- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
01-AAA配置
本章節下載: 01-AAA配置 (2 MB)
1.10.1 Telnet用戶通過HWTACACS服務器認證和授權的應用配置
1.10.2 Telnet用戶通過local認證、HWTACACS授權的應用配置
1.10.3 無線用戶通過RADIUS服務器認證、授權、計費的應用配置
1.10.5 Portal用戶的RADIUS認證、授權和計費配置
1.10.6 802.1X用戶的RADIUS認證、授權和計費配置
1.10.8 802.1X用戶的RADIUS Offload認證、授權、計費配置
1.10.9 Telnet用戶通過HWTACACS服務器進行用戶級別切換認證的應用配置
1.10.10 配置使用LDAP身份驗證方式的本地EAP認證
AAA是Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機製,提供了認證、授權、計費三種安全功能。
· 認證:確認訪問網絡的遠程用戶的身份,判斷訪問者是否為合法的網絡用戶。
· 授權:對不同用戶賦予不同的權限,限製用戶可以使用的服務。例如用戶成功登錄服務器後,管理員可以授權用戶對服務器中的文件進行訪問和打印操作。
· 計費:記錄用戶使用網絡服務中的所有操作,包括使用的服務類型、起始時間、數據流量等,它不僅是一種計費手段,也對網絡安全起到了監視作用。
AAA一般采用客戶機/服務器結構,客戶端運行於NAS(Network Access Server,網絡接入服務器)上,服務器上則集中管理用戶信息。NAS對於用戶來講是服務器端,對於服務器來說是客戶端。AAA的基本組網結構如圖1-1。
圖1-1 AAA基本組網結構示意圖
當用戶想要通過某網絡與NAS建立連接,從而獲得訪問其它網絡的權利或取得某些網絡資源的權利時,NAS起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器(RADIUS服務器或HWTACACS服務器),RADIUS協議或HWTACACS協議規定了NAS與服務器之間如何傳遞用戶信息。
圖1-1的AAA基本組網結構中有兩台服務器,用戶可以根據實際組網需求來決定認證、授權、計費功能分別由使用哪種協議類型的服務器來承擔。例如,可以選擇HWTACACS服務器實現認證和授權,RADIUS服務器實現計費。
當然,用戶也可以隻使用AAA提供的一種或兩種安全服務。例如,公司僅僅想讓員工在訪問某些特定資源的時候進行身份認證,那麼網絡管理員隻要配置認證服務器就可以了。但是若希望對員工使用網絡的情況進行記錄,那麼還需要配置計費服務器。
AAA可以通過多種協議來實現,目前設備支持基於RADIUS協議、HWTACACS協議或LDAP協議來實現AAA,在實際應用中,最常使用RADIUS協議。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。該協議定義了RADIUS的報文格式及其消息傳輸機製,並規定使用UDP作為封裝RADIUS報文的傳輸層協議(UDP端口1812、1813分別作為認證、計費端口)。
RADIUS最初僅是針對撥號用戶的AAA協議,後來隨著用戶接入方式的多樣化發展,RADIUS也適應多種用戶接入方式,如以太網接入、ADSL接入。它通過認證授權來提供接入服務,通過計費來收集、記錄用戶對網絡資源的使用。
· 客戶端:RADIUS客戶端一般位於NAS上,可以遍布整個網絡,負責傳輸用戶信息到指定的RADIUS服務器,然後根據從服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
· 服務器:RADIUS服務器一般運行在中心計算機或工作站上,維護相關的用戶認證和網絡服務訪問信息,負責接收用戶連接請求並認證用戶,然後給客戶端返回所有需要的信息(如接受/拒絕認證請求)。
RADIUS服務器通常要維護三個數據庫,如圖1-2所示:
圖1-2 RADIUS服務器的組成
· “Users”:用於存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置信息)。
· “Clients”:用於存儲RADIUS客戶端的信息(如NAS的共享密鑰、IP地址等)。
· “Dictionary”:用於存儲RADIUS協議中的屬性和屬性值含義的信息。
RADIUS客戶端和RADIUS服務器之間認證消息的交互是通過共享密鑰的參與來完成的,並且共享密鑰不能通過網絡來傳輸,增強了信息交互的安全性。另外,為防止用戶密碼在不安全的網絡上傳遞時被竊取,在傳輸過程中對密碼進行了加密。
RADIUS服務器支持多種方法來認證用戶,如基於PPP的PAP、CHAP認證。另外,RADIUS服務器還可以作為一個代理,以RADIUS客戶端的身份與其它的RADIUS認證服務器進行通信,負責轉發RADIUS認證和計費報文。
用戶、RADIUS客戶端和RADIUS服務器之間的交互流程如圖1-3所示。
圖1-3 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用戶發起連接請求,向RADIUS客戶端發送用戶名和密碼。
(2) RADIUS客戶端根據獲取的用戶名和密碼,向RADIUS服務器發送認證請求包(Access-Request),其中的密碼在共享密鑰的參與下由MD5算法進行加密處理。
(3) RADIUS服務器對用戶名和密碼進行認證。如果認證成功,RADIUS服務器向RADIUS客戶端發送認證接受包(Access-Accept);如果認證失敗,則返回認證拒絕包(Access-Reject)。由於RADIUS協議合並了認證和授權的過程,因此認證接受包中也包含了用戶的授權信息。
(4) RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入,則RADIUS客戶端向RADIUS服務器發送計費開始請求包(Accounting-Request)。
(5) RADIUS服務器返回計費開始響應包(Accounting-Response),並開始計費。
(6) 用戶開始訪問網絡資源;
(7) 用戶請求斷開連接,RADIUS客戶端向RADIUS服務器發送計費停止請求包(Accounting-Request)。
(8) RADIUS服務器返回計費結束響應包(Accounting-Response),並停止計費。
(9) 用戶結束訪問網絡資源。
RADIUS采用UDP報文來傳輸消息,通過定時器管理機製、重傳機製、備用服務器機製,確保RADIUS服務器和客戶端之間交互消息的正確收發。RADIUS報文結構如圖1-4所示。
圖1-4 RADIUS報文結構
各字段的解釋如下:
(1) Code域
長度為1個字節,用於說明RADIUS報文的類型,如表1-1所示。
表1-1 Code域的主要取值說明
|
Code |
報文類型 |
報文說明 |
|
1 |
Access-Request認證請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,由Server判斷是否接入該用戶。該報文中必須包含User-Name屬性,可選包含NAS-IP-Address、User-Password、NAS-Port等屬性 |
|
2 |
Access-Accept認證接受包 |
方向Server->Client,如果Access-Request報文中的所有Attribute值都可以接受(即認證通過),則傳輸該類型報文 |
|
3 |
Access-Reject認證拒絕包 |
方向Server->Client,如果Access-Request報文中存在任何無法被接受的Attribute值(即認證失敗),則傳輸該類型報文 |
|
4 |
Accounting-Request計費請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,請求Server開始/停止計費,由該報文中的Acct-Status-Type屬性區分計費開始請求和計費結束請求 |
|
5 |
Accounting-Response計費響應包 |
方向Server->Client,Server通知Client已經收到Accounting-Request報文,並且已經正確記錄計費信息 |
(2) Identifier域
長度為1個字節,用於匹配請求包和響應包,以及檢測在一段時間內重發的請求包。類型一致的請求包和響應包的Identifier值相同。
(3) Length域
長度為2個字節,表示RADIUS數據包(包括Code、Identifier、Length、Authenticator和Attribute)的長度,範圍從20~4096。超過Length域的字節將作為填充字符被忽略。如果接收到的包的實際長度小於Length域的值時,則包會被丟棄。
(4) Authenticator域
長度為16個字節,用於驗證RADIUS服務器的應答報文,另外還用於用戶密碼的加密。Authenticator包括兩種類型:Request Authenticator和Response Authenticator。
(5) Attribute域
不定長度,用於攜帶專門的認證、授權和計費信息,提供請求和響應報文的配置細節。Attribute可包括多個屬性,每一個屬性都采用(Type、Length、Value)三元組的結構來表示。
· 類型(Type),1個字節,取值為1~255,用於表示屬性的類型,表1-2列出了RADIUS認證、授權、計費常用的屬性。
· 長度(Length),表示該屬性(包括類型、長度和屬性)的長度,單位為字節。
· 屬性值(Value),表示該屬性的信息,其格式和內容由類型和長度決定,最大長度為253字節。
|
屬性編號 |
屬性名稱 |
屬性編號 |
屬性名稱 |
|
1 |
User-Name |
45 |
Acct-Authentic |
|
2 |
User-Password |
46 |
Acct-Session-Time |
|
3 |
CHAP-Password |
47 |
Acct-Input-Packets |
|
4 |
NAS-IP-Address |
48 |
Acct-Output-Packets |
|
5 |
NAS-Port |
49 |
Acct-Terminate-Cause |
|
6 |
Service-Type |
50 |
Acct-Multi-Session-Id |
|
7 |
Framed-Protocol |
51 |
Acct-Link-Count |
|
8 |
Framed-IP-Address |
52 |
Acct-Input-Gigawords |
|
9 |
Framed-IP-Netmask |
53 |
Acct-Output-Gigawords |
|
10 |
Framed-Routing |
54 |
(unassigned) |
|
11 |
Filter-ID |
55 |
Event-Timestamp |
|
12 |
Framed-MTU |
56-59 |
(unassigned) |
|
13 |
Framed-Compression |
60 |
CHAP-Challenge |
|
14 |
Login-IP-Host |
61 |
NAS-Port-Type |
|
15 |
Login-Service |
62 |
Port-Limit |
|
16 |
Login-TCP-Port |
63 |
Login-LAT-Port |
|
17 |
(unassigned) |
64 |
Tunnel-Type |
|
18 |
Reply-Message |
65 |
Tunnel-Medium-Type |
|
19 |
Callback-Number |
66 |
Tunnel-Client-Endpoint |
|
20 |
Callback-ID |
67 |
Tunnel-Server-Endpoint |
|
21 |
(unassigned) |
68 |
Acct-Tunnel-Connection |
|
22 |
Framed-Route |
69 |
Tunnel-Password |
|
23 |
Framed-IPX-Network |
70 |
ARAP-Password |
|
24 |
State |
71 |
ARAP-Features |
|
25 |
Class |
72 |
ARAP-Zone-Access |
|
26 |
Vendor-Specific |
73 |
ARAP-Security |
|
27 |
Session-Timeout |
74 |
ARAP-Security-Data |
|
28 |
Idle-Timeout |
75 |
Password-Retry |
|
29 |
Termination-Action |
76 |
Prompt |
|
30 |
Called-Station-Id |
77 |
Connect-Info |
|
31 |
Calling-Station-Id |
78 |
Configuration-Token |
|
32 |
NAS-Identifier |
79 |
EAP-Message |
|
33 |
Proxy-State |
80 |
Message-Authenticator |
|
34 |
Login-LAT-Service |
81 |
Tunnel-Private-Group-id |
|
35 |
Login-LAT-Node |
82 |
Tunnel-Assignment-id |
|
36 |
Login-LAT-Group |
83 |
Tunnel-Preference |
|
37 |
Framed-AppleTalk-Link |
84 |
ARAP-Challenge-Response |
|
38 |
Framed-AppleTalk-Network |
85 |
Acct-Interim-Interval |
|
39 |
Framed-AppleTalk-Zone |
86 |
Acct-Tunnel-Packets-Lost |
|
40 |
Acct-Status-Type |
87 |
NAS-Port-Id |
|
41 |
Acct-Delay-Time |
88 |
Framed-Pool |
|
42 |
Acct-Input-Octets |
89 |
(unassigned) |
|
43 |
Acct-Output-Octets |
90 |
Tunnel-Client-Auth-id |
|
44 |
Acct-Session-Id |
91 |
Tunnel-Server-Auth-id |
· 表1-2中所列的屬性由RFC 2865、RFC 2866、RFC 2867和RFC 2868所定義。
· 常用RADIUS標準屬性的介紹請參見“1.1.7 1. 常用RADIUS標準屬性”。
RADIUS協議具有良好的可擴展性,RFC 2865中定義的26號屬性(Vendor-Specific)用於設備廠商對RADIUS進行擴展,以實現標準RADIUS沒有定義的功能。
設備廠商可以封裝多個自定義的“(Type、Length、Value)”子屬性來擴展RADIUS。如圖1-5所示,26號屬性報文內封裝的子屬性包括以下四個部分:
· Vendor-ID,表示廠商代號,最高字節為0,其餘3字節的編碼見RFC 1700。H3C公司的Vendor-ID是25506。H3C RADIUS擴展屬性的介紹請參見“1.1.7 2. H3C RADIUS擴展屬性”。
· Vendor-Type,表示子屬性類型。
· Vendor-Length,表示子屬性長度。
· Vendor-Data,表示子屬性的內容。
HWTACACS(HW Terminal Access Controller Access Control System,HW終端訪問控製器控製係統協議)是在TACACS(RFC 1492)基礎上進行了功能增強的安全協議。該協議與RADIUS協議類似,采用客戶端/服務器模式實現NAS與HWTACACS服務器之間的通信。
HWTACACS協議主要用於PPP(Point-to-Point Protocol,點對點協議)和VPDN(Virtual Private Dial-up Network,虛擬私有撥號網絡)接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權以及對終端用戶執行的操作進行記錄。設備作為HWTACACS的客戶端,將用戶名和密碼發給HWTACACS服務器進行驗證,用戶驗證通過並得到授權之後可以登錄到設備上進行操作,HWTACACS服務器上會記錄用戶對設備執行過的命令。
HWTACACS協議與RADIUS協議都實現了認證、授權、計費的功能,它們有很多相似點:結構上都采用客戶端/服務器模式;都使用公共密鑰對傳輸的用戶信息進行加密;都有較好的靈活性和可擴展性。兩者之間存在的主要區別如表1-3所示。
表1-3 HWTACACS協議和RADIUS協議區別
|
HWTACACS協議 |
RADIUS協議 |
|
使用TCP,網絡傳輸更可靠 |
使用UDP,網絡傳輸效率更高 |
|
除了HWTACACS報文頭,對報文主體全部進行加密 |
隻對驗證報文中的密碼字段進行加密 |
|
協議報文較為複雜,認證和授權分離,使得認證、授權服務可以分離在不同的安全服務器上實現。例如,可以用一個HWTACACS服務器進行認證,另外一個HWTACACS服務器進行授權 |
協議報文比較簡單,認證和授權結合,難以分離 |
|
支持對設備的配置命令進行授權使用。用戶可使用的命令行受到用戶級別和AAA授權的雙重限製,某一級別的用戶輸入的每一條命令都需要通過HWTACACS服務器授權,如果授權通過,命令就可以被執行 |
不支持對設備的配置命令進行授權使用 用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行 |
下麵以Telnet用戶為例,說明使用HWTACACS對用戶進行認證、授權和計費的過程。基本消息交互流程圖如圖1-6所示。
圖1-6 Telnet用戶認證、授權和計費流程圖
在整個過程中的基本消息交互流程如下:
(1) Telnet用戶請求登錄設備。
(2) HWTACACS客戶端收到請求之後,向HWTACACS服務器發送認證開始報文。
(3) HWTACACS服務器發送認證回應報文,請求用戶名。
(4) HWTACACS客戶端收到回應報文後,向用戶詢問用戶名。
(5) 用戶輸入用戶名。
(6) HWTACACS客戶端收到用戶名後,向HWTACACS服務器發送認證持續報文,其中包括了用戶名。
(7) HWTACACS服務器發送認證回應報文,請求登錄密碼。
(8) HWTACACS客戶端收到回應報文,向用戶詢問登錄密碼。
(9) 用戶輸入密碼。
(10) HWTACACS客戶端收到登錄密碼後,向HWTACACS服務器發送認證持續報文,其中包括了登錄密碼。
(11) HWTACACS服務器發送認證回應報文,指示用戶通過認證。
(12) HWTACACS客戶端向HWTACACS服務器發送授權請求報文。
(13) HWTACACS服務器發送授權回應報文,指示用戶通過授權。
(14) HWTACACS客戶端收到授權回應成功報文,向用戶輸出設備的配置界麵。
(15) HWTACACS客戶端向HWTACACS服務器發送計費開始報文。
(16) HWTACACS服務器發送計費回應報文,指示計費開始報文已經收到。
(17) 用戶請求斷開連接。
(18) HWTACACS客戶端向HWTACACS服務器發送計費結束報文。
(19) HWTACACS服務器發送計費結束報文,指示計費結束報文已經收到。
LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)是一種基於TCP/IP的目錄訪問協議,用於提供跨平台的、基於標準的目錄服務。它是在繼承了X.500協議優點的基礎上發展起來的,並對X.500在讀取、瀏覽和查詢操作方麵進行了改進,適合於存儲那些不經常改變的數據。
LDAP協議的典型應用是用來保存係統中的用戶信息,如Microsoft的Windows操作係統就使用了Active Directory Server來保存操作係統的用戶、用戶組等信息,用於用戶登錄Windows時的認證和授權。
LDAP中使用目錄記錄並管理係統中的組織信息、人員信息以及資源信息,目錄是按照樹型結構組織,由多個條目(Entry)組成的。條目是具有DN(Distinguished Name,可區別名)的屬性(Attribute)集合。
LDAP的目錄服務功能建立在Client/Server的基礎之上,所有的目錄信息數據存儲在LDAP服務器上。目前,Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server都是常用的LDAP服務器軟件。
LDAP協議中定義了多種操作來實現LDAP的各種功能,用於認證和授權的操作主要為綁定和查詢。
· 綁定操作的作用有兩個:一是與LDAP服務器建立連接並獲取LDAP服務器的訪問權限。二是用於檢查用戶信息的合法性。
· 查詢操作就是構造查詢條件,並獲取LDAP服務器的目錄資源信息的過程。
使用LDAP協議進行認證時,其基本的工作流程如下:
(1) LDAP客戶端使用LDAP服務器管理員DN與LDAP服務器進行綁定,與LDAP服務器建立連接並獲得查詢權限。
(2) LDAP客戶端使用認證信息中的用戶名構造查詢條件,在LDAP服務器指定根目錄下查詢此用戶,得到用戶的DN。
(3) LDAP客戶端使用用戶DN和用戶密碼與LDAP服務器進行綁定,檢查用戶密碼是否正確。
使用LDAP協議進行授權的過程與認證過程相似,首先必須通過與LDAP服務器進行綁定,建立與服務器的連接,然後在此連接的基礎上通過查詢操作得到用戶的授權信息。與認證過程稍有不同的是,在查詢用戶DN時,除能夠獲得用戶DN外,還可以獲得用戶信息中的授權信息。如果查詢用戶DN時便能夠獲得相應的授權信息,則授權過程與認證過程相同;否則還需要再次以LDAP服務器管理員身份與LDAP服務器進行綁定,並在獲得相應的目錄查詢權限後,使用查詢到的用戶DN構造查詢條件,繼續對該用戶的其它授權信息進行查詢。
下麵以Telnet用戶登錄設備為例,說明如何使用LDAP來對用戶進行的認證和授權。基本消息交互流程如圖1-7所示。
圖1-7 LDAP認證的基本消息交互流程
在整個過程中的基本消息交互流程如下:
(1) 用戶發起連接請求,向LDAP客戶端發送用戶名和密碼。
(2) LDAP客戶端收到請求之後,與LDAP服務器建立TCP連接。
(3) LDAP客戶端以管理員DN和管理員DN密碼為參數向LDAP服務器發送管理員綁定請求報文(Administrator Bind Request)獲得查詢權限。
(4) LDAP服務器進行綁定請求報文的處理。如果綁定成功,則向LDAP客戶端發送綁定成功的回應報文。
(5) LDAP客戶端以輸入的用戶名為參數,向LDAP服務器發送用戶DN查詢請求報文(User DN Search Request)。
(6) LDAP服務器收到查詢請求報文後,根據報文中的查詢起始地址、查詢範圍、以及過濾條件,對用戶DN進行查找。如果查詢成功,則向LDAP客戶端發送查詢成功的回應報文。查詢得到的用戶DN可以是一或多個。
(7) LDAP客戶端以查詢得到的用戶DN和用戶輸入的密碼為參數,向LDAP服務器發送用戶DN綁定請求報文(User DN Bind Request),檢查用戶密碼是否正確。
(8) LDAP服務器進行綁定請求報文的處理。
· 如果綁定成功,則向LDAP客戶端發送綁定成功的回應報文。
· 如果綁定失敗,則向LDAP客戶端發送綁定失敗的回應報文。LDAP客戶端以下一個查詢到的用戶DN(如果存在的話)為參數,繼續向服務器發送綁定請求,直至有一個DN綁定成功,或者所有DN均綁定失敗。如果所有用戶DN都綁定失敗,則LDAP客戶端通知用戶登錄失敗並拒絕用戶接入。
(9) LDAP客戶端與LDAP服務器進行授權報文的交互。如果需要使用其它方案(如HWTACACS等)繼續進行授權,則與對應服務器進行授權報文的交互。
(10) 授權成功之後,LDAP客戶端通知用戶登錄成功。
目前設備暫不支持使用LDAP進行授權,可以配置HWTACACS作為授權方案配合LDAP認證方案,具體配置請參考“1.3.3 配置HWTACACS方案”。
一個ISP(Internet Service Provider,Internet服務提供者)域是由屬於同一個ISP的用戶構成的群體。
NAS對用戶的管理是基於ISP域的,每個接入用戶都屬於一個ISP域。用戶所屬的ISP域是由用戶登錄時提供的用戶名決定的,如圖1-8所示。
用戶的認證、授權、計費都是在相應的ISP域視圖下應用預先配置的認證、授權、計費方案來實現的。AAA有缺省的認證、授權、計費方案,分別為本地認證、本地授權、本地計費。如果用戶所屬的ISP域下未應用任何認證、授權、計費方案,係統將使用缺省的認證、授權、計費方案。
為便於對不同接入方式的用戶進行區分管理,AAA將用戶劃分為以下幾個類型:
· lan-access用戶:LAN接入用戶,如802.1X認證、MAC地址認證用戶。
· login用戶:登錄設備用戶,如SSH、Telnet、Web、FTP、終端接入用戶。
· Portal接入用戶。
· PPP接入用戶。
· WAPI接入用戶。
PPP用戶、WAPI用戶的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
用戶登錄設備後,AAA還可以對其提供以下服務,用於提高用戶登錄後對設備操作的安全性:
· 命令行授權:用戶執行的每一條命令都需要接受授權服務器的檢查,隻有授權成功的命令才被允許執行。關於命令行授權的詳細介紹請參考“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
· 命令行計費:用戶執行過的所有命令或被成功授權執行的命令,會被計費服務器進行記錄。關於命令行計費的詳細介紹請參考“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
