- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-AAA配置
本章節下載: 03-AAA配置 (1.21 MB)
1.4.10 配置發送給RADIUS服務器的用戶名格式和數據統計單位
1.4.14 配置RADIUS Attribute 15的檢查方式
1.4.15 配置RADIUS Attribute 25的CAR參數解析功能
1.4.16 配置RADIUS Attribute 30的格式
1.4.17 配置RADIUS Attribute 30中的MAC地址格式
1.4.18 配置RADIUS Attribute 31中的MAC地址格式
1.4.19 配置Vendor ID為2011的RADIUS服務器版本號
1.4.20 配置RADIUS Remanent_Volume屬性的流量單位
1.4.21 開啟廠商私有182號RADIUS屬性解析為授權VLAN功能
1.4.22 配置設備使用的Acct-Session-Id屬性模式
1.4.23 配置攜帶RADIUS私有屬性H3c-DHCP-Option
1.4.27 配置RADIUS的accounting-on功能
1.4.28 配置RADIUS的session control功能
1.7.3 設置設備上傳到服務器的用戶在線時間中保留閑置切斷時間
1.14.7 重啟RADIUS服務器進程並激活RADIUS服務器配置
1.14.8 關閉RADIUS服務器進程並去激活RADIUS服務器配置
1.15.3 802.1X用戶的RADIUS認證、授權和計費配置
1.17.3 附錄C RADIUS擴展屬性(Vendor-ID=25506)
AAA(Authentication、Authorization、Accounting,認證、授權、計費)是網絡安全的一種管理機製,提供了認證、授權、計費三種安全功能。
· 認證:確認訪問網絡的遠程用戶的身份,判斷訪問者是否為合法的網絡用戶。
· 授權:對不同用戶賦予不同的權限,限製用戶可以使用的服務。例如,管理員授權辦公用戶才能對服務器中的文件進行訪問和打印操作,而其它臨時訪客不具備此權限。
· 計費:記錄用戶使用網絡服務過程中的所有操作,包括使用的服務類型、起始時間、數據流量等,用於收集和記錄用戶對網絡資源的使用情況,並可以實現針對時間、流量的計費需求,也對網絡起到監視作用。
AAA采用客戶端/服務器結構,客戶端運行於NAS(Network Access Server,網絡接入服務器)上,負責驗證用戶身份與管理用戶接入,服務器上則集中管理用戶信息。AAA的基本組網結構如圖1-1。
圖1-1 AAA基本組網結構示意圖
當用戶想要通過NAS獲得訪問其它網絡的權利或取得某些網絡資源的權利時,首先需要通過AAA認證,而NAS就起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器。服務器根據自身的配置對用戶的身份進行判斷並返回相應的認證、授權、計費結果。NAS根據服務器返回的結果,決定是否允許用戶訪問外部網絡、獲取網絡資源。
AAA可以通過多種協議來實現,這些協議規定了NAS與服務器之間如何傳遞用戶信息。目前設備支持RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)協議和LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)協議,在實際應用中,最常使用RADIUS協議。
當然,用戶也可以隻使用AAA提供的一種或兩種安全服務。例如,公司僅僅想讓員工在訪問某些特定資源時進行身份認證,則網絡管理員隻需要配置認證服務器。但是若希望對員工使用網絡的情況進行記錄,那麼還需要配置計費服務器。
目前,設備支持動態口令認證機製。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。RADIUS協議合並了認證和授權的過程,它定義了RADIUS的報文格式及其消息傳輸機製,並規定使用UDP作為封裝RADIUS報文的傳輸層協議,UDP端口1812、1813分別作為認證/授權、計費端口。
RADIUS最初僅是針對撥號用戶的AAA協議,後來隨著用戶接入方式的多樣化發展,RADIUS也適應多種用戶接入方式,如以太網接入、ADSL接入。它通過認證授權來提供接入服務,通過計費來收集、記錄用戶對網絡資源的使用。
· 客戶端:RADIUS客戶端一般位於NAS上,可以遍布整個網絡,負責將用戶信息傳輸到指定的RADIUS服務器,然後根據服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
· 服務器:RADIUS服務器一般運行在中心計算機或工作站上,維護用戶的身份信息和與其相關的網絡服務信息,負責接收NAS發送的認證、授權、計費請求並進行相應的處理,然後給NAS返回處理結果(如接受/拒絕認證請求)。另外,RADIUS服務器還可以作為一個代理,以RADIUS客戶端的身份與其它的RADIUS認證服務器進行通信,負責轉發RADIUS認證和計費報文。
RADIUS服務器通常要維護三個數據庫,如圖1-2所示:
圖1-2 RADIUS服務器的組成
· “Users”:用於存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置信息)。
· “Clients”:用於存儲RADIUS客戶端的信息(如NAS的共享密鑰、IP地址等)。
· “Dictionary”:用於存儲RADIUS協議中的屬性和屬性值含義的信息。
RADIUS客戶端和RADIUS服務器之間認證消息的交互是通過共享密鑰的參與來完成的。共享密鑰是一個帶外傳輸的客戶端和服務器都知道的字符串,不需要單獨進行網絡傳輸。RADIUS報文中有一個16字節的驗證字字段,它包含了對整個報文的數字簽名數據,該簽名數據是在共享密鑰的參與下利用MD5算法計算出的。收到RADIUS報文的一方要驗證該簽名的正確性,如果報文的簽名不正確,則丟棄它。通過這種機製,保證了RADIUS客戶端和RADIUS服務器之間信息交互的安全性。另外,為防止用戶密碼在不安全的網絡上傳遞時被竊取,在RADIUS報文傳輸過程中還利用共享密鑰對用戶密碼進行了加密。
RADIUS服務器支持多種方法來認證用戶,例如PAP(Password Authentication Protocol,密碼認證協議)、CHAP(Challenge Handshake Authentication Protocol,質詢握手認證協議)以及EAP(Extensible Authentication Protocol,可擴展認證協議)。
用戶、RADIUS客戶端和RADIUS服務器之間的交互流程如圖1-3所示。
圖1-3 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用戶發起連接請求,向RADIUS客戶端發送用戶名和密碼。
(2) RADIUS客戶端根據獲取的用戶名和密碼,向RADIUS服務器發送認證請求包(Access-Request),其中的密碼在共享密鑰的參與下利用MD5算法進行加密處理。
(3) RADIUS服務器對用戶名和密碼進行認證。如果認證成功,RADIUS服務器向RADIUS客戶端發送認證接受包(Access-Accept);如果認證失敗,則返回認證拒絕包(Access-Reject)。由於RADIUS協議合並了認證和授權的過程,因此認證接受包中也包含了用戶的授權信息。
(4) RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入,則RADIUS客戶端向RADIUS服務器發送計費開始請求包(Accounting-Request)。
(5) RADIUS服務器返回計費開始響應包(Accounting-Response),並開始計費。
(6) 用戶開始訪問網絡資源。
(7) 用戶請求斷開連接。
(8) RADIUS客戶端向RADIUS服務器發送計費停止請求包(Accounting-Request)。
(9) RADIUS服務器返回計費結束響應包(Accounting-Response),並停止計費。
(10) 通知用戶結束訪問網絡資源。
RADIUS采用UDP報文來傳輸消息,通過定時器機製、重傳機製、備用服務器機製,確保RADIUS服務器和客戶端之間交互消息的正確收發。RADIUS報文結構如圖1-4所示。
圖1-4 RADIUS報文結構
各字段的解釋如下:
(1) Code域
長度為1個字節,用於說明RADIUS報文的類型,如表1-1所示。
表1-1 Code域的主要取值說明
|
Code |
報文類型 |
報文說明 |
|
1 |
Access-Request認證請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,請求Server對用戶身份進行驗證。該報文中必須包含User-Name屬性,可選包含NAS-IP-Address、User-Password、NAS-Port等屬性 |
|
2 |
Access-Accept認證接受包 |
方向Server->Client,如果Access-Request報文中的所有Attribute值都可以接受(即認證通過),則傳輸該類型報文 |
|
3 |
Access-Reject認證拒絕包 |
方向Server->Client,如果Access-Request報文中存在任何無法被接受的Attribute值(即認證失敗),則傳輸該類型報文 |
|
4 |
Accounting-Request計費請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,請求Server開始/停止計費。該報文中的Acct-Status-Type屬性用於區分計費開始請求和計費結束請求 |
|
5 |
Accounting-Response計費響應包 |
方向Server->Client,Server通知Client已經收到Accounting-Request報文,並且已經正確記錄計費信息 |
(2) Identifier域
長度為1個字節,用於匹配請求包和響應包,以及檢測在一段時間內重發的請求包。對於類型一致且屬於同一個交互過程的請求包和響應包,該Identifier值相同。
(3) Length域
長度為2個字節,表示RADIUS數據包(包括Code、Identifier、Length、Authenticator和Attribute)的長度,單位為字節。超過Length域的字節將作為填充字符被忽略。如果接收到的包的實際長度小於Length域的值時,則包會被丟棄。
(4) Authenticator域
長度為16個字節,用於驗證RADIUS服務器的應答報文,另外還用於用戶密碼的加密。Authenticator包括兩種類型:Request Authenticator和Response Authenticator。
(5) Attribute域
不定長度,用於攜帶專門的認證、授權和計費信息。Attribute域可包括多個屬性,每一個屬性都采用(Type、Length、Value)三元組的結構來表示。
¡ 類型(Type):表示屬性的類型。
¡ 長度(Length):表示該屬性(包括類型、長度和屬性值)的長度,單位為字節。
¡ 屬性值(Value):表示該屬性的信息,其格式和內容由類型決定。
RADIUS協議具有良好的可擴展性,RFC 2865中定義的26號屬性(Vendor-Specific)用於設備廠商對RADIUS進行擴展,以實現標準RADIUS沒有定義的功能。
設備廠商可以在26號屬性中封裝多個自定義的(Type、Length、Value)子屬性,以提供更多的擴展功能。26號屬性的格式如圖1-5所示:
· Vendor-ID,表示廠商代號,最高字節為0,其餘3字節的編碼見RFC 1700。
· Vendor-Type,表示子屬性類型。
· Vendor-Length,表示子屬性長度。
· Vendor-Data,表示子屬性的內容。
設備支持的RADIUS擴展屬性的Vendor-ID為25506,屬性的具體介紹請參見“1.17.3 附錄C RADIUS擴展屬性(Vendor-ID=25506)”。
圖1-5 26號屬性的格式
LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)是一種目錄訪問協議,用於提供跨平台的、基於標準的目錄服務。它是在X.500協議的基礎上發展起來的,繼承了X.500的優點,並對X.500在讀取、瀏覽和查詢操作方麵進行了改進,適合於存儲那些不經常改變的數據。
LDAP協議的典型應用是用來保存係統中的用戶信息,如Microsoft的Windows操作係統就使用了Active Directory Server(一種LDAP服務器軟件)來保存操作係統的用戶、用戶組等信息,用於用戶登錄Windows時的認證和授權。
LDAP中使用目錄記錄並管理係統中的組織信息、人員信息以及資源信息。目錄按照樹型結構組織,由多個條目(Entry)組成的。條目是具有DN(Distinguished Name,識別名)的屬性(Attribute)集合。屬性用來承載各種類型的數據信息,例如用戶名、密碼、郵件、計算機名、聯係電話等。
LDAP協議基於Client/Server結構提供目錄服務功能,所有的目錄信息數據存儲在LDAP服務器上。目前,Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server都是常用的LDAP服務器軟件。
AAA可以使用LDAP協議對用戶提供認證和授權服務。LDAP協議中定義了多種操作來實現LDAP的各種功能,用於認證和授權的操作主要為綁定和查詢。
· 綁定操作的作用有兩個:一是與LDAP服務器建立連接並獲取LDAP服務器的訪問權限。二是用於檢查用戶信息的合法性。
· 查詢操作就是構造查詢條件,並獲取LDAP服務器的目錄資源信息的過程。
使用LDAP協議進行認證時,其基本的工作流程如下:
(1) LDAP客戶端使用LDAP服務器管理員DN與LDAP服務器進行綁定,與LDAP服務器建立連接並獲得查詢權限。
(2) LDAP客戶端使用認證信息中的用戶名構造查詢條件,在LDAP服務器指定根目錄下查詢此用戶,得到用戶的DN。
(3) LDAP客戶端使用用戶DN和用戶密碼與LDAP服務器進行綁定,檢查用戶密碼是否正確。
使用LDAP協議進行授權的過程與認證過程相似,首先必須通過與LDAP服務器進行綁定,建立與服務器的連接,然後在此連接的基礎上通過查詢操作得到用戶的授權信息。與認證過程稍有不同的是,授權過程不僅僅會查詢用戶DN,還會同時查詢相應的LDAP授權信息。
下麵以Telnet用戶登錄設備為例,說明如何使用LDAP認證服務器來對用戶進行認證。用戶的LDAP認證基本消息交互流程如圖1-6所示。
圖1-6 LDAP認證的基本消息交互流程
基本消息交互流程如下:
(1) 用戶發起連接請求,向LDAP客戶端發送用戶名和密碼。
(2) LDAP客戶端收到請求之後,與LDAP服務器建立TCP連接。
(3) LDAP客戶端以管理員DN和管理員DN密碼為參數向LDAP服務器發送管理員綁定請求報文(Administrator Bind Request)獲得查詢權限。
(4) LDAP服務器進行綁定請求報文的處理。如果綁定成功,則向LDAP客戶端發送綁定成功的回應報文。
(5) LDAP客戶端以輸入的用戶名為參數,向LDAP服務器發送用戶DN查詢請求報文(User DN Search Request)。
(6) LDAP服務器收到查詢請求報文後,根據報文中的查詢起始地址、查詢範圍、以及過濾條件,對用戶DN進行查找。如果查詢成功,則向LDAP客戶端發送查詢成功的回應報文。查詢得到的用戶DN可以是一或多個。
(7) LDAP客戶端以查詢得到的用戶DN和用戶輸入的密碼為參數,向LDAP服務器發送用戶DN綁定請求報文(User DN Bind Request),檢查用戶密碼是否正確。
(8) LDAP服務器進行綁定請求報文的處理。
¡ 如果綁定成功,則向LDAP客戶端發送綁定成功的回應報文。
¡ 如果綁定失敗,則向LDAP客戶端發送綁定失敗的回應報文。LDAP客戶端以下一個查詢到的用戶DN(如果存在的話)為參數,繼續向服務器發送綁定請求,直至有一個DN綁定成功,或者所有DN均綁定失敗。如果所有用戶DN都綁定失敗,則LDAP客戶端通知用戶登錄失敗並拒絕用戶接入。
(9) LDAP客戶端保存綁定成功的用戶DN,並進行授權處理。如果設備采用LDAP授權方案,則進行圖1-7所示的用戶授權交互流程;如果設備采用非LDAP的授權方案,則執行其它協議的授權處理流程,此處略。
(10) 授權成功之後,LDAP客戶端通知用戶登錄成功。
下麵以Telnet用戶登錄設備為例,說明如何使用LDAP服務器來對用戶進行授權。用戶的LDAP授權基本消息交互流程如圖1-7所示。
圖1-7 LDAP授權的基本消息交互流程
(1) 用戶發起連接請求,向LDAP客戶端發送用戶名和密碼。
(2) LDAP客戶端收到請求之後,進行認證處理。如果設備采用LDAP認證方案,則按照圖1-6所示進行LDAP認證。LDAP認證流程完成之後,如果已經和該LDAP授權服務器建立了綁定關係,則直接轉到步驟(6),否則轉到步驟(4);如果設備采用非LDAP認證方案,則執行其它協議的認證處理流程,之後轉到步驟(3)。
(3) LDAP客戶端與LDAP服務器建立TCP連接。
(4) LDAP客戶端以管理員DN和管理員DN密碼為參數向LDAP服務器發送管理員綁定請求報文(Administrator Bind Request)獲得查詢權限。
(5) LDAP服務器進行綁定請求報文的處理。如果綁定成功,則向LDAP客戶端發送綁定成功的回應報文。
(6) LDAP客戶端以輸入的用戶名為參數(如果用戶認證使用的是相同LDAP服務器,則以保存的綁定成功的用戶DN為參數),向LDAP服務器發送授權查詢請求報文。
(7) LDAP服務器收到查詢請求報文後,根據報文中的查詢起始地址、查詢範圍、過濾條件以及LDAP客戶端關心的LDAP屬性,對用戶信息進行查找。如果查詢成功,則向LDAP客戶端發送查詢成功的回應報文。
(8) 授權成功後,LDAP客戶端通知用戶登錄成功。
NAS對用戶的管理是基於ISP(Internet Service Provider,互聯網服務提供商)域的,每個用戶都屬於一個ISP域。一般情況下,用戶所屬的ISP域是由用戶登錄時提供的用戶名決定的,如圖1-8所示。
為便於對不同接入方式的用戶進行區分管理,提供更為精細且有差異化的認證、授權、計費服務,AAA將用戶劃分為以下幾個類型:
· lan-access用戶:LAN接入用戶,如802.1X認證、MAC地址認證用戶。
· login用戶:登錄設備用戶,如SSH、Telnet、FTP、終端接入用戶(即從Console口登錄的用戶)。
· Portal接入用戶。
· IKE用戶:使用IKE擴展認證的用戶。
· HTTP/HTTPS用戶:使用HTTP或HTTPS服務登錄設備的用戶。
對於某些接入方式,用戶最終所屬的ISP域可由相應的認證模塊(例如802.1X)提供命令行來指定,用於滿足一定的用戶認證管理策略。
在具體實現中,一個ISP域對應著設備上一套實現AAA的配置策略,它們是管理員針對該域用戶製定的一套認證、授權、計費方法,可根據用戶的接入特征以及不同的安全需求組合使用。
AAA支持以下認證方法:
· 不認證:對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方法。
· 本地認證:認證過程在接入設備上完成,用戶信息(包括用戶名、密碼和各種屬性)配置在接入設備上。優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
· 遠端認證:認證過程在接入設備和遠端的服務器之間完成,接入設備和遠端服務器之間通過RADIUS或LDAP協議通信。優點是用戶信息集中在服務器上統一管理,可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端服務器無效時,可配置備選認證方式完成認證。
AAA支持以下授權方法:
· 不授權:接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的login用戶隻有係統給予的缺省用戶角色level-0,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限;認證通過的非login用戶,可直接訪問網絡。關於用戶角色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。
· 本地授權:授權過程在接入設備上進行,根據接入設備上為本地用戶配置的相關屬性進行授權。
· 遠端授權:授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。RADIUS認證成功後,才能進行授權,RADIUS授權信息攜帶在認證回應報文中下發給用戶。
AAA支持以下計費方法:
· 不計費:不對用戶計費。
· 本地計費:計費過程在接入設備上完成,實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。
· 遠端計費:計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時,可配置備選計費方式完成計費。
AAA配置任務如下:
(1) 配置AAA方案
若選擇使用本地AAA方案,則需要配置本地用戶;若選擇使用遠程AAA方案,則需要配置RADIUS或LDAP。
¡ 配置本地用戶
¡ 配置RADIUS
¡ 配置LDAP
(2) 創建ISP域並配置相關屬性
a. 創建ISP域
b. 配置ISP域的屬性
(3) 在ISP域中配置實現AAA的方法
(4) 請根據實際需求為用戶所在的ISP域配置實現認證、授權、計費的方法,這些方法中將會引用已經配置的AAA方案。
(5) (可選)配置AAA高級功能
¡ 配置設備ID
當選擇使用本地認證、本地授權、本地計費方法對用戶進行認證、授權或計費時,應在設備上創建本地用戶並配置相關屬性。
所謂本地用戶,是指在本地設備上設置的一組用戶屬性的集合。該集合以用戶名和用戶類別為用戶的唯一標識。本地用戶分為兩類,一類是設備管理用戶;另一類是網絡接入用戶。設備管理用戶供設備管理員登錄設備使用,網絡接入用戶供通過設備訪問網絡服務的用戶使用。網絡接入用戶中還存在一種來賓用戶,供臨時接入網絡的訪客使用。來賓用戶僅支持lan-access和Portal服務。
為使某個請求網絡服務的用戶可以通過本地認證,需要在設備上的本地用戶數據庫中添加相應的表項。具體步驟是,創建一個本地用戶並進入本地用戶視圖,然後在本地用戶視圖下配置相應的用戶屬性,可配置的用戶屬性包括:
· 描述信息
· 服務類型
用戶可使用的網絡服務類型。該屬性是本地認證的檢測項,如果沒有用戶可以使用的服務類型,則該用戶無法通過認證。
· 用戶狀態
用於指示是否允許該用戶請求網絡服務器,包括active和block兩種狀態。active表示允許該用戶請求網絡服務,block表示禁止該用戶請求網絡服務。
· 最大用戶數
使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值,則使用該用戶名的新用戶將被禁止接入。
· 所屬的用戶組
每一個本地用戶都屬於一個本地用戶組,並繼承組中的所有屬性(密碼管理屬性和用戶授權屬性)。關於本地用戶組的介紹和配置請參見“1.3.6 配置用戶組屬性”。
· 綁定屬性
用戶認證時需要檢測的屬性,用於限製接入用戶的範圍。若用戶的實際屬性與設置的綁定屬性不匹配,則不能通過認證,因此在配置綁定屬性時要考慮該用戶是否需要綁定某些屬性。
· 用戶授權屬性
用戶認證通過後,接入設備給用戶下發授權屬性。由於可配置的授權屬性都有其明確的使用環境和用途,因此配置授權屬性時要考慮該用戶是否需要某些屬性。
本地用戶的授權屬性在用戶組和本地用戶視圖下都可以配置,且本地用戶視圖下的配置優先級高於用戶組視圖下的配置。用戶組的配置對組內所有本地用戶生效。
· 有效期
網絡接入類本地用戶在有效期內才能認證成功。
本地用戶配置任務如下:
(1) 配置本地用戶屬性
(2) (可選)配置用戶組屬性
(3) (可選)批量配置本地用戶
(4) (可選)配置本地來賓用戶管理功能
授權屬性和密碼控製屬性均可以在本地用戶視圖和用戶組視圖下配置,各視圖下的配置優先級順序從高到底依次為:本地用戶視圖-->用戶組視圖。
(1) 進入係統視圖。
system-view
(2) 添加設備管理類本地用戶,並進入設備管理類本地用戶視圖。
local-user user-name class manage
(3) 設置本地用戶的密碼。
password [ { hash | simple } string ]
可以不為本地用戶設置密碼。為提高用戶賬戶的安全性,建議設置本地用戶密碼。
(4) 設置本地用戶可以使用的服務類型。
service-type { ftp | { http | https | ssh | telnet | terminal } * }
缺省情況下,本地用戶不能使用任何服務類型。
(5) (可選)設置本地用戶的狀態。
state { active | block }
缺省情況下,本地用戶處於活動狀態,即允許該用戶請求網絡服務。
(6) (可選)設置使用當前本地用戶名接入設備的最大用戶數。
access-limit max-user-number
缺省情況下,不限製使用當前本地用戶名接入的用戶數。
由於FTP/SFTP/SCP用戶不支持計費,因此FTP/SFTP/SCP用戶不受此屬性限製。
(7) (可選)設置本地用戶的授權屬性。
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
缺省情況下:
¡ 授權FTP/SFTP/SCP用戶可以訪問的目錄為設備的根目錄,但無訪問權限。
¡ 由用戶角色為network-admin或者level-15的用戶創建的本地用戶被授權用戶角色network-operator。
(8) (可選)設置本地用戶所屬的用戶組。
group group-name
缺省情況下,本地用戶屬於用戶組system。
授權屬性可以在本地用戶視圖和用戶組視圖下配置,各視圖下的配置優先級順序從高到底依次為:本地用戶視圖-->用戶組視圖。
在綁定接口屬性時要考慮綁定接口類型是否合理。對於不同接入類型的用戶,請按照如下方式進行綁定接口屬性的配置:
· 802.1X用戶:配置綁定的接口為開啟802.1X的二層以太網接口。
· MAC地址認證用戶:配置綁定的接口為開啟MAC地址認證的二層以太網接口。
· Portal用戶:若使能Portal的接口為VLAN接口,且沒有通過portal roaming enable命令配置Portal用戶漫遊功能,則配置綁定的接口為用戶實際接入的二層以太網接口;其它情況下,配置綁定的接口均為使能Portal的接口。
(1) 進入係統視圖。
system-view
(2) 添加網絡接入類本地用戶,並進入網絡接入類本地用戶視圖。
local-user user-name class network
(3) (可選)設置本地用戶的密碼。
password { cipher | simple } string
(4) (可選)設置本地用戶的描述信息。
description text
缺省情況下,未配置本地用戶的描述信息。
(5) 設置本地用戶可以使用的服務類型。
service-type { ike | lan-access | portal }
缺省情況下,本地用戶不能使用任何服務類型。
(6) (可選)設置本地用戶的狀態。
state { active | block }
缺省情況下,本地用戶處於活動狀態,即允許該用戶請求網絡服務。
(7) (可選)設置使用當前本地用戶名接入設備的最大用戶數。
access-limit max-user-number
缺省情況下,不限製使用當前本地用戶名接入的用戶數。
(8) (可選)設置本地用戶的綁定屬性。
bind-attribute { ip ip-address | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *
缺省情況下,未設置本地用戶的任何綁定屬性。
(9) (可選)設置本地用戶的授權屬性。
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-profile profile-name | vlan vlan-id } *
缺省情況下,本地用戶無授權屬性。
(10) (可選)設置本地用戶所屬的用戶組。
group group-name
缺省情況下,本地用戶屬於用戶組system。
(11) (可選)設置本地用戶的有效期。
validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }
缺省情況下,未限製本地用戶的有效期,該用戶始終有效。
為使臨時接入網絡的訪客可以通過本地認證並方便管理員對訪客的訪問權限進行管理,需要在設備上的本地用戶數據庫中添加相應的本地來賓用戶表項。具體步驟是,創建一個本地來賓用戶並進入本地來賓用戶視圖,然後在該視圖下配置相應的來賓用戶屬性。完成本地來賓用戶屬性的配置後,可向來賓或來賓接待人發送包含用戶名、密碼、有效期的通知郵件。
(1) 進入係統視圖。
system-view
(2) 創建本地來賓用戶,並進入本地來賓用戶視圖。
local-user user-name class network guest
(3) (可選)配置本地來賓用戶的密碼。
password { cipher | simple } string
(4) 配置本地來賓用戶的基本信息。請至少選擇其中一項進行配置。
¡ 配置本地來賓用戶的描述信息。
description text
缺省情況下,未配置本地來賓用戶的描述信息。
¡ 配置本地來賓用戶的姓名。
full-name name-string
缺省情況下,未配置本地來賓用戶的姓名。
¡ 配置本地來賓用戶所屬公司。
company company-name
缺省情況下,未配置本地來賓用戶所屬公司。
¡ 配置本地來賓用戶的電話號碼。
phone phone-number
缺省情況下,未配置本地來賓用戶電話號碼。
¡ 配置本地來賓用戶的Email地址。
email email-string
缺省情況下,未配置本地來賓用戶的Email地址。
¡ 配置本地來賓用戶的接待人姓名。
sponsor-full-name name-string
缺省情況下,未配置本地來賓用戶的接待人姓名。
¡ 配置本地來賓用戶接待人所屬部門。
sponsor-department department-string
缺省情況下,未配置本地來賓用戶接待人所屬部門。
¡ 配置本地來賓用戶接待人的Email地址。
sponsor-email email-string
缺省情況下,未配置本地來賓用戶接待人的Email地址。
(5) (可選)配置本地來賓用戶的有效期。
validity-datetime start-date start-time to expiration-date expiration-time
缺省情況下,未限製本地來賓用戶的有效期,該用戶始終有效。
(6) (可選)配置本地來賓用戶所屬的用戶組。
group group-name
缺省情況下,本地來賓用戶屬於係統默認創建的用戶組system。
(7) (可選)配置本地來賓用戶的狀態。
state { active | block }
缺省情況下,本地來賓用戶處於活動狀態,即允許該用戶請求網絡服務。
為了簡化本地用戶的配置,增強本地用戶的可管理性,引入了用戶組的概念。用戶組是一個本地用戶屬性的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理,用戶組內的所有本地用戶都可以繼承這些屬性。
(1) 進入係統視圖。
system-view
(2) 創建用戶組,並進入用戶組視圖。
user-group group-name
缺省情況下,存在一個用戶組,名稱為system。
(3) 設置用戶組的授權屬性。
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-profile profile-name | vlan vlan-id | work-directory directory-name } *
缺省情況下,未設置用戶組的授權屬性。
(4) 配置基於終端類型的授權屬性。
byod authorization device-type type-name { acl acl-number | callback-number callback-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-profile profile-name | vlan vlan-id } *
缺省情況下,未配置基於終端類型的授權屬性。
該授權屬性用於配合本地用戶的BYOD授權使用,且僅對網絡接入類的本地用戶生效。
管理員可以通過命令行批量導入、導出網絡接入類本地用戶。
(1) 進入係統視圖。
system-view
(2) 從CSV文件中導入用戶信息並創建網絡接入類本地用戶。
local-user-import class network url url-string [ auto-create-group | override | start-line line-number ] *
用於導入的CSV文件中的用戶名字段必須存在,其它信息如果未包含會使用缺省值。
隨著無線智能終端的快速發展,對於來公司參觀的訪客,公司需要提供一些網絡服務。當訪客用自己的手機、筆記本、IPAD等終端接入公司網絡時,涉及到用戶賬號注冊,以及訪問權限控製的問題。為了簡化訪客的注冊和審批流程,以及對訪客權限的管理控製,提供了本地來賓用戶管理功能,具體包括:
· 本地來賓用戶的注冊與審批,具體過程如下:
a. 來賓通過設備推出的Portal Web頁麵填寫注冊信息,主要包括用戶名、密碼和Email地址,並提交該信息。
b. 設備收到來賓用戶的注冊信息後,記錄該注冊信息,並向來賓管理員發送一個注冊申請通知郵件。
c. 來賓管理員收到注冊申請通知郵件之後,在設備的Web頁麵上對該賬戶進行編輯和審批。
d. 如果該賬戶在等待審批時間超時前被來賓管理員審批通過,則設備將自動在本地創建一個本地來賓用戶,並生成該用戶的相關屬性。若該賬戶在等待審批時間超時後還未被審批通過,則設備將會刪除本地記錄的該用戶注冊信息。
e. 本地來賓用戶創建之後,設備將自動發送郵件通知來賓或來賓接待人用戶注冊成功,向他們告知本地來賓用戶的密碼及有效期信息。
f. 來賓收到注冊成功通知後,將可以使用注冊的賬戶訪問網絡。
· 郵件通知功能:向來賓、來賓接待人、來賓管理員發送賬戶審批、密碼信息的郵件。
· 批量創建本地來賓用戶:在設備上批量生成一係列本地來賓賬戶,這些賬戶的用戶名和密碼按照指定規律生成。
· 導入本地來賓用戶信息:將指定路徑CSV文件的本地來賓賬戶信息導入到設備上,並生成相應的本地來賓用戶。導入操作成功後,該類賬戶可直接用於訪問網絡。
· 導出本地來賓用戶信息:將設備上的本地來賓賬戶信息導出到指定路徑CSV文件中供其它設備使用。
· 來賓用戶過期自動刪除功能:設備定時檢查本地來賓用戶是否過期並自動刪除過期的用戶。
(1) 進入係統視圖。
system-view
(2) 配置本地來賓用戶的通知郵件屬性。
a. 配置本地來賓用戶通知郵件的主題和內容。
local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }
缺省情況下,未配置本地來賓用戶通知郵件的主題和內容。
b. 配置本地來賓用戶通知郵件的發件人地址。
local-guest email sender email-address
缺省情況下,未配置本地來賓用戶通知郵件的發件人地址。
c. 配置本地來賓用戶發送Email使用的SMTP服務器。
local-guest email smtp-server url-string
缺省情況下,未配置本地來賓用戶發送Email使用的SMTP服務器。
(3) 配置來賓管理員的Email地址。
local-guest manager-email email-address
缺省情況下,未配置來賓管理員的Email地址。
(4) (可選)配置本地來賓用戶的等待審批超時定時器。
local-guest timer waiting-approval time-value
缺省情況下,來賓注冊信息等待審批超時定時器的值為24小時。
(5) (可選)從指定路徑的文件中導入用戶信息並創建本地來賓用戶。
local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *
(6) (可選)批量創建本地來賓用戶。
local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time
本命令批量生成的本地來賓用戶的用戶名和密碼等屬性將按照指定規律生成。
(7) (可選)從設備導出本地來賓用戶信息到指定路徑的CSV文件。
local-user-export class network guest url url-string
(8) (可選)開啟來賓用戶過期自動刪除功能。
local-guest auto-delete enable
缺省情況下,來賓用戶過期自動刪除功能處於關閉狀態。
(9) (可選)向本地來賓用戶郵箱和來賓接待人郵箱發送郵件。
a. 退回用戶視圖。
quit
b. 向相關人發送通知郵件,郵件中包含用戶名、密碼以及有效期信息。
local-guest send-email user-name user-name to { guest | sponsor }
完成上述配置後,在任意視圖下執行display命令可以顯示配置後本地用戶及本地用戶組的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除待審批來賓用戶注冊信息。
表1-2 本地用戶及本地用戶組顯示和維護
|
操作 |
命令 |
|
顯示待審批來賓用戶注冊信息 |
display local-guest waiting-approval [ user-name user-name ] |
|
顯示本地用戶的配置信息和在線用戶數的統計信息 |
display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { ftp | http | https | ike | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ] |
|
顯示本地用戶組的相關配置 |
display user-group { all | name group-name [ byod-authorization ] } |
|
清除待審批的來賓用戶注冊信息 |
reset local-guest waiting-approval [ user-name user-name ] |
RADIUS配置任務如下:
(1) 配置RADIUS服務器探測模板
若要對RADIUS認證服務器進行可達性探測,則需要配置RADIUS服務器探測模板,並在RADIUS認證服務器配置中引用該模板。
(2) 創建RADIUS方案
(3) 配置RADIUS認證服務器
(4) 配置RADIUS計費服務器
(5) 配置RADIUS報文的共享密鑰
若配置RADIUS認證/計費服務器時未指定共享密鑰,則可以通過本任務統一指定對所有認證/計費RADIUS服務器生效的共享密鑰。
(6) (可選)配置RADIUS服務器的狀態
(7) (可選)配置RADIUS服務器的定時器
(8) (可選)配置RADIUS報文交互參數
(9) (可選)配置RADIUS屬性參數
¡ 配置RADIUS Attribute 25的CAR參數解析功能
¡ 配置RADIUS Attribute 30中的MAC地址格式
¡ 配置Vendor ID為2011的RADIUS服務器版本號
¡ 配置RADIUS Remanent_Volume屬性的流量單位
¡ 開啟廠商私有182號RADIUS屬性解析為授權VLAN功能
¡ 配置攜帶RADIUS私有屬性H3c-DHCP-Option
(10) (可選)配置RADIUS擴展功能
RADIUS服務器探測功能是指,設備周期性發送探測報文探測RADIUS服務器是否可達:如果服務器不可達,則置服務器狀態為block,如果服務器可達,則置服務器狀態為active。該探測功能不依賴於實際用戶的認證過程,無論是否有用戶向RADIUS服務器發起認證,無論是否有用戶在線,設備都會自動對指定的RADIUS服務器進行探測,便於及時獲得該服務器的可達狀態。
RADIUS服務器探測模板用於配置探測參數,並且可以被RADIUS方案視圖下的RADIUS服務器配置引用。
當一個RADIUS服務器配置中成功引用了一個已經存在的服務器探測模板後,設備會啟動對該RADIUS服務器的探測功能。設備采用測模板中配置的探測用戶名構造一個認證請求報文,並在探測周期內選擇隨機時間點向引用了探測模板的RADIUS服務器發送該報文。如果在連續指定數目個探測周期內均收到服務器的認證響應報文,則認為該服務器可達;如果在連續指定數目個探測周期內均未收到服務器的認證響應報文,則認為該服務器不可達;其它情況視為該服務器狀態未改變。
係統支持同時存在多個RADIUS服務器探測模板。
服務器探測功能啟動後,以下情況發生將會導致探測過程中止:
· 刪除該RADIUS服務器配置;
· 取消對服務器探測模板的引用;
· 刪除對應的服務器探測模板;
· 將該RADIUS服務器的狀態手工置為block;
· 刪除當前RADIUS方案。
(1) 進入係統視圖。
system-view
(2) 配置RADIUS服務器探測模板。
radius-server test-profile profile-name username name [ interval interval ] [ probe-count count ]
係統最多支持配置16個RADIUS方案。一個RADIUS方案可以同時被多個ISP域引用。
(1) 進入係統視圖。
system-view
(2) 創建RADIUS方案,並進入RADIUS方案視圖。
radius scheme radius-scheme-name
由於RADIUS服務器的授權信息是隨認證應答報文發送給RADIUS客戶端的,RADIUS的認證和授權功能由同一台服務器實現,因此RADIUS認證服務器相當於RADIUS認證/授權服務器。通過在RADIUS方案中配置RADIUS認證服務器,指定設備對用戶進行RADIUS認證時與哪些服務器進行通信。
