Для примера выполню настройку Radius на Juniper MX204.
Проверим установленные лицензии:
show system license usage
У меня отобразилось:
Licenses Licenses Licenses Expiry
Feature name used installed needed
subscriber-accounting 1 1 0 permanent
subscriber-authentication 0 1 0 permanent
subscriber-address-assignment 1 1 0 permanent
subscriber-vlan 0 1 0 permanent
subscriber-ip 0 1 0 permanent
service-dc 0 1 0 permanent
service-accounting 0 1 0 permanent
service-qos 0 1 0 permanent
service-ancp 0 1 0 permanent
service-cbsp 0 1 0 permanent
scale-subscriber 0 64000 0 permanent
scale-l2tp 0 1000 0 permanent
Примеры просмотра текущих настроек Radius:
configure
run show configuration access
run show configuration access profile CLIENTS
edit access
show
Перейдем в иерархию access:
edit access
Создадим профиль например с именем CLIENTS (закомментированные команды можно использовать при необходимости):
set profile CLIENTS authentication-order radius
set profile CLIENTS accounting-order radius
set profile CLIENTS radius authentication-server 192.168.5.2
set profile CLIENTS radius accounting-server 192.168.5.2
set profile CLIENTS radius options nas-identifier juniper-dhcp
#set profile CLIENTS radius options calling-station-id-format mac-address
#set profile CLIENTS radius options revert-interval 3
#set profile CLIENTS radius options client-authentication-algorithm round-robin
#set profile CLIENTS radius options client-accounting-algorithm round-robin
set profile CLIENTS radius-server 192.168.5.2 secret ixnfo.com
set profile CLIENTS radius-server 192.168.5.2 port 1812
set profile CLIENTS radius-server 192.168.5.2 accounting-port 1813
set profile CLIENTS radius-server 192.168.5.2 timeout 20
set profile CLIENTS radius-server 192.168.5.2 retry 5
set profile CLIENTS radius-server 192.168.5.2 source-address 192.168.5.8
#set profile CLIENTS radius-server 192.168.5.2 max-outstanding-requests 500
set profile CLIENTS accounting order radius
set profile CLIENTS accounting immediate-update
set profile CLIENTS accounting coa-immediate-update
set profile CLIENTS accounting update-interval 10
set profile CLIENTS accounting statistics volume-time
set profile CLIENTS service accounting-order radius
#set radius-disconnect 192.168.5.2
exit
#set system radius-server 129.168.5.2 secret ixnfo.com
Опишу некоторые параметры которые я указывал:
- revert-interval определяет время ожидания juniper после того как radius сервер стал не доступен, по истечению которого juniper повторно проверит соединение. По умолчанию 60 секунд, возможные значения от 0 до 604800.
- options nas-identifier позволяет указать произвольное имя устройству, которое передастся в Radius параметре NAS-Identifier, необходимо для аутентификации запросов, когда используется несколько Juniper устройств.
- client-accounting-algorithm и client-authentication-algorithm определяют метод доступа к Radius серверам, по умолчанию «direct» — если первый Radius не работает, то выполняется запрос к второму. При «round-robin» первый запрос выполняется к первому Radius, второй запрос к второму Radius, что позволяет распределить нагрузку на Radius серверы.
- timeout позволяет указать время в секундах в течении которого juniper будет ожидать ответа на свой запрос от Radius сервера, по умолчанию 3 секунды, допустимое значение от 1 до 1000 секунд.
- retry позволяет указать количество попыток отправить запрос на Radius сервер, по умолчанию 3, допустимое значение от 1 до 100. Если Radius сервер не ответил спустя все попытки, то Juniper начнет отправлять запросы на другой Radius сервер.
- source-address — IP адрес который присутствует на Juniper и с которого будут отправляться запросы, также на Radius сервере в фаерволе я разрешаю подключения с этого IP адреса.
- max-outstanding-requests позволяет ограничить количество выполняющихся запросов к radius серверу, чтобы обезопасить медленный radius сервер от больших нагрузок. Можно не указывать, по умолчанию 1000, возможный диапазон от 0 до 2000.
- accounting immediate-update включает Acct-Update запросы на Radius сервер.
- accounting coa-immediate-update включает Acct-Update запросы на Radius сервер.
- accounting update-interval указывает время в минутах которое juniper ждет прежде чем отправить новое сообщение о статистике сессии, доступные значения с 10 по 1440.
- accounting statistics volume-time определяет собирать статистику только по времени (time) или объему и времени (volume-time).
В глобальном режиме указываем созданный профиль:
set access-profile CLIENTS
Примеры просмотра статистики:
show network-access aaa statistics accounting
show network-access aaa statistics accounting detail
show network-access aaa statistics address-assignment client
show network-access aaa statistics address-assignment pool 17217
show network-access aaa statistics authentication detail
show network-access aaa statistics radius
show network-access aaa statistics radius detail
show network-access aaa statistics dynamic-requests
show network-access aaa radius-servers detail
show network-access aaa subscribers username 5ca6.e63d.d141
show network-access aaa subscribers session-id 5
show route protocol access-internal
show subscribers
show subscribers vlan-id 220
show subscribers subscriber-state active
show subscribers address 172.17.1.5 detail
show subscribers interface demux0.3221225477 detail
show interfaces demux0.3221225477 extensive
test aaa dhcp ...
Для диагностики можно писать более детальные логи в отдельный файл (только на тестовом устройстве, так как для каждого клиента пишется много детальных логов, что нельзя делать если на устройстве много клиентов):
edit system processes general-authentication-service
set traceoptions file IXNFO size 10m
set traceoptions flag radius
#set traceoptions flag all
#set traceoptions filter user *ixnfo.com
show
exit
Проверим конфигурацию и применим:
commit check
commit
Смотрите также мою статью:
Настройка Juniper MX204