- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-AAA操作
本章節下載 (509.22 KB)
2.2.11 配置係統發送RADIUS 服務器狀態變為Down的Trap
2.5.1 Telnet/SSH用戶通過RADIUS服務器認證的應用配置
2.5.3 配置Telnet用戶通過TACACS服務器進行認證和授權
AAA是Authentication,Authorization and Accounting(認證、授權和計費)的簡稱,它是對網絡安全的一種管理方式。提供了一個對認證、授權和計費這三種功能進行統一配置的框架。
l
認證:哪些用戶可以訪問網絡服務器;
l
授權:具有訪問權的用戶可以得到哪些服務;
l
計費:如何對正在使用網絡資源的用戶進行計費。
AAA一般采用客戶端/服務器結構:客戶端運行於被管理的資源側,服務器上集中存放用戶信息。因此,AAA框架具有良好的可擴展性,並且容易實現用戶信息的集中管理。
AAA支持以下認證方式:
l
不認證:對用戶非常信任,不對其進行合法性檢查。一般情況下不建議用戶采用這種方式。
l
本地認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設備上。本地認證的優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
l
遠端認證:支持通過RADIUS協議或HWTACACS協議進行遠端認證,設備(如H3C係列交換機)作為客戶端,與RADIUS服務器或TACACS服務器通信。對於RADIUS協議,可以采用標準或擴展的RADIUS協議,與iTELLIN/CAMS等係統配合完成認證。遠端認證的優點是便於集中管理,並且提供豐富的業務特性;缺點是必須提供服務器,並進行服務器端的正確配置。
AAA支持以下授權方式:
l
直接授權:對用戶非常信任,直接授權通過。
l
本地授權:根據設備上為本地用戶帳號配置的相關屬性進行授權。
l
RADIUS認證成功後授權:RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。
l
HWTACACS授權:由TACACS服務器對用戶進行授權。
AAA支持以下計費方式:
l
不計費:不對用戶計費。
l
遠端計費:支持通過RADIUS服務器或TACACS服務器進行遠端計費。
ISP域即ISP用戶群,一個ISP域是由屬於同一個ISP的用戶構成的用戶群。
在“userid@isp-name”或者“userid.isp-name”形式的用戶名中,“@”
或者“.”後的“isp-name”即為ISP域的域名。接入設備將“userid”作為用於身份認證的用戶名,將“isp-name”作為域名。
在多個ISP的應用環境中,同一個接入設備接入的有可能是不同ISP的用戶。由於各ISP用戶的用戶屬性(例如用戶名及密碼構成、服務類型/權限等)有可能各不相同,因此有必要通過設置ISP域的方法把它們區別開。
在ISP域視圖下,可以為每個ISP域配置包括使用的AAA策略(使用的RADIUS方案等)在內的一整套單獨的ISP域屬性。
AAA是一種管理框架,因此,它可以用多種協議來實現。在實踐中,人們最常使用RADIUS服務來實現AAA。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的服務方式,能保護網絡不受未授權訪問的幹擾,常被應用在既要求較高安全性、又要求控製遠程用戶訪問權限的各種網絡環境中。
RADIUS服務包括三個組成部分:
l
協議:RFC 2865和RFC 2866基於UDP/IP層定義了RADIUS幀格式及其消息傳輸機製,並定義了1812作為認證端口,1813作為計費端口。
l
服務器:RADIUS服務器運行在中心計算機或工作站上,包含了相關的用戶認證和網絡服務訪問信息。
l
客戶端:位於網絡接入服務器設備側,可以遍布整個網絡。
RADIUS采用客戶端/服務器模型。
l
交換機作為RADIUS客戶端,負責傳輸用戶信息到指定的RADIUS服務器,然後根據從服務器返回的信息對用戶進行相應處理(如接入/掛斷用戶)。
l
RADIUS服務器負責接收用戶連接請求,認證用戶,然後給交換機返回所有需要的信息。
RADIUS服務器通常要維護三個數據庫,如圖1-1所示。
l
數據庫“Users”:用於存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置)。
l
數據庫“Clients”:用於存儲RADIUS客戶端的信息(如共享密鑰)。
l
數據庫“Dictionary”:存儲的信息用於解釋RADIUS協議中的屬性和屬性值的含義。
圖1-1 RADIUS服務器的組成
另外,RADIUS服務器還能夠作為其他AAA服務器的客戶端進行代理認證或計費。
RADIUS客戶端(交換機)和RADIUS服務器之間通過共享密鑰來認證交互的消息,增強了安全性。RADIUS協議合並了認證和授權過程,即響應報文中攜帶了授權信息。用戶、交換機、RADIUS服務器之間的交互流程如圖1-2所示。
圖1-2 RADIUS的基本消息交互流程
基本交互步驟如下:
(1)
用戶輸入用戶名和口令。
(2)
RADIUS客戶端根據獲取的用戶名和口令,向RADIUS服務器發送認證請求包(Access-Request)。
(3)
RADIUS服務器將該用戶信息與Users數據庫信息進行對比分析,如果認證成功,則將用戶的授權信息以認證響應包(Access-Accept)的形式發送給RADIUS客戶端;如果認證失敗,則返回Access-Reject響應包。
(4)
RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則RADIUS客戶端向RADIUS服務器發送計費開始請求包(Accounting-Request),Status-Type取值為start。
(5)
RADIUS服務器返回計費開始響應包(Accounting-Response)。
(6)
用戶開始訪問資源。
(7)
RADIUS客戶端向RADIUS服務器發送計費停止請求包(Accounting-Request),Status-Type取值為stop。
(8)
RADIUS服務器返回計費結束響應包(Accounting-Response)。
(9)
用戶訪問資源結束。
RADIUS協議采用UDP報文來承載數據,通過定時器管理機製、重傳機製、備用服務器機製,確保RADIUS服務器和客戶端之間交互消息正確收發。RADIUS報文結構如圖1-3所示。
圖1-3 RADIUS報文結構
(1)
Code域(1字節)決定RADIUS報文的類型,如表1-1所示。
表1-1 Code域主要取值的說明
|
Code |
報文類型 |
報文說明 |
|
1 |
Access-Request認證請求包 |
方向Client->Server,Client將用戶信息傳輸到Server以判斷是否接入該用戶。該報文中必須包含User-Name屬性,可選包含NAS-IP-Address、User-Password、NAS-Port等屬性 |
|
2 |
Access-Accept認證接受包 |
方向Server->Client,如果Access-Request報文中所有Attribute值都可以接受(即認證通過),則傳輸該類型報文 |
|
3 |
Access-Reject認證拒絕包 |
方向Server->Client,如果Access-Request報文中存在任何Attribute值無法被接受(即認證失敗),則傳輸該類型報文 |
|
4 |
Accounting-Request計費請求包 |
方向Client->Server,Client將用戶信息傳輸到Server,請求Server開始計費,由該報文中的Acct-Status-Type屬性區分計費開始請求和計費結束請求。該報文包含的屬性和Access-Request報文大致相同 |
|
5 |
Accounting-Response計費響應包 |
方向Server->Client,Server通知Client側已經收到Accounting-Request報文並且已經正確記錄計費信息 |
(2)
Identifier域(1字節)用於匹配請求包和響應包,隨著Attribute域改變、接收到的有效響應包而不斷變化,而在重傳時保持不變。
(3)
Length域(2字節)指明整個包的長度,內容包括Code,Identifier,Length,Authenticator和Attribute。超過長度域的字節被視為填充,在接收時應被忽略;如果接收到的包短於Length域所指示長度,則會被丟棄。
(4)
Authenticator域(16字節)用於驗證RADIUS服務器傳輸回來的報文,並且還用於密碼隱藏算法中,分為Request Authenticator和Response Authenticator。
(5)
Attribute域攜帶專門的認證、授權和計費信息,提供請求和響應報文的配置細節,該域采用(Type、Length、Value)三元組的形式提供。
l
類型(Type)域1個字節,取值為1~255,用於指明屬性的類型。表1-2列出了RADIUS授權、認證常用的屬性。
l
長度(Length)域1個字節,指明此屬性的長度,單位為字節,包括類型字段、長度字段和屬性值字段。
l
屬性值(Value)域包括該屬性的信息,其格式和內容由類型域和長度域決定,最大長度為253字節。
|
Type |
