目  錄

1 AAA

1.1 AAA簡介

1.1.1 概述

1.1.2 RADIUS協議簡介

1.1.3 HWTACACS協議簡介

1.1.4 LDAP協議簡介

1.1.5 基於域的用戶管理

1.1.6 協議規範

1.1.7 RADIUS屬性

1.2 AAA配置思路及配置任務簡介

1.3 配置AAA方案

1.3.1 配置本地用戶

1.3.2 配置RADIUS方案

1.3.3 配置HWTACACS方案

1.3.4 配置LDAP方案

1.4 在ISP域中配置實現AAA的方法

1.4.1 配置準備

1.4.2 創建ISP域

1.4.3 配置ISP域的屬性

1.4.4 配置ISP域的AAA認證方法

1.4.5 配置ISP域的AAA授權方法

1.4.6 配置ISP域的AAA計費方法

1.5 配置強製切斷用戶連接

1.6 配置本地EAP認證

1.7 配置NAS-ID與VLAN的綁定

1.8 配置設備ID

1.9 AAA顯示和維護

1.10 AAA典型配置舉例

1.10.1 Telnet用戶通過HWTACACS服務器認證和授權的應用配置

1.10.2 Telnet用戶通過local認證、HWTACACS授權的應用配置

1.10.3 Telnet用戶的LDAP認證配置

1.10.4 Portal用戶的RADIUS認證、授權和計費配置

1.10.5 802.1X用戶的RADIUS認證、授權和計費配置

1.10.6 802.1X用戶本地EAP認證和授權配置

1.10.7 802.1X用戶的RADIUS Offload認證、授權、計費配置

1.10.8 Telnet用戶通過HWTACACS服務器進行用戶級別切換認證的應用配置

1.10.9 配置使用LDAP身份驗證方式的本地EAP認證

1.10.10 控製無線用戶的臨時接入

1.11 AAA常見配置錯誤舉例

1.11.1 RADIUS認證/授權失敗

1.11.2 RADIUS報文傳送失敗

1.11.3 RADIUS計費功能異常

1.11.4 HWTACACS常見配置錯誤舉例

1.11.5 LDAP常見配置錯誤舉例

 

1 AAA

1.1  AAA簡介

1.1.1  概述

AAA是Authentication、Authorization、Accounting（認證、授權、計費）的簡稱，是網絡安全的一種管理機製，提供了認證、授權、計費三種安全功能。

·     認證：確認訪問網絡的遠程用戶的身份，判斷訪問者是否為合法的網絡用戶。

·     授權：對不同用戶賦予不同的權限，限製用戶可以使用的服務。例如用戶成功登錄服務器後，管理員可以授權用戶對服務器中的文件進行訪問和打印操作。

·     計費：記錄用戶使用網絡服務中的所有操作，包括使用的服務類型、起始時間、數據流量等，它不僅是一種計費手段，也對網絡安全起到了監視作用。

AAA一般采用客戶機/服務器結構，客戶端運行於NAS（Network Access Server，網絡接入服務器）上，服務器上則集中管理用戶信息。NAS對於用戶來講是服務器端，對於服務器來說是客戶端。AAA的基本組網結構如圖1-1。

圖1-1 AAA基本組網結構示意圖

 

當用戶想要通過某網絡與NAS建立連接，從而獲得訪問其它網絡的權利或取得某些網絡資源的權利時，NAS起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器（RADIUS服務器或HWTACACS服務器），RADIUS協議或HWTACACS協議規定了NAS與服務器之間如何傳遞用戶信息。

圖1-1的AAA基本組網結構中有兩台服務器，用戶可以根據實際組網需求來決定認證、授權、計費功能分別由使用哪種協議類型的服務器來承擔。例如，可以選擇HWTACACS服務器實現認證和授權，RADIUS服務器實現計費。

當然，用戶也可以隻使用AAA提供的一種或兩種安全服務。例如，公司僅僅想讓員工在訪問某些特定資源的時候進行身份認證，那麼網絡管理員隻要配置認證服務器就可以了。但是若希望對員工使用網絡的情況進行記錄，那麼還需要配置計費服務器。

AAA可以通過多種協議來實現，目前設備支持基於RADIUS協議、HWTACACS協議或LDAP協議來實現AAA，在實際應用中，最常使用RADIUS協議。

1.1.2  RADIUS協議簡介

RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）是一種分布式的、客戶端/服務器結構的信息交互協議，能保護網絡不受未授權訪問的幹擾，常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。該協議定義了RADIUS的報文格式及其消息傳輸機製，並規定使用UDP作為封裝RADIUS報文的傳輸層協議（UDP端口1812、1813分別作為認證、計費端口）。

RADIUS最初僅是針對撥號用戶的AAA協議，後來隨著用戶接入方式的多樣化發展，RADIUS也適應多種用戶接入方式，如以太網接入、ADSL接入。它通過認證授權來提供接入服務，通過計費來收集、記錄用戶對網絡資源的使用。

1. 客戶端/服務器模式

·     客戶端：RADIUS客戶端一般位於NAS上，可以遍布整個網絡，負責傳輸用戶信息到指定的RADIUS服務器，然後根據從服務器返回的信息進行相應處理（如接受/拒絕用戶接入）。

·     服務器：RADIUS服務器一般運行在中心計算機或工作站上，維護相關的用戶認證和網絡服務訪問信息，負責接收用戶連接請求並認證用戶，然後給客戶端返回所有需要的信息（如接受/拒絕認證請求）。

RADIUS服務器通常要維護三個數據庫，如圖1-2所示：

圖1-2 RADIUS服務器的組成

 

·     “Users”：用於存儲用戶信息（如用戶名、口令以及使用的協議、IP地址等配置信息）。

·     “Clients”：用於存儲RADIUS客戶端的信息（如NAS的共享密鑰、IP地址等）。

·     “Dictionary”：用於存儲RADIUS協議中的屬性和屬性值含義的信息。

2. 安全和認證機製

RADIUS客戶端和RADIUS服務器之間認證消息的交互是通過共享密鑰的參與來完成的，並且共享密鑰不能通過網絡來傳輸，增強了信息交互的安全性。另外，為防止用戶密碼在不安全的網絡上傳遞時被竊取，在傳輸過程中對密碼進行了加密。

RADIUS服務器支持多種方法來認證用戶，如基於PPP的PAP、CHAP認證。另外，RADIUS服務器還可以作為一個代理，以RADIUS客戶端的身份與其它的RADIUS認證服務器進行通信，負責轉發RADIUS認證和計費報文。

3. RADIUS的基本消息交互流程

用戶、RADIUS客戶端和RADIUS服務器之間的交互流程如圖1-3所示。

圖1-3 RADIUS的基本消息交互流程

 

消息交互流程如下：

(1)     用戶發起連接請求，向RADIUS客戶端發送用戶名和密碼。

(2)     RADIUS客戶端根據獲取的用戶名和密碼，向RADIUS服務器發送認證請求包（Access-Request），其中的密碼在共享密鑰的參與下由MD5算法進行加密處理。

(3)     RADIUS服務器對用戶名和密碼進行認證。如果認證成功，RADIUS服務器向RADIUS客戶端發送認證接受包（Access-Accept）；如果認證失敗，則返回認證拒絕包（Access-Reject）。由於RADIUS協議合並了認證和授權的過程，因此認證接受包中也包含了用戶的授權信息。

(4)     RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入，則RADIUS客戶端向RADIUS服務器發送計費開始請求包（Accounting-Request）。

(5)     RADIUS服務器返回計費開始響應包（Accounting-Response），並開始計費。

(6)     用戶開始訪問網絡資源。

(7)     用戶請求斷開連接，RADIUS客戶端向RADIUS服務器發送計費停止請求包（Accounting-Request）。

(8)     RADIUS服務器返回計費結束響應包（Accounting-Response），並停止計費。

(9)     用戶結束訪問網絡資源。

4. RADIUS報文結構

RADIUS采用UDP報文來傳輸消息，通過定時器管理機製、重傳機製、備用服務器機製，確保RADIUS服務器和客戶端之間交互消息的正確收發。RADIUS報文結構如圖1-4所示。

圖1-4 RADIUS報文結構

 

各字段的解釋如下：

(1)     Code域

長度為1個字節，用於說明RADIUS報文的類型，如表1-1所示。

表1-1 Code域的主要取值說明

Code	報文類型	報文說明
1	Access-Request認證請求包	方向Client->Server，Client將用戶信息傳輸到Server，由Server判斷是否接入該用戶。該報文中必須包含User-Name屬性，可選包含NAS-IP-Address、User-Password、NAS-Port等屬性
2	Access-Accept認證接受包	方向Server->Client，如果Access-Request報文中的所有Attribute值都可以接受（即認證通過），則傳輸該類型報文
3	Access-Reject認證拒絕包	方向Server->Client，如果Access-Request報文中存在任何無法被接受的Attribute值（即認證失敗），則傳輸該類型報文
4	Accounting-Request計費請求包	方向Client->Server，Client將用戶信息傳輸到Server，請求Server開始/停止計費，由該報文中的Acct-Status-Type屬性區分計費開始請求和計費結束請求
5	Accounting-Response計費響應包	方向Server->Client，Server通知Client已經收到Accounting-Request報文，並且已經正確記錄計費信息

 

(2)     Identifier域

長度為1個字節，用於匹配請求包和響應包，以及檢測在一段時間內重發的請求包。類型一致的請求包和響應包的Identifier值相同。

(3)     Length域

長度為2個字節，表示RADIUS數據包（包括Code、Identifier、Length、Authenticator和Attribute）的長度，範圍從20～4096。超過Length域的字節將作為填充字符被忽略。如果接收到的包的實際長度小於Length域的值時，則包會被丟棄。

(4)     Authenticator域

長度為16個字節，用於驗證RADIUS服務器的應答報文，另外還用於用戶密碼的加密。Authenticator包括兩種類型：Request Authenticator和Response Authenticator。

(5)     Attribute域

不定長度，用於攜帶專門的認證、授權和計費信息，提供請求和響應報文的配置細節。Attribute可包括多個屬性，每一個屬性都采用（Type、Length、Value）三元組的結構來表示。

·     類型（Type），1個字節，取值為1～255，用於表示屬性的類型，表1-2列出了RADIUS認證、授權、計費常用的屬性。

·     長度（Length），表示該屬性（包括類型、長度和屬性）的長度，單位為字節。

·     屬性值（Value），表示該屬性的信息，其格式和內容由類型和長度決定，最大長度為253字節。

表1-2 RADIUS屬性

屬性編號	屬性名稱	屬性編號	屬性名稱
1	User-Name	45	Acct-Authentic
2	User-Password	46	Acct-Session-Time
3	CHAP-Password	47	Acct-Input-Packets
4	NAS-IP-Address	48	Acct-Output-Packets
5	NAS-Port	49	Acct-Terminate-Cause
6	Service-Type	50	Acct-Multi-Session-Id
7	Framed-Protocol	51	Acct-Link-Count
8	Framed-IP-Address	52	Acct-Input-Gigawords
9	Framed-IP-Netmask	53	Acct-Output-Gigawords
10	Framed-Routing	54	(unassigned)
11	Filter-ID	55	Event-Timestamp
12	Framed-MTU	56-59	(unassigned)
13	Framed-Compression	60	CHAP-Challenge
14	Login-IP-Host	61	NAS-Port-Type
15	Login-Service	62	Port-Limit
16	Login-TCP-Port	63	Login-LAT-Port
17	(unassigned)	64	Tunnel-Type
18	Reply-Message	65	Tunnel-Medium-Type
19	Callback-Number	66	Tunnel-Client-Endpoint
20	Callback-ID	67	Tunnel-Server-Endpoint
21	(unassigned)	68	Acct-Tunnel-Connection
22	Framed-Route	69	Tunnel-Password
23	Framed-IPX-Network	70	ARAP-Password
24	State	71	ARAP-Features
25	Class	72	ARAP-Zone-Access
26	Vendor-Specific	73	ARAP-Security
27	Session-Timeout	74	ARAP-Security-Data
28	Idle-Timeout	75	Password-Retry
29	Termination-Action	76	Prompt
30	Called-Station-Id	77	Connect-Info
31	Calling-Station-Id	78	Configuration-Token
32	NAS-Identifier	79	EAP-Message
33	Proxy-State	80	Message-Authenticator
34	Login-LAT-Service	81	Tunnel-Private-Group-id
35	Login-LAT-Node	82	Tunnel-Assignment-id
36	Login-LAT-Group	83	Tunnel-Preference
37	Framed-AppleTalk-Link	84	ARAP-Challenge-Response
38	Framed-AppleTalk-Network	85	Acct-Interim-Interval
39	Framed-AppleTalk-Zone	86	Acct-Tunnel-Packets-Lost
40	Acct-Status-Type	87	NAS-Port-Id
41	Acct-Delay-Time	88	Framed-Pool
42	Acct-Input-Octets	89	(unassigned)
43	Acct-Output-Octets	90	Tunnel-Client-Auth-id
44	Acct-Session-Id	91	Tunnel-Server-Auth-id

 

 

5. RADIUS擴展屬性

RADIUS協議具有良好的可擴展性，RFC 2865中定義的26號屬性（Vendor-Specific）用於設備廠商對RADIUS進行擴展，以實現標準RADIUS沒有定義的功能。

設備廠商可以封裝多個自定義的“（Type、Length、Value）”子屬性來擴展RADIUS。如圖1-5所示，26號屬性報文內封裝的子屬性包括以下四個部分：

·     Vendor-ID，表示廠商代號，最高字節為0，其餘3字節的編碼見RFC 1700。H3C公司的Vendor-ID是25506。H3C RADIUS擴展屬性的介紹請參見“1.1.7  2. H3C RADIUS擴展屬性”。

