Настройка Radius на Juniper

Для примера выполню настройку Radius на Juniper MX204.

Проверим установленные лицензии:

show system license usage

У меня отобразилось:

                                 Licenses     Licenses    Licenses    Expiry
  Feature name                       used    installed      needed
  subscriber-accounting                 1            1           0    permanent
  subscriber-authentication             0            1           0    permanent
  subscriber-address-assignment         1            1           0    permanent
  subscriber-vlan                       0            1           0    permanent
  subscriber-ip                         0            1           0    permanent
  service-dc                            0            1           0    permanent
  service-accounting                    0            1           0    permanent
  service-qos                           0            1           0    permanent
  service-ancp                          0            1           0    permanent
  service-cbsp                          0            1           0    permanent
  scale-subscriber                      0        64000           0    permanent
  scale-l2tp                            0         1000           0    permanent

Примеры просмотра текущих настроек Radius:

configure
run show configuration access
run show configuration access profile CLIENTS
edit access
show

Перейдем в иерархию access:

edit access

Создадим профиль например с именем CLIENTS (закомментированные команды можно использовать при необходимости):

set profile CLIENTS authentication-order radius
set profile CLIENTS accounting-order radius
set profile CLIENTS radius authentication-server 192.168.5.2
set profile CLIENTS radius accounting-server 192.168.5.2
set profile CLIENTS radius options nas-identifier juniper-dhcp
#set profile CLIENTS radius options calling-station-id-format mac-address
#set profile CLIENTS radius options revert-interval 3
#set profile CLIENTS radius options client-authentication-algorithm round-robin
#set profile CLIENTS radius options client-accounting-algorithm round-robin

set profile CLIENTS radius-server 192.168.5.2 secret ixnfo.com
set profile CLIENTS radius-server 192.168.5.2 port 1812
set profile CLIENTS radius-server 192.168.5.2 accounting-port 1813
set profile CLIENTS radius-server 192.168.5.2 timeout 20
set profile CLIENTS radius-server 192.168.5.2 retry 5
set profile CLIENTS radius-server 192.168.5.2 source-address 192.168.5.8
#set profile CLIENTS radius-server 192.168.5.2 max-outstanding-requests 500

set profile CLIENTS accounting order radius
set profile CLIENTS accounting immediate-update
set profile CLIENTS accounting coa-immediate-update
set profile CLIENTS accounting update-interval 10
set profile CLIENTS accounting statistics volume-time

set profile CLIENTS service accounting-order radius

#set radius-disconnect 192.168.5.2
exit

#set system radius-server 129.168.5.2 secret ixnfo.com

Опишу некоторые параметры которые я указывал:

  • revert-interval определяет время ожидания juniper после того как radius сервер стал не доступен, по истечению которого juniper повторно проверит соединение. По умолчанию 60 секунд, возможные значения от 0 до 604800.
  • options nas-identifier позволяет указать произвольное имя устройству, которое передастся в Radius параметре NAS-Identifier, необходимо для аутентификации запросов, когда используется несколько Juniper устройств.
  • client-accounting-algorithm и client-authentication-algorithm определяют метод доступа к Radius серверам, по умолчанию «direct» — если первый Radius не работает, то выполняется запрос к второму. При «round-robin» первый запрос выполняется к первому Radius, второй запрос к второму Radius, что позволяет распределить нагрузку на Radius серверы.
  • timeout позволяет указать время в секундах в течении которого juniper будет ожидать ответа на свой запрос от Radius сервера, по умолчанию 3 секунды, допустимое значение от 1 до 1000 секунд.
  • retry позволяет указать количество попыток отправить запрос на Radius сервер, по умолчанию 3, допустимое значение от 1 до 100. Если Radius сервер не ответил спустя все попытки, то Juniper начнет отправлять запросы на другой Radius сервер.
  • source-address — IP адрес который присутствует на Juniper и с которого будут отправляться запросы, также на Radius сервере в фаерволе я разрешаю подключения с этого IP адреса.
  • max-outstanding-requests позволяет ограничить количество выполняющихся запросов к radius серверу, чтобы обезопасить медленный radius сервер от больших нагрузок. Можно не указывать, по умолчанию 1000, возможный диапазон от 0 до 2000.
  • accounting immediate-update включает Acct-Update запросы на Radius сервер.
  • accounting coa-immediate-update включает Acct-Update запросы на Radius сервер.
  • accounting update-interval указывает время в минутах которое juniper ждет прежде чем отправить новое сообщение о статистике сессии, доступные значения с 10 по 1440.
  • accounting statistics volume-time определяет собирать статистику только по времени (time) или объему и времени (volume-time).

В глобальном режиме указываем созданный профиль:

set access-profile CLIENTS

Примеры просмотра статистики:

show network-access aaa statistics accounting
show network-access aaa statistics accounting detail
show network-access aaa statistics address-assignment client
show network-access aaa statistics address-assignment pool 17217
show network-access aaa statistics authentication detail
show network-access aaa statistics radius
show network-access aaa statistics radius detail
show network-access aaa statistics dynamic-requests
show network-access aaa radius-servers detail
show network-access aaa subscribers username 5ca6.e63d.d141
show network-access aaa subscribers session-id 5
show route protocol access-internal
show subscribers
show subscribers vlan-id 220
show subscribers subscriber-state active
show subscribers address 172.17.1.5 detail
show subscribers interface demux0.3221225477 detail
show interfaces demux0.3221225477 extensive
test aaa dhcp ...

Для диагностики можно писать более детальные логи в отдельный файл (только на тестовом устройстве, так как для каждого клиента пишется много детальных логов, что нельзя делать если на устройстве много клиентов):

edit system processes general-authentication-service
set traceoptions file IXNFO size 10m
set traceoptions flag radius
#set traceoptions flag all
#set traceoptions filter user *ixnfo.com
show
exit

Проверим конфигурацию и применим:

commit check
commit

Смотрите также мою статью:
Настройка Juniper MX204

Оставьте комментарий

Добавить комментарий

Больше на IT Blog

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Continue reading