屬性類型 |
Type |
屬性類型 |
|
1 |
User-Name |
23 |
Framed-IPX-Network |
|
2 |
User-Password |
24 |
State |
|
3 |
CHAP-Password |
25 |
Class |
|
4 |
NAS-IP-Address |
26 |
Vendor-Specific |
|
5 |
NAS-Port |
27 |
Session-Timeout |
|
6 |
Service-Type |
28 |
Idle-Timeout |
|
7 |
Framed-Protocol |
29 |
Termination-Action |
|
8 |
Framed-IP-Address |
30 |
Called-Station-Id |
|
9 |
Framed-IP-Netmask |
31 |
Calling-Station-Id |
|
10 |
Framed-Routing |
32 |
NAS-Identifier |
|
11 |
Filter-ID |
33 |
Proxy-State |
|
12 |
Framed-MTU |
34 |
Login-LAT-Service |
|
13 |
Framed-Compression |
35 |
Login-LAT-Node |
|
14 |
Login-IP-Host |
36 |
Login-LAT-Group |
|
15 |
Login-Service |
37 |
Framed-AppleTalk-Link |
|
16 |
Login-TCP-Port |
38 |
Framed-AppleTalk-Network |
|
17 |
(unassigned) |
39 |
Framed-AppleTalk-Zone |
|
18 |
Reply-Message |
40-59 |
(reserved for accounting) |
|
19 |
Callback-Number |
60 |
CHAP-Challenge |
|
20 |
Callback-ID |
61 |
NAS-Port-Type |
|
21 |
(unassigned) |
62 |
Port-Limit |
|
22 |
Framed-Route |
63 |
Login-LAT-Port |
RADIUS協議具有良好的可擴展性,協議中定義的26號屬性(Vendor-Specific)用於設備廠商對RADIUS進行擴展,以實現標準RADIUS沒有定義的功能。
如圖1-4所示的報文結構,Vendor-ID域占4字節,表示廠商代號,最高字節為0,其餘3字節的編碼見RFC1700。廠商可以封裝多個自己定義的“(Type、Length、Value)”子屬性,從而在應用中得以擴展。
HWTACACS(HUAWEI Terminal Access Controller Access Control System)是在TACACS(RFC 1492)基礎上進行了功能增強的安全協議。該協議與RADIUS協議類似,主要是通過Client-Server模式與TACACS服務器通信來實現多種用戶的AAA功能,可用於PPP和VPDN接入用戶及終端用戶的認證、授權和計費。
與RADIUS相比,HWTACACS具有更加可靠的傳輸和加密特性,更加適合於安全控製。HWTACACS協議與RADIUS協議的主要區別如表1-3所示。
表1-3 HWTACACS協議和RADIUS協議區別
|
HWTACACS協議 |
RADIUS協議 |
|
使用TCP,網絡傳輸更可靠 |
使用UDP |
|
除了HWTACACS報文頭,對報文主體全部進行加密 |
隻是對驗證報文中的密碼字段進行加密 |
|
認證和授權分離,例如,可以用一個TACACS服務器進行認證,另外一個TACACS服務器進行授權 |
認證和授權一起處理 |
|
更適於進行安全控製 |
更適於進行計費 |
|
支持對設備的配置命令進行授權使用 |
不支持 |
HWTACACS的典型應用是終端用戶需要登錄到設備上進行操作。交換機作為HWTACACS的客戶端,將用戶名和密碼發給TACACS服務器進行驗證,驗證通過並得到授權之後可以登錄到交換機上進行操作。如圖1-5所示。
圖1-5 HWTACACS的典型應用組網圖
以Telnet用戶為例,說明使用HWTACACS對用戶進行認證、授權和計費。基本消息交互流程圖如圖1-6所示。
圖1-6 Telnet用戶認證、授權和計費流程圖
在整個過程中的基本消息交互流程如下:
(1)
用戶請求登錄交換機,TACACS客戶端收到請求之後,向TACACS服務器發送認證開始報文。
(2)
TACACS服務器發送認證回應報文,請求用戶名;TACACS客戶端收到回應報文後,向用戶詢問用戶名。
(3)
TACACS客戶端收到用戶名後,向TACACS服務器發送認證持續報文,其中包括了用戶名。
(4)
TACACS服務器發送認證回應報文,請求登錄密碼;TACACS客戶端收到回應報文,向用戶詢問登錄密碼。
(5)
TACACS客戶端收到登錄密碼後,向TACACS服務器發送認證持續報文,其中包括了登錄密碼。
(6)
TACACS服務器發送認證回應報文,指示用戶通過認證。
(7)
TACACS客戶端向TACACS服務器發送授權請求報文。
(8)
TACACS服務器發送授權回應報文,指示用戶通過授權。
(9)
TACACS客戶端收到授權回應成功報文,向用戶輸出交換機的配置界麵。
(10) TACACS客戶端向TACACS服務器發送計費開始報文。
(11) TACACS服務器發送計費回應報文,指示計費開始報文已經收到。
(12) 用戶退出,TACACS客戶端向TACACS服務器發送計費結束報文。
(13) TACACS服務器發送計費回應報文,指示計費結束報文已經收到。
當需要為合法用戶提供網絡接入服務,同時對網絡設備進行保護,防止非授權訪問和抵賴行為時,則需要配置AAA。
表2-1 AAA配置任務簡介(ISP域采用認證、授權、計費捆綁方式)
|
配置任務 |
說明 |
詳細配置 |
||
|
配置AAA |
創建ISP域並配置其屬性 |
必選 |
||
|
配置ISP域采用認證、授權、計費捆綁方式 |
必選 |
|||
|
配置ISP域的AAA方案 |
不認證 |
l 四種認證方式必選其一 l 如果采用RADIUS、HWTACACS認證方案,需要提前完成RADIUS或HWTACACS相關配置 |
- |
|
|
本地認證 |
||||
|
RADIUS認證 |
||||
|
HWTACACS認證 |
||||
|
配置動態VLAN下發 |
可選 |
|||
|
配置本地用戶的屬性 |
可選 |
|||
|
配置強製切斷用戶連接 |
可選 |
|||
表2-2 AAA配置任務簡介(ISP域采用認證、授權、計費分離方式)
|
配置任務 |
說明 |
詳細配置 |
|
|
配置AAA |
創建ISP域並配置其屬性 |
必選 |
|
|
配置ISP域采用認證、授權、計費分離方式 |
必選 |
||
|
配置ISP域的AAA方案 |
必選 l 采用認證、授權、計費分離方式時,用戶可以分別指定認證、授權、計費方案。 l 如果采用RADIUS、HWTACACS認證方案,需要提前完成RADIUS或HWTACACS相關配置 |
根據實際需求,參考相應內容 |
|
|
配置動態VLAN下發 |
可選 |
||
|
配置本地用戶的屬性 |
可選 |
||
|
配置強製切斷用戶連接 |
可選 |
||
表2-3 創建ISP域並配置其屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置用戶名與域名間的分隔符形式 |
domain delimiter { at | dot } |
可選 缺省情況下,用戶名與域名間的分隔符采用“@” |
|
創建一個ISP域或者配置缺省的ISP域 |
domain { isp-name | default { disable | enable isp-name } } |
必選 缺省情況下,係統缺省的ISP域為system |
|
設置ISP域的狀態 |
state { active | block } |
可選 缺省情況下,當一個ISP域被創建以後,其狀態為active,允許任何屬於該域的用戶請求網絡服務 |
|
指定可容納接入用戶數的最大值 |
access-limit { disable | enable max-user-number } |
可選 缺省情況下,當一個ISP域被創建以後,其可容納的接入用戶沒有數量限製 |
|
設置用戶閑置切斷功能 |
idle-cut { disable | enable minute flow } |
可選 缺省情況下,關閉用戶閑置切斷功能 |
|
設置用戶計費可選開關 |
accounting optional |
可選 缺省情況下,當一個ISP域被創建以後,計費可選開關關閉 |
|
設置域信使提醒功能 |
messenger time { enable limit interval | disable } |
可選 缺省情況下,交換機關閉信使提醒功能 |
|
設置自助服務器定位功能 |
self-service-url { disable | enable url-string } |
可選 缺省情況下,交換機關閉自助服務器定位功能 |
配置時需要注意的是:
l
對於交換機,每個接入用戶都屬於一個ISP域。S5100係列交換機最多可以配置16個ISP域。如果某個用戶在登錄時沒有攜帶ISP域名,則交換機將它歸於缺省的ISP域。
