- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-AAA配置
本章节下载: 01-AAA配置 (670.47 KB)
1.5 配置RADIUS session control功能
1.8.1 SSH用户的HWTACACS认证、授权、计费配置
1.8.2 SSH用户的local认证、HWTACACS授权、RADIUS计费配置
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。
· 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
AAA采用客户端/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,负责验证用户身份与管理用户接入,服务器上则集中管理用户信息。AAA的基本组网结构如图1-1。
图1-1 AAA基本组网结构示意图
当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时,首先需要通过AAA认证,而NAS就起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器。服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS根据服务器返回的结果,决定是否允许用户访问外部网络、获取网络资源。
AAA可以通过多种协议来实现,这些协议规定了NAS与服务器之间如何传递用户信息。目前设备支持RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议、HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)协议,在实际应用中,最常使用RADIUS协议。
图1-1的AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。例如,可以选择HWTACACS服务器实现认证和授权,RADIUS服务器实现计费。
当然,用户也可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源时进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
目前,设备支持动态口令认证机制。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS协议合并了认证和授权的过程,它定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议,UDP端口1812、1813分别作为认证/授权、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
· 客户端:RADIUS客户端一般位于NAS上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· 服务器:RADIUS服务器一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收NAS发送的认证、授权、计费请求并进行相应的处理,然后给NAS返回处理结果(如接受/拒绝认证请求)。另外,RADIUS服务器还可以作为一个代理,以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信,负责转发RADIUS认证和计费报文。
RADIUS服务器通常要维护三个数据库,如图1-2所示:
图1-2 RADIUS服务器的组成
· “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
· “Clients”:用于存储RADIUS客户端的信息(如NAS的共享密钥、IP地址等)。
· “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息。
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的。共享密钥是一个带外传输的客户端和服务器都知道的字符串,不需要单独进行网络传输。RADIUS报文中有一个16字节的验证字字段,它包含了对整个报文的数字签名数据,该签名数据是在共享密钥的参与下利用MD5算法计算出的。收到RADIUS报文的一方要验证该签名的正确性,如果报文的签名不正确,则丢弃它。通过这种机制,保证了RADIUS客户端和RADIUS服务器之间信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在RADIUS报文传输过程中还利用共享密钥对用户密码进行了加密。
RADIUS服务器支持多种方法来认证用户,例如PAP(Password Authentication Protocol,密码验证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)以及EAP(Extensible Authentication Protocol,可扩展认证协议)。
用户、RADIUS客户端和RADIUS服务器之间的交互流程如图1-3所示。
图1-3 RADIUS的基本消息交互流程
消息交互流程如下:
(1) 用户发起连接请求,向RADIUS客户端发送用户名和密码。
(2) RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下利用MD5算法进行加密处理。
(3) RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
(6) 用户开始访问网络资源。
(7) 用户请求断开连接。
(8) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
(9) RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
(10) 通知用户结束访问网络资源。
RADIUS采用UDP报文来传输消息,通过定时器机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。RADIUS报文结构如图1-4所示。
图1-4 RADIUS报文结构
各字段的解释如下:
(1) Code域
长度为1个字节,用于说明RADIUS报文的类型,如表1-1所示。
表1-1 Code域的主要取值说明
|
Code |
报文类型 |
报文说明 |
|
1 |
Access-Request认证请求包 |
方向Client->Server,Client将用户信息传输到Server,请求Server对用户身份进行验证。该报文中必须包含User-Name属性,可选包含NAS-IP-Address、User-Password、NAS-Port等属性 |
|
2 |
Access-Accept认证接受包 |
方向Server->Client,如果Access-Request报文中的所有Attribute值都可以接受(即认证通过),则传输该类型报文 |
|
3 |
Access-Reject认证拒绝包 |
方向Server->Client,如果Access-Request报文中存在任何无法被接受的Attribute值(即认证失败),则传输该类型报文 |
|
4 |
Accounting-Request计费请求包 |
方向Client->Server,Client将用户信息传输到Server,请求Server开始/停止计费。该报文中的Acct-Status-Type属性用于区分计费开始请求和计费结束请求 |
|
5 |
Accounting-Response计费响应包 |
方向Server->Client,Server通知Client已经收到Accounting-Request报文,并且已经正确记录计费信息 |
(2) Identifier域
长度为1个字节,用于匹配请求包和响应包,以及检测在一段时间内重发的请求包。对于类型一致且属于同一个交互过程的请求包和响应包,该Identifier值相同。
(3) Length域
长度为2个字节,表示RADIUS数据包(包括Code、Identifier、Length、Authenticator和Attribute)的长度,单位为字节。超过Length域的字节将作为填充字符被忽略。如果接收到的包的实际长度小于Length域的值时,则包会被丢弃。
(4) Authenticator域
长度为16个字节,用于验证RADIUS服务器的应答报文,另外还用于用户密码的加密。Authenticator包括两种类型:Request Authenticator和Response Authenticator。
(5) Attribute域
不定长度,用于携带专门的认证、授权和计费信息。Attribute域可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。
· 类型(Type):表示属性的类型。
· 长度(Length):表示该属性(包括类型、长度和属性值)的长度,单位为字节。
· 属性值(Value):表示该属性的信息,其格式和内容由类型决定。
表1-2列出了RADIUS认证、授权、计费常用的属性,这些属性由RFC 2865、RFC 2866、RFC 2867和RFC 2868所定义。常用RADIUS标准属性的介绍请参见“1.1.6 1. 常用RADIUS标准属性”。
|
属性编号 |
属性名称 |
属性编号 |
属性名称 |
|
1 |
User-Name |
45 |
Acct-Authentic |
|
2 |
User-Password |
46 |
Acct-Session-Time |
|
3 |
CHAP-Password |
47 |
Acct-Input-Packets |
|
4 |
NAS-IP-Address |
48 |
Acct-Output-Packets |
|
5 |
NAS-Port |
49 |
Acct-Terminate-Cause |
|
6 |
Service-Type |
50 |
Acct-Multi-Session-Id |
|
7 |
Framed-Protocol |
51 |
Acct-Link-Count |
|
8 |
Framed-IP-Address |
52 |
Acct-Input-Gigawords |
|
9 |
Framed-IP-Netmask |
53 |
Acct-Output-Gigawords |
|
10 |
Framed-Routing |
54 |
(unassigned) |
|
11 |
Filter-ID |
55 |
Event-Timestamp |
|
12 |
Framed-MTU |
56-59 |
(unassigned) |
|
13 |
Framed-Compression |
60 |
CHAP-Challenge |
|
14 |
Login-IP-Host |
61 |
NAS-Port-Type |
|
15 |
Login-Service |
62 |
Port-Limit |
|
16 |
Login-TCP-Port |
63 |
Login-LAT-Port |
|
17 |
(unassigned) |
64 |
Tunnel-Type |
|
18 |
Reply-Message |
65 |
Tunnel-Medium-Type |
|
19 |
Callback-Number |
66 |
Tunnel-Client-Endpoint |
|
20 |
Callback-ID |
67 |
Tunnel-Server-Endpoint |
|
21 |
(unassigned) |
68 |
Acct-Tunnel-Connection |
|
22 |
Framed-Route |
69 |
Tunnel-Password |
|
23 |
Framed-IPX-Network |
70 |
ARAP-Password |
|
24 |
State |
71 |
ARAP-Features |
|
25 |
Class |
72 |
ARAP-Zone-Access |
|
26 |
Vendor-Specific |
73 |
ARAP-Security |
|
27 |
Session-Timeout |
74 |
ARAP-Security-Data |
|
28 |
Idle-Timeout |
75 |
Password-Retry |
|
29 |
Termination-Action |
76 |
Prompt |
|
30 |
Called-Station-Id |
77 |
Connect-Info |
|
31 |
Calling-Station-Id |
78 |
Configuration-Token |
|
32 |
NAS-Identifier |
79 |
EAP-Message |
|
33 |
Proxy-State |
80 |
Message-Authenticator |
|
34 |
Login-LAT-Service |
81 |
Tunnel-Private-Group-id |
|
35 |
Login-LAT-Node |
82 |
Tunnel-Assignment-id |
|
36 |
Login-LAT-Group |
83 |
Tunnel-Preference |
|
37 |
Framed-AppleTalk-Link |
84 |
ARAP-Challenge-Response |
|
38 |
Framed-AppleTalk-Network |
85 |
Acct-Interim-Interval |
|
39 |
Framed-AppleTalk-Zone |
86 |
