- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-AAA配置
本章節下載: 01-AAA配置 (1.44 MB)
1.8.1 Telnet用戶的HWTACACS認證、授權、計費配置
1.8.2 Telnet用戶的local認證、HWTACACS授權、RADIUS計費配置
1.8.3 SSH/Telnet用戶的RADIUS認證和授權配置
1.8.4 Portal用戶的RADIUS認證、授權和計費配置
1.8.5 802.1X用戶的RADIUS認證、授權和計費配置
1.8.6 Telnet用戶的HWTACACS級別切換認證配置
l S7500E係列交換機為分布式設備,支持IRF(Intelligent Resilient Framework)特性,兩台配置了IRF功能的S7500E交換機連接之後即形成一台分布式IRF設備。S7500E係列交換機未形成IRF時,適用本手冊中的“分布式設備”的情況;形成IRF後則適用本手冊中的“分布式IRF設備”的情況。有關IRF特性的詳細介紹,請參見“IRF配置指導”中的“IRF配置”。
l EA單板(例如:LSQ1GP12EA、LSQ1TGX1EA)不支持IPv6特性。
AAA是Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機製,提供了認證、授權、計費三種安全功能。
l 認證:確認訪問網絡的遠程用戶的身份,判斷訪問者是否為合法的網絡用戶。
l 授權:對不同用戶賦予不同的權限,限製用戶可以使用的服務。例如用戶成功登錄服務器後,管理員可以授權用戶對服務器中的文件進行訪問和打印操作。
l 計費:記錄用戶使用網絡服務中的所有操作,包括使用的服務類型、起始時間、數據流量等,它不僅是一種計費手段,也對網絡安全起到了監視作用。
AAA一般采用客戶機/服務器結構,客戶端運行於NAS(Network Access Server,網絡接入服務器)上,服務器上則集中管理用戶信息。NAS對於用戶來講是服務器端,對於服務器來說是客戶端。AAA的基本組網結構如圖1-1。
圖1-1 AAA基本組網結構示意圖
當用戶想要通過某網絡與NAS建立連接,從而獲得訪問其它網絡的權利或取得某些網絡資源的權利時,NAS起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器(RADIUS服務器或HWTACACS服務器),RADIUS協議或HWTACACS協議規定了NAS與服務器之間如何傳遞用戶信息。
圖1-1的AAA基本組網結構中有兩台服務器,用戶可以根據實際組網需求來決定認證、授權、計費功能分別由使用哪種協議類型的服務器來承擔。例如,可以選擇HWTACACS服務器實現認證和授權,RADIUS服務器實現計費。
當然,用戶也可以隻使用AAA提供的一種或兩種安全服務。例如,公司僅僅想讓員工在訪問某些特定資源的時候進行身份認證,那麼網絡管理員隻要配置認證服務器就可以了。但是若希望對員工使用網絡的情況進行記錄,那麼還需要配置計費服務器。
AAA可以通過多種協議來實現,目前設備支持基於RADIUS協議、HWTACACS協議來實現AAA,在實際應用中,最常使用RADIUS協議。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。該協議定義了RADIUS的報文格式及其消息傳輸機製,並規定使用UDP作為封裝RADIUS報文的傳輸層協議(UDP端口1812、1813分別作為認證、計費端口)。
RADIUS最初僅是針對撥號用戶的AAA協議,後來隨著用戶接入方式的多樣化發展,RADIUS也適應多種用戶接入方式,如以太網接入、ADSL接入。它通過認證授權來提供接入服務,通過計費來收集、記錄用戶對網絡資源的使用。
l 客戶端:RADIUS客戶端一般位於NAS設備上,可以遍布整個網絡,負責傳輸用戶信息到指定的RADIUS服務器,然後根據從服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
l 服務器:RADIUS服務器一般運行在中心計算機或工作站上,維護相關的用戶認證和網絡服務訪問信息,負責接收用戶連接請求並認證用戶,然後給客戶端返回所有需要的信息(如接受/拒絕認證請求)。
RADIUS服務器通常要維護三個數據庫,如圖1-2所示:
圖1-2 RADIUS服務器的組成
l “Users”:用於存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置信息)。
l “Clients”:用於存儲RADIUS客戶端的信息(如接入設備的共享密鑰、IP地址等)。
l “Dictionary”:用於存儲RADIUS協議中的屬性和屬性值含義的信息。
RADIUS客戶端和RADIUS服務器之間認證消息的交互是通過共享密鑰的參與來完成的,並且共享密鑰不能通過網絡來傳輸,增強了信息交互的安全性。另外,為防止用戶密碼在不安全的網絡上傳遞時被竊取,在傳輸過程中對密碼進行了加密。
RADIUS服務器支持多種方法來認證用戶,如基於PPP的PAP、CHAP認證。另外,RADIUS服務器還可以作為一個代理,以RADIUS客戶端的身份與其它的RADIUS認證服務器進行通信,負責轉發RADIUS認證和計費報文。
用戶、RADIUS客戶端和RADIUS服務器之間的交互流程如圖1-3所示。
圖1-3 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用戶發起連接請求,向RADIUS客戶端發送用戶名和密碼。
(2) RADIUS客戶端根據獲取的用戶名和密碼,向RADIUS服務器發送認證請求包(Access-Request),其中的密碼在共享密鑰的參與下由MD5算法進行加密處理。
(3) RADIUS服務器對用戶名和密碼進行認證。如果認證成功,RADIUS服務器向RADIUS客戶端發送認證接受包(Access-Accept);如果認證失敗,則返回認證拒絕包(Access-Reject)。由於RADIUS協議合並了認證和授權的過程,因此認證接受包中也包含了用戶的授權信息。
(4) RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入,則RADIUS客戶端向RADIUS服務器發送計費開始請求包(Accounting-Request)。
(5) RADIUS服務器返回計費開始響應包(Accounting-Response),並開始計費。
(6) 用戶開始訪問網絡資源;
(7) 用戶請求斷開連接,RADIUS客戶端向RADIUS服務器發送計費停止請求包(Accounting-Request)。
(8) RADIUS服務器返回計費結束響應包(Accounting-Response),並停止計費。
(9) 用戶結束訪問網絡資源。
RADIUS采用UDP報文來傳輸消息,通過定時器管理機製、重傳機製、備用服務器機製,確保RADIUS服務器和客戶端之間交互消息的正確收發。RADIUS報文結構如圖1-4所示。
圖1-4 RADIUS報文結構
各字段的解釋如下:
(1) Code域
長度為1個字節,用於說明RADIUS報文的類型,如表1-1所示。
表1-1 Code域的主要取值說明
|
Code |
報文類型 |
報文說明 |
|
1 |
Access-Request認證請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,由Server判斷是否接入該用戶。該報文中必須包含User-Name屬性,可選包含NAS-IP-Address、User-Password、NAS-Port等屬性 |
|
2 |
Access-Accept認證接受包 |
方向Server->Client,如果Access-Request報文中的所有Attribute值都可以接受(即認證通過),則傳輸該類型報文 |
|
3 |
Access-Reject認證拒絕包 |
方向Server->Client,如果Access-Request報文中存在任何無法被接受的Attribute值(即認證失敗),則傳輸該類型報文 |
|
4 |
Accounting-Request計費請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,請求Server開始/停止計費,由該報文中的Acct-Status-Type屬性區分計費開始請求和計費結束請求 |
|
5 |
Accounting-Response計費響應包 |
方向Server->Client,Server通知Client已經收到Accounting-Request報文,並且已經正確記錄計費信息 |
(2) Identifier域
長度為1個字節,用於匹配請求包和響應包,以及檢測在一段時間內重發的請求包。類型一致的請求包和響應包的Identifier值相同。
(3) Length域
長度為2個字節,表示RADIUS數據包(包括Code、Identifier、Length、Authenticator和Attribute)的長度,範圍從20~4096。超過Length域的字節將作為填充字符被忽略。如果接收到的包的實際長度小於Length域的值時,則包會被丟棄。
(4) Authenticator域
長度為16個字節,用於驗證RADIUS服務器的應答報文,另外還用於用戶密碼的加密。Authenticator包括兩種類型:Request Authenticator和Response Authenticator。
(5) Attribute域
不定長度,用於攜帶專門的認證、授權和計費信息,提供請求和響應報文的配置細節。Attribute可包括多個屬性,每一個屬性都采用(Type、Length、Value)三元組的結構來表示。
l 類型(Type),1個字節,取值為1~255,用於表示屬性的類型,表1-2列出了RADIUS認證、授權、計費常用的屬性。
l 長度(Length),表示該屬性(包括類型、長度和屬性)的長度,單位為字節。
l 屬性值(Value),表示該屬性的信息,其格式和內容由類型和長度決定,最大長度為253字節。
|
屬性編號 |
屬性名稱 |
屬性編號 |
屬性名稱 |
|
1 |
User-Name |
45 |
Acct-Authentic |
|
2 |
User-Password |
46 |
Acct-Session-Time |
|
3 |
CHAP-Password |
47 |
Acct-Input-Packets |
|
4 |
NAS-IP-Address |
48 |
Acct-Output-Packets |
|
5 |
NAS-Port |
49 |
Acct-Terminate-Cause |
|
6 |
Service-Type |
50 |
Acct-Multi-Session-Id |
|
7 |
Framed-Protocol |
51 |
Acct-Link-Count |
|
8 |
Framed-IP-Address |
52 |
Acct-Input-Gigawords |
|
9 |
Framed-IP-Netmask |
53 |
Acct-Output-Gigawords |
|
10 |
Framed-Routing |
54 |
(unassigned) |
|
11 |
Filter-ID |
55 |
Event-Timestamp |
|
12 |
Framed-MTU |
56-59 |
(unassigned) |
|
13 |
Framed-Compression |
60 |
CHAP-Challenge |
|
14 |
Login-IP-Host |
61 |
NAS-Port-Type |
|
15 |
Login-Service |
62 |
Port-Limit |
|
16 |
Login-TCP-Port |
63 |
Login-LAT-Port |
|
17 |
(unassigned) |
64 |
Tunnel-Type |
|
18 |
Reply-Message |
65 |
Tunnel-Medium-Type |
|
19 |
Callback-Number |
66 |
Tunnel-Client-Endpoint |
|
20 |
Callback-ID |
67 |
Tunnel-Server-Endpoint |
|
21 |
(unassigned) |
68 |
Acct-Tunnel-Connection |
|
22 |
Framed-Route |
69 |
Tunnel-Password |
|
23 |
Framed-IPX-Network |
70 |
ARAP-Password |
|
24 |
State |
71 |
ARAP-Features |
|
25 |
Class |
72 |
ARAP-Zone-Access |
|
26 |
Vendor-Specific |
73 |
ARAP-Security |
|
27 |
Session-Timeout |
74 |
ARAP-Security-Data |
|
28 |
Idle-Timeout |
75 |
Password-Retry |
|
29 |
Termination-Action |
76 |
Prompt |
|
30 |
Called-Station-Id |
77 |
Connect-Info |
|
31 |
Calling-Station-Id |
78 |
Configuration-Token |
|
32 |
NAS-Identifier |
79 |
EAP-Message |
|
33 |
Proxy-State |
80 |
Message-Authenticator |
|
34 |
Login-LAT-Service |
81 |
Tunnel-Private-Group-id |
|
35 |
Login-LAT-Node |
82 |
Tunnel-Assignment-id |
|
36 |
Login-LAT-Group |
83 |
Tunnel-Preference |
|
37 |
Framed-AppleTalk-Link |
84 |
ARAP-Challenge-Response |
|
38 |
Framed-AppleTalk-Network |
85 |
Acct-Interim-Interval |
|
39 |
Framed-AppleTalk-Zone |
86 |
Acct-Tunnel-Packets-Lost |
|
40 |
Acct-Status-Type |
87 |
NAS-Port-Id |
|
41 |
Acct-Delay-Time |
88 |
Framed-Pool |
|
42 |
Acct-Input-Octets |
89 |
(unassigned) |
|
43 |
Acct-Output-Octets |
90 |
Tunnel-Client-Auth-id |
|
44 |
Acct-Session-Id |
91 |
Tunnel-Server-Auth-id |
l 表1-2中所列的屬性由RFC 2865、RFC 2866、RFC 2867和RFC 2868所定義。
l 常用RADIUS標準屬性的介紹請參見“1.1.7 1. 常用RADIUS標準屬性”。
RADIUS協議具有良好的可擴展性,RFC 2865中定義的26號屬性(Vendor-Specific)用於設備廠商對RADIUS進行擴展,以實現標準RADIUS沒有定義的功能。
設備廠商可以封裝多個自定義的“(Type、Length、Value)”子屬性來擴展RADIUS。如圖1-5所示,26號屬性報文內封裝的子屬性包括以下四個部分:
l Vendor-ID,表示廠商代號,最高字節為0,其餘3字節的編碼見RFC 1700。H3C RADIUS擴展屬性的介紹請參見“1.1.7 2. H3C RADIUS擴展屬性”。
l Vendor-Type,表示子屬性類型。
l Vendor-Length,表示子屬性長度。
l Vendor-Data,表示子屬性的內容。
HWTACACS(HW Terminal Access Controller Access Control System,HW終端訪問控製器控製係統協議)是在TACACS(RFC 1492)基礎上進行了功能增強的安全協議。該協議與RADIUS協議類似,采用客戶端/服務器模式實現NAS與HWTACACS服務器之間的通信。
HWTACACS協議主要用於PPP(Point-to-Point Protocol,點對點協議)和VPDN(Virtual Private Dial-up Network,虛擬私有撥號網絡)接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權以及對終端用戶執行的操作進行記錄。設備作為HWTACACS的客戶端,將用戶名和密碼發給HWTACACS服務器進行驗證,用戶驗證通過並得到授權之後可以登錄到設備上進行操作,HWTACACS服務器上會記錄用戶對設備執行過的命令。
HWTACACS協議與RADIUS協議都實現了認證、授權、計費的功能,它們有很多相似點:結構上都采用客戶端/服務器模式;都使用公共密鑰對傳輸的用戶信息進行加密;都有較好的靈活性和可擴展性。兩者之間存在的主要區別如表1-3所示。
表1-3 HWTACACS協議和RADIUS協議區別
|
HWTACACS協議 |
RADIUS協議 |
|
使用TCP,網絡傳輸更可靠 |
使用UDP,網絡傳輸效率更高 |
|
除了HWTACACS報文頭,對報文主體全部進行加密 |
隻對驗證報文中的密碼字段進行加密 |
|
協議報文較為複雜,認證和授權分離,使得認證、授權服務可以分離在不同的安全服務器上實現。例如,可以用一個HWTACACS服務器進行認證,另外一個HWTACACS服務器進行授權 |
協議報文比較簡單,認證和授權結合,難以分離 |
|
支持對設備的配置命令進行授權使用。用戶可使用的命令行受到用戶級別和AAA授權的雙重限製,某一級別的用戶輸入的每一條命令都需要通過HWTACACS服務器授權,如果授權通過,命令就可以被執行 |
不支持對設備的配置命令進行授權使用 用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行 |
