此内容是机器动态翻译的。
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamicerstellt wurde。(Haftungsausschluss)
这篇文章是关于贸易自动化管理动态的。(无责任条款)
Este artículo lo ha traducido una máquina de forma dinámica。(通报法律)
此内容已经过机器动态翻译。放弃
。免責事項
[qh] [qh] [qh]大数据
Este texto foi traduzido automaticamente。(通报法律)
问题继续è statto tradotto dinamicamente contrtraduzione automatica。(附注1))
这篇文章是机器翻译的。
德国机械制造技术有限公司。(Haftungsausschluss)
这篇文章是关于职业自动化的。(无责任条款)
Este artículo ha sido traducido automáticamente。(通报法律)
英文:中文:中文:免責事項
■■■■■■■大数据
我们的目标是实现自动化。(通报法律)
这篇文章已经过机器翻译.放弃
Questo articolo è statto tradotto automaticamente。(附注1))
翻译失败!
配置带持久化的RADIUS负载分担
当今复杂的网络环境通常需要将高容量、高容量的负载平衡配置与健壮的身份验证和授权相协调。应用程序用户可以通过移动接入点(如消费者级DSL或Cable连接、WiFi甚至拨号节点)连接到VPN。这些连接通常使用动态ip,在连接期间可以更改。
如果在Citrix ADC设备上配置RADIUS负载平衡以支持到RADIUS认证服务器的持久客户端连接,则该设备将使用用户登录或指定的RADIUS属性(而不是客户端IP)作为会话ID,将与该用户会话关联的所有连接和记录定向到相同的RADIUS服务器。因此,当客户端IP或WiFi接入点发生变化时,用户可以从移动访问位置登录到您的VPN,而不会遇到断开连接的情况。
要配置RADIUS负载分担和持久,必须先为VPN配置RADIUS认证。有关信息和说明,请参见文档中的认证、授权、审计(AAA)章节AAA应用流量.还要选择负载平衡或内容交换特性作为配置的基础,并确保启用了所选择的特性。这两种特性的配置过程几乎相同。
然后,配置两个负载均衡或两个内容交换虚拟服务器,一个用于处理RADIUS认证流量,另一个用于处理RADIUS计费流量。接下来,配置两个服务,每个服务对应一个负载平衡虚拟服务器,并将每个负载平衡虚拟服务器绑定到其服务。最后,创建一个负载平衡持久性组,并将持久性类型设置为RULE。
启用负载均衡或内容交换特性
要使用负载均衡或内容交换特性,必须首先确保该特性已启用。如果您正在配置一个以前没有配置过的新Citrix ADC设备,那么这两个特性都已经启用,因此您可以跳到下一节。如果您正在配置具有先前配置的Citrix ADC设备,并且不确定您使用的特性是否已启用,则必须现在进行配置。
配置虚拟服务器
开启负载均衡或内容交换特性后,需要配置两台支持RADIUS认证的虚拟服务器:
- RADIUS认证虚拟服务器。此虚拟服务器及其相关服务处理到RADIUS服务器的身份验证流量。身份验证流量由与登录到受保护的应用程序或虚拟专用网络(VPN)的用户相关联的连接组成。
- RADIUS计费虚拟服务器。此虚拟服务器及其相关服务处理到RADIUS服务器的计费连接。计费流量由跟踪受保护的应用程序或VPN上经过身份验证的用户活动的连接组成。
重要的:您必须创建一对负载平衡虚拟服务器或一对内容交换虚拟服务器,以便在RADIUS持久化配置中使用。不能混合使用虚拟服务器类型。
使用命令行接口配置负载均衡虚拟服务器
在命令提示符下输入以下命令创建负载均衡虚拟服务器并验证配置:
添加lb vserver RADIUS <端口> -lbmethod TOKEN -rule <规则> show lb vserver
如果需要配置已有的负载均衡虚拟服务器,请替换已有的负载均衡虚拟服务器添加lb虚拟服务器
命令。设置lb vserver
命令,它接受相同的参数。
使用命令行界面配置内容交换虚拟服务器
在命令提示符下输入以下命令创建内容切换虚拟服务器并验证配置:
添加cs vserver RADIUS <端口> -lbmethod TOKEN -rule <规则> show cs vserver
如果需要配置已有的内容交换虚拟服务器,请替换已有的虚拟服务器添加cs vserver
命令。设置cs vserver
命令,它接受相同的参数。
例子:
添加lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME添加lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME设置lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
通过使用配置实用工具配置负载平衡或内容交换虚拟服务器
导航到流量管理>负载均衡>虚拟服务器或者导航到流量管理>内容交换>虚拟服务器»,并配置虚拟服务器。
配置服务
配置完虚拟服务器后,接下来必须配置两个服务,每个服务对应创建的虚拟服务器。
注意:配置完成后,这些服务将处于DISABLED状态,直到Citrix ADC设备可以连接到RADIUS服务器的身份验证和计费ip并监视其状态。有关说明,请参阅配置服务.