· 級別切換認證:在不退出當前登錄、不斷開當前連接的前提下,用戶將自身的用戶級別由低向高切換的時候,需要通過服務器的認證,級別切換操作才被允許。關於用戶級別切換的詳細介紹請參考“基礎配置指導”中的“CLI”。
AAA支持在ISP域視圖下針對不同的接入方式配置不同的認證、授權、計費的方法(一組不同的認證/授權/計費方案),具體的配置步驟請參見“1.4 在ISP域中配置實現AAA的方法”。
與AAA、RADIUS、HWTACACS、LDAP相關的協議規範有:
· RFC 2865:Remote Authentication Dial In User Service (RADIUS)
· RFC 2866:RADIUS Accounting
· RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support
· RFC 2868:RADIUS Attributes for Tunnel Protocol Support
· RFC 2869:RADIUS Extensions
· RFC 1492:An Access Control Protocol, Sometimes Called TACACS
· RFC 1777:Lightweight Directory Access Protocol
· RFC 2251:Lightweight Directory Access Protocol (v3)
表1-4 常用RADIUS標準屬性
|
屬性編號 |
屬性名稱 |
描述 |
|
1 |
User-Name |
需要進行認證的用戶名稱 |
|
2 |
User-Password |
需要進行PAP方式認證的用戶密碼,在采用PAP認證方式時,該屬性僅出現在Access-Request報文中 |
|
3 |
CHAP-Password |
需要進行CHAP方式認證的用戶密碼的消息摘要。在采用CHAP認證方式時,該屬性出現在Access-Request報文中 |
|
4 |
NAS-IP-Address |
Server通過不同的IP地址來標識不同的Client,通常Client采用本地一個接口的IP地址來唯一的標識自己,這就是NAS-IP-Address。該屬性指示當前發起請求的Client的NAS-IP-Address。該字段僅出現在Access-Request報文中 |
|
5 |
NAS-Port |
用戶接入NAS的物理端口號 |
|
6 |
Service-Type |
用戶申請認證的業務類型 |
|
7 |
Framed-Protocol |
用戶Frame類型業務的封裝協議 |
|
8 |
Framed-IP-Address |
為用戶所配置的IP地址 |
|
11 |
Filter-ID |
訪問控製列表的名稱 |
|
12 |
Framed-MTU |
用戶與NAS之間數據鏈路的MTU值。例如在802.1X的EAP方式認證中,NAS通過Framed-MTU值指示Server發送EAP報文的最大長度,防止EAP報文大於數據鏈路MTU導致的報文丟失 |
|
14 |
Login-IP-Host |
用戶登錄設備的接口IP地址 |
|
15 |
Login-Service |
用戶登錄設備時采用的業務類型 |
|
18 |
Reply-Message |
服務器反饋給用戶的純文本描述,可用於向用戶顯示認證失敗的原因 |
|
26 |
Vendor-Specific |
廠商自定義的私有屬性。一個報文中可以有一個或者多個私有屬性,每個私有屬性中可以有一個或者多個子屬性 |
|
27 |
Session-Timeout |
會話結束之前,給用戶提供服務的最大時間,即用戶的最大可用時長 |
|
28 |
Idle-Timeout |
會話結束之前,允許用戶持續空閑的最大時間,即用戶的限製切斷時間 |
|
31 |
Calling-Station-Id |
NAS用於向Server告知標識用戶的號碼,在我司設備提供的lan-access業務中,該字段填充的是用戶的MAC地址,采用的“HHHH-HHHH-HHHH”格式封裝 |
|
32 |
NAS-Identifier |
NAS用來向Server標識自己的名稱 |
|
40 |
Acct-Status-Type |
計費請求報文的類型 · 1:Start · 2:Stop · 3:Interim-Update · 4:Reset-Charge · 7:Accounting-On(3GPP中有定義) · 8:Accounting-Off (3GPP中有定義) · 9-14:Reserved for Tunnel Accounting · 15:Reserved for Failed |
|
45 |
Acct-Authentic |
用戶采用的認證方式,包括RADIUS,Local以及Remote |
|
60 |
CHAP-Challenge |
在CHAP認證中,由NAS生成的用於MD5計算的隨機序列 |
|
61 |
NAS-Port-Type |
NAS認證用戶的端口的物理類型 · 15:以太網 · 16:所有種類的ADSL · 17:Cable(有線電視電纜) · 19:Wireless-IEEE 802.11 · 201:VLAN · 202:ATM 如果在ATM或以太網端口上還劃分VLAN,則該屬性值為201 |
|
79 |
EAP-Message |
用於封裝EAP報文,實現RADIUS協議對EAP認證方式的支持 |
|
80 |
Message-Authenticator |
用於對認證報文進行認證和校驗,防止非法報文欺騙。該屬性在RADIUS協議支持EAP認證方式被使用 |
|
87 |
NAS-Port-Id |
用字符串來描述的認證端口信息 |
表1-5 H3C RADIUS擴展屬性
|
子屬性編號 |
子屬性名稱 |
描述 |
|
1 |
Input-Peak-Rate |
用戶接入到NAS的峰值速率,以bps為單位 |
|
2 |
Input-Average-Rate |
用戶接入到NAS的平均速率,以bps為單位 |
|
3 |
Input-Basic-Rate |
用戶接入到NAS的基本速率,以bps為單位 |
|
4 |
Output-Peak-Rate |
從NAS到用戶的峰值速率,以bps為單位 |
|
5 |
Output-Average-Rate |
從NAS到用戶的平均速率,以bps為單位 |
|
6 |
Output-Basic-Rate |
從NAS到用戶的基本速率,以bps為單位 |
|
15 |
Remanent_Volume |
表示該連接的剩餘可用總流量。對於不同的服務器類型,此屬性的單位不同 |
|
20 |
Command |
用於會話控製,表示對會話進行操作,此屬性有五種取值 · 1:Trigger-Request · 2:Terminate-Request · 3:SetPolicy · 4:Result · 5:PortalClear |
|
24 |
Control_Identifier |
服務器重發報文的標識符,對於同一會話中的重發報文,本屬性必須相同。不同的會話的報文攜帶的該屬性值可能相同。相應的客戶端響應報文必須攜帶該屬性,其值不變 在開始、停止或中間上報流量的Accounting-Request 報文中,若帶有Control-Identifier屬性,此時的Control-Identifier屬性無實際意義 |
|
25 |
Result_Code |
表示Trigger-Request或SetPolicy的結果,0表示成功,非0表示失敗 |
|
26 |
Connect_ID |
用戶連接索引 |
|
28 |
Ftp_Directory |
FTP用戶工作目錄 對於FTP用戶,當RADIUS客戶端作為FTP服務器的時候,該屬性用於設置RADIUS客戶端上的FTP目錄 |
|
29 |
Exec_Privilege |
EXEC用戶優先級 |
|
59 |
NAS_Startup_Timestamp |
NAS係統啟動時刻,以秒為單位,表示從1970年1月1日UTC 00:00:00以來的秒數 |
|
60 |
Ip_Host_Addr |
認證請求和計費請求報文中攜帶的用戶IP地址和MAC地址,格式為“A.B.C.D hh:hh:hh:hh:hh:hh”,IP地址和MAC地址之間以空格分開 |
|
61 |
User_Notify |
服務器需要透傳到客戶端的信息 |
|
62 |
User_HeartBeat |
802.1X用戶認證成功後下發的32字節的Hash字符串,該屬性值被保存在設備的用戶列表中,用於校驗802.1X客戶端的握手報文 該屬性僅出現在Access-Accept和Accounting-Request報文中 |
|
140 |
User_Group |
SSL VPN用戶認證成功後下發的用戶組,一個用戶可以屬於多個用戶組,多個用戶組之間使用分號格開。本屬性用於SSL VPN設備的配合 |
|
141 |
Security_Level |
SSL VPN用戶安全認證之後下發的安全級別 |
|
201 |
Input-Interval-Octets |
兩次實時計費間隔的輸入的字節差,以Byte為單位 |
|
202 |
Output-Interval-Octets |
兩次實時計費間隔的輸出的字節差,以Byte為單位 |
|
203 |
Input-Interval-Packets |
兩次計費間隔的輸入的包數,單位由設備上的配置決定 |
|
204 |
Output-Interval-Packets |
兩次計費間隔的輸出的包數,單位由設備上的配置決定 |
|
205 |
Input-Interval-Gigawords |
兩次計費間隔的輸入的字節差是4G字節的多少倍 |
|
206 |
Output-Interval-Gigawords |
兩次計費間隔的輸出的字節差是4G字節的多少倍 |
|
207 |
Backup-NAS-IP |
NAS發送RADIUS報文的備份源IP地址 |
|
255 |
Product_ID |
產品名稱 |
在作為AAA客戶端的接入設備(實現NAS功能的網絡設備)上,AAA的基本配置思路如下:
(1) 配置AAA方案:根據需要配置本地或遠程認證方案。
· 本地認證:需要配置本地用戶,即local user的相關屬性,包括手動添加認證的用戶名和密碼等;
· 遠程認證:需要配置RADIUS、HWTACACS或LDAP方案,並在服務器上配置相應的用戶屬性。
(2) 配置實現AAA的方法:在用戶所屬的ISP域中分別指定實現認證、授權、計費的方法。
· 認證方法:可選擇不認證(none)、本地認證(local)或遠程認證(scheme);
· 授權方法:可選擇不授權(none)、本地授權(local)或遠程授權(scheme);
· 計費方法:可選擇不計費(none)、本地計費(local)或遠程計費(scheme)。
圖1-9 AAA基本配置思路流程圖
表1-6 AAA配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置AAA方案 |
配置本地用戶 |
至少選其一 |
|
|
配置RADIUS方案 |
|||
|
配置HWTACACS方案 |
|||
|
配置LDAP方案 |
|||
|
在ISP域中配置實現AAA的方法 |
創建ISP域 |
必選 |
|
|
配置ISP域的屬性 |
可選 |
||
|
配置ISP域的AAA認證方法 |
至少選其一 |
||
|
配置ISP域的AAA授權方法 |
|||
|
配置ISP域的AAA計費方法 |
|||
|
配置強製切斷用戶 |
可選 |
||
|
配置本地EAP認證 |
可選 |
||
|
配置NAS-ID與VLAN的綁定 |
可選 |
||
|
配置雙機熱備模式下的設備ID |
可選 |
||
|
AAA顯示和維護 |
可選 |
||
對於Login用戶,隻有配置登錄用戶界麵的認證方式為scheme,也就是AAA認證時,這類用戶登錄設備才會采用AAA處理。有關登錄用戶界麵認證方式的相關介紹請參見“基礎配置指導”中的“登錄設備配置”。
當選擇使用本地認證、本地授權、本地計費方法對用戶進行認證、授權或計費時,應在設備上創建本地用戶並配置相關屬性。
所謂本地用戶,是指在本地設備上設置的一組用戶屬性的集合。該集合以用戶名為用戶的唯一標識。為使某個請求網絡服務的用戶可以通過本地認證,需要在設備上的本地用戶數據庫中添加相應的表項。具體步驟是,創建一個本地用戶並進入本地用戶視圖,然後在本地用戶視圖下配置相應的用戶屬性,可配置的用戶屬性包括:
· 服務類型
用戶可使用的網絡服務類型。該屬性是本地認證的檢測項,如果沒有用戶可以使用的服務類型,則該用戶無法通過認證。
可支持的服務類型包括:FTP、lan-access、Portal、PPP、SSH、Telnet、Terminal、Web。
· 用戶狀態
用於指示是否允許該用戶請求網絡服務器,包括active和block兩種狀態。active表示允許該用戶請求網絡服務,block表示禁止該用戶請求網絡服務。
· 最大用戶數
使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值,則使用該用戶名的新用戶將被禁止接入。
· 生效時間及有效期
用戶帳戶開始生效的時間以及有效期截止的時間。接入設備僅允許帳戶處於有效期內的的用戶通過認證。有用戶臨時需要接入網絡時,可以通過建立有一定有效期的來賓帳戶控製用戶的臨時訪問。
· 所屬的用戶組
每一個本地用戶都屬於一個本地用戶組,並繼承組中的所有屬性(密碼管理屬性和用戶授權屬性)。關於本地用戶組的介紹和配置請參見“1.3.1 3. 配置用戶組屬性”。
· 密碼管理屬性
用戶密碼的安全屬性,可用於對用戶的認證密碼進行管理和控製。可設置的策略包括:密碼老化時間、密碼最小長度、密碼組合策略。
本地用戶的密碼管理屬性在係統視圖(具有全局性)、用戶組視圖和本地用戶視圖下都可以配置,其生效的優先級順序由高到底依次為本地用戶、用戶組、全局。全局配置對所有本地用戶生效,用戶組的配置對組內所有本地用戶生效。有關密碼管理以及全局密碼配置的詳細介紹請參見“安全配置指導”中的“Password Control配置”。
· 綁定屬性
用戶認證時需要檢測的屬性,用於限製接入用戶的範圍。若用戶的實際屬性與設置的綁定屬性不匹配,則不能通過認證,因此在配置綁定屬性時要考慮該用戶是否需要綁定某些屬性。可綁定的屬性包括:用戶IP地址、用戶接入端口、用戶MAC地址、用戶所屬VLAN。各屬性的使用及支持情況請見表1-8。
· 用戶授權屬性
本地用戶的授權屬性在用戶組和本地用戶視圖下都可以配置,且本地用戶視圖下的配置優先級高於用戶組視圖下的配置。用戶組的配置對組內所有本地用戶生效。
用戶認證通過後,接入設備下發給用戶的權限。可支持的授權屬性包括:ACL、PPP回呼號碼、閑置切換功能、用戶級別、用戶角色、User Profile、VLAN、FTP/SFTP工作目錄。各屬性的支持情況請見表1-8。由於可配置的授權屬性都有其明確的使用環境和用途,因此配置授權屬性時要考慮該用戶是否需要某些屬性。例如,PPP接入用戶不需要授權的目錄,因此就不要設置PPP用戶的工作目錄屬性。
表1-7 本地用戶配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置本地用戶屬性 |
必選 |
|
|
配置用戶組屬性 |
可選 |
|
|
本地用戶及本地用戶組顯示與維護 |
可選 |
表1-8 配置本地用戶的屬性
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
設置本地用戶密碼的顯示方式 |
local-user password-display-mode { auto | cipher-force } |
可選 缺省情況下,所有接入用戶的密碼顯示方式為auto,表示按照用戶設置密碼時指定的密碼顯示方式顯示 |
|
|
添加本地用戶,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,係統中沒有任何本地用戶 |
|
|
設置本地用戶的密碼 |
password [ { cipher | simple } password ] |
可選 若不設置密碼,則本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功,因此為提高用戶帳戶的安全性,建議設置本地用戶密碼 |
|
|
設置本地用戶可以使用的服務類型 |
service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp | web } |
必選 缺省情況下,係統不對本地用戶授權任何服務 |
|
|
設置本地用戶的狀態 |
state { active | block } |
可選 缺省情況下,當一個本地用戶被創建以後,其狀態為active,允許該用戶請求網絡服務 |
|
|
設置本地用戶名可容納的最大接入用戶數 |
access-limit max-user-number |
可選 缺省情況下,不限製當前本地用戶名可容納的接入用戶數 FTP用戶不受此屬性限製 |
|
|
設置本地用戶的密碼管理屬性 |
老化時間 |
password-control aging aging-time |
可選 缺省情況下,采用本地用戶所屬用戶組的密碼老化時間,若用戶組未配置該值,則采用全局配置(缺省90天) |
|
密碼最小長度 |
password-control length length |
可選 缺省情況下,采用本地用戶所屬用戶組的密碼最小長度,若用戶組未配置該值,則采用全局配置(缺省10個字符) |
|
|
密碼組合策略 |
password-control composition type-number type-number [ type-length type-length ] |
可選 缺省情況下,采用本地用戶所屬用戶組的密碼組合策略,若用戶組未配置該值,則采用全局配置(缺省至少一種密碼元素,且每種密碼元素至少包含一個字符) |
|
|
設置本地用戶的綁定屬性 |
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } * |
可選 缺省情況下,未設置本地用戶的任何綁定屬性 ppp用戶支持綁定屬性call-number; lan-access用戶支持綁定屬性ip、location、mac和vlan; 其它類型的本地用戶不支持綁定屬性 |
|
|
設置本地用戶的授權屬性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | user-role { guest | guest-manager | security-audit } | vlan vlan-id | work-directory directory-name } * |
可選 缺省情況下,未設置本地用戶的任何授權屬性 對於ppp用戶,僅授權屬性acl、callback-number、idle-cut和user-profile有效; 對於lan-access、portal用戶,僅授權屬性acl、idle-cut、user-profile和vlan有效; 對於ssh、terminal、web用戶,僅授權屬性level有效; 對於ftp用戶,僅授權屬性level和work-directory有效; 對於telnet用戶,僅授權屬性level和user-role有效; 對於其它類型的本地用戶,所有授權屬性均無效 |
|
|
設置本地用戶的生效時間 |
validity-date time |
可選 缺省情況下,未設置本地用戶的生效時間 |
|
|
設置本地用戶的有效期 |
expiration-date time |
可選 缺省情況下,未設置本地用戶的有效期 設置本地用戶有效期特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
|
|
設置本地用戶所屬的用戶組 |
group group-name |
可選 缺省情況下,本地用戶屬於係統默認用戶組system |
|
· 支持Password Control特性的設備上不顯示本地用戶密碼,而且local-user password-display-mode命令也不生效。
· 若使用local-user password-display-mode cipher-force命令強製用戶密碼密文顯示並使用save命令保存當前配置,在重啟設備後,即使恢複為auto方式,重啟前配置為明文顯示的密碼仍然顯示為密文,但重啟後新配置的密碼顯示依然遵循當前配置的本地用戶的密碼顯示方式。
· 本地用戶的access-limit命令隻在該用戶采用了本地計費方法的情況下生效。
· 如果登錄設備的認證方式(通過命令authentication-mode設置)為AAA(scheme),則用戶登錄係統後所能訪問的命令級別由用戶被授權的級別確定;如果配置登錄設備的認證方式為不認證(none)或采用密碼認證(password),則用戶登錄係統後所能訪問的命令級別由用戶界麵所能訪問的命令級別確定。對於SSH用戶,使用公鑰認證時,其所能使用的命令以用戶界麵上設置的級別為準。關於登錄設備的認證方式與用戶界麵所能訪問的命令級別的詳細介紹請參見“基礎配置指導”中的“配置用戶通過CLI登錄設備”。
· 除本地用戶視圖下可以配置授權User Profile之外,ISP域中也可以配置授權User Profile。如果當前ISP域的用戶通過本地認證,則本地用戶視圖下配置的授權User Profile優先生效,若本地用戶視圖下沒有配置授權User Profile,則該用戶所在的ISP域中配置的缺省User Profile生效。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile配置”。
為了簡化本地用戶的配置,增強本地用戶的可管理性,引入了用戶組的概念。用戶組是一個本地用戶屬性的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理,用戶組內的所有本地用戶都可以繼承這些屬性。目前,用戶組中可以管理的內容包括本地用戶的密碼管理屬性和授權屬性。
每個新增的本地用戶都默認屬於一個係統自動創建的用戶組system,且繼承該組的所有屬性。本地用戶所屬的用戶組可以通過使用本地用戶視圖下的group命令來修改。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
創建用戶組,並進入用戶組視圖 |
user-group group-name |
必選 |
|
|
設置用戶組的密碼控製屬性 |
老化時間 |
password-control aging aging-time |
可選 缺省情況下,采用全局老化時間(缺省90天) |
|
密碼最小長度 |
password-control length length |
可選 缺省情況下,采用全局密碼長度(缺省10個字符) |
|
|
密碼組合策略 |
password-control composition type-number type-number [ type-length type-length ] |
可選 缺省情況下,采用全局密碼組合策略(缺省至少一種密碼元素,且每種密碼元素至少包含一個字符) |
|
|
設置用戶組的授權屬性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可選 缺省情況下,未設置用戶組的授權屬性 |
|
|
設置用戶組的來賓可選屬性 |
group-attribute allow-guest |
可選 缺省情況下,用戶組不具有來賓可選屬性,來賓用戶管理員在Web界麵上創建的來賓用戶不能加入該用戶組 |
|
完成上述配置後,在任意視圖下執行display命令可以顯示配置後本地用戶及本地用戶組的運行情況,通過查看顯示信息驗證配置的效果。
表1-10 本地用戶及本地用戶組顯示和維護
|
操作 |
命令 |
|
顯示本地用戶相關信息 |
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal | web } | state { active | block } | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ] |
|
顯示本地用戶組的相關信息 |
display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ] |
RADIUS方案中定義了設備和RADIUS服務器之間進行信息交互所必須的一些參數。當創建一個新的RADIUS方案之後,需要對屬於此方案的RADIUS服務器的IP地址、UDP端口號和報文共享密鑰進行設置,這些服務器包括認證/授權和計費服務器,而每種服務器又有主服務器和從服務器的區別。每個RADIUS方案的屬性包括:主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。
表1-11 RADIUS配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建RADIUS方案 |
必選 |
|
|
配置RADIUS認證/授權服務器 |
必選 |
|
|
配置RADIUS計費服務器及相關參數 |
可選 |
|
|
配置RADIUS報文的共享密鑰 |
可選 |
|
|
配置支持的RADIUS服務器的類型 |
可選 |
|
|
配置發送RADIUS報文的最大嚐試次數 |
可選 |
|
|
配置RADIUS服務器的狀態 |
可選 |
|
|
配置發送給RADIUS服務器的用戶名格式和數據統計單位 |
可選 |
|
|
配置發送RADIUS報文使用的源地址 |
可選 |
|
|
配置發送RADIUS報文使用的備份源地址 |
可選 |
|
|
配置RADIUS服務器的定時器 |
可選 |
|
|
配置RADIUS的accounting-on功能 |
可選 |
|
|
配置RADIUS服務器的安全策略服務器 |
可選 |
|
|
使能RADIUS Offload功能 |
可選 |
|
|
配置RADIUS Attribute 25的CAR參數解析功能 |
可選 |
|
|
配置RADIUS的Trap功能 |
可選 |
|
|
配置RADIUS報文信息的日誌開關 |
可選 |
|
|
