サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

RADIUS over TLS(RADSEC)

date_range 19-Jan-25

802.1X または MAC RADIUS 認証を使用するには、接続する RADIUS サーバーごとにスイッチ上の接続を指定する必要があります。RADIUS over TLS は、トランスポート セキュア レイヤー(TLS)プロトコルを使用して、RADIUS 要求のセキュアな通信を提供するように設計されています。RADIUS over TLS は RADSEC とも呼ばれ、通常の RADIUS トラフィックを TLS 経由で接続されたリモート RADIUS サーバーにリダイレクトします。RADSec を使用すると、RADIUS 認証、認証、およびアカウンティング データを、信頼できないネットワーク間で安全に渡すことができます。

RADSEC は、伝送制御プロトコル (TCP) と組み合わせて TLS を使用します。このトランスポートプロファイルは、もともとRADIUS伝送に使用されていたユーザーデータグラムプロトコル(UDP)よりも強力なセキュリティを提供します。RADIUS over UDP は、攻撃に対して脆弱な MD5 アルゴリズムを使用して共有秘密パスワードを暗号化します。RADSEC は、暗号化された TLS トンネル上で RADIUS パケット ペイロードを交換することで、MD5 への攻撃のリスクを軽減します。

注:

TCP プロトコルの制限により、RADSEC は転送中の RADIUS メッセージを 255 個までに制限できます。

RADSEC 宛先の設定

RADSEC サーバーは、RADSEC 宛先オブジェクトによって表されます。RADSEC を設定するには、RADSEC サーバーを宛先として定義し、RADIUS トラフィックをその宛先に転送する必要があります。

RADSEC サーバーを宛先として定義するには、[edit access]階層レベルで radsec ステートメントを使用します。RADSEC 宛先は、一意の数値 ID によって識別されます。同じ RADSEC サーバを指す異なるパラメータで、複数の RADSEC 宛先を設定できます。

標準のRADIUSサーバーからRADSECサーバーにトラフィックをリダイレクトするには、RADIUSサーバーをRADSEC宛先に関連付けます。たとえば、RADIUS サーバー 10.1.1.1 は、RADSEC 宛先 10に関連付けられています。

content_copy zoom_out_map
access {
    radius-server 10.1.1.1 {
        secret zzz;
        radsec-destination 10;
    }
}

また、RADIUS サーバーをアクセス プロファイル内の RADSEC 宛先に関連付けることもできます。たとえば、プロファイル acc_profileの RADIUS サーバー 10.2.2.2は、RADSEC 宛先10に関連付けられます。

content_copy zoom_out_map
access {
    profile acc_profile {
        secret zzz;
        radsec-destination 10;
    }
}
注:

複数のRADIUSサーバーを同じRADSEC宛先にリダイレクトできます。

RADSECを設定するには、次の手順に従います。

  1. 一意の ID と IP アドレスを使用して RADSEC 宛先を構成します。
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number address server-address
    
  2. RADSEC サーバーのポートを構成します。ポートが設定されていない場合は、デフォルトの RADSEC ポート 2083 が使用されます。
    content_copy zoom_out_map
    [edit access radsec destination id-number]
    user@host# port port-number
    
  3. RADIUSサーバーからRADSEC宛先にトラフィックをリダイレクトします。
    content_copy zoom_out_map
    [edit access]
    user@host# radius-server server-address radsec-destination id-number
    

TLS 接続パラメータの設定

TLS接続は、RADIUSメッセージの交換のための暗号化、認証、およびデータ整合性を提供します。TLS は、証明書と秘密キーと公開キーの交換ペアに依存して、RADSEC クライアントとサーバー間のデータ転送をセキュリティで保護します。RADSEC デスティネーションは、Junos PKI インフラストラクチャーから動的に取得されたローカル証明書を使用します。

RADSEC を使用可能にするには、ローカル証明書の名前を指定する必要があります。ローカル証明書および認証局(CA)の設定については、 デジタル証明書の設定を参照してください。

  1. TLS通信に使用するローカル証明書の名前を指定してください。
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number tls-certificate certificate-name
    
  2. RADSEC サーバーの認証済み名を構成します。
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number tls-peer-name cert-server-name
    
  3. (オプション)TLS 接続タイムアウトを構成します (デフォルトは 5 秒)。
    content_copy zoom_out_map
    [edit access]
    user@host# radsec destination id-number tls-timeout seconds
    

例:シンプルな RADSEC 構成

次の例は、1 つの RADIUS サーバーと 1 つの RADSEC 宛先を持つ単純な RADSEC 設定です。RADIUSトラフィックは、RADIUSサーバー10.1.1.1からRADSEC宛先10にリダイレクトされます。

content_copy zoom_out_map
access {
    radius-server 10.1.1.1 {
        secret zzz;
        radsec-destination 10;
    }
    radsec {
        destination 10 {
            address 10.10.1.1;
            max-tx-buffers 1000; 
            id-reuse-timeout 30; 
            port 1777;
            source-address 10.1.1.2;
            tls-certificate my_cert;
            tls-min-version { v1.1 | v1.2 };
            tls-peer-name x0.radsec.com
            tls-timeout 10; 
        }
    }
}

監視証明書

ローカル証明書取得の状態と統計に関する情報を表示するには:show network-access radsec local-certificate.

RADSEC 宛先の監視

RADSEC 宛先の統計情報を表示するには、次の手順を実行します。show network-access radsec statistics.

RADSEC 宛先の状態を表示するには、次の手順を実行します。show network-access radsec state.

external-footer-nav