Acct-Tunnel-Packets-Lost |
|
40 |
Acct-Status-Type |
87 |
NAS-Port-Id |
|
41 |
Acct-Delay-Time |
88 |
Framed-Pool |
|
42 |
Acct-Input-Octets |
89 |
(unassigned) |
|
43 |
Acct-Output-Octets |
90 |
Tunnel-Client-Auth-id |
|
44 |
Acct-Session-Id |
91 |
Tunnel-Server-Auth-id |
RADIUS协议具有良好的可扩展性,RFC 2865中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。
设备厂商可以在26号属性中封装多个自定义的(Type、Length、Value)子属性,以提供更多的扩展功能。26号属性的格式如图1-5所示:
· Vendor-ID,表示厂商代号,最高字节为0,其余3字节的编码见RFC 1700。
· Vendor-Type,表示子属性类型。
· Vendor-Length,表示子属性长度。
· Vendor-Data,表示子属性的内容。
设备支持的RADIUS扩展属性的Vendor-ID是25506,关于RADIUS扩展属性的介绍请参见“1.1.6 2. RADIUS扩展属性(Vendor-ID=25506)”。
图1-5 26号属性的格式
HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)是在TACACS(RFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。
HWTACACS协议主要用于PPP(Point-to-Point Protocol,点对点协议)和VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到NAS设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作,HWTACACS服务器上会记录用户对设备执行过的命令。
HWTACACS协议与RADIUS协议都实现了认证、授权和计费功能,它们有很多相似点:结构上都采用客户端/服务器模式;都使用共享密钥对传输的用户信息进行加密;都有较好的灵活性和可扩展性。两者之间存在的主要区别如表1-3所示。
表1-3 HWTACACS协议和RADIUS协议区别
|
HWTACACS协议 |
RADIUS协议 |
|
使用TCP,网络传输更可靠 |
使用UDP,网络传输效率更高 |
|
除了HWTACACS报文头,对报文主体全部进行加密 |
只对认证报文中的密码字段进行加密 |
|
协议报文较为复杂,认证和授权分离,使得认证、授权服务可以分离在不同的服务器上实现。例如,可以用一个HWTACACS服务器进行认证,另外一个HWTACACS服务器进行授权 |
协议报文比较简单,认证和授权结合,难以分离 |
|
支持对设备的配置命令进行授权使用。用户可使用的命令行受到用户角色和AAA授权的双重限制,某角色的用户输入的每一条命令都需要通过HWTACACS服务器授权,如果授权通过,命令就可以被执行 |
不支持对设备的配置命令进行授权使用 用户登录设备后可以使用的命令行由用户所具有的角色决定,关于用户角色的相关介绍请参见“基础配置指导”中的“RBAC” |
下面以Telnet用户为例,说明使用HWTACACS对用户进行认证、授权和计费的过程。基本消息交互流程图如图1-6所示。
图1-6 Telnet用户认证、授权和计费流程图
基本消息交互流程如下:
(1) Telnet用户请求登录设备。
(2) HWTACACS客户端收到请求之后,向HWTACACS服务器发送认证开始报文。
(3) HWTACACS服务器发送认证回应报文,请求用户名。
(4) HWTACACS客户端收到回应报文后,向用户询问用户名。
(5) 用户输入用户名。
(6) HWTACACS客户端收到用户名后,向HWTACACS服务器发送认证持续报文,其中包括了用户名。
(7) HWTACACS服务器发送认证回应报文,请求登录密码。
(8) HWTACACS客户端收到回应报文,向用户询问登录密码。
(9) 用户输入密码。
(10) HWTACACS客户端收到登录密码后,向HWTACACS服务器发送认证持续报文,其中包括了登录密码。
(11) 如果认证成功,HWTACACS服务器发送认证回应报文,指示用户通过认证。
(12) HWTACACS客户端向HWTACACS服务器发送授权请求报文。
(13) 如果授权成功,HWTACACS服务器发送授权回应报文,指示用户通过授权。
(14) HWTACACS客户端收到授权成功报文,向用户输出设备的配置界面,允许用户登录。
(15) HWTACACS客户端向HWTACACS服务器发送计费开始报文。
(16) HWTACACS服务器发送计费回应报文,指示计费开始报文已经收到。
(17) 用户请求断开连接。
(18) HWTACACS客户端向HWTACACS服务器发送计费结束报文。
(19) HWTACACS服务器发送计费结束报文,指示计费结束报文已经收到。
NAS对用户的管理是基于ISP(Internet Service Provider,互联网服务提供者)域的,每个用户都属于一个ISP域。一般情况下,用户所属的ISP域是由用户登录时提供的用户名决定的,如图1-7所示。
为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务。目前,设备仅支持对login用户进行认证、授权、计费服务。login用户又称为登录设备用户,如SSH、Telnet、FTP或终端接入用户(即从Console口登录的用户)。
在具体实现中,一个ISP域对应着设备上一套实现AAA的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
AAA支持以下认证方法:
· 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
· 本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
· 远端认证:认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS或HWTACACS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。
AAA支持以下授权方法:
· 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
· 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
· 远端授权:授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。HWTACACS协议的授权与认证相分离,在认证成功后,HWTACACS授权信息通过授权报文进行交互。当远端服务器无效时,可配置备选授权方式完成授权。
AAA支持以下计费方法:
· 不计费:不对用户计费。
· 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
· 远端计费:计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。
除此之外,对于login用户,AAA还可以对其提供以下服务,用于提高对设备操作的安全性:
· 命令行授权:用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。关于命令行授权的详细介绍请参考“基础配置指导”中的“配置用户通过CLI登录设备”。
· 命令行计费:若未开启命令行授权功能,则计费服务器对用户执行过的所有有效命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。关于命令行计费的详细介绍请参考“基础配置指导”中的“配置用户通过CLI登录设备”。
· 用户角色切换认证:在不退出当前登录、不断开当前连接的前提下,用户将当前的用户角色切换为其它用户角色时,只有通过服务器的认证,该切换操作才被允许。关于用户角色切换的详细介绍请参考“基础配置指导”中的“RBAC”。
与AAA、RADIUS、HWTACACS相关的协议规范有:
· RFC 2865:Remote Authentication Dial In User Service (RADIUS)
· RFC 2866:RADIUS Accounting
· RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support
· RFC 2868:RADIUS Attributes for Tunnel Protocol Support
· RFC 2869:RADIUS Extensions
· RFC 1492:An Access Control Protocol, Sometimes Called TACACS
表1-4 常用RADIUS标准属性
|
属性编号 |
属性名称 |
描述 |
|
1 |
User-Name |
需要进行认证的用户名称 |
|
2 |
User-Password |
需要进行PAP方式认证的用户密码,在采用PAP认证方式时,该属性仅出现在Access-Request报文中 |
|
3 |
CHAP-Password |
需要进行CHAP方式认证的用户密码的消息摘要。在采用CHAP认证方式时,该属性出现在Access-Request报文中 |
|
4 |
NAS-IP-Address |
Server通过不同的IP地址来标识不同的Client,通常Client采用本地一个接口的IP地址来唯一的标识自己,这就是NAS-IP-Address。该属性指示当前发起请求的Client的NAS-IP-Address。该字段仅出现在Access-Request报文中 |
|
5 |
NAS-Port |
用户接入NAS的物理端口号 |
|
6 |
Service-Type |
用户申请认证的业务类型 |
|
7 |
Framed-Protocol |
用户Frame类型业务的封装协议 |
|
8 |
Framed-IP-Address |
为用户所配置的IP地址 |
|
11 |
Filter-ID |
访问控制列表的名称 |
|
12 |
Framed-MTU |
用户与NAS之间数据链路的MTU(Maximum Transmission Unit,最大传输单元)值。例如在802.1X的EAP方式认证中,NAS通过Framed-MTU值指示Server发送EAP报文的最大长度,防止EAP报文大于数据链路MTU导致的报文丢失 |
|
14 |
Login-IP-Host |
用户登录设备的接口IP地址 |
|
15 |
Login-Service |
用户登录设备时采用的业务类型 |
|
18 |
Reply-Message |
服务器反馈给用户的纯文本描述,可用于向用户显示认证失败的原因 |
|
26 |
Vendor-Specific |
厂商自定义的私有属性。一个报文中可以有一个或者多个私有属性,每个私有属性中可以有一个或者多个子属性 |
|
27 |
Session-Timeout |
会话结束之前,给用户提供服务的最大时间,即用户的最大可用时长 |
|
28 |
Idle-Timeout |
会话结束之前,允许用户持续空闲的最大时间,即用户的限制切断时间 |
|
31 |
Calling-Station-Id |
NAS用于向Server告知标识用户的号码,在我司设备提供的lan-access业务中,该字段填充的是用户的MAC地址,采用的“HHHH-HHHH-HHHH”格式封装 |
|
32 |
NAS-Identifier |
NAS用来向Server标识自己的名称 |
|
40 |
Acct-Status-Type |
计费请求报文的类型 · 1:Start · 2:Stop · 3:Interim-Update · 4:Reset-Charge · 7:Accounting-On(3GPP中有定义) · 8:Accounting-Off (3GPP中有定义) · 9-14:Reserved for Tunnel Accounting · 15:Reserved for Failed |
|
45 |
Acct-Authentic |
用户采用的认证方式,包括RADIUS,Local以及Remote |
|
60 |
CHAP-Challenge |
在CHAP认证中,由NAS生成的用于MD5计算的随机序列 |
|
61 |
NAS-Port-Type |
NAS认证用户的端口的物理类型 · 15:以太网 · 16:所有种类的ADSL · 17:Cable(有线电视电缆) · 19:WLAN-IEEE 802.11 · 201:VLAN · 202:ATM 如果在ATM或以太网端口上还划分VLAN,则该属性值为201 |
|
79 |
EAP-Message |
用于封装EAP报文,实现RADIUS协议对EAP认证方式的支持 |
|
80 |
Message-Authenticator |
用于对认证报文进行认证和校验,防止非法报文欺骗。该属性在RADIUS协议支持EAP认证方式被使用 |
|
87 |
NAS-Port-Id |
用字符串来描述的认证端口信息 |
表1-5 RADIUS扩展属性(Vendor-ID=25506)
|
子属性编号 |
子属性名称 |
描述 |
|
1 |
Input-Peak-Rate |
用户接入到NAS的峰值速率,以bps为单位 |
|
2 |
Input-Average-Rate |
用户接入到NAS的平均速率,以bps为单位 |
|
3 |
Input-Basic-Rate |