使能RADIUS客戶端的監聽端口 |
可選 |
|
|
RADIUS顯示和維護 |
可選 |
在進行RADIUS的其它配置之前,必須先創建RADIUS方案並進入其視圖。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,未定義RADIUS方案 |
一個RADIUS方案可以同時被多個ISP域引用。
通過在RADIUS方案中配置RADIUS認證/授權服務器,指定設備對用戶進行RADIUS認證/授權時與哪些服務器進行通信。由於RADIUS服務器的授權信息是隨認證應答報文發送給RADIUS客戶端的,故不能也不需要單獨配置RADIUS授權服務器。若在RADIUS方案中同時配置了主認證/授權服務器和從認證/授權服務器,則當設備判斷主認證/授權服務器不可達時,將使用從認證/授權服務器進行認證、授權。建議在不需要備份的情況下,隻配置主RADIUS認證/授權服務器即可。
表1-13 配置RADIUS認證/授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置主RADIUS認證/授權服務器 |
primary authentication { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] * |
二者至少選其一 缺省情況下,未配置主認證/授權服務器和從認證/授權服務器 |
|
配置從RADIUS認證/授權服務器 |
secondary authentication { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] * |
· 在實際組網環境中,可以指定一台RADIUS服務器作為主認證/授權服務器,並指定多台(最多16台)RADIUS服務器作為從認證/授權服務器;也可以指定一台服務器既作為某個方案的主認證/授權服務器,又作為另一個方案的從認證/授權服務器。
· 在同一個方案中指定的主認證/授權服務器和從認證/授權服務器的IP地址不能相同,並且各從服務器的IP地址也不能相同,否則將提示配置不成功。
· 主服務器和從服務器的IP地址版本必須保持一致,並且各從服務器的IP地址版本也必須保持一致;認證/授權服務器和計費服務器的IP地址版本也必須保持一致。
通過在RADIUS方案中配置RADIUS計費服務器,指定設備對用戶進行RADIUS計費時與哪些服務器進行通信。若在RADIUS方案中同時配置了主計費服務器和從計費服務器,則當設備判斷主計費服務器不可達時,將使用從計費服務器進行計費。建議在不需要備份的情況下,隻配置主RADIUS計費服務器即可。
用戶上線之後,設備應該盡量與RADIUS服務器同步切斷用戶連接,通過在設備上配置發起實時計費請求的最大嚐試次數,允許設備向RADIUS服務器發出的實時計費請求沒有得到響應的次數超過指定的最大值時切斷用戶連接。
當用戶請求斷開連接或者設備強行切斷用戶連接的情況下,設備會向RADIUS計費服務器發送停止計費請求,通過在設備上使能停止計費報文緩存功能,將其緩存在本機上,然後發送直到RADIUS計費服務器產生響應,或者在發起停止計費請求的嚐試次數達到指定的最大值後將其丟棄。
表1-14 配置RADIUS計費服務器及相關參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置主RADIUS計費服務器 |
primary accounting { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] * |
二者至少選其一 缺省情況下,未配置主/從計費服務器 |
|
配置從RADIUS計費服務器 |
secondary accounting { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] * |
|
|
設置允許發起實時計費請求的最大嚐試次數 |
retry realtime-accounting retry-times |
可選 缺省情況下,允許發起實時計費請求的最大嚐試次數為5 |
|
使能停止計費報文緩存功能 |
stop-accounting-buffer enable |
可選 缺省情況下,允許設備緩存沒有得到響應的停止計費請求報文 |
|
設置允許發起停止計費請求的最大嚐試次數 |
retry stop-accounting retry-times |
可選 缺省情況下,允許發起停止計費請求的最大嚐試次數為500 |
· 在實際組網環境中,可以指定一台RADIUS服務器作為主計費服務器,並指定多台(最多16台)RADIUS服務器作為從計費服務器;也可以指定一台服務器既作為某個方案的主計費服務器,又作為另一個方案的從計費服務器。
· 如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
· 主計費服務器和從計費服務器的IP地址不能相同,並且各從計費服務器的IP地址也不能相同,否則將提示配置不成功。
· 目前RADIUS不支持對FTP用戶進行計費。
· 主服務器和從服務器的IP地址版本必須保持一致,並且各從服務器的IP地址版本也必須保持一致;計費服務器和認證/授權服務器的IP地址版本也必須保持一致。
RADIUS客戶端與RADIUS服務器使用MD5算法來加密RADIUS報文,並在共享密鑰的參與下生成驗證字來驗證對方報文的合法性。隻有在密鑰一致的情況下,彼此才能接收對方發來的報文並作出響應。
由於設備優先采用配置RADIUS認證/授權/計費服務器時指定的報文共享密鑰,因此,本配置中指定的報文共享密鑰僅在配置RADIUS認證/授權/計費服務器時未指定相應密鑰的情況下使用。
表1-15 配置RADIUS報文的共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置RADIUS認證/授權或計費報文的共享密鑰 |
key { accounting | authentication } [ cipher | simple ] key |
必選 缺省情況下,無密鑰 |
必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
通過指定設備支持RADIUS服務器類型,決定設備與RADIUS服務器之間可交互的RADIUS協議類型:
· 若指定extended類型的RADIUS服務器,則設備與RADIUS服務器將按照私有RADIUS協議的規程和報文格式進行交互。
· 若指定standard類型的RADIUS服務器,則設備與RADIUS服務器將按照標準RADIUS協議(RFC 2865/2866或更新)的規程和報文格式進行交互。
使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended類型。使用其它第三方RADIUS服務器時,RADIUS服務器類型可以選擇standard類型或extended類型。
表1-16 配置支持的RADIUS服務器的類型
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置設備支持的RADIUS服務器類型 |
server-type { extended | standard } |
可選 缺省情況下,設備支持的RADIUS服務器類型為standard |
當設備支持的RADIUS服務器類型被更改時,設備會將發送到RADIUS服務器的數據流的單位(data-flow-format)恢複為缺省配置。
由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內(由timer response-timeout命令配置)沒有響應設備,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果發送RADIUS請求報文的累計次數超過指定的最大嚐試次數而RADIUS服務器仍舊沒有響應,則設備將嚐試與其它服務器通信,如果不存在狀態為active的服務器,則認為本次認證或計費失敗。關於RADIUS服務器狀態的相關內容,請參見“1.3.2 8. 配置RADIUS服務器的狀態”。
表1-17 配置發送RADIUS報文的最大嚐試次數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置發送RADIUS報文的最大嚐試次數 |
retry retry-times |
可選 缺省情況下,發送RADIUS報文的最大嚐試次數為3次 |
· 發送RADIUS報文的最大嚐試次數與RADIUS服務器應答超時時間的乘積不能超過75秒。
· RADIUS服務器應答超時時間的配置請參考命令“12. 配置RADIUS服務器的定時器”。
RADIUS方案中各服務器的狀態(active、block)決定了設備向哪個服務器發送請求報文,以及設備在與當前服務器通信中斷的情況下,如何轉而與另外一個服務器進行交互。在實際組網環境中,可指定一個主RADIUS服務器和多個從RADIUS服務器,由從服務器作為主服務器的備份。通常情況下,設備上主從服務器的切換遵從以下原則:
· 當主服務器狀態為active時,設備首先嚐試與主服務器通信,若主服務器不可達,設備更改主服務器的狀態為block,並啟動該服務器的timer quiet定時器,然後按照從服務器的配置先後順序依次查找狀態為active的從服務器進行認證或者計費。如果狀態為active的從服務器也不可達,則將該從服務器的狀態置為block,同時啟動該服務器的timer quiet定時器,並繼續查找狀態為active的從服務器。當服務器的timer quiet定時器超時,或者設備收到該服務器的認證/計費應答報文時,該服務器將恢複為active狀態。在一次認證或計費過程中,如果設備在嚐試與從服務器通信時,主服務器狀態由block恢複為active,則設備並不會立即恢複與主服務器的通信,而是繼續查找從服務器。如果所有已配置的服務器都不可達,則認為本次認證或計費失敗。
· 一個用戶的計費流程開始之後,設備就不會再與其它的計費服務器通信,即該用戶的實時計費報文和停止計費報文隻會發往當前使用的計費服務器。如果當前使用的計費服務器被刪除,則實時計費和停止計費報文都將無法發送。
· 如果在認證或計費過程中刪除了服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
· 當主/從服務器的狀態均為block時,設備僅與主服務器通信,若主服務器可達,則主服務器狀態變為active,否則保持不變。
· 隻要存在狀態為active的服務器,設備就僅與狀態為active的服務器通信,即使該服務器不可達,設備也不會嚐試與狀態為block的服務器通信。
· 設備收到服務器的認證或計費應答報文後會將與報文源IP地址相同且狀態為block的認證或計費服務器的狀態更改為active。
缺省情況下,設備將配置了IP地址的各RADIUS服務器的狀態均置為active,認為所有的服務器均處於正常工作狀態,但有些情況下用戶可能需要通過以下配置手工改變RADIUS服務器的當前狀態。例如,已知某服務器故障,為避免設備認為其active而可能進行的無意義嚐試,可暫時將該服務器狀態手工置為block來滿足此需求。
表1-18 配置RADIUS服務器的狀態
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置主RADIUS認證/授權服務器的狀態 |
state primary authentication { active | block } |
可選 缺省情況下,RADIUS方案中配置了IP地址的各RADIUS服務器的狀態均為active |
|
設置主RADIUS計費服務器的狀態 |
state primary accounting { active | block } |
|
|
設置從RADIUS認證/授權服務器的狀態 |
state secondary authentication [ ip ipv4-address | ipv6 ipv6-address ] { active | block } |
|
|
設置從RADIUS計費服務器的狀態 |
state secondary accounting [ ip ipv4-address | ipv6 ipv6-address ] { active | block } |
· state命令設置的服務器狀態屬於動態信息,不能被保存在配置文件中,設備重啟後,配置了IP地址的服務器狀態恢複為缺省狀態active。
· 可通過執行display radius scheme命令查看各服務器的當前狀態。
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備通過該域名決定將用戶歸於哪個ISP域的。由於有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,因此就需要設備首先將用戶名中攜帶的ISP域名去除後再傳送給該類RADIUS服務器。通過設置發送給RADIUS服務器的用戶名格式,就可以選擇發送RADIUS服務器的用戶名中是否要攜帶ISP域名。
設備通過周期性地發送計費更新報文,向RADIUS服務器報告在線用戶的數據流量統計值,該值的單位可配,為保證RADIUS服務器計費的準確性,設備上設置的發送給RADIUS服務器的數據流或者數據包的單位應與RADUIS服務器上的流量統計單位保持一致。
表1-19 配置發送給RADIUS服務器的數據相關屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置發送給RADIUS服務器的用戶名格式 |
user-name-format { keep-original | with-domain | without-domain } |
可選 缺省情況下,設備發送給RADIUS服務器的用戶名攜帶有ISP域名 |
|
設置發送給RADIUS服務器的數據流或者數據包的單位 |
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * |
可選 缺省情況下,數據流的單位為byte,數據包的單位為one-packet |
· 如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該RADIUS方案,否則,會出現雖然實際用戶不同(在不同的ISP域中)、但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
· 對於級別切換認證,命令user-name-format keep-original與user-name-format without-domain的執行效果一樣,即發送給RADIUS服務器的用戶名都不攜帶ISP域名。
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。若RADIUS服務器收到的RADIUS認證或計費報文的源地址在所管理的接入設備IP地址範圍內,則才會進行後續的認證或計費處理,否則直接對其做丟棄處理。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
通常,該地址為接入設備上與RADIUS服務器路由可達的接口IP地址,但在一些特殊的組網環境中,例如接入設備與RADIUS服務器之間存在NAT(Network Address Translation,網絡地址轉換)設備時,需要將該地址指定為轉換後的公網IP地址;在接入設備使用VRRP(Virtual Router Redundancy Protocol,虛擬路由冗餘協議)進行雙機熱備應用時,可以將該地址指定為VRRP上行鏈路所在備份組的虛擬IP地址。
設備發送RADIUS報文時,首先判斷當前所使用的RADIUS方案中是否通過nas-ip命令配置了發送RADIUS報文使用源地址,若配置存在,則使用該地址作為發送RADIUS報文使用的源地址,否則,根據當前使用的服務器所屬的VPN查找係統視圖下通過radius nas-ip命令配置的私網源地址,對於公網服務器則直接查找該命令配置的公網源地址。若係統視圖下配置了相應的源地址,則使用該地址作為發送RADIUS報文使用的源地址,否則,使用通過路由查找到的報文出接口地址作為發送RADIUS報文使用的源地址。
此配置可以在係統視圖和RADIUS方案視圖下進行,係統視圖下的配置將對所有RADIUS方案生效,RADIUS方案視圖下的配置僅對本方案有效,並且具有高於前者的優先級。
表1-20 為所有RADIUS方案配置發送RADIUS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置設備發送RADIUS報文使用的源地址 |
radius nas-ip { ip-address | ipv6 ipv6-address } ] |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
表1-21 為RADIUS方案配置發送RADIUS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置設備發送RADIUS報文使用的源地址 |
nas-ip { ip-address | ipv6 ipv6-address } |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
在雙機熱備的組網環境中,主設備通過與RADIUS服務器交互對Portal用戶進行認證,並負責將生成的Portal在線用戶數據通過備份鏈路同步給備用設備,而備用設備隻接收和處理主設備發送的同步消息。
當主設備發生故障時,由於服務器不知道備用設備的源地址,因此不會主動向備用設備發送RADIUS報文。為解決這個問題,需要將備用設備發送RADIUS報文使用的源地址發給服務器,使得服務器也主動向備用設備發送RADIUS報文,備用設備發送RADIUS報文的源地址就是通過在主用設備上配置發送RADIUS報文使用的備份源地址告知服務器的。
設備選擇發送RADIUS報文使用的備份源地址時,首先判斷當前所使用的RADIUS方案中是否通過nas-backup-ip命令配置了發送RADIUS報文使用備份源地址,若配置存在,則將該地址作為對端設備發送RADIUS報文使用的源地址發給服務器,否則,根據當前使用的服務器所屬的VPN查找係統視圖下通過radius nas-backup-ip命令配置的私網備份源地址,對於公網服務器則直接查找該命令配置的公網備份源地址。若係統視圖下配置了相應的備份源地址,則使用該地址作為備份源地址,否則,不向服務器發送備份源地址。
此配置可以在係統視圖和RADIUS方案視圖下進行,係統視圖下的配置將對所有RADIUS方案生效,RADIUS方案視圖下的配置僅對本方案有效,並且具有高於前者的優先級。
表1-22 為所有RADIUS方案配置發送RADIUS報文使用的備份源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置設備發送RADIUS報文使用的備份源地址 |
radius nas-backup-ip ip-address |
必選 缺省情況下,未指定備份源地址 |
表1-23 為RADIUS方案配置發送RADIUS報文使用的備份源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置設備發送RADIUS報文使用的備份源地址 |
nas-backup-ip ip-address |
必選 缺省情況下,未指定備份源地址 |
設備發送RADIUS報文使用的備份源地址僅在雙機熱備環境下生效,而且,此地址必須指定為對端發送RADIUS報文使用的源地址。
在與RADIUS服務器交互的過程中,設備上可啟動的定時器包括以下幾種:
· 服務器響應超時定時器(response-timeout):如果在RADIUS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶確實能夠得到RADIUS服務,這段時間被稱為RADIUS服務器響應超時時長。
· 服務器恢複激活狀態定時器(quiet):當服務器不可達時,狀態變為block,設備會與其它狀態為active的服務器交互,並開啟超時定時器,在設定的一定時間間隔之後,將該服務器的狀態恢複為active。這段時間被稱為RADIUS服務器恢複激活狀態時長。
· 實時計費間隔定時器(realtime-accounting):為了對用戶實施實時計費,有必要定期向服務器發送實時計費更新報文,通過設置實時計費的時間間隔,設備會每隔設定的時間向RADIUS服務器發送一次在線用戶的計費信息。
表1-24 設置RADIUS服務器的定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置RADIUS服務器響應超時時間 |
timer response-timeout seconds |
可選 缺省情況下,RADIUS服務器響應超時定時器為3秒 |
|
設置服務器恢複激活狀態的時間 |
timer quiet minutes |
可選 缺省情況下,服務器恢複激活狀態前需要等待5分鍾 |
|
設置實時計費間隔 |
timer realtime-accounting minutes |
可選 缺省情況下,實時計費間隔為12分鍾 |
· 發送RADIUS報文的最大嚐試次數的最大值與RADIUS服務器響應超時時間的乘積必須小於各接入類型的客戶端連接超時時間,且不能超過75秒。比如對於語音類型的接入用戶,因為其客戶端連接超時時間為10秒,所以RADIUS服務器的響應超時時間與發送RADIUS請求報文的最大嚐試次數的乘積必須小於10秒;對於Telnet接入類型的用戶,其客戶端連接超時時間為30秒,所以此乘積必須小於30秒。否則會造成計費停止報文不能被緩存,以及主備服務器不能切換的問題。具體接入客戶端連接超時時間請參考相關接入手冊。
· 要根據配置的從服務器數量合理設置發送RADIUS報文的最大嚐試次數和RADIUS服務器響應超時時間,避免因為超時重傳時間過長,在主服務器不可達時,出現設備在嚐試與從服務器通信的過程中接入模塊的客戶端連接已超時的現象。但是,有些接入模塊的客戶端的連接超時時間較短,在配置的從服務器較多的情況下,即使將報文重傳次數和RADIUS服務器響應超時時間設置的很小,也可能會出現上述客戶端超時的現象,並導致初次認證或計費失敗。這種情況下,由於設備會將不可達服務器的狀態設置為block,在下次認證或計費時設備就不會嚐試與這些狀態為block的服務器通信,一定程度上縮短了查找可達服務器的時間,因此用戶再次嚐試認證或計費就可以成功。
· 要根據配置的從服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置的過短,就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。
· RADIUS各類報文重傳次數的最大值配置請參考命令retry。
使能了accounting-on功能後,設備會在重啟後主動向RADIUS服務器發送accounting-on報文來告知自己已經重啟,並要求RADIUS服務器強製通過本設備上線的用戶下線。該功能可用於解決設備重啟後,重啟前的原在線用戶因被RADIUS服務器認為仍然在線而短時間內無法再次登錄的問題。若設備發送accounting-on報文後RADIUS服務器無響應,則會在按照一定的時間間隔(interval seconds)嚐試重發幾次(send send-times)。
表1-25 配置RADIUS的accounting-on功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置accounting-on功能 |
accounting-on enable [ interval seconds | send send-times ] * |
必選 缺省情況下,accounting-on功能處於關閉狀態,accounting-on報文重發時間間隔為3秒,accounting-on報文重發次數為5次 |
accounting-on功能需要和H3C CAMS或 H3C iMC網管係統配合使用。
H3C EAD方案的核心是整合與聯動,其中的安全策略服務器是EAD方案中的管理與控製中心,它作為一個軟件的集合,兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控製以及安全事件審計等功能。
通過配置RADIUS安全策略服務器的IP地址,接入設備可以驗證iMC服務器發送給設備的控製報文的合法性。當接入設備收到iMC服務器的控製報文時,若該控製報文的源IP地址不是指定的安全策略服務器的IP地址,則接入設備認為其非法而丟棄。若iMC的配置平台、認證服務器以及安全策略服務器的IP地址相同,則不需要在接入設備上配置RADIUS安全策略服務器的IP地址。
通常,若要支持完整的EAD功能,建議在接入設備上通過本配置將RADIUS安全策略服務器的IP地址分別指定為iMC安全策略服務器的IP地址和iMC配置平台的IP地址。
表1-26 設置RADIUS的安全策略服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
設置RADIUS安全策略服務器的IP地址 |
security-policy-server ip-address |
必選 缺省情況下,未指定RADIUS安全策略服務器 |
一個RADIUS方案中可以配置多個安全策略服務器IP地址,最多不能超過8個。
由於某些RADIUS服務器不支持EAP認證,即不支持對EAP報文的處理,因此需要將客戶端發送的EAP報文在接入設備上進行一些預處理,我們將這種EAP報文的預處理稱之為RADIUS Offload功能。
RADIUS Offload功能需要本地EAP認證服務器來協助實現,具體如下:
(1) 設備收到客戶端的EAP報文後,首先由本地EAP服務器與客戶端之間進行EAP報文的交互,然後將其中的用戶認證信息轉換為對應的RADIUS屬性(MS-CHAPv2屬性),並封裝在RADIUS認證請求報文中發送給RADIUS服務器進行認證。
