产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

配置具有持久性的radius负载平衡

2021年8月24日
投稿者:
C

如今复杂的网络环境通常需要通过强大的身份验证和授权协调大容量、大容量负载平衡配置。应用程序用户可以通过移动接入点(例如消费级 DSL 或 Cable 连接、WiFi 甚至拨号节点)连接到 VPN。这些连接通常使用动态 IP,在连接过程中可能会发生变化。

如果在Citrix ADC设备上配置半径负载平衡以支持与半径身份验证服务器的持久客户端连接,则该设备将使用用户登录或指定的半径属性而不是客户端IP作为会话ID、定向与该用户会话到同一个半径服务器。因此,用户可以从移动访问位置登录到您的VPN,而不会在客户端IP或WiFi接入点更改时遇到断开连接。

要使用持久性配置radius负载平衡,必须首先为VPN配置radius身份验证。有关信息和说明,请参阅aaa应用程序流量中的身份验证,授权,审计(aaa) 章节。另外,选择负载平衡或内容切换功能作为配置的基础,并确保已启用所选功能。任一功能的配置过程几乎相同。

然后,配置两个负载平衡或两个内容交换虚拟服务器,一个用于处理半径身份验证流量,另一个用于处理半径记帐流量。接下来,配置两个服务(每个负载平衡虚拟服务器一个),并将每个负载平衡虚拟服务器绑定到其服务。最后,您可以创建负载平衡持久性组,并将持久性类型设置为cate。

启用负载平衡或内容切换功能

要使用“负载平衡”或“内容切换”功能,必须首先确保已启用该功能。如果您正在配置以前未配置的新Citrix ADC设备,则这两项功能都已启用,因此您可以跳到下一部分。如果要在Citrix ADC设备上配置以前的配置,并且不确定所使用的功能是否已启用,则必须立即执行此操作。

配置虚拟服务器

启用负载平衡或内容切换功能后,您必须接下来配置两个虚拟服务器以支持半径身份验证:

  • 半径身份验证虚拟服务器。此虚拟服务器及其关联服务处理radius服务器的身份验证流量。身份验证流量包括与登录到受保护的应用程序或虚拟专用网络(vpn)的用户关联的连接。
  • 半径会计虚拟服务器。此虚拟服务器及其关联的服务处理与radius服务器的记帐连接。记帐流量由跟踪受保护的应用程序或VPN上经过身份验证的用户活动的连接组成。

重要提示:您必须创建一对负载平衡虚拟服务器或一对内容交换虚拟服务器,以便在半径持久性配置中使用。不能混合虚拟服务器类型。

使用命令行界面配置负载平衡虚拟服务器

在命令提示符处键入以下命令以创建负载平衡虚拟服务器并验证配置:

add lb vserver  RADIUS  <端口> -lbmethod TOKEN -rule  show lb vserver

要配置现有的负载平衡虚拟服务器,请将前面的添加lb虚拟服务器设置lb vserver令替换为具有相同参数的命令。

使用命令行界面配置内容交换虚拟服务器

在命令提示符处键入以下命令以创建内容交换虚拟服务器并验证配置:

add cs vserver  RADIUS  <端口> -lbmethod TOKEN -rule  show cs vserver

要配置现有的内容交换虚拟服务器,请将前面的添加cs vserver设置cs vserver令替换为具有相同参数的命令。

示例:

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME set lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME set lb vserver radius_auth_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME

使用配置实用程序配置负载平衡或内容交换虚拟服务器

导航到流量管理 > 负载平衡 > 虚拟服务器,或导航到流量管理 > 内容交换 > 虚拟服务器 >,然后配置虚拟服务器。

配置服务

配置虚拟服务器后,您必须接下来配置两个服务,为您创建的每个虚拟服务器配置一个服务。

注意:配置后,这些服务处于禁用状态,直到Citrix ADC设备可以连接到半径服务器的身份验证和记帐IP并监控其状态。有关说明,请参阅配置服务

将虚拟服务器绑定到服务

配置服务后,您必须接下来将创建的每个虚拟服务器绑定到相应的服务。有关说明,请参阅将服务绑定到虚拟服务器

为半径配置持久性组

将负载平衡虚拟服务器绑定到相应服务后,必须设置半径负载平衡配置以支持持久性。为此,您需要配置包含半径负载平衡虚拟服务器和服务的负载平衡持久性组,并将该负载平衡持久性组配置为使用基于规则的持久性。持久性组是必需的,因为身份验证和记帐虚拟服务器不同,并且单个用户的身份验证和记帐消息应该到达同一个半径服务器。持久性组允许对两个虚拟服务器使用同一会话。有关说明,请参阅配置持久性组

配置radius共享机密

从版本12.0开始,Citrix ADC设备支持RADIUS共享机密。半径客户端和服务器通过使用在客户端和服务器上配置的共享机密相互通信。半径客户端和服务器之间的事务使用共享密钥进行身份验证。此密钥也用于对radius数据包中的某些信息进行加密。

半径共享私有密钥验证方案

半径共享密钥的验证发生在以下情况下:

  • RADIUS共享私有密钥为RADIUS客户端和RADIUS服务器配置:Citrix ADC设备为客户端和服务器端使用RADIUS私有密钥。如果验证成功,设备将允许半径消息通过。否则,它会删除半径消息。
  • 未为radius客户端或radius服务器配置radius共享私有密钥:Citrix ADC设备删除半径消息,因为无法在未配置雷达密钥的节点上执行共享私有密钥验证。
  • 半径共享私有密钥未为半径客户端和半径服务器配置:Citrix ADC设备绕过RADIUS私有密钥验证,并允许RADIUS消息通过。

您可以配置默认radius共享机密,也可以在每个客户端或子网基础上进行配置。建议为配置半径策略的所有部署添加半径共享私有密钥。设备使用radius数据包的源IP地址来决定要使用哪个共享机密。您可以按如下方式配置radius客户端和服务器以及相应的共享密钥:

在cli提示符处,键入:

add radiusNode  -radKey

参数

IP地址

以cidr格式的radius客户端的IP地址或子网。设备使用传入请求数据包的源IP地址来匹配客户端IP地址。您可以配置客户端网络地址,而不是配置客户端IP地址。匹配最长前缀以标识传入客户端请求的共享密钥。

雷德基

客户端,Citrix ADC设备和服务器之间的共享密钥。最大长度:31。

add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME add service radius_auth_service1 192.168.41.68 RADIUS 1812 add service radius_acct_service1 192.168.41.70 RADIUS 1813 bind lb vserver radius_acct_vs1 radius_acct_service1 bind lb vserver radius_acct_vs1 radius_acct_service[1-3] add radiusNode 192.168.41.0/24 -radKey serverkey123 add-radkey clientkey123

必须为radius客户端和服务器配置共享机密。命令是相同的。子网确定共享机密是用于客户端还是用于服务器。

例如,如果指定的子网是客户端子网,则共享密钥为客户端。如果指定的子网是服务器子网(在前面的示例中为192.168.41.0/24),则共享密钥适用于服务器。

0.0.0.0/0的子网意味着它是所有客户端和服务器的默认共享机密。

注意: radius共享机密只支持pap和chap身份验证方法。

配置具有持久性的radius负载平衡
2021年8月24日
投稿者:
C
2021年8月24日
投稿者:
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统公司版权所有。