下麵以Telnet用戶為例,說明使用HWTACACS對用戶進行認證、授權和計費的過程。基本消息交互流程圖如圖1-6所示。
圖1-6 Telnet用戶認證、授權和計費流程圖
在整個過程中的基本消息交互流程如下:
(1) Telnet用戶請求登錄設備。
(2) HWTACACS客戶端收到請求之後,向HWTACACS服務器發送認證開始報文。
(3) HWTACACS服務器發送認證回應報文,請求用戶名。
(4) HWTACACS客戶端收到回應報文後,向用戶詢問用戶名。
(5) 用戶輸入用戶名。
(6) HWTACACS客戶端收到用戶名後,向HWTACACS服務器發送認證持續報文,其中包括了用戶名。
(7) HWTACACS服務器發送認證回應報文,請求登錄密碼。
(8) HWTACACS客戶端收到回應報文,向用戶詢問登錄密碼。
(9) 用戶輸入密碼。
(10) HWTACACS客戶端收到登錄密碼後,向HWTACACS服務器發送認證持續報文,其中包括了登錄密碼。
(11) HWTACACS服務器發送認證回應報文,指示用戶通過認證。
(12) HWTACACS客戶端向HWTACACS服務器發送授權請求報文。
(13) HWTACACS服務器發送授權回應報文,指示用戶通過授權。
(14) HWTACACS客戶端收到授權回應成功報文,向用戶輸出設備的配置界麵。
(15) HWTACACS客戶端向HWTACACS服務器發送計費開始報文。
(16) HWTACACS服務器發送計費回應報文,指示計費開始報文已經收到。
(17) 用戶請求斷開連接。
(18) HWTACACS客戶端向HWTACACS服務器發送計費結束報文。
(19) HWTACACS服務器發送計費結束報文,指示計費結束報文已經收到。
一個ISP(Internet Service Provider,Internet服務提供者)域是由屬於同一個ISP的用戶構成的群體。
NAS設備對用戶的管理是基於ISP域的,每個接入用戶都屬於一個ISP域。用戶所屬的ISP域是由用戶登錄時提供的用戶名決定的,如圖1-7所示。
用戶的認證、授權、計費都是在相應的ISP域視圖下應用預先配置的認證、授權、計費方案來實現的。AAA有缺省的認證、授權、計費方案,分別為本地認證、本地授權、本地計費。如果用戶所屬的ISP域下未應用任何認證、授權、計費方案,係統將使用缺省的認證、授權、計費方案。
為便於對不同接入方式的用戶進行區分管理,AAA將用戶劃分為以下幾個類型:
l lan-access用戶:LAN接入用戶,如802.1X認證、MAC地址認證用戶。
l login用戶:登錄設備用戶,如SSH、Telnet、FTP、終端接入用戶。
l Portal接入用戶。
用戶登錄設備後,AAA還可以對其提供以下服務,用於提高用戶登錄後對設備操作的安全性:
l 命令行授權:用戶執行的每一條命令都需要接受授權服務器的檢查,隻有授權成功的命令才被允許執行。關於命令行授權的詳細介紹請參考“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
l 命令行計費:用戶執行過的所有命令或被成功授權執行的命令,會被計費服務器進行記錄。關於命令行計費的詳細介紹請參考“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
l 級別切換認證:在不退出當前登錄、不斷開當前連接的前提下,用戶將自身的用戶級別由低向高切換的時候,需要通過服務器的認證,級別切換操作才被允許。關於用戶級別切換的詳細介紹請參考“基礎配置指導”中的“CLI配置”。
AAA支持在ISP域視圖下針對不同的接入方式配置不同的認證、授權、計費的方法(一組不同的認證/授權/計費方案),具體的配置步驟請參見“1.4 在ISP域中配置實現AAA的方法”。
在MPLS VPN組網中,要求在私網客戶端業務隔離的情況下,實現對客戶端的集中認證,這就需要AAA支持基於多實例的報文交互。通過AAA支持多實例,可實現RADIUS、HWTACACS認證/授權/計費報文在MPLS VPN之間的交互。如圖1-8所示,連接客戶端的PE設備作為NAS,通過MPLS VPN把私網客戶端的認證/授權/計費信息透傳給網絡另一端的私網服務器,實現了對私網客戶端的集中認證,且各私網的認證報文互不影響。
圖1-8 AAA支持多實例典型組網圖
在MCE設備上進行的Portal接入認證在本特性的配合下,也可支持多實例功能。關於MCE的相關介紹請見參見“MPLS配置指導”中的“MPLS L3VPN配置”。
與AAA、RADIUS、HWTACACS相關的協議規範有:
l RFC 2865:Remote Authentication Dial In User Service (RADIUS)
l RFC 2866:RADIUS Accounting
l RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support
l RFC 2868:RADIUS Attributes for Tunnel Protocol Support
l RFC 2869:RADIUS Extensions
l RFC 1492:An Access Control Protocol, Sometimes Called TACACS
表1-4 常用RADIUS標準屬性
|
屬性編號 |
屬性名稱 |
描述 |
|
1 |
User-Name |
需要進行認證的用戶名稱 |
|
2 |
User-Password |
需要進行PAP方式認證的用戶密碼,在采用PAP認證方式時,該屬性僅出現在Access-Request報文中 |
|
3 |
CHAP-Password |
需要進行CHAP方式認證的用戶密碼的消息摘要。在采用CHAP認證方式時,該屬性出現在Access-Request報文中 |
|
4 |
NAS-IP-Address |
Server通過不同的IP地址來標識不同的Client,通常Client采用本地一個接口的IP地址來唯一的標識自己,這就是NAS-IP-Address。該屬性指示當前發起請求的Client的NAS-IP-Address。該字段僅出現在Access-Request報文中 |
|
5 |
NAS-Port |
用戶接入NAS的物理端口號 |
|
6 |
Service-Type |
用戶申請認證的業務類型 |
|
7 |
Framed-Protocol |
用戶Frame類型業務的封裝協議 |
|
8 |
Framed-IP-Address |
為用戶所配置的IP地址 |
|
11 |
Filter-ID |
訪問控製列表的名稱 |
|
12 |
Framed-MTU |
用戶與NAS之間數據鏈路的MTU值。例如在802.1X的EAP方式認證中,NAS通過Framed-MTU值指示Server發送EAP報文的最大長度,防止EAP報文大於數據鏈路MTU導致的報文丟失 |
|
14 |
Login-IP-Host |
用戶登錄設備的接口IP地址 |
|
15 |
Login-Service |
用戶登錄設備時采用的業務類型 |
|
18 |
Reply-Message |
服務器反饋給用戶的純文本描述,可用於向用戶顯示認證失敗的原因 |
|
26 |
Vendor-Specific |
廠商自定義的私有屬性。一個報文中可以有一個或者多個私有屬性,每個私有屬性中可以有一個或者多個子屬性 |
|
27 |
Session-Timeout |
會話結束之前,給用戶提供服務的最大時間,即用戶的最大可用時長 |
|
28 |
Idle-Timeout |
會話結束之前,允許用戶持續空閑的最大時間,即用戶的限製切斷時間 |
|
31 |
Calling-Station-Id |
NAS用於向Server告知標識用戶的號碼,在我司設備提供的lan-access業務中,該字段填充的是用戶的MAC地址,采用的“HHHH-HHHH-HHHH”格式封裝 |
|
32 |
NAS-Identifier |
NAS用來向Server標識自己的名稱 |
|
40 |
Acct-Status-Type |
計費請求報文的類型 l 1:Start l 2:Stop l 3:Interium-Update l 4:Reset-Charge l 7:Accounting-On(3GPP中有定義) l 8:Accounting-Off (3GPP中有定義) l 9-14:Reserved for Tunnel Accounting l 15:Reserved for Failed |
|
45 |
Acct-Authentic |
用戶采用的認證方式,包括RADIUS,Local以及Remote |
|
60 |
CHAP-Challenge |
在CHAP認證中,由NAS生成的用於MD5計算的隨機序列 |
|
61 |
NAS-Port-Type |
NAS認證用戶的端口的物理類型 l 15:以太網 l 16:所有種類的ADSL l 17:Cable(有線電視電纜) l 201:VLAN l 202:ATM 如果在ATM或以太網端口上還劃分VLAN,則該屬性值為201 |
|
79 |
EAP-Message |
用於封裝EAP報文,實現RADIUS協議對EAP認證方式的支持 |
|
80 |
Message-Authenticator |
用於對認證報文進行認證和校驗,防止非法報文欺騙。該屬性在RADIUS協議支持EAP認證方式被使用 |
|
87 |
NAS-Port-Id |
用字符串來描述的認證端口信息 |
表1-5 H3C RADIUS擴展屬性
|
子屬性編號 |
子屬性名稱 |
描述 |
|
1 |
Input-Peak-Rate |
用戶接入到NAS的峰值速率,以bps為單位 |
|
2 |
Input-Average-Rate |
用戶接入到NAS的平均速率,以bps為單位 |
|
3 |
Input-Basic-Rate |
用戶接入到NAS的基本速率,以bps為單位 |
|
4 |
Output-Peak-Rate |
從NAS到用戶的峰值速率,以bps為單位 |
|
5 |
Output-Average-Rate |
從NAS到用戶的平均速率,以bps為單位 |
|
6 |
Output-Basic-Rate |
從NAS到用戶的基本速率,以bps為單位 |
|
15 |
Remanent_Volume |
表示該連接的剩餘可用總流量。對於不同的服務器類型,此屬性的單位不同 |
|
20 |
Command |
用於會話控製,表示對會話進行操作,此屬性有五種取值 l 1:Trigger-Request l 2:Terminate-Request l 3:SetPolicy l 4:Result l 5:PortalClear |
|
24 |
Control_Identifier |
服務器重發報文的標識符,對於同一會話中的重發報文,本屬性必須相同。不同的會話的報文攜帶的該屬性值可能相同。相應的客戶端響應報文必須攜帶該屬性,其值不變 在開始、停止或中間上報流量的Accounting-Request 報文中,若帶有Control-Identifier屬性,此時的Control-Identifier屬性無實際意義 |
|
25 |
Result_Code |
表示Trigger-Request或SetPolicy的結果,0表示成功,非0表示失敗 |
|
26 |
Connect_ID |
用戶連接索引 |
|
28 |
Ftp_Directory |
FTP用戶工作目錄 對於FTP用戶,當RADIUS客戶端作為FTP服務器的時候,該屬性用於設置RADIUS客戶端上的FTP目錄 |
|
29 |
Exec_Privilege |
EXEC用戶優先級 |
|
59 |
NAS_Startup_Timestamp |
NAS係統啟動時刻,以秒為單位,表示從1970年1月1日UTC 00:00:00以來的秒數 |
|
60 |
Ip_Host_Addr |
認證請求和計費請求報文中攜帶的用戶IP地址和MAC地址,格式為“A.B.C.D hh:hh:hh:hh:hh:hh”,IP地址和MAC地址之間以空格分開 |
|
61 |
User_Notify |
服務器需要透傳到客戶端的信息 |
|
62 |
User_HeartBeat |
802.1X用戶認證成功後下發的32字節的Hash字符串,該屬性值被保存在設備的用戶列表中,用於校驗802.1X客戶端的握手報文 該屬性僅出現在Access-Accept和Accounting-Request報文中 |
|
140 |
User_Group |
SSL VPN用戶認證成功後下發的用戶組,一個用戶可以屬於多個用戶組,多個用戶組之間使用分號格開。本屬性用於SSL VPN設備的配合 |
|
141 |
Security_Level |
SSL VPN用戶安全認證之後下發的安全級別 |
|
201 |
Input-Interval-Octets |
兩次實時計費間隔的輸入的字節差,以Byte為單位 |
|
202 |
Output-Interval-Octets |
兩次實時計費間隔的輸出的字節差,以Byte為單位 |
|
203 |
Input-Interval-Packets |
兩次計費間隔的輸入的包數,單位由設備上的配置決定 |
|
204 |
Output-Interval-Packets |
兩次計費間隔的輸出的包數,單位由設備上的配置決定 |
|
205 |
Input-Interval-Gigawords |
兩次計費間隔的輸入的字節差是4G字節的多少倍 |
|
206 |
Output-Interval-Gigawords |
兩次計費間隔的輸出的字節差是4G字節的多少倍 |
|
207 |
Backup-NAS-IP |
接入設備發送RADIUS報文的備份源IP地址 |
|
255 |
Product_ID |
產品名稱 |
AAA的基本配置思路如下:
(1) 配置AAA方案:根據需要配置本地或遠程認證方案。
l 本地認證:需要配置本地用戶,即local user的相關屬性,包括手動添加認證的用戶名和密碼等;
l 遠程認證:需要配置RADIUS或HWTACACS方案,並在服務器上配置相應的用戶屬性。
(2) 配置實現AAA的方法:在用戶所屬的ISP域中分別指定實現認證、授權、計費的方法。
l 認證方法:可選擇不認證(none)、本地認證(local)或遠程認證(scheme);
l 授權方法:可選擇不授權(none)、本地授權(local)或遠程授權(scheme);
l 計費方法:可選擇不計費(none)、本地計費(local)或遠程計費(scheme)。
圖1-9 AAA基本配置思路流程圖
表1-6 AAA配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置AAA方案 |
配置本地用戶 |
至少選其一 |
|
|
配置RADIUS方案 |
|||
|
配置HWTACACS方案 |
|||
|
在ISP域中配置實現AAA的方法 |
創建ISP域 |
必選 |
|
|
配置ISP域的屬性 |
可選 |
||
|
配置ISP域的AAA認證方法 |
至少選其一 |
||
|
配置ISP域的AAA授權方法 |
|||
|
配置ISP域的AAA計費方法 |
|||
|
配置強製切斷用戶 |
可選 |
||
|
配置NAS-ID與VLAN的綁定 |
可選 |
||
|
AAA顯示和維護 |
可選 |
||
對於Login用戶,隻有配置登錄用戶界麵的認證方式為scheme,這類用戶登錄設備才會采用AAA處理。有關登錄用戶界麵認證方式的詳細介紹請參見“基礎配置指導/配置用戶通過CLI登錄設備”。
當選擇使用本地認證、本地授權、本地計費方法對用戶進行認證、授權或計費時,應在設備上創建本地用戶並配置相關屬性。
所謂本地用戶,是指在本地設備上設置的一組用戶屬性的集合。該集合以用戶名為用戶的唯一標識。為使某個請求網絡服務的用戶可以通過本地認證,需要在設備上的本地用戶數據庫中添加相應的表項。具體步驟是,創建一個本地用戶並進入本地用戶視圖,然後在本地用戶視圖下配置相應的用戶屬性,可配置的用戶屬性包括:
l 服務類型
用戶可使用的網絡服務類型。該屬性是本地認證的檢測項,如果沒有用戶可以使用的服務類型,則該用戶無法通過認證。
可支持的服務類型包括:FTP、lan-access、Portal、SSH、Telnet、Terminal。
l 用戶狀態
用於指示是否允許該用戶請求網絡服務器,包括active和block兩種狀態。active表示允許該用戶請求網絡服務,block表示禁止該用戶請求網絡服務。
l 最大用戶數
使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值,則使用該用戶名的新用戶將被禁止接入。
l 有效期
用戶帳戶的有效的截止日期。接入設備僅允許帳戶有效期未過期的用戶通過認證。有用戶臨時需要接入網絡時,可以通過建立有一定有效期的來賓帳戶控製用戶的臨時訪問。
l 所屬的用戶組
每一個本地用戶都屬於一個本地用戶組,並繼承組中的所有屬性(用戶授權屬性)。關於本地用戶組的介紹和配置請參見“1.3.1 3. 配置用戶組屬性”。
l 綁定屬性
用戶認證時需要檢測的屬性,用於限製接入用戶的範圍。若用戶的實際屬性與設置的綁定屬性不匹配,則不能通過認證,因此在配置綁定屬性時要考慮該用戶是否需要綁定某些屬性。可綁定的屬性包括:ISDN用戶的主叫號碼、用戶IP地址、用戶接入端口、用戶MAC地址、用戶所屬VLAN。各屬性的使用及支持情況請見表1-8。
l 用戶授權屬性
本地用戶的授權屬性在用戶組和本地用戶視圖下都可以配置,且本地用戶視圖下的配置優先級高於用戶組視圖下的配置。用戶組的配置對組內所有本地用戶生效。
用戶認證通過後,接入設備下發給用戶的權限。可支持的授權屬性包括:ACL、PPP回呼號碼、閑置切換功能、用戶級別、User Profile、VLAN、FTP/SFTP工作目錄。各屬性的支持情況請見表1-8。由於可配置的授權屬性都有其明確的使用環境和用途,因此配置授權屬性時要考慮該用戶是否需要某些屬性。
表1-7 本地用戶配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置本地用戶屬性 |
必選 |
|
|
配置用戶組屬性 |