(2) RADIUS服務器收到請求報文後,會解析其中的認證信息,並將認證結果封裝在RADIUS報文中發送給接入設備上的本地EAP服務器進行後續與客戶端之間的交互。
要使能RADIUS Offload功能,必須在設備上完成以下配置:
· 配置本地EAP認證服務器,並指定其中的EAP認證方式為PEAP-MSCHAPv2(目前僅支持此認證方式)。具體配置請參見“1.6 配置本地EAP認證”。
· 在RADIUS方案中使能EAP Offload功能,具體配置見表1-27。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
使能EAP Offload功能 |
eap offload method peap-mschapv2 |
必選 缺省情況下,EAP Offload功能處於關閉狀態 |
RADIUS的25號屬性為class屬性,該屬性由RADIUS服務器下發給設備,但RFC中並未定義具體的用途,僅規定了設備需要將服務器下發的class屬性再原封不動地攜帶在計費請求報文中發送給服務器即可,同時RFC並未要求設備必須對該屬性進行解析。目前,某些RADIUS服務器利用class屬性來對用戶下發CAR參數,為了支持這種應用,可以通過本特性來控製設備是否將RADIUS 25號屬性解析為CAR參數,解析出的CAR參數可被用來進行基於用戶的流量監管控製。
表1-28 配置對RADIUS Attribute 25進行CAR參數解析
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
開啟RADIUS Attribute 25的CAR參數解析功能 |
attribute 25 car |
必選 缺省情況下,RADIUS Attribute 25的CAR參數解析功能處於關閉狀態 |
本功能是否需要配置與RADIUS服務器是否支持利用calss屬性進行CAR參數的下發相關,請以RADIUS服務器的實際情況為準。
通過配置RADIUS的Trap功能,控製NAS觸發輸出相應的Trap信息,具體包括以下兩種:
· RADIUS服務器可達狀態改變時輸出Trap信息。具體包括兩種情況:當NAS向RADIUS服務器發送計費或認證請求無響應的次數達到指定的發送RADIUS報文的最大嚐試次數時,NAS認為服務器不可達,會置服務器狀態為block並輸出Trap信息;當NAS收到狀態不可達的服務器發送的報文時,則認為服務器狀態可達,會置服務器狀態為active並輸出Trap信息。
· 認證失敗次數與認證請求次數的百分比超過一定閾值時輸出Trap信息。該閾值目前隻能夠通過MIB方式進行配置,取值範圍為1%~100%,缺省為30%。由於正常情況下,認證失敗的比率較小,如果NAS觸發輸出了該類Trap信息,則管理員可能需要確認配置是否正確或設備與服務器的通信是否正常,並通過排查配置或網絡問題來保證用戶認證過程的正常運行。
表1-29 配置RADIUS的Trap功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能RADIUS的Trap功能 |
radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down } |
必選 缺省情況下,RADIUS的Trap功能處於關閉狀態 |
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
通過以下配置可以關閉RADIUS報文信息的日誌開關,避免在設備上啟動日誌功能而影響係統的性能。
表1-30 配置關閉RADIUS報文信息的日誌開關
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
關閉RADIUS報文信息的日誌開關 |
undo radius log packet |
必選 缺省情況下,RADIUS報文信息的日誌開關處於關閉狀態 |
通過以下配置可以打開RADIUS客戶端的RADIUS報文監聽端口,使能後的端口才可以接收和發送RADIUS報文。在不需要使用RADIUS認證功能時,為避免收到惡意的RADIUS攻擊報文,建議關閉設備上RADIUS客戶端的監聽端口。
表1-31 使能RADIUS客戶端的監聽端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能RADIUS客戶端的監聽端口 |
radius client enable |
可選 缺省情況下,監聽端口處於使能狀態 |
完成上述配置後,在任意視圖下執行display命令可以顯示配置後RADIUS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-32 RADIUS顯示和維護
|
操作 |
命令 |
|
顯示所有或指定RADIUS方案的配置信息 |
display radius scheme [ radius-scheme-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示RADIUS報文的統計信息 |
display radius statistics [ | { begin | exclude | include } regular-expression ] |
|
顯示緩存的沒有得到響應的停止計費請求報文 |
display stop-accounting-buffer { radius-scheme radius-server-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ | { begin | exclude | include } regular-expression ] |
|
清除RADIUS協議的統計信息 |
reset radius statistics |
|
清除緩存中的沒有得到響應的停止計費請求報文 |
reset stop-accounting-buffer { radius-scheme radius-server-name | session-id session-id | time-range start-time stop-time | user-name user-name } |
有用戶在線時,不能刪除HWTACACS方案,並且不能修改HWTACACS服務器IP地址。
表1-33 HWTACACS配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建HWTACACS方案 |
必選 |
|
|
配置HWTACACS認證服務器 |
必選 |
|
|
配置HWTACACS授權服務器 |
可選 |
|
|
配置HWTACACS計費服務器 |
可選 |
|
|
配置HWTACACS報文的共享密鑰 |
必選 |
|
|
配置發送給HWTACACS服務器的數據相關屬性 |
可選 |
|
|
配置發送HWTACACS報文使用的源地址 |
可選 |
|
|
配置HWTACACS服務器的定時器 |
可選 |
|
|
HWTACACS顯示和維護 |
可選 |
HWTACACS的配置是以HWTACACS方案為單位進行的。在進行HWTACACS的其它相關配置之前,必須先創建HWTACACS方案並進入其視圖。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案並進入其視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,未定義HWTACACS方案 |
係統最多支持配置16個HWTACACS方案。隻有未被引用的方案才可以被刪除。
通過在HWTACACS方案中配置HWTACACS認證服務器,指定設備對用戶進行HWTACACS認證時與哪個服務器進行通信。若在HWTACACS方案中同時配置了主認證服務器和從認證服務器,則當設備判斷主認證服務器不可達時,將使用從認證服務器進行認證。建議在不需要備份的情況下,隻配置主HWTACACS認證服務器即可。
表1-35 配置HWTACACS認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置主HWTACACS認證服務器 |
primary authentication ip-address [ port-number ] |
二者至少選其一 缺省情況下,未配置主/從認證服務器 |
|
配置從HWTACACS認證服務器 |
secondary authentication ip-address [ port-number ] |
· 在實際組網環境中,可以指定一台HWTACACS服務器既作為某個方案的主認證服務器,又作為另一個方案的從認證服務器。
· 主認證服務器和從認證服務器的IP地址不能相同,否則將提示配置不成功。
· 隻有當沒有活躍的用於發送認證報文的TCP連接使用該認證服務器時,才允許刪除該服務器。
通過在HWTACACS方案中配置HWTACACS授權服務器,指定設備對用戶進行HWTACACS授權時與哪個服務器進行通信。若在HWTACACS方案中同時配置了主授權服務器和從授權服務器,則當設備判斷主授權服務器不可達時,將使用從授權服務器進行授權。建議在不需要備份的情況下,隻配置主HWTACACS授權服務器即可。
表1-36 配置HWTACACS授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置主HWTACACS授權服務器 |
primary authorization ip-address [ port-number ] |
二者至少選其一 缺省情況下,未配置主/從授權服務器 |
|
設置從HWTACACS授權服務器 |
secondary authorization ip-address [ port-number ] |
· 在實際組網環境中,可以指定一台HWTACACS服務器既作為某個方案的主授權服務器,又作為另一個方案的從授權服務器。
· 主授權服務器和從授權服務器的IP地址不能相同,否則將提示配置不成功。
· 隻有當沒有活躍的用於發送授權報文的TCP連接使用該授權服務器時,才允許刪除該服務器。
通過在HWTACACS方案中配置HWTACACS計費服務器,指定設備對用戶進行HWTACACS計費時與哪個服務器進行通信。若在HWTACACS方案中同時配置了主計費服務器和從計費服務器,則當設備判斷主計費服務器不可達時,將使用從計費服務器進行授權。建議在不需要備份的情況下,隻配置主HWTACACS計費服務器即可。
當用戶請求斷開連接或者設備強行切斷用戶連接的情況下,設備會向HWTACACS計費服務器發送停止計費請求報文,通過在設備上使能停止計費報文緩存功能,將其緩存在本機上,然後發送直到HWTACACS計費服務器產生響應,或者在發送停止計費請求報文的嚐試次數達到指定的最大值後將其丟棄。
表1-37 配置HWTACACS計費服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置HWTACACS主計費服務器 |
primary accounting ip-address [ port-number ] |
二者至少選其一 缺省情況下,未配置主/從計費服務器 |
|
設置HWTACACS從計費服務器 |
secondary accounting ip-address [ port-number ] |
|
|
使能停止計費報文緩存功能 |
stop-accounting-buffer enable |
可選 缺省情況下,使能停止計費報文緩存功能 |
|
設置允許發送停止計費請求報文的最大嚐試次數 |
retry stop-accounting retry-times |
可選 缺省情況下,允許發送停止計費請求報文的最大嚐試次數為100 |
· 在實際組網環境中,可以指定一台HWTACACS服務器既作為某個方案的主計費服務器,又作為另一個方案的從計費服務器。
· 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
· 隻有當沒有活躍的用於發送計費報文的TCP連接使用該計費服務器時,才允許刪除該服務器。
· 目前HWTACACS不支持對FTP用戶進行計費。
HWTACACS客戶端與HWTACACS服務器使用MD5算法來加密HWTACACS報文,並在共享密鑰的參與下生成驗證字來驗證對方報文的合法性。隻有在密鑰一致的情況下,彼此才能接收對方發來的報文並作出響應。
表1-38 配置HWTACACS報文的共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置HWTACACS認證、授權、計費報文的共享密鑰 |
key { accounting | authentication | authorization } [ cipher | simple ] key |
必選 缺省情況下,無密鑰 |
必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一致。
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備通過該域名決定將用戶歸於哪個ISP域的。由於有些HWTACACS服務器不能接受攜帶有ISP域名的用戶名,因此就需要設備首先將用戶名中攜帶的ISP域名去除後再傳送給該類HWTACACS服務器。通過設置發送給HWTACACS服務器的用戶名格式,就可以選擇發送HWTACACS服務器的用戶名中是否要攜帶ISP域名。
設備通過周期性地發送計費更新報文,向HWTACACS服務器報告在線用戶的數據流量統計值,該值的單位可配,為保證HWTACACS服務器計費的準確性,設備上設置的發送給HWTACACS服務器的數據流或者數據包的單位應與HWTACACS服務器上的流量統計單位保持一致。
表1-39 配置發送給HWTACACS服務器的數據相關屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置發送給HWTACACS服務器的用戶名格式 |
user-name-format { keep-original | with-domain | without-domain } |
可選 缺省情況下,發往HWTACACS服務器的用戶名帶域名 |
|
設置發送給HWTACACS服務器的數據流或者數據包的單位 |
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * |
可選 缺省情況下,數據流的單位為byte,數據包的單位為one-packet |
· 如果HWTACACS服務器不接受帶域名的用戶名,可以配置將用戶名的域名去除後再傳送給HWTACACS服務器。
· 對於級別切換認證,命令user-name-format keep-original與user-name-format without-domain的效果一樣,發送給HWTACACS服務器的用戶名都不攜帶ISP域名。
HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。若HWTACACS服務器收到的HWTACACS認證或計費報文的源地址在所管理的接入設備IP地址範圍內,則才會進行後續的認證或計費處理,否則直接對其做丟棄處理。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
通常,該地址為接入設備上與HWTACACS服務器路由可達的接口IP地址,但在一些特殊的組網環境中,例如接入設備與HWTACACS服務器之間存在NAT設備時,需要將該地址指定為轉換後的公網IP地址;在接入設備使用VRRP進行雙機熱備應用時,可以將該地址指定為VRRP上行鏈路所在備份組的虛擬IP地址。
設備發送HWTACACS報文時,首先判斷當前所使用的HWTACACS方案中是否通過nas-ip命令配置了發送HWTACACS報文使用源地址,若配置存在,則使用該地址作為發送HWTACACS報文使用的源地址,否則,根據當前使用的服務器所屬的VPN查找係統視圖下通過hwtacacs nas-ip命令配置的私網源地址,對於公網服務器則直接查找該命令配置的公網源地址。若係統視圖下配置了相應的源地址,則使用該地址作為發送HWTACACS報文使用的源地址,否則,使用通過路由查找到的報文出接口地址作為發送HWTACACS報文使用的源地址。
此配置可以在係統視圖和HWTACACS方案視圖下進行,係統視圖下的配置將對所有HWTACACS方案生效,HWTACACS方案視圖下的配置僅對本方案有效,並且具有高於前者的優先級。
表1-40 為所有HWTACACS方案配置發送HWTACACS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置設備發送HWTACACS報文使用的源地址 |
hwtacacs nas-ip ip-address |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
表1-41 為HWTACACS方案配置發送HWTACACS報文使用的源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置設備發送HWTACACS報文使用的源地址 |
nas-ip ip-address |
必選 缺省情況下,未指定源地址,即以發送報文的接口地址作為源地址 |
在與HWTACACS服務器交互的過程中,設備上可啟動的定時器包括以下幾種:
· 服務器響應超時定時器(response-timeout):如果在HWTACACS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到HWTACACS服務器的響應,則有必要重傳HWTACACS請求報文,以保證用戶確實能夠得到HWTACACS服務,這段時間被稱為HWTACACS服務器響應超時時長。
· 主服務器恢複激活狀態定時器(quiet):當主服務器不可達時,狀態變為block,設備會與狀態為active的從服務器交互,並開啟超時定時器,在設定的一定時間間隔之後,將主服務器的狀態恢複為active。這段時間被稱為主服務器恢複激活狀態時長。
· 實時計費間隔定時器(realtime-accounting):為了對用戶實施實時計費,有必要定期向服務器發送用戶的實時計費信息,通過設置實時計費的時間間隔,設備會每隔設定的時間向HWTACACS服務器發送一次在線用戶的計費信息。如果服務器對實時計費報文沒有正常響應,設備也不會強製切斷在線用戶。
表1-42 配置HWTACACS服務器的定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入HWTACACS方案視圖 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
設置HWTACACS服務器響應超時時間 |
timer response-timeout seconds |
可選 缺省情況下,服務器響應超時時間為5秒 |
|
設置主服務器恢複激活狀態的時間 |
timer quiet minutes |
可選 缺省情況下,主服務器恢複激活狀態前需要等待5分鍾 |
|
設置實時計費的時間間隔 |
timer realtime-accounting minutes |
可選 缺省情況下,實時計費間隔為12分鍾 |
實時計費間隔的取值對設備和HWTACACS服務器的性能有一定的相關性要求,取值越小,對設備和HWTACACS服務器的性能要求越高。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後HWTACACS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-43 HWTACACS協議顯示和維護
|
操作 |
命令 |
|
查看所有或指定HWTACACS方案的配置信息或統計信息 |
display hwtacacs [ hwtacacs-server-name [ statistics ] ] [ | { begin | exclude | include } regular-expression ] |
|
顯示緩存的沒有得到響應的停止計費請求報文 |
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ | { begin | exclude | include } regular-expression ] |
|
清除HWTACACS協議的統計信息 |
reset hwtacacs statistics { accounting | all | authentication | authorization } |
|
清除緩存中的沒有得到響應的停止計費請求報文 |
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name |
配置LDAP方案的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
表1-44 LDAP配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建LDAP方案 |
必選 |
|
|
配置LDAP認證服務器 |
必選 |
|
|
配置LDAP授權服務器 |
可選 |
|
|
配置LDAP版本號 |
可選 |
|
|
配置LDAP服務器類型 |
可選 |
|
|
配置LDAP服務器的連接超時時間 |
可選 |
|
|
配置具有管理員權限的用戶屬性 |
必選 |
|
|
配置LDAP用戶屬性參數 |
必選 |
|
|
配置LDAP組屬性參數 |
可選 |
|
|
LDAP顯示和維護 |
可選 |
在進行LDAP的其它配置之前,必須先創建LDAP方案並進入其視圖。
表1-45 創建LDAP方案
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建LDAP方案並進入其視圖 |
ldap scheme ldap-scheme-name |
必選 缺省情況下,未定義LDAP方案 |
· 一個LDAP方案可以同時被多個ISP域引用。
· 係統最多支持配置16個LDAP方案。隻有未被引用的方案才可以被刪除。
表1-46 配置LDAP認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置LDAP認證服務器 |
authentication-server ip-address [ port-number ] |
必選 缺省情況下,未配置LDAP認證服務器 |
更改後的認證服務器IP地址和端口號,不影響已經進行的LDAP認證,隻對更改之後發起的LDAP認證生效。
表1-47 配置LDAP授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置LDAP授權服務器 |
authorization-server ip-address [ port-number ] |
必選 缺省情況下,未配置LDAP授權服務器 |
更改後的授權服務器IP地址和端口號,不影響已經進行的LDAP認證,隻對更改之後發起的LDAP授權生效。
配置LDAP認證中所支持的LDAP協議的版本號,目前設備支持LDAPv2和LDAPv3兩個協議版本。設備上配置的LDAP版本號需要與服務器支持的版本號保持一致。
表1-48 配置LDAP版本號
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置LDAP版本號 |
protocol-version { v2 | v3 } |
可選 缺省情況下,LDAP版本號為LDAPv3 |
Microsoft的LDAP服務器隻支持LDAPv3。
配置LDAP認證中所使用的LDAP服務器類型,目前設備支持IBM、Microsoft和Sun公司的LDAP服務器。
表1-49 配置LDAP服務器類型
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置LDAP服務器類型 |
server-type { ibm | microsoft | sun } |
可選 缺省情況下,LDAP服務器類型為Microsoft |
設備向LDAP服務器發送綁定請求、查詢請求,如果經過指定的時間後未收到LDAP服務器的回應,則認為本次認證、授權請求超時。若設備上配置了備份的認證、授權方案,則設備會繼續嚐試進行其他方式的認證、授權處理,否則本次認證、授權失敗。
表1-50 配置LDAP服務器的連接超時時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置LDAP服務器的連接超時時間 |
server-timeout time-interval |
可選 缺省情況下,LDAP服務器的連接超時時間為10秒 |
配置LDAP認證過程中綁定服務器所使用的用戶DN和用戶密碼,該用戶具有管理員權限。
表1-51 配置具有管理員權限的用戶屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置具有管理員權限的用戶DN |
login-dn dn-string |
必選 缺省情況下,未配置具有管理員權限的用戶DN |
|
配置具有管理員權限的用戶密碼 |
login-password [ ciper | simple ] password |
必選 缺省情況下,未配置具有管理權限的用戶密碼 |
設備上的管理員DN必須與LDAP服務器上管理員的DN一致。
要對用戶進行身份認證,就需要以用戶DN及密碼為參數與LDAP服務器進行綁定,因此需要首先獲取用戶DN。LDAP提供了一套DN查詢機製,在與LDAP服務器建立連接的基礎上,按照一定的查詢策略向服務器發送查詢請求。該查詢策略由設備上指定的LDAP用戶屬性定義,具體包括以下幾項:
· 用戶DN查詢的起始節點(search-base-dn)
· 用戶DN查詢的範圍(search-scope)
· 用戶所在組屬性(user-group-attribute)
· 用戶名稱屬性(user-name-attribute)
· 用戶名稱格式(user-name-format)
· 用戶對象類型(user-object-class)