一個RADIUS方案中最多允許配置一個主認證服務器和16個從認證服務器。缺省情況下,當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
開啟服務器負載分擔功能後,設備會根據各服務器的權重以及服務器承載的用戶負荷,按比例進行用戶負荷分配並選擇要交互的服務器。
建議在不需要備份的情況下,隻配置主RADIUS認證服務器即可。
在實際組網環境中,可以指定一台服務器既作為某個RADIUS方案的主認證服務器,又作為另一個RADIUS方案的從認證服務器。
在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號不能完全相同,並且各從認證服務器的IP地址、端口號也不能完全相同。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置主RADIUS認證服務器。
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | weight weight-value] *
缺省情況下,未配置主RADIUS認證服務器。
僅在RADIUS服務器負載分擔功能處於開啟狀態下,參數weight才能生效。
(4) (可選)配置從RADIUS認證服務器。
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | weight weight-value ] *
缺省情況下,未配置從RADIUS認證服務器。
僅在RADIUS服務器負載分擔功能處於開啟狀態下,參數weight才能生效。
通過在RADIUS方案中配置RADIUS計費服務器,指定設備對用戶進行RADIUS計費時與哪些服務器進行通信。
一個RADIUS方案中最多允許配置一個主計費服務器和16個從計費服務器。缺省情況下,當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
開啟服務器負載分擔功能後,設備會根據各服務器的權重以及服務器承載的用戶負荷,按比例進行用戶負荷分配並選擇要交互的服務器。
建議在不需要備份的情況下,隻配置主RADIUS計費服務器即可。
在實際組網環境中,可以指定一台服務器既作為某個RADIUS方案的主計費服務器,又作為另一個RADIUS方案的從計費服務器。
在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號不能完全相同,並且各從計費服務器的IP地址、端口號也不能完全相同。
目前RADIUS不支持對FTP/SFTP/SCP用戶進行計費。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置主RADIUS計費服務器。
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | weight weight-value ] *
缺省情況下,未配置主RADIUS計費服務器。
僅在RADIUS服務器負載分擔功能處於開啟狀態下,參數weight才能生效。
(4) (可選)配置從RADIUS計費服務器。
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | weight weight-value] *
缺省情況下,未配置從RADIUS計費服務器。
僅在RADIUS服務器負載分擔功能處於開啟狀態下,參數weight才能生效。
RADIUS客戶端與RADIUS服務器使用MD5算法並在共享密鑰的參與下生成驗證字,接受方根據收到報文中的驗證字來判斷對方報文的合法性。隻有在共享密鑰一致的情況下,彼此才能接收對方發來的報文並作出響應。
由於設備優先采用配置RADIUS認證/計費服務器時指定的報文共享密鑰,因此,本配置中指定的RADIUS報文共享密鑰僅在配置RADIUS認證/計費服務器時未指定相應密鑰的情況下使用。
必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置RADIUS報文的共享密鑰。
key { accounting | authentication } { cipher | simple } string
缺省情況下,未配置RADIUS報文的共享密鑰。
RADIUS方案中各服務器的狀態(active、block)決定了設備向哪個服務器發送請求報文,以及設備在與當前服務器通信中斷的情況下,如何轉而與另外一個服務器進行交互。在實際組網環境中,可指定一個主RADIUS服務器和多個從RADIUS服務器,由從服務器作為主服務器的備份。當RADIUS服務器負載分擔功能處於開啟狀態時,設備僅根據當前各服務器承載的用戶負荷調度狀態為active的服務器發送認證或計費請求。當RADIUS服務器負載分擔功能處於關閉狀態時,設備上主從服務器的切換遵從以下原則:
· 當主服務器狀態為active時,設備首先嚐試與主服務器通信,若主服務器不可達,則按照從服務器的配置先後順序依次查找狀態為active的從服務器。
· 隻要存在狀態為active的服務器,設備就僅與狀態為active的服務器通信,即使該服務器不可達,設備也不會嚐試與狀態為block的服務器通信。
· 當主/從服務器的狀態均為block時,設備才會嚐試與主服務器進行通信,若未配置主服務器,則設備嚐試與首個配置的從服務器通信。
· 如果服務器不可達,則設備將該服務器的狀態置為block,並啟動該服務器的quiet定時器。當服務器的quiet定時器超時,或者手動將服務器狀態置為active時,該服務器將恢複為active狀態。
· 在一次認證或計費過程中,如果設備在嚐試與從服務器通信時,之前已經查找過的服務器狀態由block恢複為active,則設備並不會立即恢複與該服務器的通信,而是繼續查找從服務器。如果所有已配置的服務器都不可達,則認為本次認證或計費失敗。
· 如果在認證或計費過程中刪除了當前正在使用的服務器,則設備在與該服務器通信超時後,將會立即從主服務器開始依次查找狀態為active的服務器並與之進行通信。
· 一旦服務器狀態滿足自動切換的條件,則所有RADIUS方案視圖下該服務器的狀態都會相應地變化。
· 將認證服務器的狀態由active修改為block時,若該服務器引用了RADIUS服務器探測模板,則關閉對該服務器的探測功能;反之,將認證服務器的狀態由block更改為active時,若該服務器引用了一個已存在的RADIUS服務器探測模板,則開啟對該服務器的探測功能。
· 缺省情況下,設備將配置了IP地址的各RADIUS服務器的狀態均置為active,認為所有的服務器均處於正常工作狀態,但有些情況下用戶可能需要通過以下配置手工改變RADIUS服務器的當前狀態。例如,已知某服務器故障,為避免設備認為其active而進行無意義的嚐試,可暫時將該服務器狀態手工置為block。
設置的服務器狀態不能被保存在配置文件中,可通過display radius scheme命令查看。
設備重啟後,各服務器狀態將恢複為缺省狀態active。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 設置RADIUS認證服務器的狀態。請至少選擇其中一項進行配置。
¡ 設置主RADIUS認證服務器的狀態。
state primary authentication { active | block }
¡ 設置主RADIUS計費服務器的狀態。
state primary accounting { active | block }
¡ 設置從RADIUS認證服務器的狀態。
state secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }
¡ 設置從RADIUS計費服務器的狀態。
state secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }
缺省情況下,RADIUS服務器的狀態為active。
在與RADIUS服務器交互的過程中,設備上可啟動的定時器包括以下幾種:
· 服務器響應超時定時器(response-timeout):如果在RADIUS請求報文發送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶盡可能地獲得RADIUS服務,這段時間被稱為RADIUS服務器響應超時時間。
· 服務器恢複激活狀態定時器(quiet):當服務器不可達時,設備將該服務器的狀態置為block,並開啟超時定時器,在設定的一定時間間隔之後,再將該服務器的狀態恢複為active。這段時間被稱為RADIUS服務器恢複激活狀態時長。
· 實時計費間隔定時器(realtime-accounting):為了對用戶實施實時計費,有必要定期向服務器發送實時計費更新報文,通過設置實時計費的時間間隔,設備會每隔設定的時間向RADIUS服務器發送一次在線用戶的計費信息。
設置RADIUS服務器的定時器時,請遵循以下配置原則:
· 要根據配置的從服務器數量合理設置發送RADIUS報文的最大嚐試次數和RADIUS服務器響應超時時間,避免因為超時重傳時間過長,在主服務器不可達時,出現設備在嚐試與從服務器通信的過程中接入模塊(例如Telnet模塊)的客戶端連接已超時的現象。但是,有些接入模塊的客戶端的連接超時時間較短,在配置的從服務器較多的情況下,即使將報文重傳次數和RADIUS服務器響應超時時間設置的很小,也可能會出現上述客戶端超時的現象,並導致初次認證或計費失敗。這種情況下,由於設備會將不可達服務器的狀態設置為block,在下次認證或計費時設備就不會嚐試與這些狀態為block的服務器通信,一定程度上縮短了查找可達服務器的時間,因此用戶再次嚐試認證或計費就可以成功。
· 要根據配置的從服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置得過短,就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題;如果服務器恢複激活狀態設置的過長,則會導致已經恢複激活狀態的服務器暫時不能為用戶提供認證或計費服務。
· 實時計費間隔的取值對設備和RADIUS服務器的性能有一定的相關性要求,取值小,會增加網絡中的數據流量,對設備和RADIUS服務器的性能要求就高;取值大,會影響計費的準確性。因此要結合網絡的實際情況合理設置計費間隔的大小,一般情況下,建議當用戶量比較大(大於等於1000)時,盡量把該間隔的值設置得大一些(大於15分鍾)。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 設置RADIUS定時器參數。請至少選擇其中一項進行配置。
¡ 設置服務器響應超時時間。
timer response-timeout seconds
缺省情況下,服務器響應超時定時器為3秒。
¡ 設置服務器恢複激活狀態的時間。
timer quiet minutes
缺省情況下,服務器恢複激活狀態前需要等待5分鍾。
¡ 設置實時計費間隔。
timer realtime-accounting interval [ second ]
缺省情況下,實時計費間隔為12分鍾。
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。若RADIUS服務器收到的RADIUS認證或計費報文的源地址在所管理的接入設備IP地址範圍內,則會進行後續的認證或計費處理,否則直接丟棄該報文。
設備發送RADIUS報文時,根據以下順序查找使用的源IP地址:
(1) 當前所使用的RADIUS方案中配置的發送RADIUS報文使用的源IP地址。
(2) 係統視圖下配置的發送RADIUS報文使用的源地址。
(3) 通過路由查找到的發送RADIUS報文的出接口地址。
發送RADIUS報文使用的源IP地址在係統視圖和RADIUS方案視圖下均可配置,係統視圖下的配置將對所有RADIUS方案生效,RADIUS方案視圖下的配置僅對本方案有效,並且具有高於前者的優先級。
為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源IP地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
通常,該地址為接入設備上與RADIUS服務器路由可達的接口IP地址,為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。
(1) 進入係統視圖。
system-view
(2) 設置設備發送RADIUS報文使用的源IP地址。
radius nas-ip { ipv4-address | ipv6 ipv6-address }
缺省情況下,未指定發送RADIUS報文使用的源IP地址,設備將使用到達RADIUS服務器的路由出接口的主IPv4地址或IPv6地址作為發送RADIUS報文的源IP地址。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 設置設備發送RADIUS報文使用的源IP地址。
nas-ip { ipv4-address | ipv6 ipv6-address }
缺省情況下,未指定設備發送RADIUS報文使用的源IP地址,使用係統視圖下由命令radius nas-ip指定的源IP地址。
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備通過該域名決定將用戶歸於哪個ISP域。由於有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,因此就需要設備首先將用戶名中攜帶的ISP域名去除後再傳送給該類RADIUS服務器。通過設置發送給RADIUS服務器的用戶名格式,就可以選擇發送RADIUS服務器的用戶名中是否要攜帶ISP域名,以及是否保持用戶輸入的原始用戶名格式。
設備通過發送計費報文,向RADIUS服務器報告在線用戶的數據流量統計值,該值的單位可配。
如果要在兩個乃至兩個以上的ISP域中引用相同的RADIUS方案,建議設置該RADIUS方案允許用戶名中攜帶ISP域名,使得RADIUS服務器端可以根據ISP域名來區分不同的用戶。
為保證RADIUS服務器計費的準確性,設備上設置的發送給RADIUS服務器的數據流或者數據包的單位應與RADIUS服務器上的流量統計單位保持一致。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 設置發送給RADIUS服務器的用戶名格式。
user-name-format { keep-original | with-domain | without-domain }
缺省情況下,發送給RADIUS服務器的用戶名攜帶ISP域名。
(4) 設置發送給RADIUS服務器的數據流或者數據包的單位。
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
缺省情況下,數據流的單位為字節,數據包的單位為包。
由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果設備在應答超時定時器規定的時長內(由timer response-timeout命令配置)沒有收到RADIUS服務器的響應,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果發送RADIUS請求報文的累計次數已達到指定的最大嚐試次數而RADIUS服務器仍舊沒有響應,則設備將嚐試與其它服務器通信,如果不存在狀態為active的服務器,則認為本次認證或計費失敗。關於RADIUS服務器狀態的相關內容,請參見“1.4.7 配置RADIUS服務器的狀態”。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 設置發送RADIUS報文的最大嚐試次數。
retry retries
缺省情況下,發送RADIUS報文的最大嚐試次數為3次。
通過在設備上配置發起實時計費請求的最大嚐試次數,允許設備向RADIUS服務器發出的實時計費請求沒有得到響應的次數超過指定的最大值時切斷用戶連接。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 設置允許發起實時計費請求的最大嚐試次數。
retry realtime-accounting retries
缺省情況下,允許發起實時計費請求的最大嚐試次數為5。
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本命令可以指定設備發送的RADIUS報文攜帶的DSCP優先級的取值。配置DSCP優先級的取值越大,RADIUS報文的優先級越高。
(1) 進入係統視圖。
system-view
(2) 配置RADIUS報文的DSCP優先級。
radius [ ipv6 ] dscp dscp-value
缺省情況下,RADIUS報文的DSCP優先級為0。
RADIUS 15號屬性為Login-Service屬性,該屬性攜帶在Access-Accept報文中,由RADIUS服務器下發給設備,表示認證用戶的業務類型,例如屬性值0表示Telnet業務。設備檢查用戶登錄時采用的業務類型與服務器下發的Login-Service屬性所指定的業務類型是否一致,如果不一致則用戶認證失敗 。由於RFC中並未定義SSH、FTP和Terminal這三種業務的Login-Service屬性值,因此設備無法針對SSH、FTP、Terminal用戶進行業務類型一致性檢查,為了支持對這三種業務類型的檢查,H3C為Login-Service屬性定義了表1-3所示的擴展取值。
|
屬性值 |
描述 |
|
50 |
用戶的業務類型為SSH |
|
51 |
用戶的業務類型為FTP |
|
52 |
用戶的業務類型為Terminal |
可以通過配置設備對RADIUS 15號屬性的檢查方式,控製設備是否使用擴展的Login-Service屬性值對用戶進行業務類型一致性檢查。
· 嚴格檢查方式:設備使用標準屬性值和擴展屬性值對用戶業務類型進行檢查,對於SSH、FTP、Terminal用戶,當RADIUS服務器下發的Login-Service屬性值為對應的擴展取值時才能夠通過認證。
· 鬆散檢查方式:設備使用標準屬性值對用戶業務類型進行檢查,對於SSH、FTP、Terminal用戶,在RADIUS服務器下發的Login-Service屬性值為0(表示用戶業務類型為Telnet)時才能夠通過認證。
由於某些RADIUS服務器不支持自定義的屬性,無法下發擴展的Login-Service屬性,若要使用這類RADIUS服務器對SSH、FTP、Terminal用戶進行認證,建議設備上對RADIUS 15號屬性值采用鬆散檢查方式。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置對RADIUS Attribute 15的檢查方式。
attribute 15 check-mode { loose | strict }
缺省情況下,對RADIUS Attribute 15的檢查方式為strict方式。
RADIUS的25號屬性為class屬性,該屬性由RADIUS服務器下發給設備,但RFC中並未定義具體的用途,僅規定了設備需要將服務器下發的class屬性再原封不動地攜帶在計費請求報文中發送給服務器即可,同時RFC並未要求設備必須對該屬性進行解析。目前,某些RADIUS服務器利用class屬性來對用戶下發CAR參數,為了支持這種應用,可以通過本特性來控製設備是否將RADIUS 25號屬性解析為CAR參數,解析出的CAR參數可被用來進行基於用戶的流量監管控製。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 開啟RADIUS Attribute 25的CAR參數解析功能。
attribute 25 car
缺省情況下,RADIUS Attribute 25的CAR參數解析功能處於關閉狀態。
對於無線Portal、802.1X、MAC地址認證用戶,不同的RADIUS服務器對填充在RADIUS Attribute 30中的內容有不同的格式要求。目前,可支持配置以下4種類型的屬性格式:
· 僅AP名稱,例如:ap1
· 僅AP的MAC地址,例如:0AC1-F9B2-B1C2。
· AP的MAC地址與SSID的組合,格式為“AP MAC+分隔符+SSID”,例如:0AC1-F9B2-B1C2:test1。
· AP名稱與SSID的組合,格式為“AP名稱+分隔符+SSID”,例如:ap1-test1。
其中,分隔符以及MAC地址的格式可自定義。
不同的RADIUS服務器對RADIUS Attribute 30的格式要求不同,為了保證RADIUS報文的正常交互,設備發送給服務器的RADIUS Attribute 30號屬性格式必須與服務器的要求保持一致。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置RADIUS Attribute 30的格式。
attribute 30 format { apmac-only | apname-only | { apmac-ssid | apname-ssid } delimiter { colon | hyphen } }
