Аутентификация RADIUS#
Описание#
Чтобы использовать аутентификацию на основе протокола RADIUS, необходимо изменить режим аутентификации в конфигурации. Предыдущие настройки, например, локальные пользователи, по-прежнему остаются в конфигурации, однако они не используются, если режим был изменен с локального на RADIUS. После изменения режима на локальный все локальные учетные записи будут снова использоваться.
set vpn l2tp remote-access authentication mode <local|radius>
Поскольку одиночный RADIUS сервер будет являться единой точкой отказа в случае выхода из строя, можно настроить несколько RADIUS серверов, которые будут последовательно опрашиваться.
set vpn l2tp remote-access authentication radius server 10.0.0.1 key 'foo'
set vpn l2tp remote-access authentication radius server 10.0.0.2 key 'foo'
Примечание
Некоторые RADIUS сервера используют список контроля доступа, который разрешает запросы от определенных RADIUS клиентов. Убедитесь, что ваш маршрутизатор с ПО Факел добавлен в список разрешенных RADIUS клиентов.
Адрес отправителя#
Если в качестве внутреннего протокола маршрутизации (IGP) используется протокол OSPF, то всегда используется ближайший интерфейс, подключенный к RADIUS серверу. В ПО Факел можно привязать все исходящие RADIUS запросы к одному IP адресу источника, например, к интерфейсу Dummy.
set vpn l2tp remote-access authentication radius source-address 10.0.0.3
Приведенная выше команда будет использовать адрес 10.0.0.3 в
качестве исходного IP адреса для всех RADIUS запросов на этом устройстве.
Примечание
Параметр source-address должен быть ассоциирован с
одним из интерфейсов ПО Факел. Рекомендуется
использовать интерфейс Dummy.
Ограничение полосы пропускания#
Для ограничения полосы пропускания в части пользователей RADIUS
необходимо использовать параметр rate-limit.
set vpn l2tp remote-access authentication radius rate-limit enable
Для ограничения полосы пропускания в протоколе RADIUS
предусмотрен параметр Filter-Id, значение которого можно переопределять.
set vpn l2tp remote-access authentication radius rate-limit attribute Download-Speed
Примечание
При задании пользовательских параметров в протоколе RADIUS
необходимо объявить их в специальных словарях как стороне RADIUS
сервера, так и на стороне RADIUS клиента, которым в нашем примере
является маршрутизатор с ПО Факел.
Словари RADIUS в ПО Факел располагаются по
следующему пути: /usr/share/accel-ppp/radius/.
Расширенные функции RADIUS#
Значения параметров протокола RADIUS, полученных от сервера, имеют более высокий приоритет по сравнению со значениями, заданными для тех же параметров в конфигурации через Командная строка.
Распределение IP адресов между клиентами#
Если RADIUS сервер возвращает параметр Framed-IP-Address,
то IP адрес в качестве его значения будет выделен клиенту, а
параметр ip-pool в конфигурации CLI игнорируется.
Переименование интерфейсов клиентов#
Если RADIUS сервер возвращает параметр NAS-Port-Id, то в
результате туннельные интерфейсы PPP будут переименованы.
Примечание
Значение параметра NAS-Port-Id должно быть длиной
не более 16 символов. В противном случае интерфейс не будет переименован.
Список команд#
Основные настройки#
- • set vpn l2tp remote-access authentication mode <local|radius>#
- • set vpn l2tp remote-access authentication radius server <x.x.x.x> key <text>#
- • set vpn l2tp remote-access authentication radius source-address <x.x.x.x>#
- • set vpn l2tp remote-access authentication radius rate-limit enable#
- • set vpn l2tp remote-access authentication radius rate-limit attribute Download-Speed#