其中,若LDAP服務器上定義了用戶所在組屬性,則設備上的配置要與LDAP服務器上定義的屬性值保持一致。
表1-52 配置LDAP用戶屬性參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置用戶查詢的起始DN |
user-parameters search-base-dn base-dn |
必選 缺省情況下,未指定用戶查詢的起始DN |
|
配置用戶查詢的範圍 |
user-parameters search-scope { all-level | single-level } |
可選 缺省情況下,用戶查詢的範圍為all-level |
|
配置用戶查詢返回的自定義用戶組屬性 |
user-parameters user-group-attribute attribute-name |
可選 缺省情況下,未指定自定義用戶組屬性,采用LDAP服務器上定義的缺省用戶組屬性 |
|
配置用戶查詢的用戶名屬性 |
user-parameters user-name-attribute { name-attribute | cn | uid } |
可選 缺省情況下,用戶查詢的用戶名屬性為cn |
|
配置用戶查詢的用戶名格式 |
user-parameters user-name-format { with-domain | without-domain } |
可選 缺省情況下,用戶查詢的用戶名格式為without-domain |
|
配置用戶查詢的自定義用戶對象類型 |
user-parameters user-object-class object-class-name |
可選 缺省情況下,未指定自定義用戶對象類型,根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型 |
· LDAP服務器上的目錄結構可能具有很深的層次,如果從根目錄進行用戶DN的查找,耗費的時間將會較長,因此有必要對查找的起始點search-base-dn進行配置,以提高查找效率。
· 如果LDAP服務器上的用戶名不包含域名,必須配置user-name-format為without-domain,將用戶名的域名去除後再傳送給LDAP服務器;如果包含域名則須配置user-name-format為with-domain。
· Microsoft類型的LDAP服務器上定義了缺省的用戶組屬性(屬性名為memberOf),IBM和Sun類型的LDAP服務器上未定義缺省的用戶組屬性,但可以通過修改LDAP服務器上的schema配置用戶組屬性。因此,若使用Microsoft類型的LDAP服務器,則是通過查詢用戶DN來獲得用戶所在的組;若使用IBM和Sun類型的LDAP服務器,且未配置自定義的用戶組屬性,則使用查詢組中是否含有用戶DN的方法來獲得用戶所在組,具體配置請參見“1.3.4 10. 配置LDAP組屬性參數”。
用戶的授權處理是通過查詢用戶組,從而獲得授權信息來實現的。在用戶組的查詢中,需要指定相應的查詢方式及查詢條件,即配置相關LDAP組屬性參數。由於Microsoft服務器的用戶對象類型(user-object-class)中已經包含了用戶組屬性,所以組屬性參數的配置對Microsoft服務器不是必須的,但對於IBM和Sun服務器則是必須的。
可配置的LDAP組屬性參數包括:
· 組名稱屬性類型(group-name-attribute)
· 組對象類型(group-object-class)
· 組成員屬性(member-name-attribute)
· 用戶組查詢起始節點(search-base-dn)
· 用戶組查詢範圍(search-scope)
其中,對於組對象類型和組成員屬性,一般情況下係統使用服務器廠商定義的缺省屬性值,若廠商未定義缺省值或用戶需要使用自定義的值,則可以通過命令行進行配置。
表1-53 配置LDAP組屬性參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入LDAP方案視圖 |
ldap scheme ldap-scheme-name |
- |
|
配置組查詢的起始DN |
group-parameters search-base-dn base-dn |
必選 缺省情況下,未指定組查詢的起始DN |
|
配置組查詢的範圍 |
group-parameters search-scope { all-level | single-level } |
可選 缺省情況下,組查詢的範圍為all-level |
|
配置組查詢的自定義組對象類型 |
group-parameters group-object-class object-class-name |
可選 缺省情況下,未指定自定義組對象類型 |
|
配置組查詢的自定義組成員屬性 |
group-parameters member-name-attribute attribute-name |
可選 缺省情況下,未指定自定義組成員屬性 |
|
配置組查詢返回的組名屬性 |
group-parameters group-name-attribute { name-attribute | cn | uid } |
可選 缺省情況下,組查詢返回的組名屬性為cn |
· LDAP服務器上的目錄結構可能具有很深的層次,如果從根目錄進行用戶組DN的查找,耗費的時間將會較長,因此有必要對查找的起始點search-base-dn進行配置,以提高查找效率。
· 各廠商對缺省組對象類型和組成員類型的支持情況不同,隻有IBM和Sun的服務器支持缺省的組對象類型和組成員類型,Microsoft服務器的此屬性無缺省配置。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後LDAP的運行情況,通過查看顯示信息驗證配置的效果。
表1-54 LDAP協議顯示和維護
|
操作 |
命令 |
|
查看所有或指定LDAP方案的配置信息 |
display ldap scheme [ scheme-name ] [ | { begin | exclude | include } regular-expression ] |
通過在ISP域視圖下引用預先配置的認證、授權、計費方案來實現對用戶的認證、授權和計費。每個ISP域中都有缺省的認證、授權、計費方法,分別為本地認證、本地授權、本地計費,如果用戶所屬的ISP域下未應用任何認證、授權、計費方法,係統將使用缺省的認證、授權、計費方法。
· 若采用本地認證方案,則請保證完成本地用戶的配置。有關本地用戶的配置請參見“1.3.1 配置本地用戶”。
· 若采用遠端認證、授權或計費方案,則請提前創建RADIUS方案、HWTACACS方案或LDAP方案。有關RADIUS方案的配置請參見“1.3.2 配置RADIUS方案”。有關HWTACACS方案的配置請參見“1.3.3 配置HWTACACS方案”。有關LDAP方案的配置請參見“1.3.4 配置LDAP方案”。
在多ISP的應用環境中,不同ISP域的用戶有可能接入同一台設備。而且各ISP用戶的用戶屬性(例如用戶名及密碼構成、服務類型/權限等)有可能不相同,因此有必要通過設置ISP域把它們區分開,並為每個ISP域單獨配置一套AAA方法及ISP域的相關屬性。
對於設備來說,每個接入用戶都屬於一個ISP域。係統中最多可以配置16個ISP域,包括一個係統缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名,係統將把它歸於缺省的ISP域。
設備將按照如下先後順序選擇認證域:接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中,僅部分接入模塊支持指定認證域,例如802.1X、Portal、MAC地址認證。
如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證,否則,用戶將無法認證。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建ISP域並進入其視圖 |
domain isp-name |
必選 |
|
返回係統視圖 |
quit |
- |
|
手工配置缺省的ISP域 |
domain default enable isp-name |
可選 缺省情況下,係統缺省的ISP域為system |
|
為未知域名的用戶指定ISP域 |
domain if-unknown isp-name |
可選 缺省情況下,沒有為未知域名的用戶指定ISP域 |
· 配置為缺省的ISP域不能夠被刪除,除非首先使用命令undo domain default enable將其修改為非缺省ISP域。
· 從指定接口上接入的用戶將按照先後順序選擇認證域:接口上配置的強製ISP域->用戶名中指定的ISP域->係統缺省的ISP域。對於不支持或未指定強製ISP域的用戶,若登錄時輸入的用戶名未攜帶ISP域名,則使用缺省ISP域下的認證方案。
表1-56 配置ISP域的屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
設置ISP域的狀態 |
state { active | block } |
可選 缺省情況下,當一個ISP域被創建以後,其狀態為active,即允許任何屬於該域的用戶請求網絡服務 |
|
設置當前ISP域可容納接入用戶數的限製 |
access-limit enable max-user-number |
可選 缺省情況下,不對當前ISP域可容納的接入用戶數作限製 |
|
設置用戶閑置切斷功能 |
idle-cut enable minute [ flow ] |
可選 缺省情況下,用戶閑置切斷功能處於關閉狀態 此命令目前隻對lan-access、Portal和PPP服務類型的用戶有效
在Portal雙機熱備情況下,閑置檢測時間建議配置為5分鍾以上,以確保已經上線的Portal用戶數據進行了相互備份 |
|
設置自助服務器定位功能 |
self-service-url enable url-string |
可選 缺省情況下,自助服務器定位功能處於關閉狀態 |
|
定義為PPP用戶分配IP地址的地址池 |
ip pool pool-number low-ip-address [ high-ip-address ] |
可選 缺省情況下,沒有定義為PPP用戶分配IP地址的IP地址池 |
|
配置當前ISP域的缺省授權User Profile |
authorization-attribute user-profile profile-name |
可選 缺省情況下,當前ISP域無缺省授權User Profile |
|
配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間 |
session-time include-idle-time |
可選 缺省情況下,設備上傳到服務器的用戶在線時間中扣除閑置切換時間 |
· 如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權User Profile,則係統會將當前ISP域的缺省User Profile下發給該域用戶,當用戶通過認證上線後,其訪問行為將受到User Profile中預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile配置”。
· 自助服務器定位功能需要與支持自助服務的RADIUS服務器配合使用,如CAMS/iMC。
在AAA中,認證、授權和計費是三個獨立的業務流程。認證的職責是完成各接入或服務請求的用戶名/密碼/用戶信息的交互認證過程,它不會下發授權信息給請求用戶,也不會觸動計費的流程。
AAA支持以下認證方法:
· 不認證(none):對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方法。
· 本地認證(local):認證過程在接入設備上完成,用戶信息(包括用戶名、密碼和各種屬性)配置在接入設備上。優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
· 遠端認證(scheme):認證過程在接入設備和遠端的服務器之間完成,接入設備和遠端服務器之間通過RADIUS、HWTACACS或LDAP協議通信。優點是用戶信息集中在服務器上統一管理,可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端服務器無效時,可配置本地認證或者不認證作為備選認證方式完成認證。目前,僅lan-access用戶的遠端認證可支持不認證作為備選認證方法。
在AAA中,可以隻使用認證,而不使用授權或計費。如果用戶沒有進行任何配置,則ISP域的缺省認證方法為local。
配置前的準備工作:
(1) 如果用戶使用RADIUS、HWTACACS或LDAP認證,則需要先配置要引用的RADIUS、HWTACACS或LDAP方案;如果使用local或none認證,則不需要配置方案。
(2) 確定要配置的接入方式或者服務類型。AAA可以對不同的接入方式和服務類型配置不同的認證方案,並且從配置上限製了用戶接入時使用的認證協議。
(3) 確定是否為所有的接入方式或服務類型配置認證方法。
表1-57 配置ISP域的AAA認證方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
為當前ISP域配置缺省的認證方法 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,當前ISP域的缺省認證方法為local |
|
為lan-access用戶配置認證方法 |
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] } |
可選 缺省情況下,lan-access用戶采用缺省的認證方法 |
|
為login用戶配置認證方法 |
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | ldap-scheme ldap-scheme-name [ local ] | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,login用戶采用缺省的認證方法 |
|
為Portal用戶配置認證方法 |
authentication portal { ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,Portal用戶采用缺省的認證方法 |
|
為PPP用戶配置認證方法 |
authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,PPP用戶采用缺省的認證方法
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
|
配置級別切換認證方法 |
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } |
可選 缺省情況下,級別切換認證采用缺省的認證方法 |
|
為WAPI用戶配置認證方法 |
authentication wapi { none | radius-scheme radius-scheme-name } |
可選 缺省情況下,WAPI用戶采用缺省的認證方法
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
· authentication default命令配置的認證方法不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
· 當選擇RADIUS認證方案時,AAA隻接受RADIUS服務器的認證結果,RADIUS授權的信息雖然在認證成功回應的報文中攜帶,但在認證回應的處理流程中不會被處理。
· 如果配置AAA認證方法時指定了參數radius-scheme radius-scheme-name local、hwtacacs-scheme hwtacacs-scheme-name local或ldap-scheme ldap-scheme-name local,則local為遠端服務器沒有正常響應後的備選認證方法。
· 如果local或者none作為第一認證方法,那麼隻能采用本地認證或者不進行認證,不能同時采用遠程認證方法。
· 當使用HWTACACS方案進行級別切換認證時,係統默認使用登錄用戶名進行用戶級別切換認證;當使用RADIUS方案進行級別切換認證時,係統使用RADIUS服務器上配置的“$enab+level$”形式的用戶名替換登錄用戶名進行用戶級別切換認證,其中level為用戶希望切換到的級別。例如,用戶希望切換到級別3,輸入的用戶名為“user1”,在要求攜帶域名認證的情況下,係統使用用戶名“$enab3@domain_name$”進行用戶級別切換認證,否則使用“$enab3$”進行用戶級別切換認證。
在AAA中,授權是一個和認證、計費同級別的獨立流程,其職責是發送授權請求給所配置的授權服務器,授權通過後向用戶下發授權信息。在ISP域的AAA配置中,授權方法為可選配置。
AAA支持以下授權方法:
· 不授權(none):接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console/aux或者Telnet、FTP訪問設備的用戶)隻有係統所給予的0級別的命令行訪問權限,其中FTP用戶可訪問設備的根目錄;認證通過的非Login用戶,可直接訪問網絡。
· 本地授權(local):授權過程在接入設備上進行,根據接入設備上為本地用戶配置的相關屬性進行授權。
· 遠端授權(scheme):授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。RADIUS認證成功後,才能進行授權,RADIUS授權信息攜帶在認證回應報文中下發給用戶。HWTACACS和LDAP協議的授權與認證相分離,在認證成功後,HWTACACS授權信息通過授權報文進行交互。當遠端服務器無效時,可配置本地授權或直接授權作為備選授權方式完成授權。
如果用戶沒有進行任何配置,則ISP域的缺省授權方法為local。
配置前的準備工作:
(1) 如果用戶要使用HWTACACS或LDAP授權,則需要先配置要引用的HWTACACS或LDAP方案;如果是RADIUS授權,隻有在認證和授權方法中引用相同的RADIUS方案,授權才起作用。
(2) 確定要配置的接入方式或者服務類型,AAA可以按照不同的接入方式和服務類型進行AAA授權的配置,並且從配置上正確限製了接入所能使用的授權協議。
(3) 確定是否為所有的接入方式或服務類型配置授權方法。
表1-58 配置ISP域的AAA授權方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
為當前ISP域配置缺省的授權方法 |
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | ldap-scheme ldap-scheme-name [ local ] | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,當前ISP域的缺省授權方法為local |
|
配置命令行授權方法 |
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none } |
可選 缺省情況下,命令行授權采用缺省的授權方法 |
|
為lan-access用戶配置授權方法 |
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] } |
可選 缺省情況下,lan-access用戶采用缺省的授權方法 |
|
為login用戶配置授權方法 |
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | ldap-scheme ldap-scheme-name [ local ] | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,login用戶采用缺省的授權方法 |
|
為Portal用戶配置授權方法 |
authorization portal { local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,Portal用戶采用缺省的授權方法 |
|
為PPP用戶配置授權方法 |
authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,PPP用戶采用缺省的授權方法
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
|
為WAPI用戶配置授權方法 |
authorization wapi { none | radius-scheme radius-scheme-name } |
可選 缺省情況下,WAPI用戶采用缺省的授權方法
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
· authorization default命令配置的授權方法不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
· 在一個ISP域中,隻有RADIUS授權方法和RADIUS認證方法引用了相同的RADIUS方案,RADIUS授權才能生效。若RADIUS授權未生效或者RADIUS授權失敗,則用戶認證會失敗。對於所有RADIUS授權失敗的情況,RADIUS服務器返回給NAS的原因為服務器沒有響應。
· 如果配置AAA授權方法時指定了參數radius-scheme radius-scheme-name local、hwtacacs-scheme hwtacacs-scheme-name [ local | none ]或ldap-scheme ldap-scheme-name local,則local或none為遠端服務器沒有正常響應後的備選授權方法。
· local或者none作為第一授權方法時,沒有備選授權方式,隻能采用本地授權或者直接授權。
在AAA中,計費是一個和認證、授權同級別的獨立流程,其職責為發送計費開始/更新/結束請求給所配置的計費服務器。計費不是必須使用的。在ISP域的AAA配置中,允許不配置計費方法。如果不配置計費方法,則ISP域的缺省計費方法為local。
AAA支持以下計費方法:
· 不計費(none):不對用戶計費。
· 本地計費(local):計費過程在接入設備上完成,實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。本地計費僅用於配合本地用戶視圖下的access-limit命令來實現對本地用戶連接數的限製功能。
· 遠端計費(scheme):計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時,可配置本地計費或不計費作為備選計費方式完成計費。
配置前的準備工作:
(1) 如果用戶要使用RADIUS或HWTACACS計費,則需要先配置要引用的RADIUS方案或HWTACACS方案;如果要使用local或none計費,則不需要配置方案。
(2) 確定要配置的接入方式或者服務類型,AAA可以支持為按照不同的接入方式和服務類型進行AAA計費的配置,並且從配置上正確限製了接入所能使用的計費協議。
(3) 確定是否為所有的接入方式或服務類型配置計費方法。
表1-59 配置ISP域的AAA計費方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ISP域視圖 |
domain isp-name |
- |
|
打開計費可選開關 |
accounting optional |
可選 缺省情況下,ISP域的計費可選開關處於關閉狀態 對用戶進行計費時,若發現沒有可用的計費服務器或與計費服務器通信失敗,在計費開關打開的情況下,用戶可繼續使用網絡資源,否則用戶會被強製下線 |
|
為當前ISP域配置缺省的計費方法 |
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,當前ISP域的缺省計費方法為local |
|
配置命令行計費方法 |
accounting command hwtacacs-scheme hwtacacs-scheme-name |
可選 缺省情況下,命令行計費采用缺省的計費方法 |
|
為lan-access用戶配置計費方法 |
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] } |
可選 缺省情況下,lan-access用戶采用缺省的計費方法 |
|
為login用戶配置計費方法 |
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,login用戶采用缺省的計費方法 |
|
為Portal用戶配置計費方法 |
accounting portal { local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,Portal用戶采用缺省的計費方法 |
|
為PPP用戶配置計費方法 |
accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
可選 缺省情況下,PPP用戶采用缺省的計費方法
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
|
為WAPI用戶配置計費方法 |
accounting wapi { none | radius-scheme radius-scheme-name } |
可選 缺省情況下,WAPI用戶采用缺省的計費方法
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。 |
· 在計費可選開關打開的情況下,本地用戶的連接數限製功能不生效。