缺省情況下,RADIUS Attribute 30的格式為XX-XX-XX-XX-XX-XX:SSID,其中XX-XX-XX-XX-XX-XX為AP的MAC地址,SSID為AP的SSID。
不同的RADIUS服務器對填充在RADIUS Attribute 30中的MAC地址有不同的格式要求,為了保證RADIUS報文的正常交互,設備發送給服務器的RADIUS Attribute 30號屬性中MAC地址的格式必須與服務器的要求保持一致。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置RADIUS Attribute 30中的MAC地址格式。
attribute 30 mac-format section { one | { six | three } separator separator-character } { lowercase | uppercase }
缺省情況下,RADIUS Attribute 30中的MAC地址為大寫字母格式,且被分隔符“-”分成6段,即為HH-HH-HH-HH-HH-HH的格式。
不同的RADIUS服務器對填充在RADIUS Attribute 31中的MAC地址有不同的格式要求,為了保證RADIUS報文的正常交互,設備發送給服務器的RADIUS Attribute 31號屬性中MAC地址的格式必須與服務器的要求保持一致。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置RADIUS Attribute 31中的MAC地址格式。
attribute 31 mac-format section { one | { six | three } separator separator-character } { lowercase | uppercase }
缺省情況下,RADIUS Attribute 31中的MAC地址為大寫字母格式,且被分隔符“-”分成6段,即為HH-HH-HH-HH-HH-HH的格式。
當設備與Vendor ID為2011的RADIUS服務器交互時,需要通過本命令保證設備支持的服務器版本號與對端服務器的實際版本號一致,否則會導致部分RADIUS屬性解析錯誤。
(1) 入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置Vendor ID為2011的RADIUS服務器版本號。
attribute vendor-id 2011 version { 1.0 | 1.1 }
缺省情況下,設備采用版本1.0與Vendor ID為2011的RADIUS服務器交互。
Remanent_Volume屬性為H3C自定義RADIUS屬性,攜帶在RADIUS服務器發送給接入設備的認證響應或實時計費響應報文中,用於向接入設備通知在線用戶的剩餘流量值。
設備管理員設置的Remanent_Volume屬性流量單位應與RADIUS服務器上統計用戶流量的單位保持一致,否則設備無法正確使用Remanent_Volume屬性值對用戶進行計費。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置RADIUS Remanent_Volume屬性的流量單位。
attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }
缺省情況下,Remanent_Volume屬性的流量單位是千字節。
RADIUS服務器可通過下發微分段來對接入用戶進行精細化的訪問控製。若接入設備上需要通過授權VLAN信息實現基於微分段的訪問控製,那麼就需要開啟本功能。
開啟本功能後,設備會將RADIUS服務器下發的Vendor ID為25506的廠商私有微分段ID屬性(編號為182)解析為授權VLAN信息。當該屬性值為整數時,將其解析為VLAN ID;其它取值時,將其解析為VLAN名稱。
如果RADIUS服務器使用其它RADIUS屬性來下發微分段,則需要首先通過RADIUS屬性解釋功能將其轉換為Vendor ID為25506的廠商私有微分段ID屬性(編號為182)。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 開啟廠商私有182號屬性解析為授權VLAN功能。
attribute 182 vendor-id 25506 vlan
缺省情況下,廠商私有182號屬性解析為授權VLAN功能處於關閉狀態。
不同廠商的RADIUS服務器支持的Acct-Session-Id屬性的格式可能有所不同,可通過本配置指定設備使用的Acct-Session-Id屬性格式:
· 普通模式(common):該模式下的Acct-Session-Id屬性取值長度為38個字符,由前綴、日期時間、序列號、接入節點的LIP地址、設備ID以及進程的Job ID信息組成。
· 精簡模式(simplified):該模式下的Acct-Session-Id屬性取值長度為16個字符,由前綴、月份值、序列號、設備ID以及接入節點的LIP地址信息組成。
(1) 進入係統視圖。
system-view
(2) 配置設備使用的Acct-Session-Id屬性模式。
aaa session-id mode { common | simplified }
缺省情況下,設備使用的Acct-Session-Id屬性模式為普通模式。
設備廠商可以通過對RADIUS協議中的26號屬性進行擴展,以實現標準RADIUS未定義的功能。我司定義了私有屬性H3c-DHCP-Option,用來攜帶客戶端的DHCP Option信息。通過配置在RADIUS認證請求報文、計費開始請求報文或計費更新請求報文中攜帶該屬性,可以將客戶端的DHCP Option信息發送給RADIUS服務器。
是否需要設備在RADIUS報文中攜帶H3c-DHCP-Option屬性,以及采用哪種封裝格式,請以RADIUS服務器的要求為準。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置在RADIUS報文中攜帶私有屬性H3c-DHCP-Option。
include-attribute h3c-dhcp-option format { format1 | format2 }
缺省情況下,RADIUS報文中未攜帶私有屬性H3c-DHCP-Option。
format1格式封裝的屬性Type字段長度為1字節;format2格式封裝的屬性Type字段長度為2字節。
在某些運營商組網環境中,RADIUS服務器希望接入設備在用戶認證成功後采用指定的用戶名進行後續的AAA處理,該用戶名與用戶認證時采用的用戶名不同。因此,需要設備端可以接受這種用戶名,並且使用此用戶名進行計費、用戶信息的查詢和顯示等AAA處理。
配置設備接受RADIUS服務器下發的用戶名後,如果RADIUS服務器發送給設備的認證應答報文中攜帶了User-Name屬性,則設備會將此屬性的內容告知給接入模塊,且在後續的AAA處理過程中使用服務器下發的用戶名進行處理。例如,這種情況下,設備發送給RADIUS服務器的計費開始請求報文中將會攜帶服務器下發的用戶名。
目前,本功能僅對無線802.1X用戶生效。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 配置設備接受RADIUS服務器下發的用戶名。
username-authorization apply
缺省情況下,不接受RADIUS服務器下發的用戶名,而是采用用戶認證時使用的用戶名進行AAA處理。
不同廠商的RADIUS服務器所支持的RADIUS屬性集有所不同,而且相同屬性的用途也可能不同。為了兼容不同廠商的服務器的RADIUS屬性,需要開啟RADIUS屬性解釋功能,並定義相應的RADIUS屬性轉換規則和RADIUS屬性禁用規則。
開啟RADIUS解釋功能後,設備在發送和接收RADIUS報文時,可以按照配置的屬性轉換規則以及屬性禁用規則對RADIUS報文中的屬性進行不同的處理:
· 設備發送RADIUS報文時,將報文中匹配上禁用規則的屬性從報文中刪除,將匹配上轉換規則的屬性替換為指定的屬性;
· 設備接收RADIUS報文時,不處理報文中匹配上禁用規則的屬性,將匹配上轉換規則的屬性解析為指定的屬性。
如果設備需要按照某種既定規則去處理一些無法識別的其他廠商的私有RADIUS屬性,可以定義RADIUS擴展屬性。通過自定義RADIUS擴展屬性,並結合RADIUS屬性轉換功能,可以將係統不可識別的屬性映射為已知屬性來處理。
在一個RADIUS方案視圖下,對於同一個RADIUS屬性,存在以下配置限製:
· 如果已經配置了禁用規則,則不允許再配置轉換規則;反之亦然。
· 基於方向(received、sent)的規則和基於報文類型(access-accept、access-request、accounting)的規則,不能同時配置,隻能存在一種。
· 對於基於方向的規則,可以同時存在兩條不同方向的規則;對於基於報文類型的規則,可以存在同時存在三條不同類型的規則。
(1) 進入係統視圖。
system-view
(2) (可選)定義RADIUS擴展屬性。
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
(3) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(4) 開啟RADIUS屬性解釋功能。
attribute translate
缺省情況下,RADIUS屬性解釋功能處於關閉狀態。
(5) 配置RADIUS屬性轉換/禁用規則。請至少選擇其中一項進行配置。
¡ 配置RADIUS屬性轉換規則。
attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
缺省情況下,未配置任何RADIUS屬性轉換規則。
¡ 配置RADIUS屬性禁用規則。
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
缺省情況下,未配置任何RADIUS屬性禁用規則。
(1) 進入係統視圖。
system-view
(2) (可選)定義RADIUS擴展屬性。
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
(3) 進入RADIUS DAE服務器視圖。
radius dynamic-author server
(4) 開啟RADIUS屬性解釋功能。
attribute translate
缺省情況下,RADIUS屬性解釋功能處於關閉狀態。
(5) 配置RADIUS屬性轉換/禁用規則。請至少選擇其中一項進行配置。
¡ 配置RADIUS屬性轉換。
attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }
缺省情況下,未配置任何RADIUS屬性轉換。
¡ 配置RADIUS屬性禁用。
attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }
缺省情況下,未配置任何RADIUS屬性禁用。
缺省情況下,RADIUS服務器的調度采用主/從模式,即設備優先與主服務器交互,當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
RADIUS方案中開啟了服務器負載分擔功能後,設備會根據各服務器的權重以及服務器承載的用戶負荷,按比例進行用戶負荷分配並選擇要交互的服務器。
負載分擔模式下,某台計費服務器開始對某用戶計費後,該用戶後續計費請求報文均會發往同一計費服務器。如果該計費服務器不可達,則直接返回計費失敗。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 開啟RADIUS服務器負載分擔功能。
server-load-sharing enable
缺省情況下,RADIUS服務器負載分擔功能處於關閉狀態。
開啟accounting-on功能後,整個設備會在重啟後主動向RADIUS服務器發送accounting-on報文來告知自己已經重啟,並要求RADIUS服務器停止計費且強製通過本設備上線的用戶下線。該功能可用於解決設備重啟後,重啟前的原在線用戶因被RADIUS服務器認為仍然在線而短時間內無法再次登錄的問題。若設備發送accounting-on報文後RADIUS服務器無響應,則會在按照一定的時間間隔(interval interval)嚐試重發幾次(send send-times)。
(1) 進入係統視圖。
system-view
(2) 進入RADIUS方案視圖。
radius scheme radius-scheme-name
(3) 開啟accounting-on功能。
accounting-on enable [ interval interval | send send-times ] *
缺省情況下,accounting-on功能處於關閉狀態。
H3C的iMC RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。開啟RADIUS session control功能後,設備會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。
當設備收到session control報文時,通過session control客戶端配置驗證RADIUS session control報文的合法性。
需要注意的是,該功能僅能和H3C的iMC RADIUS服務器配合使用。缺省情況下,為節省係統資源,設備上的RADIUS session control功能處於關閉狀態。因此,在使用iMC RADIUS服務器且服務器需要對用戶授權信息進行動態修改或強製用戶下線的情況下,必須開啟此功能。
(1) 進入係統視圖。
system-view
(2) 開啟RADIUS session control功能。
radius session-control enable
缺省情況下,RADIUS session control功能處於關閉狀態。
(3) 指定session control客戶端。
radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string ]
缺省情況下,未指定session control客戶端。
DAE(Dynamic Authorization Extensions,動態授權擴展)協議是RFC 5176中定義的RADIUS協議的一個擴展,它用於強製認證用戶下線,或者更改在線用戶授權信息。DAE采用客戶端/服務器通信模式,由DAE客戶端和DAE服務器組成。
· DAE客戶端:用於發起DAE請求,通常駐留在一個RADIUS服務器上,也可以為一個單獨的實體。
· DAE服務器:用於接收並響應DAE客戶端的DAE請求,通常為一個NAS(Network Access Server,網絡接入服務器)設備。
DAE報文包括以下兩種類型:
· DMs(Disconnect Messages):用於強製用戶下線。DAE客戶端通過向NAS設備發送DM請求報文,請求NAS設備按照指定的匹配條件強製用戶下線。
· COA(Change of Authorization)Messages:用於更改用戶授權信息。DAE客戶端通過向NAS設備發送COA請求報文,請求NAS設備按照指定的匹配條件更改用戶授權信息。
在設備上開啟RADIUS DAE服務後,設備將作為RADIUS DAE服務器在指定的UDP端口監聽指定的RADIUS DAE客戶端發送的DAE請求消息,然後根據請求消息進行用戶授權信息的修改、斷開用戶連接,並向RADIUS DAE客戶端發送DAE應答消息。
(1) 進入係統視圖。
system-view
(2) 開啟RADIUS DAE服務,並進入RADIUS DAE服務器視圖。
radius dynamic-author server
缺省情況下, RADIUS DAE服務處於關閉狀態。
(3) 指定RADIUS DAE客戶端。
client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vendor-id 2011 version { 1.0 | 1.1 } ] *
缺省情況下,未指定RADIUS DAE客戶端。
(4) (可選)指定RADIUS DAE服務端口。
port port-number
缺省情況下,RADIUS DAE服務端口為3799。
開啟相應的RADIUS告警功能後,RADIUS模塊會生成告警信息,用於報告該模塊的重要事件:
· 當NAS向RADIUS服務器發送計費或認證請求沒有收到響應時,會重傳請求,當重傳次數達到最大傳送次數時仍然沒有收到響應時,NAS認為該服務器不可達,並發送表示RADIUS服務器不可達的告警信息。
· 當timer quiet定時器設定的時間到達後,NAS將服務器的狀態置為激活狀態並發送表示RADIUS服務器可達的告警信息。
· 當NAS發現認證失敗次數與認證請求總數的百分比超過閾值時,會發送表示認證失敗次數超過閾值的告警信息。
生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
(1) 進入係統視圖。
system-view
(2) 開啟RADIUS告警功能。
snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
缺省情況下,所有類型的RADIUS 告警功能均處於關閉狀態。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後RADIUS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表1-4 RADIUS顯示和維護
|
操作 |
命令 |
|
顯示所有或指定RADIUS方案的配置信息 |
display radius scheme [ radius-scheme-name ] |
|
顯示RADIUS服務器的負載統計信息 |
display radius server-load statistics |
|
顯示RADIUS報文的統計信息 |
display radius statistics |
|
清除所有RADIUS服務器的曆史負載統計信息 |
reset radius server-load statistics |
|
清除RADIUS協議的統計信息 |
reset radius statistics |
LDAP配置任務如下:
(1) 配置LDAP服務器
a. 創建LDAP服務器
c. (可選)配置LDAP版本號
d. (可選)配置LDAP服務器的連接超時時間
f. 配置LDAP用戶屬性參數
g. (可選)配置用戶組的過濾條件
(2) (可選)配置LDAP屬性映射表
(3) 創建LDAP方案
(4) 指定LDAP認證服務器
(5) (可選)指定LDAP授權服務器
(6) (可選)引用LDAP屬性映射表
(1) 進入係統視圖。
system-view
(2) 創建LDAP服務器,並進入LDAP服務器視圖。
ldap server server-name
LDAP服務器視圖下僅能同時存在一個IPv4地址類型的LDAP服務器或一個IPv6地址類型的LDAP服務器。多次配置,後配置的生效。
(1) 進入係統視圖。
system-view
(2) 進入LDAP服務器視圖。
ldap server server-name
(3) 配置LDAP服務器IP地址。
{ ip ipv4-address | ipv6 ipv6-address } [ port port-number ]
缺省情況下,未配置LDAP服務器IP地址。
目前設備僅支持LDAPv2和LDAPv3兩個協議版本。
Microsoft的LDAP服務器隻支持LDAPv3版本。
設備上配置的LDAP版本號需要與服務器支持的版本號保持一致。
(1) 進入係統視圖。
system-view
(2) 進入LDAP服務器視圖。
ldap server server-name
(3) 配置LDAP版本號。
protocol-version { v2 | v3 }
缺省情況下,LDAP版本號為LDAPv3。
設備向LDAP服務器發送綁定請求、查詢請求,如果經過指定的時間後未收到LDAP服務器的回應,則認為本次認證、授權請求超時。若使用的ISP域中配置了備份的認證、授權方案,則設備會繼續嚐試進行其他方式的認證、授權處理,否則本次認證、授權失敗。
(1) 進入係統視圖。
system-view
(2) 進入LDAP服務器視圖。
ldap server server-name
(3) 配置LDAP服務器的連接超時時間。
server-timeout time-interval
缺省情況下,LDAP服務器的連接超時時間為10秒。
配置LDAP認證過程中綁定服務器所使用的用戶DN和用戶密碼,該用戶具有管理員權限。
(1) 進入係統視圖。
system-view
(2) 進入LDAP服務器視圖。
ldap server server-name
(3) 配置具有管理員權限的用戶DN。
login-dn dn-string
缺省情況下,未配置具有管理員權限的用戶DN。
配置的管理員權限的用戶DN必須與LDAP服務器上管理員的DN一致。
(4) 配置具有管理員權限的用戶密碼。
login-password { cipher | simple } string
缺省情況下,未配置具有管理權限的用戶密碼。
