产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

配置带持久化的RADIUS负载分担

2021年4月19日
由:
C 年代

当今复杂的网络环境通常需要将高容量、高容量的负载平衡配置与健壮的身份验证和授权相协调。应用程序用户可以通过移动接入点(如消费者级DSL或Cable连接、WiFi甚至拨号节点)连接到VPN。这些连接通常使用动态ip,在连接期间可以更改。

如果在Citrix ADC设备上配置RADIUS负载平衡以支持到RADIUS认证服务器的持久客户端连接,则该设备将使用用户登录或指定的RADIUS属性(而不是客户端IP)作为会话ID,将与该用户会话关联的所有连接和记录定向到相同的RADIUS服务器。因此,当客户端IP或WiFi接入点发生变化时,用户可以从移动访问位置登录到您的VPN,而不会遇到断开连接的情况。

要配置RADIUS负载分担和持久,必须先为VPN配置RADIUS认证。有关信息和说明,请参见文档中的认证、授权、审计(AAA)章节AAA应用流量.还要选择负载平衡或内容交换特性作为配置的基础,并确保启用了所选择的特性。这两种特性的配置过程几乎相同。

然后,配置两个负载均衡或两个内容交换虚拟服务器,一个用于处理RADIUS认证流量,另一个用于处理RADIUS计费流量。接下来,配置两个服务,每个服务对应一个负载平衡虚拟服务器,并将每个负载平衡虚拟服务器绑定到其服务。最后,创建一个负载平衡持久性组,并将持久性类型设置为RULE。

启用负载均衡或内容交换特性

要使用负载均衡或内容交换特性,必须首先确保该特性已启用。如果您正在配置一个以前没有配置过的新Citrix ADC设备,那么这两个特性都已经启用,因此您可以跳到下一节。如果您正在配置具有先前配置的Citrix ADC设备,并且不确定您使用的特性是否已启用,则必须现在进行配置。

配置虚拟服务器

开启负载均衡或内容交换特性后,需要配置两台支持RADIUS认证的虚拟服务器:

  • RADIUS认证虚拟服务器。此虚拟服务器及其相关服务处理到RADIUS服务器的身份验证流量。身份验证流量由与登录到受保护的应用程序或虚拟专用网络(VPN)的用户相关联的连接组成。
  • RADIUS计费虚拟服务器。此虚拟服务器及其相关服务处理到RADIUS服务器的计费连接。计费流量由跟踪受保护的应用程序或VPN上经过身份验证的用户活动的连接组成。

重要的:您必须创建一对负载平衡虚拟服务器或一对内容交换虚拟服务器,以便在RADIUS持久化配置中使用。不能混合使用虚拟服务器类型。

使用命令行接口配置负载均衡虚拟服务器

在命令提示符下输入以下命令创建负载均衡虚拟服务器并验证配置:

添加lb vserver  RADIUS  <端口> -lbmethod TOKEN -rule <规则> show lb vserver

如果需要配置已有的负载均衡虚拟服务器,请替换已有的负载均衡虚拟服务器添加lb虚拟服务器命令。设置lb vserver命令,它接受相同的参数。

使用命令行界面配置内容交换虚拟服务器

在命令提示符下输入以下命令创建内容切换虚拟服务器并验证配置:

添加cs vserver  RADIUS  <端口> -lbmethod TOKEN -rule <规则> show cs vserver

如果需要配置已有的内容交换虚拟服务器,请替换已有的虚拟服务器添加cs vserver命令。设置cs vserver命令,它接受相同的参数。

例子:

添加lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME添加lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME设置lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

通过使用配置实用工具配置负载平衡或内容交换虚拟服务器

导航到流量管理>负载均衡>虚拟服务器或者导航到流量管理>内容交换>虚拟服务器»,并配置虚拟服务器。

配置服务

配置完虚拟服务器后,接下来必须配置两个服务,每个服务对应创建的虚拟服务器。

注意:配置完成后,这些服务将处于DISABLED状态,直到Citrix ADC设备可以连接到RADIUS服务器的身份验证和计费ip并监视其状态。有关说明,请参阅配置服务