l
采用“.”作為分隔符時,如果用戶名中包含多個“.”,則以第一個“.”做為域分隔符。
l
采用“@”作為分隔符時,用戶名中“@”出現的次數不能多於1次。
l
在對用戶實施計費時,當發現沒有可用的計費服務器或與計費服務器通信失敗時,隻要用戶配置了accounting optional命令,即使無法實施計費,也不會掛斷用戶。
l
自助服務器定位功能需要與支持自助服務的RADIUS服務器配合使用,如CAMS。自助服務即用戶可以對自己的帳號或卡號進行管理和控製。安裝自助服務軟件的服務器即自助服務器。
& 說明:
CAMS服務器是H3C公司提供的業務管理係統,支持與交換機等網絡產品共同組網,完成終端用戶的認證、授權、計費和權限管理等功能,實現網絡的可管理、可運營,保證網絡和用戶信息的安全。
用戶可以通過兩種方式配置認證、授權、計費方案:
采用這種方式時,用戶通過scheme命令指定具體的AAA方案。若采用RADIUS或HWTACACS方案,認證、授權、計費統一由RADIUS或HWTACACS方案中指定的RADIUS或TACACS服務器來完成,即認證、授權、計費不能分別指定不同的方案。
表2-4 配置ISP域的AAA方案-認證、授權、計費捆綁方式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個ISP域或者進入已創建ISP域的視圖 |
domain isp-name |
必選 |
|
配置域使用的AAA方案 |
scheme { local | none | radius-scheme radius-scheme-name [ local
] | hwtacacs-scheme hwtacacs-scheme-name [ local ] } |
必選, 係統缺省使用的AAA方案為local |
注意:
l
用戶可以通過引用配置好的radius-scheme-name來實現認證、授權、計費,而采用本地認證方案時隻能進行認證、授權,無法實現計費。
l
如果scheme命令配置了radius-scheme radius-scheme-name local參數,則local為RADIUS服務器沒有正常響應後的備選認證方案,即當RADIUS服務器有效時,不使用本地認證;當RADIUS服務器無效時,使用本地認證。
l
如果scheme命令配置了hwtacacs-scheme hwtacacs-scheme-name local參數,則local為TACACS服務器沒有正常響應後的備選認證方案,即當TACACS服務器有效時,不使用本地認證;當TACACS服務器無效時,使用本地認證。
l 如果local或者none作為第一方案,那麼隻能采用本地認證或者不進行認證,不能再同時采用RADIUS方案或者HWTACACS方案。
l 如果配置none作為第一方案,則該域的FTP用戶無法通過認證。即如果需要使用FTP服務,則不能配置為none方案。
采用認證、授權、計費分離方式時,用戶可以通過authentication、authorization、accounting這三條命令分別指定認證、授權、計費方案。認證、授權、計費分離方式中對於AAA支撐的各種業務的具體實現如下:
(1)
對於終端用戶
l
認證采用:RADIUS,local,HWTACACS或者none。
l
授權采用:none,HWTACACS。
l
計費采用:RADIUS,HWTACACS或者none。
用戶可以參照上麵的實現任意組合配置認證、授權和計費的方案。
(2)
對於FTP用戶
對於FTP用戶僅支持認證。
認證采用:RADIUS,local,HWTACACS。
表2-5 配置ISP域的AAA方案-認證、授權、計費分離方式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個ISP域或者進入已創建ISP域的視圖 |
domain isp-name |
必選 |
|
配置域使用的認證方案 |
authentication { radius-scheme radius-scheme-name
[ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local
] | local | none } |
可選 缺省情況下,沒有配置分離的認證方案 |
|
配置域使用的授權方案 |
authorization { none | hwtacacs-scheme
hwtacacs-scheme-name } |
可選 缺省情況下,沒有配置分離的授權方案 |
|
配置域使用的計費方案 |
accounting { none | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name } |
可選 缺省情況下,沒有配置分離的計費方案 |
& 說明:
l
如果在配置了認證、授權、計費分離方案的同時還配置了認證、授權、計費捆綁方案,優先使用認證、授權、計費分離方案。
l
由於RADIUS方案與local方案不支持認證和授權的分離,在配置認證、授權時應注意:當域中配置了scheme radius-scheme命令或者scheme local命令,且沒有同時配置authentication命令時,此時如果配置了authorization none,RADIUS方案和local方案返回的授權信息仍然有效。
動態VLAN下發是指以太網交換機根據RADIUS服務器下發的屬性值,將已經通過身份認證的用戶所在的端口動態地加入到不同的VLAN中,從而對用戶所能訪問的網絡資源進行控製。
目前交換機支持RADIUS認證服務器下發整型和字符串型的VLAN ID:
l
整型:交換機根據RADIUS認證服務器下發的整型ID將端口加入相應VLAN中,如果該VLAN不存在,則首先創建VLAN,而後將端口加入到新創建的VLAN中。
l
字符串型:交換機根據RADIUS認證服務器下發的字符串型ID,與交換機上已存在VLAN的名稱進行比對,如果找到匹配項,則將該端口加入相應VLAN中,否則VLAN下發失敗,用戶無法通過認證。
在實際應用中,為了與Guest VLAN配合使用,一般將端口控製方式設置為基於端口的方式。具體請參見“802.1x”模塊中配置802.1x基本功能部分。
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
創建ISP域,並進入其視圖 |
domain isp-name |
- |
|
配置VLAN下發模式 |
vlan-assignment-mode { integer | string } |
可選 缺省情況下,VLAN下發模式為整型(integer) |
|
創建VLAN,並進入其視圖 |
vlan vlan-id |
- |
|
配置下發VLAN的名稱 |
name string |
當配置VLAN下發模式為字符串型時,必須配置此任務 |
注意:
l
對於字符串型VLAN下發模式,交換機在處理過程中遵循整型優先的原則:如果RADIUS服務器下發的VLAN名稱是全數字的字符串,如字符串“1024”,並且轉換成整型的數值在合法的VLAN範圍之內,則交換機會將全數字型的字符串轉換為整型處理,將認證端口加入轉換後的整型數值VLAN中,即該端口會被加入到VLAN 1024中。
l
同時啟用了MSTP多實例和802.1x的端口,如果需要實現動態VLAN下發功能,則要將MSTP端口設置為邊緣端口。
當AAA方案選擇了本地認證方案(local)時,應在交換機上創建本地用戶並配置相關屬性。
所謂本地用戶,是指在交換機上設置的一組用戶的集合。該集合以用戶名為用戶的唯一標識。為使某個請求網絡服務的用戶可以通過本地認證,需要在交換機上的本地用戶數據庫中添加相應的表項。
表2-7 配置本地用戶的屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置所有本地用戶密碼的顯示方式 |
local-user password-display-mode { cipher-force | auto } |
可選 缺省情況下,所有接入用戶的密碼顯示方式為auto,表示按照用戶配置的密碼顯示方式顯示 |
|
添加本地用戶,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,係統中沒有任何本地用戶 |
|
設置指定用戶的密碼 |
password { simple | cipher } password |
必選 |
|
設置指定用戶的狀態 |
state { active | block } |
可選 缺省情況下,當一個本地用戶被創建以後,其狀態為active,允許該用戶請求網絡服務 |
|
設置用戶可以使用的服務類型 |
service-type { ftp | lan-access | { telnet | ssh | terminal }* [ level level ] } |
必選 缺省情況下,係統不對用戶授權任何服務 |
|
設置用戶的優先級 |
level level |
可選 缺省情況下,用戶的優先級為0 |
|
配置用戶的授權VLAN |
authorization vlan string |
可選 缺省情況下,沒有配置本地用戶的授權VLAN |
|
服務類型為lan-access用戶的屬性設置 |
