• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

12-安全配置指导

目录

18-DAE代理配置

本章节下载 18-DAE代理配置  (176.65 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Configure/Operation_Manual/H3C_SR8800-F_CG-R7951PXX-6W102/12/202008/1323205_30005_0.htm

18-DAE代理配置


1 DAE代理

1.1  DAE代理简介

DAE(Dynamic Authorization Extensions,动态授权扩展)代理用来在DAE服务器和DAE客户端之间转发DAE请求和DAE响应报文。

1.1.1  DAE协议

DAE协议是RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议的一个扩展,它用于强制认证用户下线,或者更改在线用户授权信息。

1. C/S模式

DAE协议采用客户端/服务器通信模式,由DAE客户端(DAC,Dynamic Authorization Client)和DAE服务器(DAS,Dynamic Authorization Server)组成。

·     DAE客户端:用于发起DAE请求,通常驻留在一个RADIUS服务器上,也可以为一个单独的实体;

·     DAE服务器:用于接收并响应DAE客户端的DAE请求,通常为一个NAS(Network Access Server,网络接入服务器)设备。

2. DAE报文

DAE报文包括以下两种类型:

·     DMs(Disconnect Messages):用于强制用户下线,包括DM请求(DM_REQ)和DM响应(DM_ACK、DM_NAK)。DAE客户端通过向NAS设备发送DM_REQ报文,请求NAS设备按照指定的匹配条件(例如用户名、用户IP等),强制用户下线。

·     COA(Change of Authorization)Messages:用于更改用户授权信息,包括COA请求(COA_REQ)和COA响应(COA_ACK、COA_NAK)。DAE客户端通过向NAS设备发送COA_REQ报文,请求NAS设备按照指定的匹配条件(同DM_REQ)更改用户授权信息。

其中,COA_REQ和DM_REQ统称DAE请求报文,COA_ACK、COA_NAK、DM_ACK、DM_NAK统称DAE响应报文。

1.1.2  DAE代理运行机制

在DAE代理设备上开启DAE代理功能后,DAE代理会开启指定的报文侦听端口,从DAE客户端接收DAE请求报文和向DAE客户端发送DAE响应报文。同时,DAE代理会动态开启一个临时端口,向DAE服务器转发DAE请求报文并接收DAE响应报文。

用户认证上线后,若DAE客户端向DAE代理发送DAE请求报文,DAE代理的具体处理机制如下:

(1)     DAE代理接收到DAE请求报文后,根据报文的源IP地址和VPN实例查找配置的共享密钥,并使用该共享密钥对报文中的Authenticator字段进行校验:

¡     若密钥查找失败或者校验失败,则丢弃该请求报文。

¡     若校验成功,则开启临时端口,向与DAE客户端属于同一VPN的所有DAE服务器转发该请求报文。

(2)     DAE服务器接收到DAE请求报文后,根据DAE请求报文中携带的匹配条件对用户信息进行删除或授权更改处理,并通过DAE响应报文将处理结果发送给DAE代理。

(3)     DAE代理在临时端口上接收到DAE响应报文后,首先根据记录的DAE客户端的IP地址和VPN实例查找共享密钥,并重新计算生成Authenticator字段携带在该响应报文中,然后将DAE响应报文发送给相应的DAE客户端。若DAE代理等待DAE响应报文的时间超过10秒,则不再处理此次DAE请求的后续响应报文,也不向DAE客户端做任何应答。

1.1.3  协议规范

与DAE相关的协议规范有:

·     RFC 5176:Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)

1.2  DAE配置准备

在DAE服务器上需要进行以下配置:

·     配置DAE客户端信息;

·     (可选)配置DAE服务器监听DAE报文的端口,必须和DAE代理转发DAE报文的端口保持一致;

·     (可选)配置免校验的RADIUS DAE客户端IP。

以上关于DAE服务器上的详细配置,请参见“ BRAS业务配置指导”中的“AAA”。

1.3  配置DAE代理

(1)     进入系统视图。

system-view

(2)     开启DAE代理功能,并进入DAE代理视图。

radius dynamic-author proxy

(3)     配置DAE客户端。

client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

缺省情况下,未配置DAE客户端。

可配置多个DAE客户端。DAE代理只接收本命令指定的DAE客户端发送的DAE报文。

(4)     指定DAE代理监听DAE客户端报文的UDP端口号。

listen-port port-number

缺省情况下,DAE代理监听DAE客户端报文的UDP端口号为3799。

在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE请求报文丢失,建议在没有DAE代理业务的情况下修改此值。

(5)     配置DAE服务器。

server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

缺省情况下,未配置DAE服务器。

可配置多个DAE服务器。DAE代理只向本命令指定的DAE服务器发送DAE请求报文。

(6)     指定远端DAE服务器监听DAE报文的端口。

server port dest-port

缺省情况下,DAE服务器监听DAE报文的端口为3799。

在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE响应报文丢失,建议在没有DAE代理业务的情况下修改此值。

1.4  DAE代理显示和维护

完成上述配置后,在任意视图下执行display命令可以显示DAE代理的运行情况,在用户视图下执行reset命令可以清除统计信息。

表1-1 DAE代理显示和维护

操作

命令

显示DAE代理的相关信息

display radius dynamic-author proxy

清除DAE代理的统计信息

reset radius dynamic-author proxy statistics

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们