可選 |
|
|
本地用戶及本地用戶組顯示與維護 |
可選 |
表1-8 配置本地用戶的屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置本地用戶密碼的顯示方式 |
local-user password-display-mode { auto | cipher-force } |
可選 缺省情況下,所有接入用戶的密碼顯示方式為auto,表示按照用戶設置密碼時指定的密碼顯示方式顯示 |
|
添加本地用戶,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,係統中沒有任何本地用戶 |
|
設置本地用戶的密碼 |
password { cipher | simple } password |
可選 若不設置密碼,則本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功,因此為提高用戶帳戶的安全性,建議設置本地用戶密碼 |
|
設置本地用戶可以使用的服務類型 |
service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal } |
必選 缺省情況下,係統不對本地用戶授權任何服務 |
|
設置本地用戶的狀態 |
state { active | block } |
可選 缺省情況下,當一個本地用戶被創建以後,其狀態為active,允許該用戶請求網絡服務 |
|
設置本地用戶名可容納的最大接入用戶數 |
access-limit max-user-number |
可選 缺省情況下,不限製當前本地用戶名可容納的接入用戶數 FTP用戶不受此屬性限製 |
|
設置本地用戶的綁定屬性 |
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } * |
可選 缺省情況下,未設置本地用戶的任何綁定屬性 ppp用戶支持綁定屬性call-number; lan-access用戶支持綁定屬性ip、location、mac和vlan; 其它類型的本地用戶不支持綁定屬性 |
|
設置本地用戶的授權屬性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可選 缺省情況下,未設置本地用戶的任何授權屬性 對於lan-access、portal用戶,僅授權屬性acl、idle-cut、user-profile和vlan有效; 對於ssh、terminal用戶,僅授權屬性level有效; 對於ftp用戶,僅授權屬性level和work-directory有效; 對於其它類型的本地用戶,所有授權屬性均無效 |
|
設置本地用戶的有效期 |
expiration-date time |
可選 缺省情況下,未設置本地用戶的有效期 |
|
設置本地用戶所屬的用戶組 |
group group-name |
可選 缺省情況下,本地用戶屬於係統默認用戶組system |
l 當采用local-user password-display-mode cipher-force命令後,即使用戶通過password命令指定密碼明文顯示(即simple方式),密碼也會顯示為密文。同樣,若強製用戶密碼密文顯示並使用save命令保存當前配置,重啟設備後,即使恢複為auto方式,原來配置為明文顯示的密碼仍然顯示為密文,但新配置的密碼顯示依然遵循當前配置的密碼顯示形式。
l 本地用戶的access-limit命令隻在該用戶采用了本地計費方法的情況下生效。
l 如果登錄設備的認證方式(通過命令authentication-mode設置)為AAA(scheme),則用戶登錄係統後所能訪問的命令級別由用戶被授權的級別確定;如果配置登錄設備的認證方式為不認證(none)或采用密碼認證(password),則用戶登錄係統後所能訪問的命令級別由用戶界麵所能訪問的命令級別確定。對於SSH用戶,使用公鑰認證時,其所能使用的命令以用戶界麵上設置的級別為準。關於登錄設備的認證方式與用戶界麵所能訪問的命令級別的詳細介紹請參見“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
l 除本地用戶視圖下可以配置授權User Profile之外,ISP域中也可以配置授權User Profile。如果當前ISP域的用戶通過本地認證,則本地用戶視圖下配置的授權User Profile優先生效,若本地用戶視圖下沒有配置授權User Profile,則該用戶所在的ISP域中配置的缺省User Profile生效。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile配置”。
為了簡化本地用戶的配置,增強本地用戶的可管理性,引入了用戶組的概念。用戶組是一個本地用戶屬性的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理,用戶組內的所有本地用戶都可以繼承這些屬性。目前,用戶組中可以管理的內容為本地用戶的授權屬性。
每個新增的本地用戶都默認屬於一個係統自動創建的用戶組system,且繼承該組的所有屬性。本地用戶所屬的用戶組可以通過使用本地用戶視圖下的group命令來修改。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建用戶組,並進入用戶組視圖 |
user-group group-name |
必選 |
|
設置用戶組的授權屬性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可選 缺省情況下,未設置用戶組的授權屬性 |
完成上述配置後,在任意視圖下執行display命令可以顯示配置後本地用戶及本地用戶組的運行情況,通過查看顯示信息驗證配置的效果。
表1-10 本地用戶及本地用戶組顯示和維護
|
操作 |
命令 |
|
顯示本地用戶相關信息 (分布式設備) |
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示本地用戶相關信息 (分布式IRF設備) |
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示本地用戶組的相關信息 |
display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ] |
RADIUS方案中定義了設備和RADIUS服務器之間進行信息交互所必須的一些參數。當創建一個新的RADIUS方案之後,需要對屬於此方案的RADIUS服務器的IP地址、UDP端口號和報文共享密鑰進行設置,這些服務器包括認證/授權和計費服務器,而每種服務器又有主服務器和從服務器的區別。每個RADIUS方案的屬性包括:主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。
表1-11 RADIUS配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建RADIUS方案 |
必選 |
|
|
配置RADIUS方案所屬的VPN |
可選 |
|
|
配置RADIUS認證/授權服務器 |
必選 |
|
|
配置RADIUS計費服務器及相關參數 |
可選 |
|
|
配置RADIUS報文的共享密鑰 |
可選 |
|
|
配置發送RADIUS報文的最大嚐試次數 |
可選 |
|
|
配置支持的RADIUS服務器的類型 |
可選 |
|
|
配置RADIUS服務器的狀態 |
可選 |
|
|
配置發送給RADIUS服務器的數據相關屬性 |
可選 |
|
|
配置發送RADIUS報文使用的源地址 |
可選 |
|
|
配置RADIUS服務器的定時器 |
可選 |
|
|
配置RADIUS的accounting-on功能 |
可選 |
|
|
配置RADIUS服務器的安全策略服務器 |
可選 |
|
|
配置RADIUS Attribute 25的CAR參數解析功能 |
可選 |
|
|
配置RADIUS的Trap功能 |
可選 |
|
|
使能RADIUS客戶端的監聽端口 |
可選 |
|
|
RADIUS顯示和維護 |
可選 |
在進行RADIUS的其它配置之前,必須先創建RADIUS方案並進入其視圖。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,未定義RADIUS方案 |
一個RADIUS方案可以同時被多個ISP域引用。
該配置用於為RADIUS方案下的所有認證/授權/計費服務器統一指定所屬的VPN。RADIUS服務器所屬的VPN也可以在配置RADIUS認證/授權/計費服務器的時候單獨指定,且被優先使用。未單獨指定所屬VPN的服務器,則屬於所在RADIUS方案所屬的VPN。
表1-13 配置RADIUS方案所屬的VPN
|
表1-14 操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置RADIUS方案所屬的VPN |
vpn-instance vpn-instance-name |
必選 |
表1-15 配置RADIUS認證/授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置主RADIUS認證/授權服務器 |
primary authentication { ip-address | ipv6 ipv6-address } [ port-number | key string | vpn-instance vpn-instance-name ] * |
二者至少選其一 缺省情況下,未配置主認證/授權服務器和從認證/授權服務器 |
|
配置從RADIUS認證/授權服務器 |
secondary authentication { ip-address | ipv6 ipv6-address } [ port-number | key string | vpn-instance vpn-instance-name ] * |
l 主認證/授權服務器和從認證/授權服務器同時配置的情況下,當主認證/授權服務器不可達時,設備將使用從認證/授權服務器進行認證、授權。
l 建議在不需要備份的情況下,隻配置主RADIUS認證/授權服務器即可。
l 在實際組網環境中,可以指定一台RADIUS服務器作為主認證/授權服務器,並指定多台(最多16台)RADIUS服務器作為從認證/授權服務器;也可以指定一台服務器既作為某個方案的主認證/授權服務器,又作為另一個方案的從認證/授權服務器。
l 在同一個方案中指定的主認證/授權服務器和從認證/授權服務器的IP地址不能相同,並且各從服務器的IP地址也不能相同,否則將提示配置不成功。
l 主服務器和從服務器的IP地址版本必須保持一致,並且各從服務器的IP地址版本也必須保持一致;認證/授權服務器和計費服務器的IP地址版本也必須保持一致。
表1-16 配置RADIUS計費服務器及相關參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置主RADIUS計費服務器 |
primary accounting { ip-address | ipv6 ipv6-address } [ port-number | key string | vpn-instance vpn-instance-name ] * |
二者至少選其一 缺省情況下,未配置主/從計費服務器 |
|
配置從RADIUS計費服務器 |
secondary accounting { ip-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name | key string ] * |
|
|
使能停止計費報文緩存功能 |
stop-accounting-buffer enable |
可選 缺省情況下,使能停止計費報文緩存功能 |
|
設置當出現沒有得到響應的停止計費請求時,將該報文存入設備緩存後,允許停止計費請求無響應的最大次數 |
retry stop-accounting retry-times |
可選 缺省情況下,允許停止計費請求無響應的最大次數為500 |
|
設置允許實時計費請求無響應的最大次數 |
retry realtime-accounting retry-times |
可選 缺省情況下,最多允許5次實時計費請求無響應 |
l 主計費服務器和從計費服務器同時配置的情況下,當主計費服務器不可達時,設備將使用從計費服務器進行計費。
l 建議在不需要備份的情況下,隻配置主RADIUS計費服務器即可。
l 在實際組網環境中,可以指定一台RADIUS服務器作為主計費服務器,並指定多台(最多16台)RADIUS服務器作為從計費服務器;也可以指定一台服務器既作為某個方案的主計費服務器,又作為另一個方案的從計費服務器。此外,由於RADIUS協議采用不同的UDP端口來收發認證/授權和計費報文,因此必須將認證/授權端口號和計費端口號配置得不同。
l 如果RADIUS計費服務器對設備發出的停止計費請求報文沒有響應,且設備使能了停止計費報文緩存功能,設備應將其緩存在本機上,然後重新發送直到RADIUS計費服務器產生響應,或者在重新發送的次數達到指定的次數限製後將其丟棄。
l 設備提供對連續實時計費請求無響應次數限製的設置——在設備向RADIUS服務器發出的實時計費請求沒有得到響應的次數超過所設定的限度時,設備將切斷用戶連接。
l 如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
l 主計費服務器和從計費服務器的IP地址不能相同,並且各從計費服務器的IP地址也不能相同,否則將提示配置不成功。
l 目前RADIUS不支持對FTP用戶進行計費。
l 主服務器和從服務器的IP地址版本必須保持一致,並且各從服務器的IP地址版本也必須保持一致;計費服務器和認證/授權服務器的IP地址版本也必須保持一致。
RADIUS客戶端與RADIUS服務器使用MD5算法來加密RADIUS報文,雙方通過設置共享密鑰來驗證報文的合法性。隻有在密鑰一致的情況下,彼此才能接收對方發來的報文並作出響應。
由於設備優先采用配置RADIUS認證/授權/計費服務器時指定的報文共享密鑰,因此,本配置中指定的報文共享密鑰僅在配置RADIUS認證/授權/計費服務器時未指定相應密鑰的情況下使用。
表1-17 配置RADIUS報文的共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置RADIUS認證/授權或計費報文的共享密鑰 |
key { accounting | authentication } string |
必選 缺省情況下,無密鑰 |
必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內沒有響應設備,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數超過最大嚐試次數而RADIUS服務器仍舊沒有響應,則設備將嚐試與其它服務器通信,如果不存在狀態為active的服務器,則認為本次認證失敗。關於RADIUS服務器狀態的相關內容,請參見“1.3.2 9. 配置RADIUS服務器的狀態”。
表1-18 配置發送RADIUS報文的最大嚐試次數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置發送RADIUS的最大嚐試次數 |
retry retry-times |
可選 缺省情況下,發送RADIUS報文的最大嚐試次數為3次 |
l 發送RADIUS報文的最大嚐試次數與RADIUS服務器應答超時時間的乘積不能超過75秒。
l RADIUS服務器應答超時時間的配置請參考命令“12. 配置RADIUS服務器的定時器”。
通過指定設備支持RADIUS服務器類型,決定設備與RADIUS服務器之間可交互的RADIUS協議類型:
l 若指定extended類型的RADIUS服務器,則設備與RADIUS服務器將按照私有RADIUS協議的規程和報文格式進行交互。
l 若指定standard類型的RADIUS服務器,則設備與RADIUS服務器將按照標準RADIUS協議(RFC 2865/2866或更新)的規程和報文格式進行交互。
使用iMC服務器時,RADIUS服務器類型應選擇extended類型。使用其它第三方RADIUS服務器時,RADIUS服務器類型可以選擇standard類型或extended類型。
需要注意的是,若使用設備作為RADIUS服務器對login用戶進行認證,則此處的RADIUS服務器類型必須指定為standard。
表1-19 配置支持的RADIUS服務器的類型
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置設備支持的RADIUS服務器類型 |
server-type { extended | standard } |
可選 缺省情況下,設備支持的RADIUS服務器類型為standard |
當設備支持的RADIUS服務器類型被更改時,設備會將發送到RADIUS服務器的數據流的單位(data-flow-format)恢複為缺省配置。
RADIUS方案中各服務器的狀態(active、block)決定了設備向哪個服務器發送請求報文,以及設備在與當前服務器通信中斷的情況下,如何轉而與另外一個服務器進行交互。在實際組網環境中,可指定一個主RADIUS服務器和多個從RADIUS服務器,由從服務器作為主服務器的備份。通常情況下,設備上主從服務器的切換遵從以下原則:
l 當主服務器狀態為active時,設備首先嚐試與主服務器通信,若主服務器不可達,設備更改主服務器的狀態為block,並啟動該服務器的timer quiet定時器,然後按照從服務器的配置先後順序依次查找狀態為active的從服務器進行認證或者計費。如果狀態為active的從服務器也不可達,則將該從服務器的狀態置為block,同時啟動該服務器的timer quiet定時器,並繼續查找狀態為active的從服務器。當服務器的timer quiet定時器超時,或者設備收到該服務器的認證/計費應答報文時,該服務器將恢複為active狀態。在一次認證或計費過程中,如果設備在嚐試與從服務器通信時,主服務器狀態由block恢複為active,則設備並不會立即恢複與主服務器的通信,而是繼續查找從服務器。如果所有已配置的服務器都不可達,則認為本次認證或計費失敗。