将虚拟服务器绑定到服务
配置好服务之后,接下来必须将创建的每个虚拟服务器绑定到相应的服务。有关说明,请参阅将服务绑定到虚拟服务器.
配置Radius持久化组
在将负载均衡虚拟服务器绑定到相应的服务之后,必须设置RADIUS负载均衡配置以支持持久性。为此,需要配置一个负载平衡持久化组,其中包含RADIUS负载平衡虚拟服务器和服务,并将该负载平衡持久化组配置为使用基于规则的持久化。需要一个持久化组,因为认证和计费虚拟服务器是不同的,并且单个用户的认证和计费消息应该到达相同的RADIUS服务器。持久性组允许在两个虚拟服务器上使用相同的会话。有关说明,请参阅配置持久化组.
配置RADIUS共享密钥
从12.0版本开始,Citrix ADC设备支持RADIUS共享密钥。RADIUS客户端和服务器通过在客户端和服务器上配置共享密钥进行通信。RADIUS客户端和服务器之间的事务通过使用共享密钥进行身份验证。这个秘密也用于对RADIUS包中的一些信息进行加密。
RADIUS共享密钥验证场景
的有效性RADIUS共享密钥Key发生在以下场景:
- RADIUS客户端和RADIUS服务器都配置了RADIUS共享密钥:Citrix ADC设备在客户端和服务器端都使用RADIUS秘钥。如果验证成功,设备允许RADIUS消息通过。否则,丢弃RADIUS消息。
- 没有为RADIUS客户端或RADIUS服务器配置RADIUS共享密钥。Citrix ADC设备丢弃RADIUS消息,因为共享密钥验证不能在没有配置radkey的节点上执行。
- RADIUS客户端和RADIUS服务器都没有配置RADIUS共享密钥。Citrix ADC设备绕过RADIUS密钥验证,并允许RADIUS消息通过。
可以配置默认的RADIUS共享密钥,也可以按客户端或子网进行配置。建议为所有配置了RADIUS策略的部署添加RADIUS共享密钥。设备使用RADIUS包的源IP地址来决定使用哪个共享秘密。您可以这样配置RADIUS客户端和服务器以及相应的共享密钥:
在CLI提示符下,输入:
add radiusNode -radKey
参数
IPaddress
CIDR格式的RADIUS客户端IP地址或子网。设备使用传入请求包的源IP地址来匹配客户端IP地址。不需要配置客户端IP地址,只需配置客户端网络地址即可。匹配最长前缀以标识传入客户端请求的共享密钥。
Radkey
客户端、Citrix ADC设备和服务器之间的共享密钥。最大长度:31。
add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add server radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add service radius_auth_service1 192.168.41.68 RADIUS 1812 add service radius_acct_service1 192.168.41.70 RADIUS 1813 bind lb vserver radius_auth_vs1 radius_acct_vs1 radius_acct_service[1-3] add radiusNode 192.168.41.0/24 -radKey serverkey123 add . server RADIUS 192.168.41.0/24radusnode203.0.113.0 /24 -radkey clientkey123
RADIUS客户端和服务器都必须配置共享密钥。命令是一样的。子网决定共享密钥是用于客户端还是用于服务器。
例如,指定的子网为客户端子网,则共享密钥为该客户端共享。如果指定的子网为服务器子网(如192.168.41.0/24),则共享密钥为服务器子网。
0.0.0.0/0子网表示它是所有客户端和服务器的默认共享密钥。
注意:
RADIUS共享密钥只支持PAP和CHAP两种认证方式。
分享
分享
本预览版产品文档为思杰机密文档。
您同意根据Citrix测试版/技术预览版协议的条款保密本文档。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考,并非提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为Citrix产品购买决策的依据。
如果不同意,选择“不同意退出”。