами, сконфигурив метод round-robin. Серверы стараются по порядку и в порядке круговой проверки до получения допустимого ответа от одного из серверов или до тех пор, пока не будут достигнуты все настроенные пределы повторного запроса.

Можно также настроить полное доменное имя (FQDN), которое будет разрешать один или несколько IP-адресов. См. Указание RADIUS серверных подключений на коммутаторах (интерфейс командной строки процедура) .

Настройка сервера RADIUS на коммутаторе:

  1. Настройте IP-адрес сервера RADIUS, номер порта аутентификации RADIUS сервера и секретный пароль. Секретный пароль коммутатора должен совпадать с секретным паролем на сервере.
    Прим.:

    Выбор порта аутентификации необязателен, а порт 1812 является портом по умолчанию. Однако рекомендуется настроить его во избежание недоразумений, так как некоторые RADIUS могут ссылаться на более старые настройки по умолчанию.

  2. (Необязательно) Укажите IP-адрес, по которому коммутатор идентифицирован RADIUS сервером. Если IP-адрес не указан, сервер RADIUS использует адрес интерфейса, который RADIUS запрос. Мы рекомендуем указать этот IP-адрес, поскольку, если запрос перенаправляется на альтернативный маршрут к серверу RADIUS, интерфейс, передающий запрос, может не быть интерфейсом на коммутаторе.
  3. Настройте порядок аутентификации, чтобы radius сделать первый метод аутентификации:
  4. (Необязательно) Настройте метод, который маршрутизатор использует для доступа RADIUS серверов аутентификации и учета при настройке нескольких серверов:
    • direct— Метод по умолчанию, в котором нет балансировки нагрузки. Первый настроенный сервер является основным; серверы доступны в порядке настройки. Если основной сервер недостижим, маршрутизатор пытается достичь второго настроенного сервера и так далее.

    • round-robin- Метод, который обеспечивает балансировку нагрузки путем ротации запросов маршрутизатора среди списка настроенных RADIUS серверов. Сервер, выбранный для доступа, будет меняться в зависимости от последнего сервера. Первый сервер в списке рассматривается как основной для первого запроса аутентификации, а для второго запроса второй сервер рассматривается как основной и так далее. С помощью этого метода все настроенные серверы получают примерно одинаковое количество запросов в среднем, поэтому ни один сервер не должен обрабатывать все запросы.

      Прим.:

      Когда сервер RADIUS в списке круговой очереди становится недостижимым, для текущего запроса используется следующий достижимый сервер в списке round-robin. Этот же сервер также используется для следующего запроса, поскольку он находится вверху списка доступных серверов. В результате после сбоя используемый сервер загружает два сервера.

    • Чтобы настроить метод, который использует маршрутизатор для доступа к RADIUS учета:

    • Чтобы настроить метод, который маршрутизатор использует для доступа к RADIUS серверам аутентификации:

  5. Создайте профиль и укажите список RADIUS серверов, которые будут связаны с профилем. Например, можно выбрать группу серверов RADIUS географически по городу. Эта функция включает легитарную модификацию всякий раз, когда нужно изменению на другой отправленный сервер аутентификации.
  6. Укажите группу серверов, которая будет использоваться для аутентификации 802.1X или MAC RADIUS путем идентификации имени профиля:
  7. Настройте IP-адрес коммутатора в списке клиентов на RADIUS сервере. Для получения сведений о настройке RADIUS сервера, обратитесь к документации для сервера.

Настройка сервера RADIUS с помощью FQDN

Можно настроить полное доменное имя (FQDN), которое будет разрешать один или несколько IP-адресов. Настройте сервер RADIUS, используя FQDN на уровне edit access radius-server-name hostname [] иерархии. Если FQDN обращается к нескольким адресам, доступ к серверам происходит в порядке настройки по умолчанию. Первый разрешенный адрес является основным сервером. Если первичный сервер недостижим, маршрутизатор пытается получить доступ к второму серверу и так далее. Можно загрузить баланс между запросами, сконфигурив метод round-robin. Серверы стараются по порядку и в порядке круговой проверки до получения допустимого ответа от одного из серверов или до тех пор, пока не будут достигнуты все настроенные пределы повторного запроса.