用户接入到NAS的基本速率,以bps为单位 |
|
4 |
Output-Peak-Rate |
从NAS到用户的峰值速率,以bps为单位 |
|
5 |
Output-Average-Rate |
从NAS到用户的平均速率,以bps为单位 |
|
6 |
Output-Basic-Rate |
从NAS到用户的基本速率,以bps为单位 |
|
15 |
Remanent_Volume |
表示该连接的剩余可用总流量。对于不同的服务器类型,此属性的单位不同 |
|
20 |
Command |
用于会话控制,表示对会话进行操作,此属性有五种取值 · 1:Trigger-Request · 2:Terminate-Request · 3:SetPolicy · 4:Result · 5:PortalClear |
|
24 |
Control_Identifier |
服务器重发报文的标识符,对于同一会话中的重发报文,本属性必须相同。不同的会话的报文携带的该属性值可能相同。相应的客户端响应报文必须携带该属性,其值不变 在开始、停止或中间上报流量的Accounting-Request报文中,若带有Control_Identifier属性,此时的Control_Identifier属性无实际意义 |
|
25 |
Result_Code |
表示Trigger-Request或SetPolicy的结果,0表示成功,非0表示失败 |
|
26 |
Connect_ID |
用户连接索引 |
|
28 |
Ftp_Directory |
FTP/SFTP/SCP用户工作目录 对于FTP/SFTP/SCP用户,当RADIUS客户端作为FTP/SFTP/SCP服务器时,该属性用于设置RADIUS客户端上的FTP/SFTP/SCP目录 |
|
29 |
Exec_Privilege |
EXEC用户优先级 |
|
59 |
NAS_Startup_Timestamp |
NAS系统启动时刻,以秒为单位,表示从1970年1月1日UTC 00:00:00以来的秒数 |
|
60 |
Ip_Host_Addr |
认证请求和计费请求报文中携带的用户IP地址和MAC地址,格式为“A.B.C.D hh:hh:hh:hh:hh:hh”,IP地址和MAC地址之间以空格分开 |
|
61 |
User_Notify |
服务器需要透传到客户端的信息 |
|
62 |
User_HeartBeat |
802.1X用户认证成功后下发的32字节的Hash字符串,该属性值被保存在设备的用户列表中,用于校验802.1X客户端的握手报文 该属性仅出现在Access-Accept和Accounting-Request报文中 |
|
140 |
User_Group |
SSL VPN用户认证成功后下发的用户组,一个用户可以属于多个用户组,多个用户组之间使用分号格开。本属性用于与SSL VPN设备配合 |
|
141 |
Security_Level |
SSL VPN用户安全认证之后下发的安全级别 |
|
201 |
Input-Interval-Octets |
两次实时计费间隔的输入的字节差,以Byte为单位 |
|
202 |
Output-Interval-Octets |
两次实时计费间隔的输出的字节差,以Byte为单位 |
|
203 |
Input-Interval-Packets |
两次计费间隔的输入的包数,单位由设备上的配置决定 |
|
204 |
Output-Interval-Packets |
两次计费间隔的输出的包数,单位由设备上的配置决定 |
|
205 |
Input-Interval-Gigawords |
两次计费间隔的输入的字节差是4G字节的多少倍 |
|
206 |
Output-Interval-Gigawords |
两次计费间隔的输出的字节差是4G字节的多少倍 |
|
207 |
Backup-NAS-IP |
NAS发送RADIUS报文的备份源IP地址 |
|
255 |
Product_ID |
产品名称 |
在作为AAA客户端的接入设备(实现NAS功能的网络设备)上,AAA的基本配置思路如下:
(1) 配置AAA方案:根据不同的组网环境,配置相应的AAA方案。
· 本地认证:由NAS自身对用户进行认证、授权和计费。需要配置本地用户,即local user的相关属性,包括手动添加用户的用户名和密码等。
· 远程认证:由远程AAA服务器来对用户进行认证、授权和计费。需要配置RADIUS或HWTACACS方案。
(2) 配置实现AAA的方法:在用户所属的ISP域中分别指定实现认证、授权、计费的方法。其中,远程认证、授权、计费方法中均需要引用已经配置的RADIUS或HWTACACS方案。
· 认证方法:可选择不认证(none)、本地认证(local)或远程认证(scheme);
· 授权方法:可选择不授权(none)、本地授权(local)或远程授权(scheme);
· 计费方法:可选择不计费(none)、本地计费(local)或远程计费(scheme)。
图1-8 AAA基本配置思路流程图
表1-6 AAA配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
配置AAA方案 |
配置本地用户 |
四者至少选其一 |
|
|
配置RADIUS方案 |
|||
|
配置HWTACACS方案 |
|||
|
在ISP域中配置实现AAA的方法 |
创建ISP域 |
必选 |
|
|
配置ISP域的属性 |
可选 |
||
|
配置ISP域的AAA认证方法 |
三者至少选其一 |
||
|
配置ISP域的AAA授权方法 |
|||
|
配置ISP域的AAA计费方法 |
|||
|
配置RADIUS session control功能 |
可选 |
||
|
限制同时在线的最大用户连接数 |
可选 |
||
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名和用户类别为用户的唯一标识。本地用户目前仅支持设备管理用户。设备管理用户供设备管理员登录设备使用。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。具体步骤是,创建一个本地用户并进入本地用户视图,然后在本地用户视图下配置相应的用户属性,可配置的用户属性包括:
· 服务类型
用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证。
支持的服务类型包括:FTP、SSH、Telnet、Terminal。
· 用户状态
用于指示是否允许该用户请求网络服务器,包括active和block两种状态。active表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。
· 最大用户数
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入。
· 所属的用户组
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性)。关于本地用户组的介绍和配置请参见“1.3.1 3. 配置用户组属性”。
· 用户授权属性
用户认证通过后,接入设备下发给用户的权限。支持的授权属性包括:ACL、闲置切断功能、用户角色、VLAN、FTP/SFTP/SCP工作目录。各属性的支持情况请见表1-8。由于可配置的授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性。
本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户视图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。
· 密码管理属性
用户密码的安全属性,可用于对设备管理类本地用户的认证密码进行管理和控制。可设置的策略包括:密码老化时间、密码最小长度、密码组合策略、密码复杂度检查策略和用户登录尝试次数限制策略。
本地用户的密码管理属性在系统视图(具有全局性)、用户组视图和本地用户视图下都可以配置,其生效的优先级顺序由高到底依次为本地用户、用户组、全局。全局配置对所有本地用户生效,用户组的配置对组内所有本地用户生效。有关密码管理以及全局密码配置的详细介绍请参见“安全配置指导”中的“Password Control”。
表1-7 配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置本地用户属性 |
必选 |
|
|
配置用户组属性 |
可选 |
|
|
本地用户及本地用户组显示与维护 |
可选 |
配置本地用户属性时,有以下配置限制和指导:
· 使能全局密码管理功能(通过命令password-control enable)后,设备上将不显示配置的本地用户密码。
· 授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置,各视图下的配置优先级顺序从高到底依次为:本地用户视图-->用户组视图。
表1-8 配置本地用户的属性
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
添加本地用户,并进入本地用户视图 |
local-user user-name [ class manage ] |
缺省情况下,不存在本地用户 |
|
|
(可选)设置设备管理类本地用户的密码
|
非FIPS模式下: password [ { hash | simple } password ] FIPS模式下: password |
设备管理类用户的密码将在哈希计算后以密文的方式保存到配置文件中 若不设置密码,则本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功,因此为提高用户帐户的安全性,建议设置本地用户密码 |
|
|
设置设备管理类本地用户可以使用的服务类型 |
非FIPS模式下: service-type { ftp | { ssh | telnet | terminal } * } FIPS模式下: service-type { ssh | terminal } * |
缺省情况下,本地用户不能使用任何服务类型 |
|
|
(可选)设置本地用户的状态 |
state { active | block } |
缺省情况下,当一个本地用户被创建以后,其状态为active,允许该用户请求网络服务 |
|
|
(可选)设置使用当前本地用户名接入设备的最大用户数 |
access-limit max-user-number |
缺省情况下,不限制使用当前本地用户名接入的用户数 由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制 |
|
|
(可选)设置本地用户的授权属性 |
authorization-attribute { acl acl-number | idle-cut minute | user-role role-name | vlan vlan-id | work-directory directory-name } * |
缺省情况下,授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。在缺省MDC中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省MDC中由用户角色为mdc-admin或者level-15的用户创建的本地用户被授权用户角色mdc-operator · 对于telnet、terminal用户,仅授权属性idle-cut和user-role有效; · 对于ssh用户,仅授权属性idle-cut、user-role和work-directory有效; · 对于ftp用户,仅授权属性user-role和work-directory有效; · 对于其它类型的本地用户,所有授权属性均无效 |
|
|
(可选)设置设备管理类本地用户的密码管理属性 |
密码老化时间 |
password-control aging aging-time |
缺省情况下,采用本地用户所属用户组的密码管理策略 仅设备管理类的本地用户支持本地用户密码管理功能 |
|
密码最小长度 |
password-control length length |
||
|
密码组合策略 |
password-control composition type-number type-number [ type-length type-length ] |
||
|
密码的复杂度检查策略 |
password-control complexity { same-character | user-name } check |
||
|
用户登录尝试次数以及登录尝试失败后的行为 |
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
||
|
(可选)设置本地用户所属的用户组 |
group group-name |
缺省情况下,本地用户属于系统默认创建的用户组system |
|
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。目前,用户组中可以管理的用户属性为授权属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性。本地用户所属的用户组可以通过本地用户视图下的group命令来修改。
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建用户组,并进入用户组视图 |
user-group group-name |
缺省情况下,存在一个名称为system的用户组 |
|
|
设置用户组的授权属性 |