·     Vendor-Type，表示子屬性類型。

·     Vendor-Length，表示子屬性長度。

·     Vendor-Data，表示子屬性的內容。

圖1-5 包括擴展屬性的RADIUS報文片斷

 

1.1.3  HWTACACS協議簡介

HWTACACS（HW Terminal Access Controller Access Control System，HW終端訪問控製器控製係統協議）是在TACACS（RFC 1492）基礎上進行了功能增強的安全協議。該協議與RADIUS協議類似，采用客戶端/服務器模式實現NAS與HWTACACS服務器之間的通信。

HWTACACS協議主要用於PPP（Point-to-Point Protocol，點到點協議）和VPDN（Virtual Private Dial-up Network，虛擬專用撥號網絡）接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權以及對終端用戶執行的操作進行記錄。設備作為HWTACACS的客戶端，將用戶名和密碼發給HWTACACS服務器進行驗證，用戶驗證通過並得到授權之後可以登錄到設備上進行操作，HWTACACS服務器上會記錄用戶對設備執行過的命令。

1. HWTACACS協議與RADIUS協議的區別

HWTACACS協議與RADIUS協議都實現了認證、授權、計費的功能，它們有很多相似點：結構上都采用客戶端/服務器模式；都使用公共密鑰對傳輸的用戶信息進行加密；都有較好的靈活性和可擴展性。兩者之間存在的主要區別如表1-3所示。

表1-3 HWTACACS協議和RADIUS協議區別

HWTACACS協議	RADIUS協議
使用TCP，網絡傳輸更可靠	使用UDP，網絡傳輸效率更高
除了HWTACACS報文頭，對報文主體全部進行加密	隻對驗證報文中的密碼字段進行加密
協議報文較為複雜，認證和授權分離，使得認證、授權服務可以分離在不同的安全服務器上實現。例如，可以用一個HWTACACS服務器進行認證，另外一個HWTACACS服務器進行授權	協議報文比較簡單，認證和授權結合，難以分離
支持對設備的配置命令進行授權使用。用戶可使用的命令行受到用戶級別和AAA授權的雙重限製，某一級別的用戶輸入的每一條命令都需要通過HWTACACS服務器授權，如果授權通過，命令就可以被執行	不支持對設備的配置命令進行授權使用 用戶登錄設備後可以使用的命令行由用戶級別決定，用戶隻能使用缺省級別等於/低於用戶級別的命令行

 

2. HWTACACS的基本消息交互流程

下麵以Telnet用戶為例，說明使用HWTACACS對用戶進行認證、授權和計費的過程。基本消息交互流程圖如圖1-6所示。

圖1-6 Telnet用戶認證、授權和計費流程圖

 

 

在整個過程中的基本消息交互流程如下：

(1)     Telnet用戶請求登錄設備。

(2)     HWTACACS客戶端收到請求之後，向HWTACACS服務器發送認證開始報文。

(3)     HWTACACS服務器發送認證回應報文，請求用戶名。

(4)     HWTACACS客戶端收到回應報文後，向用戶詢問用戶名。

(5)     用戶輸入用戶名。

(6)     HWTACACS客戶端收到用戶名後，向HWTACACS服務器發送認證持續報文，其中包括了用戶名。

(7)     HWTACACS服務器發送認證回應報文，請求登錄密碼。

(8)     HWTACACS客戶端收到回應報文，向用戶詢問登錄密碼。

(9)     用戶輸入密碼。

(10)     HWTACACS客戶端收到登錄密碼後，向HWTACACS服務器發送認證持續報文，其中包括了登錄密碼。

(11)     HWTACACS服務器發送認證回應報文，指示用戶通過認證。

(12)     HWTACACS客戶端向HWTACACS服務器發送授權請求報文。

(13)     HWTACACS服務器發送授權回應報文，指示用戶通過授權。

(14)     HWTACACS客戶端收到授權回應成功報文，向用戶輸出設備的配置界麵。

(15)     HWTACACS客戶端向HWTACACS服務器發送計費開始報文。

(16)     HWTACACS服務器發送計費回應報文，指示計費開始報文已經收到。

(17)     用戶請求斷開連接。

(18)     HWTACACS客戶端向HWTACACS服務器發送計費結束報文。

(19)     HWTACACS服務器發送計費結束報文，指示計費結束報文已經收到。

1.1.4  LDAP協議簡介

LDAP（Lightweight Directory Access Protocol，輕量級目錄訪問協議）是一種基於TCP/IP的目錄訪問協議，用於提供跨平台的、基於標準的目錄服務。它是在繼承了X.500協議優點的基礎上發展起來的，並對X.500在讀取、瀏覽和查詢操作方麵進行了改進，適合於存儲那些不經常改變的數據。

LDAP協議的典型應用是用來保存係統中的用戶信息，如Microsoft的Windows操作係統就使用了Active Directory Server來保存操作係統的用戶、用戶組等信息，用於用戶登錄Windows時的認證和授權。

1. LDAP目錄服務

LDAP中使用目錄記錄並管理係統中的組織信息、人員信息以及資源信息，目錄是按照樹型結構組織，由多個條目（Entry）組成的。條目是具有DN（Distinguished Name，識別名）的屬性（Attribute）集合。

LDAP的目錄服務功能建立在Client/Server的基礎之上，所有的目錄信息數據存儲在LDAP服務器上。目前，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server都是常用的LDAP服務器軟件。

2. 使用LDAP協議進行認證和授權

LDAP協議中定義了多種操作來實現LDAP的各種功能，用於認證和授權的操作主要為綁定和查詢。

·     綁定操作的作用有兩個：一是與LDAP服務器建立連接並獲取LDAP服務器的訪問權限。二是用於檢查用戶信息的合法性。

·     查詢操作就是構造查詢條件，並獲取LDAP服務器的目錄資源信息的過程。

使用LDAP協議進行認證時，其基本的工作流程如下：

(1)     LDAP客戶端使用LDAP服務器管理員DN與LDAP服務器進行綁定，與LDAP服務器建立連接並獲得查詢權限。

(2)     LDAP客戶端使用認證信息中的用戶名構造查詢條件，在LDAP服務器指定根目錄下查詢此用戶，得到用戶的DN。

(3)     LDAP客戶端使用用戶DN和用戶密碼與LDAP服務器進行綁定，檢查用戶密碼是否正確。

使用LDAP協議進行授權的過程與認證過程相似，首先必須通過與LDAP服務器進行綁定，建立與服務器的連接，然後在此連接的基礎上通過查詢操作得到用戶的授權信息。與認證過程稍有不同的是，在查詢用戶DN時，除能夠獲得用戶DN外，還可以獲得用戶信息中的授權信息。如果查詢用戶DN時便能夠獲得相應的授權信息，則授權過程與認證過程相同；否則還需要再次以LDAP服務器管理員身份與LDAP服務器進行綁定，並在獲得相應的目錄查詢權限後，使用查詢到的用戶DN構造查詢條件，繼續對該用戶的其它授權信息進行查詢。

3. LDAP的基本消息交互流程

下麵以Telnet用戶登錄設備為例，說明如何使用LDAP來對用戶進行的認證和授權。基本消息交互流程如圖1-7所示。

圖1-7 LDAP認證的基本消息交互流程

 

在整個過程中的基本消息交互流程如下：

(1)     用戶發起連接請求，向LDAP客戶端發送用戶名和密碼。

(2)     LDAP客戶端收到請求之後，與LDAP服務器建立TCP連接。

(3)     LDAP客戶端以管理員DN和管理員DN密碼為參數向LDAP服務器發送管理員綁定請求報文（Administrator Bind Request）獲得查詢權限。

(4)     LDAP服務器進行綁定請求報文的處理。如果綁定成功，則向LDAP客戶端發送綁定成功的回應報文。

(5)     LDAP客戶端以輸入的用戶名為參數，向LDAP服務器發送用戶DN查詢請求報文（User DN Search Request）。

(6)     LDAP服務器收到查詢請求報文後，根據報文中的查詢起始地址、查詢範圍、以及過濾條件，對用戶DN進行查找。如果查詢成功，則向LDAP客戶端發送查詢成功的回應報文。查詢得到的用戶DN可以是一或多個。

(7)     LDAP客戶端以查詢得到的用戶DN和用戶輸入的密碼為參數，向LDAP服務器發送用戶DN綁定請求報文（User DN Bind Request），檢查用戶密碼是否正確。

(8)     LDAP服務器進行綁定請求報文的處理。

·     如果綁定成功，則向LDAP客戶端發送綁定成功的回應報文。

·     如果綁定失敗，則向LDAP客戶端發送綁定失敗的回應報文。LDAP客戶端以下一個查詢到的用戶DN（如果存在的話）為參數，繼續向服務器發送綁定請求，直至有一個DN綁定成功，或者所有DN均綁定失敗。如果所有用戶DN都綁定失敗，則LDAP客戶端通知用戶登錄失敗並拒絕用戶接入。

(9)     LDAP客戶端與LDAP服務器進行授權報文的交互。如果需要使用其它方案（如HWTACACS等）繼續進行授權，則與對應服務器進行授權報文的交互。

(10)     授權成功之後，LDAP客戶端通知用戶登錄成功。

1.1.5  基於域的用戶管理

一個ISP（Internet Service Provider，互聯網服務提供商）域是由屬於同一個ISP的用戶構成的群體。

NAS對用戶的管理是基於ISP域的，每個接入用戶都屬於一個ISP域。用戶所屬的ISP域是由用戶登錄時提供的用戶名決定的，如圖1-8所示。

圖1-8 用戶名決定域名

 

用戶的認證、授權、計費都是在相應的ISP域視圖下應用預先配置的認證、授權、計費方案來實現的。AAA有缺省的認證、授權、計費方案，分別為本地認證、本地授權、本地計費。如果用戶所屬的ISP域下未應用任何認證、授權、計費方案，係統將使用缺省的認證、授權、計費方案。

為便於對不同接入方式的用戶進行區分管理，AAA將用戶劃分為以下幾個類型：

·     lan-access用戶：LAN接入用戶，如802.1X認證、MAC地址認證用戶。

·     login用戶：登錄設備用戶，如SSH、Telnet、Web、FTP、終端接入用戶。

·     Portal接入用戶。

·     PPP接入用戶。

·     WAPI接入用戶。

 

用戶登錄設備後，AAA還可以對其提供以下服務，用於提高用戶登錄後對設備操作的安全性：

·     命令行授權：用戶執行的每一條命令都需要接受授權服務器的檢查，隻有授權成功的命令才被允許執行。關於命令行授權的詳細介紹請參考“基礎配置指導”中的“配置用戶通過CLI登錄設備”。

·     命令行計費：用戶執行過的所有命令或被成功授權執行的命令，會被計費服務器進行記錄。關於命令行計費的詳細介紹請參考“基礎配置指導”中的“配置用戶通過CLI登錄設備”。

·     級別切換認證：在不退出當前登錄、不斷開當前連接的前提下，用戶將自身的用戶級別由低向高切換的時候，需要通過服務器的認證，級別切換操作才被允許。關於用戶級別切換的詳細介紹請參考“基礎配置指導”中的“CLI”。

AAA支持在ISP域視圖下針對不同的接入方式配置不同的認證、授權、計費的方法（一組不同的認證/授權/計費方案），具體的配置步驟請參見“1.4  在ISP域中配置實現AAA的方法”。

1.1.6  協議規範

與AAA、RADIUS、HWTACACS、LDAP相關的協議規範有：

·     RFC 2865：Remote Authentication Dial In User Service (RADIUS)

·     RFC 2866：RADIUS Accounting

·     RFC 2867：RADIUS Accounting Modifications for Tunnel Protocol Support

·     RFC 2868：RADIUS Attributes for Tunnel Protocol Support

·     RFC 2869：RADIUS Extensions

·     RFC 1492：An Access Control Protocol, Sometimes Called TACACS

·     RFC 1777：Lightweight Directory Access Protocol

·     RFC 2251：Lightweight Directory Access Protocol (v3)

1.1.7  RADIUS屬性

1. 常用RADIUS標準屬性

表1-4 常用RADIUS標準屬性

屬性編號	屬性名稱	描述
1	User-Name	需要進行認證的用戶名稱
2	User-Password	需要進行PAP方式認證的用戶密碼，在采用PAP認證方式時，該屬性僅出現在Access-Request報文中
3	CHAP-Password	需要進行CHAP方式認證的用戶密碼的消息摘要。在采用CHAP認證方式時，該屬性出現在Access-Request報文中
4	NAS-IP-Address	Server通過不同的IP地址來標識不同的Client，通常Client采用本地一個接口的IP地址來唯一的標識自己，這就是NAS-IP-Address。該屬性指示當前發起請求的Client的NAS-IP-Address。該字段僅出現在Access-Request報文中
5	NAS-Port	用戶接入NAS的物理端口號
6	Service-Type	用戶申請認證的業務類型 ·     802.1X認證：Service-Type填寫為2 ·     MAC地址認證：Service-Type填寫為10
7	Framed-Protocol	用戶Frame類型業務的封裝協議
8	Framed-IP-Address	為用戶所配置的IP地址
11	Filter-ID	訪問控製列表的名稱
12	Framed-MTU	用戶與NAS之間數據鏈路的MTU（Maximum Transmission Unit，最大傳輸單元）值。例如在802.1X的EAP方式認證中，NAS通過Framed-MTU值指示Server發送EAP報文的最大長度，防止EAP報文大於數據鏈路MTU導致的報文丟失
14	Login-IP-Host	用戶登錄設備的接口IP地址
15	Login-Service	用戶登錄設備時采用的業務類型
18	Reply-Message	服務器反饋給用戶的純文本描述，可用於向用戶顯示認證失敗的原因
26	Vendor-Specific	廠商自定義的私有屬性。一個報文中可以有一個或者多個私有屬性，每個私有屬性中可以有一個或者多個子屬性
27	Session-Timeout	會話結束之前，給用戶提供服務的最大時間，即用戶的最大可用時長
28	Idle-Timeout	會話結束之前，允許用戶持續空閑的最大時間，即用戶的限製切斷時間
31	Calling-Station-Id	NAS用於向Server告知標識用戶的號碼，在我司設備提供的lan-access業務中，該字段填充的是用戶的MAC地址，采用的“HH-HH-HH-HH-HH-HH”格式封裝
32	NAS-Identifier	NAS用來向Server標識自己的名稱
40	Acct-Status-Type	計費請求報文的類型 ·     1：Start ·     2：Stop ·     3：Interim-Update ·     4：Reset-Charge ·     7：Accounting-On（3GPP中有定義） ·     8：Accounting-Off （3GPP中有定義） ·     9-14：Reserved for Tunnel Accounting ·     15：Reserved for Failed
45	Acct-Authentic	用戶采用的認證方式，包括RADIUS，Local以及Remote
60	CHAP-Challenge	在CHAP認證中，由NAS生成的用於MD5計算的隨機序列
61	NAS-Port-Type	NAS認證用戶的端口的物理類型 ·     15：以太網 ·     16：所有種類的ADSL ·     17：Cable（有線電視電纜） ·     19：WLAN-IEEE 802.11 ·     201：VLAN ·     202：ATM 如果在ATM或以太網端口上還劃分VLAN，則該屬性值為201
79	EAP-Message	用於封裝EAP報文，實現RADIUS協議對EAP認證方式的支持
80	Message-Authenticator	用於對認證報文進行認證和校驗，防止非法報文欺騙。該屬性在RADIUS協議支持EAP認證方式被使用
87	NAS-Port-Id	用字符串來描述的認證端口信息