l 一個用戶的計費流程開始之後,設備就不會再與其它的計費服務器通信,即該用戶的實時計費報文和停止計費報文隻會發往當前使用的計費服務器。如果當前使用的計費服務器被刪除,則實時計費和停止計費報文都將無法發送。
l 如果在認證或計費過程中刪除了服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
l 當主/從服務器的狀態均為block時,設備僅與主服務器通信,若主服務器可達,則主服務器狀態變為active,否則保持不變。
l 隻要存在狀態為active的服務器,設備就僅與狀態為active的服務器通信,即使該服務器不可達,設備也不會嚐試與狀態為block的服務器通信。
l 設備收到服務器的認證或計費應答報文後會將與報文源IP地址相同且狀態為block的認證或計費服務器的狀態更改為active。
缺省情況下,設備將配置了IP地址的各RADIUS服務器的狀態均置為active,認為所有的服務器均處於正常工作狀態,但有些情況下用戶可能需要通過以下配置手工改變RADIUS服務器的當前狀態。例如,已知某服務器故障,為避免設備認為其active而可能進行的無意義嚐試,可暫時將該服務器狀態手工置為block來滿足此需求。
表1-20 配置RADIUS服務器的狀態
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置主RADIUS認證/授權服務器的狀態 |
state primary authentication { active | block } |
可選 缺省情況下,RADIUS方案中配置了IP地址的各RADIUS服務器的狀態均為active |
|
設置主RADIUS計費服務器的狀態 |
state primary accounting { active | block } |
|
|
設置從RADIUS認證/授權服務器的狀態 |
state secondary authentication [ ip ipv4-address | ipv6 ipv6-address ] { active | block } |
|
|
設置從RADIUS計費服務器的狀態 |
state secondary accounting [ ip ipv4-address | ipv6 ipv6-address ] { active | block } |
l state命令設置的服務器狀態屬於動態信息,不能被保存在配置文件中,設備重啟後,服務器狀態恢複為缺省狀態active。
l 可通過執行display radius scheme命令查看各服務器的當前狀態。
表1-21 配置發送給RADIUS服務器的數據相關屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置發送給RADIUS服務器的用戶名格式 |
user-name-format { keep-original | with-domain | without-domain } |
可選 缺省情況下,設備發送給RADIUS服務器的用戶名攜帶有ISP域名 |
|
設置發送給RADIUS服務器的數據流的單位 |
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * |
可選 缺省情況下,數據的單位為byte,數據包的單位為one-packet |
l 由於有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,因此必需將用戶名的域名去除後再傳送給RADIUS服務器。可以通過命令user-name-format without-domain來指定發送給RADIUS服務器的用戶名不攜帶ISP域名。
l 如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該RADIUS方案,否則,會出現雖然實際用戶不同(在不同的ISP域中)、但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
l 對於級別切換認證,命令user-name-format keep-original與user-name-format without-domain的執行效果一樣,即發送給RADIUS服務器的用戶名都不攜帶ISP域名。
l 設備向RADIUS服務器發送數據流的單位應與RADIUS服務器上的流量統計單位保持一致,否則無法正確計費。
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。若RADIUS服務器收到的RADIUS認證或計費報文的源地址在所管理的接入設備IP地址範圍內,則才會進行後續的認證或計費處理,否則直接對其做丟棄處理。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
設備選擇發送RADIUS報文使用的源地址時,首先判斷當前所使用的RADIUS方案中是否配置了源地址,若配置存在,則使用該地址作為源地址,否則,根據當前使用的服務器所屬的VPN查找係統視圖下配置的私網源地址,對於公網服務器則直接查找配置的公網源地址。若係統視圖下配置了相應的源地址,則使用該地址作為源地址,否則,使用發送該報文的接口地址作為源地址。
此配置可以在係統視圖和RADIUS方案視圖下進行,係統視圖下的配置將對所有RADIUS方案生效,RADIUS方案視圖下的配置僅對本方案有效,並且具有高於前者的優先級。
表1-22 為所有RADIUS方案配置發送RADIUS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置設備發送RADIUS報文使用的源地址 |
radius nas-ip { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
表1-23 為RADIUS方案配置發送RADIUS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置設備發送RADIUS報文使用的源地址 |
nas-ip { ip-address | ipv6 ipv6-address } |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
在與RADIUS服務器交互的過程中,設備上可啟動的定時器主要有以下幾種:
l 服務器響應超時定時器(response-timeout):如果在RADIUS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶確實能夠得到RADIUS服務,這段時間被稱為RADIUS服務器響應超時時長。
l 服務器恢複激活狀態定時器(quiet):當服務器不可達時,狀態變為block,設備會與其它狀態為active的服務器交互,並開啟超時定時器,在設定的一定時間間隔之後,將該服務器的狀態恢複為active。這段時間被稱為RADIUS服務器恢複激活狀態時長。
l 實時計費間隔定時器(realtime-accounting):為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向RADIUS服務器發送一次在線用戶的計費信息。
表1-24 設置RADIUS服務器的定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置RADIUS服務器應答超時時間 |
timer response-timeout seconds |
可選 缺省情況下,RADIUS服務器應答超時定時器為3秒 |
|
設置服務器恢複激活狀態的時間 |
timer quiet minutes |
可選 缺省情況下,服務器恢複激活狀態前需要等待5分鍾 |
|
設置實時計費間隔 |
timer realtime-accounting minutes |
可選 缺省情況下,實時計費間隔為12分鍾 |
l 發送RADIUS報文的最大嚐試次數的最大值與RADIUS服務器應答超時時間的乘積必須小於各接入模塊的客戶端連接超時時間,且不能超過75秒。比如對於語音接入,因為其客戶端連接超時時間為10秒,所以RADIUS報文的應答超時時間與發送請求報文的最大嚐試次數的乘積必須小於10秒;對於Telnet接入,其客戶端連接超時時間為30秒,所以此乘積必須小於30秒。否則會造成計費停止報文不能被緩存,以及主備服務器不能切換的問題。具體接入模塊客戶端連接超時時間請參考相關接入手冊。
l 要根據配置的從服務器數量合理設置發送RADIUS報文的最大嚐試次數和RADIUS服務器應答超時時間,避免因為超時重傳時間過長,在主服務器不可達時,出現設備在嚐試與從服務器通信的過程中接入模塊的客戶端連接已超時的現象。但是,有些接入模塊的客戶端的連接超時時間較短,在配置的從服務器較多的情況下,即使將報文重傳次數和RADIUS服務器應答超時時間設置的很小,也可能會出現上述客戶端超時的現象,並導致初次認證或計費失敗。這種情況下,由於設備會將不可達服務器的狀態設置為block,在下次認證或計費時設備就不會嚐試與這些狀態為block的服務器通信,一定程度上縮短了查找可達服務器的時間,因此用戶再次嚐試認證或計費就可以成功。
l 要根據配置的從服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置的過短,就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。
l RADIUS各類報文重傳次數的最大值配置請參考命令retry。
accounting-on功能用於設備重啟後,通過發送accounting-on報文通知RADIUS服務器該設備已經重啟,要求RADIUS服務器強製該設備的用戶下線,用來解決設備重啟後,重啟前原在線用戶無法再次登錄的問題。若發送accounting-on報文後RADIUS服務器無響應,則設備會在按照一定的時間間隔(interval seconds)嚐試重發幾次(send send-times)。
表1-25 配置RADIUS的accounting-on功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置accounting-on功能 |
accounting-on enable [ interval seconds | send send-times ] * |
必選 缺省情況下,accounting-on功能處於關閉狀態,accounting-on報文重發時間間隔為3秒,accounting-on報文重發次數為5次 |
accounting-on功能需要和H3C iMC網管係統配合使用。
H3C EAD方案的核心是整合與聯動,其中的安全策略服務器是EAD方案中的管理與控製中心,它作為一個軟件的集合,兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控製以及安全事件審計等功能。
該配置用來設定iMC服務器的控製報文源地址,接入設備通過此配置來判斷該控製報文的合法性。若iMC的配置平台、認證服務器以及安全策略服務器的IP地址相同時,本特性可不配置,除此之外,當設備收到服務器的控製報文時,若該控製報文的源IP地址不是本特性指定的地址,則設備認為其非法。
通常,若要支持完整的EAD功能,建議在接入設備上分別指定iMC安全策略服務器的IP地址和iMC配置平台的IP地址。這兩個服務器的IP地址在安裝iMC服務器時指定,請根據實際情況配置。
表1-26 設置RADIUS的安全策略服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置RADIUS服務器的安全策略服務器 |
security-policy-server ip-address |
必選 缺省情況下,未指定RADIUS服務器的安全策略服務器 |
一個RADIUS方案中可以配置多個安全策略服務器IP地址,最多不能超過8個。
RADIUS的25號屬性為class屬性,該屬性由RADIUS服務器下發但RFC中並未定義具體的用途,僅要求設備將下發的class屬性原封不動地攜帶在計費請求報文中發送給服務器即可,同時RFC並未要求設備必須對該屬性進行解析。目前,某些RADIUS服務器通過class屬性來進行CAR參數的下發,為了支持這種應用,可以通過本特性來控製設備是否將RADIUS的25號屬性解析為CAR參數。
表1-27 配置對RADIUS Attribute 25進行CAR參數解析
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
開啟RADIUS Attribute 25的CAR參數解析功能 |
attribute 25 car |
必選 缺省情況下,RADIUS Attribute 25的CAR參數解析功能處於關閉狀態 |
本功能是否需要配置與設備是否支持CAR參數的下發及RADIUS服務器的實現有關,請以設備和服務器的實際情況為準。
通過配置RADIUS的Trap功能,控製NAS觸發輸出相應的Trap信息,具體包括以下兩種:
l RADIUS服務器可達狀態改變時輸出Trap信息。當NAS向RADIUS服務器發送計費或認證請求沒有響應時,NAS認為服務器不可達並輸出Trap信息,具體情況為:當NAS向服務器重發的計費或認證請求報文累計次數達到最大傳送次數時,係統發送一次Trap報文。另外,當RADIUS服務器在不可達狀態下收到服務器發送的報文時,NAS認為服務器可達,也會輸出Trap信息。
l 認證失敗次數與認證請求次數的百分比超過一定閾值時輸出Trap信息。該閾值目前隻能夠通過MIB方式進行配置,取值範圍為1%~100%,缺省為30%。由於正常情況下,認證失敗的比率較小,如果NAS觸發輸出了該類Trap信息,則管理員可能需要確認配置是否正確或設備與服務器的通信是否正常。
表1-28 配置RADIUS的Trap功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能RADIUS的Trap功能 |
radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down } |
必選 缺省情況下,RADIUS的Trap功能處於關閉狀態 |
通過以下配置可以打開RADIUS客戶端的RADIUS報文監聽端口,使能後的端口可以接收和發送RADIUS報文。
表1-29 使能RADIUS客戶端的監聽端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能RADIUS客戶端的監聽端口 |
radius client enable |
可選 缺省情況下,監聽端口處於使能狀態 |
完成上述配置後,在任意視圖下執行display命令可以顯示配置後RADIUS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-30 RADIUS顯示和維護
|
操作 |
命令 |
|
顯示所有或指定RADIUS方案的配置信息(分布式設備) |
display radius scheme [ radius-scheme-name ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示所有或指定RADIUS方案的配置信息(分布式IRF設備) |
display radius scheme [ radius-scheme-name ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示RADIUS報文的統計信息(分布式設備) |
display radius statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示RADIUS報文的統計信息(分布式IRF設備) |
display radius statistics [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示緩存的沒有得到響應的停止計費請求報文(分布式設備) |
display stop-accounting-buffer { radius-scheme radius-server-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示緩存的沒有得到響應的停止計費請求報文(分布式IRF設備) |
display stop-accounting-buffer { radius-scheme radius-server-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
清除RADIUS協議的統計信息(分布式設備) |
reset radius statistics [ slot slot-number ] |
|
清除RADIUS協議的統計信息(分布式IRF設備) |
reset radius statistics [ chassis chassis-number slot slot-number ] |
|
清除緩存中的沒有得到響應的停止計費請求報文(分布式設備) |
reset stop-accounting-buffer { radius-scheme radius-server-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ] |
|
清除緩存中的沒有得到響應的停止計費請求報文(分布式IRF設備) |
reset stop-accounting-buffer { radius-scheme radius-server-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ chassis chassis-number slot slot-number ] |