authorization-attribute { acl acl-number | idle-cut minute | vlan vlan-id | work-directory directory-name } * |
缺省情况下,未设置用户组的授权属性 |
|
|
(可选)设置用户组的密码管理属性 |
密码老化时间 |
password-control aging aging-time |
缺省情况下,采用全局密码管理策略 全局密码管理策略的相关配置请参见“安全配置指导”中的“Password Control” |
|
密码最小长度 |
password-control length length |
||
|
密码组合策略 |
password-control composition type-number type-number [ type-length type-length ] |
||
|
密码的复杂度检查策略 |
password-control complexity { same-character | user-name } check |
||
|
用户登录尝试次数以及登录尝试失败后的行为 |
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ] |
||
完成上述配置后,在任意视图下执行display命令可以显示配置后本地用户及本地用户组的运行情况,通过查看显示信息验证配置的效果。
表1-10 本地用户及本地用户组显示和维护
|
操作 |
命令 |
|
显示本地用户的配置信息和在线用户数的统计信息 |
display local-user [ class manage | idle-cut { disable | enable } | service-type { ftp | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ] |
|
显示本地用户组的相关配置 |
display user-group [ group-name ] |
RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必需的一些参数,主要包括RADIUS服务器的IP地址、UDP端口号、报文共享密钥、服务类型等。
表1-11 RADIUS配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置RADIUS服务器探测模板 |
可选 |
|
|
创建RADIUS方案 |
必选 |
|
|
配置RADIUS认证服务器 |
必选 |
|
|
配置RADIUS计费服务器及相关参数 |
可选 |
|
|
配置RADIUS报文的共享密钥 |
可选 |
|
|
配置RADIUS方案所属的VPN |
可选 |
|
|
配置发送给RADIUS服务器的用户名格式和数据统计单位 |
可选 |
|
|
配置发送RADIUS报文的最大尝试次数 |
可选 |
|
|
配置RADIUS服务器的状态 |
可选 |
|
|
配置RADIUS服务器负载分担功能 |
可选 |
|
|
配置发送RADIUS报文使用的源地址 |
可选 |
|
|
配置RADIUS服务器的定时器 |
可选 |
|
|
配置RADIUS的accounting-on功能 |
可选 |
|
|
配置RADIUS服务器安全策略服务器的IP地址 |
可选 |
|
|
配置RADIUS的Trap功能 |
可选 |
|
|
RADIUS显示和维护 |
可选 |
RADIUS服务器探测功能是指,设备周期性发送探测报文探测RADIUS服务器是否可达:如果服务器不可达,则置服务器状态为block,如果服务器可达,则置服务器状态为active。该探测功能不依赖于实际用户的认证过程,无论是否有用户向RADIUS服务器发起认证,无论是否有用户在线,设备都会自动对指定的RADIUS服务器进行探测,便于及时获得该服务器的可达状态。
RADIUS服务器探测模版用于配置探测用户名以及探测周期,并且可以被RADIUS方案视图下的RADIUS服务器配置引用。只有一个RADIUS服务器配置中成功引用了一个已经存在的服务器探测模版,设备才会启动对该RADIUS服务器的探测功能。
RADIUS服务器探测报文是一种模拟的认证请求报文,服务器探测模版中配置的探测用户名即为该探测报文中的认证用户名。设备会在配置的探测周期内选择随机时间点向引用了服务器探测模版的RADIUS服务器发送探测报文,且每次收到的探测应答消息仅能说明当前探测周期内该RADIUS服务器可达。服务器探测功能启动后,周期性的探测过程会一直执行,直到相关的配置发生变化(包括:删除该RADIUS服务器配置、取消对服务器探测模版的引用、删除对应的服务器探测模版、将该RADIUS服务器的状态手工置为block、删除当前RADIUS方案)。
表1-12 配置RADIUS服务器探测模版
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置RADIUS服务器探测模版 |
radius-server test-profile profile-name username name [ interval interval ] |
缺省情况下,不存在RADIUS服务器探测模版 系统支持最多同时存在多个RADIUS服务器探测模版 |
在进行RADIUS的其它配置之前,必须先创建RADIUS方案并进入其视图。系统最多支持配置16个RADIUS方案。一个RADIUS方案可以同时被多个ISP域引用。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案,并进入RADIUS方案视图 |
radius scheme radius-scheme-name |
缺省情况下,未定义RADIUS方案 |
由于RADIUS服务器的授权信息是随认证应答报文发送给RADIUS客户端的,RADIUS的认证和授权功能由同一台服务器实现,因此RADIUS认证服务器相当于RADIUS认证/授权服务器。通过在RADIUS方案中配置RADIUS认证服务器,指定设备对用户进行RADIUS认证时与哪些服务器进行通信。
一个RADIUS方案中最多允许配置一个主认证服务器和16个从认证服务器。缺省情况下,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。开启服务器负载分担功能后,设备会根据各服务器的权重以及服务器承载的用户负荷,按比例进行用户负荷分配并选择要交互的服务器。
建议在不需要备份的情况下,只配置主RADIUS认证服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个RADIUS方案的主认证服务器,又作为另一个RADIUS方案的从认证服务器。
表1-14 配置RADIUS认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
配置主RADIUS认证服务器 |
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] * |
二者至少选其一 缺省情况下,未配置主认证服务器和从认证服务器 在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从认证服务器的主机名、IP地址、端口号和VPN参数也不能完全相同 仅在RADIUS服务器负载分担功能处于开启状态下,参数weight才能生效 |
|
配置从RADIUS认证服务器 |
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } | [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] * |
通过在RADIUS方案中配置RADIUS计费服务器,指定设备对用户进行RADIUS计费时与哪些服务器进行通信。
一个RADIUS方案中最多允许配置一个主计费服务器和16个从计费服务器。缺省情况下,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。开启服务器负载分担功能后,设备会根据各服务器的权重以及服务器承载的用户负荷,按比例进行用户负荷分配并选择要交互的服务器。
建议在不需要备份的情况下,只配置主RADIUS计费服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个RADIUS方案的主计费服务器,又作为另一个RADIUS方案的从计费服务器。
当用户请求断开连接或者设备强行切断用户连接的情况下,设备会向RADIUS计费服务器发送停止计费请求。通过在设备上配置发起实时计费请求的最大尝试次数,允许设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过指定的最大值时切断用户连接。
目前RADIUS不支持对FTP/SFTP/SCP用户进行计费。
表1-15 配置RADIUS计费服务器及相关参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
配置主RADIUS计费服务器 |
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] * |
二者至少选其一 缺省情况下,未配置主/从计费服务器 在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从计费服务器的主机名、IP地址、端口号和VPN参数也不能完全相同 仅在RADIUS服务器负载分担功能处于开启状态下,参数weight才能生效 |
|
配置从RADIUS计费服务器 |
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] * |
|
|
(可选)设置允许发起实时计费请求的最大尝试次数 |
retry realtime-accounting retry-times |
缺省情况下,允许发起实时计费请求的最大尝试次数为5 |
RADIUS客户端与RADIUS服务器使用MD5算法并在共享密钥的参与下生成验证字,接受方根据收到报文中的验证字来判断对方报文的合法性。只有在共享密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
由于设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,因此,本配置中指定的RADIUS报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
表1-16 配置RADIUS报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
配置RADIUS报文的共享密钥 |
key { accounting | authentication } { cipher | simple } string |
缺省情况下,无共享密钥 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致 |
该配置用于为RADIUS方案下的所有RADIUS服务器统一指定所属的VPN。RADIUS服务器所属的VPN也可以在配置RADIUS服务器的时候单独指定,且被优先使用。未单独指定所属VPN的服务器,则属于所在RADIUS方案所属的VPN。
表1-17 配置RADIUS方案所属的VPN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
配置RADIUS方案所属的VPN |
vpn-instance vpn-instance-name |
缺省情况下,RADIUS方案属于公网 |
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备通过该域名决定将用户归于哪个ISP域。由于有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,因此就需要设备首先将用户名中携带的ISP域名去除后再传送给该类RADIUS服务器。通过设置发送给RADIUS服务器的用户名格式,就可以选择发送RADIUS服务器的用户名中是否要携带ISP域名,以及是否保持用户输入的原始用户名格式。
设备通过发送计费报文,向RADIUS服务器报告在线用户的数据流量统计值,该值的单位可配,为保证RADIUS服务器计费的准确性,设备上设置的发送给RADIUS服务器的数据流或者数据包的单位应与RADUIS服务器上的流量统计单位保持一致。
需要注意的是,如果要在两个乃至两个以上的ISP域中引用相同的RADIUS方案,建议设置该RADIUS方案允许用户名中携带ISP域名,使得RADIUS服务器端可以根据ISP域名来区分不同的用户。
表1-18 配置发送给RADIUS服务器用户名格式和数据统计单位
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
设置发送给RADIUS服务器的用户名格式 |
user-name-format { keep-original | with-domain | without-domain } |
缺省情况下,设备发送给RADIUS服务器的用户名携带有ISP域名 |
|
设置发送给RADIUS服务器的数据流或者数据包的单位 |
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * |
可选 缺省情况下,数据流的单位为byte,数据包的单位为one-packet |
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数已达到指定的最大尝试次数而RADIUS服务器仍旧没有响应,则设备将尝试与其它服务器通信,如果不存在状态为active的服务器,则认为本次认证或计费失败。关于RADIUS服务器状态的相关内容,请参见“1.3.2 10. 配置RADIUS服务器的状态”。
