H3C WAS120以太网交换机 Web配置指导-Release 151x系列-6W101

44-HWTACACS

1 HWTACACS

1.1 概述

HWTACACS（HW Terminal Access Controller Access Control System，HW终端访问控制器控制系统协议）是在TACACS（RFC1492）基础上进行了功能增强的安全协议。该协议与RADIUS协议类似，用于实现AAA的协议，且采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。

HWTACACS协议主要用于终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端，将用户名和密码发给HWTACACS服务器进行验证，用户验证通过并得到授权之后可以登录到设备上进行操作，HWTACACS服务器上会记录用户对设备执行过的命令。

1.2 配置HWTACACS方案

1.2.1 新建HWTACACS方案

HWTACACS方案中定义了设备和HWTACACS服务器之间进行信息交互所必须的一些参数。当创建一个新的HWTACACS方案之后，需要对属于此方案的HWTACACS服务器的IP地址、TCP端口号和报文共享密钥进行设置，这些服务器包括认证、授权和计费服务器，而每种服务器又有主服务器和从服务器的区别。每个HWTACACS方案的属性包括：主服务器的IP地址、从服务器的IP地址、共享密钥等。

(1) 在导航栏中选择“认证 > HWTACACS”，进入如图1-1所示的页面。

图1-1 HWTACACS

(2) 单击<新建>按钮，进入新建HWTACACS方案的配置页面，如图1-2所示。

图1-2 新建HWTACACS方案

(3) 配置HWTACACS方案，详细配置如表1-1所示。

(4) 单击<确定>按钮完成操作。

表1-1 HWTACACS方案的详细配置

配置项	说明
方案名称	缺省情况下，存在一个名称为system的HWTACACS方案通过Web首次配置HWTACACS功能时，默认方案名为system，该名称不可更改。点击<确认>后，再次新建HWTACACS方案，可以创建新的HWTACACS方案
通用配置	设置HWTACACS方案的通用参数，包括用户名格式、认证、授权、计费服务器共享密钥等，详细配置请参见“1.2.2 高级配置”
HWTACACS服务器配置	设置HWTACACS认证服、授权和计费服务器信息，详细配置请参见“1.2.3 HWTACACS服务器配置”