有用戶在線時,不能刪除HWTACACS方案,並且不能修改HWTACACS服務器IP地址。
表1-31 HWTACACS配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建HWTACACS方案 |
必選 |
|
|
配置HWTACACS方案所屬的VPN |
可選 |
|
|
配置HWTACACS認證服務器 |
必選 |
|
|
配置HWTACACS授權服務器 |
可選 |
|
|
配置HWTACACS計費服務器 |
可選 |
|
|
配置HWTACACS報文的共享密鑰 |
必選 |
|
|
配置發送給HWTACACS服務器的數據相關屬性 |
可選 |
|
|
配置發送HWTACACS報文使用的源地址 |
可選 |
|
|
配置HWTACACS服務器的定時器 |
可選 |
|
|
HWTACACS顯示和維護 |
可選 |
HWTACACS的配置是以HWTACACS方案為單位進行的。在進行HWTACACS的其它相關配置之前,必須先創建HWTACACS方案並進入其視圖。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案並進入其視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,未定義HWTACACS方案 |
係統最多支持配置16個HWTACACS方案。隻有未被引用的方案才可以被刪除。
該配置用於指定HWTACACS方案所屬的VPN,即為HWTACACS方案下的所有認證/授權/計費服務器統一指定所屬的VPN。HWTACACS服務器所屬的VPN也可以在配置HWTACACS認證/授權/計費服務器的時候單獨指定,且被優先使用。未單獨指定所屬VPN的服務器,則屬於所在HWTACACS方案所屬的VPN。
表1-33 配置HWTACACS方案所屬的VPN
|
表1-34 操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置HWTACACS方案所屬的VPN |
vpn-instance vpn-instance-name |
必選 |
表1-35 配置HWTACACS認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置主HWTACACS認證服務器 |
primary authentication ip-address [ port-number | vpn-instance vpn-instance-name ] * |
二者至少選其一 缺省情況下,未配置主/從認證服務器 |
|
配置從HWTACACS認證服務器 |
secondary authentication ip-address [ port-number | vpn-instance vpn-instance-name ] * |
l 主認證服務器和從認證服務器同時配置的情況下,當主認證服務器不可達時,設備將使用從認證服務器進行認證。
l 建議在不需要備份的情況下,隻配置主認證服務器即可。
l 在實際組網環境中,可以指定一台HWTACACS服務器既作為某個方案的主認證服務器,又作為另一個方案的從認證服務器。
l 主認證服務器和從認證服務器的IP地址不能相同,否則將提示配置不成功。
l 隻有當沒有活躍的用於發送認證報文的TCP連接使用該認證服務器時,才允許刪除該服務器。
表1-36 配置HWTACACS授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置主HWTACACS授權服務器 |
primary authorization ip-address [ port-number | vpn-instance vpn-instance-name ] * |
二者至少選其一 缺省情況下,未配置主/從授權服務器 |
|
設置從HWTACACS授權服務器 |
secondary authorization ip-address [ port-number | vpn-instance vpn-instance-name ] * |
l 主授權服務器和從授權服務器同時配置的情況下,當主授權服務器不可達時,設備將使用從授權服務器進行授權。
l 建議在不需要備份的情況下,隻配置主授權服務器即可。
l 在實際組網環境中,可以指定一台HWTACACS服務器既作為某個方案的主授權服務器,又作為另一個方案的從授權服務器。
l 主授權服務器和從授權服務器的IP地址不能相同,否則將提示配置不成功。
l 隻有當沒有活躍的用於發送授權報文的TCP連接使用該授權服務器時,才允許刪除該服務器。
表1-37 配置HWTACACS計費服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置HWTACACS主計費服務器 |
primary accounting ip-address [ port-number | vpn-instance vpn-instance-name ] * |
二者至少選其一 缺省情況下,未配置主/從計費服務器 |
|
設置HWTACACS從計費服務器 |
secondary accounting ip-address [ port-number | vpn-instance vpn-instance-name ] * |
|
|
使能停止計費報文緩存功能 |
stop-accounting-buffer enable |
可選 缺省情況下,使能停止計費報文緩存功能 |
|
設置當出現沒有得到響應的停止計費請求時,將該報文存入設備緩存後,停止計費請求報文的最大發送次數 |
retry stop-accounting retry-times |
可選 缺省情況下,retry-times的值為100 |
l 主計費服務器和從計費服務器同時配置的情況下,當主計費服務器不可達時,設備將使用從計費服務器進行計費。
l 建議在不需要備份的情況下,隻配置主計費服務器即可。
l 在實際組網環境中,可以指定一台HWTACACS服務器既作為某個方案的主計費服務器,又作為另一個方案的從計費服務器。
l 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
l 隻有當沒有活躍的用於發送計費報文的TCP連接使用該計費服務器時,才允許刪除該服務器。
l 目前HWTACACS不支持對FTP用戶進行計費。
使用HWTACACS服務器作為AAA服務器時,可設置密鑰以提高設備與HWTACACS服務器通信的安全性。
HWTACACS客戶端(即設備係統)與HWTACACS服務器使用MD5算法來加密交互的HWTACACS報文,雙方通過設置共享密鑰來驗證報文的合法性。隻有在密鑰一致的情況下,雙方才能彼此接收對方發來的報文並作出響應。因此,必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一樣。
表1-38 配置HWTACACS報文的共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置HWTACACS認證、授權計費報文的共享密鑰 |
key { accounting | authentication | authorization } string |
必選 缺省情況下,無密鑰 |
表1-39 配置發送給HWTACACS服務器的數據相關屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置發送給HWTACACS服務器的用戶名格式 |
user-name-format { keep-original | with-domain | without-domain } |
可選 缺省情況下,發往HWTACACS服務器的用戶名帶域名 |
|
設置發送給HWTACACS服務器的數據流的單位 |
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * |
可選 缺省情況下,數據的單位為byte,數據包的單位為one-packet |
l 如果HWTACACS服務器不接受帶域名的用戶名,可以配置將用戶名的域名去除後再傳送給HWTACACS服務器。
l 對於級別切換認證,命令user-name-format keep-original與user-name-format without-domain的效果一樣,發送給HWTACACS服務器的用戶名都不攜帶ISP域名。
HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。若HWTACACS服務器收到的HWTACACS認證或計費報文的源地址在所管理的接入設備IP地址範圍內,則才會進行後續的認證或計費處理,否則直接對其做丟棄處理。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
設備選擇發送HWTACACS報文使用的源地址時,首先判斷當前所使用的HWTACACS方案中是否配置了源地址,若配置存在,則使用該地址作為源地址,否則,根據當前使用的服務器所屬的VPN查找係統視圖下配置的私網源地址,對於公網服務器則直接查找配置的公網源地址。若係統視圖下配置了相應的源地址,則使用該地址作為源地址,否則,使用發送該報文的接口地址作為源地址。
此配置可以在係統視圖和HWTACACS方案視圖下進行,係統視圖下的配置將對所有HWTACACS方案生效,HWTACACS方案視圖下的配置僅對本方案有效,並且具有高於前者的優先級。
表1-40 為所有HWTACACS方案配置發送HWTACACS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置設備發送HWTACACS報文使用的源地址 |
hwtacacs nas-ip ip-address [ vpn-instance vpn-instance-name ] |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
表1-41 為HWTACACS方案配置發送HWTACACS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置設備發送HWTACACS報文使用的源地址 |
nas-ip ip-address |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
表1-42 配置HWTACACS服務器的定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置HWTACACS服務器應答超時時間 |
timer response-timeout seconds |
可選 缺省情況下,應答超時時間為5秒 |
|
設置主服務器恢複激活狀態的時間 |
timer quiet minutes |
可選 缺省情況下,主服務器恢複激活狀態前需要等待5分鍾 |
|
設置實時計費的時間間隔 |
timer realtime-accounting minutes |
可選 缺省情況下,實時計費間隔為12分鍾 |
l 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向HWTACACS服務器發送一次在線用戶的計費信息。按照協議,如果服務器對實時計費報文沒有正常響應,設備也不會強製切斷在線用戶。
l 實時計費間隔時間取值必須為3的整數倍。
l 實時計費間隔的取值對設備和HWTACACS服務器的性能有一定的相關性要求,取值越小,對設備和HWTACACS服務器的性能要求越高。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後HWTACACS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-43 HWTACACS協議顯示和維護
|
操作 |
命令 |
|
查看所有或指定HWTACACS方案的配置信息或統計信息(分布式設備) |
display hwtacacs [ hwtacacs-server-name [ statistics ] ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
查看所有或指定HWTACACS方案的配置信息或統計信息(分布式IRF設備) |
display hwtacacs [ hwtacacs-server-name [ statistics ] ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示緩存的沒有得到響應的停止計費請求報文(分布式設備) |
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示緩存的沒有得到響應的停止計費請求報文(分布式IRF設備) |
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
清除HWTACACS協議的統計信息(分布式設備) |
reset hwtacacs statistics { accounting | all | authentication | authorization } [ slot slot-number ] |
|
清除緩存中的沒有得到響應的停止計費請求報文(分布式設備) |
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ] |
通過在ISP域視圖下引用預先配置的認證、授權、計費方案來實現對用戶的認證、授權和計費。每個ISP域中都有缺省的認證、授權、計費方法,分別為本地認證、本地授權、本地計費,如果用戶所屬的ISP域下未應用任何認證、授權、計費方法,係統將使用缺省的認證、授權、計費方法。
l 若采用本地認證方案,則請保證完成本地用戶的配置。有關本地用戶的配置請參見“1.3.1 配置本地用戶”。
l 若采用遠端認證、授權或計費方案,則請提前創建RADIUS方案、HWTACACS方案。有關RADIUS方案的配置請參見“1.3.2 配置RADIUS方案”。有關HWTACACS方案的配置請參見“1.3.3 配置HWTACACS方案”。
在多ISP的應用環境中,不同ISP域的用戶有可能接入同一台設備。而且各ISP用戶的用戶屬性(例如用戶名及密碼構成、服務類型/權限等)有可能不相同,因此有必要通過設置ISP域把它們區分開,並為每個ISP域單獨配置一套AAA方法及ISP域的相關屬性。
對於設備來說,每個接入用戶都屬於一個ISP域。係統中最多可以配置16個ISP域,包括一個係統缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名,係統將把它歸於缺省的ISP域。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建ISP域並進入其視圖 |
domain isp-name |
必選 |
|
返回係統視圖 |
quit |
- |
|
手工配置缺省的ISP域 |
domain default enable isp-name |
可選 缺省情況下,係統缺省的ISP域為system |
配置為缺省的ISP域不能夠被刪除,除非首先使用命令domain default disable將其修改為非缺省ISP域。
表1-45 配置ISP域的屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
設置ISP域的狀態 |
state { active | block } |
可選 缺省情況下,當一個ISP域被創建以後,其狀態為active,即允許任何屬於該域的用戶請求網絡服務 |
|
設置當前ISP域可容納接入用戶數的限製 |
access-limit enable max-user-number |
可選 缺省情況下,不對當前ISP域可容納的接入用戶數作限製 |
|
設置用戶閑置切斷功能 |
idle-cut enable minute [ flow ] |
可選 缺省情況下,用戶閑置切斷功能處於關閉狀態 此命令目前隻對lan-access、Portal服務類型的用戶有效 |
|
設置自助服務器定位功能 |
self-service-url enable url-string |
可選 缺省情況下,自助服務器定位功能處於關閉狀態 |
|
配置當前ISP域的缺省授權User Profile |
authorization-attribute user-profile profile-name |
可選 缺省情況下,當前ISP域無缺省授權User Profile |
l 如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權User Profile,則係統會將當前ISP域的缺省User Profile下發給該域用戶,當用戶通過認證上線後,其訪問行為將受到User Profile中預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile配置”。
l 自助服務器定位功能需要與支持自助服務的RADIUS服務器配合使用,如iMC。
在AAA中,認證、授權和計費是三個獨立的業務流程。認證的職責是完成各接入或服務請求的用戶名/密碼/用戶信息的交互認證過程,它不會下發授權信息給請求用戶,也不會觸動計費的流程。
AAA支持以下認證方法:
l 不認證(none):對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方法。
l 本地認證(local):認證過程在接入設備上完成,用戶信息(包括用戶名、密碼和各種屬性)配置在接入設備上。優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
l 遠端認證(scheme):認證過程在接入設備和遠端的服務器之間完成,接入設備和遠端服務器之間通過RADIUS、HWTACACS協議通信。優點是用戶信息集中在服務器上統一管理,可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端服務器無效時,可配置本地認證或者不認證作為備選認證方式完成認證。目前,僅lan-access用戶的遠端認證可支持不認證作為備選認證方法。
