RADIUS¶

Протокол RADIUS обеспечивает централизованную аутентификацию, авторизацию и учет (AAA) доступа пользователей к сетевому оборудованию. Коммутатор выступает клиентом RADIUS, передающим учетные данные на внешний сервер для проверки, после чего предоставляет или блокирует доступ на основе полученного ответа.

Основные сценарии использования:

Централизованная аутентификация администраторов при подключении через VTY (Telnet/SSH);
Регистрация событий входа и выхода для аудита действий пользователей;
Интеграция с корпоративными системами управления доступом и каталогами;
Разделение прав доступа между различными группами администраторов.

Настройка RADIUS целесообразна при наличии более трех коммутаторов в инфраструктуре или при требованиях к централизованному аудиту.

Необходимые условия и предварительные требования¶

Доступность сервера RADIUS по сети;
IP-адрес на коммутаторе для исходящих RADIUS-запросов (source IP);
Общий секретный ключ (shared secret);
Порты UDP 1812 (аутентификация) и 1813 (учет) доступны между коммутатором и сервером.

Назначение применяемой команды/конфигурации¶

Команды в режиме глобальной конфигурации¶

radius-server attribute 32 <line1-253>
radius-server attribute 4 <ipv4_ucast>
radius-server attribute 95 <ipv6_ucast>
radius-server deadtime <1-1440>
radius-server host <word> [acct-port <0-65535>] [auth-port <0-65535>] [key <line1-63>] [retransmit <1-100>] [timeout <1-30>]
radius-server key { encrypted <word96-224> | unencrypted <line1-63> }
radius-server retransmit <1-100>
radius-server timeout <1-30>

no radius-server attribute { 32 | 4 | 95 }
no radius-server deadtime
no radius-server host <word> [acct-port | auth-port]
no radius-server key
no radius-server retransmit
no radius-server timeout

Команды отображения информации¶

1	`show radius-server [statistics]`

Пример конфигурирования¶

Настройка¶

Настройка коммутатора для аутентификации пользователей SSH через RADIUS

# configure terminal
(config)# aaa authentication login ssh radius local
(config)# radius-server deadtime 1
(config)# radius-server attribute 4 7.7.7.7
(config)# radius-server attribute 95 fd00:192:168:1::1
(config)# radius-server attribute 32 test_ind
(config)# radius-server host 192.168.1.107

Полный вывод выполненных конфигураций¶

configure terminal
!
aaa authentication login ssh radius local
!
radius-server deadtime 1
radius-server attribute 4 7.7.7.7
radius-server attribute 95 fd00:192:168:1::1
radius-server attribute 32 test_ind
radius-server host 192.168.1.107

Изучение состояния устройства¶

Просмотр конфигурации¶

# show radius-server statistics

Global RADIUS Server Timeout : 10 seconds
Global RADIUS Server Retransmit : 5 times
Global RADIUS Server Deadtime : 5 minutes
Global RADIUS Server Key : a0f8349e...
Global RADIUS Server Attribute 4 : 7.7.7.7
Global RADIUS Server Attribute 95 : fd00:192:168:1::1
Global RADIUS Server Attribute 32 : test_ind
RADIUS Server #1:
Host name : 192.168.1.107
Auth port : 1812
Acct port : 1813
Timeout :
Retransmit :
Key : c25c421b...
RADIUS Server #1 (192.168.1.107:1812) Authentication Statistics:
Rx Access Accepts: 0 Tx Access Requests: 0
Rx Access Rejects: 0 Tx Access Retransmissions: 0
Rx Access Challenges: 0 Tx Pending Requests: 0
Rx Malformed Acc. Responses: 0 Tx Timeouts: 0
Rx Bad Authenticators: 0
Rx Unknown Types: 0
Rx Packets Dropped: 0
State: Ready
Round-Trip Time: 0 ms
RADIUS Server #1 (192.168.1.107:1813) Accounting Statistics:
Rx Responses: 0 Tx Requests: 0
Rx Malformed Responses: 0 Tx Retransmissions: 0
Rx Bad Authenticators: 0 Tx Pending Requests: 0
Rx Unknown Types: 0 Tx Timeouts: 0
Rx Packets Dropped: 0
State: Ready