  1. Настройте FQDN сервера RADIUS, номер RADIUS аутентификации сервера и секретный пароль. Секретный пароль коммутатора должен совпадать с секретным паролем на сервере.
    Прим.:

    Выбор порта аутентификации необязателен, а порт 1812 является портом по умолчанию. Однако рекомендуется настроить его во избежание недоразумений, так как некоторые RADIUS могут ссылаться на более старые настройки по умолчанию.

  2. (Необязательно) Настройте интервал для разрешения проблемы FQDN в качестве адреса сервера. FQDN динамически решается через фиксированные интервалы в зависимости от настроенного значения.
  3. (Необязательно) Укажите IP-адрес, по которому коммутатор идентифицирован RADIUS сервером. Если IP-адрес не указан, сервер RADIUS использует адрес интерфейса, который RADIUS запрос. Мы рекомендуем указать этот IP-адрес, поскольку, если запрос перенаправляется на альтернативный маршрут к серверу RADIUS, интерфейс, передающий запрос, может не быть интерфейсом на коммутаторе.
  4. Настройте порядок аутентификации, чтобы radius сделать первый метод аутентификации:
  5. (Необязательно) Настройте метод, который коммутатор использует для доступа RADIUS серверов аутентификации и учета при настройке нескольких серверов:
    • direct— Метод по умолчанию, в котором нет балансировки нагрузки. Первый настроенный сервер является основным; серверы доступны в порядке настройки. Если основной сервер недостижим, маршрутизатор пытается достичь второго настроенного сервера и так далее.

    • round-robin- Метод, который обеспечивает балансировку нагрузки путем ротации запросов в списке настроенных RADIUS серверов. Сервер, выбранный для доступа, будет меняться в зависимости от последнего сервера. Первый сервер в списке рассматривается как основной для первого запроса аутентификации, а для второго запроса второй сервер рассматривается как основной и так далее. С помощью этого метода все настроенные серверы получают примерно одинаковое количество запросов в среднем, поэтому ни один сервер не должен обрабатывать все запросы.

      Прим.:

      Когда сервер RADIUS в списке круговой очереди становится недостижимым, для текущего запроса используется следующий достижимый сервер в списке round-robin. Этот же сервер также используется для следующего запроса, поскольку он находится вверху списка доступных серверов. В результате после сбоя используемый сервер загружает два сервера.

    • Чтобы настроить метод, который коммутатор использует для доступа к RADIUS учета:

    • Чтобы настроить метод, который коммутатор использует для доступа к RADIUS серверов аутентификации:

  6. Создайте профиль и укажите список RADIUS серверов, которые будут связаны с профилем. Например, можно выбрать группу серверов RADIUS географически по городу. Эта функция позволяет легко вносить изменения при изменении другого набора серверов аутентификации.
  7. Укажите группу серверов, которая будет использоваться для аутентификации 802.1X или MAC RADIUS путем идентификации имени профиля:
  8. Настройте IP-адрес коммутатора в списке клиентов на RADIUS сервере. Для получения сведений о настройке RADIUS сервера, обратитесь к документации для сервера.

Настройка MS-CHAPv2 для поддержки изменения пароля (интерфейс командной строки процедуры)

Junos OS для коммутаторов серии EX позволяет настроить microsoft Corporation реализацию протокола аутентификации challenge handshake version 2 (MS-CHAPv2) на коммутаторе для поддержки изменения пароля. Настройка MS-CHAPv2 на коммутаторе предоставляет пользователям доступ к коммутатору с возможностью изменения пароля по истечении срока действия пароля, при сбросе или изменении при следующем входе.

Информацию о MS-CHAP см. в RFC 2433, расширения CHAP Microsoft PPP.

