Аутентификация RADIUS¶

Описание¶

Чтобы использовать аутентификацию на основе протокола RADIUS, необходимо изменить режим аутентификации в конфигурации. Предыдущие настройки, например, локальные пользователи, по-прежнему остаются в конфигурации, однако они не используются, если режим был изменен с локального на RADIUS. После изменения режима на локальный все локальные учетные записи будут снова использоваться.

set vpn l2tp remote-access authentication mode <local|radius>

Поскольку одиночный RADIUS сервер будет являться единой точкой отказа в случае выхода из строя, можно настроить несколько RADIUS серверов, которые будут последовательно опрашиваться.

set vpn l2tp remote-access authentication radius server 10.0.0.1 key 'foo'
set vpn l2tp remote-access authentication radius server 10.0.0.2 key 'foo'

Примечание

Некоторые RADIUS сервера используют список контроля доступа, который разрешает запросы от определенных RADIUS клиентов. Убедитесь, что ваш маршрутизатор с ПО Факел добавлен в список разрешенных RADIUS клиентов.

Адрес отправителя¶

Если в качестве внутреннего протокола маршрутизации (IGP) используется протокол OSPF, то всегда используется ближайший интерфейс, подключенный к RADIUS серверу. В ПО Факел можно привязать все исходящие RADIUS запросы к одному IP адресу источника, например, к интерфейсу Dummy.

set vpn l2tp remote-access authentication radius source-address 10.0.0.3

Приведенная выше команда будет использовать адрес 10.0.0.3 в качестве исходного IP адреса для всех RADIUS запросов на этом устройстве.

Примечание

Параметр source-address должен быть ассоциирован с одним из интерфейсов ПО Факел. Рекомендуется использовать интерфейс Dummy.

Ограничение полосы пропускания¶

Для ограничения полосы пропускания в части пользователей RADIUS необходимо использовать параметр rate-limit.

set vpn l2tp remote-access authentication radius rate-limit enable

Для ограничения полосы пропускания в протоколе RADIUS предусмотрен параметр Filter-Id, значение которого можно переопределять.

set vpn l2tp remote-access authentication radius rate-limit attribute Download-Speed

Примечание

При задании пользовательских параметров в протоколе RADIUS необходимо объявить их в специальных словарях как стороне RADIUS сервера, так и на стороне RADIUS клиента, которым в нашем примере является маршрутизатор с ПО Факел. Словари RADIUS в ПО Факел располагаются по следующему пути: /usr/share/accel-ppp/radius/.

Расширенные функции RADIUS¶

Значения параметров протокола RADIUS, полученных от сервера, имеют более высокий приоритет по сравнению со значениями, заданными для тех же параметров в конфигурации через Командная строка.

Распределение IP адресов между клиентами¶

Если RADIUS сервер возвращает параметр Framed-IP-Address, то IP адрес в качестве его значения будет выделен клиенту, а параметр ip-pool в конфигурации CLI игнорируется.

Переименование интерфейсов клиентов¶

Если RADIUS сервер возвращает параметр NAS-Port-Id, то в результате туннельные интерфейсы PPP будут переименованы.

Примечание

Значение параметра NAS-Port-Id должно быть длиной не более 16 символов. В противном случае интерфейс не будет переименован.

Список команд¶

Основные настройки¶

• set vpn l2tp remote-access authentication mode <local|radius>¶

• set vpn l2tp remote-access authentication radius server <x.x.x.x> key <text>¶

• set vpn l2tp remote-access authentication radius source-address <x.x.x.x>¶

• set vpn l2tp remote-access authentication radius rate-limit enable¶

• set vpn l2tp remote-access authentication radius rate-limit attribute Download-Speed¶