8.1. Общие сведения о RADIUS
8.1.1. Общие сведения о AAA и RADIUS
AAA - сокращение от Authentication, Authorization and Accounting (Аутентификация, Авторизация, учёт) и используется при предоставлении доступа в сеть, к управлению оборудованием и управления этим доступом. RADIUS - это один из сетевых клиент-серверных протоколов, используемый для централизованного управления авторизацией, аутентификацией и учетов при запросе доступа пользователей к различным сетевым службам. Клиент RADIUS обычно используется на сетевом устройстве для реализации AAA совместно с протоколом 802.1x. Сервер RADIUS хранит базу данных для AAA и связывается с клиентом RADIUS через протокол RADIUS, который является наиболее распространенным протоколом в рамках AAA.
8.1.2. Общие сведения о AAA и RADIUS
Протокол RADIUS использует UDP для транспорта. Формат заголовка пакета показан ниже.
Рисунок 57.1 - Формат пакета RADIUS
Code – тип пакета RADIUS, возможные значения для данного поля:
1 - Access-Request
2 - Access-Accept
3 - Access-Reject
4 - Accounting-Request
5 - Accounting-Response
11 - Access-Challenge
Identifier – идентификатор для пакетов запроса и ответа.
Length – длина всего пакета RADIUS.
Authenticator – поле используется для проверки пакетов, полученных от RADIUS-сервера, или для передачи зашифрованных паролей. Поле разделено на две части: аутентификатор запроса и аутентификатор ответа.
Attribute – поле используется для передачи детальной информации о ААА. Значение поля формируется из значений полей Type, Length, и Value:
Type field - тип атрибута, значение типов атрибутов определены в RFC 2865;
Length field – длина атрибута;
Value field – значение атрибута.
8.2. Конфигурация RADIUS
- Включить функцию аутентификации и учета;
- Настроить ключ сервера RADIUS;
- Настроить параметры RADIUS сервера;
- Настроить параметры сервиса RADIUS;
- Настроить адреса RADIUS NAS.
- Включить функцию аутентификации и учета:
Команда | Описание |
|---|---|
aaa enable no aaa enable ! В режиме глобальной конфигурации | Включить функцию аутентификации AAA. Команда no отключает эту функцию. |
aaa-accounting enable no aaa-accounting enable ! В режиме глобальной конфигурации | Включить функцию учета AAA. Команда no отключает эту функцию. |
aaa-accounting update {enable| disable} ! В режиме глобальной конфигурации | Включить или выключить (по-умолчанию) периодическую отправку данных об онлайн-пользователях. |
2. Настроить ключ сервера RADIUS:
Команда | Описание |
|---|---|
radius-server key {0 | 7} <string> no radius-server key ! В режиме глобальной конфигурации | Задать глобальный ключ RADIUS-сервера. Команда no удаляет заданный ключ. |
3. Настроить параметры RADIUS сервера:
Команда | Описание |
|---|---|
radius-server authentication host {<ipv4-address> | <ipv6-address>} [port <port-number>] [key {0 | 7} <string>] [primary] [access-mode {dot1x | telnet}] no radius-server authentication host {<ipv4-address> | <ipv6-address>} ! В режиме глобальной конфигурации | Настроить параметры RADIUS-сервера <ipv4-address> | <ipv6-address> для аутентификации. Если параметр [key {0 | 7} <string>] не будет задан, то будет использован параметр заданный глобально. Команда no удаляет заданный сервер. |
radius-server accounting host {<ipv4-address> | <ipv6-address>} [port <port-number>] [key {0 | 7} <string>] [primary] no radius-server accounting host {<ipv4-address> | <ipv6-address>} ! В режиме глобальной конфигурации | Настроить параметры RADIUS-сервера <ipv4-address> | <ipv6-address> для учета. Если параметр [key {0 | 7} <string>] не будет задан, то будет использован параметр заданный глобально. Команда no удаляет заданный сервер. |
4. Настроить параметры сервиса RADIUS:
Команда | Описание |
|---|---|
radius-server dead-time <minutes> no radius-server dead-time ! В режиме глобальной конфигурации | Задать время восстановления статуса RADIUS-сервера после того, как коммутатор обнаружил его недоступность, в минутах. Команда no восстанавливает значение по-умолчанию - 5 минут. |
radius-server retransmit <retries> no radius-server retransmit ! В режиме глобальной конфигурации | Задать число попыток <retries> повторной отправки пакетов на RADIUS-сервер. Команда no восстанавливает значение по-умолчанию - 3 попытки. |
radius-server timeout <seconds> no radius-server timeout ! В режиме глобальной конфигурации | Задать время ожидания ответа от сервера перед повторной отправкой пакета, в секундах. Команда no восстанавливает значение по-умолчанию - 3 секунды. |
radius-server accounting-interim-update timeout <seconds> no radius-server accounting-interim-update timeout ! В режиме глобальной конфигурации | Задать интервал отправки сообщений обновления учета пользователей онлайн, в секундах. Команда no восстанавливает значение по-умолчанию - 300 секунд. |
5. Настроить адреса RADIUS NAS:
Команда | Описание |
|---|---|
radius nas-ipv4 <ip-address> no radius nas-ipv4 ! В режиме глобальной конфигурации | Задать IPv4-адрес <ip-address> источника пакетов RADIUS, отправляемых коммутатором. Команда no устанавливает в качестве источника адрес IP-интерфейса, с которого были отправлены пакеты (по-умолчанию |
radius nas-ipv6 <ip-address> no radius nas-ipv6 ! В режиме глобальной конфигурации | Задать IPv6-адрес <ip-address> источника пакетов RADIUS, отправляемых коммутатором. Команда no устанавливает в качестве источника адрес IP-интерфейса, с которого были отправлены пакеты (по-умолчанию |
8.3. Пример конфигурации RADIUS
Рисунок 57.2 - Конфигурация RADIUS
ПК подключен к коммутатору, который имеет IP-адрес 10.0.0.2 и подключен к серверу аутентификации RADIUS. IP-адрес сервера 10.0.0.3, используемый порт для аутентификации по-умолчанию - 1812, для учета - 1812 . Доступ на коммутатор по telnet контролируется сервером аутентификации.
Конфигурация выглядит следующим образом:
Switch(config)#radius-server authentication host 10.0.0.3 Switch(config)#radius-server accounting host 10.0.0.3 Switch(config)#radius-server key test Switch(config)#aaa enable Switch(config)#aaa-accounting enable Switch(config)#authentication line vty login radius
8.4. Устранение проблем при конфигурации RADIUS
Убедитесь, что:
- IP-связность коммутатора с сервером RADIUS присутствует;
- ключ аутентификации на коммутаторе совпадает с ключом на RADIUS сервере;
- подключение осуществляется к правильному RADIUS серверу.
- Подробная отладочная информация может быть отображена после применения команды debug aaa.