Прежде чем настраивать MS-CHAPv2 для поддержки изменения пароля, убедитесь, что у вас есть:

Для настройки MS-CHAPv2 укажите следующее:

Для изменения пароля на коммутаторе необходимо иметь необходимое разрешение на доступ.

Настройка MS-CHAPv2 для поддержки изменения пароля

Прежде чем настраивать MS-CHAPv2 для поддержки изменения пароля, убедитесь, что вы сделали следующее:

  • Настроено RADIUS сервера аутентификации.

  • Установите первый перенастройки в порядке аутентификации, чтобы RADIUS сервер.

Для поддержки изменения паролей можно настроить microsoft реализацию протокола аутентификации кжатия вызова версии 2 (MS-CHAPv2) на маршрутизаторе или коммутаторе. Эта функция предоставляет пользователям доступ к маршрутизатору или коммутатору возможность изменения пароля по истечении срока действия пароля, сброса или настройки для изменения при следующем входе.

Чтобы настроить MS-CHAP-v2, включим следующие утверждения на [edit system radius-options] уровне иерархии:

В следующем примере показаны утверждения для настройки протокола пароля MS-CHAPv2, порядка аутентификации пароля и учетных записей пользователей:

Понимание переключения при сбойе сервера и аутентификации на коммутаторах

Juniper Networks Ethernet-коммутаторы используют аутентификацию для реализации контроля доступа в корпоративной сети. Если аутентификация 802.1X, MAC-RADIUS или Captive Portal настроена на коммутаторе, конечные устройства при начальном подключении оцениваются сервером аутентификации (RADIUS). Если конечное устройство настроено на сервере аутентификации, устройству предоставляется доступ к LAN, и коммутатор серии EX открывает интерфейс для разрешения доступа.

Если сервер аутентификации RADIUS, можно указать, как поддерживаются конечные устройства, подключенные к коммутатору. Механизм перенастройки при сбойе сервера чаще всего активируется во время повторнойauthentication, когда сервер, уже настроенный и RADIUS- сервер становится недоступен. Однако, перепад сбой сервера также может быть инициирован первой попыткой о конечном устройстве аутентификации через RADIUS сервер.

При выходе из строя сервера можно указать одно из четырех действий, которые необходимо принять для конечных устройств в ожидании аутентификации по и времени ожидания сервера. Коммутатор может принимать или отключать доступ кпроцентантам или поддерживать доступ, уже предоставленныйпротопросантам, до RADIUS и по иллюминатору. Можно также настроить коммутатор для перемещения запроцентов в определенную VLAN. VLAN уже должна быть настроена на коммутаторе. Настроенное имя VLAN переопределит все атрибуты, отправленные сервером.

  • Разрешить аутентификацию, что позволяет трафику проходить с о конце устройства через интерфейс так, как если бы RADIUS аутентификацию RADIUS.

  • Запретить аутентификацию, предотвращая поток трафика от о конечных устройств через интерфейс. Это значение по умолчанию.

  • Переместите о конечном устройстве в указанную VLAN, если коммутатор получает RADIUS доступа-отклонено. Настроенное имя VLAN переопределит все атрибуты, отправленные сервером. (VLAN должна существовать на коммутаторе.

  • Поддерживать аутентификацию конечных устройств, которые уже имеют доступ к ЛВС и отказывают в аутентификации конечных устройств. Если RADIUS серверы не могут выйти из времени во время повторной аутентификации, предварительно аутентификация конечных устройств будет повторно аутентификацией, и новым пользователям будет отказано в доступе к ЛОКАЛЬНОй сети.

Настройка RADIUS при сбойе сервера (интерфейс командной строки настройки)

Можно настроить параметры перехода к аутентификации, чтобы указать, как поддерживаются конечные устройства, подключенные к коммутатору, если RADIUS сервер аутентификации становится недоступен.