· accounting default命令配置的計費方法不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
· 如果配置AAA計費方法時指定了參數radius-scheme radius-scheme-name local或hwtacacs-scheme hwtacacs-scheme-name local,則local為遠端服務器沒有正常響應後的備選計費方法。
· 如果local或者none作為第一計費方法,那麼隻能采用本地認證或者不進行計費,不能同時采用遠程計費方法。
· login類型的接入中FTP方式不支持計費流程。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
強製切斷指定AAA用戶的連接 |
cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } |
必選 此命令目前隻對lan-access、Portal和PPP服務類型的用戶有效 |
802.1X協議用來對接入用戶進行認證,它使用EAP(Extensible Authentication Protocol,可擴展認證協議)協議完成客戶端與接入設備之間的認證交互。在一些簡單的應用環境下,用戶不希望或者未部署AAA服務器來進行EAP認證,而是希望直接采用接入設備來進行本地EAP認證。在這種組網需求下,就要求接入設備來充當EAP認證服務器的角色。
另外,當遠程RADIUS服務器不支持EAP認證時,本地EAP認證服務器還可以協助實現RADIUS的Offload功能,關於該功能的詳細介紹請參見“1.3.2 15. 使能RADIUS Offload功能”。
本地EAP認證過程中對用戶身份的驗證可采用兩種方式:查詢本地數據庫和查詢LDAP數據庫。缺省情況下,係統默認采用本地用戶數據庫來驗證用戶身份。本地數據庫是在接入設備上通過配置本地用戶生成並保存的;LDAP數據庫在遠程LDAP服務器上生成並維護。本地用戶數據庫受設備硬件資源的限製不能保存數量過多的用戶信息,且在多接入設備的組網環境中不易進行用戶信息的統一管理。因此,在具備LDAP服務器資源的情況下,利用獨立的LDAP數據庫驗證用戶身份則是一種更為合適的配置方式。
接入設備需要通過以下配置步驟來實現對接入用戶的本地EAP認證:
(1) 配置本地EAP認證服務器,具體配置請參考“配置本地EAP認證服務器”。
(2) 配置對lan-access用戶采用Local認證方法(授權和計費可選,請根據實際情況配置),具體配置請參考“配置ISP域的AAA認證方法”。
(3) 根據采用的用戶身份查詢方式,選擇以下配置:
· 若采用查詢本地數據庫的方式,則需配置本地用戶,具體配置請參考“配置本地用戶”。
· 若采用查詢LDAP數據庫的方式,則需配置LDAP方案,具體配置請參考“配置LDAP方案”。除此之外,還需要在所使用的LDAP服務器上添加用戶帳戶,詳情請參考相關的LDAP服務器使用說明。
(4) 配置802.1X功能,具體配置請參考“安全配置指導”中的“802.1X”。
為使本地EAP認證服務器生效,必須完成以下配置:
(1) 配置EAP Profile
EAP Profile是一個本地EAP認證選項的配置集合,用於設置EAP認證方法、身份查詢方式以及某些EAP認證方法需要引用的SSL服務器策略。
本地EAP認證支持的EAP認證方法包括以下幾種:
· MD5質詢認證
· PEAP-GTC(Protected Extensible Authentication Protocol-Microsoft Generic Token Card,受保護的擴展認證協議-通用令牌卡)
· PEAP-MSCHAPv2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2,受保護的擴展認證協議- Microsoft質詢握手身份驗證協議版本2)
· TLS(Transport Layer Security,傳輸層安全)。
目前,設備支持三種本地EAP認證的用戶身份查詢機製:local查詢、LDAP查詢和LDAP+local查詢。其中,LDAP+local查詢是指,在LDAP服務器不可達、指定的LDAP scheme不存在或者LDAP服務器不支持該查詢方式時,接入設備轉而進行本地查詢。
(2) 在係統視圖下指定本地認證服務器使用的EAP Profile
表1-61 配置本地EAP認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建EAP Profile,並進入EAP-Profile視圖 |
eap-profile profile-name |
必選 |
|
設置EAP認證方法 |
method { md5 | peap-gtc | peap-mschapv2 | tls } |
必選 缺省情況下,未設置任何EAP認證方法 可通過多次執行本命令設置多個EAP認證方法,先設置的認證方法在本地EAP認證時優先選用 peap-gtc和peap-mschapv2兩種認證方法不能同時配置 |
|
設置本地EAP認證的用戶身份查詢方式 |
user-credentials { ldap-scheme ldap-scheme-name [ local ] | local } |
可選 缺省情況下,使用本地用戶數據庫查詢用戶身份 |
|
設置用於EAP認證的SSL服務器端策略 |
ssl-server-policy policy-name |
僅當EAP認證方法為peap-gtc、peap-mschapv2或tls時,本配置必選 缺省情況下,未設置任何SSL服務器端策略 |
|
退回係統視圖 |
quit |
- |
|
設置本地認證服務器使用的EAP Profile |
local-server authentication eap-profile profile-name |
必選 |
· 不能刪除或修改已經被本地認證服務器引用的EAP profile。
· SSL服務器端策略的具體配置請參考“安全配置指導”中的“SSL”。
用戶的接入VLAN可標識用戶的接入位置,而在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置,因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。這樣,當用戶上線時,設備會將與用戶接入VLAN匹配的NAS-ID填充在RADIUS請求報文中的NAS-Identifier屬性中發送給RADIUS服務器。
表1-62 配置NAS-ID與VLAN的綁定
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建NAS-ID Profile,並進入NAS-ID-Profile視圖 |
aaa nas-id profile profile-name |
必選 本NAS-ID Profile將被使能Portal的接口進行引用,具體應用請參見“安全配置指導”中的“Portal配置” |
|
設置NAS-ID 與VLAN的綁定關係 |
nas-id nas-identifier bind vlan vlan-id |
必選 缺省情況下,未設置任何綁定關係 |
本特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
設備ID是設備工作在雙機熱備環境中的一個標誌,為保證設備上的Portal業務備份可以正常工作,互為備份的兩台設備上必須配置不同編號的設備ID。目前,設備ID的編號取值隻能為1和2。關於Portal雙機熱備的詳細介紹請參考“安全配置指導”中的“Portal”。
表1-63 配置雙機熱備模式下的設備ID
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置雙機熱備模式下的設備ID |
nas device-id device-id |
必選 缺省情況下,設備工作在單機模式下,無設備ID |
· 配置或改變設備ID後,設備上所有在線用戶均會被強製下線。因此需慎重操作,並建議該配置成功執行後,保存配置並重啟設備。
· 由於設備ID是設備運行在雙機模式下的標誌,因此單機運行的環境下不需要在設備上進行此配置。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後AAA的運行情況,通過查看顯示信息驗證配置的效果。
表1-64 AAA顯示和維護
|
操作 |
命令 |
|
顯示所有或指定ISP域的配置信息 |
display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示AAA用戶連接的相關信息 |
display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ] |
· 通過配置無線控製器AC實現HWTACACS服務器對登錄AC的用戶進行認證和授權。
· 一台HWTACACS服務器(擔當認證和授權服務器的職責)與AC相連,服務器IP地址為10.1.1.1/24。
· 設置AC與認證和授權HWTACACS服務器交互報文時的共享密鑰均為expert,AC發送給HWTACACS服務器的用戶名中不帶域名。
· 在HWTACACS服務器上設置與AC交互報文時的共享密鑰為expert。
圖1-10 配置Telnet用戶的遠端HWTACACS認證、授權
# 配置各接口的IP地址(略)。
# 開啟設備的Telnet服務器功能。
<AC> system-view
[AC] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[AC] user-interface vty 0 4
[AC-ui-vty0-4] authentication-mode scheme
[AC-ui-vty0-4] quit
# 創建一個新的ISP域system,並設置為係統缺省的ISP域。
[AC] domain default enable system
# 創建HWTACACS方案hwtac。
[AC] hwtacacs scheme hwtac
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為49。
[AC-hwtacacs-hwtac] primary authentication 10.1.1.1 49
# 配置主授權服務器的IP地址為10.1.1.1,認證端口號為49。
[AC-hwtacacs-hwtac] primary authorization 10.1.1.1 49
# 配置與認證、授權服務器交互報文時的共享密鑰均為expert。
[AC-hwtacacs-hwtac] key authentication expert
[AC-hwtacacs-hwtac] key authorization expert
# 配置向HWTACACS服務器發送的用戶名不攜帶域名。
[AC-hwtacacs-hwtac] user-name-format without-domain
[AC-hwtacacs-hwtac] quit
# 配置ISP域的AAA方案。
[AC] domain system
[AC-isp-system] authentication login hwtacacs-scheme hwtac
[AC-isp-system] authorization login hwtacacs-scheme hwtac
[AC-isp-system] quit
# 或者不區分用戶類型,配置缺省的AAA方案。
[AC] domain system
[AC-isp-system] authentication default hwtacacs-scheme hwtac
[AC-isp-system] authorization default hwtacacs-scheme hwtac
用戶發起Telnet連接,在Telnet客戶端按照提示輸入正確的用戶名和密碼後,可成功進入AC的用戶界麵。在AC上可以通過通過命令display connection可以查看認證通過的用戶信息。
· 通過配置無線控製器AC實現local認證,HWTACACS授權。Telnet用戶的用戶名和密碼為telnet。
· 一台HWTACACS服務器(擔當授權服務器的職責)與AC相連,服務器IP地址為10.1.1.2/24。設置AC與授權HWTACACS服務器交互報文時的共享密鑰均為expert,AC發送給HWTACACS服務器的用戶名中不帶域名。
其他接入如果需要此類AAA應用,和Telnet在域的AAA配置上類似,隻有接入的區分。
圖1-11 配置Telnet用戶的local認證,HWTACACS授權
配置各接口的IP地址(略)。
# 開啟設備的Telnet服務器功能。
<AC> system-view
[AC] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[AC] user-interface vty 0 4
[AC-ui-vty0-4] authentication-mode scheme
[AC-ui-vty0-4] quit
# 創建一個新的ISP域system,並設置為係統缺省的ISP域。
[AC] domain default enable system
# 創建HWTACACS方案 hwtac。
[AC] hwtacacs scheme hwtac
# 配置主認證服務器的IP地址為10.1.1.2,認證端口號為49。
[AC-hwtacacs-hwtac] primary authorization 10.1.1.2 49
# 配置與認證服務器交互報文時的共享密鑰均為expert。
[AC-hwtacacs-hwtac] key authorization expert
# 配置向HWTACACS服務器發送的用戶名不攜帶域名。
[AC-hwtacacs-hwtac] user-name-format without-domain
[AC-hwtacacs-hwtac] quit
# 創建本地用戶telnet,登錄密碼為telnet。
[AC] local-user telnet
[AC-luser-telnet] service-type telnet
[AC-luser-telnet] password simple telnet
# 配置ISP域的AAA方案。
[AC] domain system
[AC-isp-system] authentication login local
[AC-isp-system] authorization login hwtacacs-scheme hwtac
[AC-isp-system] quit
# 或者不區分用戶類型,配置缺省的AAA方案。
[AC] domain system
[AC-isp-system] authentication default local
[AC-isp-system] authorization default hwtacacs-scheme hwtac
用戶發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnet@system和正確的密碼後,可成功進入AC的用戶界麵。在AC上可以通過display connection命令查看到AAA用戶的連接信息。
· 配置無線控製器AC,實現RADIUS服務器對登錄AC的無線802.1X用戶進行認證、授權和計費。
· RADIUS服務器與AC路由可達,服務器IP地址為8.1.1.1/24。
· AC與認證服務器交互報文時的共享密鑰為ACkey、與計費RADIUS服務器交互報文時的共享密鑰為ACkey,發送給RADIUS服務器的用戶名不帶域名。
圖1-12 無線用戶的遠端RADIUS認證、授權和計費
# 配置各接口的IP地址(略)。
# 開啟全局的端口安全特性。
<AC> system-view
[AC] port-security enable
# 設置無線端口安全模式為userLoginSecureExt。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密鑰協商功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X多播觸發功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
# 關閉802.1X的在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
# 配置接口的強製認證域為test。(所有從該接口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費。該配置不是必須的,可根據實際組網情況選配)
[AC-WLAN-ESS1] dot1x mandatory-domain test
[AC-WLAN-ESS1] quit
# 配置WLAN的服務模板
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid sectest
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] security-ie wpa
[AC-wlan-st-1] service-template enable
# 配置無線dot1x 用戶的認證方式
[AC] dot1x authentication-method eap
# 配置RADIUS方案。
[AC] radius scheme rad
# 配置主認證/授權服務器的IP地址為8.1.1.1,認證端口號為1812。
[AC-radius-rad] primary authentication 8.1.1.1 1812
# 配置主計費服務器的IP地址為8.1.1.1,認證端口號為1813。
[AC-radius-rad] primary accounting 8.1.1.1 1813
# 配置RADIUS認證/授權和計費報文的共享密鑰為Ackey。
[AC-radius-rad] key authentication ACkey
[AC-radius-rad] key accounting Ackey
# 配置設備支持的RADIUS服務器類型為extended類型。
[AC-radius-rad] server-type extended
# 配置向RADIUS服務器發送的用戶名不攜帶域名。
[AC-radius-rad] user-name-format without-domain
[AC-radius-rad] quit
# 配置ISP域的AAA方案。
[AC] domain test
[AC-isp-test] authentication lan-access radius-scheme rad
[AC-isp-test] authorization lan-access radius-scheme rad
[AC-isp-test] accounting lan-access radius-scheme rad
[AC-isp-test] quit
# 或者不區分用戶類型,配置缺省的AAA方案。
[AC] domain test
[AC-isp-test] authentication default radius-scheme rad
[AC-isp-test] authorization default radius-scheme rad
[AC-isp-test] accounting default radius-scheme rad
[AC-isp-test] quit
用戶通過認證後,在AC上可以通過命令display connection可以查看認證通過的用戶信息。
· 本文LDAP服務器以Microsoft Windows 2003 Server的Active Directory為例,說明該例中LDAP server的基本配置。
· 目前設備暫不支持使用LDAP進行授權,可以配置HWTACACS作為授權方案配合LDAP認證方案,具體配置請參考1.3.3 配置HWTACACS方案。
如圖1-13所示,配置AC實現LDAP服務器對登錄AC的Telnet用戶進行認證。
· 一台LDAP認證服務器與AC相連,服務器IP地址為10.1.1.1/24。服務器域名為ldap.com。
· 在LDAP服務器上設置管理員administrator的密碼為admin!123456。
· 在LDAP服務器上添加用戶名為aaa的用戶,密碼為ldap!123456。
圖1-13 Telnet用戶LDAP認證配置組網圖
(1) 配置LDAP服務器。
# 添加用戶aaa。
· 在LDAP服務器上,選擇[開始/管理工具]中的[Active Directory用戶和計算機],打開Active Directory用戶管理界麵;
· 選擇[操作/新建/用戶],打開[新建對象-用戶]對話框;
· 在對話框中輸入用戶名aaa,並單擊<下一步>按鈕。
圖1-14 新建用戶aaa
· 在彈出的對話框的“密碼”區域框內輸入用戶密碼ldap!123456,並單擊<下一步>按鈕。用戶帳戶的其它屬性(密碼的更改方式、密碼的生存方式、是否禁用帳戶)請根據實際情況選擇配置,圖中僅為示例。
圖1-15 設置用戶密碼
# 將用戶aaa加入Users組。
· 在Active Directory用戶管理界麵的左側導航樹中,點擊ldap.com節點下的“Users”按鈕;
· 在右側的Users信息框中右鍵單擊用戶aaa,選擇“屬性”項;
· 在彈出的[aaa屬性]對話框中選擇“隸屬於”頁簽,選擇用戶要隸屬於的名稱“Domain Users”,並單擊<添加(D)...>按鈕。
圖1-16 修改用戶屬性
· 在彈出的[選擇組]對話框中單擊<確定>,完成用戶aaa添加到Users組。
圖1-17 添加用戶aaa到用戶組Users
# 完成用戶aaa的添加之後,還需要配置管理員用戶administrator的密碼為admin!123456。
· 在右側的Users信息框中右鍵單擊管理員用戶administrator,選擇“設置密碼(S)...”項;
· 在彈出的密碼添加對話框中設置管理員密碼,詳細過程此處略。
(2) 配置AC
# 開啟AC的Telnet服務器功能(該功能默認是開啟的)。
<AC> system-view
[AC] telnet server enable
# 配置與LDAP服務器連接的VLAN2的IP地址為10.1.1.2/24。
[AC] vlan 2
[AC-vlan2] quit
[AC] interface Vlan-interface2
[AC-Vlan-interface2] ip address 10.1.1.2 24
[AC-Vlan-interface2] quit
# 配置Telnet用戶登錄采用AAA認證方式。
[AC] user-interface vty 0 4
[AC-ui-vty0-4] authentication-mode scheme
[AC-ui-vty0-4] quit
# 創建一個新的ISP域system,並設置為係統缺省的ISP域。
[AC] domain default enable system
# 配置LDAP方案。
[AC] ldap scheme ldap1
# 配置LDAP認證服務器的IP地址為10.1.1.1。
[AC-ldap-ldap1] authentication-server 10.1.1.1
# 配置具有管理員權限的用戶DN。
[AC-ldap-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理員權限的用戶密碼。
[AC-ldap-ldap1] login-password simple admin!123456
# 配置查詢用戶的起始目錄。
[AC-ldap-ldap1] user-parameters search-base-dn dc=ldap,dc=com
[AC-ldap-ldap1] quit
# 配置ISP域的認證方案。
[AC] domain system
[AC-isp-system] authentication login ldap-scheme ldap1
[AC-isp-system] quit
# 或者不區分用戶類型,配置缺省的AAA方案。
[AC] domain system
[AC-isp-system] authentication default ldap-scheme ldap1
使用Telnet登陸時輸入用戶名為aaa,密碼為ldap!123456,可以通過缺省域system進行認證,即可進入AC用戶界麵。
· 無線用戶Client通過AP與接入設備AC相連,采用直接方式的Portal認證。無線用戶通過手工配置或DHCP獲取的一個公網IP地址進行認證,在通過Portal認證前,隻能訪問Portal服務器;在通過Portal認證後,可以使用此IP地址訪問非受限的互聯網資源。
· 使用RADIUS服務器作為認證/計費服務器。(本例中,RADIUS服務器和Portal服務器位於同一台服務器主機上);
· AC與RADIUS服務器交互報文時使用的共享密鑰為expert,認證/授權、計費的端口號分別為1812和1813,向RADIUS服務器發送的用戶名攜帶域名。
· 對Portal用戶進行包月方式計費,費用為120元/月,以月為周期對用戶上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖1-18 Portal用戶RADIUS認證、授權和計費配置組網圖
按照組網圖配置設備各接口的IP地址,保證啟動Portal之前無線用戶Client、AP、AC和服務器之間的路由可達。
(1) 配置RADIUS server(iMC PLAT 3.20)
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),說明RADIUS server和Portal server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置與AC交互報文時的認證、計費共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 選擇業務類型為“LAN接入業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與AC發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