表1-19 配置发送RADIUS报文的最大尝试次数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
设置发送RADIUS报文的最大尝试次数 |
retry retry-times |
缺省情况下,发送RADIUS报文的最大尝试次数为3次 |
RADIUS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主RADIUS服务器和多个从RADIUS服务器,由从服务器作为主服务器的备份。当RADIUS服务器负载分担功能处于开启状态时,设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求。当RADIUS服务器负载分担功能处于关闭状态时,设备上主从服务器的切换遵从以下原则:
· 当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的quiet定时器,然后按照从服务器的配置先后顺序依次查找状态为active的从服务器进行认证或者计费。如果状态为active的从服务器也不可达,则将该从服务器的状态置为block,同时启动该服务器的quiet定时器,并继续查找状态为active的从服务器。当服务器的quiet定时器超时,或者手动将服务器状态置为active时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与从服务器通信时,之前已经查找过的服务器状态由block恢复为active,则设备并不会立即恢复与该服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 如果在认证或计费过程中删除了当前正在使用的服务器,则设备在与该服务器通信超时后,将会立即从主服务器开始依次查找状态为active的服务器并与之进行通信。
· 当主/从服务器的状态均为block时,设备尝试与主服务器进行通信。
· 只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
· 一旦某服务器状态满足自动切换的条件,则所有RADIUS方案视图下该服务器的状态都会相应得变化。
缺省情况下,设备将配置了IP地址的各RADIUS服务器的状态均置为active,认为所有的服务器均处于正常工作状态,但有些情况下用户可能需要通过以下配置手工改变RADIUS服务器的当前状态。例如,已知某服务器故障,为避免设备认为其active而进行无意义的尝试,可暂时将该服务器状态手工置为block。
表1-20 配置RADIUS服务器的状态
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
设置主RADIUS认证服务器的状态 |
state primary authentication { active | block } |
四者可选其一 缺省情况下,RADIUS方案中配置的RADIUS服务器的状态均为active 设置的服务器状态不能被保存在配置文件中,可通过display radius scheme命令查看。设备重启后,各服务器状态将恢复为缺省状态active |
|
设置主RADIUS计费服务器的状态 |
state primary accounting { active | block } |
|
|
设置从RADIUS认证服务器的状态 |
state secondary authentication [ { host-name | ipv4-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block } |
|
|
设置从RADIUS计费服务器的状态 |
state secondary accounting [ { host-name | ipv4-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block } |
缺省情况下,RADIUS服务器的调度采用主/从模式,即设备优先与主服务器交互,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
RADIUS方案中开启了服务器负载分担功能后,设备会根据各服务器的权重以及服务器承载的用户负荷,按比例进行用户负荷分配并选择要交互的服务器。
需要注意的是,负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达,则直接返回计费失败。
表1-21 配置RADIUS服务器负载分担功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
开启RADIUS服务器负载分担功能 |
algorithm loading-share enable |
缺省情况下,RADIUS服务器负载分担功能处于关闭状态 |
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。若RADIUS服务器收到的RADIUS认证或计费报文的源地址在所管理的接入设备IP地址范围内,则会进行后续的认证或计费处理,否则直接丢弃该报文。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
通常,该地址为接入设备上与RADIUS服务器路由可达的接口IP地址,但在一些特殊的组网环境中,例如在接入设备使用VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)进行双机热备应用时,可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址。
设备发送RADIUS报文时,根据以下顺序查找使用的源地址:
(1) 若当前所使用的RADIUS方案中配置了发送RADIUS报文使用源地址,则使用该地址。
(2) 否则,根据当前使用的服务器所属的VPN查找系统视图下通过radius nas-ip命令配置的私网源地址,对于公网服务器则直接查找该命令配置的公网源地址。
(3) 若系统视图下没有配置相应的源地址,则使用通过路由查找到的报文出接口地址。
此配置可以在系统视图和RADIUS方案视图下进行,系统视图下的配置将对所有RADIUS方案生效,RADIUS方案视图下的配置仅对本方案有效,并且具有高于前者的优先级。
表1-22 为所有RADIUS方案配置发送RADIUS报文使用的源地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置设备发送RADIUS报文使用的源地址 |
radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] |
缺省情况下,未指定源地址,即以发送报文的接口地址作为源地址 |
表1-23 为RADIUS方案配置发送RADIUS报文使用的源地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
设置设备发送RADIUS报文使用的源地址 |
nas-ip { ipv4-address | ipv6 ipv6-address } |
缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送RADIUS报文的接口地址 |
在与RADIUS服务器交互的过程中,设备上可启动的定时器包括以下几种:
· 服务器响应超时定时器(response-timeout):如果在RADIUS请求报文发送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间。
· 服务器恢复激活状态定时器(quiet):当服务器不可达时,设备将该服务器的状态置为block,并开启超时定时器,在设定的一定时间间隔之后,再将该服务器的状态恢复为active。这段时间被称为RADIUS服务器恢复激活状态时长。
· 实时计费间隔定时器(realtime-accounting):为了对用户实施实时计费,有必要定期向服务器发送实时计费更新报文,通过设置实时计费的时间间隔,设备会每隔设定的时间向RADIUS服务器发送一次在线用户的计费信息。
设置RADIUS服务器的定时器时,请遵循以下配置原则:
· 要根据配置的从服务器数量合理设置发送RADIUS报文的最大尝试次数和RADIUS服务器响应超时时间,避免因为超时重传时间过长,在主服务器不可达时,出现设备在尝试与从服务器通信的过程中接入模块(例如Telnet模块)的客户端连接已超时的现象。但是,有些接入模块的客户端的连接超时时间较短,在配置的从服务器较多的情况下,即使将报文重传次数和RADIUS服务器响应超时时间设置的很小,也可能会出现上述客户端超时的现象,并导致初次认证或计费失败。这种情况下,由于设备会将不可达服务器的状态设置为block,在下次认证或计费时设备就不会尝试与这些状态为block的服务器通信,一定程度上缩短了查找可达服务器的时间,因此用户再次尝试认证或计费就可以成功。
· 要根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
· 实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些。
表1-24 设置RADIUS服务器的定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
设置RADIUS服务器响应超时时间 |
timer response-timeout seconds |
缺省情况下,RADIUS服务器响应超时定时器为3秒 |
|
设置服务器恢复激活状态的时间 |
timer quiet minutes |
缺省情况下,服务器恢复激活状态前需要等待5分钟 |
|
设置实时计费间隔 |
timer realtime-accounting minutes |
缺省情况下,实时计费间隔为12分钟 |
使能了accounting-on功能后,设备会在整机重启或单板重启后主动向RADIUS服务器发送accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。该功能可用于解决设备重启后,重启前的原在线用户因被RADIUS服务器认为仍然在线而短时间内无法再次登录的问题。若设备发送accounting-on报文后RADIUS服务器无响应,则会在按照一定的时间间隔(interval seconds)尝试重发几次(send send-times)。分布式设备单板重启时,accounting-on功能的实现需要和H3C IMC网管系统配合使用。
表1-25 配置RADIUS的accounting-on功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
配置accounting-on功能 |
accounting-on enable [ interval seconds | send send-times ] * |
缺省情况下,accounting-on功能处于关闭状态 |
通过配置RADIUS安全策略服务器的IP地址,接入设备可以验证IMC(Intelligent Management Center,智能管理中心)服务器发送给设备的控制报文的合法性。当接入设备收到IMC服务器的控制报文时,若该控制报文的源IP地址不是指定的安全策略服务器的IP地址,则接入设备认为其非法而丢弃。若iMC的配置平台、认证服务器以及安全策略服务器的IP地址相同,则不需要在接入设备上配置RADIUS安全策略服务器的IP地址。
安全策略服务器是H3C EAD(Endpoint Admission Defense,端点准入防御)方案中的管理与控制中心。通常,若要支持完整的EAD功能,建议在接入设备上通过本配置指定两个RADIUS安全策略服务器的IP地址,分别为IMC安全策略服务器的IP地址和IMC配置平台的IP地址。
表1-26 设置RADIUS的安全策略服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
设置RADIUS安全策略服务器的IP地址 |
security-policy-server { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] |
缺省情况下,未指定RADIUS安全策略服务器 一个RADIUS方案中最多可以配置8个安全策略服务器IP地址 |
RADIUS 15号属性为Login-Service属性,该属性携带在Access-Accept报文中,由RADIUS服务器下发给设备,表示认证用户的业务类型,例如属性值0表示Telnet业务。设备检查用户登录时采用的业务类型与服务器下发的Login-Service属性所指定的业务类型是否一致,如果不一致则用户认证失败。由于RFC中并未定义SSH、FTP和Terminal这三种业务的Login-Service属性值,因此设备无法针对SSH、FTP、Terminal用户进行业务类型一致性检查,为了支持对这三种业务类型的检查,H3C为Login-Service属性定义了表1-27所示的扩展取值。
|
属性值 |
描述 |
可以通过配置设备对RADIUS 15号属性的检查方式,控制设备是否使用扩展的Login-Service属性值对用户进行业务类型一致性检查。
· 严格检查方式:设备使用标准属性值和扩展属性值对用户业务类型进行检查,对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时才能够通过认证。
· 松散检查方式:设备使用标准属性值对用户业务类型进行检查,对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时才能够通过认证。
