API Guide
• (可选)默认情况下,交换机使用默认 VRF 实例与 RADIUS 服务器进行通信。您可以选择在 CONFIGURATION 模式下配置非默
认或管理 VRF 实例以进行 RADIUS 身份验证。
radius-server vrf management
radius-server vrf vrf-name
配置 RADIUS 服务器
OS10(config)# radius-server host 1.2.4.5 key secret1
OS10(config)# radius-server retransmit 10
OS10(config)# radius-server timeout 10
OS10(config)# ip radius source-interface mgmt 1/1/1
为非默认 VRF 配置 RADIUS 服务器
OS10(config)# ip vrf blue
OS10(conf-vrf)# exit
OS10(config)# radius-server vrf blue
查看 RADIUS 服务器配置
OS10# show running-configuration
...
radius-server host 1.2.4.5 key 9
3a95c26b2a5b96a6b80036839f296babe03560f4b0b7220d6454b3e71bdfc59b
radius-server retransmit 10
radius-server timeout 10
ip radius source-interface mgmt 1/1/1
...
删除 RADIUS 服务器
OS10# no radius-server host 1.2.4.5
Identifier
GUID-FEFA7B2C-019D-4FDA-8647-F0F8D13FC80E
Version 2
Status Translation approved
RADIUS over TLS 身份验证
传统的基于 RADIUS 的用户身份验证通过 UDP 运行,并使用 MD5 消息摘要算法来实现安全通信。要在 RADIUS 用户身份验证交换中
提供增强的安全性,RFC 6614 定义了通过传输层安全 (TLS) 协议进行的 RADIUS。RADIUS over TLS 可在 TLS 连接中保护整个身份验
证交换,并通过以下方式提供额外的安全性:
• 使用公钥基础设施 (PKI) 证书可以执行客户端和服务器的相互身份验证
• 加密整个身份验证交换,以便用户 ID 和密码均不易发现
RADIUS over TLS 身份验证需要在证书认证机构上配置 X.509v3 PKI 证书并安装在交换机上。有关详细信息,包括 RADIUS over TLS
的完整使用情形,请参阅 X.509v3 证书。
注: 如果您使用 crypto fips enable 命令启用 FIPS,RADIUS over TLS 在 FIPS 模式下运行。在 FIPS 模式中,RADIUS
over TLS 需要在交换机上安装符合 FIPS 的证书和密钥对。在非 FIPS 模式中,RADIUS over TLS 需要将证书安装为非 FIPS
证书。有关如何安装与 FIPS 兼容和非 FIPS 证书的信息,请参阅请求和安装主机证书。
要配置 RADIUS over TLS 用户身份验证,请使用 radius-server host tls 命令。输入服务器的 IP 地址或主机名称,以及用于
验证 RADIUS 主机上的 OS10 交换机的共享密钥。您必须输入要与 RADIUS over TLS 身份验证一起使用的 X.509v3 安全配置文件的名
称 — 请参阅安全配置文件。您可以以纯文本或加密格式输入身份验证密钥。默认情况下,RADIUS over TLS 连接使用 TCP 端口
2083,并且要求身份验证密钥为 radsec。您可以更改服务器上的 TCP 端口号。
• 在 CONFIGURATION 模式下的 RADIUS 服务器上配置 RADIUS over TLS 身份验证。
radius-server host {hostname | ip-address} tls security-profile profile-name
[auth-port port-number] key {0 authentication-key | 9 authentication-key | authentication-
key}
962
安全性