概述
本文档概述了在身份验证尝试期间如何使用 radius 配置文件中定义的 radius 服务器。
详细
帕洛阿尔托网络设备通过 RADIUS 授权请求数据包尝试将套接字请求发送到列表中的每个服务器。身份验证尝试的服务器顺序基于所配置的顺序。
举个例子
三 radius 服务器配置文件配置在设备 > 服务器配置文件 > 半径:
- 服务器 1-10.46.48.95
- 服务器 2-10.46.48.96
- 服务器 3- 10.46.48.97
配置中 RADIUS 服务器的配置文件如下所示:
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-1 秘密 AQ==TA0rlR/6vW+aEEidxA/DVuwdJtU=sh7o9V7gbphma3iMCxtP/Q==
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-1 端口1812
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-1 ip 地址10.46.48.95
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-2 秘密 AQ==TA0rlR/6vW+aEEidxA/DVuwdJtU=sh7o9V7gbphma3iMCxtP/Q==
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-2 端口1812
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-2 ip 地址10.46.48.96
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-3 秘密 AQ==TA0rlR/6vW+aEEidxA/DVuwdJtU=sh7o9V7gbphma3iMCxtP/Q==
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-3 端口1812
设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-3 ip 地址10.46.48.97
设置 vsys vsys2 服务器轮廓半径 radius-auth-1 checkgroup no
设置 vsys vsys2 服务器-配置文件半径 radius-auth-1 超时3
设置 vsys vsys2 服务器-配置文件半径 radius-auth-1 重试次数3
帕洛阿尔托网络设备将以3秒的间隔连续三次尝试每台服务器。间隔基于配置的超时值 (默认为3秒)。
- 将 3 radius 授权请求数据包传输到 server-1
- 将 3 radius 授权请求数据包传输到 server-2
- 将 3 radius 授权请求数据包传输到 server-3
带有数据包捕获的示例方案:
Server-3 是唯一响应 RADIUS 身份验证请求的服务器。在此方案中, 下面的示例输出的超时间隔为1秒。下面的数据包捕获示例显示了对 server-1 和 server-2 进行的三次尝试。成功地尝试了 server-3:
02:44:26.870888 IP 10.46.32.5. 55990 > 10.46.48.95.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:27.871910 IP 10.46.32.5. 55990 > 10.46.48.95.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:28.872957 IP 10.46.32.5. 55990 > 10.46.48.95.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:29.874032 IP 10.46.32.5. 55990 > 10.46.48.96.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:30.875082 IP 10.46.32.5. 55990 > 10.46.48.96.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:31.876130 IP 10.46.32.5. 55990 > 10.46.48.96.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:32.877199 IP 10.46.32.5. 55990 > 10.46.48.97.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66
02:44:32.878431 IP 10.46.48.97.radius > 10.46.32.5. 55990: 半径, 接入接受 (2), 编号: 0x23 长度:37
另一个示例方案:
Server-2 是唯一响应 RADIUS 授权请求的服务器。
在这种情况下, 帕洛阿尔托网络设备将三个授权请求发送到 server-1, 然后在超时间隔内向 server-2 传输。如果 server-2 响应, 则不再进行任何尝试。
所有者: jye