attribute { ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port port-number | port port-number } }* |
可選 當指定用戶綁定的是遠程端口,則該用戶必需指定nas-ip參數,缺省為127.0.0.1,表示為本機;若用戶綁定的是本地端口,則不需要指定nas-ip參數 |
注意:
l user-name字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,並且“@”出現的次數不能多於1次。
l 當采用local-user password-display-mode cipher-force命令後,即使用戶通過password命令指定密碼顯示方式為明文顯示(即simple方式)後,密碼也會顯示為密文。
l 如果配置的認證方式需要用戶名和口令(包括本地認證和RADIUS認證),則用戶登錄係統後所能訪問的命令級別由用戶的優先級確定。對於SSH用戶,使用RSA公鑰認證時,其所能使用的命令以用戶界麵上設置的級別為準。
l 如果配置的認證方式為不認證或采用password認證,則用戶登錄到係統後所能訪問的命令級別由用戶界麵的優先級確定。
l 如果端口連接的多個用戶具有不同的授權VLAN,隻有第一個認證通過的用戶可以獲得授權VLAN信息,之後的用戶即使通過認證,交換機也不會重新下發授權VLAN。在這種情況下,建議每個端口下隻接入一個認證用戶或隻接入具有相同授權VLAN的多個認證用戶。
l 如果配置了本地用戶的授權VLAN,進行本地RADIUS認證或local認證,則vlan-assignment-mode必須要配置為string模式。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
強製切斷用戶連接 |
cut connection { all | access-type { dot1x | mac-authentication } | domain
isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name
| vlan vlan-id | ucibindex ucib-index | user-name user-name } |
必選 |
& 說明:
對於Telnet類型登錄用戶,可以通過display connection命令查看到連接,但是不能通過cut connection命令切斷連接。
H3C係列以太網交換機既可以作為RADIUS客戶端,又可以作為本地RADIUS服務器。
表2-9 RADIUS配置任務簡介(交換機作為RADIUS客戶端)
|
配置任務 |
說明 |
詳細配置 |
|
|
配置 RADIUS 客戶端 |
創建RADIUS方案 |
必選 |
|
|
配置RADIUS認證/授權服務器 |
必選 |
||
|
配置RADIUS計費服務器 |
必選 |
||
|
配置RADIUS報文的共享密鑰 |
可選 |
||
|
配置RADIUS請求報文的最大傳送次數 |
可選 |
||
|
配置支持的RADIUS服務器的類型 |
可選 |
||
|
配置RADIUS服務器的狀態 |
可選 |
||
|
配置發送給RADIUS服務器的數據相關屬性 |
可選 |
||
|
配置RADIUS服務器的定時器 |
可選 |
||
|
配置係統發送RADIUS 服務器狀態變為Down的Trap |
可選 |
||
|
配置設備重啟用戶再認證功能 |
可選 |
||
|
配置RADIUS服務器端 |
具體請參見相應RADIUS服務器的配置 |
_ |
_ |
表2-10 RADIUS配置任務簡介(交換機作為本地RADIUS服務器)
|
配置任務 |
說明 |
詳細配置 |
|
|
配置 RADIUS 服務 |
創建RADIUS方案 |
必選 |
|
|
配置RADIUS認證/授權服務器 |
必選 |
||
|
配置RADIUS計費服務器 |
必選 |
||
|
配置RADIUS報文的共享密鑰 |
可選 |
||
|
配置RADIUS請求報文的最大傳送次數 |
可選 |
||
|
配置支持的RADIUS服務器的類型 |
可選 |
||
|
配置RADIUS服務器的狀態 |
可選 |
||
|
配置發送給RADIUS服務器的數據相關屬性 |
可選 |
||
|
配置本地RADIUS服務器的開啟及允許的網絡接入服務器、共享密鑰 |
必選 |
||
|
配置RADIUS服務器的定時器 |
可選 |
||
|
配置係統發送RADIUS 服務器狀態變為Down的Trap |
可選 |
||
|
配置 RADIUS 客戶端 |
具體請參見相應RADIUS客戶端的配置 |
- |
- |
RADIUS服務配置是以RADIUS方案為單位進行的,一個RADIUS方案在實際組網環境中既可以運用於一台獨立的RADIUS服務器,也可以運用於兩台配置相同、但IP地址不同的主、從RADIUS服務器。
當創建一個新的RADIUS方案之後,需要對屬於此方案的RADIUS服務器的IP地址和UDP端口號進行設置,這些服務器包括認證/授權和計費服務器,而每種服務器又有主服務器和從服務器的區別。每個RADIUS方案的屬性包括:主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。
在實際組網環境中,上述參數的設置需要根據具體需求來決定。但是必須至少設置一個認證/授權服務器和一個計費服務器。同時,保證交換機上的RADIUS服務端口設置與RADIUS服務器上的端口設置保持一致。
& 說明:
實際上,RADIUS服務配置僅僅定義了交換機和RADIUS服務器之間進行信息交互所必需的一些參數。為了使這些參數能夠生效,還必須在某個ISP域視圖下指定該域引用配置有上述參數的RADIUS方案。具體配置命令的細節請參見2.1.3 配置ISP域的認證、授權、計費方案。
RADIUS協議的配置是以RADIUS方案為單位進行的。在進行其它RADIUS協議配置之前,必須先創建RADIUS方案並進入其視圖。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開RADIUS認證端口 |
radius client enable |
可選 缺省情況下,RADIUS認證端口開啟 |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
& 說明:
一個RADIUS方案可以同時被多個ISP域引用。
表2-12 配置RADIUS認證/授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置主RADIUS認證/授權服務器的IP地址和端口號 |
primary authenticaiton ip-address [ port-number ] |
必選 缺省情況下,對於新創建的RADIUS方案,主認證/授權服務器的IP地址為0.0.0.0,UDP端口號為1812 |
|
設置從RADIUS認證/授權服務器的IP地址和端口號 |
secondary authentication ip-address [ port-number
] |
可選 缺省情況下,對於新創建的RADIUS方案,從認證/授權服務器的IP地址均為0.0.0.0,UDP端口號為1812 |
& 說明:
l RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,故不需要指定單獨的授權服務器。
l 在實際組網環境中,可以指定2台RADIUS服務器分別作為主、從認證/授權服務器;也可以指定一台服務器既作為主認證/授權服務器,又作為從認證/授權服務器。
l 係統缺省創建的system方案使用的主認證服務器的IP為127.0.0.1,端口號為1645。
表2-13 配置RADIUS計費服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置主RADIUS計費服務器的IP地址和端口號 |
primary accounting ip-address [ port-number ] |
必選 缺省情況下,對於新創建的RADIUS方案,主計費服務器的IP地址均為0.0.0.0,UDP端口號為1813 |
|
設置從RADIUS計費服務器的IP地址和端口號 |
secondary accounting
ip-address [ port-number ] |
可選 缺省情況下,對於新創建的RADIUS方案,從計費服務器的IP地址均為0.0.0.0,UDP端口號為1813 |
|
使能停止計費報文緩存功能 |
stop-accounting-buffer enable |
可選 缺省情況下,使能停止計費報文緩存功能 |
|
使能停止計費報文重傳功能,並配置停止計費報文可以傳送的最大次數 |
retry stop-accounting retry-times |
可選 缺省情況下,最多可以將緩存的停止計費請求報文重發500次 |
|
設置允許實時計費失敗的最大次數 |
retry realtime-accounting retry-times |
可選 缺省情況下,最多允許5次實時計費失敗,5次之後將切斷用戶連接 |
& 說明:
l
在實際組網環境中,可以指定2台RADIUS服務器分別作為主、從計費服務器;也可以指定一台服務器既作為主計費服務器,又作為從計費服務器。此外,由於RADIUS協議采用不同的UDP端口來收發認證/授權和計費報文,因此必須將認證/授權端口號和計費端口號設置得不同。