 

2. H3C RADIUS擴展屬性

表1-5 H3C RADIUS擴展屬性

子屬性編號	子屬性名稱	描述
1	Input-Peak-Rate	用戶接入到NAS的峰值速率，以bps為單位
2	Input-Average-Rate	用戶接入到NAS的平均速率，以bps為單位
3	Input-Basic-Rate	用戶接入到NAS的基本速率，以bps為單位
4	Output-Peak-Rate	從NAS到用戶的峰值速率，以bps為單位
5	Output-Average-Rate	從NAS到用戶的平均速率，以bps為單位
6	Output-Basic-Rate	從NAS到用戶的基本速率，以bps為單位
15	Remanent_Volume	表示該連接的剩餘可用總流量。對於不同的服務器類型，此屬性的單位不同
20	Command	用於會話控製，表示對會話進行操作，此屬性有五種取值 ·     1：Trigger-Request ·     2：Terminate-Request ·     3：SetPolicy ·     4：Result ·     5：PortalClear
24	Control_Identifier	服務器重發報文的標識符，對於同一會話中的重發報文，本屬性必須相同。不同的會話的報文攜帶的該屬性值可能相同。相應的客戶端響應報文必須攜帶該屬性，其值不變 在開始、停止或中間上報流量的Accounting-Request 報文中，若帶有Control-Identifier屬性，此時的Control-Identifier屬性無實際意義
25	Result_Code	表示Trigger-Request或SetPolicy的結果，0表示成功，非0表示失敗
26	Connect_ID	用戶連接索引
28	Ftp_Directory	FTP用戶工作目錄 對於FTP用戶，當RADIUS客戶端作為FTP服務器的時候，該屬性用於設置RADIUS客戶端上的FTP目錄
29	Exec_Privilege	EXEC用戶優先級
59	NAS_Startup_Timestamp	NAS係統啟動時刻，以秒為單位，表示從1970年1月1日UTC 00:00:00以來的秒數
60	Ip_Host_Addr	認證請求和計費請求報文中攜帶的用戶IP地址和MAC地址，格式為“A.B.C.D hh:hh:hh:hh:hh:hh”，IP地址和MAC地址之間以空格分開
61	User_Notify	服務器需要透傳到客戶端的信息
62	User_HeartBeat	802.1X用戶認證成功後下發的32字節的Hash字符串，該屬性值被保存在設備的用戶列表中，用於校驗802.1X客戶端的握手報文 該屬性僅出現在Access-Accept和Accounting-Request報文中
140	User_Group	SSL VPN用戶認證成功後下發的用戶組，一個用戶可以屬於多個用戶組，多個用戶組之間使用分號格開。本屬性用於SSL VPN設備的配合
141	Security_Level	SSL VPN用戶安全認證之後下發的安全級別
201	Input-Interval-Octets	兩次實時計費間隔的輸入的字節差，以Byte為單位
202	Output-Interval-Octets	兩次實時計費間隔的輸出的字節差，以Byte為單位
203	Input-Interval-Packets	兩次計費間隔的輸入的包數，單位由設備上的配置決定
204	Output-Interval-Packets	兩次計費間隔的輸出的包數，單位由設備上的配置決定
205	Input-Interval-Gigawords	兩次計費間隔的輸入的字節差是4G字節的多少倍
206	Output-Interval-Gigawords	兩次計費間隔的輸出的字節差是4G字節的多少倍
207	Backup-NAS-IP	NAS發送RADIUS報文的備份源IP地址
255	Product_ID	產品名稱

 

1.2  AAA配置思路及配置任務簡介

在作為AAA客戶端的接入設備（實現NAS功能的網絡設備）上，AAA的基本配置思路如下：

(1)     配置AAA方案：根據需要配置本地或遠程認證方案。

·     本地認證：需要配置本地用戶，即local user的相關屬性，包括手動添加認證的用戶名和密碼等；

·     遠程認證：需要配置RADIUS、HWTACACS或LDAP方案，並在服務器上配置相應的用戶屬性。

(2)     配置實現AAA的方法：在用戶所屬的ISP域中分別指定實現認證、授權、計費的方法。

·     認證方法：可選擇不認證（none）、本地認證（local）或遠程認證（scheme）；

·     授權方法：可選擇不授權（none）、本地授權（local）或遠程授權（scheme）；

·     計費方法：可選擇不計費（none）、本地計費（local）或遠程計費（scheme）。

圖1-9 AAA基本配置思路流程圖

 

表1-6 AAA配置任務簡介

配置任務		說明	詳細配置
配置AAA方案	配置本地用戶	至少選其一	1.3.1
	配置RADIUS方案		1.3.2
	配置HWTACACS方案		1.3.3
	配置LDAP方案		1.3.4
在ISP域中配置實現AAA的方法	創建ISP域	必選	1.4.2
	配置ISP域的屬性	可選	1.4.3
	配置ISP域的AAA認證方法	至少選其一	1.4.4
	配置ISP域的AAA授權方法		1.4.5
	配置ISP域的AAA計費方法		1.4.6
配置強製切斷用戶		可選	1.5
配置本地EAP認證		可選	1.6
配置NAS-ID與VLAN的綁定		可選	1.7
配置設備ID		可選	1.8

 

 

1.3  配置AAA方案

1.3.1  配置本地用戶

當選擇使用本地認證、本地授權、本地計費方法對用戶進行認證、授權或計費時，應在設備上創建本地用戶並配置相關屬性。

所謂本地用戶，是指在本地設備上設置的一組用戶屬性的集合。該集合以用戶名為用戶的唯一標識。為使某個請求網絡服務的用戶可以通過本地認證，需要在設備上的本地用戶數據庫中添加相應的表項。具體步驟是，創建一個本地用戶並進入本地用戶視圖，然後在本地用戶視圖下配置相應的用戶屬性，可配置的用戶屬性包括：

·     服務類型

用戶可使用的網絡服務類型。該屬性是本地認證的檢測項，如果沒有用戶可以使用的服務類型，則該用戶無法通過認證。

可支持的服務類型包括：FTP、lan-access、Portal、PPP、SSH、Telnet、Terminal、Web。PPP類型的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹。

·     用戶狀態

用於指示是否允許該用戶請求網絡服務器，包括active和block兩種狀態。active表示允許該用戶請求網絡服務，block表示禁止該用戶請求網絡服務。

·     最大用戶數

使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值，則使用該用戶名的新用戶將被禁止接入。

·     生效時間及有效期

用戶帳戶開始生效的時間以及有效期截止的時間。接入設備僅允許帳戶處於有效期內的的用戶通過認證。有用戶臨時需要接入網絡時，可以通過建立有一定有效期的來賓帳戶控製用戶的臨時訪問。

·     所屬的用戶組

每一個本地用戶都屬於一個本地用戶組，並繼承組中的所有屬性（密碼管理屬性和用戶授權屬性）。關於本地用戶組的介紹和配置請參見“1.3.1  3. 配置用戶組屬性”。

·     密碼管理屬性

用戶密碼的安全屬性，可用於對用戶的認證密碼進行管理和控製。可設置的策略包括：密碼老化時間、密碼最小長度、密碼組合策略。

本地用戶的密碼管理屬性在係統視圖（具有全局性）、用戶組視圖和本地用戶視圖下都可以配置，其生效的優先級順序由高到底依次為本地用戶、用戶組、全局。全局配置對所有本地用戶生效，用戶組的配置對組內所有本地用戶生效。有關密碼管理以及全局密碼配置的詳細介紹請參見“安全配置指導”中的“Password Control”。相關命令的具體介紹請參見“安全命令參考”中的“Password Control”。

·     綁定屬性

用戶認證時需要檢測的屬性，用於限製接入用戶的範圍。若用戶的實際屬性與設置的綁定屬性不匹配，則不能通過認證，因此在配置綁定屬性時要考慮該用戶是否需要綁定某些屬性。可綁定的屬性包括：ISDN用戶的主叫號碼、用戶IP地址、用戶接入端口、用戶MAC地址、用戶所屬VLAN。

·     用戶授權屬性

本地用戶的授權屬性在用戶組和本地用戶視圖下都可以配置，且本地用戶視圖下的配置優先級高於用戶組視圖下的配置。用戶組的配置對組內所有本地用戶生效。

用戶認證通過後，接入設備下發給用戶的權限。可支持的授權屬性包括：ACL、PPP回呼號碼、閑置切換功能、用戶級別、用戶角色、User Profile、VLAN、FTP/SFTP工作目錄。各屬性的支持情況請見表1-8。由於可配置的授權屬性都有其明確的使用環境和用途，因此配置授權屬性時要考慮該用戶是否需要某些屬性。例如，PPP接入用戶不需要授權的目錄，因此就不要設置PPP用戶的工作目錄屬性。

1. 本地用戶配置任務簡介

表1-7 本地用戶配置任務簡介

配置任務	說明	詳細配置
配置本地用戶屬性	必選	1.3.1  2.
配置用戶組屬性	可選	1.3.1  3.
配置本地用戶快速認證功能	可選	1.3.1  4.
本地用戶及本地用戶組顯示與維護	可選	1.3.1  5.

 

2. 配置本地用戶屬性

表1-8 配置本地用戶的屬性

操作		命令	說明
進入係統視圖		system-view	-
添加本地用戶，並進入本地用戶視圖		local-user user-name	必選 缺省情況下，係統有一個用戶名為admin的本地用戶
設置本地用戶的密碼		password [ [ hash ] { cipher | simple } password ]	可選 若不設置密碼，則本地用戶認證時無需輸入密碼，隻要用戶名有效且其它屬性驗證通過即可認證成功，因此為提高用戶帳戶的安全性，建議設置本地用戶密碼 在FIPS模式下，password命令不可用，必須使用password-control命令來設置本地用戶的密碼
設置本地用戶可以使用的服務類型		service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp | web }	必選 缺省情況下，係統不對本地用戶授權任何服務 本命令中參數ppp的支持情況與設備的型號有關，請參見“命令參考導讀”中的“命令行及參數差異情況”部分的介紹 在FIPS模式下，ftp和telnet參數不可用
設置本地用戶的狀態		state { active | block }	可選 缺省情況下，當一個本地用戶被創建以後，其狀態為active，允許該用戶請求網絡服務
設置本地用戶名可容納的最大接入用戶數		access-limit max-user-number	可選 缺省情況下，不限製當前本地用戶名可容納的接入用戶數 僅對采用了本地計費方法本地用戶生效，且FTP用戶不受此屬性限製
設置本地用戶的密碼管理屬性	老化時間	password-control aging aging-time	可選 缺省情況下，采用本地用戶所屬用戶組的密碼老化時間，若用戶組未配置該值，則采用全局配置（缺省90天）
	密碼最小長度	password-control length length	可選 缺省情況下，采用本地用戶所屬用戶組的密碼最小長度，若用戶組未配置該值，則采用全局配置（缺省10個字符）
	密碼組合策略	password-control composition type-number type-number [ type-length type-length ]	可選 缺省情況下，采用本地用戶所屬用戶組的密碼組合策略，若用戶組未配置該值，則采用全局配置（缺省至少一種密碼元素，且每種密碼元素至少包含一個字符） 在FIPS模式下，type-number取值必須為4
設置本地用戶的綁定屬性		bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *	可選 缺省情況下，未設置本地用戶的任何綁定屬性
設置本地用戶的授權屬性		authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | session-timeout minutes | user-profile profile-name | user-role { guest | guest-manager } | vlan vlan-id | work-directory directory-name } *	可選 缺省情況下，未設置本地用戶的任何授權屬性 對於ppp用戶，僅授權屬性acl、callback-number、idle-cut和user-profile有效； 對於lan-access、portal用戶，僅授權屬性acl、idle-cut、user-profile和vlan有效； 對於ssh、terminal、web用戶，僅授權屬性level有效； 對於ftp用戶，僅授權屬性level和work-directory有效； 對於telnet用戶，僅授權屬性level和user-role有效 本命令中參數guest-manager的支持情況與設備的型號有關，請參見“命令參考導讀”中的“命令行及參數差異情況”部分的介紹
設置本地用戶的生效時間		validity-date time	可選 缺省情況下，未設置本地用戶的生效時間
設置本地用戶的有效期		expiration-date time	可選 缺省情況下，未設置本地用戶的有效期 該特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
設置本地用戶所屬的用戶組		group group-name	可選 缺省情況下，本地用戶屬於係統默認用戶組system