1.2.2 高级配置

(1) 单击“高级”前的扩展按钮，可以展开通用参数中的高级配置，如图1-3所示。

图1-3 高级配置

(2) 配置通用参数，详细配置表1-2如所示。

表1-2 通用参数的详细配置

配置项	说明
用户名格式	设置发送给HWTACACS服务器的用户名格式接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为域名，如果HWTACACS服务器不接受带域名的用户名时，可以配置将用户名的域名去除后再传送给HWTACACS服务器 l 带域名：表示发送给HWTACACS服务器的用户名带域名 l 不带域名：表示发送给HWTACACS服务器的用户名不带域名 l 保持用户原始输入：表示发送给HWTACACS服务器的用户名保持用户原始的输入，不做任何修改
认证服务器共享密钥	设置HWTACACS认证报文、HWTACACS授权报文和HWTACACS计费报文的共享密钥 HWTACACS客户端与HWTACACS服务器通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下，彼此才能接收对方发来的报文并作出响应必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致设备优先采用“HWTACACS服务器配置”中指定的共享密钥，此处指定的共享密钥仅在“HWTACACS服务器配置”中未指定相应共享密钥的情况下使用
确认认证服务器共享密钥
授权服务器共享密钥
确认授权服务器共享密钥
计费服务器共享密钥
确认计费服务器共享密钥
静默时间间隔	设置HWTACACS服务器恢复激活状态的时间设置主服务器恢复激活状态的时间当主服务器不可达时，状态变为block，设备会与状态为active的备份服务器交互，并开启超时定时器，在设定的一定时间间隔之后，将主服务器的状态恢复为active。这段时间被称为静默时间间隔输入空时，恢复静默时间间隔为缺省值当静默时间间隔设置为0时，若当前用户使用的认证或计费服务器不可达，则设备并不会切换它的状态，而是保持其为active，并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器，而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的，则可以结合网络的实际运行状况，将静默时间间隔设置为0，使得用户尽可能的集中在主服务器上进行认证和计费
服务器应答超时时间	设置HWTACACS服务器应答超时时间如果在HWTACACS请求报文（认证/授权请求或计费请求）传送出去一段时间后，设备还没有得到HWTACACS服务器的响应，则有必要重传HWTACACS请求报文，以保证用户确实能够得到HWTACACS服务，这段时间被称为服务器应答超时时间输入空时，恢复应答超时时间为缺省值由于HWTACACS是基于TCP实现的，因此，服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开
实时计费间隔	设置实时计费的时间间隔，取值必须为3的整数倍为了对用户实施实时计费，有必要定期向服务器发送用户的实时计费信息，通过设置实时计费的时间间隔，设备会每隔设定的时间向HWTACACS服务器发送一次在线用户的计费信息。如果服务器对实时计费报文没有正常响应，设备也不会强制切断在线用户输入空时，恢复实时计费的时间间隔为缺省值实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求，取值越小，对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大（≥1000）时，尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系请参见“1.4 配置注意事项”
缓存未得到响应的停止计费报文	设置允许或禁止在设备上缓存没有得到响应的停止计费请求报文由于停止计费请求报文涉及到话单结算，并最终影响收费多少，对用户和ISP都有比较重要的影响，因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以，如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应，设备应将其缓存在本机上，然后发送直到HWTACACS计费服务器产生响应，或者在发送的次数达到指定的次数限制后将其丢弃
停止计费报文最大发送次数	设置当出现没有得到响应的停止计费请求时，将该报文存入设备缓存后，发送停止计费请求报文的最大次数当停止计费缓存为Disable状态时，该值无效输入空时，恢复停止计费请求报文传送次数为缺省值
HWTACACS报文源IP地址	设备向HWTACACS服务器发送HWTACACS报文时使用的源IP地址 HWTACACS服务器上通过IP地址来标识接入设备，并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证、授权或计费请求。因此，为保证认证、授权和计费报文可被服务器正常接收并处理，接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致如果不指定此地址，则以发送报文的接口地址作为源IP地址
流量数据的单位	设置发送到HWTACACS服务器的流量数据的单位 l Byte：表示流量数据的单位为字节 l Kilo-byte：表示流量数据的单位为千字节 l Mega-byte：表示流量数据的单位为兆字节 l Giga-byte：表示流量数据的单位为千兆字节
数据包的单位	设置发送到HWTACACS服务器的数据包的单位 l One-packet：表示数据包的单位为包 l Kilo-packet：表示数据包的单位为千包 l Mega-packet：表示数据包的单位为兆包 l Giga-packet：表示数据包的单位为千兆包

1.2.3 HWTACACS服务器配置

(1) 在“HWTACACS服务器配置”中单击<添加>按钮，弹出如图1-4所示的页面。

图1-4 添加HWTACACS服务器

(2) 为HWTACACS方案添加HWTACACS服务器，详细配置如表1-3所示。

(3) 单击<确定>按钮，关闭弹出的页面，完成服务器的配置。

表1-3 HWTACACS服务器的详细配置

配置项	说明
服务器类型	设置要添加的HWTACACS服务器类型，包括：主认证服务器、主授权服务器、主计费服务器、从认证服务器、从授权服务器、从计费服务器
IP地址	设置HWTACACS服务器的IPv4地址主认证/授权/计费服务器和从认证/授权/计费服务器的IP地址不能相同
端口	设置HWTACACS服务器的TCP端口号
密钥	设置HWTACACS服务器的共享密钥当HWTACACS服务器中未指定共享密钥时，使用HWTACACS方案的通用配置中指定的共享密钥
确认密钥