l
如果RADIUS計費服務器對交換機發出的停止計費請求報文沒有響應,且交換機使能了停止計費報文重傳功能,交換機應將其緩存在本機上,然後重新發送直到RADIUS計費服務器產生響應,或者在重新發送的次數達到指定的次數限製後將其丟棄。
l
交換機提供對連續實時計費失敗次數限製的設置——在交換機向RADIUS服務器發出的實時計費失敗的次數超過所設定的限度時,交換機將切斷用戶連接。
l
係統缺省創建的system方案使用的主計費服務器的IP為127.0.0.1,端口號為1646。
l
目前RADIUS協議不支持對FTP用戶進行計費。
RADIUS客戶端與RADIUS服務器使用MD5算法來加密RADIUS報文,雙方通過設置共享密鑰來驗證報文的合法性。隻有在密鑰一致的情況下,雙方才能彼此接收對方發來的報文並作出響應。
表2-14 配置RADIUS報文的共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置RADIUS認證/授權報文的共享密鑰 |
key authentication string |
必選 缺省情況下,無共享密鑰 |
|
設置RADIUS計費報文的共享密鑰 |
key accounting string |
必選 缺省情況下,無共享密鑰 |
注意:
在認證/授權服務器與計費服務器不相同且這兩台服務器中的共享密鑰也不同時,必須分別設置認證/授權報文和計費報文的共享密鑰。
由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內沒有響應交換機,則交換機有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數超過最大傳送次數而RADIUS服務器仍舊沒有響應,則交換機將認為本次認證失敗。
表2-15 配置RADIUS請求報文的最大傳送次數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置RADIUS請求報文的最大傳送次數 |
retry retry-times |
可選 缺省情況下,RADIUS請求報文的最大傳送次數為3次 |
表2-16 配置支持的RADIUS服務器的類型
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置支持何種類型的RADIUS服務器 |
server-type { extend | standard } |
可選 |
& 說明:
使用第三方RADIUS服務器時,RADIUS服務器類型可以選擇standard類型或extended類型;使用CAMS服務器時,RADIUS服務器類型應選擇extended類型。
對於某個RADIUS方案中的主、從服務器(無論是認證/授權服務器還是計費服務器),當主服務器因故障而導致其與交換機的通信中斷時,交換機會主動地與從服務器交互報文。
當主服務器變為block的狀態超過timer quiet命令設定的時間後,若有RADIUS請求,交換機會嚐試與主服務器通信。如果主服務器恢複正常,交換機會立即恢複與其通信,而不與從服務器通信,同時,主服務器的狀態恢複為active,從服務器的狀態不變。
當主服務器與從服務器的狀態都為active或block時,交換機將隻把報文發送到主服務器上。
表2-17 配置RADIUS服務器的狀態
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置主RADIUS認證/授權服務器的狀態 |
state primary authentication { block | active } |
可選 缺省情況下,所有RADIUS方案中各RADIUS服務器的狀態均為block。係統缺省創建的system方案的主RADIUS服務器的狀態為active,從RADIUS服務器的狀態為block |
|
設置主RADIUS計費服務器的狀態 |
state primary accounting { block | active } |
|
|
設置從RADIUS認證/授權服務器的狀態 |
state secondary authentication { block
| active } |
|
|
設置從RADIUS計費服務器的狀態 |
state secondary accounting { block | active } |
表2-18 配置發送給RADIUS服務器的數據相關屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置發送給RADIUS服務器的用戶名格式 |
user-name-format { with-domain | without-domain } |
可選 缺省情況下,交換機發送給RADIUS服務器的用戶名攜帶有ISP域名 |
|
設置發送給RADIUS服務器的數據流的單位 |
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte } packet { giga-packet | kilo-packet | mega- packet | one-packet
} |
可選 缺省情況下,RADIUS方案默認的發送數據單位為byte,數據包的單位為one-packet |
|
設置RADIUS報文中Calling-Station-Id(Type 31)屬性字段中MAC地址的格式 |
calling-station-id mode { mode1 | mode2 } { lowercase | uppercase } |
可選 缺省情況下,Calling-Station-Id屬性字段中MAC地址的格式為XXXX-XXXX-XXXX,小寫形式 |
|
設置交換機發送RADIUS報文使用的源IP地址 |
RADIUS視圖 nas-ip ip-address |
可選 缺省情況下,不指定源IP地址,即以發送報文的接口地址作為源IP地址 |
|
係統視圖 radius nas-ip ip-address |
& 說明:
l 接入用戶通常以“userid@isp-name”或“userid.isp-name”的格式命名,“@”或者“.”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此,用戶可以通過user-name-format命令指定發送給RADIUS服務器的用戶名是否攜帶ISP域名。
l 如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該RADIUS方案,否則,會出現雖然實際用戶不同(在不同的ISP域中)、但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
l 係統缺省創建的system方案的用戶名不帶域名。
l 設置RADIUS報文中Calling-Station-Id(Type 31)屬性字段格式的功能用於增強交換機與不同RADIUS服務器的兼容性。在RADIUS服務器能識別的Calling-Station-Id屬性字段格式與交換機的默認格式不同時,需要配置此功能。具體RADIUS服務器能識別的字段格式,請參見相應RADIUS服務器手冊。
設備除了支持傳統的作為RADIUS客戶端的服務——即分別采用認證/授權服務器、計費服務器的方式進行用戶的認證管理外,還提供了本地簡單RADIUS服務器功能(包括認證和授權),稱之為本地RADIUS認證服務器功能。
表2-19 配置本地RADIUS認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開本地RADIUS認證服務器端口 |
local-server enable |
可選 缺省情況下,本地RADIUS認證服務器端口開啟 |
|
設置本地RADIUS服務器相關參數 |
local-server nas-ip ip-address key password |
必選 缺省情況下,係統創建了一個本地RADIUS認證服務器,其NAS-IP為127.0.0.1 |
注意:
l 采用本地RADIUS認證服務器功能時,其認證/授權服務的UDP端口號必須為1645,計費服務的UDP端口號為1646;服務器的IP地址都設置為本地服務器的地址。
l local-server命令配置的報文加密密鑰(key password參數)必須與在RADIUS方案視圖下用key authentication命令配置的認證/授權報文加密密鑰一致。
l 包括係統缺省創建的本地RADIUS認證服務器在內,設備最多支持配置16個網絡接入服務器IP地址及其共享密鑰,也就是說設備作為RADIUS認證服務器時,最多能夠同時為16個網絡接入服務器提供認證服務。
l 設備作為本地RADIUS認證服務器時,不支持EAP認證方法。
如果在RADIUS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶確實能夠得到RADIUS服務,這段時間被稱為RADIUS服務器響應超時時長。交換機係統中用於控製這個時長的定時器就被稱為RADIUS服務器響應超時定時器。
對於某個RADIUS方案中的主、從服務器(無論是認證/授權服務器還是計費服務器),當主服務器因故障而導致其與設備的通信中斷時,設備會主動地與從服務器交互報文。