由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS 15号属性值采用松散检查方式。
表1-28 配置RADIUS Attribute 15的检查方式
|
进入RADIUS方案视图 |
||
|
缺省情况下,RADIUS Attribute 15的检查方式为strict方式 |
开启相应的RADIUS Trap功能后,RADIUS模块会生成告警信息,用于报告该模块的重要事件:
· 当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,NAS认为该服务器不可达,并发送表示RADIUS服务器不可达的告警信息。
· 当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送表示RADIUS服务器可达的告警信息。
· 当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送表示认证失败次数超过阈值的告警信息。
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
表1-29 配置RADIUS的Trap功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启RADIUS的Trap功能 |
snmp-agent trap enable radius [ accounting-server-down | authentication-error-threshold | authentication-server-down | accounting-server-up | authentication-server-up ] * |
缺省情况下,所有类型的RADIUS Trap功能均处于开启状态 |
完成上述配置后,在任意视图下执行display命令可以显示配置后RADIUS的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-30 RADIUS显示和维护
|
操作 |
命令 |
|
显示所有或指定RADIUS方案的配置信息 |
display radius scheme [ radius-scheme-name ] |
|
显示RADIUS报文的统计信息 |
display radius statistics |
|
清除RADIUS协议的统计信息 |
reset radius statistics |
表1-31 HWTACACS配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
创建HWTACACS方案 |
必选 |
|
|
配置HWTACACS认证服务器 |
必选 |
|
|
配置HWTACACS授权服务器 |
可选 |
|
|
配置HWTACACS计费服务器 |
可选 |
|
|
配置HWTACACS报文的共享密钥 |
可选 |
|
|
配置HWTACACS方案所属的VPN |
可选 |
|
|
配置发送给HWTACACS服务器的用户名格式和数据统计单位 |
可选 |
|
|
配置发送HWTACACS报文使用的源地址 |
可选 |
|
|
配置HWTACACS服务器的定时器 |
可选 |
|
|
HWTACACS显示和维护 |
可选 |
在进行HWTACACS的其它相关配置之前,必须先创建HWTACACS方案并进入其视图。系统最多支持配置16个HWTACACS方案。一个HWTACACS方案可以同时被多个ISP域引用。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建HWTACACS方案并进入其视图 |
hwtacacs scheme hwtacacs-scheme-name |
缺省情况下,未定义HWTACACS方案 |
通过在HWTACACS方案中配置HWTACACS认证服务器,指定设备对用户进行HWTACACS认证时与哪个服务器进行通信。
一个HWTACACS方案中最多允许配置一个主认证服务器和16个从认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。建议在不需要备份的情况下,只配置主HWTACACS认证服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个HWTACACS方案的主认证服务器,又作为另一个HWTACACS方案的从认证服务器。
表1-33 配置HWTACACS认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置主HWTACACS认证服务器 |
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] * |
二者至少选其一 缺省情况下,未配置主/从认证服务器 在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从认证服务器的主机名、IP地址、端口号和VPN参数也不能完全相同 |
|
配置从HWTACACS认证服务器 |
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] * |
通过在HWTACACS方案中配置HWTACACS授权服务器,指定设备对用户进行HWTACACS授权时与哪个服务器进行通信。
一个HWTACACS方案中最多允许配置一个主授权服务器和16个从授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。建议在不需要备份的情况下,只配置主HWTACACS授权服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个HWTACACS方案的主授权服务器,又作为另一个HWTACACS方案的从授权服务器。
表1-34 配置HWTACACS授权服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
设置主HWTACACS授权服务器 |
primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] * |
二者至少选其一 缺省情况下,未配置主/从授权服务器 在同一个方案中指定的主授权服务器和从授权服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从授权服务器的主机名、IP地址、端口号和VPN参数也不能完全相同 |
|
设置从HWTACACS授权服务器 |
secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] * |
通过在HWTACACS方案中配置HWTACACS计费服务器,指定设备对用户进行HWTACACS计费时与哪个服务器进行通信。
一个HWTACACS方案中最多允许配置一个主计费服务器和16个从计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。建议在不需要备份的情况下,只配置主HWTACACS计费服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个HWTACACS方案的主计费服务器,又作为另一个HWTACACS方案的从计费服务器。
目前HWTACACS不支持对FTP/SFTP/SCP用户进行计费。
表1-35 配置HWTACACS计费服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
设置HWTACACS主计费服务器 |
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] * |
二者至少选其一 缺省情况下,未配置主/从计费服务器 在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从计费服务器的主机名、IP地址、端口号和VPN参数也不能完全相同 |
|
设置HWTACACS从计费服务器 |
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] * |
HWTACACS客户端与HWTACACS服务器使用MD5算法并在共享密钥的参与下加密HWTACACS报文。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
表1-36 配置HWTACACS报文的共享密钥
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置HWTACACS认证、授权、计费报文的共享密钥 |
key { accounting | authentication | authorization } { cipher | simple } string |
缺省情况下,无共享密钥 必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致 |
该配置用于指定HWTACACS方案所属的VPN,即为HWTACACS方案下的所有HWTACACS服务器统一指定所属的VPN。HWTACACS服务器所属的VPN也可以在配置HWTACACS服务器的时候单独指定,且被优先使用。未单独指定所属VPN的服务器,则属于所在HWTACACS方案所属的VPN。
表1-37 配置HWTACACS方案所属的VPN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
配置HWTACACS方案所属的VPN |
vpn-instance vpn-instance-name |
缺省情况下,HWTACACS方案属于公网 |
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备通过该域名决定将用户归于哪个ISP域的。由于有些HWTACACS服务器不能接受携带有ISP域名的用户名,因此就需要设备首先将用户名中携带的ISP域名去除后再传送给该类HWTACACS服务器。通过设置发送给HWTACACS服务器的用户名格式,就可以选择发送HWTACACS服务器的用户名中是否要携带ISP域名。
设备通过发送计费报文,向HWTACACS服务器报告在线用户的数据流量统计值,该值的单位可配,为保证HWTACACS服务器计费的准确性,设备上设置的发送给HWTACACS服务器的数据流或者数据包的单位应与HWTACACS服务器上的流量统计单位保持一致。
需要注意的是,如果要在两个乃至两个以上的ISP域中引用相同的HWTACACS方案,建议设置该HWTACACS方案允许用户名中携带ISP域名,使得HWTACACS服务器端可以根据ISP域名来区分不同的用户。
表1-38 配置发送给HWTACACS服务器的用户名格式和数据统计单位
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
设置发送给HWTACACS服务器的用户名格式 |
user-name-format { keep-original | with-domain | without-domain } |
缺省情况下,发往HWTACACS服务器的用户名带域名 |
|
设置发送给HWTACACS服务器的数据流或者数据包的单位 |
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * |
可选 缺省情况下,数据流的单位为byte,数据包的单位为one-packet |
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权或计费请求。若HWTACACS服务器收到的HWTACACS认证或计费报文的源地址在所管理的接入设备IP地址范围内,则会进行后续的认证或计费处理,否则直接丢弃该报文。因此,为保证认证、授权和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
通常,该地址为接入设备上与HWTACACS服务器路由可达的接口IP地址,但在一些特殊的组网环境中,例如在接入设备使用VRRP进行双机热备应用时,可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址。
设备发送HWTACACS报文时,根据以下顺序查找使用的源地址:
· 若当前所使用的HWTACACS方案中配置了发送HWTACACS报文使用源地址,则使用该地址。
· 否则,根据当前使用的服务器所属的VPN查找系统视图下通过hwtacacs nas-ip命令配置的私网源地址,对于公网服务器则直接查找该命令配置的公网源地址。
· 若系统视图下没有配置相应的源地址,则使用通过路由查找到的报文出接口地址。
此配置可以在系统视图和HWTACACS方案视图下进行,系统视图下的配置将对所有HWTACACS方案生效,HWTACACS方案视图下的配置仅对本方案有效,并且具有高于前者的优先级。
表1-39 为所有HWTACACS方案配置发送HWTACACS报文使用的源地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置设备发送HWTACACS报文使用的源地址 |
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] |
缺省情况下,未指定源地址,即以发送报文的接口地址作为源地址 |
表1-40 为HWTACACS方案配置发送HWTACACS报文使用的源地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
设置设备发送HWTACACS报文使用的源地址 |
nas-ip { ipv4-address | ipv6 ipv6-address } |