要對用戶進行身份認證,就需要以用戶DN及密碼為參數與LDAP服務器進行綁定,因此需要首先從LDAP服務器獲取用戶DN。LDAP提供了一套DN查詢機製,在與LDAP服務器建立連接的基礎上,按照一定的查詢策略向服務器發送查詢請求。該查詢策略由設備上指定的LDAP用戶屬性定義,具體包括以下幾項:
· 用戶DN查詢的起始節點(search-base-dn)
· 用戶DN查詢的範圍(search-scope)
· 用戶名稱屬性(user-name-attribute)
· 用戶名稱格式(user-name-format)
· 用戶對象類型(user-object-class)
LDAP服務器上的目錄結構可能具有很深的層次,如果從根目錄進行用戶DN的查找,耗費的時間將會較長,因此必須配置用戶查找的起始點DN,以提高查找效率。
(1) 進入係統視圖。
system-view
(2) 進入LDAP服務器視圖。
ldap server server-name
(3) 配置用戶查詢的起始DN。
search-base-dn base-dn
缺省情況下,未指定用戶查詢的起始DN。
(4) (可選)配置用戶查詢的範圍。
search-scope { all-level | single-level }
缺省情況下,用戶查詢的範圍為all-level。
(5) (可選)配置用戶查詢的用戶名屬性。
user-parameters user-name-attribute { name-attribute | cn | uid }
缺省情況下,用戶查詢的用戶名屬性為cn。
(6) (可選)配置用戶查詢的用戶名格式。
user-parameters user-name-format { with-domain | without-domain }
缺省情況下,用戶查詢的用戶名格式為without-domain。
(7) (可選)配置用戶查詢的自定義用戶對象類型。
user-parameters user-object-class object-class-name
缺省情況下,未指定自定義用戶對象類型,根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型。
當設備從LDAP服務器上獲取用戶組信息時,LDAP服務器會根據設置的用戶組過濾條件篩選出符合條件的用戶組信息發送給設備。
(1) 進入係統視圖。
system-view
(2) 進入LDAP服務器視圖。
ldap server server-name
(3) 配置用戶組的過濾條件。
group-filter group-filter
缺省情況下,用戶組的過濾條件是"(objectclass=group)"。
在用戶的LDAP授權過程中,設備會通過查詢操作得到用戶的授權信息,該授權信息由LDAP服務器通過若幹LDAP屬性下發給設備。若設備從LDAP服務器查詢得到某LDAP屬性,則該屬性隻有在被設備的AAA模塊解析之後才能實際生效。如果某LDAP服務器下發給用戶的屬性不能被AAA模塊解析,則該屬性將被忽略。因此,需要通過配置LDAP屬性映射表來指定要獲取哪些LDAP屬性,以及LDAP服務器下發的這些屬性將被AAA模塊解析為什麼類型的AAA屬性,具體映射為哪種類型的AAA屬性由實際應用需求決定。
每一個LDAP屬性映射表項定義了一個LDAP屬性與一個AAA屬性的對應關係。將一個LDAP屬性表在指定的LDAP方案視圖中引用後,該映射關係將在LDAP授權過程中生效。
(1) 進入係統視圖。
system-view
(2) 創建LDAP的屬性映射表,並進入屬性映射表視圖。
ldap attribute-map map-name
(3) 配置LDAP屬性映射表項。
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute { user-group | user-profile }
係統最多支持配置16個LDAP方案。一個LDAP方案可以同時被多個ISP域引用。
(1) 進入係統視圖。
system-view
(2) 創建LDAP方案,並進入LDAP方案視圖。
ldap scheme ldap-scheme-name
(1) 進入係統視圖。
system-view
(2) 進入LDAP方案視圖。
ldap scheme ldap-scheme-name
(3) 指定LDAP認證服務器。
authentication-server server-name
缺省情況下,未指定LDAP認證服務器。
(1) 進入係統視圖。
system-view
(2) 進入LDAP方案視圖。
ldap scheme ldap-scheme-name
(3) 指定LDAP授權服務器。
authorization-server server-name
缺省情況下,未指定LDAP授權服務器。
在使用LDAP授權方案的情況下,可以通過在LDAP方案中引用LDAP屬性映射表,將LDAP授權服務器下發給用戶的LDAP屬性映射為AAA模塊可以解析的某類屬性。
一個LDAP方案視圖中隻能引用一個LDAP屬性映射表,後配置的生效。
(1) 進入係統視圖。
system-view
(2) 進入LDAP方案視圖。
ldap scheme ldap-scheme-name
(3) 引用LDAP屬性映射表。
attribute-map map-name
缺省情況下,未引用任何LDAP屬性映射表。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後LDAP的運行情況,通過查看顯示信息驗證配置的效果。
表1-5 LDAP顯示和維護
|
操作 |
命令 |
|
查看所有或指定LDAP方案的配置信息 |
display ldap scheme [ ldap-scheme-name ] |
在多ISP的應用環境中,不同ISP域的用戶有可能接入同一台設備。而且各ISP用戶的用戶屬性(例如用戶名及密碼構成、服務類型/權限等)有可能不相同,因此有必要通過設置ISP域把它們區分開,並為每個ISP域單獨配置一套認證、授權、計費方法及ISP域的相關屬性。
對於設備來說,每個接入用戶都屬於一個ISP域。係統中最多可以配置1024個ISP域,包括一個係統缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名,係統將把它歸於缺省的ISP域。係統缺省的ISP域可以手工修改為一個指定的ISP域;如果用戶所屬的ISP域下未應用任何認證、授權、計費方法,係統將使用缺省的認證、授權、計費方法,分別為本地認證、本地授權和本地計費。
用戶認證時,設備將按照如下先後順序為其選擇認證域:接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中,接入模塊是否支持指定認證域由各接入模塊決定。如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證,否則,用戶將無法認證。
一個ISP域被配置為缺省的ISP域後,將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
係統缺省存在的system域隻能被修改,不能被刪除。
如果一個ISP域中使用RADIUS方案對用戶進行認證、授權或計費,請合理規劃域名的長度,並保證設備發送給RADIUS服務器的整體用戶名長度不超過253字符,否會導致認證、授權或計費失敗。
(1) 進入係統視圖。
system-view
(2) 創建ISP域並進入其視圖。
domain isp-name
缺省情況下,存在一個的ISP域,名稱為system。
(1) 進入係統視圖。
system-view
(2) 配置缺省的ISP域。
domain default enable isp-name
缺省情況下,係統缺省的ISP域為system。
(1) 進入係統視圖。
system-view
(2) 配置未知域名的用戶的ISP域。
domain if-unknown isp-name
缺省情況下,沒有為未知域名的用戶指定ISP域。
通過域的狀態(active、block)控製是否允許該域中的用戶請求網絡服務。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) 設置ISP域的狀態。
state { active | block }
缺省情況下,當前ISP域處於活動狀態,即允許任何屬於該域的用戶請求網絡服務。
ISP域下可配置如下授權屬性:
· ACL:用戶被授權訪問匹配指定ACL的網絡資源。
· CAR:用戶流量將受到指定的監管動作控製。
· 閑置切斷:若用戶在指定的閑置檢測時間內產生的流量小於指定的數據流量,則會被強製下線。
· 可點播的最大節目數:用戶可以同時點播的最大節目數。
· IPv4地址池:用戶可以從指定的地址池中分配得到一個IPv4地址。
· IPv6地址池:用戶可以從指定的地址池中分配得到一個IPv6地址。
· IPv6地址前綴:用戶使用該前綴作為自己的IPv6地址前綴。
· DNS服務器地址:用戶使用該DNS服務器提供的DNS服務。
· 會話超時時間:如果用戶在線時長超過該值,設備會強製該用戶下線。
· 重定向URL:用戶認證成功後,首次訪問網絡時將被推送此URL提供的Web頁麵。
· 用戶組:用戶將繼承該用戶組中的所有屬性。
· User Profile:用戶訪問行為將受到該User Profile中預設配置的限製。
用戶認證成功之後,優先采用服務器下發的屬性值(閑置切斷屬性除外),其次采用ISP域下配置的屬性值。
若ISP域下配置了閑置切斷授權屬性值,則優先采用ISP域下的配置,其次采用服務器下發的閑置切斷屬性值。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) 設置當前ISP域下的用戶授權屬性。
authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minutes [ flow ] | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-group user-group-name | user-profile profile-name }
缺省情況下,當前ISP域下的用戶閑置切斷功能處於關閉狀態,IPv4用戶可以同時點播的最大節目數為4,IPv6用戶可以同時點播的最大節目數為4,無其它授權屬性。
設備上傳到服務器的用戶在線時間中保留閑置切斷時間:當用戶異常下線時,上傳到服務器上的用戶在線時間中包含了一定的閑置切斷時間,此時服務器上記錄的用戶時長將大於用戶實際在線時長。該閑置切斷時間在用戶認證成功後由AAA授權,對於Portal認證用戶,若接入接口上開啟了Portal用戶在線探測功能,則Portal在線探測閑置時長為閑置切斷時間。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) 設置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。
session-time include-idle-time
缺省情況下,設備上傳到服務器的用戶在線時間中扣除閑置切斷時間。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) 設置當前ISP域下的用戶地址類型。
user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }
缺省情況下,未配置用戶地址類型。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) 設置當前ISP域的業務類型。
service-type { hsi | stb | voip }
缺省情況下,當前ISP域的業務類型為hsi。
配置ISP域的AAA認證方法時,需要注意的是:
· 當選擇了RADIUS協議的認證方案以及非RADIUS協議的授權方案時,AAA隻接受RADIUS服務器的認證結果,RADIUS授權的信息雖然在認證成功回應的報文中攜帶,但在認證回應的處理流程中不會被處理。
配置前的準備工作:
· 確定要配置的接入方式或者服務類型。AAA可以對不同的接入方式和服務類型配置不同的認證方案。
· 確定是否為所有的接入方式或服務類型配置缺省的認證方法,缺省的認證方法對所有接入用戶都起作用,但其優先級低於為具體接入方式或服務類型配置的認證方法。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) (可選)為當前ISP域配置缺省的認證方法。
authentication default { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,當前ISP域的缺省認證方法為local。
(4) 為指定類型的用戶或服務配置認證方法。
¡ 為IKE擴展認證配置認證方法。
authentication ike { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,IKE擴展認證采用缺省的認證方法。
¡ 為lan-access用戶配置認證方法。
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,lan-access用戶采用當前ISP域的缺省認證方法。ISP域的缺省授權方法可以通過authentication default命令配置,若未配置則采用本地認證。
¡ 為login用戶配置認證方法。
authentication login { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,login用戶采用缺省的認證方法。
¡ 為Portal用戶配置認證方法。
authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,Portal用戶采用缺省的認證方法。
配置ISP域的AAA授權方法時,需要注意的是:
· 目前設備暫不支持使用LDAP進行授權。
· 在一個ISP域中,隻有RADIUS授權方法和RADIUS認證方法引用了相同的RADIUS方案,RADIUS授權才能生效。若RADIUS授權未生效或者RADIUS授權失敗,則用戶認證會失敗。
配置前的準備工作:
· 確定要配置的接入方式或者服務類型,AAA可以按照不同的接入方式和服務類型進行AAA授權的配置。
· 確定是否為所有的接入方式或服務類型配置缺省的授權方法,缺省的授權方法對所有接入用戶都起作用,但其優先級低於為具體接入方式或服務類型配置的授權方法。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) (可選)為當前ISP域配置缺省的授權方法。
authorization default { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,當前ISP域的缺省授權方法為local。
(4) 為指定類型的用戶或服務配置授權方法。
¡ 為IKE擴展認證配置授權方法。
authorization ike { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,IKE擴展認證采用缺省的授權方法。
¡ 為lan-access用戶配置授權方法。
authorization lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,lan-access用戶采用當前ISP域的缺省授權方法。ISP域的缺省授權方法可以通過authorization default命令配置,若未配置則采用本地授權。
¡ 為login用戶配置授權方法。
authorization login { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,login用戶采用缺省的授權方法。
¡ 為Portal用戶配置授權方法。
authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,Portal用戶采用缺省的授權方法。
配置ISP域的AAA認證方法時,需要注意的是:
· 不支持對FTP類型login用戶進行計費。
· 本地計費僅用於配合本地用戶視圖下的access-limit命令來實現對本地用戶連接數的限製功能。
配置前的準備工作:
· 確定要配置的接入方式或者服務類型,AAA可以按照不同的接入方式和服務類型進行AAA計費的配置。
· 確定是否為所有的接入方式或服務類型配置缺省的計費方法,缺省的計費方法對所有接入用戶都起作用,但其優先級低於為具體接入方式或服務類型配置的計費方法。
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) (可選)為當前ISP域配置缺省的計費方法。
accounting default { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,當前ISP域的缺省計費方法為local。
(4) 為指定類型的用戶配置計費方法。
¡ 為lan-access用戶配置計費方法。
accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,lan-access用戶采用當前ISP域的缺省計費方法。ISP域的缺省授權方法可以通過accounting default命令配置,若未配置則采用本地計費。
¡ 為login用戶配置計費方法。
accounting login { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,login用戶采用缺省的計費方法。
¡ 為Portal用戶配置授權方法。
accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
缺省情況下,Portal用戶采用缺省的計費方法。
(5) (可選)配置擴展計費策略。
¡ 配置用戶計費開始失敗策略。
accounting start-fail { offline | online }
缺省情況下,如果用戶計費開始失敗,則允許用戶保持在線狀態。
¡ 配置用戶計費更新失敗策略。
accounting update-fail { [ max-times max-times ] offline | online }
缺省情況下,如果用戶計費更新失敗,允許用戶保持在線狀態。
¡ 配置用戶計費配額(流量或時長)耗盡策略。
accounting quota-out { offline | online }
缺省情況下,用戶的計費配額耗盡後將被強製下線。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後AAA的運行情況,通過查看顯示信息驗證配置的效果。
表1-6 ISP域顯示和維護
|
操作 |
命令 |
|
顯示所有或指定ISP域的配置信息 |
display domain [ isp-name ] |
通過配置同時在線的最大用戶連接數,可以限製采用指定登錄方式(FTP、SSH、Telnet等)同時接入設備的在線用戶數。
該配置對於通過任何一種認證方式(none、password或者scheme)接入設備的用戶都生效。
(1) 進入係統視圖。
system-view
(2) 配置同時在線的最大用戶連接數。
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
缺省情況下,最大用戶連接數為32。
BYOD(Bring Your Own Device)解決方案可以為企業和用戶提供基於用戶身份信息、終端信息、接入場景的認證、授權服務。用戶通過本地認證之後,接入設備通過本地的BYOD終端類型識別規則來識別用戶的終端類型,並根據識別出的終端類型為其授權相應的授權屬性。
BYOD終端類型的識別規則是用戶終端特征與用戶終端類型的一種映射關係。在用戶認證的過程中,接入設備獲取到用戶終端的相關特征(例如DHCP Option 55指紋信息)後,可根據定義的識別規則識別出用戶所使用的終端類型。
目前BYOD授權支持的用戶終端特征包括:DHCP Option 55指紋、HTTP User Agent指紋和MAC 地址指紋。
· DHCP Option55指紋:DHCP請求參數列表選項,終端利用該選項指明需要從服務器獲取哪些網絡配置參數。
· HTTP UserAgent指紋:屬於HTTP請求報文頭域的一部分,用於攜帶終端訪問Web頁麵時所使用的操作係統(包括版本號)、瀏覽器(包括版本號)等信息。
· MAC地址指紋:終端的MAC OUI信息或終端所屬的MAC地址範圍。
係統中已經預定義了一係列常用的BYOD終端類型識別規則,用戶也可以根據實際組網需求通過命令行添加規則。
設備按照BYOD終端類型識別規則的類型和優先級配置來決定識別BYOD終端時所選用的規則類型以及使用所選類型規則的優先級。設備不會使用未指定類型的規則進行終端識別。
每種終端特征隻能對應一種終端類型,但一種終端類型可以對應多個同類特征。
(1) 進入係統視圖。
system-view
(2) 配置BYOD終端類型的識別規則。