在AAA中,可以隻使用認證,而不使用授權或計費。如果用戶沒有進行任何配置,則ISP域的缺省認證方法為local。
配置前的準備工作:
(1) 如果用戶使用RADIUS、HWTACACS認證,則需要先配置要引用的RADIUS、HWTACACS方案;如果使用local或none認證,則不需要配置方案。
(2) 確定要配置的接入方式或者服務類型。AAA可以對不同的接入方式和服務類型配置不同的認證方案,並且從配置上限製了用戶接入時使用的認證協議。
(3) 確定是否為所有的接入方式或服務類型配置認證方法。
表1-46 配置ISP域的AAA認證方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
為當前ISP域配置缺省的認證方法 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,當前ISP域的缺省認證方法為local |
|
為lan-access用戶配置認證方法 |
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] } |
可選 缺省情況下,lan-access用戶采用缺省的認證方法 |
|
為login用戶配置認證方法 |
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,login用戶采用缺省的認證方法 |
|
為Portal用戶配置認證方法 |
authentication portal { local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,Portal用戶采用缺省的認證方法 |
|
配置級別切換認證方法 |
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } |
可選 缺省情況下,級別切換認證采用缺省的認證方法 |
l authentication default命令配置的認證方法不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
l 當選擇RADIUS認證方案時,AAA隻接受RADIUS服務器的認證結果,RADIUS授權的信息雖然在認證成功回應的報文中攜帶,但在認證回應的處理流程中不會被處理。
l 如果配置AAA認證方法時指定了參數radius-scheme radius-scheme-name local、hwtacacs-scheme hwtacacs-scheme-name local,則local為遠端服務器沒有正常響應後的備選認證方法。
l 如果local或者none作為第一認證方法,那麼隻能采用本地認證或者不進行認證,不能同時采用遠程認證方法。
l 當使用HWTACACS方案進行級別切換認證時,係統默認使用登錄用戶名進行用戶級別切換認證;當使用RADIUS方案進行級別切換認證時,係統使用RADIUS服務器上配置的“$enab+level$”形式的用戶名替換登錄用戶名進行用戶級別切換認證,其中level為用戶希望切換到的級別。例如,用戶希望切換到級別3,輸入的用戶名為“user1”,在要求攜帶域名認證的情況下,係統使用用戶名“$enab3@domain_name$”進行用戶級別切換認證,否則使用“$enab3$”進行用戶級別切換認證。
在AAA中,授權是一個和認證、計費同級別的獨立流程,其職責是發送授權請求給所配置的授權服務器,授權通過後向用戶下發授權信息。在ISP域的AAA配置中,授權方法為可選配置。
AAA支持以下授權方法:
l 不授權(none):接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console/aux/異步串口或者Telnet、FTP訪問設備的用戶)隻有係統所給予的0級別的命令行訪問權限,其中FTP用戶可訪問設備的根目錄;認證通過的非Login用戶,可直接訪問網絡。
l 本地授權(local):授權過程在接入設備上進行,根據接入設備上為本地用戶配置的相關屬性進行授權。
l 遠端授權(scheme):授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。RADIUS認證成功後,才能進行授權,RADIUS授權信息攜帶在認證回應報文中下發給用戶。HWTACACS協議的授權與認證相分離,在認證成功後,HWTACACS授權信息通過授權報文進行交互。當遠端服務器無效時,可配置本地授權或直接授權作為備選授權方式完成授權。
如果用戶沒有進行任何配置,則ISP域的缺省授權方法為local。
配置前的準備工作:
(1) 如果用戶要使用HWTACACS授權,則需要先配置要引用的HWTACACS方案;如果是RADIUS授權,隻有在認證和授權方法中引用相同的RADIUS方案,授權才起作用。
(2) 確定要配置的接入方式或者服務類型,AAA可以按照不同的接入方式和服務類型進行AAA授權的配置,並且從配置上正確限製了接入所能使用的授權協議。
(3) 確定是否為所有的接入方式或服務類型配置授權方法。
表1-47 配置ISP域的AAA授權方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
為當前ISP域配置缺省的授權方法 |
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,當前ISP域的缺省授權方法為local |
|
配置命令行授權方法 |
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none } |
可選 缺省情況下,命令行授權采用缺省的授權方法 |
|
為lan-access用戶配置授權方法 |
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] } |
可選 缺省情況下,lan-access用戶采用缺省的授權方法 |
|
為login用戶配置授權方法 |
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,login用戶采用缺省的授權方法 |
|
為Portal用戶配置授權方法 |
authorization portal { local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,Portal用戶采用缺省的授權方法 |
l authorization default命令配置的授權方法不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
l 在一個ISP域中,隻有RADIUS授權方法和RADIUS認證方法引用了相同的RADIUS方案,RADIUS授權才能生效。對於所有RADIUS授權失敗的情況,授權失敗返回給NAS的原因為服務器沒有響應。
l 如果配置AAA授權方法時指定了參數radius-scheme radius-scheme-name local、hwtacacs-scheme hwtacacs-scheme-name [ local | none ],則local或none為遠端服務器沒有正常響應後的備選授權方法。
l local或者none作為第一授權方法時,沒有備選授權方式,隻能采用本地授權或者直接授權。
l RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,故不能單獨指定授權服務器。因此,如果使用RADIUS認證和RADIUS授權,必須保證認證和授權方法中引用的RADIUS方案相同,否則係統會給出錯誤提示。
在AAA中,計費是一個和認證、授權同級別的獨立流程,其職責為發送計費開始/更新/結束請求給所配置的計費服務器。計費不是必須使用的。在ISP域的AAA配置中,允許不配置計費方法。如果不配置計費方法,則ISP域的缺省計費方法為local。
AAA支持以下計費方法:
l 不計費(none):不對用戶計費。
l 本地計費(local):計費過程在接入設備上完成,實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。本地計費僅用於配合本地用戶視圖下的access-limit命令來實現對本地用戶連接數的限製功能。
l 遠端計費(scheme):計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時,可配置本地計費或不計費作為備選計費方式完成計費。
配置前的準備工作:
(1) 如果用戶要使用RADIUS或HWTACACS計費,則需要先配置要引用的RADIUS方案或HWTACACS方案;如果要使用local或none計費,則不需要配置方案。
(2) 確定要配置的接入方式或者服務類型,AAA可以支持為按照不同的接入方式和服務類型進行AAA計費的配置,並且從配置上正確限製了接入所能使用的計費協議。
(3) 確定是否為所有的接入方式或服務類型配置計費方法。
表1-48 配置ISP域的AAA計費方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
打開計費可選開關 |
accounting optional |
可選 缺省情況下,ISP域的計費可選開關處於關閉狀態 對用戶進行計費時,若發現沒有可用的計費服務器或與計費服務器通信失敗,在計費開關打開的情況下,用戶可繼續使用網絡資源,否則用戶會被強製下線 |
|
為當前ISP域配置缺省的計費方法 |
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,當前ISP域的缺省計費方法為local |
|
配置命令行計費方法 |
accounting command hwtacacs-scheme hwtacacs-scheme-name |
可選 缺省情況下,命令行計費采用缺省的計費方法 |
|
為lan-access用戶配置計費方法 |
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] } |
可選 缺省情況下,lan-access用戶采用缺省的計費方法 |
|
為login用戶配置計費方法 |
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,login用戶采用缺省的計費方法 |
|
為Portal用戶配置計費方法 |
accounting portal { local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,Portal用戶采用缺省的計費方法 |
l 在計費可選開關打開的情況下,本地用戶的連接數限製功能不生效。
l accounting default命令配置的計費方法不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
l 如果配置AAA計費方法時指定了參數radius-scheme radius-scheme-name local或hwtacacs-scheme hwtacacs-scheme-name local,則local為遠端服務器沒有正常響應後的備選計費方法。
l 如果local或者none作為第一計費方法,那麼隻能采用本地認證或者不進行計費,不能同時采用遠程計費方法。
l login類型的接入中FTP方式不支持計費流程。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
強製切斷指定AAA用戶的連接(分布式設備) |
cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ slot slot-number ] |
必選 此命令目前隻對lan-access、Portal服務類型的用戶有效 |
|
強製切斷指定AAA用戶的連接(分布式IRF 設備) |
cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ chassis chassis-number slot slot-number ] |
必選 此命令目前隻對lan-access、Portal服務類型的用戶有效 |
在某些應用環境中,依靠VLAN來確定用戶的接入位置,而網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要將NAS-ID和VLAN進行綁定。當用戶上線時,與用戶接入VLAN匹配的NAS-ID將被作為RADIUS請求報文中的NAS-Identifier屬性值發送給RADIUS服務器。該綁定配置的具體應用請參見“安全配置指導”中的“Portal配置”。
表1-50 配置NAS-ID與VLAN的綁定
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建NAS-ID Profile,並進入NAS-ID-Profile視圖 |
aaa nas-id profile profile-name |
必選 |
|
設置NAS-ID 與VLAN的綁定關係 |
nas-id nas-identifier bind vlan vlan-id |
必選 缺省情況下,未設置任何綁定關係 |
完成上述配置後,在任意視圖下執行display命令可以顯示配置後AAA的運行情況,通過查看顯示信息驗證配置的效果。
表1-51 AAA顯示和維護
|
操作 |
命令 |
|
顯示所有或指定ISP域的配置信息 |
display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示AAA用戶連接的相關信息 (分布式設備) |
display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示AAA用戶連接的相關信息 (分布式IRF設備) |
display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
通過配置Switch實現HWTACACS服務器對Telnet登錄Switch的用戶進行認證、授權、計費。
l 由一台HWTACACS服務器擔當認證、授權、計費服務器的職責,服務器IP地址為10.1.1.1/24。
l Switch與認證、授權、計費HWTACACS服務器交互報文時的共享密鑰均為expert,向HWTACACS服務器發送的用戶名中不帶域名。
圖1-10 Telnet用戶遠端HWTACACS認證、授權和計費配置組網圖
# 配置各接口的IP地址(略)。
# 開啟Switch的Telnet服務器功能。
<Switch> system-view
[Switch] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] quit
# 創建HWTACACS方案hwtac。
[Switch] hwtacacs scheme hwtac
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為49。
[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49
# 配置主授權服務器的IP地址為10.1.1.1,認證端口號為49。
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49
# 配置主計費服務器的IP地址為10.1.1.1,認證端口號為49。
[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49
# 配置與認證、授權、計費服務器交互報文時的共享密鑰均為expert。
[Switch-hwtacacs-hwtac] key authentication expert
[Switch-hwtacacs-hwtac] key authorization expert
[Switch-hwtacacs-hwtac] key accounting expert
# 配置向HWTACACS服務器發送的用戶名不攜帶域名。
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
[Switch] domain bbb
[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac
[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting login hwtacacs-scheme hwtac
[Switch-isp-bbb] quit
# 或者不區分用戶類型,配置缺省的AAA方法。
[Switch] domain bbb
[Switch-isp-bbb] authentication default hwtacacs-scheme hwtac
[Switch-isp-bbb] authorization default hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting default hwtacacs-scheme hwtac
使用Telnet登陸時輸入用戶名為userid@bbb,以使用域bbb進行認證。
通過配置Switch實現local認證,HWTACACS授權和RADIUS計費。Telnet用戶的用戶名和密碼為hello。
l 一台HWTACACS服務器(擔當授權服務器的職責)與Switch相連,服務器IP地址為10.1.1.2。Switch與授權HWTACACS服務器交互報文時的共享密鑰均為expert,發送給HWTACACS服務器的用戶名中不帶域名。
l 一台RADIUS服務器(擔當計費服務器的職責)與Switch相連,服務器IP地址為10.1.1.1。Switch與計費RADIUS服務器交互報文時的共享密鑰為expert。
其它接入如果需要此類AAA應用,和Telnet接入在域的AAA配置上類似,隻有接入的區分。
圖1-11 Telnet用戶local認證、HWTACACS授權和RADIUS計費配置組網圖