 

 

3. 配置用戶組屬性

為了簡化本地用戶的配置，增強本地用戶的可管理性，引入了用戶組的概念。用戶組是一個本地用戶屬性的集合，某些需要集中管理的屬性可在用戶組中統一配置和管理，用戶組內的所有本地用戶都可以繼承這些屬性。目前，用戶組中可以管理的內容包括本地用戶的密碼管理屬性和授權屬性。

每個新增的本地用戶都默認屬於一個係統自動創建的用戶組system，且繼承該組的所有屬性。本地用戶所屬的用戶組可以通過使用本地用戶視圖下的group命令來修改。

表1-9 配置用戶組的屬性

操作		命令	說明
進入係統視圖		system-view	-
創建用戶組，並進入用戶組視圖		user-group group-name	必選
設置用戶組的密碼控製屬性	老化時間	password-control aging aging-time	可選 缺省情況下，采用全局老化時間（缺省90天）
	密碼最小長度	password-control length length	可選 缺省情況下，采用全局密碼長度（缺省10個字符）
	密碼組合策略	password-control composition type-number type-number [ type-length type-length ]	可選 缺省情況下，采用全局密碼組合策略（缺省至少一種密碼元素，且每種密碼元素至少包含一個字符） 在FIPS模式下，type-number取值必須為4
設置用戶組的授權屬性		authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | session-timeout minutes | user-profile profile-name | vlan vlan-id | work-directory directory-name } *	可選 缺省情況下，未設置用戶組的授權屬性
設置用戶組的來賓可選屬性		group-attribute allow-guest	可選 缺省情況下，用戶組不具有來賓可選屬性，來賓用戶管理員在Web界麵上創建的來賓用戶不能加入該用戶組

 

4. 配置本地用戶快速認證功能

當本地Portal用戶認證成功後，如果用戶開啟了快速認證功能，設備會自動將該Portal用戶的MAC地址添加到該用戶的MAC地址綁定表項中，如果後續Portal用戶使用相同的MAC地址進行MAC地址認證成功後，則無需在再進行Portal認證，達到快速認證的目的。認證用戶的服務類型必須同時為portal和lan-access。

表1-10 配置本地用戶快速認證功能

操作	命令	說明
進入係統視圖	system-view	-
進入本地用戶視圖	local-user user-name	必選
開啟用戶快速認證功能	fast-authentication enable	必選 缺省情況下，未開啟用戶快速認證功能
配置快速認證時的Portal認證用戶的MAC地址	fast-authentication mac-address mac-address	必選
配置快速認證時Portal用戶的MAC綁定表項的老化時間	fast-authentication aging aging-value	可選 缺省情況下，快速認證時Portal用戶的MAC綁定表項老化時間為12小時

 

5. 本地用戶及本地用戶組顯示與維護

完成上述配置後，在任意視圖下執行display命令可以顯示配置後本地用戶及本地用戶組的運行情況，通過查看顯示信息驗證配置的效果。

表1-11 本地用戶及本地用戶組顯示和維護

操作	命令
顯示本地用戶相關信息	display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal | web } | state { active | block } | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]
顯示本地用戶組的相關信息	display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ]

 

 

1.3.2  配置RADIUS方案

RADIUS方案中定義了設備和RADIUS服務器之間進行信息交互所必須的一些參數。當創建一個新的RADIUS方案之後，需要對屬於此方案的RADIUS服務器的IP地址、UDP端口號和報文共享密鑰進行設置，這些服務器包括認證/授權和計費服務器，而每種服務器又有主服務器和從服務器的區別。每個RADIUS方案的屬性包括：主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。

1. RADIUS配置任務簡介

表1-12 RADIUS配置任務簡介

配置任務	說明	詳細配置
創建RADIUS方案	必選	1.3.2  2.
配置RADIUS認證/授權服務器	必選	1.3.2  3.
配置RADIUS計費服務器及相關參數	可選	1.3.2  4.
配置RADIUS報文的共享密鑰	可選	1.3.2  5.
配置發送給RADIUS服務器的用戶名格式和數據統計單位	可選	1.3.2  6.
配置支持的RADIUS服務器的類型	可選	1.3.2  7.
配置發送RADIUS報文的最大嚐試次數	可選	1.3.2  8.
配置RADIUS服務器的狀態	可選	1.3.2  9.
配置發送RADIUS報文使用的源地址	可選	1.3.2  10.
配置發送RADIUS報文使用的備份源地址	可選	1.3.2  11.
配置RADIUS服務器的定時器	可選	1.3.2  12.
配置RADIUS的accounting-on功能	可選	1.3.2  13.
配置RADIUS服務器的安全策略服務器	可選	1.3.2  14.
使能RADIUS Offload功能	可選	1.3.2  15.
配置RADIUS Attribute 25的CAR參數解析功能	可選	1.3.2  16.
配置RADIUS請求報文中攜帶的4號屬性	MAC-BAC組網環境下，必選	1.3.2  17.
配置DAE服務器功能	可選 僅適用於MAC-BAC組網環境下	1.3.2  19.
配置RADIUS的Trap功能	可選	1.3.2  20.
配置RADIUS報文信息的日誌開關	可選	1.3.2  21.
使能設備的RADIUS客戶端功能	可選	1.3.2  22.
RADIUS顯示和維護	可選	1.3.2  23.

 

2. 創建RADIUS方案

在進行RADIUS的其它配置之前，必須先創建RADIUS方案並進入其視圖。

表1-13 創建RADIUS方案

操作	命令	說明
進入係統視圖	system-view	-
創建RADIUS方案並進入其視圖	radius scheme radius-scheme-name	必選 缺省情況下，未定義RADIUS方案

 

 

3. 配置RADIUS認證/授權服務器

通過在RADIUS方案中配置RADIUS認證/授權服務器，指定設備對用戶進行RADIUS認證/授權時與哪些服務器進行通信。由於RADIUS服務器的授權信息是隨認證應答報文發送給RADIUS客戶端的，故不能也不需要單獨配置RADIUS授權服務器。若在RADIUS方案中同時配置了主認證/授權服務器和從認證/授權服務器，則當設備判斷主認證/授權服務器不可達時，將使用從認證/授權服務器進行認證、授權。建議在不需要備份的情況下，隻配置主RADIUS認證/授權服務器即可。

配置認證/授權服務器時可以同時配置服務器狀態探測功能，即周期性發送探測報文探測該認證/授權服務器是否可達：如果服務器不可達，則置服務器狀態為block，如果服務器可達，則置服務器狀態為active。服務器狀態探測功能具有實時性，可及時將服務器狀態通知給相關認證模塊。

表1-14 配置RADIUS認證/授權服務器

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
配置主RADIUS認證/授權服務器	primary authentication { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *	二者至少選其一 缺省情況下，未配置主認證/授權服務器和從認證/授權服務器 在FIPS模式下，設置的密鑰長度至少為8位，包含數字、大寫字母、小寫字母和特殊符號；密鑰加密和解密使用的算法為3des
配置從RADIUS認證/授權服務器	secondary authentication { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

 

 

4. 配置RADIUS計費服務器及相關參數

通過在RADIUS方案中配置RADIUS計費服務器，指定設備對用戶進行RADIUS計費時與哪些服務器進行通信。若在RADIUS方案中同時配置了主計費服務器和從計費服務器，則當設備判斷主計費服務器不可達時，將使用從計費服務器進行計費。建議在不需要備份的情況下，隻配置主RADIUS計費服務器即可。

當用戶請求斷開連接或者設備強行切斷用戶連接的情況下，設備會向RADIUS計費服務器發送停止計費請求。通過在設備上配置發起實時計費請求的最大嚐試次數，允許設備向RADIUS服務器發出的實時計費請求沒有得到響應的次數超過指定的最大值時切斷用戶連接。為了使得設備盡量與RADIUS服務器同步切斷用戶連接，可以在設備上使能停止計費報文緩存功能，首先將停止計費報文緩存在本機上，然後發送，直到RADIUS計費服務器產生響應，如果在發起停止計費請求的嚐試次數達到指定的最大值後仍然沒有收到響應，則將其從緩存中刪除。

表1-15 配置RADIUS計費服務器及相關參數

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
配置主RADIUS計費服務器	primary accounting { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *	二者至少選其一 缺省情況下，未配置主/從計費服務器 在FIPS模式下，設置的密鑰長度至少為8位，包含數字、大寫字母、小寫字母和特殊符號；密鑰加密和解密使用的算法為3des。
配置從RADIUS計費服務器	secondary accounting { ip-address  | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
設置允許發起實時計費請求的最大嚐試次數	retry realtime-accounting retry-times	可選 缺省情況下，允許發起實時計費請求的最大嚐試次數為5 該特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
使能停止計費報文緩存功能	stop-accounting-buffer enable	可選 缺省情況下，允許設備緩存沒有得到響應的停止計費請求報文 該特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
設置允許發起停止計費請求的最大嚐試次數	retry stop-accounting retry-times	可選 缺省情況下，允許發起停止計費請求的最大嚐試次數為500

 

 

5. 配置RADIUS報文的共享密鑰

RADIUS客戶端與RADIUS服務器使用MD5算法來加密RADIUS報文，並在共享密鑰的參與下生成驗證字來驗證對方報文的合法性。隻有在密鑰一致的情況下，彼此才能接收對方發來的報文並作出響應。

由於設備優先采用配置RADIUS認證/授權/計費服務器時指定的報文共享密鑰，因此，本配置中指定的報文共享密鑰僅在配置RADIUS認證/授權/計費服務器時未指定相應密鑰的情況下使用。

表1-16 配置RADIUS報文的共享密鑰

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
配置RADIUS認證/授權或計費報文的共享密鑰	key { accounting | authentication } [ cipher | simple ] key	必選 缺省情況下，無密鑰 在FIPS模式下，密鑰至少需要設置為8位，包含數字、大寫字母、小寫字母和特殊符號

 

 

6. 配置發送給RADIUS服務器的用戶名格式和數據統計單位

接入用戶通常以“userid@isp-name”的格式命名，“@”後麵的部分為ISP域名，設備通過該域名決定將用戶歸於哪個ISP域的。由於有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名，因此就需要設備首先將用戶名中攜帶的ISP域名去除後再傳送給該類RADIUS服務器。通過設置發送給RADIUS服務器的用戶名格式，就可以選擇發送RADIUS服務器的用戶名中是否要攜帶ISP域名。

設備通過周期性地發送計費更新報文，向RADIUS服務器報告在線用戶的數據流量統計值，該值的單位可配，為保證RADIUS服務器計費的準確性，設備上設置的發送給RADIUS服務器的數據流或者數據包的單位應與RADUIS服務器上的流量統計單位保持一致。

表1-17 配置發送給RADIUS服務器的數據相關屬性

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置發送給RADIUS服務器的用戶名格式	user-name-format { keep-original | with-domain | without-domain }	可選 缺省情況下，設備發送給RADIUS服務器的用戶名攜帶有ISP域名
設置發送給RADIUS服務器的數據流或者數據包的單位	data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *	可選 缺省情況下，數據流的單位為byte，數據包的單位為one-packet

 

 

7. 配置支持的RADIUS服務器的類型

通過指定設備支持RADIUS服務器類型，決定設備與RADIUS服務器之間可交互的RADIUS協議類型：

·     若指定extended類型的RADIUS服務器，則設備與RADIUS服務器將按照私有RADIUS協議的規程和報文格式進行交互。

·     若指定standard類型的RADIUS服務器，則設備與RADIUS服務器將按照標準RADIUS協議（RFC 2865/2866或更新）的規程和報文格式進行交互。

使用iMC服務器時，RADIUS服務器類型應選擇extended類型。使用其它第三方RADIUS服務器時，RADIUS服務器類型可以選擇standard類型或extended類型。

表1-18 配置支持的RADIUS服務器的類型

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置設備支持的RADIUS服務器類型	server-type { extended | standard }	可選 缺省情況下，設備支持的RADIUS服務器類型為standard

 

 

8. 配置發送RADIUS報文的最大嚐試次數

由於RADIUS協議采用UDP報文來承載數據，因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內（由timer response-timeout命令配置）沒有響應設備，則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果發送RADIUS請求報文的累計次數超過指定的最大嚐試次數而RADIUS服務器仍舊沒有響應，則設備將嚐試與其它服務器通信，如果不存在狀態為active的服務器，則認為本次認證或計費失敗。關於RADIUS服務器狀態的相關內容，請參見“1.3.2  9. 配置RADIUS服務器的狀態”。

表1-19 配置發送RADIUS報文的最大嚐試次數

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置發送RADIUS報文的最大嚐試次數	retry retry-times	可選 缺省情況下，發送RADIUS報文的最大嚐試次數為3次

 

 

9. 配置RADIUS服務器的狀態

RADIUS方案中各服務器的狀態（active、block）決定了設備向哪個服務器發送請求報文，以及設備在與當前服務器通信中斷的情況下，如何轉而與另外一個服務器進行交互。在實際組網環境中，可指定一個主RADIUS服務器和多個從RADIUS服務器，由從服務器作為主服務器的備份。通常情況下，設備上主從服務器的切換遵從以下原則：

·     當主服務器狀態為active時，設備首先嚐試與主服務器通信，若主服務器不可達，設備更改主服務器的狀態為block，並啟動該服務器的timer quiet定時器，然後按照從服務器的配置先後順序依次查找狀態為active的從服務器進行認證或者計費。如果狀態為active的從服務器也不可達，則將該從服務器的狀態置為block，同時啟動該服務器的timer quiet定時器，並繼續查找狀態為active的從服務器。當服務器的timer quiet定時器超時，或者設備收到該服務器的認證/計費應答報文時，該服務器將恢複為active狀態。在一次認證或計費過程中，如果設備在嚐試與從服務器通信時，主服務器狀態由block恢複為active，則設備並不會立即恢複與主服務器的通信，而是繼續查找從服務器。如果所有已配置的服務器都不可達，則認為本次認證或計費失敗。