圖1-19 增加接入設備
# 增加計費策略。
選擇“業務”頁簽,單擊導航樹中的[計費業務/計費策略管理]菜單項,進入計費策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
· 輸入計費策略名稱“UserAcct”;
· 選擇計費策略模板為“包月類型”;
· 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
· 設置包月使用量限製:允許每月最大上網使用量為120個小時。
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-20 增加計費策略
# 增加服務配置。
選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“Portal-auth/acct”、服務後綴為“dm1”,此服務後綴為Portal用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
· 選擇計費策略為“UserAcct”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-21 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/所有接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 選擇或者手工增加用戶姓名為“hello”;
· 輸入帳號名“portal”和密碼;
· 選擇該用戶所關聯的接入服務為“Portal-auth/acct”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-22 增加接入用戶
(2) 配置RADIUS server(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)、iMC CAMS 5.0(E0101)),說明RADIUS server和Portal server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置與AC交互報文時的認證、計費共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 選擇業務類型為“LAN接入業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與AC發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
圖1-23 增加接入設備
# 增加計費策略。
選擇“業務”頁簽,單擊導航樹中的[計費業務/計費策略管理]菜單項,進入計費策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
· 輸入計費策略名稱“UserAcct”;
· 選擇計費策略模板為“包月類型計費”;
· 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
· 設置包月使用量限製:允許每月最大上網使用量為120個小時。
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-24 增加計費策略
# 增加服務配置。
選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“Portal-auth/acct”、服務後綴為“dm1”,此服務後綴為Portal用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
· 選擇計費策略為“UserAcct”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-25 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/所有接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 選擇或者手工增加用戶姓名為“hello”;
· 輸入帳號名“portal”和密碼;
· 選擇該用戶所關聯的接入服務為“Portal-auth/acct”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-26 增加接入用戶
(3) 配置Portal server(iMC PLAT 3.20)
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 輸入Portal認證主頁地址,形式為http://ip:port/portal,其中ip和port在安裝iMC UAM的時候確定,port一般使用缺省值8080即可;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-27 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 輸入IP地址組名為“Portal_user”;
· 輸入起始地址為“192.168.1.1”、終止地址為“192.168.1.255”。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇不進行NAT;
· 單擊<確定>按鈕完成操作。
圖1-28 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 輸入設備名為“NAS”;
· 輸入IP地址為“192.168.1.70”,該地址為與接入用戶相連的設備接口IP地址;
· 輸入密鑰為“portal”,該密鑰與接入設備AC上的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為“否”;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-29 增加設備信息配置頁麵
# Portal設備關聯IP地址組。
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-30 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 輸入端口組名為“group”;
· 選擇IP地址組為“Portal_user”,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-31 增加端口組信息配置頁麵
(4) 配置Portal server(iMC PLAT 5.0)
# 配置Portal服務器。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[Portal服務管理/服務器配置]菜單項,進入服務器配置頁麵。
· 輸入Portal認證主頁地址,形式為http://ip:port/portal,其中ip和port在安裝iMC UAM的時候確定,port一般使用缺省值8080即可;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-32 Portal服務器配置頁麵
# 配置IP地址組。
單擊導航樹中的[Portal服務管理/Portal IP地址組配置]菜單項,進入Portal IP地址組配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加IP地址組配置頁麵。
· 輸入IP地址組名為“Portal_user”;
· 輸入起始地址為“192.168.1.1”、終止地址為“192.168.1.255”。用戶主機IP地址必須包含在該IP地址組範圍內;
· 選擇類型為“普通”;
· 單擊<確定>按鈕完成操作。
圖1-33 增加IP地址組配置頁麵
# 增加Portal設備。
單擊導航樹中的[Portal服務管理/Portal設備配置]菜單項,進入Portal設備配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備信息配置頁麵。
· 輸入設備名為“NAS”;
· 輸入IP地址為“192.168.1.70”,該地址為與接入用戶相連的設備接口IP地址;
· 輸入密鑰為“portal”,該密鑰與接入設備AC的配置保持一致;
· 選擇是否進行二次地址分配,本例中為直接認證,因此為“否”;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-34 增加設備信息配置頁麵
# Portal設備關聯IP地址組。
在Portal設備配置頁麵中的設備信息列表中,點擊NAS設備的<端口組信息管理>鏈接,進入端口組信息配置頁麵。
圖1-35 設備信息列表
在端口組信息配置頁麵中點擊<增加>按鈕,進入增加端口組信息配置頁麵。
· 輸入端口組名為“group”;
· 選擇IP地址組為“Portal_user”,用戶接入網絡時使用的IP地址必須屬於所選的IP地址組;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-36 增加端口組信息配置頁麵
# 最後單擊導航樹中的[業務參數配置/係統配置手工生效]菜單項,使以上Portal服務器配置生效。
(5) 配置AC
· 配置RADIUS方案
# 創建名字為rs1的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rs1
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rs1] server-type extended
# 配置RADIUS方案的主認證和主計費服務器IP地址及通信密鑰。
[AC-radius-rs1] primary authentication 10.1.1.1 1812
[AC-radius-rs1] primary accounting 10.1.1.1 1813
[AC-radius-rs1] key authentication expert
[AC-radius-rs1] key accounting expert
# 配置發送給RADIUS服務器的用戶名攜帶ISP域名。
[AC-radius-rs1] user-name-format with-domain
[AC-radius-rs1] quit
· 配置認證域
# 創建並進入名字為dm1的ISP域。
[AC] domain dm1
# 配置ISP域的RADIUS方案rs1。
[AC-isp-dm1] authentication portal radius-scheme rs1
[AC-isp-dm1] authorization portal radius-scheme rs1
[AC-isp-dm1] accounting portal radius-scheme rs1
[AC-isp-dm1] quit
· 配置Portal認證
# 配置Portal服務器:名稱為newpt,IP地址為10.1.1.1,密鑰為portal,端口為50100,URL為http://10.1.1.1:8080/portal。
[AC] portal server newpt ip 10.1.1.1 key portal port 50100 url http://10.1.1.1:8080/portal
[AC] portal free-rule 0 source interface Ten-GigabitEthernet1/0/1 destination any
# 在無線用戶Client接入AC的接口上使能Portal認證。
[AC] interface vlan-interface 2
[AC–Vlan-interface2] portal server newpt method direct
# 配置Portal認證域。
[AC1–Vlan-interface2] portal domain dm1
[AC–Vlan-interface2] quit
無線用戶Client既可以使用iNode客戶端,也可以通過網頁方式進行Portal認證。用戶在通過認證前,隻能訪問認證頁麵http://10.1.1.1:8080/portal,且發起的Web訪問請求均被重定向到該認證頁麵,通過認證後,即可訪問非受限的互聯網資源。
認證通過後,可通過執行以下顯示命令查看AC上生成的Portal在線用戶信息。
[AC] display portal user interface vlan-interface 2
Index:19
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
---------------------------------------------------------------------
0015-e9a6-7cfe 192.168.1.58 2 Vlan-interface2
Total 1 user(s) matched, 1 listed.
# 可以通過如下命令查看到AAA用戶的連接信息。
[AC] display connection
Index=20 ,Username=portal@dm1
IP=192.168.1.58
IPv6=N/A
MAC=00-15-E9-A6-7C-FE
Total 1 connection(s) matched.
如下圖所示的組網環境中,需要實現使用RADIUS服務器對通過AC接入的802.1X用戶進行認證、授權和計費。
· 在無線端口WLAN-ESS上對接入用戶進行802.1X認證;
· AC與RADIUS服務器交互報文時使用的共享密鑰為expert,認證/授權、計費的端口號分別為1812和1813,向RADIUS服務器發送的用戶名攜帶域名;
· 用戶認證時使用的用戶名為dot1x@bbb。
· 用戶認證成功後,認證服務器授權下發VLAN 4,將用戶所在端口加入該VLAN,允許用戶訪問該VLAN中的網絡資源。
· 對802.1X用戶進行包月方式計費,費用為120元/月,以月為周期對用戶上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖1-37 802.1X用戶RADIUS認證、授權和計費配置組網圖
請按照組網圖完成端口和VLAN的配置,並保證在用戶通過認證後能夠自動或者手動更新IP地址與授權VLAN中的資源互通。
(1) 配置RADIUS server(iMC PLAT 3.20)
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),說明RADIUS server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置與AC交互報文時的認證、計費共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 選擇業務類型為“LAN接入業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與AC發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
圖1-38 增加接入設備
# 增加計費策略。
選擇“業務”頁簽,單擊導航樹中的[計費業務/計費策略管理]菜單項,進入計費策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
· 輸入計費策略名稱“UserAcct”;
· 選擇計費策略模板為“包月類型”;
· 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
· 設置包月使用量限製:允許每月最大上網使用量為120個小時。
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-39 增加計費策略
# 增加服務配置。
選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“Dot1x auth”、服務後綴為“bbb”,此服務後綴為802.1X用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
· 選擇計費策略為“UserAcct”;
· 證書認證為“EAP證書認證”;
· 認證證書類型為“EAP-PEAP認證”;
· 認證證書子類型為“MS-CHAPV2認證”;
· 配置授權下發的VLAN ID為“4”;
· 單擊<確定>按鈕完成操作。
圖1-40 配置服務/授權信息
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/所有接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 選擇或者手工增加用戶姓名為“test”;
· 輸入帳號名“dot1x”和密碼;
· 選擇該用戶所關聯的接入服務為“Dot1x auth”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-41 增加接入用戶
(2) 配置RADIUS server(iMC PLAT 5.0)
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)、iMC CAMS 5.0(E0101)),說明RADIUS server和Portal server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置與AC交互報文時的認證、計費共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”和“1813”;
· 選擇業務類型為“LAN接入業務”;
· 選擇接入設備類型為“H3C”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
· 添加的接入設備IP地址要與AC發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
圖1-42 增加接入設備
# 增加計費策略。
選擇“業務”頁簽,單擊導航樹中的[計費業務/計費策略管理]菜單項,進入計費策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
· 輸入計費策略名稱“UserAcct”;
· 選擇計費策略模板為“包月類型計費”;
· 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
· 設置包月使用量限製:允許每月最大上網使用量為120個小時。
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖1-43 增加計費策略
# 增加服務配置。
選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理]菜單項,進入服務器配置管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加服務配置頁麵。
· 輸入服務名為“Dot1x auth”、服務後綴為“bbb”,此服務後綴為802.1X用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
· 選擇計費策略為“UserAcct”;
· 證書認證為“EAP證書認證”;
· 認證證書類型為“EAP-PEAP認證”;
· 認證證書子類型為“MS-CHAPV2認證”;
· 配置授權下發的VLAN ID為“4”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-44 增加服務配置
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶視圖/所有接入用戶]菜單項,進入接入用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 選擇或者手工增加用戶姓名為“test”;
· 輸入帳號名“dot1x”和密碼;
· 選擇該用戶所關聯的接入服務為“Dot1x auth”;
· 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
· 單擊<確定>按鈕完成操作。
圖1-45 增加接入用戶
(3) 配置AC
· 配置RADIUS方案
# 創建名字為rad的RADIUS方案並進入該方案視圖。
<AC> system-view
[AC] radius scheme rad
# 配置RADIUS方案的服務器類型。使用CAMS/iMC服務器時,RADIUS服務器類型應選擇extended。
[AC-radius-rad] server-type extended
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AC-radius-rad] primary authentication 10.1.1.1 1812
[AC-radius-rad] primary accounting 10.1.1.1 1813
[AC-radius-rad] key authentication expert
[AC-radius-rad] key accounting expert
# 配置發送給RADIUS服務器的用戶名攜帶ISP域名。
[AC-radius-rad] user-name-format with-domain
[AC-radius-rad] quit
· 配置認證域
# 創建並進入名字為bbb的ISP域。
[AC] domain bbb
# 配置ISP域的RADIUS方案rad。
[AC-isp-bbb] authentication lan-access radius-scheme rad
[AC-isp-bbb] authorization lan-access radius-scheme rad
[AC-isp-bbb] accounting lan-access radius-scheme rad
[AC-isp-bbb] quit
· 配置802.1X認證
# 開啟全局的端口安全特性。
[AC] port-security enable
# 配置無線dot1x用戶的認證方式。
[AC] dot1x authentication-method eap
# 設置無線端口安全模式為userLoginSecureExt。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密鑰協商功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X的在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
# 關閉802.1X多播觸發功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
# 配置接口的強製認證域為bbb。(所有從該接口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費。該配置不是必須的,可根據實際組網情況選配)
[AC-WLAN-ESS1] dot1x mandatory-domain bbb
[AC-WLAN-ESS1] quit
# 創建服務模板。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid sectest
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] security-ie wpa
[AC-wlan-st-1] service-template enable
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“受保護的EAP(PEAP)”。
· 若使用iNode 802.1X客戶端,則無需啟用任何高級認證選項。
對於使用iNode 802.1X客戶端的用戶,在客戶端的用戶屬性中輸入正確的用戶名“dot1x@bbb”和密碼後,通過主動發起連接可成功通過認證;對於使用Windows XP 802.1X客戶端的用戶,在係統自動彈出的認證對話框中輸入正確的用戶名“dot1x@bbb”和密碼後,可成功通過認證。認證通過後,服務器向該用戶所在端口授權下發了VLAN 4。
# 可以通過如下命令查看到AAA用戶的連接信息。
[AC] display connection
Index=22 , Username=dot1x@bbb
MAC=0015-e9a6-7cfe
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
# 可以通過如下命令查看該連接的詳細信息,其中授權下發VLAN為VLAN 4。
[AC] display connection ucibindex 22
Index=22 , Username=dot1x@bbb
MAC=0015-e9a6-7cfe
IP=192.168.1.58
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:1
Initial VLAN=2, Authorization VLAN=4
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2011-05-26 19:41:12 ,Current=2011-05-26 19:41:25 ,Online=00h00m14s
Total 1 connection matched.