# 配置各接口的IP地址(略)。
# 開啟Switch的Telnet服務器功能。
<Switch> system-view
[Switch] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] quit
# 配置HWTACACS方案。
[Switch] hwtacacs scheme hwtac
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49
[Switch-hwtacacs-hwtac] key authorization expert
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
# 配置RADIUS方案。
[Switch] radius scheme rd
[Switch-radius-rd] primary accounting 10.1.1.1 1813
[Switch-radius-rd] key accounting expert
[Switch-radius-rd] server-type extended
[Switch-radius-rd] user-name-format without-domain
[Switch-radius-rd] quit
# 創建本地用戶hello。
[Switch] local-user hello
[Switch-luser-hello] service-type telnet
[Switch-luser-hello] password simple hello
[Switch-luser-hello] quit
# 配置ISP域的AAA方法。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting login radius-scheme rd
[Switch-isp-bbb] quit
# 或者不區分用戶類型,配置缺省的AAA方法。
[Switch] domain bbb
[Switch-isp-bbb] authentication default local
[Switch-isp-bbb] authorization default hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting default radius-scheme rd
使用Telnet登陸時輸入用戶名為hello@bbb,以使用域bbb進行認證。
Telnet用戶與SSH用戶通過RADIUS服務器進行認證/授權的配置方法類似,下麵的描述以SSH用戶的遠端認證為例。
如圖1-12所示,配置Switch實現RADIUS服務器對登錄Switch的SSH用戶進行認證和授權。
l 由一台iMC服務器擔當認證/授權RADIUS服務器的職責,服務器IP地址為10.1.1.1/24。
l Switch與RADIUS服務器交互報文時使用的共享密鑰為expert,向RADIUS服務器發送的用戶名帶域名。服務器根據用戶名攜帶的域名來區分提供給用戶的服務。
l SSH用戶登錄Switch時使用RADIUS服務器上配置的用戶名hello@bbb以及密碼進行認證,認證通過後的用戶級別為3。
圖1-12 SSH用戶RADIUS認證/授權配置組網圖
(1) 配置RADIUS server (iMC)
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20- R2606、iMC UAM 3.60-E6206),說明RADIUS server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
l 設置與Switch交互報文時使用的認證、計費共享密鑰為“expert”;
l 設置認證及計費的端口號分別為“1812”和“1813”;
l 選擇業務類型為“設備管理業務”;
l 選擇接入設備類型為“H3C”;
l 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
l 單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與Switch發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
l 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
l 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
圖1-13 增加接入設備
# 增加設備管理用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/設備管理用戶]菜單項,進入設備管理用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備管理頁麵。
l 輸入用戶名“hello@bbb”和密碼;
l 選擇服務類型為“SSH”;
l 設置EXEC權限級別為“3”,該值為SSH用戶登錄係統後的用戶級別(缺省為0);
l 增加所管理設備的IP地址,IP地址範圍為“10.1.1.0~10.1.1.255”;
l 單擊<確定>按鈕完成操作。
圖1-14 增加設備管理用戶
(2) 配置Switch
# 配置VLAN接口2的IP地址,SSH客戶端將通過該地址連接SSH服務器。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,Switch將通過該地址與服務器通信。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface3] quit
# 生成RSA及DSA密鑰對,並啟動SSH服務器。
[Switch] public-key local create rsa
[Switch] public-key local create dsa
[Switch] ssh server enable
# 配置SSH用戶登錄采用AAA認證方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 配置用戶遠程登錄Switch的協議為SSH。
[Switch-ui-vty0-4] protocol inbound ssh
[Switch-ui-vty0-4] quit
# 創建RADIUS方案rad。
[Switch] radius scheme rad
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為1812。
[Switch-radius-rad] primary authentication 10.1.1.1 1812
# 配置與認證服務器交互報文時的共享密鑰為expert。
[Switch-radius-rad] key authentication expert
# 配置向RADIUS服務器發送的用戶名攜帶域名。
[Switch-radius-rad] user-name-format with-domain
# 配置RADIUS服務器的服務類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rad] server-type extended
[Switch-radius-rad] quit
# 配置ISP域的AAA方法。
[Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] quit
用戶向Switch發起SSH連接,在SSH客戶端按照提示輸入用戶名hello@bbb及正確的密碼後,可成功進入Switch的用戶界麵,並可以使用級別為0、1、2、3的命令。
# 可以通過如下命令查看到AAA用戶的連接信息。
[Switch] display connection
Index=1 ,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
l 用戶主機與接入設備Switch直接相連,采用直接方式的Portal認證。用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
l 使用RADIUS服務器作為認證/計費服務器。(本例中,RADIUS服務器和Portal服務器位於同一台服務器主機上);
l Switch與RADIUS服務器交互報文時使用的共享密鑰為expert,認證/授權、計費的端口號分別為1812和1813,向RADIUS服務器發送的用戶名攜帶域名。
l 對Portal用戶進行包月方式計費,費用為120元/月,以月為周期對用戶上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖1-15 Portal用戶RADIUS認證、授權和計費配置組網圖
l 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各主機、服務器和設備之間的路由可達。
l 下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),說明RADIUS server和Portal server的基本配置。
(1) 配置RADIUS server
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
l 設置與Switch交互報文時的認證、計費共享密鑰為“expert”;
l 設置認證及計費的端口號分別為“1812”和“1813”;
l 選擇業務類型為“LAN接入業務”;
l 選擇接入設備類型為“H3C”;
l 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與Switch發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
l 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
l 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
圖1-16 增加接入設備
# 增加計費策略。
選擇“業務”頁簽,單擊導航樹中的[計費業務/計費策略管理]菜單項,進入計費策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
l 輸入計費策略名稱“UserAcct”;
l 選擇計費策略模板為“包月類型”;
l 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
l 設置包月使用量限製:允許每月最大上網使用量為120個小時。
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-17 增加計費策略
# 增加服務配置。
選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
l 輸入服務名為“Portal-auth/acct”、服務後綴為“dm1”,此服務後綴為Portal用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
l 選擇計費策略為“UserAcct”;
l 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
l 單擊<確定>按鈕完成操作。
圖1-18 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/所有接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
l 選擇或者手工增加用戶姓名為“hello”;
l 輸入帳號名“portal”和密碼;
l 選擇該用戶所關聯的接入服務為“Portal-auth/acct”;
l 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
l 單擊<確定>按鈕完成操作。
圖1-19 增加接入用戶
(2) 配置Portal server
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務器管理/服務器配置]菜單項,進入服務器配置頁麵。
l 輸入Portal認證主頁地址,形式為http://ip:port/portal,其中ip和port在安裝iMC UAM的時候確定,port一般使用缺省值8080即可;
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-20 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務器管理/IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
l 輸入IP地址組名為“Portal_user”;
l 輸入起始地址為“192.168.1.1”、終止地址為“192.168.1.255”。用戶主機IP地址必須包含在該IP地址組範圍內;
l 選擇不進行NAT;
l 單擊<確定>按鈕完成操作。
圖1-21 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務器管理/設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
l 輸入設備名為“NAS”;
l 輸入IP地址為“192.168.1.70”,該地址為與接入用戶相連的設備接口IP地址;
l 輸入密鑰為“portal”,該密鑰與接入設備Switch上的配置保持一致;
l 選擇是否進行二次地址分配,本例中為直接認證,因此為“否”;
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-22 增加設備信息配置頁麵
# Portal設備關聯IP地址組。
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-23 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
l 輸入端口組名為“group”;
l 選擇IP地址組為“Portal_user”,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-24 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(3) 配置Switch
l 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rs1] primary authentication 10.1.1.1
[Switch-radius-rs1] primary accounting 10.1.1.1
[Switch-radius-rs1] key authentication expert
[Switch-radius-rs1] key accounting expert
# 配置發送給RADIUS服務器的用戶名攜帶ISP域名。
[Switch-radius-rs1] user-name-format with-domain
[Switch-radius-rs1] quit
l 配置認證域
# 創建並進入名字為dm1的ISP域。
[Switch] domain dm1
# 配置ISP域的RADIUS方案rs1。
[Switch-isp-dm1] authentication portal radius-scheme rs1
[Switch-isp-dm1] authorization portal radius-scheme rs1
[Switch-isp-dm1] accounting portal radius-scheme rs1
[Switch-isp-dm1] quit
# 配置係統缺省的ISP域dm1,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable dm1
l 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為10.1.1.1,密鑰為portal,端口為50100,URL為http://10.1.1.1:8080/portal。
[Switch] portal server newpt ip 10.1.1.1 key portal port 50100 url http://10.1.1.1:8080/portal
# 在與用戶Host相連的接口上使能Portal認證。
[Switch] interface vlan-interface 2
[Switch–Vlan-interface2] portal server newpt method direct
[Switch–Vlan-interface2] quit
用戶既可以使用H3C的iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://10.1.1.1:8080/portal,且發起的Web訪問請求均被重定向到該認證頁麵,通過認證後,即可訪問非受限的互聯網資源。
認證通過後,可通過執行以下顯示命令查看Switch上生成的Portal在線用戶信息。
[Switch] display portal user interface vlan-interface 2
Index:19
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
---------------------------------------------------------------------
0015-e9a6-7cfe 192.168.1.58 2 Vlan-interface2
Total 1 user(s) matched, 1 listed.
