Skip to content

Настройка RADIUS

Описание и назначение функции

Протокол RADIUS обеспечивает централизованную аутентификацию, авторизацию и учет (AAA) доступа пользователей к сетевому оборудованию. Коммутатор выступает клиентом RADIUS, передающим учетные данные на внешний сервер для проверки, после чего предоставляет или блокирует доступ на основе полученного ответа.

Основные сценарии использования:

  • Централизованная аутентификация администраторов при подключении через VTY (Telnet/SSH)
  • Регистрация событий входа и выхода для аудита действий пользователей
  • Интеграция с корпоративными системами управления доступом и каталогами
  • Разделение прав доступа между различными группами администраторов

Настройка RADIUS целесообразна при наличии более трех коммутаторов в инфраструктуре или при требованиях к централизованному аудиту.

Необходимые условия и предварительные требования

Для настройки RADIUS требуется:

  • Доступность сервера RADIUS по сети (проверьте командой ping)
  • IP-адрес на коммутаторе для исходящих RADIUS-запросов (source IP)
  • Общий секретный ключ (shared secret), согласованный с администратором сервера RADIUS
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Порты UDP 1812 (аутентификация) и 1813 (учет) доступны между коммутатором и сервером

Примечание: Секретный ключ должен содержать минимум 16 символов для обеспечения достаточной криптостойкости.

Назначение команд конфигурации

Команда Режим Назначение
radius-server <name> ip-address <ip> key <secret> AAA config Создает объект сервера RADIUS с указанием IP-адреса и секретного ключа
radius-server <name> src-ip <ip> AAA config Назначает исходящий IP-адрес для RADIUS-запросов от коммутатора
server-group <name> radius-server <name> AAA config Объединяет серверы RADIUS в группу для использования в методах AAA
aaa authentication login method <name> server-group <group> local AAA config Создает метод аутентификации с fallback на локальную базу
aaa accounting login method <name> server-group <group> AAA config Создает метод учета событий входа/выхода
login authentication aaa method <name> auth-type pap Line config Применяет метод AAA к линиям VTY с типом аутентификации PAP
login accounting aaa method <name> Line config Применяет метод учета к линиям VTY

После создания объекта сервера и включения его в группу изменение параметров сервера (max-retransmit, retransmit-interval, deadtime) невозможно без удаления ссылок.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Проверка доступности сервера RADIUS

SW4#ping 192.168.100.99
 Reply from 192.168.100.99: bytes=64 time<1ms TTL=64

Убедитесь, что сервер RADIUS доступен по сети перед настройкой.

Шаг 2: Вход в режим конфигурации AAA

SW4#configure
SW4(config)#aaa
SW4(config-aaa)#

Переход в режим настройки параметров AAA для создания объектов RADIUS.

Шаг 3: Создание объекта сервера RADIUS

SW4(config-aaa)#radius-server R1 ip-address 192.168.100.99 key citnet123 auth-port default acct-port default

Команда создает сервер R1 с IP 192.168.100.99, секретным ключом и портами по умолчанию (1812/1813).

Шаг 4: Определение исходящего IP-адреса

SW4(config-aaa)#show ip interface
  192.168.100.254/24 vlan4094            3         up/up          primary    static
SW4(config-aaa)#radius-server R1 src-ip 192.168.100.254

Назначение IP-адреса коммутатора для исходящих запросов обязательно для корректной маршрутизации ответов сервера.

Шаг 5: Создание группы серверов

SW4(config-aaa)#server-group RAD1 radius-server R1

Группа позволяет объединить несколько серверов для отказоустойчивости и использовать их в методах AAA.

Шаг 6: Создание методов аутентификации и учета

SW4(config-aaa)#aaa authentication login method VTY_AUTH server-group RAD1 local
SW4(config-aaa)#aaa accounting login method VTY_ACCT server-group RAD1

Метод VTY_AUTH использует группу RAD1 с fallback на локальную базу; VTY_ACCT регистрирует события на сервере.

Шаг 7: Применение методов к линиям VTY

SW4(config)#line vty 1 32
SW4(config-line)#login authentication aaa method VTY_AUTH auth-type pap
SW4(config-line)#login accounting aaa method VTY_ACCT

Применение методов к диапазону VTY-линий (до 32 одновременных сессий) с использованием протокола PAP для передачи учетных данных.

Шаг 8: Проверка конфигурации линий

SW4#show line config
line vty 1 32
 login authentication aaa method VTY_AUTH auth-type pap
 login accounting aaa method VTY_ACCT

Команда отображает примененные параметры аутентификации и учета для всех настроенных линий.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
aaa
radius-server R1 ip-address 192.168.100.99 key citnet123 auth-port default acct-port default
radius-server R1 src-ip 192.168.100.254
server-group RAD1 radius-server R1
aaa authentication login method VTY_AUTH server-group RAD1 local
aaa accounting login method VTY_ACCT server-group RAD1
exit
line vty 1 32
login authentication aaa method VTY_AUTH auth-type pap
login accounting aaa method VTY_ACCT
end

Вывод show running-config:

!
aaa
 radius-server R1 ip-address 192.168.100.99 key $9$v137$b4fb630b61ce80e9260e9a70a83ea159
 radius-server R1 src-ip 192.168.100.254
 server-group RAD1 radius-server R1
 aaa accounting login method VTY_ACCT server-group RAD1
 aaa authentication login method VTY_AUTH server-group RAD1 local
!
line vty 1 32
 length 24
 no monitor
 timeout 10 0
 login authentication aaa method VTY_AUTH auth-type pap
 login accounting aaa method VTY_ACCT
 enable authentication none
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

SW4#show running-config

Обратите внимание на строки:

  • radius-server R1 ip-address — адрес сервера и зашифрованный ключ
  • server-group RAD1 radius-server R1 — принадлежность сервера к группе
  • login authentication aaa method VTY_AUTH — применение метода к линиям

Просмотр параметров работы

Проверка настроенных линий:

SW4#show line config
line vty 1 32
 login authentication aaa method VTY_AUTH auth-type pap    <---- метод AAA применен
 login accounting aaa method VTY_ACCT                      <---- учет включен
 enable authentication none

Проверка IP-интерфейсов для определения source IP:

SW4#show ip interface
  192.168.100.254/24 vlan4094            3         up/up          primary    static     <---- используется как src-ip

Рекомендации выполнения команд и настроек

  1. Параметры отказоустойчивости
    • Настраивайте несколько серверов RADIUS в одной группе для резервирования
    • Параметры max-retransmit, retransmit-interval, deadtime задавайте до добавления сервера в группу
    • Используйте локальную аутентификацию (local) как fallback при недоступности RADIUS
  2. Безопасность секретного ключа
    • Секретный ключ минимум 16 символов с использованием букв, цифр и спецсимволов
    • Избегайте словарных слов и предсказуемых комбинаций
    • Согласуйте ключ с администратором сервера RADIUS до начала настройки
  3. Выбор исходящего IP-адреса
    • Используйте IP-адрес из management VLAN или loopback интерфейса
    • Убедитесь, что выбранный IP доступен для сервера RADIUS (проверьте маршрутизацию)
    • Избегайте использования IP адресов mgt-eth интерфейсов для production сред
  4. Регистрация событий
    • Включайте accounting для аудита действий администраторов
    • Сохраняйте записи учета на сервере RADIUS минимум 90 дней согласно политикам безопасности

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Функциональность RADIUS доступна с первого релиза прошивки для данной серии коммутаторов.

Ссылка на внешнюю документацию

RFC 2865 "Remote Authentication Dial In User Service (RADIUS)". При возникновении вопросов обратитесь к технической поддержке.