如下圖所示,無線Client通過AP與AC相連,需要通過802.1X認證後接入網絡。由於網絡中未部署專門的認證服務器,因此要求由AC對802.1X用戶進行本地EAP認證和授權。具體要求如下:
· 802.1X用戶采用EAP-MD5認證方式。
· AC通過用戶組來管理802.1X用戶,並對認證成功的802.1X用戶下發授權VLAN為VLAN 100。
圖1-46 802.1X用戶本地EAP認證和授權配置組網圖
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“MD5-質詢”。
· 若使用iNode 802.1X客戶端,則無需啟用任何高級認證選項。
# 創建用戶組dot1x,本組用戶授權VLAN為VLAN 100。
<AC> system-view
[AC] user-group dot1x
[AC-ugroup-dot1x] authorization-attribute vlan 100
[AC-ugroup-dot1x] quit
# 創建本地用戶usera,並加入用戶組dot1x。
[AC] local-user usera
[AC-luser-usera] group dot1x
[AC-luser-usera] password simple 1234
[AC-luser-usera] service-type lan-access
[AC-luser-usera] quit
# 配置ISP域的AAA方法為本地認證、授權。
[AC] domain mydomain
[AC-isp-mydomain] authentication lan-access local
[AC-isp-mydomain] authorization lan-access local
[AC-isp-mydomain] quit
# 配置EAP-Profile,指定認證方法為EAP-MD5。
[AC] eap-profile eapsvr
[AC-eap-prof-eapsvr] method md5
[AC-eap-prof-eapsvr] quit
# 配置本地服務器,並指定使用的EAP Profile為eapsvr。
[AC] local-server authentication eap-profile eapsvr
# 開啟全局的端口安全特性。
[AC] port-security enable
# 配置無線dot1x用戶的認證方式。
[AC] dot1x authentication-method eap
# 設置無線端口安全模式為userLoginSecureExt。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密鑰協商功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X的在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
# 關閉802.1X多播觸發功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
# 配置接口的強製認證域為mydomain。(所有從該接口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費。該配置不是必須的,可根據實際組網情況選配)
[AC-WLAN-ESS1] dot1x mandatory-domain mydomain
[AC-WLAN-ESS1] quit
# 創建服務模板,配置SSID為sectest,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid sectest
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
當用戶名為usera@mydomain,密碼為1234的802.1X用戶成功通過EAP認證上線後,可使用命令display connection查看到上線用戶的連接情況,且可使用命令display interface wlan-dbss查看到接入端口WLAN-DBSS被授權加入VLAN 100。
通過配置AC實現對登錄AC的802.1X用戶進行RADIUS認證、授權和計費。
· 一台RADIUS服務器(擔當認證、授權、計費服務器的職責)與AC相連,服務器IP地址為10.1.1.1/24,不支持EAP認證。
· 802.1X客戶端與AC之間進行PEAP-MSCHAPv2認證。
· AC與認證、計費RADIUS服務器交互報文時的共享密鑰均為expert。
圖1-47 802.1X用戶的RADIUS offload認證、授權和計費配置組網圖
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性對話框的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“受保護的EAP (PEAP)”,其驗證方法為“安全密碼 (EAP MSCHAP v2)”。
· 若使用iNode的802.1X客戶端,則需要啟用高級認證的證書認證。
· 配置RADIUS服務器,設置與AC交互報文時的共享密鑰為expert,添加用戶名及密碼,詳細配置略。
(1) 獲取CA證書和本地證書
若AC上已經保存了CA證書文件和本地證書文件,則使用離線方式將其導入本地。否則,需要在線申請AC的本地證書並獲取CA證書。證書所在的PKI域為eappki。PKI的具體配置請參見“安全配置指導”中的“PKI配置”,此處略。
(2) 配置SSL服務器端策略
# 配置SSL服務器端策略eapsvr,指定使用的PKI域為eappki。
<AC> system-view
[AC] ssl server-policy eapsvr
[AC-ssl-server-policy-eapsvr] pki-domain eappki
[AC-ssl-server-policy-eapsvr] quit
(3) 配置本地EAP服務器
# 創建一個EAP-Profile。
[AC] eap-profile eapsvr
# 指定EAP認證方法為PEAP-MSCHAPv2。
[AC-eap-prof-eapsvr] method peap-mschapv2
# 配置用於EAP認證的SSL服務器端策略為eapsvr。
[AC-eap-prof-eapsvr] ssl-server-policy eapsvr
[AC-eap-prof-eapsvr] quit
# 配置本地EAP服務器,並指定使用的EAP-profile為eapsvr。
[AC] local-server authentication eap-profile eapsvr
(4) 配置AAA
# 配置RADIUS方案,並支持EAP Offload功能。
[AC] radius scheme radoff
[AC-radius-radoff] primary authentication 10.1.1.1
[AC-radius-radoff] primary accounting 10.1.1.1
[AC-radius-radoff] key authentication expert
[AC-radius-radoff] key accounting expert
[AC-radius-radoff] eap offload method peap-mschapv2
[AC-radius-radoff] quit
# 配置ISP域的AAA方法。
[AC] domain bbb
[AC-isp-bbb] authentication lan-access radius-scheme radoff
[AC-isp-bbb] authorization lan-access radius-scheme radoff
[AC-isp-bbb] accounting lan-access radius-scheme radoff
[AC-isp-bbb] quit
(5) 配置802.1X
# 開啟全局的端口安全特性。
[AC] port-security enable
# 配置無線dot1x用戶的認證方式。
[AC] dot1x authentication-method eap
# 設置無線端口安全模式為userLoginSecureExt。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密鑰協商功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X的在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
# 關閉802.1X多播觸發功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
# 配置接口的強製認證域為bbb。(所有從該接口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費。該配置不是必須的,可根據實際組網情況選配)
[AC-WLAN-ESS1] dot1x mandatory-domain bbb
[AC-WLAN-ESS1] quit
# 創建服務模板。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid sectest
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] security-ie wpa
[AC-wlan-st-1] service-template enable
使用命令display radius scheme radoff和display domain bbb可以查看AAA的配置情況,使用命令display dot1x interface wlan-ess 1可以查看802.1X的配置情況。當用戶名為username@bbb形式的用戶成功通過EAP認證上線後,可使用命令display connection查看到上線用戶的連接情況。
如下圖所示,Telnet用戶主機通過AP與AC相連,AC與一台HWTACACS服務器相連,需要配置AC實現對登錄AC的Telnet用戶進行用戶級別切換認證。
· 由一台ACS服務器擔當用戶級別切換HWTACACS認證服務器的職責,服務器IP地址為10.1.1.1/24。
· AC與認證HWTACACS服務器交互報文時的共享密鑰為expert,發送給HWTACACS服務器的用戶名不帶域名。
· Telnet用戶登錄AC時進行本地認證,登錄後所能訪問的命令級別為0級,當進行由低到高的用戶級別切換時,首先使用HWTACACS認證,若AAA配置無效或者HWTACACS服務器沒有響應則轉為local認證。
圖1-48 Telnet用戶遠端HWTACACS用戶級別切換認證配置組網圖
(1) 配置HWTACACS server
下麵以ACSv4.0為例,說明該例中HWTACACS server的基本配置。
在HWTACACS server上添加用戶tester,對該用戶的高級屬性進行設置。
· 設置Use separate password為enabpass;
· 設置Max Privilege for any AAA Client為Level 3,表示用戶級別切換到1~3時均使用密碼enabpass進行認證。
圖1-49 設置Telnet用戶的高級屬性
(2) 配置AC
# 配置VLAN接口2的IP地址,Telnet客戶端將通過該地址連接AC。
<AC> system-view
[AC] interface vlan-interface 2
[AC-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[AC-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,AC將通過該地址與服務器通信。
[AC] interface vlan-interface 3
[AC-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[AC-Vlan-interface3] quit
# 開啟AC的Telnet服務器功能。
[AC] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[AC] user-interface vty 0 4
[AC-ui-vty0-4] authentication-mode scheme
[AC-ui-vty0-4] quit
# 創建一個新的ISP域system,並設置為係統缺省的ISP域。
[AC] domain default enable system
# 配置HWTACACS方案hwtac。
[AC] hwtacacs scheme hwtac
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為49。
[AC-hwtacacs-hwtac] primary authentication 10.1.1.1 49
# 配置與認證服務器交互報文時的共享密鑰為expert。
[AC-hwtacacs-hwtac] key authentication expert
# 配置向HWTACACS服務器發送的用戶名不攜帶域名。
[AC-hwtacacs-hwtac] user-name-format without-domain
[AC-hwtacacs-hwtac] quit
# 配置ISP域system的Telnet用戶登錄認證方案為本地認證。
[AC] domain system
[AC-isp-system] authentication login local
# 配置ISP域bbb的用戶級別切換認證方案為hwtac。
[AC-isp-system] authentication super hwtacacs-scheme hwtac
[AC-isp-system] quit
# 創建本地Telnet用戶test。
[AC] local-user test
[AC-luser-test] service-type telnet
[AC-luser-test] password simple aabbcc
# 指定Telnet用戶登錄係統後所能訪問的命令級別為0級。
[AC-luser-test] authorization-attribute level 0
[AC-luser-test] quit
# 配置用戶級別切換認證方式為scheme local,即首先使用HWTACACS認證,若AAA配置無效或者ACS服務器沒有響應則轉為local認證。
[AC] super authentication-mode scheme local
# 配置切換用戶級別的密碼。
[AC] super password simple 654321
[AC] quit
(1) Telnet用戶建立與AC的連接
在Telnet客戶端按照提示輸入用戶名test@system及密碼aabbcc,即可進入AC的用戶界麵,且所隻能訪問級別為0級的命令。
(2) 切換用戶級別
# 在當前的用戶界麵下執行切換用戶級別到3級的命令,按照提示輸入HWTACACS級別切換認證密碼enabpass,若認證成功即可將當前Telnet用戶的級別切換到3級。
<AC> super 3
Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
若ACS服務器無響應,按照提示輸入本地級別切換認證密碼654321,若認證成功即可將當前Telnet用戶的級別切換到3級。
<AC> super 3
Password: <——此處需輸入HWTACACS級別切換認證密碼
Error: Invalid configuration or no response from the authentication server.
Info: Change authentication mode to local.
Password: <——此處需輸入本地級別切換認證密碼
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
如下圖所示,802.1X客戶端通過AP與AC相連,AC與一台LDAP服務器相連(服務器IP地址為10.1.1.1/24。服務器域名為ldap.com),需要配置AC實現對802.1X用戶進行接入認證。具體要求如下:
· 對802.1X用戶進行本地EAP認證。
· 采用LDAP服務器對用戶身份進行驗證。
圖1-50 支持LDAP身份驗證的802.1X本地EAP認證配置組網圖
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“智能卡或其它證書”。
· 若使用iNode 802.1X客戶端,則需要選中“啟動高級認證”前的複選框,選擇“證書認證”選項,點擊<證書設置>按鈕,在認證類型中選擇“EAP-TLS”選項。
(1) 配置LDAP服務器
在LDAP服務器上設置管理員administrator的密碼為admin!123456;並添加用戶名為aaa的用戶(該用戶名為本地證書的DN名),密碼為ldap!123456。LDAP服務器的具體配置請參見“1.10.4 Telnet用戶的LDAP認證配置”。
(2) 配置AC
# 獲取CA證書和本地證書。
若設備上已經保存了CA證書文件和本地證書文件,則使用離線方式將其導入本地。否則,需要在線申請設備的本地證書並獲取CA證書。證書所在的PKI域為eappki。PKI的具體配置請參見“安全配置指導”中的“PKI配置”,此處略。
# 配置LDAP方案。
<AC> system-view
[AC] ldap scheme ldap1
# 配置LDAP認證服務器的IP地址。
[AC-ldap-ldap1] authentication-server 10.1.1.1
# 配置具有管理員權限的用戶DN。
[AC-ldap-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理員權限的用戶密碼。
[AC-ldap-ldap1] login-password simple admin!123456
# 配置查詢用戶的起始目錄。
[AC-ldap-ldap1] user-parameters search-base-dn dc=ldap,dc=com
[AC-ldap-ldap1] quit
# 配置ISP域的認證方法為本地認證、本地授權。(目前設備暫不支持使用LDAP服務器進行802.1X授權,本配置中使用本地授權方法)
[AC] domain bbb
[AC-isp-bbb] authentication lan-access local
[AC-isp-bbb] authorization lan-access local
[AC-isp-bbb] quit
# 配置SSL服務器端策略sp1,指定使用的PKI域為eappki。
[AC] ssl server-policy sp1
[AC-ssl-server-policy-sp1] pki-domain eappki
[AC-ssl-server-policy-sp1] quit
# 配置EAP Profile,指定認證方法為EAP-TLS。
[AC] eap-profile eapsvr
[AC-eap-prof-eapsvr] method tls
# 配置用於EAP認證的SSL端服務器策略為sp1。
[AC-eap-prof-eapsvr] ssl-server-policy sp1
# 配置使用LDAP數據庫查詢用戶身份,引用LDAP方案ldap1。
[AC-eap-prof-eapsvr] user-credentials ldap-scheme ldap1
[AC-eap-prof-eapsvr] quit
# 配置本地服務器認證所使用的EAP Profile為eapsvr。
[AC] local-server authentication eap-profile eapsvr
# 開啟全局的端口安全特性。
[AC] port-security enable
# 配置無線dot1x用戶的認證方式。
[AC] dot1x authentication-method eap
# 設置無線端口安全模式為userLoginSecureExt。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密鑰協商功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 關閉802.1X的在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
# 關閉802.1X多播觸發功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
# 配置接口的強製認證域為bbb。(所有從該接口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費。該配置不是必須的,可根據實際組網情況選配)
[AC-WLAN-ESS1] dot1x mandatory-domain bbb
[AC-WLAN-ESS1] quit
# 創建服務模板。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid sectest
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] security-ie wpa
[AC-wlan-st-1] service-template enable
使用命令display dot1x interface wlan-ess 1可以查看802.1X的配置情況。當802.1X用戶使用證書成功通過EAP認證上線後,可使用命令display connection查看到上線用戶的連接情況。
有部分無線客戶端需要臨時通過AP(序列ID為210235A29G007C000020)接入網絡,在AC上進行本地認證,認證方法為EAP-TLS。為簡化管理,管理員在AC上為這些用戶建立臨時使用的來賓帳戶,並做以下控製:
· 來賓帳戶的有效期為2011/08/08的12:00:00。
· 僅允許SSID為aabbcc的用戶使用來賓帳戶登錄。
圖1-51 無線用戶臨時接入組網圖
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“智能卡或其它證書”。
· 使用iNode的802.1X客戶端時,則需要選中“啟動高級認證”前的複選框,選擇“證書認證”選項,點擊<證書設置>按鈕,在認證類型中選擇“EAP-TLS”選項。
(1) 獲取CA證書和本地證書
若AC上已經保存了CA證書文件和本地證書文件,則使用離線方式將其導入本地。否則,需要在線申請AC的本地證書並獲取CA證書。證書所在的PKI域為eappki。PKI的具體配置請參見“PKI配置”,此處略。
(2) 配置SSL服務器端策略
# 配置SSL服務器端策略eapsvr,指定使用的PKI域為eappki。
<AC> system-view
[AC] ssl server-policy eapsvr
[AC-ssl-server-policy-eapsvr] pki-domain eappki
[AC-ssl-server-policy-eapsvr] quit
(3) 配置端口安全
# 全局使能端口安全。
[AC] port-security enable
# 配置802.1X的認證方法為EAP。
[AC] dot1x authentication-method eap
# 配置WLAN接口以及端口安全模式。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 關閉802.1X的組播觸發功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
# 關閉802.1X的在線用戶握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
# 配置接口的強製認證域為test。(所有從該接口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費。該配置不是必須的,可根據實際組網情況選配)
[AC-WLAN-ESS1] dot1x mandatory-domain test
[AC-WLAN-ESS1] quit
(4) 配置AAA方案
# 創建ISP域,並配置AAA本地認證、授權方案。
[AC] domain test
[AC-isp-test] authentication lan-access local
[AC-isp-test] authorization lan-access local
[AC-isp-test] quit
# 配置test域為缺省域。
[AC] domain default enable test
(5) 配置本地EAP服務器
# 配置EAP Profile,指定認證方法為EAP-TLS。
[AC] eap-profile eapsvr
[AC-eap-prof-eapsvr] method tls
# 配置用於EAP認證的SSL服務器端策略為eapsvr。
[AC-eap-prof-eapsvr] ssl-server-policy eapsvr
[AC-eap-prof-eapsvr] quit
# 配置本地EAP服務器,並指定使用的EAP Profile為eapsvr。
[AC] local-server authentication eap-profile eapsvr
(6) 配置WLAN服務
# 配置服務模板。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid aabbcc
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP。
[AC] wlan ap 1 model WA2100
[AC-wlan-ap-1] serial-id 210235A29G007C000020
[AC-wlan-ap-1] radio 1 type dot11g
[AC-wlan-ap-1-radio-1] service-temple 1
[AC-wlan-ap-1-radio-1] radio enable
(7) 配置來賓帳戶
# 創建名稱為manager的User Profile,並設置允許接入WLAN的SSID為aabbcc。
[AC] user-profile manager
[AC-user-profile-manager] wlan permit-ssid aabbcc
[AC-user-profile-manager] quit
有關基於SSID的WLAN接入控製的詳細介紹,請參見“WLAN配置指導”中的“WLAN服務配置”。
# 使能User Profile。
[AC] user-profile manager enable
# 創建來賓帳戶guest,並設置密碼和服務類型。
[AC] local-user guest
[AC-luser-guest] password simple guest
[AC-luser-guest] sevice-type lan-access
# 配置來賓帳戶的有效期為2011/08/08的12:00:00。
[AC-luser-guest] expiration-date 12:00:00-2011/08/08
# 配置來賓帳戶的授權User-Profile為manager。
[AC-luser-guest] authorization-attribute user-profile manager
[AC-luser-guest] quit
完成以上配置後,在2011/08/08的12:00:00之前,SSID為aabbcc的無線客戶端可使用認證以來賓帳戶的身份成功通過本地EAP認證。
用戶認證/授權總是失敗。
(1) 設備與RADIUS服務器之間存在通信故障。
(2) 用戶名不是“userid@isp-name”的形式,或設備上沒有正確配置用於認證該用戶的ISP域。
(3) RADIUS服務器的數據庫中沒有配置該用戶。
(4) 用戶側輸入的密碼不正確。
(5) RADIUS服務器和設備的報文共享密鑰不同。
(1) 使用ping命令檢查設備與RADIUS服務器是否可達。
(2) 使用正確形式的用戶名或在設備上確保正確配置了用於該用戶認證的ISP域。
(3) 檢查RADIUS服務器的數據庫以保證該用戶的配置信息確實存在。
(4) 確保接入用戶輸入正確的密碼。
(5) 檢查兩端的共享密鑰,並確保兩端一致。
RADIUS報文無法傳送到RADIUS服務器。
(1) 設備與RADIUS服務器之間的存在通信故障。
(2) 設備上沒有設置相應的RADIUS服務器IP地址。
(3) 認證/授權和計費服務的UDP端口設置不正確。
(4) RADIUS服務器的認證/授權和計費端口被其它應用程序占用。
(1) 確保線路通暢。
(2) 確保正確設置RADIUS服務器的IP地址。
(3) 確保與RADIUS服務器提供的端口號一致。
(4) 確保RADIUS服務器上的認證/授權和計費端口可用。
用戶認證通過並獲得授權,但是計費功能出現異常。
(1) 計費端口號設置不正確。
(2) 計費服務器和認證/授權服務器不是同一台機器,設備卻要求認證/授權和計費功能屬於同一個服務器(IP地址相同)。
(1) 正確設置RADIUS計費端口號。
(2) 確保設備的認證/授權和計費服務器的設置與實際情況相同。
HWTACACS的常見配置錯誤舉例與RADIUS基本相似,可以參考以上內容。
用戶認證/授權失敗。
(1) 設備與LDAP服務器之間存在通信故障。
(2) 配置的認證/授權服務器IP地址或端口號不正確。
(3) 用戶名不是“userid@isp-name”的形式,或設備上沒有正確配置用於認證該用戶的ISP域。
(4) LDAP服務器目錄中沒有配置該用戶。
(5) 用戶輸入的密碼不正確。
(6) 具有管理員權限的用戶DN或密碼沒有配置。
(7) 設備上配置的用戶參數(如用戶名屬性)、組參數與服務器上的配置不對應。
(8) 認證操作時,沒有配置LDAP方案用戶查詢的起始DN。
(9) 授權操作時,沒有配置LDAP方案組查詢的起始DN。
(1) 使用ping命令檢查設備與LDAP服務器是否可達。
(2) 確保配置的認證/授權服務器IP地址與端口號與LDAP服務器實際使用的IP地址和端口號相符。
(3) 使用正確形式的用戶名或在設備上確保正確配置了用於該用戶認證的ISP域。
(4) 檢查LDAP服務器目錄以保證該用戶的配置信息確實存在。
(5) 確保輸入用戶密碼正確。
(6) 確保配置了正確的管理員用戶DN和密碼。
(7) 確保設備上的用戶參數(如用戶名屬性)、組參數配置與LDAP服務器上的配置相同。
(8) 認證操作時,確保配置了用戶查詢的起始DN。
(9) 授權操作時,確保配置了組查詢的起始DN。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