缺省情况下,使用系统视图下由命令hwtacacs nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口地址 |
在与HWTACACS服务器交互的过程中,设备上可启动的定时器包括以下几种:
· 服务器响应超时定时器(response-timeout):如果在HWTACACS请求报文传送出去一段时间后,设备还没有得到HWTACACS服务器的响应,则会将该服务器的状态置为block,并向下一个HWTACACS服务器发起请求,以保证用户尽可能得到HWTACACS服务,这段时间被称为HWTACACS服务器响应超时时长。
· 实时计费间隔定时器(realtime-accounting):为了对用户实施实时计费,有必要定期向服务器发送用户的实时计费信息,通过设置实时计费的时间间隔,设备会每隔设定的时间向HWTACACS服务器发送一次在线用户的计费信息。
· 服务器恢复激活状态定时器(quiet):当服务器不可达时,设备将该服务器的状态置为block,并开启超时定时器,在设定的一定时间间隔之后,再将该服务器的状态恢复为active。这段时间被称为服务器恢复激活状态时长。
关于HWTACACS服务器的状态:
HWTACACS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主HWTACACS服务器和多个从HWTACACS服务器,由从服务器作为主服务器的备份。通常情况下,设备上主从服务器的切换遵从以下原则:
· 当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的quiet定时器,然后按照从服务器的配置先后顺序依次查找状态为active的从服务器进行认证或者计费。如果状态为active的从服务器也不可达,则将该从服务器的状态置为block,同时启动该服务器的quiet定时器,并继续查找状态为active的从服务器。当服务器的quiet定时器超时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与从服务器通信时,之前已经查找过的服务器状态由block恢复为active,则设备并不会立即恢复与该服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 如果在认证或计费过程中删除了当前正在使用的服务器,则设备在与该服务器通信超时后,将会立即从主服务器开始依次查找状态为active的服务器并与之进行通信。
· 当主/从服务器的状态均为block时,设备尝试与主服务器进行通信。
· 只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
· 一旦某服务器状态满足自动切换的条件,则所有HWTACACS方案视图下该服务器的状态都会相应得变化。
需要注意的是,实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些。
表1-41 配置HWTACACS服务器的定时器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入HWTACACS方案视图 |
hwtacacs scheme hwtacacs-scheme-name |
- |
|
设置HWTACACS服务器响应超时时间 |
timer response-timeout seconds |
缺省情况下,服务器响应超时时间为5秒 |
|
设置实时计费的时间间隔 |
timer realtime-accounting minutes |
缺省情况下,实时计费间隔为12分钟 |
|
设置服务器恢复激活状态的时间 |
timer quiet minutes |
缺省情况下,服务器恢复激活状态前需要等待5分钟 |
完成上述配置后,在任意视图下执行display命令可以显示配置后HWTACACS的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-42 HWTACACS显示和维护
|
操作 |
命令 |
|
查看所有或指定HWTACACS方案的配置信息或统计信息 |
display hwtacacs scheme [ hwtacacs-server-name [ statistics ] ] |
|
清除HWTACACS协议的统计信息 |
reset hwtacacs statistics { accounting | all | authentication | authorization } |
通过在ISP域视图下引用预先配置的认证、授权、计费方案来实现对用户的认证、授权和计费。如果用户所属的ISP域下未应用任何认证、授权、计费方法,系统将使用缺省的认证、授权、计费方法,分别为本地认证、本地授权和本地计费。
对于login用户,只有配置登录用户界面的认证方式为scheme,这类用户登录设备时才会采用AAA处理。有关登录用户界面认证方式的相关介绍请参见“基础配置指导”中的“登录设备”。
· 若采用本地认证方案,则请先完成本地用户的配置。有关本地用户的配置请参见“1.3.1 配置本地用户”。
· 若采用远端认证、授权或计费方案,则请提前创建RADIUS方案或HWTACACS方案。有关RADIUS方案的配置请参见“1.3.2 配置RADIUS方案”。有关HWTACACS方案的配置请参见“1.3.3 配置HWTACACS方案”。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置一套AAA方法及ISP域的相关属性。
对于设备来说,每个接入用户都属于一个ISP域。系统中最多可以配置16个ISP域,包括一个系统缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。
一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。其中,系统缺省存在的system域只能被修改,不能被删除。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建ISP域并进入其视图 |
domain isp-name |
- |
|
返回系统视图 |
quit |
- |
|
(可选)手工配置缺省的ISP域 |
domain default enable isp-name |
缺省情况下,系统缺省的ISP域为system |
一个ISP域中可配置域状态属性,通过域的状态(active、block)控制是否允许该域中的用户请求网络服务。
表1-44 配置ISP域的属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
设置ISP域的状态 |
state { active | block } |
缺省情况下,当一个ISP域被创建以后,其状态为active,即允许任何属于该域的用户请求网络服务 |
配置ISP域的AAA认证方法时,需要注意的是:
· 当选择了RADIUS协议的认证方案以及非RADIUS协议的授权方案时,AAA只接受RADIUS服务器的认证结果,RADIUS授权的信息虽然在认证成功回应的报文中携带,但在认证回应的处理流程中不会被处理。
· 目前,远程方案只能支持对名称为level-n的用户角色之间的切换进行认证。当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证;当使用RADIUS方案进行用户角色切换认证时,系统使用RADIUS服务器上配置的“$enabn$”形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n。
· FIPS模式下不支持none认证方法。
配置前的准备工作:
(1) 确定要配置的接入方式或者服务类型。AAA可以对不同的接入方式和服务类型配置不同的认证方案。
(2) 确定是否为所有的接入方式或服务类型配置缺省的认证方法,缺省的认证方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的认证方法。
表1-45 配置ISP域的AAA认证方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
为当前ISP域配置缺省的认证方法 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } |
缺省情况下,当前ISP域的缺省认证方法为local |
|
为login用户配置认证方法 |
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } |
缺省情况下,login用户采用缺省的认证方法 |
|
配置用户角色切换认证方法 |
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } * |
缺省情况下,用户角色切换认证采用缺省的认证方法 |
配置ISP域的AAA授权方法时,需要注意的是:
· 在一个ISP域中,只有RADIUS授权方法和RADIUS认证方法引用了相同的RADIUS方案,RADIUS授权才能生效。若RADIUS授权未生效或者RADIUS授权失败,则用户认证会失败。
· FIPS模式下不支持none授权方法。
配置前的准备工作:
(1) 确定要配置的接入方式或者服务类型,AAA可以按照不同的接入方式和服务类型进行AAA授权的配置。
(2) 确定是否为所有的接入方式或服务类型配置缺省的授权方法,缺省的授权方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的授权方法。
表1-46 配置ISP域的AAA授权方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
为当前ISP域配置缺省的授权方法 |
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } |
缺省情况下,当前ISP域的缺省授权方法为local |
|
配置命令行授权方法 |
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local [ none ] | local [ none ] | none } |
缺省情况下,命令行授权采用缺省的授权方法 |
|
为login用户配置授权方法 |
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } |
缺省情况下,login用户采用缺省的授权方法 |
配置ISP域的AAA认证方法时,需要注意的是:
· 不支持对FTP/SFTP/SCP类型login用户进行计费。
· 本地计费仅用于配合本地用户视图下的access-limit命令来实现对本地用户连接数的限制功能。
· FIPS模式下不支持none计费方法。
配置前的准备工作:
(1) 确定要配置的接入方式或者服务类型,AAA可以按照不同的接入方式和服务类型进行AAA计费的配置。
(2) 确定是否为所有的接入方式或服务类型配置缺省的计费方法,缺省的计费方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的计费方法。
表1-47 配置ISP域的AAA计费方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
为当前ISP域配置缺省的计费方法 |
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } |
缺省情况下,当前ISP域的缺省计费方法为local |
|
配置命令行计费方法 |
accounting command hwtacacs-scheme hwtacacs-scheme-name |
缺省情况下,命令行计费采用缺省的计费方法 |
|
为login用户配置计费方法 |
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } |
缺省情况下,login用户采用缺省的计费方法 |
H3C的IMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。使能RADIUS session control功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和H3C的IMC RADIUS服务器配合使用。
表1-48 使能RADIUS session control服务
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能RADIUS session control功能 |
radius session-control enable |
缺省情况下,RADIUS session control功能处于关闭状态 |
通过配置同时在线的最大用户连接数,可以限制采用指定登录方式(FTP、SSH、Telnet等)同时接入设备的在线用户数。
该配置对于通过任何一种认证方式(none、password或者scheme)接入设备的用户都生效。
表1-49 配置同时在线的最大用户连接数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置同时在线的最大用户连接数 |
非FIPS模式下: aaa session-limit { ftp | ssh | telnet } max-sessions FIPS模式下: aaa session-limit ssh max-sessions |
缺省的各类型用户的最大连接数均为32 |
完成上述配置后,在任意视图下执行display命令可以显示配置后AAA的运行情况,通过查看显示信息验证配置的效果。
表1-50 AAA显示和维护
|
操作 |
命令 |