byod rule { dhcp-option option-string | http-user-agent agent-string | mac-address mac-address mask mac-mask } device-type type-name
缺省情況下,存在預定義的BYOD終端類型的識別規則。
(3) 配置BYOD終端類型識別規則的類型和優先級。
byod rule-order { dhcp-option | http-user-agent | mac-address } *
缺省情況下,設備采用三種終端類型識別規則,它們的優先級由高到低為:DHCP Option 55規則、HTTP User Agent規則、MAC地址規則。
各類型規則的優先級高低順序與本命令中各參數的配置先後順序一致。
設備支持對網絡接入類本地用戶進行基於終端類型的BYOD授權。BYOD授權是通過用戶組實現的。每一個本地用戶都屬於一個用戶組,用戶組中定義了基於終端類型的授權屬性。
基於終端類型的授權屬性在用戶組視圖下配置,且優先級高於用戶組視圖下的通用授權屬性配置,以及本地用戶視圖下的授權屬性配置,具體情況如下。
· 如果用戶組中配置了基於終端類型的授權屬性,則在用戶認證過程中,設備將優先查找用戶所屬終端類型的授權屬性配置並進行授權;
· 如果用戶組中沒有該用戶所屬的終端類型對應的授權屬性配置,則該用戶將被授予用戶組中的通用授權屬性,或用戶所屬的本地用戶視圖下的授權屬性。
(1) 進入係統視圖。
system-view
(2) 創建用戶組,並進入用戶組視圖。
user-group group-name
缺省情況下,存在一個名稱為system的用戶組。
(3) 配置基於終端類型的授權屬性。
byod authorization device-type type-name { acl acl-number | callback-number callback-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-profile profile-name | vlan vlan-id } *
缺省情況下,未配置基於終端類型的授權屬性。
完成上述配置後,在任意視圖下執行display命令可以顯示BYOD終端類型的相關配置。
表1-7 本地BYOD授權顯示和維護
|
操作 |
命令 |
|
顯示BYOD終端類型識別規則 |
display byod rule { dhcp-option [ option-string ] | http-user-agent [ agent-string ] | mac-address [ mac-address ] } |
|
顯示BYOD終端類型識別規則的類型和優先級 |
display byod rule-order |
|
顯示基於終端類型的授權屬性信息 |
display user-group name group-name byod-authorization |
用戶進行RADIUS認證時,係統會獲取設備的NAS-ID來設置RADIUS報文中的NAS-Identifier屬性,該屬性用於向RADIUS服務器標識用戶的接入位置。
設備支持多種途徑配置NAS-ID,按照獲取優先級從高到低的順序依次包括:
(1) 與用戶接入VLAN綁定的NAS-ID。
(2) ISP域視圖下的NAS-ID。
若以上配置都不存在,則使用設備的名稱(由sysname命令指定)作為設備的NAS-ID。
若在實際網絡中,用戶的接入VLAN可以標識用戶的接入位置,則可通過建立用戶接入VLAN與指定的NAS-ID之間的綁定關係來實現接入位置信息的映射。
NAS-ID Profile將被Portal或端口安全相應特性進行引用,具體應用請參見“用戶接入與認證配置指導”中的“Portal”或“端口安全”。
一個NAS-ID profile中可以指定多組NAS-ID和VLAN綁定。
一個NAS-ID可以與多個VLAN進行綁定,一個VLAN隻能綁定一個NAS-ID。
(1) 進入係統視圖。
system-view
(2) 創建NAS-ID Profile,並進入NAS-ID-Profile視圖。
aaa nas-id profile profile-name
(3) 設置NAS-ID 與VLAN的綁定關係。
nas-id nas-identifier bind vlan vlan-id
(1) 進入係統視圖。
system-view
(2) 進入ISP域視圖。
domain isp-name
(3) 配置NAS-ID。
nas-id nas-identifier
缺省情況下,ISP域視圖下未配置NAS ID。
RADIUS計費過程使用Acct-Session-Id屬性作為用戶的計費ID。設備會為每個在線用戶生成一個唯一的Acct-Session-Id值。設備ID是Acct-Session-Id屬性值中的一個組成字段。
(1) 進入係統視圖。
system-view
(2) 配置設備ID。
aaa device-id device-id
缺省情況下,設備ID為0。
為了提高係統的安全性,用戶通過Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登錄設備時,係統會根據指定的安全要求對用戶密碼進行檢查。為了及時提醒用戶修改不符合係統要求的密碼,建議開啟密碼修改周期性提醒日誌功能。
開啟本功能後,係統將每隔24小時,對所有不符合密碼檢查策略的用戶打印日誌,提醒這些用戶盡快修改當前密碼。除了周期性提醒之外,係統還會在每個用戶登錄時,針對不符合密碼檢查策略的情況立即打印日誌進行提醒。
· 對於通過Telnet、SSH、HTTP、HTTPS方式登錄設備的用戶,如果用戶密碼為弱密碼,且係統在用戶登錄時未要求其立即更改密碼,係統會打印此提醒日誌。弱密碼是指不符合如下任意一項要求的密碼:
¡ 密碼組合檢測策略。
¡ 密碼最小長度限製。
¡ 密碼中不能包含用戶名或者字符順序顛倒的用戶名。
· 對於通過NETCONF over SSH、NETCONF over SOAP方式登錄設備的用戶,如果出現以下情況,係統會打印此提醒日誌:
¡ 用戶密碼為弱密碼。
¡ 用戶密碼為缺省密碼。
¡ 全局密碼管理功能開啟後,用戶首次登錄或使用被更改過的密碼。
¡ 用戶密碼已經過期。
僅當以下情況發生時,係統才會停止打印此提醒日誌:
· 關閉了密碼修改周期性提醒日誌功能。
· 用戶密碼修改為符合係統安全要求的密碼。
· 密碼檢查策略相關功能的開啟狀態發生變化,使得密碼檢查策略變得寬鬆。
· 密碼檢查策略的參數設置發生變化。
當前係統中的密碼檢查策略可通過display password-control命令查看。弱密碼檢查使用的密碼組合檢測策略、密碼最小長度限製可分別通過password-control composition、password-control length命令修改。關於密碼檢查策略的具體介紹,請參見“安全命令參考”的“Password Control”。
(1) 進入係統視圖。
system-view
(2) 開啟密碼修改周期性提醒日誌功能。
local-server log change-password-prompt
缺省情況下,密碼修改周期性提醒日誌功能處於開啟狀態。
配置設備作為RADIUS服務器任務如下:
(1) 配置RADIUS用戶
如果希望使用本地用戶信息對用戶進行RADIUS認證或授權,則需要進行本配置。
如果希望采用LDAP服務器對用戶進行身份認證,則需要進行本配置。
(3) 指定RADIUS客戶端
如果RADIUS客戶端采用了EAP認證機製,則需要進行本配置。
(5) 重啟RADIUS服務器進程並激活RADIUS服務器配置
(6) (可選)關閉RADIUS服務器進程並去激活RADIUS服務器配置
為保證RADIUS服務器功能可以正常運行,請確保RADIUS session control功能處於關閉狀態。
如果配置使用LDAP服務器對用戶進行身份認證,則設備將不會使用本地用戶信息對用戶進行RADIUS認證,隻能使用本地用戶信息對用戶進行RADIUS授權(如果有此需要)。
設備作為RADIUS服務器時,通過學習本地用戶的方式生成RADIUS用戶。因此,RADIUS用戶是通過本地用戶進行配置和管理的,關於本地用戶的具體配置請參見“1.3 配置本地用戶”。其中,可被RADIUS用戶支持的本地用戶屬性包括用戶名、密碼、描述信息、授權ACL、授權VLAN以及有效期。
每次啟動RADIUS服務器進程時,設備會將當前所有本地用戶學習為RADIUS用戶。相應的,本地用戶被刪除後,再次重啟RADIUS服務器進程時,RADIUS用戶也將被同步刪除。
可以通過本特性指定設備作為RADIUS服務器時所采用的LDAP方案。在本地RADIUS服務器啟動後,設備會采用所引用的LDAP方案中的LDAP認證服務器以及相關參數對用戶身份進行認證。
設備作為RADIUS服務器僅能支持LDAP認證,不能支持LDAP授權。
完成LDAP方案的相關配置,具體包括以下內容;
(1) 配置LDAP服務器。
(2) 創建LDAP方案,並指定LDAP認證服務器。
關於以上LDAP配置的詳細介紹,請參見“1.5 配置LDAP”。
(1) 進入係統視圖。
system-view
(2) 指定本地RADIUS服務器應用的LDAP認證方案。
radius-server ldap-scheme ldap-scheme-name
缺省情況下,本地RADIUS服務器未引用LDAP認證方案。
本配置用來指定要管理的RADIUS客戶端的IP地址,以及與RADIUS客戶端通信的共享密鑰。
RADIUS服務器上指定的RADIUS客戶端IP地址必須和RADIUS客戶端上配置的發送RADIUS報文的源IP地址保持一致。
RADIUS服務器上指定的共享密鑰必須和RADIUS客戶端上配置的共享密鑰保持一致。
(1) 進入係統視圖。
system-view
(2) 指定RADIUS客戶端。
radius-server client ip ipv4-address key { cipher | simple } string
可以通過本特性指定設備作為RADIUS服務器時所應用的EAP認證方案。在本地RADIUS服務器啟動後,設備會采用所引用的EAP認證方案中的EAP認證方法以及相關參數與對端進行交互。
目前,本地RADIUS服務器支持的EAP認證方法包括:MD5-Challenge、PEAP-GTC、PEAP-MSCHAPV2、TLS、TTLS-GTC、TTLS-MSCHAPV2。
係統最多支持配置16個EAP認證方案。
配置本地證書、本地證書的私鑰、CA證書之前,需要通過FTP或TFTP的方式將對應的文件導入設備的存儲介質的根目錄下。在IRF組網環境中,需要保證主/從設備的存儲介質的根目錄下均已保存了對應的文件。
配置EAP認證使用的SSL服務器端策略之前,需要完成SSL服務器端策略以及SSL服務器端策略所使用的PKI域的配置。關於SSL服務器端策略的詳細配置,請參見“安全配置指導”中的“SSL”,關於PKI域的詳細配置,請參見“安全配置指導”中的“PKI”。
(1) 進入係統視圖。
system-view
(2) 創建EAP認證方案,並進入EAP認證方案視圖。
eap-profile eap-profile-name
(3) 配置EAP認證方法。
method { md5 | peap-gtc | peap-mschapv2 | tls | ttls-gtc | ttls-mschapv2 }
缺省情況下,采用的EAP認證方法為MD5-Challenge。
一個EAP認證方案視圖中隻能指定一個EAP認證方法,後配置的生效。
(4) 配置EAP認證使用的本地證書及私鑰。
a. 配置本地證書。
certificate-file file-name
缺省情況下,未配置EAP認證使用的本地證書。
當客戶端使用的EAP認證方法為PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2、TLS時,如果客戶端選擇校驗服務器的證書,則需要提供本地證書供客戶端校驗。
b. 配置本地證書的私鑰。
private-key-file file-name
缺省情況下,未配置EAP認證使用的本地證書的私鑰。
如果本地證書中攜帶了私鑰,則此處指定的私鑰文件的名稱必須和本地證書文件名稱相同。
c. 配置本地證書的私鑰密碼。
private-key-password { cipher | simple } string
缺省情況下,未配置本地證書的私鑰密碼。
設備在導入和使用本地證書的私鑰時,需要提供對應的私鑰密碼。
(5) 配置EAP認證使用的CA證書。
ca-file file-name
缺省情況下,未配置EAP認證使用的CA證書。
當客戶端使用的EAP認證方法為PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2時,設備使用CA證書來校驗客戶端的證書。
(6) 配置EAP認證使用的SSL服務器端策略。
ssl-server-policy policy-name
缺省情況下,未配置EAP認證使用的SSL服務器端策略。
當設備采用EAP終結方式對無線客戶端進行認證處理,且客戶端使用的EAP認證方法為PEAP-GTC時,設備作為SSL服務器端需要使用SSL服務器端策略與客戶端進行TLS隧道的協商。關於設備采用EAP終結方式的詳細介紹,請參見“用戶接入與認證”中的“WLAN用戶接入認證”。
(7) 退回係統視圖。
quit
(8) 指定本地RADIUS服務器應用的EAP認證方案。
radius-server eap-profile eap-profile-name
缺省情況下,本地RADIUS服務器未應用EAP認證方案。
設備啟動後會自動啟動RADIUS服務器進程,並激活已有的RADIUS客戶端、RADIUS用戶、EAP認證方案和LDAP認證方案配置。之後若對RADIUS客戶端和RADIUS用戶進行了增加、修改或刪除操作,或者修改了本地RADIUS服務器引用的EAP配置和LDAP配置,都需要使用此命令重啟RADIUS服務器進程,並對其進行激活,否則更新後的配置不生效。
RADIUS服務器進程重啟期間,設備無法作為RADIUS服務器為用戶提供認證服務。
(1) 進入係統視圖。
system-view
(2) 重啟RADIUS服務器進程並激活RADIUS服務器配置。
radius-server activate
可通過本命令關閉RADIUS服務器進程,並同時將所有RADIUS服務器配置置於未激活狀態。RADIUS服務器進程關閉期間,設備將不作為RADIUS服務器為用戶提供認證和授權服務。
(1) 進入係統視圖。
system-view
(2) 關閉RADIUS服務器進程並去激活RADIUS服務器配置。
radius-server deactivate
完成上述配置後,在任意視圖下執行display命令可以顯示處於激活狀態的RADIUS用戶和RADIUS客戶端信息,通過查看顯示信息驗證配置的效果。
表1-8 RADIUS服務器顯示和維護
|
操作 |
命令 |
|
顯示處於激活狀態的RADIUS客戶端信息 |
display radius-server active-client |
|
顯示處於激活狀態的EAP認證方案 |
display radius-server active-eap-profile |
|
顯示處於激活狀態的LDAP方案 |
display radius-server active-ldap-scheme |
|
顯示處於激活狀態的RADIUS用戶信息 |
display radius-server active-user [ user-name ] |
如圖1-9所示,配置AP實現使用RADIUS服務器對登錄AP的SSH用戶進行認證和授權。
· 由一台iMC服務器擔當認證/授權RADIUS服務器的職責,服務器IP地址為10.1.1.1/24。
· AP與RADIUS服務器交互報文時使用的共享密鑰為expert,向RADIUS服務器發送的用戶名帶域名。服務器根據用戶名攜帶的域名來區分提供給用戶的服務。
· SSH用戶登錄AP時使用RADIUS服務器上配置的用戶名hello@bbb以及密碼進行認證,認證通過後具有用戶角色network-admin。
圖1-9 SSH用戶RADIUS認證/授權配置組網圖
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.3 (E0605)、iMC UAM 7.3 (E0512),說明RADIUS服務器的基本配置。
(1) 增加接入設備
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理> 接入設備管理 > 接入設備配置”菜單項,進入接入設備配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
a. 設置認證及計費的端口號分別為“1812”和“1813”;
b. 選擇業務類型為“設備管理業務”;
c. 選擇接入設備類型為“H3C (General)”;
d. 設置與AP交互報文時使用的認證、計費共享密鑰為“expert”;
e. 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
f. 其它參數采用缺省值;
g. 並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與AP發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
圖1-10 增加接入設備
(2) 增加設備管理用戶。
選擇“用戶”頁簽,單擊導航樹中的“接入用戶管理 > 設備管理用戶”菜單項,進入設備管理用戶頁麵。在該頁麵中單擊<增加>按鈕,進入增加設備管理用戶頁麵。
a. 輸入用戶名“hello@bbb”和密碼;
b. 選擇登錄類型為“SSH”;
c. 輸入角色名為“network-admin”;
d. 添加所管理設備的IP地址,IP地址範圍為“10.1.1.0~10.1.1.255”;
e. 單擊<確定>按鈕完成操作。
添加的所管理設備的IP地址範圍要包含添加的接入設備的IP地址。
圖1-11 增加設備管理用戶
# 配置VLAN接口2的IP地址,SSH客戶端將通過該地址連接AP。
<AP> system-view
[AP] interface vlan-interface 2
[AP-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[AP-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,AP將通過該地址與iMC服務器通信。
[AP] interface vlan-interface 3
[AP-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[AP-Vlan-interface3] quit
# 生成RSA及DSA密鑰對。
[AP] public-key local create rsa
[AP] public-key local create dsa
# 使能SSH服務器功能。
[AP] ssh server enable
# 設置SSH用戶登錄用戶線的認證方式為AAA認證。
[AP] line vty 0 63
[AP-line-vty0-63] authentication-mode scheme
[AP-line-vty0-63] quit
# 創建RADIUS方案rad。
[AP] radius scheme rad
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為1812。
[AP-radius-rad] primary authentication 10.1.1.1 1812
# 配置與認證服務器交互報文時的共享密鑰為明文expert。
[AP-radius-rad] key authentication simple expert
# 配置向RADIUS服務器發送的用戶名要攜帶域名。
[AP-radius-rad] user-name-format with-domain
[AP-radius-rad] quit
# 創建ISP域bbb,為login用戶配置AAA認證方法為RADIUS認證/授權、不計費。
[AP] domain bbb
[AP-isp-bbb] authentication login radius-scheme rad
[AP-isp-bbb] authorization login radius-scheme rad
[AP-isp-bbb] accounting login none
[AP-isp-bbb] quit
# 配置缺省的ISP域為bbb。
[AP] domain default enable bbb
用戶向AP發起SSH連接,按照提示輸入用戶名hello@bbb及正確的密碼後,可成功登錄AP,並具有用戶角色network-admin所擁有的命令行執行權限。
如圖1-12所示,配置AP實現使用LDAP服務器對登錄AP的SSH用戶進行認證,且認證通過後具有缺省的用戶角色level-0。
· 一台LDAP認證服務器IP地址為10.1.1.1。服務器域名為ldap.com。
· 在LDAP服務器上設置管理員administrator的密碼為admin!123456;並添加用戶名為aaa的用戶,密碼為ldap!123456。
圖1-12 SSH用戶LDAP認證配置組網圖