當主服務器變為block的狀態超過timer quiet命令設定的時間後,當有RADIUS請求時,設備會嚐試與主服務器通信,如果主服務器恢複正常,設備會立即恢複與其通信,而不繼續與從服務器通信。同時,主服務器的狀態恢複為active,從服務器的狀態不變。
為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,交換機會向RADIUS服務器發送一次在線用戶的計費信息。
表2-20 設置RADIUS服務器的定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RADIUS方案並進入其視圖 |
radius scheme radius-scheme-name |
必選 缺省情況下,係統中已創建了一個名為“system”的RADIUS方案 |
|
設置RADIUS服務器應答超時時間 |
timer response-timeout seconds |
可選 缺省情況下,RADIUS服務器應答超時定時器為3秒 |
|
設置主服務器恢複激活狀態的時間 |
timer quiet minutes |
可選 缺省情況下,主服務器恢複激活狀態前需要等待5分鍾 |
|
設置實時計費間隔 |
timer realtime-accounting minutes |
可選 缺省情況下,實時計費間隔為12分鍾 |
表2-21 配置本地RADIUS認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能當RADIUS 服務器狀態變為down時,係統發送Trap |
radius trap { authentication-server-down | accounting-server-down } |
可選 缺省情況下,此功能關閉 |
& 說明:
l
該配置對所有的RADIUS方案都生效。
l
在設備向RADIUS服務器發送報文而未收到響應的次數超過配置的重試次數後,設備就認為相應的服務器狀態變為Down。
& 說明:
本功能僅適用於RADIUS認證/計費服務器為CAMS的情況。
在交換機與CAMS配合實現認證/授權/計費的AAA方案中,限製唯一性用戶(指在CAMS上設置了“在線數量限製”為1的用戶)通過認證/授權、開始計費時,如果交換機發生重啟,在CAMS進行用戶在線檢查前,當用戶再次登錄交換機時,交換機會提示該用戶已經在線,導致該用戶無法正常訪問網絡資源。隻有在網絡管理員手工刪除該用戶的在線信息後,該用戶才可以再次登錄。
解決上述問題的方法是在交換機上啟動設備重啟用戶再認證功能。啟動設備重啟用戶再認證功能後,交換機每次發生重啟時:
l
交換機生成Accounting-On報文,該報文主要包括NAS-ID、NAS-IP(源IP)和會話ID信息。
l
交換機每隔設定的時間間隔向CAMS發送Accouting-On報文。
l
CAMS收到Accounting-On報文後,立即向交換機發送一個響應報文,並根據Accouting-On報文中的NAS-ID、NAS-IP和會話ID,找到並刪除通過交換機接入的原用戶在線信息,並按照最後一次計費更新報文結束計費。
l
當交換機收到CAMS的響應報文後,即停止發送Accounting-On報文。
l
如果交換機發送Accounting-On報文的次數已達到設定的最大發送次數,但是仍沒有收到CAMS的響應報文,則交換機停止發送Accounting-On報文。
& 說明:
Accounting-On報文中的主要屬性:NAS-ID、NAS-IP和會話ID由交換機自動生成,其中NAS-IP還可以通過命令(nas-ip)手工配置,如果手工配置,請注意配置正確、合法的IP地址;如果不配置,交換機會自動選擇VLAN虛接口的IP地址作為NAS-IP地址。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
啟動設備重啟用戶再認證功能 |
accounting-on enable [ send times | interval interval ] |
缺省情況下:設備重啟用戶再認證功能處於關閉狀態;發送Accounting-On報文的最大次數(times)為15次、時間間隔(interval)為3秒 |
表2-23 HWTACACS配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置HWTACACS客戶端 |
創建HWTACACS方案 |
必選 |
|
|
配置HWTACACS認證服務器 |
必選 |
||
|
配置HWTACACS授權服務器 |
必選 |
||
|
配置HWTACACS計費服務器 |
可選 |
||
|
配置HWTACACS報文的共享密鑰 |
可選 |
||
|
配置發送給HWTACACS服務器的數據相關屬性 |
可選 |
||
|
配置HWTACACS服務器的定時器 |
可選 |
||
|
配置HWTACACS服務器端 |
具體請參見相應HWTACACS服務器的配置 |
_ |
_ |
HWTACACS的配置是以HWTACACS方案為單位進行的。在進行其它HWTACACS配置之前,必須先創建HWTACACS方案並進入其視圖。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
注意:
係統最多支持配置16個HWTACACS方案。隻有當方案沒有用戶使用時,才能刪除該方案。
表2-25 配置TACACS認證服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
|
設置TACACS主認證服務器的IP地址和端口號 |
primary authentication ip-address [ port ] |
必選 缺省情況下,主認證服務器的IP地址為0.0.0.0,端口號為0 |
|
設置TACACS從認證服務器的IP地址和端口號 |
secondary authentication ip-address [ port ] |
可選 缺省情況下,從認證服務器的IP地址為0.0.0.0,端口號為0 |
注意:
l 主認證服務器和從認證服務器的IP地址不能相同,否則將提示配置不成功。
l 隻有當沒有活躍的用於發送認證報文的TCP連接使用該認證服務器時,才允許刪除該服務器。
表2-26 配置TACACS授權服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
|
設置TACACS主授權服務器的IP地址和端口號 |
primary authorization ip-address [ port ] |
必選 缺省情況下,主授權服務器的IP地址為0.0.0.0,端口號為0 |
|
設置TACACS從授權服務器的IP地址和端口號 |
secondary authorization ip-address [ port ] |
可選 缺省情況下,從授權服務器的IP地址為0.0.0.0,端口號為0 |
注意:
l 主授權服務器和從授權服務器的IP地址不能相同,否則將提示配置不成功。
l 隻有當沒有活躍的用於發送授權報文的TCP連接使用該授權服務器時,才允許刪除該服務器。
表2-27 配置TACACS計費服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
|
設置TACACS主計費服務器的IP地址和端口號 |
primary accounting ip-address
[ port ] |
必選 缺省情況下,主計費服務器的IP地址為0.0.0.0,端口號為0 |
|
設置TACACS從計費服務器的IP地址和端口號 |
secondary accounting ip-address
[ port ] |
必選 缺省情況下,從計費服務器的IP地址為0.0.0.0,端口號為0 |
|
使能停止計費報文重傳,並配置傳送的最大次數 |
retry stop-accounting retry-times |
可選 缺省情況下,使能停止計費報文重傳功能,且允許停止計費報文傳送100次 |
注意:
l 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
l 隻有當沒有活躍、用於發送計費報文的TCP連接使用該計費服務器時,才允許刪除該服務器。
l 目前HWTACACS協議不支持對FTP用戶進行計費。
使用TACACS服務器作為AAA服務器時,可設置密鑰以提高設備與TACACS服務器通信的安全性。
TACACS客戶端(即設備係統)與TACACS服務器使用MD5算法來加密交互的HWTACACS報文,雙方通過設置共享密鑰來驗證報文的合法性。隻有在密鑰一致的情況下,雙方才能彼此接收對方發來的報文並作出響應。因此,必須保證設備上設置的共享密鑰與TACACS服務器上的完全一樣。
表2-28 配置HWTACACS報文的共享密鑰
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
|
設置HWTACACS計費、授權及認證報文的共享密鑰 |
key
{ accounting | authorization | authentication
} string |
必選 缺省情況下,TACACS服務器沒有密鑰 |
表2-29 配置發送給TACACS服務器的數據相關屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
|
設置發送給TACACS服務器的用戶名格式 |
user-name-format