|
显示所有或指定ISP域的配置信息 |
display domain [ isp-name ] |
通过配置Switch实现使用HWTACACS服务器对SSH登录Switch的用户进行认证、授权、计费。
· 由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为10.1.1.1/24。
· Switch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,向HWTACACS服务器发送的用户名中不带域名。
· SSH用户登录Switch时使用HWTACACS服务器上配置的用户名以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
图1-9 SSH用户HWTACACS认证、授权和计费配置组网图
(1) 配置HWTACACS服务器
# 在HWTACACS服务器上设置与Switch交互报文时的共享密钥为expert;添加SSH用户名及密码。(略)
(2) 配置Switch
# 配置各接口的IP地址(略)。
# 创建HWTACACS方案hwtac。
<Switch> system-view
[Switch] hwtacacs scheme hwtac
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为49。
[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49
# 配置主授权服务器的IP地址为10.1.1.1,授权端口号为49。
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49
# 配置主计费服务器的IP地址为10.1.1.1,计费端口号为49。
[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49
# 配置与认证、授权、计费服务器交互报文时的共享密钥均为明文expert。
[Switch-hwtacacs-hwtac] key authentication simple expert
[Switch-hwtacacs-hwtac] key authorization simple expert
[Switch-hwtacacs-hwtac] key accounting simple expert
# 配置向HWTACACS服务器发送的用户名不携带域名。
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为HWTACACS认证/授权/计费。
[Switch] domain bbb
[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac
[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting login hwtacacs-scheme hwtac
[Switch-isp-bbb] quit
# 创建本地RSA及DSA密钥对。
[Switch] public-key local create rsa
[Switch] public-key local create dsa
# 使能SSH服务器功能。
[Switch] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Switch] role default-role enable
用户向Switch发起SSH连接,按照提示输入正确用户名及密码后,可成功登录Switch,并具有用户角色network-operator所拥有的命令行执行权限。
通过配置Switch实现local认证,HWTACACS授权和RADIUS计费。SSH用户的用户名和密码为hello。
· 一台HWTACACS服务器(担当授权服务器的职责)与Switch相连,服务器IP地址为10.1.1.2。Switch与授权HWTACACS服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。
· 一台RADIUS服务器(担当计费服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。Switch与计费RADIUS服务器交互报文时的共享密钥为expert。
· 认证通过后的SSH用户具有缺省的用户角色network-operator。
图1-10 SSH用户local认证、HWTACACS授权和RADIUS计费配置组网图
(1) 配置HWTACACS服务器(略)
(2) 配置RADIUS服务器(略)
(3) 配置Switch
# 配置各接口的IP地址(略)。
# 创建本地RSA及DSA密钥对。
<Switch> system-view
[Switch] public-key local create rsa
[Switch] public-key local create dsa
# 使能SSH服务器功能。
[Switch] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 配置HWTACACS方案。
[Switch] hwtacacs scheme hwtac
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49
[Switch-hwtacacs-hwtac] key authorization simple expert
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
# 配置RADIUS方案。
[Switch] radius scheme rd
[Switch-radius-rd] primary accounting 10.1.1.1 1813
[Switch-radius-rd] key accounting simple expert
[Switch-radius-rd] user-name-format without-domain
[Switch-radius-rd] quit
# 创建设备管理类本地用户hello。
[Switch] local-user hello class manage
# 配置该本地用户的服务类型为SSH。
[Switch-luser-manage-hello] service-type ssh
# 配置该本地用户密码为明文123456TESTplat&!。(若是FIPS模式下,只能使用交互式方式设置)。
[Switch-luser-manage-hello] password simple 123456TESTplat&!
[Switch-luser-manage-hello] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为本地认证、HWTACACS授权、RADIUS计费。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting login radius-scheme rd
[Switch-isp-bbb] quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Switch] role default-role enable
用户向Switch发起SSH连接,按照提示输入用户名hello@bbb及正确的密码后,可成功登录Switch,并具有用户角色network-operator拥有的命令行执行权限。
如图1-11所示,配置Switch实现使用RADIUS服务器对登录Switch的SSH用户进行认证和授权。
· 由一台iMC服务器担当认证/授权RADIUS服务器的职责,服务器IP地址为10.1.1.1/24。
· Switch与RADIUS服务器交互报文时使用的共享密钥为expert,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。
· SSH用户登录Switch时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
图1-11 SSH用户RADIUS认证/授权配置组网图
(1) 配置RADIUS服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置与Switch交互报文时使用的认证、计费共享密钥为“expert”;
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型为“H3C”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
· 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
· 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口Vlan-interface3的IP地址10.1.1.2,则此处接入设备IP地址就选择10.1.1.2。
图1-12 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 输入用户名“hello@bbb”和密码;
· 选择服务类型为“SSH”;
· 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.255”;
· 单击<确定>按钮完成操作。
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。
图1-13 增加设备管理用户
(2) 配置Switch
# 配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH服务器。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,Switch将通过该地址与服务器通信。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface3] quit
# 生成RSA及DSA密钥对。
[Switch] public-key local create rsa
[Switch] public-key local create dsa
# 使能SSH服务器功能。
[Switch] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Switch] role default-role enable
# 创建RADIUS方案rad。
[Switch] radius scheme rad
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[Switch-radius-rad] primary authentication 10.1.1.1 1812
# 配置与认证服务器交互报文时的共享密钥为明文expert。
[Switch-radius-rad] key authentication simple expert
# 配置向RADIUS服务器发送的用户名要携带域名。
[Switch-radius-rad] user-name-format with-domain
[Switch-radius-rad] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证/授权、不计费。
[Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] accounting login none
[Switch-isp-bbb] quit
用户向Switch发起SSH连接,按照提示输入用户名hello@bbb及正确的密码后,可成功登录Switch,并具有用户角色network-operator所拥有的命令行执行权限。
用户认证/授权总是失败。
(1) 设备与RADIUS服务器之间存在通信故障。
(2) 用户名不是“userid@isp-name”的形式,或设备上没有正确配置用于认证该用户的ISP域。
(3) RADIUS服务器的数据库中没有配置该用户。
(4) 用户侧输入的密码不正确。
(5) RADIUS服务器和设备的报文共享密钥不同。
(1) 使用ping命令检查设备与RADIUS服务器是否可达。
(2) 使用正确形式的用户名或在设备上确保正确配置了用于该用户认证的ISP域。
(3) 检查RADIUS服务器的数据库以保证该用户的配置信息确实存在。
(4) 确保接入用户输入正确的密码。
(5) 检查两端的共享密钥,并确保两端一致。
RADIUS报文无法传送到RADIUS服务器。
(1) 设备与RADIUS服务器之间的通信存在故障。
(2) 设备上没有设置相应的RADIUS服务器IP地址。
(3) 认证/授权和计费服务的UDP端口设置不正确。
(4) RADIUS服务器的认证/授权和计费端口被其它应用程序占用。
(1) 确保线路通畅。
(2) 确保正确设置RADIUS服务器的IP地址。
(3) 确保与RADIUS服务器提供服务的端口号一致。
(4) 确保RADIUS服务器上的认证/授权和计费端口可用。
用户认证通过并获得授权,但是计费功能出现异常。
(1) 计费端口号设置不正确。
(2) 计费服务器和认证服务器不是同一台机器,设备却要求认证和计费功能属于同一个服务器(IP地址相同)。
(1) 正确设置RADIUS计费端口号。
(2) 确保设备的认证服务器和计费服务器的设置与实际情况相同。
HWTACACS的常见配置错误举例与RADIUS基本相似,可以参考以上内容。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
