Для установки параметров сервера RADIUS используется команда глобального режима конфигурации radius-server host. В этой команде обязательно должно быть указано имя или ip-адрес сервера RADIUS.
Так как RADIUS работает по UDP, то параметр single-connection отсутствует.
С помощью команды глобального режима конфигурации radius-server key устанавливаем ключ для шифрования сообщений между сервером сетевого доступа и сервером защиты.
Так как в сети может быть несколько серверов защиты, то можно сформировать отдельный ключ шифрования для каждого сервера в опциях команды radius-server host.
Теперь необходимо в списках методов аутентификации определить аутентификацию с помощью сервера защиты RADIUS. Для этого используется команда aaa authentication login. В поле имени списка можно установить «default», так как это упрощает процесс использования ААА.
В завершении, данный список применяется к соответствующим интерфейсам.
radius-server host name [ auth-port port] [ acct-port port] [ key string]
name | Имя или ip-адрес сервера защиты |
auth-port port | (опционально) определяет номер порта UDP для направления запросов аутентификации. По умолчанию - порт хххх. Если 0 – то данный сервер для обслуживания этих запросов не используется. |
acct-port port | (опционально) определяет номер порта UDP для направления запросов аудита. По умолчанию - порт хххх. Если 0 – то данный сервер для обслуживания этих запросов не используется. |
key string | (опционально) определяет ключ шифрования (этот ключ должен соответствовать ключу сервера RADIUS). Можно изменить ключ, заданный командой глобальной конфигурации radius-server key, для данного сервера. |
|
|
radius-server key key
key key | определяет ключ шифрования (этот ключ должен соответствовать ключу сервера RADIUS). Задается для всех серверов RADIUS, определенных на данном маршрутизаторе глобально. |
aaa authentication login default group radius
Пример настройки удаленной аутентификации
Надо настроить удаленную аутентификацию AAA с использованием серверов защиты TACACS+ и RADIUS на подключение к маршрутизатору R1 по telnet через последовательный интерфейс.
Локальная база:
user12345 пароль pass12345.
admin1 пароль adminpass.
В списке методов аутентификации проверять сначала RADIUS, а затем TACACS+. В качестве резервного метода аутентификации использовать локальную базу данных.
Установить режим аутентификации для последовательного интерфейса PAP.
IP-адрес сервера защиты TACACS+ 10.1.1.100.
Ключ шифрования – test12345.
IP-адрес сервера защиты RADIUS 10.1.1.101.
Ключ шифрования – test54321.