本文以Microsoft Windows 2003 Server的Active Directory為例,說明該例中LDAP服務器的基本配置。
(1) 添加用戶aaa
a. 在LDAP服務器上,選擇[開始/管理工具]中的[Active Directory用戶和計算機],打開Active Directory用戶管理界麵;
b. 在Active Directory用戶管理界麵的左側導航樹中,點擊ldap.com節點下的“Users”按鈕;
c. 選擇[操作/新建/用戶],打開[新建對象-用戶]對話框;
d. 在對話框中輸入用戶登錄名aaa,並單擊<下一步>按鈕。
圖1-13 新建用戶aaa
e. 在彈出的對話框的“密碼”區域框內輸入用戶密碼ldap!123456,並單擊<下一步>按鈕。用戶賬戶的其它屬性(密碼的更改方式、密碼的生存方式、是否禁用賬戶)請根據實際情況選擇配置,圖中僅為示例。
圖1-14 設置用戶密碼
f. 單擊<完成>按鈕,創建新用戶aaa。
(2) 將用戶aaa加入Users組
a. 在Active Directory用戶管理界麵的左側導航樹中,點擊ldap.com節點下的“Users”按鈕;
b. 在右側的Users信息框中右鍵單擊用戶aaa,選擇“屬性”項;
c. 在彈出的[aaa屬性]對話框中選擇“隸屬於”頁簽,並單擊<添加(D)...>按鈕。
圖1-15 修改用戶屬性
d. 在彈出的[選擇組]對話框中的可編輯區域框中輸入對象名稱“Users”,單擊<確定>,完成用戶aaa添加到Users組。
圖1-16 添加用戶aaa到用戶組Users
(3) 配置管理員密碼。
a. 在右側的Users信息框中右鍵單擊管理員用戶administrator,選擇“設置密碼(S)...”項;
b. 在彈出的密碼添加對話框中設置管理員密碼,詳細過程略。
# 配置VLAN接口2的IP地址,SSH用戶將通過該地址連接AP。
<AP> system-view
[AP] interface vlan-interface 2
[AP-Vlan-interface2] ip address 192.168.1.70 24
[AP-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,AP將通過該地址與LDAP服務器通信。
[AP] interface vlan-interface 3
[AP-Vlan-interface3] ip address 10.1.1.2 24
[AP-Vlan-interface3] quit
# 生成本地RSA及DSA密鑰對。
[AP] public-key local create rsa
[AP] public-key local create dsa
# 使能SSH服務器功能。
[AP] ssh server enable
# 設置SSH用戶登錄用戶線的認證方式為AAA認證。
[AP] line vty 0 63
[AP-line-vty0-63] authentication-mode scheme
[AP-line-vty0-63] quit
# 創建LDAP服務器。
[AP] ldap server ldap1
# 配置LDAP認證服務器的IP地址。
[AP-ldap-server-ldap1] ip 10.1.1.1
# 配置具有管理員權限的用戶DN。
[AP-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理員權限的用戶密碼。
[AP-ldap-server-ldap1] login-password simple admin!123456
# 配置查詢用戶的起始目錄。
[AP-ldap-server-ldap1] search-base-dn dc=ldap,dc=com
[AP-ldap-server-ldap1] quit
# 創建LDAP方案。
[AP] ldap scheme ldap-shm1
# 配置LDAP認證服務器。
[AP-ldap-ldap-shm1] authentication-server ldap1
[AP-ldap-ldap-shm1] quit
# 創建ISP域bbb,為login用戶配置AAA認證方法為LDAP認證、不授權、不計費。
[AP] domain bbb
[AP-isp-bbb] authentication login ldap-scheme ldap-shm1
[AP-isp-bbb] authorization login none
[AP-isp-bbb] accounting login none
[AP-isp-bbb] quit
# 配置缺省的ISP域為bbb。
[AP] domain default enable bbb
用戶向AP發起SSH連接,按照提示輸入用戶名aaa@bbb及正確的密碼ldap!123456後,可成功登錄AP,並具有用戶角色level-0所擁有的命令行執行權限。
在圖1-17所示的組網環境中,需要實現使用RADIUS服務器對通過AP接入的802.1X用戶進行認證、授權和計費。
· AP與RADIUS服務器交互報文時使用的共享密鑰為expert,認證/授權、計費的端口號分別為1812和1813,向RADIUS服務器發送的用戶名攜帶域名;
· 用戶認證時使用的用戶名為dot1x@bbb。
· 用戶認證成功後,認證服務器授權下發VLAN 4,將用戶所在端口加入該VLAN,允許用戶訪問該VLAN中的網絡資源。
· 對802.1X用戶進行包月方式計費,費用為120元/月,以月為周期對用戶上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖1-17 802.1X用戶RADIUS認證、授權和計費配置組網圖
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)、iMC CAMS 7.1(E0301)),說明RADIUS服務器和Portal服務器的基本配置。
(1) 增加接入設備
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的“接入策略管理 > 接入設備管理 > 接入設備配置”菜單項,進入接入設備配置頁麵。在該頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
a. 設置認證及計費的端口號分別為“1812”和“1813”;
b. 選擇業務類型為“LAN接入業務”;
c. 選擇接入設備類型為“H3C (General)”;
d. 設置與AP交互報文時的認證、計費共享密鑰為“expert”;
e. 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
f. 其它參數采用缺省值;
g. 並單擊<確定>按鈕完成操作。
添加的接入設備IP地址要與AP發送RADIUS報文的源地址保持一致。缺省情況下,設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。
· 若設備使用缺省的發送RADIUS報文的源地址,例如,本例中為接口Vlan-interface3的IP地址10.1.1.2,則此處接入設備IP地址就選擇10.1.1.2。
· 若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址,則此處的接入設備IP地址就需要修改並與指定源地址保持一致。
圖1-18 增加接入設備
(2) 增加計費策略。
選擇“用戶”頁簽,單擊導航樹中的“計費業務管理 > 計費策略管理”菜單項,進入計費策略管理頁麵。在該頁麵中單擊<增加>按鈕,進入計費策略配置頁麵。
a. 輸入計費策略名稱“UserAcct”;
b. 選擇計費策略模板為“包月類型計費”;
c. 設置包月基本信息:計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;
d. 設置包月使用量限製:允許每月最大上網使用量為120個小時;
e. 單擊<確定>按鈕完成操作。
圖1-19 增加計費策略
(3) 增加接入策略
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理 > 接入策略管理”菜單項,進入接入策略管理頁麵。在該頁麵中單擊<增加>按鈕,進入增加接入策略頁麵。
a. 輸入接入策略名稱“Dot1x auth”;
b. 配置授權下發的VLAN ID為“4”;
c. 本配置頁麵中還有其它策略配置選項,請根據實際情況選擇配置;
d. 單擊<確定>按鈕完成操作。
圖1-20 增加接入策略
(4) 增加接入服務
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理 > 接入服務管理”菜單項,進入接入服務管理頁麵。在該頁麵中單擊<增加>按鈕,進入增加接入服務配置頁麵。
a. 輸入服務名為“Dot1x Service”、服務後綴為“bbb”,此服務後綴為802.1X用戶使用的認證域。指定服務後綴的情況下,RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;
b. 選擇缺省接入策略為“Dot1x auth”;
c. 選擇計費策略為“UserAcct”;
d. 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
e. 單擊<確定>按鈕完成操作。
圖1-21 增加服務配置
(5) 增加接入用戶
選擇“用戶”頁簽,單擊導航樹中的“接入用戶管理 > 接入用戶”菜單項,進入接入用戶頁麵。在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
a. 選擇或者手工增加用戶姓名為“test”;
b. 輸入賬號名“dot1x”和密碼;
c. 選擇該用戶所關聯的接入服務為“Dot1x Service”;
d. 本配置頁麵中還有其它服務配置選項,請根據實際情況選擇配置;
e. 單擊<確定>按鈕完成操作。
圖1-22 增加接入用戶
(1) 配置RADIUS方案
# 創建名稱為rad的RADIUS方案並進入該方案視圖。
<AP> system-view
[AP] radius scheme rad
# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[AP-radius-rad] primary authentication 10.1.1.1
[AP-radius-rad] primary accounting 10.1.1.1
[AP-radius-rad] key authentication simple expert
[AP-radius-rad] key accounting simple expert
# 配置發送給RADIUS服務器的用戶名攜帶ISP域名。
[AP-radius-rad] user-name-format with-domain
[AP-radius-rad] quit
(2) 配置認證域
# 創建並進入名稱為bbb的ISP域。
[AP] domain bbb
# 為lan-access用戶配置AAA認證方法為RADIUS認證/授權/計費,且均使用RADIUS方案rad。
[AP-isp-bbb] authentication lan-access radius-scheme rad
[AP-isp-bbb] authorization lan-access radius-scheme rad
[AP-isp-bbb] accounting lan-access radius-scheme rad
[AP-isp-bbb] quit
(3) 配置802.1X認證
# 配置無線dot1x用戶的認證方式。
[AP] dot1x authentication-method eap
# 創建服務模板1。
[AP] wlan service-template 1
# 配置無線服務的SSID為sectest。
[AP-wlan-st-1] ssid sectest
[AP-wlan-st-1] vlan 2
# 配置AKM為802.1X。
[AP-wlan-st-1] akm mode dot1x
# 配置用戶接入方式為802.1X認證。
[AP-wlan-st-1] client-security authentication-mode dot1x
# 配置加密套件為TKIP,配置安全信息元素為wpa。
[AP-wlan-st-1] cipher-suite tkip
[AP-wlan-st-1] security-ie wpa
# 配置強製認證域為bbb。
[AP-wlan-st-1] dot1x domain bbb
# 配置使能無線服務模板。
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1] quit
(4) 進入WLAN-Radio 1/0/1接口,並將無線服務模板綁定到WLAN-Radio 1/0/1接口。
[AP] interface wlan-radio 1/0/1
[AP-WLAN-Radio1/0/1] service-template 1
[AP-WLAN-Radio1/0/1] quit
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“MD5-質詢”。
· 若使用iNode 802.1X客戶端,則無需啟用任何高級認證選項。
對於使用iNode 802.1X客戶端的用戶,在客戶端的用戶屬性中輸入正確的用戶名“dot1x@bbb”和密碼後,通過主動發起連接可成功通過認證;對於使用Windows XP 802.1X客戶端的用戶,在係統自動彈出的認證對話框中輸入正確的用戶名“dot1x@bbb”和密碼後,可成功通過認證。認證通過後,服務器向該用戶所在端口授權下發了VLAN 4。可使用命令display dot1x connetion查看到上線用戶的連接情況。
在AP上配置來賓管理功能,並為來賓Jack創建本地來賓用戶user1。具體要求如下:
· 開啟來賓用戶過期刪除功能。
· 配置設備為來賓用戶業務發送Email使用的SMTP服務器地址、發件人地址、來賓管理員的Email地址。
· 配置設備發送給來賓用戶、來賓接待人、來賓管理員的郵件標題和內容。
· 為來賓Jack創建一個本地來賓用戶user1,並設置密碼、所屬用戶組、個人相關信息、有效期、以及接待人信息。
· 創建本地來賓用戶之後,向來賓接待人和來賓用戶分別發送通知郵件。
圖1-23 本地來賓用戶管理配置組網圖
(1) 配置來賓管理功能
# 開啟來賓用戶過期刪除功能。
<AP> system-view
[AP] local-guest auto-delete enable
# 配置發送Email使用的SMTP服務器地址為smtp://192.168.0.112/smtp。
[AP] local-guest email smtp-server smtp://192.168.0.112/smtp
# 配置Email發件人地址為bbb@ccc.com。
[AP] local-guest email sender bbb@ccc.com
# 配置來賓管理員的Email地址為guest-manager@ccc.com。
[AP] local-guest manager-email guest-manager@ccc.com
# 配置發送給來賓用戶的郵件標題為Guest account information,郵件內容為A guest account has been created for your use. The username, password, and valid dates for the account are given below.。
[AP] local-guest email format to guest subject Guest account information
[AP] local-guest email format to guest body A guest account has been created for your use. The username, password, and valid dates for the account are given below.
# 配置發送給來賓接待人的郵件標題為Guest account information,郵件內容為A guest account has been created. The username, password, and valid dates for the account are given below.。
[AP] local-guest email format to sponsor subject Guest account information
[AP] local-guest email format to sponsor body A guest account has been created. The username, password, and valid dates for the account are given below.
# 配置發送給來賓管理員的郵件標題為Guest register information,郵件內容為A guest account has been registered. The username for the account is given below. Please approve the register information.。
[AP] local-guest email format to manager subject Guest register information
[AP] local-guest email format to manager body A guest account has been registered. The username for the account is given below. Please approve the register information.
(2) 配置本地來賓用戶
# 創建用戶組guest1。
[AP] user-group guest1
[AP-ugroup-guest1] quit
# 創建本地來賓用戶user1。
[AP] local-user user1 class network guest
# 配置本地來賓用戶密碼為明文123456。
[AP-luser-network(guest)-user1] password simple 123456
# 指定本地來賓用戶所屬的用戶組為guest1。
[AP-luser-network(guest)-user1] group guest1
# 配置本地來賓用戶的姓名為Jack。
[AP-luser-network(guest)-user1] full-name Jack
# 配置本地來賓用戶的公司為cc。
[AP-luser-network(guest)-user1] company cc
# 配置本地來賓用戶的Email地址為Jack@cc.com。
[AP-luser-network(guest)-user1] email Jack@cc.com
# 配置本地來賓用戶的電話為131129237。
[AP-luser-network(guest)-user1] phone 131129237
# 配置本地來賓用戶的描述信息為A guest from company cc。
[AP-luser-network(guest)-user1] description A guest from company cc
# 配置本地來賓用戶的有效期為2015/4/1 8:00 ~ 2015/4/3 18:00。
[AP-luser-network(guest)-user1] validity-datetime 2015/4/1 08:00:00 to 2015/4/3 18:00:00
# 配置本地來賓用戶的接待人姓名為Sam。
[AP-luser-network(guest)-user1] sponsor-full-name Sam
# 配置本地來賓用戶的接待人Email地址為Sam@aa.com。
[AP-luser-network(guest)-user1] sponsor-email Sam@aa.com
# 配置本地來賓用戶的接待人部門為security。
[AP-luser-network(guest)-user1] sponsor-department security
[AP-luser-network(guest)-user1] quit
[AP] quit
(3) 給來賓接待人和來賓用戶分別發送通知郵件
# 給來賓接待人發送通知郵件。
<AP> local-guest send-email user-name user1 to sponsor
# 給來賓發送通知郵件。
<AP> local-guest send-email user-name user1 to guest
以上配置完成後,通過執行如下顯示命令可查看本地來賓用戶user1的配置信息。
<AP> display local-user user-name user1 class network guest
Total 1 local users matched.