# 可以通過如下命令查看到AAA用戶的連接信息。
[Switch] display connection
Index=20 ,Username=portal@dm1
MAC=00-15-E9-A6-7C-FE
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
在圖1-25所示的組網環境中,需要實現使用RADIUS服務器對通過Switch接入的802.1X用戶進行認證、授權和計費。
l 在接入端口GigabitEthernet2/0/1上對接入用戶進行802.1X認證,並采用基於MAC地址的接入控製方式,即該端口下的所有用戶都需要單獨認證;
l Switch與RADIUS服務器交互報文時使用的共享密鑰為expert,認證/授權、計費的端口號分別為1812和1813,向RADIUS服務器發送的用戶名攜帶域名;
l 用戶認證時使用的用戶名為dot1x@bbb。
l 用戶認證成功後,認證服務器授權下發VLAN 4,將用戶所在端口加入該VLAN,允許用戶訪問該VLAN中的網絡資源。
l 對802.1X用戶進行包月方式計費,費用為120元/月,以月為周期對用戶上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖1-25 802.1X用戶RADIUS認證、授權和計費配置組網圖
l 請按照組網圖完成端口和VLAN的配置,並保證在用戶通過認證後能夠自動或者手動更新IP地址與授權VLAN中的資源互通。
l 下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),說明RADIUS server的基本配置。
(1) 配置RADIUS server
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
l 設置與Switch交互報文時的認證、計費共享密鑰為“expert”;
l 設置認證及計費的端口號分別為“1812”和“1813”;
l 選擇業務類型為“LAN接入業務”;
l 選擇接入設備類型為“H3C”;
l 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與Switch發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
l 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
l 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
圖1-26 增加接入設備
# 增加計費策略。
選擇“業務”頁簽,單擊導航樹中的[計費業務/計費策略管理]菜單項,進入計費策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
l 輸入計費策略名稱“UserAcct”;
l 選擇計費策略模板為“包月類型”;
l 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
l 設置包月使用量限製:允許每月最大上網使用量為120個小時。
l 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-27 增加計費策略
# 增加服務配置。
選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
l 輸入服務名為“Dot1x auth”、服務後綴為“bbb”,此服務後綴為802.1X用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
l 選擇計費策略為“UserAcct”;
l 配置授權下發的VLAN ID為“4”;
l 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
l 單擊<確定>按鈕完成操作。
圖1-28 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/所有接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
l 選擇或者手工增加用戶姓名為“test”;
l 輸入帳號名“dot1x”和密碼;
l 選擇該用戶所關聯的接入服務為“Dot1x auth”;
l 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
l 單擊<確定>按鈕完成操作。
圖1-29 增加接入用戶
(2) 配置Switch
l 配置RADIUS方案
# 創建名字為rad的RADIUS方案並進入該方案視圖。
<Switch> system-view
[Switch] radius scheme rad
# 配置RADIUS方案的服務器類型。使用iMC服務器時,RADIUS服務器類型應選擇extended。
[Switch-radius-rad] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[Switch-radius-rad] primary authentication 10.1.1.1
[Switch-radius-rad] primary accounting 10.1.1.1
[Switch-radius-rad] key authentication expert
[Switch-radius-rad] key accounting expert
# 配置發送給RADIUS服務器的用戶名攜帶ISP域名。
[Switch-radius-rad] user-name-format with-domain
[Switch-radius-rad] quit
l 配置認證域
# 創建並進入名字為bbb的ISP域。
[Switch] domain bbb
# 配置ISP域的RADIUS方案rad。
[Switch-isp-bbb] authentication lan-access radius-scheme rad
[Switch-isp-bbb] authorization lan-access radius-scheme rad
[Switch-isp-bbb] accounting lan-access radius-scheme rad
[Switch-isp-bbb] quit
# 配置係統缺省的ISP域bbb,所有接入用戶共用此缺省域的認證和計費方式。若用戶登錄時輸入的用戶名未攜帶ISP域名,則使用缺省域下的認證方法。
[Switch] domain default enable bbb
l 配置802.1X認證
# 開啟全局802.1X認證。
[Switch] dot1x
# 開啟端口GigabitEthernet2/0/1的802.1X認證。
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] dot1x
[Switch-GigabitEthernet2/0/1] quit
# 設置接入控製方式(該命令可以不配置,因為端口的接入控製在缺省情況下就是基於MAC地址的)。
[Switch] dot1x port-method macbased interface gigabitethernet 2/0/1
l 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“MD5-質詢”。
l 若使用iNode 802.1X客戶端,則無需啟用任何高級認證選項。
對於使用iNode 802.1X客戶端的用戶,在客戶端的用戶屬性中輸入正確的用戶名“dot1x@bbb”和密碼後,通過主動發起連接可成功通過認證;對於使用Windows XP 802.1X客戶端的用戶,在係統自動彈出的認證對話框中輸入正確的用戶名“dot1x@bbb”和密碼後,可成功通過認證。認證通過後,服務器向該用戶所在端口授權下發了VLAN 4。
# 可以通過如下命令查看到AAA用戶的連接信息。
[Switch] display connection
Slot: 1
Index=22 , Username=dot1x@bbb
IP=192.168.1.58
IPv6=N/A
MAC=0015-e9a6-7cfe
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
# 可以通過如下命令查看該連接的詳細信息,其中授權VLAN為VLAN 4。
[Switch] display connection ucibindex 22
Slot: 1
Index=22 , Username=dot1x@bbb
MAC=0015-e9a6-7cfe
IP=192.168.1.58
IPv6=N/A
Access=8021X ,AuthMethod=CHAP
Port Type=Ethernet,Port Name=GigabitEthernet2/0/1
Initial VLAN=1, Authorization VLAN=4
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-04-26 19:41:12 ,Current=2009-04-26 19:41:25 ,Online=00h00m14s
Total 1 connection matched.
如圖1-30所示,Telnet用戶主機與Switch直接相連,Switch與一台HWTACACS服務器相連,需要配置Switch實現對登錄Switch的Telnet用戶進行用戶級別切換認證。具體要求如下:
Telnet用戶登錄Switch時進行本地認證,登錄後所能訪問的命令級別為0級,當進行由低到高的用戶級別切換時,首先使用HWTACACS認證,若AAA配置無效或者HWTACACS服務器沒有響應則轉為local認證。
圖1-30 Telnet用戶遠端HWTACACS用戶級別切換認證配置組網圖
在交換機上的配置思路如下:
(1) 配置Telnet用戶登錄采用AAA認證方式(scheme),並且使用AAA中的本地認證。
l 創建ISP域bbb,配置Telnet用戶登錄時采用的login認證方法為local。
l 創建本地用戶,配置Telnet用戶登錄密碼及登錄後的用戶級別。
(2) Telnet用戶進行由低到高的用戶級別切換時,首先使用HWTACACS認證,若AAA配置無效或者HWTACACS服務器沒有響應則轉為本地認證。
l 配置用戶級別切換認證方式為scheme local。
l 配置HWTACACS方案hwtac,指定HWTACACS服務器IP地址及與其進行交互的相關參數(HWTACACS協議報文交互時使用的共享密鑰,Switch發送給HWTACACS服務器的用戶名不帶域名)。在ISP域bbb下配置級別切換認證方法為hwtac。
l 配置采用本地認證方式時的級別切換密碼。
在HWTACACS server上需要添加用於級別切換認證的用戶名和密碼。
(1) 配置Switch
# 配置VLAN接口2的IP地址,Telnet客戶端將通過該地址連接Switch。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,Switch將通過該地址與服務器通信。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface3] quit
# 開啟Switch的Telnet服務器功能。
[Switch] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] quit
# 配置進行由低到高的用戶級別切換時的級別切換認證方式為scheme local。(首先使用HWTACACS認證,若AAA配置無效或者HWTACACS服務器沒有響應則轉為本地認證)
[Switch] super authentication-mode scheme local
# 創建HWTACACS方案hwtac。
[Switch] hwtacacs scheme hwtac
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為49。
[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49
# 配置與認證服務器交互報文時的共享密鑰為expert。
[Switch-hwtacacs-hwtac] key authentication expert
# 配置向HWTACACS服務器發送的用戶名不攜帶域名。
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
# 創建ISP域bbb。
[Switch] domain bbb
# 配置Telnet用戶登錄認證方法為本地認證。
[Switch-isp-bbb] authentication login local
# 配置用戶級別切換認證方法為hwtac。
[Switch-isp-bbb] authentication super hwtacacs-scheme hwtac
[Switch-isp-bbb] quit
# 創建本地Telnet用戶test。
[Switch] local-user test
[Switch-luser-test] service-type telnet
[Switch-luser-test] password simple aabbcc
# 指定Telnet用戶登錄係統後所能訪問的命令級別為0級。
[Switch-luser-test] authorization-attribute level 0
[Switch-luser-test] quit
# 配置用戶級別切換認證方式為本地認證時,切換用戶級別使用的密碼為654321。
[Switch] super password simple 654321
[Switch] quit
(2) 配置HWTACACS server
下麵以ACSv4.0為例,說明該例中HWTACACS server的基本配置。
在HWTACACS server上添加用戶test,對該用戶的高級屬性進行設置。
l 設置Enable Password為enabpass;
l 設置Max Privilege為Level 3,表示用戶級別切換到1~3時均使用密碼enabpass進行認證。
圖1-31 設置Telnet用戶的高級屬性
在本例中,對於新增用戶test,隻需按照上圖保證Enable密碼配置正確即可。
(1) Telnet用戶建立與Switch的連接
在Telnet客戶端按照提示輸入用戶名test@bbb及密碼aabbcc,即可進入Switch的用戶界麵,且所隻能訪問級別為0級的命令。
<Switch> telnet 192.168.1.70
Trying 192.168.1.70 ...
Press CTRL+K to abort
Connected to 192.168.1.70 ...
******************************************************************************
* Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login authentication
Username:test@bbb
Password:
<Switch> ?
User view commands:
cluster Run cluster command
display Display current system information
ping Ping function
quit Exit from current command view
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function
(2) 切換用戶級別
# 在當前的用戶界麵下執行切換用戶級別到3級的命令,按照提示輸入HWTACACS級別切換認證密碼enabpass,若認證成功即可將當前Telnet用戶的級別切換到3級。
<Switch> super 3
Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
若ACS服務器無響應,按照提示輸入本地級別切換認證密碼654321,若認證成功即可將當前Telnet用戶的級別切換到3級。
<Switch> super 3
Password: <——此處需輸入HWTACACS級別切換認證密碼
Error: Invalid configuration or no response from the authentication server.
Info: Change authentication mode to local.
Password: <——此處需輸入本地級別切換認證密碼
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
用戶認證/授權總是失敗。
(1) 設備與RADIUS服務器之間存在通信故障。
(2) 用戶名不是“userid@isp-name”的形式,或設備沒有指定缺省的ISP域。
(3) RADIUS服務器的數據庫中沒有配置該用戶。
(4) 用戶側輸入的密碼不正確。
(5) RADIUS服務器和設備的報文共享密鑰不同。
(1) 使用ping命令檢查設備與RADIUS服務器是否可達。
(2) 使用正確形式的用戶名或在設備中設定缺省的ISP域。
(3) 檢查RADIUS服務器的數據庫以保證該用戶的配置信息確實存在。
(4) 確保接入用戶輸入正確的密碼。
(5) 檢查兩端的共享密鑰,並確保兩端一致。
RADIUS報文無法傳送到RADIUS服務器。
(1) 設備與RADIUS服務器之間的通信線路不通(物理層/鏈路層)。
(2) 設備上沒有設置相應的RADIUS服務器IP地址。
(3) 認證/授權和計費服務的UDP端口設置不正確。
(4) RADIUS服務器的認證/授權和計費端口被其它應用程序占用。
(1) 確保線路通暢。
(2) 確保正確設置RADIUS服務器的IP地址。
(3) 確保與RADIUS服務器提供的端口號一致。
(4) 確保RADIUS服務器上的認證/授權和計費端口可用。
用戶認證通過並獲得授權,但是計費功能出現異常。
(1) 計費端口號設置不正確。
(2) 計費服務器和認證/授權服務器不是同一台機器,設備卻要求認證/授權和計費功能屬於同一個服務器(IP地址相同)。
(1) 正確設置RADIUS計費端口號。
(2) 確保設備的認證/授權和計費服務器的設置與實際情況相同。
HWTACACS的常見配置錯誤舉例與RADIUS基本相似,可以參考以上內容。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