{ with-domain | without-domain } |
可選 缺省情況下,發往TACACS服務器的用戶名帶域名 |
|
設置發送給TACACS服務器的數據流的單位 |
data-flow-format data { byte | giga-byte |
kilo-byte | mega-byte } |
可選 缺省情況下,TACACS服務器的發送數據單位為byte,數據包的單位為one-packet |
|
data-flow-format packet { giga-packet | kilo-packet |
mega-packet | one-packet } |
||
|
配置設備發送HWTACACS報文使用的源地址 |
HWTACACS視圖 nas-ip
ip-address |
可選 缺省情況下,不指定源地址,即以發送報文的接口地址作為源地址 |
|
係統視圖 hwtacacs nas-ip ip-address |
注意:
用戶名通常采用“userid@isp-name”或“userid.isp-name”的格式命名,“@”或者“.”後麵的部分為域名。如果TACACS服務器不接受帶域名的用戶名時,可以配置將用戶名的域名去除後再傳送給TACACS服務器。
表2-30 配置TACACS服務器的定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建HWTACACS方案,並進入HWTACACS視圖 |
hwtacacs scheme hwtacacs-scheme-name |
必選 缺省情況下,沒有定義HWTACACS方案 |
|
設置TACACS服務器應答超時時間 |
timer response-timeout seconds |
可選 缺省情況下,應答超時時間為5秒 |
|
設置主服務器恢複激活狀態的時間 |
timer quiet minutes |
可選 缺省情況下,主服務器恢複激活狀態前需要等待5分鍾 |
|
設置實時計費的時間間隔 |
timer realtime-accounting minutes |
可選 缺省情況下,實時計費間隔為12分鍾 |
注意:
l 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向TACACS服務器發送一次在線用戶的計費信息。按照協議,如果服務器對實時計費報文沒有正常響應,設備也不會強製切斷在線用戶。
l 實時計費間隔時間取值必須為3的整數倍。
l 實時計費間隔的取值對設備和TACACS服務器的性能有一定的相關性要求—取值越小,對設備和TACACS服務器的性能要求越高。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後AAA、RADIUS、HWTACACS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
表2-31 AAA配置顯示
|
操作 |
命令 |
說明 |
|
顯示所有或指定ISP域的配置信息 |
display domain [ isp-name ] |
display命令可以在任意視圖下執行 |
|
顯示用戶連接的相關信息 |
display connection [ access-type { dot1x | mac-authentication }
| domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | hwtacacs-scheme
hwtacacs-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name ] |
|
|
顯示本地用戶的相關信息 |
display local-user [ domain isp-name | idle-cut { disable | enable } | vlan vlan-id | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name ] |
表2-32 RADIUS協議顯示和維護
|
操作 |
命令 |
說明 |
|
顯示本地RADIUS認證服務器的統計信息 |
display local-server statistics |
display命令可以在任意視圖下執行 |
|
顯示所有或指定RADIUS方案的配置信息 |
display radius scheme [ radius-scheme-name ] |
|
|
顯示RADIUS報文的統計信息 |
display radius statistics |
|
|
顯示緩存的沒有得到響應的停止計費請求報文 |
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range
start-time stop-time | user-name user-name } |
|
|
刪除那些緩存的、沒有得到響應的停止計費請求報文 |
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range
start-time stop-time | user-name user-name } |
reset命令在用戶視圖下執行 |
|
清除RADIUS協議的統計信息 |
reset
radius statistics |
表2-33 HWTACACS協議顯示和維護
|
操作 |
命令 |
說明 |
|
查看所有或指定HWTACACS方案的配置信息或統計信息 |
display hwtacacs [ hwtacacs-scheme-name
[ statistics] ] |
display命令可以在任意視圖下執行 |
|
顯示緩存的沒有得到響應的停止計費請求報文 |
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name |
|
|
清除TACACS協議的統計信息 |
reset hwtacacs statistics { accounting | authentication | authorization |
all } |
reset命令在用戶視圖下執行 |
|
刪除在交換機上緩存的、沒有得到響應的停止計費請求報文 |
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name |
& 說明:
SSH用戶和Telnet用戶通過RADIUS服務器進行認證的配置方法類似,下麵的描述以Telnet用戶的遠端認證為例。
在圖2-1所示的環境中,需要通過配置交換機實現RADIUS服務器對登錄交換機的Telnet用戶進行認證。
l
一台RADIUS認證服務器與交換機相連,服務器IP地址為10.110.91.164。
l
設置交換機與認證RADIUS服務器交互報文時的共享密鑰為aabbcc。
l
RADIUS服務器使用CAMS服務器。使用CAMS服務器,RADIUS服務器類型應選擇extended類型。
l
在RADIUS服務器上設置與交換機交互報文時的共享密鑰為aabbcc,設置認證的端口號,添加Telnet用戶名及登錄密碼。
如果RADIUS方案中設置交換機不從用戶名中去除用戶域名而是一起傳給RADIUS服務器,RADIUS服務器上添加的Telnet用戶名設置為“userid@isp-name”形式。
圖2-1 配置Telnet用戶的遠端RADIUS認證
# 進入係統視圖。
<H3C> system-view
# 配置Telnet用戶采用AAA認證方式。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
# 配置domain。
[H3C] domain cams
[H3C-isp-cams] access-limit enable 10
[H3C-isp-cams] quit
# 配置RADIUS方案。
[H3C] radius scheme cams
[H3C-radius-cams] accounting optional
[H3C-radius-cams] primary authentication 10.110.91.164 1812
[H3C-radius-cams] key authentication aabbcc
[H3C-radius-cams] server-type extended
[H3C-radius-cams] user-name-format with-domain
[H3C-radius-cams] quit
# 配置domain和RADIUS的關聯。
[H3C] domain cams
[H3C-isp-cams] scheme radius-scheme cams
Telnet用戶登錄時輸入用戶名userid @cams,以使用cams域進行認證。
& 說明:
FTP用戶與Telnet用戶通過本地認證的配置方法類似,下麵描述僅以Telnet用戶為例。
如下圖所示的環境中,現需要通過配置交換機實現對登錄交換機的Telnet用戶進行本地認證。
圖2-2 配置Telnet用戶的本地認證
(1)
方法一:使用本地認證方案。
# 進入係統視圖。
<H3C> system-view
# 配置Telnet用戶采用AAA認證方式。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] quit
# 創建本地用戶telnet。
[H3C] local-user telnet