Network access guest user user1:
State: Active
Service type: LAN access/Portal
User group: guest1
Full name: Jack
Company: cc
Email: Jack@cc.com
Phone: 131129237
Description: A guest from company cc
Sponsor full name: Sam
Sponsor department: security
Sponsor email: Sam@aa.com
Period of validity:
Start date and time: 2015/04/01-08:00:00
Expiration date and time:2015/04/03-18:00:00
Jack使用用戶名user1和密碼123456在2015/4/1 8:00 ~ 2015/4/3 18:00內進行本地認證,可以認證通過。
用戶認證/授權總是失敗。
(1) 設備與RADIUS服務器之間存在通信故障。
(2) 用戶名不是“userid@isp-name”的形式,或設備上沒有正確配置用於認證該用戶的ISP域。
(3) RADIUS服務器的數據庫中沒有配置該用戶。
(4) 用戶側輸入的密碼不正確。
(5) RADIUS服務器和設備的報文共享密鑰不同。
(1) 使用ping命令檢查設備與RADIUS服務器是否可達。
(2) 使用正確形式的用戶名或在設備上確保正確配置了用於該用戶認證的ISP域。
(3) 檢查RADIUS服務器的數據庫以保證該用戶的配置信息確實存在。
(4) 確保接入用戶輸入正確的密碼。
(5) 檢查兩端的共享密鑰,並確保兩端一致。
RADIUS報文無法傳送到RADIUS服務器。
(1) 設備與RADIUS服務器之間的通信存在故障。
(2) 設備上沒有設置相應的RADIUS服務器IP地址。
(3) 認證/授權和計費服務的UDP端口設置不正確。
(4) RADIUS服務器的認證/授權和計費端口被其它應用程序占用。
(1) 確保線路通暢。
(2) 確保正確設置RADIUS服務器的IP地址。
(3) 確保與RADIUS服務器提供服務的端口號一致。
(4) 確保RADIUS服務器上的認證/授權和計費端口可用。
用戶認證通過並獲得授權,但是計費功能出現異常。
(1) 計費端口號設置不正確。
(2) 計費服務器和認證服務器不是同一台機器,設備卻要求認證和計費功能屬於同一個服務器(IP地址相同)。
(1) 正確設置RADIUS計費端口號。
(2) 確保設備的認證服務器和計費服務器的設置與實際情況相同。
用戶認證失敗。
(1) 設備與LDAP服務器之間存在通信故障。
(2) 配置的認證/授權服務器IP地址或端口號不正確。
(3) 用戶名不是“userid@isp-name”的形式,或設備上沒有正確配置用於認證該用戶的ISP域。
(4) LDAP服務器目錄中沒有配置該用戶。
(5) 用戶輸入的密碼不正確。
(6) 具有管理員權限的用戶DN或密碼沒有配置。
(7) 設備上配置的用戶參數(如用戶名屬性)與服務器上的配置不對應。
(8) 認證操作時,沒有配置LDAP方案用戶查詢的起始DN。
(1) 使用ping命令檢查設備與LDAP服務器是否可達。
(2) 確保配置的認證服務器IP地址與端口號與LDAP服務器實際使用的IP地址和端口號相符。
(3) 使用正確形式的用戶名或在設備上確保正確配置了用於該用戶認證的ISP域。
(4) 檢查LDAP服務器目錄以保證該用戶的配置信息確實存在。
(5) 確保輸入用戶密碼正確。
(6) 確保配置了正確的管理員用戶DN和密碼。
(7) 確保設備上的用戶參數(如用戶名屬性)配置與LDAP服務器上的配置相同。
(8) 認證操作時,確保配置了用戶查詢的起始DN。
標準的RADIUS屬性由RFC 2865、RFC 2866、RFC 2867和RFC 2868所定義。常見的RADIUS標準屬性如表1-9所示。
表1-9 常見RADIUS標準屬性列表
|
屬性編號 |
屬性名稱 |
屬性編號 |
屬性名稱 |
|
1 |
User-Name |
45 |
Acct-Authentic |
|
2 |
User-Password |
46 |
Acct-Session-Time |
|
3 |
CHAP-Password |
47 |
Acct-Input-Packets |
|
4 |
NAS-IP-Address |
48 |
Acct-Output-Packets |
|
5 |
NAS-Port |
49 |
Acct-Terminate-Cause |
|
6 |
Service-Type |
50 |
Acct-Multi-Session-Id |
|
7 |
Framed-Protocol |
51 |
Acct-Link-Count |
|
8 |
Framed-IP-Address |
52 |
Acct-Input-Gigawords |
|
9 |
Framed-IP-Netmask |
53 |
Acct-Output-Gigawords |
|
10 |
Framed-Routing |
54 |
(unassigned) |
|
11 |
Filter-ID |
55 |
Event-Timestamp |
|
12 |
Framed-MTU |
56-59 |
(unassigned) |
|
13 |
Framed-Compression |
60 |
CHAP-Challenge |
|
14 |
Login-IP-Host |
61 |
NAS-Port-Type |
|
15 |
Login-Service |
62 |
Port-Limit |
|
16 |
Login-TCP-Port |
63 |
Login-LAT-Port |
|
17 |
(unassigned) |
64 |
Tunnel-Type |
|
18 |
Reply-Message |
65 |
Tunnel-Medium-Type |
|
19 |
Callback-Number |
66 |
Tunnel-Client-Endpoint |
|
20 |
Callback-ID |
67 |
Tunnel-Server-Endpoint |
|
21 |
(unassigned) |
68 |
Acct-Tunnel-Connection |
|
22 |
Framed-Route |
69 |
Tunnel-Password |
|
23 |
Framed-IPX-Network |
70 |
ARAP-Password |
|
24 |
State |
71 |
ARAP-Features |
|
25 |
Class |
72 |
ARAP-Zone-Access |
|
26 |
Vendor-Specific |
73 |
ARAP-Security |
|
27 |
Session-Timeout |
74 |
ARAP-Security-Data |
|
28 |
Idle-Timeout |
75 |
Password-Retry |
|
29 |
Termination-Action |
76 |
Prompt |
|
30 |
Called-Station-Id |
77 |
Connect-Info |
|
31 |
Calling-Station-Id |
78 |
Configuration-Token |
|
32 |
NAS-Identifier |
79 |
EAP-Message |
|
33 |
Proxy-State |
80 |
Message-Authenticator |
|
34 |
Login-LAT-Service |
81 |
Tunnel-Private-Group-id |
|
35 |
Login-LAT-Node |
82 |
Tunnel-Assignment-id |
|
36 |
Login-LAT-Group |
83 |
Tunnel-Preference |
|
37 |
Framed-AppleTalk-Link |
84 |
ARAP-Challenge-Response |
|
38 |
Framed-AppleTalk-Network |
85 |
Acct-Interim-Interval |
|
39 |
Framed-AppleTalk-Zone |
86 |
Acct-Tunnel-Packets-Lost |
|
40 |
Acct-Status-Type |
87 |
NAS-Port-Id |
|
41 |
Acct-Delay-Time |
88 |
Framed-Pool |
|
42 |
Acct-Input-Octets |
89 |
(unassigned) |
|
43 |
Acct-Output-Octets |
90 |
Tunnel-Client-Auth-id |
|
44 |
Acct-Session-Id |
91 |
Tunnel-Server-Auth-id |
表1-10 常見RADIUS標準屬性描述
|
屬性編號 |
屬性名稱 |
描述 |
|
1 |
User-Name |
需要進行認證的用戶名稱 |
|
2 |
User-Password |
需要進行PAP方式認證的用戶密碼,在采用PAP認證方式時,該屬性僅出現在Access-Request報文中 |
|
3 |
CHAP-Password |
需要進行CHAP方式認證的用戶密碼的消息摘要。在采用CHAP認證方式時,該屬性出現在Access-Request報文中 |
|
4 |
NAS-IP-Address |
Server通過不同的IP地址來標識不同的Client,通常Client采用本地一個接口的IP地址來唯一的標識自己,這就是NAS-IP-Address。該屬性指示當前發起請求的Client的NAS-IP-Address。該字段僅出現在Access-Request報文中 |
|
5 |
NAS-Port |
用戶接入NAS的物理端口號 |
|
6 |
Service-Type |
用戶申請認證的業務類型 |
|
7 |
Framed-Protocol |
用戶Frame類型業務的封裝協議 |
|
8 |
Framed-IP-Address |
為用戶所配置的IP地址 |
|
11 |
Filter-ID |
訪問控製列表的名稱。屬性取值的解析原則如下: · 若為純數字,則表示ACL編號 · 若不全為數字,但包含等號,則等號後的內容為用戶組名稱,樣式為user-group=name1;name2;..;namex。該屬性僅對SSL VPN用戶生效 · 若不全為數字,且不包含等號,則表示User Profile名稱 |
|
12 |
Framed-MTU |
用戶與NAS之間數據鏈路的MTU(Maximum Transmission Unit,最大傳輸單元)值。例如在802.1X的EAP方式認證中,NAS通過Framed-MTU值指示Server發送EAP報文的最大長度,防止EAP報文大於數據鏈路MTU導致的報文丟失 |
|
14 |
Login-IP-Host |
用戶登錄設備的接口IP地址 |
|
15 |
Login-Service |
用戶登錄設備時采用的業務類型 |
|
18 |
Reply-Message |
服務器反饋給用戶的純文本描述,可用於向用戶顯示認證失敗的原因 |
|
26 |
Vendor-Specific |
廠商自定義的私有屬性。一個報文中可以有一個或者多個私有屬性,每個私有屬性中可以有一個或者多個子屬性 |
|
27 |
Session-Timeout |
會話結束之前,給用戶提供服務的最大時間,即用戶的最大可用時長 |
|
28 |
Idle-Timeout |
會話結束之前,允許用戶持續空閑的最大時間,即用戶的閑置切斷時間 |
|
31 |
Calling-Station-Id |
NAS用於向Server告知標識用戶的號碼,在我司設備提供的lan-access業務中,該字段填充的是用戶的MAC地址 |
|
32 |
NAS-Identifier |
NAS用來向Server標識自己的名稱 |
|
40 |
Acct-Status-Type |
計費請求報文的類型 · 1:Start · 2:Stop · 3:Interim-Update · 4:Reset-Charge · 7:Accounting-On(3GPP中有定義) · 8:Accounting-Off (3GPP中有定義) · 9-14:Reserved for Tunnel Accounting · 15:Reserved for Failed |
|
45 |
Acct-Authentic |
用戶采用的認證方式,包括RADIUS,Local以及Remote |
|
60 |
CHAP-Challenge |
在CHAP認證中,由NAS生成的用於MD5計算的隨機序列 |
|
61 |
NAS-Port-Type |
NAS認證用戶的端口的物理類型 · 15:以太網 · 16:所有種類的ADSL · 17:Cable(有線電視電纜) · 19:WLAN-IEEE 802.11 · 201:VLAN · 202:ATM 如果在以太網端口上還劃分VLAN,則該屬性值為201 |
|
64 |
Tunnel-Type |
使用的隧道協議,該屬性值為13時表示下發VLAN |
|
65 |
Tunnel-Medium-Type |
創建隧道的傳輸層媒介類型,該屬性值為6時表示802類型,可用於下發VLAN |
|
79 |
EAP-Message |
用於封裝EAP報文,實現RADIUS協議對EAP認證方式的支持 |
|
80 |
Message-Authenticator |
用於對認證報文進行認證和校驗,防止非法報文欺騙。該屬性在RADIUS協議支持EAP認證方式被使用 |
|
81 |
Tunnel-Private-Group-ID |
隧道會話的組ID,該屬性在下發VLAN時用於攜帶下發的VLAN ID |
|
87 |
NAS-Port-Id |
用字符串來描述的認證端口信息 |
表1-11列出的RADIUS擴展屬性為所有產品可支持屬性的合集,具體產品支持情況有所不同。
表1-11 RADIUS擴展屬性(Vendor-ID=25506)
|
子屬性編號 |
子屬性名稱 |
描述 |
|
1 |
Input-Peak-Rate |
用戶接入到NAS的峰值速率,以bps為單位 |
|
2 |
Input-Average-Rate |
用戶接入到NAS的平均速率,以bps為單位 |
|
3 |
Input-Basic-Rate |
用戶接入到NAS的基本速率,以bps為單位 |
|
4 |
Output-Peak-Rate |
從NAS到用戶的峰值速率,以bps為單位 |
|
5 |
Output-Average-Rate |
從NAS到用戶的平均速率,以bps為單位 |
|
6 |
Output-Basic-Rate |
從NAS到用戶的基本速率,以bps為單位 |
|
15 |
Remanent_Volume |
表示該連接的剩餘可用總流量。對於不同的服務器類型,此屬性的單位不同 |
|
17 |
ISP-ID |
表示用於獲取授權信息的ISP域 |
|
20 |
Command |
用於會話控製,表示對會話進行操作,此屬性有五種取值 · 1:Trigger-Request · 2:Terminate-Request · 3:SetPolicy · 4:Result · 5:PortalClear |
|
21 |
ACL-Version |
ACL的版本號,和Filter-ID搭配使用,用於標識通過Filter-ID下發的ACL的類型 · 1:為IPv4版本 · 2:為IPv6版本 |
|
24 |
Control_Identifier |
服務器重發報文的標識符,對於同一會話中的重發報文,本屬性必須相同。不同的會話的報文攜帶的該屬性值可能相同。相應的客戶端響應報文必須攜帶該屬性,其值不變 在開始、停止或中間上報流量的Accounting-Request報文中,若帶有Control_Identifier屬性,此時的Control_Identifier屬性無實際意義 |
|
25 |
Result_Code |
表示Trigger-Request或SetPolicy的結果,0表示成功,非0表示失敗 |
|
26 |
Connect_ID |
用戶連接索引 |
|
27 |
PortalURL |
下發給PPPoE的PADM URL |
|
28 |
Ftp_Directory |
FTP/SFTP/SCP用戶工作目錄 對於FTP/SFTP/SCP用戶,當RADIUS客戶端作為FTP/SFTP/SCP服務器時,該屬性用於設置RADIUS客戶端上的FTP/SFTP/SCP目錄 |
|
29 |
Exec_Privilege |
EXEC用戶優先級 |
|
32 |
NAT-IP-Address |
進行源IP地址和端口轉換處理時為該用戶分配的公網IP地址 |
|
33 |
NAT-Start-Port |
進行源IP地址和端口轉換處理時為該用戶分配的端口範圍的起始端口號 |
|
34 |
NAT-End-Port |
進行源IP地址和端口轉換處理時為該用戶分配的端口範圍的結束端口號 |
|
59 |
NAS_Startup_Timestamp |
NAS係統啟動時刻,以秒為單位,表示從1970年1月1日UTC 00:00:00以來的秒數 |
|
60 |
Ip_Host_Addr |
認證請求和計費請求報文中攜帶的用戶IP地址和MAC地址,格式為“A.B.C.D hh:hh:hh:hh:hh:hh”,IP地址和MAC地址之間以空格分開 |
|
61 |
User_Notify |
服務器需要透傳到客戶端的信息 |
|
62 |
User_HeartBeat |
802.1X用戶認證成功後下發的32字節的Hash字符串,該屬性值被保存在設備的用戶列表中,用於校驗802.1X客戶端的握手報文 該屬性僅出現在Access-Accept和Accounting-Request報文中 |
|
98 |
Multicast_Receive_Group |
用戶作為組播接收者加入的組播組地址。 該屬性可以在報文中多次出現,表示用戶屬於多個組播組 |
|
100 |
IP6_Multicast_Receive_Group |
用戶作為組播接收者加入的IPv6組播組地址。 該屬性可以在報文中多次出現,表示用戶屬於多個組播組 |
|
101 |
MLD-Access-Limit |
用戶可以加入的IPv6組播組的最大數量 |
|
102 |
local-name |
L2TP的本地名字 |
|
103 |
IGMP-Access-Limit |
用戶可以加入的IPv4組播組的最大數量 |
|
104 |
VPN-Instance |
用戶可以加入的MPLS L3VPN實例的名稱 |
|
105 |
ANCP-Profile |
ANCP策略名稱 |
|
111 |
Longitude-Latitude |
NAS的經度和緯度信息 |
|
135 |
Client-Primary-DNS |
首選DNS服務器地址 |
|
136 |
Client-Secondary-DNS |
備用DNS服務器地址 |
|
140 |
User_Group |
SSL VPN用戶認證成功後下發的用戶組,一個用戶可以屬於多個用戶組,多個用戶組之間使用分號隔開。本屬性用於與SSL VPN設備配合 |
|
141 |
Security_Level |
SSL VPN用戶安全認證之後下發的安全級別 |
|
144 |
Acct_IPv6_Input_Octets |
表示入方向的IPv6報文字節數,單位由設備上的配置決定 |
|
145 |
Acct_IPv6_Output_Octets |
表示出方向的IPv6報文字節數,單位由設備上的配置決定 |
|
146 |
Acct_IPv6_Input_Packets |
表示入方向的IPv6包數,單位由設備上的配置決定 |
|
147 |
Acct_IPv6_Output_Packets |
表示出方向的IPv6包數,單位由設備上的配置決定 |
|
148 |
Acct_IPv6_Input_Gigawords |
表示入方向的IPv6報文字節數是4G字節的多少倍 |
|
149 |
Acct_IPv6_Output_Gigawords |
表示出方向的IPv6報文字節數是4G字節的多少倍 |
|
155 |
User-Roles |
用戶角色列表。多個用戶角色名稱之間使用空格分隔 |
|
182 |
Microsegment-Id |
用戶所屬的微分段ID |
|
210 |
Av-Pair |
自定義的屬性對,可支持以下類型: · 下發的Voice VLAN,格式為device-traffic-class=voice · 下發的用戶角色,格式為shell:role=xxx · 下發的重啟端口命令,格式為subscriber:command=bounce-host-port · 下發的端口關閉的時長,格式為bounce:seconds=xxx · 下發的端口關閉命令,格式為subscriber:command=disable-host-port |
|
215 |
Accounting-Level |
ITA流量計費級別,取值範圍為1~8 |
|
216 |
Ita-Policy |
ITA(Intelligent Target Accounting)策略名稱 |
|
218 |
H3c-DHCP-Option |
客戶端的DHCP Option信息,由Option Type、Option Length、Option Value三部分組成: · Option Type:Option屬性類型,缺省為1字節,可通過include-attribute h3c-dhcp-option format format2命令修改為2字節以適應HUAWEI服務器 · Option Length:Option屬性值長度 · Option Value:Option屬性值 |
|
246 |
Auth_Detail_Result |
在下麵的情況下,服務器發送Access-Accept報文,並攜帶此屬性表明用戶認證的詳細結果信息: · 1:用戶處於欠費狀態。該情況下,服務器同時會下發250號屬性,允許用戶訪問白名單中的網絡資源。若用戶訪問其它網絡資源,將被重定向到250號屬性指定的重定向URL · 2:用戶寬帶使用到期。該情況下,服務器同時會下發250號屬性。用戶的首次Web訪問請求將被重定向到250號屬性指定的重定向URL |
|
247 |
Input-Committed-Burst-Size |
用戶到NAS方向流量的CBS(Committed Burst Size,承諾突發尺寸),以bit為單位,長度為4字節 下發此屬性時需要同時下發Input-Average-Rate屬性 |
|
248 |
Output-Committed-Burst-Size |
NAS到用戶方向流量的CBS(Committed Burst Size,承諾突發尺寸),以bit為單位,長度為4字節 下發此屬性時需要同時下發Output-Average-Rate屬性 |
|
249 |
authentication-type |
用戶認證類型值,取值如下: · 1:用戶內網準入認證 · 2:用戶外網準出認證 如果該屬性不存在,則按照普通用戶認證處理 |
|
250 |
WEB-URL |
PPP用戶Web重定向URL |
|
251 |
Subscriber-ID |
用戶家庭ID |
|
252 |
Subscriber-Profile |
用戶家庭套餐的QoS策略名稱 |
|
255 |
Product_ID |
產品名稱 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