将虚拟服务器绑定到服务

配置好服务之后,接下来必须将创建的每个虚拟服务器绑定到相应的服务。有关说明,请参阅将服务绑定到虚拟服务器

配置Radius持久化组

在将负载均衡虚拟服务器绑定到相应的服务之后,必须设置RADIUS负载均衡配置以支持持久性。为此,需要配置一个负载平衡持久化组,其中包含RADIUS负载平衡虚拟服务器和服务,并将该负载平衡持久化组配置为使用基于规则的持久化。需要一个持久化组,因为认证和计费虚拟服务器是不同的,并且单个用户的认证和计费消息应该到达相同的RADIUS服务器。持久性组允许在两个虚拟服务器上使用相同的会话。有关说明,请参阅配置持久化组

配置RADIUS共享密钥

从12.0版本开始,Citrix ADC设备支持RADIUS共享密钥。RADIUS客户端和服务器通过在客户端和服务器上配置共享密钥进行通信。RADIUS客户端和服务器之间的事务通过使用共享密钥进行身份验证。这个秘密也用于对RADIUS包中的一些信息进行加密。

RADIUS共享密钥验证场景

的有效性RADIUS共享密钥Key发生在以下场景:

  • RADIUS客户端和RADIUS服务器都配置了RADIUS共享密钥:Citrix ADC设备在客户端和服务器端都使用RADIUS秘钥。如果验证成功,设备允许RADIUS消息通过。否则,丢弃RADIUS消息。
  • 没有为RADIUS客户端或RADIUS服务器配置RADIUS共享密钥。Citrix ADC设备丢弃RADIUS消息,因为共享密钥验证不能在没有配置radkey的节点上执行。
  • RADIUS客户端和RADIUS服务器都没有配置RADIUS共享密钥。Citrix ADC设备绕过RADIUS密钥验证,并允许RADIUS消息通过。

可以配置默认的RADIUS共享密钥,也可以按客户端或子网进行配置。建议为所有配置了RADIUS策略的部署添加RADIUS共享密钥。设备使用RADIUS包的源IP地址来决定使用哪个共享秘密。您可以这样配置RADIUS客户端和服务器以及相应的共享密钥:

在CLI提示符下,输入:

add radiusNode  -radKey

参数

IPaddress

CIDR格式的RADIUS客户端IP地址或子网。设备使用传入请求包的源IP地址来匹配客户端IP地址。不需要配置客户端IP地址,只需配置客户端网络地址即可。匹配最长前缀以标识传入客户端请求的共享密钥。

Radkey

客户端、Citrix ADC设备和服务器之间的共享密钥。最大长度:31。

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add server radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add service radius_auth_service1 192.168.41.68 RADIUS 1812 add service radius_acct_service1 192.168.41.70 RADIUS 1813 bind lb vserver radius_auth_vs1 radius_acct_vs1 radius_acct_service[1-3] add radiusNode 192.168.41.0/24 -radKey serverkey123 add . server RADIUS 192.168.41.0/24radusnode203.0.113.0 /24 -radkey clientkey123

RADIUS客户端和服务器都必须配置共享密钥。命令是一样的。子网决定共享密钥是用于客户端还是用于服务器。

例如,指定的子网为客户端子网,则共享密钥为该客户端共享。如果指定的子网为服务器子网(如192.168.41.0/24),则共享密钥为服务器子网。

0.0.0.0/0子网表示它是所有客户端和服务器的默认共享密钥。

注意:

RADIUS共享密钥只支持PAP和CHAP两种认证方式。

配置带持久化的RADIUS负载分担
2021年4月19日
由:
C 年代
2021年4月19日
由:
C 年代

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统有限公司版权所有。