После того, как на коммутаторе была настроена аутентификация 802.1X или MAC RADIUS, необходимо указать первичный сервер аутентификации и один или несколько серверов аутентификации. Если коммутатор не может получить доступ к основному серверу аутентификации, а вторичные серверы аутентификации также недоступны, RADIUS время простоя сервера. Если это происходит, поскольку сервер аутентификации предоставляет или отключает доступ к конечным устройствам в ожидании аутентификации, коммутатор не получает инструкций доступа для конечных устройств, пытающихся получить доступ к LAN, и обычная аутентификация не может быть завершена.

Функцию переключения при сном сервера можно настроить так, чтобы указать действие, которое коммутатор применяет к конечным устройствам в случае недоступности серверов аутентификации. Коммутатор может принимать или отключать доступ кпроцентантам или поддерживать доступ, уже предоставленныйпротопросантам, до RADIUS и по иллюминатору. Можно также настроить коммутатор для перемещения запроцентов в определенную VLAN.

Можно также настроить функцию отказа от сервера для конечных устройств, которые получают RADIUS доступа от сервера аутентификации. Функция отказа от сервера предоставляет ограниченный доступ к локальной сети (обычно только к Интернету) для адаптивных конечных устройств с поддержкой 802.1X и отправленных неверных учетных данных.

Сбой сервера поддерживается для голосового трафика, начиная с 14.1X53-D40 и 15.1R4. Для настройки действий по перепаду при сбойе сервера для клиентов VoIP, посылаемых голосовым трафиком, используйте server-fail-voip утверждение. Для всего трафика данных используйте server-fail утверждение. Метод перехода в другой коммутатор определяется типом трафика, отосланного клиентом. Необитируемые фреймы данных подвержены действию, настраиваемому с их помощью, даже если они server-fail посылаются клиентом VoIP. Маркируемые кадры VLAN VoIP подвержены действию, настроенном с server-fail-voip . Если server-fail-voip конфигурация не настроена, голосовой трафик отброшен.

Прим.:

Отказ от отказа сервера не поддерживается для трафика с тегами VoIP VLAN. Если клиент VoIP начинает аутентификацию с отправки непотагного трафика данных в VLAN, в то время как отказ от сервера действует, клиент VoIP получает доступ к сети VLAN, которая находится в непригодном для обработки сообщении. Если впоследствии тот же клиент отправляет маркированную голосовую трафик, голосовой трафик отброшен.

Если клиент VoIP начинает аутентификацию с отправки меченого голосового трафика, в то время как отказ от сервера действует, voIP-клиенту отказано в доступе к сети VLAN, которая находится в отказе.

Для настройки действий по обработке сбойов сервера для клиентов данных можно использовать следующую процедуру. Для настройки перепада при сбойе сервера для клиентов VoIP, отправляемых голосовым трафиком, используйте server-fail-voip утверждение, а не server-fail утверждение.

Для настройки действий по перепаду после сбойов сервера:

  • Настройте интерфейс для того, чтобы разрешить трафику поступать от разрешающее устройство к LAN при истощении RADIUS сервера (как если бы о конечном устройстве успешно прошли аутентификацию RADIUS сервер):
  • Настройте интерфейс для предотвращения потока трафика от о конечных устройств к LAN (как если бы о конечном устройстве не удалось аутентификация и ему было отказано в доступе RADIUS сервер):
  • Настройте интерфейс для перемещения о конечных устройств в указанную VLAN, если RADIUS время окончания времени сервера:
  • Настройте интерфейс на распознавание уже подключенных конечных устройств в качестве повторной, если во время повторной RADIUS время окончания времени (новым конечным устройствам будет отказано в доступе):

Можно настроить интерфейс, который получает от RADIUS доступа сообщение об отказе от аутентификации, для перемещения конечных устройств, пытающихся получить доступ к LAN на интерфейсе, в VLAN, отклоненную сервером, — заданную VLAN, уже настроенную на коммутаторе.

Для настройки сервера reject fallback VLAN:

Таблица истории выпусков
Версия
Описание
14.1X53-D40
Сбой сервера поддерживается для голосового трафика, начиная с 14.1X53-D40 и 15.1R4.