[H3C-luser-telnet] service-type telnet
[H3C-luser-telnet] password simple aabbcc
[H3C-luser-telnet] quit
# 配置缺省system域采用的認證方式。
[H3C] domain system
[H3C-isp-system] scheme local
使用Telnet登錄時輸入用戶名為telnet@system,以使用system域進行認證。
(2)
方法二:使用本地RADIUS服務器
這種方法與2.5.1 節中的遠端RADIUS認證方法類似,不同之處在於:
l
需要將2.5.1 節中“配置RADIUS方案”中的服務器IP地址修改為127.0.0.1,認證服務的UDP端口號修改為1645。
l
配置開啟本地RADIUS服務器,設置網絡接入服務器IP地址為127.0.0.1,共享密鑰為aabbcc。
通過配置交換機實現TACACS服務器對登錄交換機的Telnet用戶進行認證、授權。
一台TACACS服務器(其擔當認證、授權、計費服務器的職責)與交換機相連,服務器IP地址為10.110.91.164,設置交換機與認證、授權、計費TACACS服務器交互報文時的共享密鑰均為“expert”,設置交換機除去用戶名中的域名後再將之傳給TACACS服務器。
在TACACS服務器上設置與交換機交互報文時的共享密鑰為aabbcc。
圖2-3 配置Telnet用戶的遠端TACACS認證和授權
# 添加Telnet用戶。
此處略。
# 配置HWTACACS方案。
<H3C> system-view
[H3C] hwtacacs scheme hwtac
[H3C-hwtacacs-hwtac] primary authentication 10.110.91.164 49
[H3C-hwtacacs-hwtac] primary authorization 10.110.91.164 49
[H3C-hwtacacs-hwtac] key authentication aabbcc
[H3C-hwtacacs-hwtac] key authorization aabbcc
[H3C-hwtacacs-hwtac] user-name-format without-domain
[H3C-hwtacacs-hwtac] quit
# 配置domain引用名為hwtac的HWTACACS方案。
[H3C] domain hwtacacs
[H3C-isp-hwtacacs] scheme hwtacacs-scheme hwtac
RADIUS協議在TCP/IP協議族中處於應用層,它主要規定交換機與ISP的RADIUS服務器間如何交互用戶信息,因此它失效的可能性比較大。
(1)
錯誤之一:用戶認證/授權總是失敗
錯誤排除:
l
用戶名不是“userid@isp-name”或“userid.isp-name”的形式,或設備沒有指定缺省的ISP域——請使用正確形式的用戶名或在設備中設定缺省的ISP域。
l
RADIUS服務器的數據庫中沒有配置該用戶——檢查RADIUS服務器的數據庫以保證該用戶的配置信息確實存在。
l
用戶側輸入的密碼不正確——請保證接入用戶輸入正確的密碼。
l
RADIUS服務器和設備的報文共享密鑰不同——請仔細比較兩端的共享密鑰,確保它們相同。
l
設備與RADIUS服務器之間存在通信故障(可以通過在設備上ping RADIUS服務器來檢查)——請保證設備與RADIUS服務器之間能夠正常通信。
(2)
錯誤之二:RADIUS報文無法傳送到RADIUS服務器
錯誤排除:
l
設備與RADIUS服務器之間的通信線路不通(物理層/鏈路層)——請保證線路通暢。
l
設備上沒有設置相應的RADIUS服務器IP地址——請保證正確設置RADIUS服務器的IP地址。
l
認證/授權和計費服務的UDP端口設置得不正確——請保證與RADIUS服務器提供的端口號一致。
(3)
錯誤之三:用戶認證通過並獲得授權,但是不能向RADIUS服務器傳送計費話單。
錯誤排除:
l
計費端口號設置得不正確——請正確設置RADIUS計費端口號。
l
計費服務器和認證/授權服務器不是同一台機器,設備卻要求認證/授權和計費在同一個服務器(IP地址相同)——請保證設備的認證/授權和計費服務器的設置與實際情況相同。
HWTACACS的常見配置錯誤舉例與RADIUS基本相似,可以參考上麵內容。
& 說明:
僅S5100-EI係列以太網交換機支持EAD配置功能。
EAD(Endpoint Admission Defense,端點準入防禦)方案通過對接入的數據進行監控,能夠增強網絡終端的主動防禦能力,控製病毒和蠕蟲在網絡內部的蔓延。同時,通過限製不符合安全要求的終端的訪問權限,防止不安全終端對整個網絡的安全造成危害。
EAD方案的實施需要交換機、AAA服務器、安全策略服務器和安全客戶端聯合操作、相互配合,從而實現對終端用戶的安全狀態評估和訪問權限的動態控製。
EAD方案啟動後,交換機根據接收到的會話控製報文的源IP地址判斷該報文是否合法:
l
隻有從認證服務器以及安全策略服務器發送過來的會話控製報文才被交換機認為是合法的。
l
交換機根據會話控製報文的指令,動態地調整用戶終端的VLAN、速率、報文調度優先級以及ACL(Access Control List,訪問控製列表),從而動態控製用戶的訪問權限。
EAD方案在用戶接入網絡前,通過強製檢查用戶終端的安全狀態,並根據對用戶終端安全狀態的檢查結果,強製實施用戶接入控製策略,從而實現對不符合安全標準的用戶進行“隔離”並強製用戶進行病毒庫升級、係統補丁安裝等操作。其典型組網應用如圖3-1所示。
圖3-1 EAD典型組網應用
當客戶端通過認證服務器的身份驗證以後,安全客戶端(安裝在客戶端PC上的軟件)對客戶端的安全狀況進行檢測,並與安全策略服務器交互,如果不符合安全認證的標準,安全策略服務器下發ACL控製報文到交換機,交換機隻允許客戶端訪問病毒補丁服務器。
隻有當客戶端安裝了補丁,並且客戶端的安全標準滿足了安全認證的標準以後,安全客戶端將客戶端的安全狀態傳遞到安全策略服務器,安全策略服務器將再次下發ACL,使交換機打開客戶端的訪問權限,使之能夠訪問更多的網絡資源。
EAD功能的配置如下:
l
配置接入用戶的屬性,例如用戶名、用戶類型、密碼等。如果配置本地認證,需要在交換機上配置接入用戶的屬性;如果遠程認證,需要在AAA服務器上配置接入用戶的屬性
l
配置RADIUS方案
l
配置安全策略服務器IP地址
l
配置ISP域和RADIUS方案的關聯
EAD主要應用在RADIUS認證場合。
本節主要介紹配置安全策略服務器IP地址,其他相關的配置過程描述請參見第1章 AAA。
表3-1 EAD配置過程
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RADIUS方案視圖 |
radius scheme radius-scheme-name |
- |
|
配置RADIUS服務器的類型為extended |
server-type extended |
必選 |
|
配置安全策略服務器IP地址 |
security-policy-server ip-address |
必選 每個RADIUS方案中最多允許配置8個不同IP的安全策略服務器地址 |
在如圖3-2所示的環境中:
l
某用戶的工作站與以太網交換機的端口GigabitEthernet 1/0/1相連接。
l
用戶的工作站采用支持EAD擴展功能的802.1X客戶端。
l
通過對交換機的配置,實現RADIUS服務器對接入用戶的遠端認證和安全策略服務器對用戶的EAD操作控製。
配置任務如下:
l
RADIUS認證服務器與交換機相連,服務器IP地址為10.110.91.164,交換機使用端口號1812與認證服務器通信。
l
認證服務器的類型為extended。
l
設置交換機與認證RADIUS服務器交互報文時的加密密碼為expert。
l
配置安全策略服務器,IP地址為:10.110.91.166。
圖3-2 EAD典型配置組網圖
# 在交換機上完成802.1x配置,具體配置過程描述請參見“802.1x”中的配置802.1x基本功能部分。
# 配置domain。
<H3C> system-view
[H3C] domain system
[H3C-isp-system] quit
# 配置RADIUS方案。
[H3C] radius scheme cams
[H3C-radius-cams] primary authentication 10.110.91.164 1812
[H3C-radius-cams] accounting optional
[H3C-radius-cams] key authentication expert
[H3C-radius-cams] server-type extended
# 配置安全策略服務器地址。
[H3C-radius-cams] security-policy-server 10.110.91.166
# 配置domain和RADIUS方案的關聯。
[H3C-radius-cams] quit
[H3C] domain system
[H3C-isp-system] radius-scheme cams
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
