18-DAE代理配置
本章节下载: 18-DAE代理配置 (176.65 KB)
目 录
DAE(Dynamic Authorization Extensions,动态授权扩展)代理用来在DAE服务器和DAE客户端之间转发DAE请求和DAE响应报文。
DAE协议是RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议的一个扩展,它用于强制认证用户下线,或者更改在线用户授权信息。
DAE协议采用客户端/服务器通信模式,由DAE客户端(DAC,Dynamic Authorization Client)和DAE服务器(DAS,Dynamic Authorization Server)组成。
· DAE客户端:用于发起DAE请求,通常驻留在一个RADIUS服务器上,也可以为一个单独的实体;
· DAE服务器:用于接收并响应DAE客户端的DAE请求,通常为一个NAS(Network Access Server,网络接入服务器)设备。
DAE报文包括以下两种类型:
· DMs(Disconnect Messages):用于强制用户下线,包括DM请求(DM_REQ)和DM响应(DM_ACK、DM_NAK)。DAE客户端通过向NAS设备发送DM_REQ报文,请求NAS设备按照指定的匹配条件(例如用户名、用户IP等),强制用户下线。
· COA(Change of Authorization)Messages:用于更改用户授权信息,包括COA请求(COA_REQ)和COA响应(COA_ACK、COA_NAK)。DAE客户端通过向NAS设备发送COA_REQ报文,请求NAS设备按照指定的匹配条件(同DM_REQ)更改用户授权信息。
其中,COA_REQ和DM_REQ统称DAE请求报文,COA_ACK、COA_NAK、DM_ACK、DM_NAK统称DAE响应报文。
在DAE代理设备上开启DAE代理功能后,DAE代理会开启指定的报文侦听端口,从DAE客户端接收DAE请求报文和向DAE客户端发送DAE响应报文。同时,DAE代理会动态开启一个临时端口,向DAE服务器转发DAE请求报文并接收DAE响应报文。
用户认证上线后,若DAE客户端向DAE代理发送DAE请求报文,DAE代理的具体处理机制如下:
(1) DAE代理接收到DAE请求报文后,根据报文的源IP地址和VPN实例查找配置的共享密钥,并使用该共享密钥对报文中的Authenticator字段进行校验:
¡ 若密钥查找失败或者校验失败,则丢弃该请求报文。
¡ 若校验成功,则开启临时端口,向与DAE客户端属于同一VPN的所有DAE服务器转发该请求报文。
(2) DAE服务器接收到DAE请求报文后,根据DAE请求报文中携带的匹配条件对用户信息进行删除或授权更改处理,并通过DAE响应报文将处理结果发送给DAE代理。
(3) DAE代理在临时端口上接收到DAE响应报文后,首先根据记录的DAE客户端的IP地址和VPN实例查找共享密钥,并重新计算生成Authenticator字段携带在该响应报文中,然后将DAE响应报文发送给相应的DAE客户端。若DAE代理等待DAE响应报文的时间超过10秒,则不再处理此次DAE请求的后续响应报文,也不向DAE客户端做任何应答。
与DAE相关的协议规范有:
· RFC 5176:Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)
在DAE服务器上需要进行以下配置:
· 配置DAE客户端信息;
· (可选)配置DAE服务器监听DAE报文的端口,必须和DAE代理转发DAE报文的端口保持一致;
· (可选)配置免校验的RADIUS DAE客户端IP。
以上关于DAE服务器上的详细配置,请参见“ BRAS业务配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 开启DAE代理功能,并进入DAE代理视图。
radius dynamic-author proxy
(3) 配置DAE客户端。
client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
缺省情况下,未配置DAE客户端。
可配置多个DAE客户端。DAE代理只接收本命令指定的DAE客户端发送的DAE报文。
(4) 指定DAE代理监听DAE客户端报文的UDP端口号。
listen-port port-number
缺省情况下,DAE代理监听DAE客户端报文的UDP端口号为3799。
在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE请求报文丢失,建议在没有DAE代理业务的情况下修改此值。
(5) 配置DAE服务器。
server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
缺省情况下,未配置DAE服务器。
可配置多个DAE服务器。DAE代理只向本命令指定的DAE服务器发送DAE请求报文。
(6) 指定远端DAE服务器监听DAE报文的端口。
server port dest-port
缺省情况下,DAE服务器监听DAE报文的端口为3799。
在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE响应报文丢失,建议在没有DAE代理业务的情况下修改此值。
完成上述配置后,在任意视图下执行display命令可以显示DAE代理的运行情况,在用户视图下执行reset命令可以清除统计信息。
表1-1 DAE代理显示和维护
操作 |
命令 |
显示DAE代理的相关信息 |
display radius dynamic-author proxy |
清除DAE代理的统计信息 |
reset radius dynamic-author proxy statistics |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!