·     一個用戶的計費流程開始之後，設備就不會再與其它的計費服務器通信，即該用戶的實時計費報文和停止計費報文隻會發往當前使用的計費服務器。如果當前使用的計費服務器被刪除，則實時計費和停止計費報文都將無法發送。

·     如果在認證或計費過程中刪除了當前正在使用的服務器，則設備在與該服務器通信超時後，將會立即從主服務器開始依次查找狀態為active的服務器進行通信。

·     當主/從服務器的狀態均為block時，設備僅與主服務器通信，若主服務器可達，則主服務器狀態變為active，否則保持不變。

·     隻要存在狀態為active的服務器，設備就僅與狀態為active的服務器通信，即使該服務器不可達，設備也不會嚐試與狀態為block的服務器通信。

·     設備收到服務器的認證或計費應答報文後會將與報文源IP地址相同且狀態為block的認證或計費服務器的狀態更改為active。

缺省情況下，設備將配置了IP地址的各RADIUS服務器的狀態均置為active，認為所有的服務器均處於正常工作狀態，但有些情況下用戶可能需要通過以下配置手工改變RADIUS服務器的當前狀態。例如，已知某服務器故障，為避免設備認為其active而可能進行的無意義嚐試，可暫時將該服務器狀態手工置為block來滿足此需求。

表1-20 配置RADIUS服務器的狀態

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置主RADIUS認證/授權服務器的狀態	state primary authentication { active | block }	可選 缺省情況下，RADIUS方案中配置了IP地址的各RADIUS服務器的狀態均為active
設置主RADIUS計費服務器的狀態	state primary accounting { active | block }
設置從RADIUS認證/授權服務器的狀態	state secondary authentication [ ip ipv4-address | ipv6 ipv6-address ] { active | block }
設置從RADIUS計費服務器的狀態	state secondary accounting [ ip ipv4-address | ipv6 ipv6-address ] { active | block }

 

 

10. 配置發送RADIUS報文使用的源地址

RADIUS服務器上通過IP地址來標識接入設備，並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。若RADIUS服務器收到的RADIUS認證或計費報文的源地址在所管理的接入設備IP地址範圍內，則才會進行後續的認證或計費處理，否則直接對其做丟棄處理。因此，為保證認證和計費報文可被服務器正常接收並處理，接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。

通常，該地址為接入設備上與RADIUS服務器路由可達的接口IP地址，但在一些特殊的組網環境中，需要修改該地址。

設備發送RADIUS報文時，首先判斷當前所使用的RADIUS方案中是否通過nas-ip命令配置了發送RADIUS報文使用源地址，若配置存在，則使用該地址作為發送RADIUS報文使用的源地址，否則，查找係統視圖下通過radius nas-ip命令配置的源地址。若係統視圖下配置了相應的源地址，則使用該地址作為發送RADIUS報文使用的源地址，否則，使用通過路由查找到的報文出接口地址作為發送RADIUS報文使用的源地址。

此配置可以在係統視圖和RADIUS方案視圖下進行，係統視圖下的配置將對所有RADIUS方案生效，RADIUS方案視圖下的配置僅對本方案有效，並且具有高於前者的優先級。

表1-21 為所有RADIUS方案配置發送RADIUS報文使用的源地址

操作	命令	說明
進入係統視圖	system-view	-
設置設備發送RADIUS報文使用的源地址	radius nas-ip { ip-address | ipv6 ipv6-address }	必選 缺省情況下，未指定源地址，即以發送報文的接口地址作為源地址

 

表1-22 為RADIUS方案配置發送RADIUS報文使用的源地址

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置設備發送RADIUS報文使用的源地址	nas-ip { ip-address | ipv6 ipv6-address }	必選 缺省情況下，未指定源地址，即以發送報文的接口地址作為源地址

 

11. 配置發送RADIUS報文使用的備份源地址

 

在雙機熱備的組網環境中，主設備通過與RADIUS服務器交互對Portal用戶進行認證，並負責將生成的Portal在線用戶數據通過備份鏈路同步給備用設備，而備用設備隻接收和處理主設備發送的同步消息。

當主設備發生故障時，由於服務器不知道備用設備的源地址，因此不會主動向備用設備發送RADIUS報文。為解決這個問題，需要將備用設備發送RADIUS報文使用的源地址發給服務器，使得服務器也主動向備用設備發送RADIUS報文，備用設備發送RADIUS報文的源地址就是通過在主用設備上配置發送RADIUS報文使用的備份源地址告知服務器的。

設備選擇發送RADIUS報文使用的備份源地址時，首先判斷當前所使用的RADIUS方案中是否通過nas-backup-ip命令配置了發送RADIUS報文使用備份源地址，若配置存在，則將該地址作為對端設備發送RADIUS報文使用的源地址發給服務器，否則，查找係統視圖下通過radius nas-backup-ip命令配置的備份源地址。若係統視圖下配置了相應的備份源地址，則使用該地址作為備份源地址，否則，不向服務器發送備份源地址。

此配置可以在係統視圖和RADIUS方案視圖下進行，係統視圖下的配置將對所有RADIUS方案生效，RADIUS方案視圖下的配置僅對本方案有效，並且具有高於前者的優先級。

表1-23 為所有RADIUS方案配置發送RADIUS報文使用的備份源地址

操作	命令	說明
進入係統視圖	system-view	-
設置設備發送RADIUS報文使用的備份源地址	radius nas-backup-ip ip-address	必選 缺省情況下，未指定備份源地址

 

表1-24 為RADIUS方案配置發送RADIUS報文使用的備份源地址

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置設備發送RADIUS報文使用的備份源地址	nas-backup-ip ip-address	必選 缺省情況下，未指定備份源地址

 

 

12. 配置RADIUS服務器的定時器

在與RADIUS服務器交互的過程中，設備上可啟動的定時器包括以下幾種：

·     服務器響應超時定時器（response-timeout）：如果在RADIUS請求報文（認證/授權請求或計費請求）傳送出去一段時間後，設備還沒有得到RADIUS服務器的響應，則有必要重傳RADIUS請求報文，以保證用戶確實能夠得到RADIUS服務，這段時間被稱為RADIUS服務器響應超時時長。

·     服務器恢複激活狀態定時器（quiet）：當服務器不可達時，狀態變為block，設備會與其它狀態為active的服務器交互，並開啟超時定時器，在設定的一定時間間隔之後，將該服務器的狀態恢複為active。這段時間被稱為RADIUS服務器恢複激活狀態時長。

·     實時計費間隔定時器（realtime-accounting）：為了對用戶實施實時計費，有必要定期向服務器發送實時計費更新報文，通過設置實時計費的時間間隔，設備會每隔設定的時間向RADIUS服務器發送一次在線用戶的計費信息。

表1-25 設置RADIUS服務器的定時器

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置RADIUS服務器響應超時時間	timer response-timeout seconds	可選 缺省情況下，RADIUS服務器響應超時定時器為3秒
設置服務器恢複激活狀態的時間	timer quiet minutes	可選 缺省情況下，服務器恢複激活狀態前需要等待5分鍾
設置實時計費間隔	timer realtime-accounting minutes	可選 缺省情況下，實時計費間隔為12分鍾

 

 

13. 配置RADIUS的accounting-on功能

使能了accounting-on功能後，設備會在重啟後主動向RADIUS服務器發送accounting-on報文來告知自己已經重啟，並要求RADIUS服務器強製通過本設備上線的用戶下線。該功能可用於解決設備重啟後，重啟前的原在線用戶因被RADIUS服務器認為仍然在線而短時間內無法再次登錄的問題。若設備發送accounting-on報文後RADIUS服務器無響應，則會在按照一定的時間間隔（interval seconds）嚐試重發幾次（send send-times）。

表1-26 配置RADIUS的accounting-on功能

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
配置accounting-on功能	accounting-on enable [ interval seconds | send send-times ] *	必選 缺省情況下，accounting-on功能處於關閉狀態，accounting-on報文重發時間間隔為3秒，accounting-on報文重發次數為50次

 

 

14. 配置RADIUS安全策略服務器的IP地址

H3C EAD方案的核心是整合與聯動，其中的安全策略服務器是EAD方案中的管理與控製中心，它作為一個軟件的集合，兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控製以及安全事件審計等功能。

通過配置RADIUS安全策略服務器的IP地址，接入設備可以驗證iMC服務器發送給設備的控製報文的合法性。當接入設備收到iMC服務器的控製報文時，若該控製報文的源IP地址不是指定的安全策略服務器的IP地址，則接入設備認為其非法而丟棄。若iMC的配置平台、認證服務器以及安全策略服務器的IP地址相同，則不需要在接入設備上配置RADIUS安全策略服務器的IP地址。

通常，若要支持完整的EAD功能，建議在接入設備上通過本配置將RADIUS安全策略服務器的IP地址分別指定為iMC安全策略服務器的IP地址和iMC配置平台的IP地址。

表1-27 設置RADIUS的安全策略服務器

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
設置RADIUS安全策略服務器的IP地址	security-policy-server ip-address	必選 缺省情況下，未指定RADIUS安全策略服務器

 

 

15. 使能RADIUS Offload功能

由於某些RADIUS服務器不支持EAP認證，即不支持對EAP報文的處理，因此需要將客戶端發送的EAP報文在接入設備上進行一些預處理，我們將這種EAP報文的預處理稱之為RADIUS Offload功能。

RADIUS Offload功能需要本地EAP認證服務器來協助實現，具體如下：

(1)     設備收到客戶端的EAP報文後，首先由本地EAP服務器與客戶端之間進行EAP報文的交互，然後將其中的用戶認證信息轉換為對應的RADIUS屬性（MS-CHAPv2屬性），並封裝在RADIUS認證請求報文中發送給RADIUS服務器進行認證。

(2)     RADIUS服務器收到請求報文後，會解析其中的認證信息，並將認證結果封裝在RADIUS報文中發送給接入設備上的本地EAP服務器進行後續與客戶端之間的交互。

要使能RADIUS Offload功能，必須在設備上完成以下配置：

·     配置本地EAP認證服務器，並指定其中的EAP認證方式為PEAP-MSCHAPv2（目前僅支持此認證方式）。具體配置請參見“1.6  配置本地EAP認證”。

·     在RADIUS方案中使能EAP Offload功能，具體配置見表1-28。

表1-28 使能EAP Offload功能

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
使能EAP Offload功能	eap offload method peap-mschapv2	必選 缺省情況下，EAP Offload功能處於關閉狀態

 

16. 配置對RADIUS Attribute 25進行CAR參數解析

 

RADIUS的25號屬性為class屬性，該屬性由RADIUS服務器下發給設備，但RFC中並未定義具體的用途，僅規定了設備需要將服務器下發的class屬性再原封不動地攜帶在計費請求報文中發送給服務器即可，同時RFC並未要求設備必須對該屬性進行解析。目前，某些RADIUS服務器利用class屬性來對用戶下發CAR參數，為了支持這種應用，可以通過本特性來控製設備是否將RADIUS 25號屬性解析為CAR參數，解析出的CAR參數可被用來進行基於用戶的流量監管控製。

表1-29 配置對RADIUS Attribute 25進行CAR參數解析

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
開啟RADIUS Attribute 25的CAR參數解析功能	attribute 25 car	必選 缺省情況下，RADIUS Attribute 25的CAR參數解析功能處於關閉狀態

 

17. 配置RADIUS請求報文中攜帶的4號屬性

RADIUS請求報文中攜帶的4號屬性為NAS-IP-Address屬性，它用於在RADIUS服務器上唯一標識一個接入設備。

在MAC-BAC組網環境下，由Master AC代理數量眾多的BAS AC進行集中認證，RADIUS服務器管理的接入設備的IP地址是Master AC的IP地址，而不是各BAS AC的IP地址。當BAS AC向RADIUS服務器發送的RADIUS請求報文經過相關聯的Master AC時，Master AC會根據NAT配置將RADIUS請求報文的源IP地址轉換為Master AC的IP地址，然後再轉發給RADIUS服務器。由於NAT隻能更改報文的源IP地址，因此需要在BAS AC上將RADIUS報文中的4號屬性值修改為Master AC的IP地址。

表1-30 配置RADIUS請求報文中攜帶的4號屬性值

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
配置RADIUS請求報文中攜帶的4號屬性值	attribute 4 ip-address	必選 缺省情況下，使用發送RADIUS報文的源IP地址作為4號屬性值

 

18. 配置RADIUS計費報文中攜帶的41號屬性

RADIUS計費報文中攜帶的41號屬性為Account-Delay-Time屬性，該屬性表明報文在網絡中的延遲時間，當前各個服務器實現不一致，有些服務器計費時要求該屬性值必須為0，有些服務器則沒有此要求。為了考慮兼容不同服務器廠商的實現，可以通過配置指定RADIUS計費報文中攜帶的41號屬性值。

表1-31 配置RADIUS請求報文中攜帶的41號屬性值

操作	命令	說明
進入係統視圖	system-view	-
進入RADIUS方案視圖	radius scheme radius-scheme-name	-
配置RADIUS計費報文中攜帶的41號屬性值	attribute 41 value	必選 缺省情況下，根據RADIUS計費報文的延遲時間填寫41號屬性

 

19. 配置DAE服務器功能

DAE（Dynamic Authorization Extensions，動態授權擴展）協議是RADIUS 協議的一個擴展，它用於強製認證用戶下線，或者更改在線用戶授權信息。DAE采用客戶端/服務器通信模式，由DAE客戶端（DAC，Dynamic Authorization Client）和DAE服務器（DAS，Dynamic Authorization Server）組成。

