8.15. Настройка RADIUS

Назначение

RADIUS является одним из методов аутентификации AAA. Это распределенная система клиент/сервер, которая защищает сети от несанкционированного доступа.

Описание

Протокол RADIUS широко используется в сетевых средах. Он обычно используется для встроенных сетевых устройств, таких как маршрутизаторы, модемные серверы, коммутаторы и т.д.

Клиенты RADIUS работают на маршрутизаторах и коммутаторах. Клиенты отправляют запросы аутентификации на центральный сервер RADIUS, который содержит всю информацию об аутентификации пользователей и доступе к сетевым сервисам.

Базовая настройка

Ниже показана настройка аутентификации RADIUS в соответствии с представленной конфигурацией сети.

image

Рис. 8.13 Конфигурация сети

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Включение аутентификации

Switch(config)# aaa new-model
Switch(config)# aaa authentication login default radius local
Switch(config)# aaa authorization exec default none

Шаг 3: Настройка сервера RADIUS

Switch(config)# radius-server host 1.1.1.2 auth-port 1819 key keyname
Switch(config)# radius-server host 2001:1000::1 auth-port 1819 key keyname

Шаг 4: Настройка порта

Switch(config)# interface eth-0-23
Switch(config-if)# no switchport
Switch(config-if)# ip address 1.1.1.1/24
Switch(config-if)# quit

Примечание

Возможна настройка подключения к серверу RADIUS через mgmt-порт (команда radius-server host mgmt-if).

Шаг 5: Настройка аутентификации

Switch(config)# line vty 0 15
Switch(config-line)# login authentication default
Switch(config-line)# privilege level 4
Switch(config-line)# no line-password

Шаг 6: Выход из режима “Global config”

Switch(config-line)# end

Шаг 7: Проверка

Вывод статуса аутентификации:

Switch# show aaa status
aaa status:
     Authentication enable

Вывод метода аутентификации:

Switch# show aaa method-lists authentication
authen queue=AAA_ML_AUTHEN_LOGIN
Name = default state = ALIVE :   radius local

Средства тестирования серверов RADIUS

Описание

Данный механизм обеспечивает возможность проверки работоспособности сервера RADIUS непосредственно с коммутатора по протоколу PAP с использованием тестовой учетной записи. Для тестирования используется команда show test-access. Чтобы увидеть ответ сервера, нужно включить логирование в консоль.

Пример настройки на коммутаторе

На коммутаторе настраивается сервер RADIUS, доступный через management-интерфейс.

Шаг 1: Настройка сервера RADIUS

Switch(config)# radius-server host mgmt-if 10.0.64.241 key Aquarius123

Шаг 2: Проверка корректности введенной информации

Switch# show dot1x
802.1X Port-Based Authentication Disabled
  RADIUS server address: 10.0.64.241:1812
  RADIUS server in dead list: No
  Next radius message ID: 9

Шаг 3: Включение вывода на консоль отладочной информации для получения статуса ответа сервера RADIUS

Switch#terminal moonitor

Шаг 4: Тестирование сервера RADIUS

Switch# show test-access radius-server mgmt-if 10.0.64.241 user admin3 password Aquarius123

Шаг 5: Вывод параметров запроса

Test Radius Server Access
=========================
Server              : 10.0.64.241
UDP port            : 1812
Source IP Address   : Default
Secret              : Aquarius123
Client Username     : admin3
Client Password     : Aquarius123
Status              : Access-Request was sent to Radius

Шаг 6: Варианты ответа сервера RADIUS

В зависимости от статуса сервера RADIUS, может быть получен один из нескольких вариантов ответа: “user accepted”, “user rejected”, “Radius server is not available”.

Switch# Aug  4 16:59:18 P9-SW1 8021X-3: Status: Radius server 10.0.64.241 is available, user accepted
Switch# Aug  4 17:00:58 P9-SW1 8021X-3: Status: Radius server 10.0.64.241 is available, user rejected
Switch# Aug  4 17:05:56 P9-SW1 8021X-3: Status: Radius server 10.0.64.241 is not available

Поддержка работы с несколькими серверами RADIUS

Описание

Отказоустойчивость серверов RADIUS может быть реализована как для сценария административного доступа ААА (aaa new-model), так и проводного доступа 802.1x/MAB (dot1x system-auth-ctrl) Запрос отправляется на тот сервер RADIUS, который находится выше в конфигурационном файле и не находится в dead list. В конфигурационном файле сервера RADIUS располагаются в соответствии c очередностью добавления в конфигурацию: чем раньше был добавлен сервер RADIUS в терминале, тем выше он находится в списке. При активации балансировки запросы будут отправляться поочередно (round-robin) на все сервера RADIUS, не находящиеся в dead list.

Настройка двух серверов RADIUS в режиме отказоустойчивости

Шаг 1: Настройка двух серверов RADIUS

Switch(config)# radius-server host mgmt-if 10.0.64.241 key Aquarius123
Switch(config)# radius-server host mgmt-if 10.0.64.247 key Aquarius123

Примечание

RADIUS запросы будут отправляться на первый сервер, не находящийся в dead list.

Шаг 2: Проверка статуса серверов RADIUS

Switch# show dot1x
802.1X Port-Based Authentication Disabled
  RADIUS server address: 10.0.64.241:1812
  RADIUS server in dead list: No
  Next radius message ID: 9
  RADIUS server address: 10.0.64.247:1812
  RADIUS server in dead list: No
  Next radius message ID: 4

Примечание

В случае попадания первого сервера в dead list запросы начнут отправляться на второй сервер RADIUS.

Шаг 3: Проверка статуса серверов RADIUS

Switch# show dot1x
802.1X Port-Based Authentication Disabled
  RADIUS server address: 10.0.64.241:1812
  RADIUS server in dead list: Yes
  Next radius message ID: 14
  RADIUS server address: 10.0.64.247:1812
  RADIUS server in dead list: No
  Next radius message ID: 5

Включение балансировки между серверами RADIUS

Для активации балансировки между серверами RADIUS необходимо ввести команду radius-server algorithm load-balancing.

Шаг 1: Включение балансировки

Switch(config)# radius-server algorithm load-balancing