在MAC-BAC組網環境下，BAS AC作為DAE服務器監聽和接收DAE報文，Master AC作為DAE代理統一接收來自DAE客戶端的DAE報文，並轉發給相關聯的BAS AC處理。由於Master AC已經對來自DAE客戶端的報文進行了校驗，因此需要在BAS AC上將Master AC的IP地址配置為免校驗DAE客戶端的IP地址，即來自於該IP地址的DAE報文不需要校驗Authenticator字段，向該IP地址發送DAE應答報文時也不需要計算Authenticator字段。

表1-32 配置DAE服務器功能

操作	命令	說明
進入係統視圖	system-view	-
配置監聽和接收DAE報文的端口	radius dynamic-author port listen-port	可選 缺省情況下，監聽和接收DAE報文的端口為3799
配置免校驗DAE客戶端的IP地址	radius dynamic-author client trusted ip ip-address	必選 缺省情況下，對所有收到的DAE報文的Authenticator字段都要進行校驗

 

20. 配置RADIUS的Trap功能

通過配置RADIUS的Trap功能，控製NAS觸發輸出相應的Trap信息，具體包括以下兩種：

·     RADIUS服務器可達狀態改變時輸出Trap信息。具體包括兩種情況：當NAS向RADIUS服務器發送計費或認證請求無響應的次數達到指定的發送RADIUS報文的最大嚐試次數時，NAS認為服務器不可達，會置服務器狀態為block並輸出Trap信息；當NAS收到狀態不可達的服務器發送的報文時，則認為服務器狀態可達，會置服務器狀態為active並輸出Trap信息。

·     認證失敗次數與認證請求次數的百分比超過一定閾值時輸出Trap信息。該閾值目前隻能夠通過MIB方式進行配置，取值範圍為1％～100％，缺省為30％。由於正常情況下，認證失敗的比率較小，如果NAS觸發輸出了該類Trap信息，則管理員可能需要確認配置是否正確或設備與服務器的通信是否正常，並通過排查配置或網絡問題來保證用戶認證過程的正常運行。

表1-33 配置RADIUS的Trap功能

操作	命令	說明
進入係統視圖	system-view	-
使能RADIUS的Trap功能	radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }	必選 缺省情況下，RADIUS的Trap功能處於關閉狀態

 

21. 配置RADIUS報文信息的日誌開關

關閉RADIUS報文信息的日誌開關，可以避免在設備上啟動日誌功能而影響係統的性能。

表1-34 配置RADIUS報文信息的日誌開關

操作	命令	說明
進入係統視圖	system-view	-
打開RADIUS報文信息的日誌開關	radius log packet	必選 缺省情況下，RADIUS報文信息的日誌開關處於關閉狀態

 

22. 使能設備的RADIUS客戶端功能

通過以下配置可以打開RADIUS客戶端的RADIUS報文監聽端口，使得設備作為RADIUS客戶端接收和發送RADIUS報文。在不需要使用RADIUS認證功能時，為避免收到惡意的RADIUS攻擊報文，建議關閉設備的RADIUS客戶端功能。

表1-35 使能設備的RADIUS客戶端功能

操作	命令	說明
進入係統視圖	system-view	-
使能設備的RADIUS客戶端功能	radius client enable	可選 缺省情況下，設備的RADIUS客戶端功能處於使能狀態

 

23. RADIUS顯示和維護

完成上述配置後，在任意視圖下執行display命令可以顯示配置後RADIUS的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下，執行reset命令可以清除相關統計信息。

表1-36 RADIUS顯示和維護

操作	命令
顯示所有或指定RADIUS方案的配置信息	display radius scheme [ radius-scheme-name ] [ | { begin | exclude | include } regular-expression ]
顯示RADIUS報文的統計信息	display radius statistics [ | { begin | exclude | include } regular-expression ]
顯示緩存的沒有得到響應的停止計費請求報文	display stop-accounting-buffer { radius-scheme radius- scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ | { begin | exclude | include } regular-expression ]
清除RADIUS協議的統計信息	reset radius statistics
清除緩存中的沒有得到響應的停止計費請求報文	reset stop-accounting-buffer { radius-scheme radius- scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

 

1.3.3  配置HWTACACS方案

 

1. HWTACACS配置任務簡介

表1-37 HWTACACS配置任務簡介

配置任務	說明	詳細配置
創建HWTACACS方案	必選	1.3.3  2.
配置HWTACACS認證服務器	必選	1.3.3  3.
配置HWTACACS授權服務器	可選	1.3.3  4.
配置HWTACACS計費服務器	可選	1.3.3  5.
配置HWTACACS報文的共享密鑰	必選	1.3.3  6.
配置發送給HWTACACS服務器的數據相關屬性	可選	1.3.3  7.
配置發送HWTACACS報文使用的源地址	可選	1.3.3  8.
配置HWTACACS服務器的定時器	可選	1.3.3  9.
HWTACACS顯示和維護	可選	1.3.3  10.

 

2. 創建HWTACACS方案

HWTACACS的配置是以HWTACACS方案為單位進行的。在進行HWTACACS的其它相關配置之前，必須先創建HWTACACS方案並進入其視圖。

表1-38 創建HWTACACS方案

操作	命令	說明
進入係統視圖	system-view	-
創建HWTACACS方案並進入其視圖	hwtacacs scheme hwtacacs-scheme-name	必選 缺省情況下，未定義HWTACACS方案

 

 

3. 配置HWTACACS認證服務器

通過在HWTACACS方案中配置HWTACACS認證服務器，指定設備對用戶進行HWTACACS認證時與哪個服務器進行通信。若在HWTACACS方案中同時配置了主認證服務器和從認證服務器，則當設備判斷主認證服務器不可達時，將使用從認證服務器進行認證。建議在不需要備份的情況下，隻配置主HWTACACS認證服務器即可。

表1-39 配置HWTACACS認證服務器

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
配置主HWTACACS認證服務器	primary authentication ip-address [ port-number ]	二者至少選其一 缺省情況下，未配置主/從認證服務器
配置從HWTACACS認證服務器	secondary authentication ip-address [ port-number ]

 

 

4. 配置HWTACACS授權服務器

通過在HWTACACS方案中配置HWTACACS授權服務器，指定設備對用戶進行HWTACACS授權時與哪個服務器進行通信。若在HWTACACS方案中同時配置了主授權服務器和從授權服務器，則當設備判斷主授權服務器不可達時，將使用從授權服務器進行授權。建議在不需要備份的情況下，隻配置主HWTACACS授權服務器即可。

表1-40 配置HWTACACS授權服務器

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
設置主HWTACACS授權服務器	primary authorization ip-address [ port-number ]	二者至少選其一 缺省情況下，未配置主/從授權服務器
設置從HWTACACS授權服務器	secondary authorization ip-address [ port-number ]

 

 

5. 配置HWTACACS計費服務器及相關參數

通過在HWTACACS方案中配置HWTACACS計費服務器，指定設備對用戶進行HWTACACS計費時與哪個服務器進行通信。若在HWTACACS方案中同時配置了主計費服務器和從計費服務器，則當設備判斷主計費服務器不可達時，將使用從計費服務器進行授權。建議在不需要備份的情況下，隻配置主HWTACACS計費服務器即可。

當用戶請求斷開連接或者設備強行切斷用戶連接的情況下，設備會向HWTACACS計費服務器發送停止計費請求報文，通過在設備上使能停止計費報文緩存功能，將其緩存在本機上，然後發送直到HWTACACS計費服務器產生響應，或者在發送停止計費請求報文的嚐試次數達到指定的最大值後將其丟棄。

表1-41 配置HWTACACS計費服務器

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
設置HWTACACS主計費服務器	primary accounting ip-address [ port-number ]	二者至少選其一 缺省情況下，未配置主/從計費服務器
設置HWTACACS從計費服務器	secondary accounting ip-address [ port-number ]
使能停止計費報文緩存功能	stop-accounting-buffer enable	可選 缺省情況下，使能停止計費報文緩存功能
設置允許發送停止計費請求報文的最大嚐試次數	retry stop-accounting retry-times	可選 缺省情況下，允許發送停止計費請求報文的最大嚐試次數為100

 

 

6. 配置HWTACACS報文的共享密鑰

HWTACACS客戶端與HWTACACS服務器使用MD5算法來加密HWTACACS報文，並在共享密鑰的參與下生成驗證字來驗證對方報文的合法性。隻有在密鑰一致的情況下，彼此才能接收對方發來的報文並作出響應。

表1-42 配置HWTACACS報文的共享密鑰

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
配置HWTACACS認證、授權、計費報文的共享密鑰	key { accounting | authentication | authorization } [ cipher | simple ] key	必選 缺省情況下，無密鑰 在FIPS模式下，共享密鑰至少需要設置為8位，包含數字、大寫字母、小寫字母和特殊符號

 

 

7. 配置發送給HWTACACS服務器的數據相關屬性

接入用戶通常以“userid@isp-name”的格式命名，“@”後麵的部分為ISP域名，設備通過該域名決定將用戶歸於哪個ISP域的。由於有些HWTACACS服務器不能接受攜帶有ISP域名的用戶名，因此就需要設備首先將用戶名中攜帶的ISP域名去除後再傳送給該類HWTACACS服務器。通過設置發送給HWTACACS服務器的用戶名格式，就可以選擇發送HWTACACS服務器的用戶名中是否要攜帶ISP域名。

設備通過周期性地發送計費更新報文，向HWTACACS服務器報告在線用戶的數據流量統計值，該值的單位可配，為保證HWTACACS服務器計費的準確性，設備上設置的發送給HWTACACS服務器的數據流或者數據包的單位應與HWTACACS服務器上的流量統計單位保持一致。

表1-43 配置發送給HWTACACS服務器的數據相關屬性

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
設置發送給HWTACACS服務器的用戶名格式	user-name-format { keep-original | with-domain | without-domain }	可選 缺省情況下，發往HWTACACS服務器的用戶名帶域名
設置發送給HWTACACS服務器的數據流或者數據包的單位	data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *	可選 缺省情況下，數據流的單位為byte，數據包的單位為one-packet

 

 

8. 配置發送HWTACACS報文使用的源地址

HWTACACS服務器上通過IP地址來標識接入設備，並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。若HWTACACS服務器收到的HWTACACS認證或計費報文的源地址在所管理的接入設備IP地址範圍內，則才會進行後續的認證或計費處理，否則直接對其做丟棄處理。因此，為保證認證和計費報文可被服務器正常接收並處理，接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。

通常，該地址為接入設備上與HWTACACS服務器路由可達的接口IP地址，但在一些特殊的組網環境中，例如接入設備與HWTACACS服務器之間存在NAT設備時，需要將該地址指定為轉換後的公網IP地址；在接入設備使用VRRP進行雙機熱備應用時，可以將該地址指定為VRRP上行鏈路所在備份組的虛擬IP地址。

設備發送HWTACACS報文時，首先判斷當前所使用的HWTACACS方案中是否通過nas-ip命令配置了發送HWTACACS報文使用源地址，若配置存在，則使用該地址作為發送HWTACACS報文使用的源地址，否則，查找係統視圖下通過hwtacacs nas-ip命令配置的源地址。若係統視圖下配置了相應的源地址，則使用該地址作為發送HWTACACS報文使用的源地址，否則，使用通過路由查找到的報文出接口地址作為發送HWTACACS報文使用的源地址。

此配置可以在係統視圖和HWTACACS方案視圖下進行，係統視圖下的配置將對所有HWTACACS方案生效，HWTACACS方案視圖下的配置僅對本方案有效，並且具有高於前者的優先級。

表1-44 為所有HWTACACS方案配置發送HWTACACS報文使用的源地址

操作	命令	說明
進入係統視圖	system-view	-
設置設備發送HWTACACS報文使用的源地址	hwtacacs nas-ip ip-address	必選 缺省情況下，未指定源地址，即以發送報文的接口地址作為源地址

 

表1-45 為HWTACACS方案配置發送HWTACACS報文使用的源地址

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
設置設備發送HWTACACS報文使用的源地址	nas-ip ip-address	必選 缺省情況下，未指定源地址，即以發送報文的接口地址作為源地址

 

9. 配置HWTACACS服務器的定時器

在與HWTACACS服務器交互的過程中，設備上可啟動的定時器包括以下幾種：

·     服務器響應超時定時器（response-timeout）：如果在HWTACACS請求報文（認證/授權請求或計費請求）傳送出去一段時間後，設備還沒有得到HWTACACS服務器的響應，則有必要重傳HWTACACS請求報文，以保證用戶確實能夠得到HWTACACS服務，這段時間被稱為HWTACACS服務器響應超時時長。

·     主服務器恢複激活狀態定時器（quiet）：當主服務器不可達時，狀態變為block，設備會與狀態為active的從服務器交互，並開啟超時定時器，在設定的一定時間間隔之後，將主服務器的狀態恢複為active。這段時間被稱為主服務器恢複激活狀態時長。

表1-46 配置HWTACACS服務器的定時器

操作	命令	說明
進入係統視圖	system-view	-
進入HWTACACS方案視圖	hwtacacs scheme hwtacacs-scheme-name	-
設置HWTACACS服務器響應超時時間	timer response-timeout seconds	可選 缺省情況下，服務器響應超時時間為5秒
設置主服務器恢複激活狀態的時間	timer quiet minutes	可選 缺省情況下，主服務器恢複激活狀態前需要等待5分鍾

 

10. HWTACACS顯示和維護

完成上述配置後，在任意視圖下執行display命令可以顯示配置後HWTACACS的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下，執行reset命令可以清除相關統計信息。

表1-47 HWTACACS協議顯示和維護

操作	命令
查看所有或指定HWTACACS方案的配置信息或統計信息	display hwtacacs [ hwtacacs-server-name [ statistics ] ] [ | { begin | exclude | include } regular-expression ]
顯示緩存的沒有得到響應的停止計費請求報文	display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ | { begin | exclude | include } regular-expression ]
清除HWTACACS協議的統計信息	reset hwtacacs statistics { accounting | all | authentication | authorization }
清除緩存中的沒有得到響應的停止計費請求報文	reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

 

1.3.4  配置LDAP方案

1. LDAP配置任務簡介

表1-48 LDAP配置任務簡介

配置任務	說明	詳細配置
創建LDAP方案	必選	1.3.4  2.
配置LDAP認證服務器	必選	1.3.4  3.
配置LDAP授權服務器	可選	1.3.4  4.
配置LDAP版本號	可選	1.3.4  5.
配置LDAP服務器類型	可選	1.3.4  6.
配置LDAP服務器的連接超時時間	可選	1.3.4  7.
配置具有管理員權限的用戶屬性	必選	1.3.4  8.
配置LDAP用戶屬性參數	必選	1.3.4  9.
配置LDAP組屬性參數	可選	1.3.4  10.
LDAP顯示和維護	可選	1.3.4  11.

 

2. 創建LDAP方案

在進行LDAP的其它配置之前，必須先創建LDAP方案並進入其視圖。

表1-49 創建LDAP方案

操作	命令	說明
進入係統視圖	system-view	-
創建LDAP方案並進入其視圖	ldap scheme ldap-scheme-name	必選 缺省情況下，未定義LDAP方案

 

 

3. 配置LDAP認證服務器

表1-50 配置LDAP認證服務器

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置LDAP認證服務器	authentication-server ip-address [ port-number ]	必選 缺省情況下，未配置LDAP認證服務器

 

 

4. 配置LDAP授權服務器

表1-51 配置LDAP授權服務器

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置LDAP授權服務器	authorization-server ip-address [ port-number ]	必選 缺省情況下，未配置LDAP授權服務器

 

 

5. 配置LDAP版本號

配置LDAP認證中所支持的LDAP協議的版本號，目前設備支持LDAPv2和LDAPv3兩個協議版本。設備上配置的LDAP版本號需要與服務器支持的版本號保持一致。

表1-52 配置LDAP版本號

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置LDAP版本號	protocol-version { v2 | v3 }	可選 缺省情況下，LDAP版本號為LDAPv3

 

 

6. 配置LDAP服務器類型

配置LDAP認證中所使用的LDAP服務器類型，目前設備支持IBM、Microsoft和Sun公司的LDAP服務器。

表1-53 配置LDAP服務器類型

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置LDAP服務器類型	server-type { ibm | microsoft | sun }	可選 缺省情況下，LDAP服務器類型為Microsoft

 

7. 配置LDAP服務器的連接超時時間

設備向LDAP服務器發送綁定請求、查詢請求，如果經過指定的時間後未收到LDAP服務器的回應，則認為本次認證、授權請求超時。若設備上配置了備份的認證、授權方案，則設備會繼續嚐試進行其他方式的認證、授權處理，否則本次認證、授權失敗。

表1-54 配置LDAP服務器的連接超時時間

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置LDAP服務器的連接超時時間	server-timeout time-interval	可選 缺省情況下，LDAP服務器的連接超時時間為10秒

 

8. 配置具有管理員權限的用戶屬性

配置LDAP認證過程中綁定服務器所使用的用戶DN和用戶密碼，該用戶具有管理員權限。

表1-55 配置具有管理員權限的用戶屬性

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置具有管理員權限的用戶DN	login-dn dn-string	必選 缺省情況下，未配置具有管理員權限的用戶DN
配置具有管理員權限的用戶密碼	login-password [ ciper | simple ] password	必選 缺省情況下，未配置具有管理權限的用戶密碼

 

 

9. 配置LDAP用戶屬性參數

要對用戶進行身份認證，就需要以用戶DN及密碼為參數與LDAP服務器進行綁定，因此需要首先獲取用戶DN。LDAP提供了一套DN查詢機製，在與LDAP服務器建立連接的基礎上，按照一定的查詢策略向服務器發送查詢請求。該查詢策略由設備上指定的LDAP用戶屬性定義，具體包括以下幾項：

·     用戶DN查詢的起始節點（search-base-dn）

·     用戶DN查詢的範圍（search-scope）

·     用戶所在組屬性（user-group-attribute）

·     用戶名稱屬性（user-name-attribute）

·     用戶名稱格式（user-name-format）

·     用戶對象類型（user-object-class）

其中，若LDAP服務器上定義了用戶所在組屬性，則設備上的配置要與LDAP服務器上定義的屬性值保持一致。

表1-56 配置LDAP用戶屬性參數

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置用戶查詢的起始DN	user-parameters search-base-dn base-dn	必選 缺省情況下，未指定用戶查詢的起始DN
配置用戶查詢的範圍	user-parameters search-scope { all-level | single-level }	可選 缺省情況下，用戶查詢的範圍為all-level
配置用戶查詢返回的自定義用戶組屬性	user-parameters user-group-attribute attribute-name	可選 缺省情況下，未指定自定義用戶組屬性，采用LDAP服務器上定義的缺省用戶組屬性
配置用戶查詢的用戶名屬性	user-parameters user-name-attribute { name-attribute | cn | uid }	可選 缺省情況下，用戶查詢的用戶名屬性為cn
配置用戶查詢的用戶名格式	user-parameters user-name-format { with-domain | without-domain }	可選 缺省情況下，用戶查詢的用戶名格式為without-domain
配置用戶查詢的自定義用戶對象類型	user-parameters user-object-class object-class-name	可選 缺省情況下，未指定自定義用戶對象類型，根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型

 

 

10. 配置LDAP組屬性參數

用戶的授權處理是通過查詢用戶組，從而獲得授權信息來實現的。在用戶組的查詢中，需要指定相應的查詢方式及查詢條件，即配置相關LDAP組屬性參數。由於Microsoft服務器的用戶對象類型（user-object-class）中已經包含了用戶組屬性，所以組屬性參數的配置對Microsoft服務器不是必須的，但對於IBM和Sun服務器則是必須的。

可配置的LDAP組屬性參數包括：

·     組名稱屬性類型（group-name-attribute）

·     組對象類型（group-object-class）

·     組成員屬性（member-name-attribute）

·     用戶組查詢起始節點（search-base-dn）

·     用戶組查詢範圍（search-scope）

其中，對於組對象類型和組成員屬性，一般情況下係統使用服務器廠商定義的缺省屬性值，若廠商未定義缺省值或用戶需要使用自定義的值，則可以通過命令行進行配置。

表1-57 配置LDAP組屬性參數

操作	命令	說明
進入係統視圖	system-view	-
進入LDAP方案視圖	ldap scheme ldap-scheme-name	-
配置組查詢的起始DN	group-parameters search-base-dn base-dn	必選 缺省情況下，未指定組查詢的起始DN
配置組查詢的範圍	group-parameters search-scope { all-level | single-level }	可選 缺省情況下，組查詢的範圍為all-level
配置組查詢的自定義組對象類型	group-parameters group-object-class object-class-name	可選 缺省情況下，未指定自定義組對象類型
配置組查詢的自定義組成員屬性	group-parameters member-name-attribute attribute-name	可選 缺省情況下，未指定自定義組成員屬性
配置組查詢返回的組名屬性	group-parameters group-name-attribute { name-attribute | cn | uid }	可選 缺省情況下，組查詢返回的組名屬性為cn

 

 

11. LDAP顯示和維護

完成上述配置後，在任意視圖下執行display命令可以顯示配置後LDAP的運行情況，通過查看顯示信息驗證配置的效果。

表1-58 LDAP協議顯示和維護

操作	命令
查看所有或指定LDAP方案的配置信息	display ldap scheme [ scheme-name ] [ | { begin | exclude | include } regular-expression ]

 

1.4  在ISP域中配置實現AAA的方法

通過在ISP域視圖下引用預先配置的認證、授權、計費方案來實現對用戶的認證、授權和計費。每個ISP域中都有缺省的認證、授權、計費方法，分別為本地認證、本地授權、本地計費，如果用戶所屬的ISP域下未應用任何認證、授權、計費方法，係統將使用缺省的認證、授權、計費方法。

1.4.1  配置準備

·     若采用本地認證方案，則請保證完成本地用戶的配置。有關本地用戶的配置請參見“1.3.1  配置本地用戶”。

·     若采用遠端認證、授權或計費方案，則請提前創建RADIUS方案、HWTACACS方案或LDAP方案。有關RADIUS方案的配置請參見“1.3.2  配置RADIUS方案”。有關HWTACACS方案的配置請參見“1.3.3  配置HWTACACS方案”。有關LDAP方案的配置請參見“1.3.4  配置LDAP方案”。

1.4.2  創建ISP域

在多ISP的應用環境中，不同ISP域的用戶有可能接入同一台設備。而且各ISP用戶的用戶屬性（例如用戶名及密碼構成、服務類型/權限等）有可能不相同，因此有必要通過設置ISP域把它們區分開，並為每個ISP域單獨配置一套AAA方法及ISP域的相關屬性。

對於設備來說，每個接入用戶都屬於一個ISP域。係統中最多可以配置16個ISP域，包括一個係統缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名，係統將把它歸於缺省的ISP域。

設備將按照如下先後順序選擇認證域：接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中，僅部分接入模塊支持指定認證域，例如802.1X、Portal、MAC地址認證。

如果根據以上原則決定的認證域在設備上不存在，但設備上為未知域名的用戶指定了ISP域，則最終使用該指定的ISP域認證，否則，用戶將無法認證。

表1-59 創建ISP域

操作	命令	說明
進入係統視圖	system-view	-
創建ISP域並進入其視圖	domain isp-name	必選
返回係統視圖	quit	-
手工配置缺省的ISP域	domain default enable isp-name	可選 缺省情況下，係統缺省的ISP域為system
為未知域名的用戶指定ISP域	domain if-unknown isp-name	可選 缺省情況下，沒有為未知域名的用戶指定ISP域

 

 

1.4.3  配置ISP域的屬性

一個ISP域中可配置以下屬性，這些屬性對於接入該域的所有用戶均生效：

·     域的狀態：通過域的狀態（active、block）控製是否允許該域中的用戶請求網絡服務。

·     可容納的接入用戶數：通過該屬性限製接入域的用戶數，使屬於當前域的用戶獲得可靠的性能保障。

·     閑置切斷：用戶上線後，設備會周期性檢測用戶的流量，若域內某用戶在指定的閑置檢測時間內產生的流量小於指定的數據流量，則會被強製下線。

·     自助服務器定位功能：通過該屬性使得用戶可以對自己的帳號和密碼進行管理和控製。

·     為PPP用戶分配IP地址的地址池：為需要在指定ISP域中進行認證的PPP用戶分配IP地址。

·     缺省授權User Profile：若認證服務器未對認證成功的用戶下發授權User Porfile，則係統會使用當前域中指定的User Porfile作為用戶的授權User Porfile，用戶的訪問行為將受到該User Profile中預設配置的限製。

表1-60 配置ISP域的屬性

操作	命令	說明
進入係統視圖	system-view	-
進入ISP域視圖	domain isp-name	-
設置ISP域的狀態	state { active | block }	可選 缺省情況下，當一個ISP域被創建以後，其狀態為active，即允許任何屬於該域的用戶請求網絡服務
設置當前ISP域可容納接入用戶數的限製	access-limit enable max-user-number	可選 缺省情況下，不對當前ISP域可容納的接入用戶數作限製
設置用戶閑置切斷功能	idle-cut enable minute [ flow ]	可選 缺省情況下，用戶閑置切斷功能處於關閉狀態 此命令目前隻對lan-access、Portal和PPP服務類型的用戶有效 在Portal雙機熱備情況下，閑置檢測時間建議配置為5分鍾以上，以確保已經上線的Portal用戶數據進行了相互備份
設置自助服務器定位功能	self-service-url enable url-string	可選 缺省情況下，自助服務器定位功能處於關閉狀態
定義為PPP用戶分配IP地址的地址池	ip pool pool-number low-ip-address [ high-ip-address ]	可選 缺省情況下，沒有定義為PPP用戶分配IP地址的IP地址池
配置當前ISP域的缺省授權User Profile	authorization-attribute { session-timeout minutes | user-profile profile-name }	可選 缺省情況下，當前ISP域無用戶授權屬性
配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間	session-time include-idle-time	可選 缺省情況下，設備上傳到服務器的用戶在線時間中扣除閑置切換時間

 

 

1.4.4  配置ISP域的AAA認證方法

在AAA中，認證、授權和計費是三個獨立的業務流程。認證的職責是完成各接入或服務請求的用戶名／密碼／用戶信息的交互認證過程，它不會下發授權信息給請求用戶，也不會觸動計費的流程。

AAA支持以下認證方法：

·     不認證（none）：對用戶非常信任，不對其進行合法性檢查，一般情況下不采用這種方法。

·     本地認證（local）：認證過程在接入設備上完成，用戶信息（包括用戶名、密碼和各種屬性）配置在接入設備上。優點是速度快，可以降低運營成本；缺點是存儲信息量受設備存儲空間的限製。

·     遠端認證（scheme）：認證過程在接入設備和遠端的服務器之間完成，接入設備和遠端服務器之間通過RADIUS、HWTACACS或LDAP協議通信。優點是用戶信息集中在服務器上統一管理，可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端服務器無效時，可配置本地認證或者不認證作為備選認證方式完成認證。目前，僅lan-access用戶的遠端認證可支持不認證作為備選認證方法。

在AAA中，可以隻使用認證，而不使用授權或計費。如果用戶沒有進行任何配置，則ISP域的缺省認證方法為local。

配置前的準備工作：

(1)     如果用戶使用RADIUS、HWTACACS或LDAP認證，則需要先配置要引用的RADIUS、HWTACACS或LDAP方案；如果使用local或none認證，則不需要配置方案。

(2)     確定要配置的接入方式或者服務類型。AAA可以對不同的接入方式和服務類型配置不同的認證方案，並且從配置上限製了用戶接入時使用的認證協議。

(3)     確定是否為所有的接入方式或服務類型配置認證方法。

表1-61 配置ISP域的AAA認證方法

操作	命令	說明
進入係統視圖	system-view	-
進入ISP域視圖	domain isp-name	-
為當前ISP域配置缺省的認證方法	authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，當前ISP域的缺省認證方法為local
為lan-access用戶配置認證方法	authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }	可選 缺省情況下，lan-access用戶采用缺省的認證方法
為login用戶配置認證方法	authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | ldap-scheme ldap-scheme-name [ local ] | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，login用戶采用缺省的認證方法
為Portal用戶配置認證方法	authentication portal { ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，Portal用戶采用缺省的認證方法
為PPP用戶配置認證方法	authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，PPP用戶采用缺省的認證方法 本特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
配置級別切換認證方法	authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }	可選 缺省情況下，級別切換認證采用缺省的認證方法
為WAPI用戶配置認證方法	authentication wapi { none |  radius-scheme radius-scheme-name }	可選 缺省情況下，WAPI用戶采用缺省的認證方法 本特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
為WLAN AP用戶配置認證方法	authentication wlan-ap radius-scheme radius-scheme-name	可選 缺省情況下，WLAN AP用戶采用當前ISP域的缺省認證方法

 

 

1.4.5  配置ISP域的AAA授權方法

在AAA中，授權是一個和認證、計費同級別的獨立流程，其職責是發送授權請求給所配置的授權服務器，授權通過後向用戶下發授權信息。在ISP域的AAA配置中，授權方法為可選配置。

AAA支持以下授權方法：

·     不授權（none）：接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時，認證通過的Login用戶（通過Console/aux或者Telnet、FTP訪問設備的用戶）隻有係統所給予的0級別的命令行訪問權限，其中FTP用戶可訪問設備的根目錄；認證通過的非Login用戶，可直接訪問網絡。

·     本地授權（local）：授權過程在接入設備上進行，根據接入設備上為本地用戶配置的相關屬性進行授權。

·     遠端授權（scheme）：授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的，不能單獨使用RADIUS進行授權。RADIUS認證成功後，才能進行授權，RADIUS授權信息攜帶在認證回應報文中下發給用戶。HWTACACS和LDAP協議的授權與認證相分離，在認證成功後，HWTACACS授權信息通過授權報文進行交互。當遠端服務器無效時，可配置本地授權或直接授權作為備選授權方式完成授權。

如果用戶沒有進行任何配置，則ISP域的缺省授權方法為local。

配置前的準備工作：

(1)     如果用戶要使用HWTACACS或LDAP授權，則需要先配置要引用的HWTACACS或LDAP方案；如果是RADIUS授權，隻有在認證和授權方法中引用相同的RADIUS方案，授權才起作用。

(2)     確定要配置的接入方式或者服務類型，AAA可以按照不同的接入方式和服務類型進行AAA授權的配置，並且從配置上正確限製了接入所能使用的授權協議。

(3)     確定是否為所有的接入方式或服務類型配置授權方法。

表1-62 配置ISP域的AAA授權方法

操作	命令	說明
進入係統視圖	system-view	-
進入ISP域視圖	domain isp-name	-
為當前ISP域配置缺省的授權方法	authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | ldap-scheme ldap-scheme-name [ local ] | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，當前ISP域的缺省授權方法為local
配置命令行授權方法	authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }	可選 缺省情況下，命令行授權采用缺省的授權方法
為lan-access用戶配置授權方法	authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }	可選 缺省情況下，lan-access用戶采用缺省的授權方法
為login用戶配置授權方法	authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | ldap-scheme ldap-scheme-name [ local ] | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，login用戶采用缺省的授權方法
為Portal用戶配置授權方法	authorization portal { local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，Portal用戶采用缺省的授權方法
為PPP用戶配置授權方法	authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，PPP用戶采用缺省的授權方法 本特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
為WAPI用戶配置授權方法	authorization wapi { none | radius-scheme radius-scheme-name }	可選 缺省情況下，WAPI用戶采用缺省的授權方法 本特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹

 

 

 

1.4.6  配置ISP域的AAA計費方法

在AAA中，計費是一個和認證、授權同級別的獨立流程，其職責為發送計費開始／更新／結束請求給所配置的計費服務器。計費不是必須使用的。在ISP域的AAA配置中，允許不配置計費方法。如果不配置計費方法，則ISP域的缺省計費方法為local。

AAA支持以下計費方法：

·     不計費（none）：不對用戶計費。

·     本地計費（local）：計費過程在接入設備上完成，實現了本地用戶連接數的統計和限製，並沒有實際的費用統計功能。本地計費僅用於配合本地用戶視圖下的access-limit命令來實現對本地用戶連接數的限製功能。

·     遠端計費（scheme）：計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時，可配置本地計費或不計費作為備選計費方式完成計費。

配置前的準備工作：

(1)     如果用戶要使用RADIUS或HWTACACS計費，則需要先配置要引用的RADIUS方案或HWTACACS方案；如果要使用local或none計費，則不需要配置方案。

(2)     確定要配置的接入方式或者服務類型，AAA可以支持為按照不同的接入方式和服務類型進行AAA計費的配置，並且從配置上正確限製了接入所能使用的計費協議。

(3)     確定是否為所有的接入方式或服務類型配置計費方法。

表1-63 配置ISP域的AAA計費方法

操作	命令	說明
進入係統視圖	system-view	-
進入ISP域視圖	domain isp-name	-
打開計費可選開關	accounting optional	可選 缺省情況下，ISP域的計費可選開關處於關閉狀態 對用戶進行計費時，若發現沒有可用的計費服務器或與計費服務器通信失敗，在計費開關打開的情況下，用戶可繼續使用網絡資源，否則用戶會被強製下線
為當前ISP域配置缺省的計費方法	accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，當前ISP域的缺省計費方法為local
配置命令行計費方法	accounting command hwtacacs-scheme hwtacacs-scheme-name	可選 缺省情況下，命令行計費采用缺省的計費方法
為lan-access用戶配置計費方法	accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }	可選 缺省情況下，lan-access用戶采用缺省的計費方法
為login用戶配置計費方法	accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，login用戶采用缺省的計費方法
為Portal用戶配置計費方法	accounting portal { local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，Portal用戶采用缺省的計費方法
為PPP用戶配置計費方法	accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }	可選 缺省情況下，PPP用戶采用缺省的計費方法 本特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹
為WAPI用戶配置計費方法	accounting wapi radius-scheme { none | radius-scheme radius-scheme-name }	可選 缺省情況下，WAPI用戶采用缺省的計費方法 本特性的支持情況與設備的型號有關，請參見“配置指導導讀”中的“特性差異情況”部分的介紹

 

 

1.5  配置強製切斷用戶連接

表1-64 配置強製切斷用戶連接

操作	命令	說明
進入係統視圖	system-view	-
強製切斷指定AAA用戶的連接	cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id }	必選 此命令目前隻對lan-access、Portal和PPP服務類型的用戶有效

 

1.6  配置本地EAP認證

1. 本地EAP認證簡介

802.1X協議用來對接入用戶進行認證，它使用EAP（Extensible Authentication Protocol，可擴展認證協議）協議完成客戶端與接入設備之間的認證交互。在一些簡單的應用環境下，用戶不希望或者未部署AAA服務器來進行EAP認證，而是希望直接采用接入設備來進行本地EAP認證。在這種組網需求下，就要求接入設備來充當EAP認證服務器的角色。

另外，當遠程RADIUS服務器不支持EAP認證時，本地EAP認證服務器還可以協助實現RADIUS的Offload功能，關於該功能的詳細介紹請參見“1.3.2  15. 使能RADIUS Offload功能”。

本地EAP認證過程中對用戶身份的驗證可采用兩種方式：查詢本地數據庫和查詢LDAP數據庫。缺省情況下，係統默認采用本地用戶數據庫來驗證用戶身份。本地數據庫是在接入設備上通過配置本地用戶生成並保存的；LDAP數據庫在遠程LDAP服務器上生成並維護。本地用戶數據庫受設備硬件資源的限製不能保存數量過多的用戶信息，且在多接入設備的組網環境中不易進行用戶信息的統一管理。因此，在具備LDAP服務器資源的情況下，利用獨立的LDAP數據庫驗證用戶身份則是一種更為合適的配置方式。

2. 配置本地EAP認證

接入設備需要通過以下配置步驟來實現對接入用戶的本地EAP認證：

(1)     配置本地EAP認證服務器，具體配置請參考“配置本地EAP認證服務器”。

(2)     配置對lan-access用戶采用Local認證方法（授權和計費可選，請根據實際情況配置），具體配置請參考“配置ISP域的AAA認證方法”。

(3)     根據采用的用戶身份查詢方式，選擇以下配置：

·     若采用查詢本地數據庫的方式，則需配置本地用戶，具體配置請參考“配置本地用戶”。

·     若采用查詢LDAP數據庫的方式，則需配置LDAP方案，具體配置請參考“配置LDAP方案”。除此之外，還需要在所使用的LDAP服務器上添加用戶帳戶，詳情請參考相關的LDAP服務器使用說明。

(4)     配置802.1X功能，具體配置請參考“安全配置指導”中的“802.1X”。

3. 配置本地EAP認證服務器

為使本地EAP認證服務器生效，必須完成以下配置：

(1)     配置EAP Profile

EAP Profile是一個本地EAP認證選項的配置集合，用於設置EAP認證方法、身份查詢方式以及某些EAP認證方法需要引用的SSL服務器策略。

本地EAP認證支持的EAP認證方法包括以下幾種：

·     MD5質詢認證

·     PEAP-GTC（Protected Extensible Authentication Protocol-Microsoft Generic Token Card，受保護的擴展認證協議-通用令牌卡）

·     PEAP-MSCHAPv2（Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2，受保護的擴展認證協議- Microsoft質詢握手身份驗證協議版本2）

·     TLS（Transport Layer Security，傳輸層安全）

·     TTLS（Tunneled Transport Layer Security，管道式傳輸層安全）

目前，設備支持三種本地EAP認證的用戶身份查詢機製：local查詢、LDAP查詢和LDAP+local查詢。其中，LDAP+local查詢是指，在LDAP服務器不可達、指定的LDAP scheme不存在或者LDAP服務器不支持該查詢方式時，接入設備轉而進行本地查詢。

(2)     在係統視圖下指定本地認證服務器使用的EAP Profile

表1-65 配置本地EAP認證服務器

操作	命令	說明
進入係統視圖	system-view	-
創建EAP Profile，並進入EAP-Profile視圖	eap-profile profile-name	必選
設置EAP認證方法	method { md5 | peap-gtc | peap-mschapv2 | tls | ttls }	必選 缺省情況下，未設置任何EAP認證方法 可通過多次執行本命令設置多個EAP認證方法，先設置的認證方法在本地EAP認證時優先選用 peap-gtc和peap-mschapv2兩種認證方法不能同時配置
設置本地EAP認證的用戶身份查詢方式	user-credentials { ldap-scheme ldap-scheme-name [ local ] | local }	可選 缺省情況下，使用本地用戶數據庫查詢用戶身份
設置用於EAP認證的SSL服務器端策略	ssl-server-policy policy-name	僅當EAP認證方法為peap-gtc、peap-mschapv2、tls或ttls時，本配置必選 缺省情況下，未設置任何SSL服務器端策略
退回係統視圖	quit	-
設置本地認證服務器使用的EAP Profile	local-server authentication eap-profile profile-name	必選

 

 

1.7  配置NAS-ID與VLAN的綁定

用戶的接入VLAN可標識用戶的接入位置，而在某些應用環境中，網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來標識用戶的接入位置，因此接入設備上需要建立用戶接入VLAN與指定的NAS-ID之間的綁定關係。這樣，當用戶上線時，設備會將與用戶接入VLAN匹配的NAS-ID填充在RADIUS請求報文中的NAS-Identifier屬性中發送給RADIUS服務器。

表1-66 配置NAS-ID與VLAN的綁定

操作	命令	說明
進入係統視圖	system-view	-
創建NAS-ID Profile，並進入NAS-ID-Profile視圖	aaa nas-id profile profile-name	必選 本NAS-ID Profile將被使能Portal的接口進行引用，具體應用請參見“安全配置指導”中的“Portal”
設置NAS-ID 與VLAN的綁定關係	nas-id nas-identifier bind vlan vlan-id	必選 缺省情況下，未設置任何綁定關係

 

1.8  配置設備ID

 

設備ID是工作在雙機熱備環境中或MAC-BAC組網環境中的接入設備區分彼此的一個標誌。

在雙機熱備環境中，為保證接入設備上的Portal業務備份可以正常工作，互為備份的兩台接入設備上必須配置不同編號的設備ID，且隻能為1和2。關於Portal雙機熱備的詳細介紹請參考“安全配置指導”中的“Portal”。

在MAC-BAC組網環境中，一組BAS AC會通過相關聯的同一個Master AC向RADIUS服務器發起認證，設備ID用於區分同一Master AC管理的不同BAS AC，可取值1～255。

表1-67 配置設備ID

操作	命令	說明
進入係統視圖	system-view	-
配置設備ID	nas device-id device-id	必選 缺省情況下，設備ID為1

 

 

1.9  AAA顯示和維護

完成上述配置後，在任意視圖下執行display命令可以顯示配置後AAA的運行情況，通過查看顯示信息驗證配置的效果。

表1-68 AAA顯示和維護

操作	命令
顯示所有或指定ISP域的配置信息	display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ]
顯示AAA用戶連接的相關信息	display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]