21-RADIUS
本章节下载 (478.04 KB)
Web页面提供了配置RADIUS方案的功能。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是实现AAA(Authentication, Authorization and Accounting,认证、授权和计费)的一种最常用的协议,是分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
关于RADIUS和AAA协议的详细介绍请参见《H3C MSR系列路由器 配置指导》,“安全配置指导”中的“AAA”。
RADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参数。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址、UDP端口号和报文共享密钥进行设置,这些服务器包括认证和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、从服务器的IP地址、共享密钥以及RADIUS服务器类型等。缺省情况下,不存在任何RADIUS方案。
在导航栏中选择“高级配置 > RADIUS”,进入如图1-1所示的页面。单击<新建>按钮,进入新建RADIUS方案的配置页面,如图1-2所示。
RADIUS方案的详细配置如表1-1所示。
表1-1 RADIUS方案的详细配置
配置项 |
说明 |
方案名称 |
设置RADIUS方案的名称 |
通用配置 |
设置RADIUS方案的通用参数,包括服务类型、用户名格式、认证/计费服务器共享密钥等,详细配置请参见“1.1.1 1. 通用配置” |
RADIUS服务器配置 |
设置RADIUS认证服务器和计费服务器信息,详细配置请参见“1.2 2. RADIUS服务器配置” |
单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如图1-3所示。
通用参数的详细配置如表1-2所示。
配置项 |
说明 |
|
服务类型 |
设置设备支持的RADIUS服务器类型: · Standard:要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互 · Extended:要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互,一般为CAMS/iMC |
|
用户名格式 |
设置发送给RADIUS服务器的用户名格式,包括:保持用户原始输入、带域名、不带域名 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果RADIUS服务器不接受带域名的用户名,可以配置将域名去除后再传送给服务器 |
|
认证服务器共享密钥 |
设置RADIUS认证报文的共享密钥和RADIUS计费报文的共享密钥 RADIUS客户端与服务器使用MD5算法来加密RADIUS报文,通过共享密钥验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应 设备优先采用“RADIUS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“RADIUS服务器配置”中未指定相应共享密钥的情况下使用 |
|
确认认证服务器共享密钥 |
||
计费服务器共享密钥 |
||
确认计费服务器共享密钥 |
||
静默时间间隔 |
设置RADIUS服务器恢复active状态的时间 若主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使认证和计费尽可能的集中在主服务器上进行。当静默时间间隔为0时,若当前用户使用的服务器不可达,则设备保持active状态不进行切换,并将当前用户的认证或计费请求报文发送给下一个active状态的服务器,而后续其它用户的认证或计费请求报文仍然可以发送给该服务器进行处理 |
|
服务器应答超时时间 |
设置RADIUS服务器应答超时时间 如果在RADIUS认证请求或计费请求报文传送出去一段时间后,设备还没有得到服务器的应答,则有必要重传请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为服务器应答超时时间。根据网络状况合理设置该超时时间,可以提高系统性能 |
服务器应答超时时间和RADIUS报文最大尝试发送次数的乘积不能大于75 |
RADIUS报文最大尝试发送次数 |
设置由于RADIUS服务器未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数 |
|
实时计费间隔 |
设置向RADIUS服务器发送在线用户计费信息的时间间隔,取值必须为3的整数倍 实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的要求,取值越小,对二者的性能要求越高。建议当用户量较大(≥1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系请参见“1.4 注意事项” |
|
实时计费报文最大发送次数 |
设置允许实时计费请求无响应的最大次数 |
|
流量数据的单位 |
设置发送到RADIUS服务器的流量数据的单位,包括:Byte(字节)、Kilo-byte(千字节)、Mega-byte(兆字节)、Giga-byte(千兆字节) |
|
数据包的单位 |
设置发送到RADIUS服务器的数据包的单位,包括:One-packet(包)、Kilo-packet(千包)、Mega-packet(兆包)、Giga-packet(千兆包) |
|
VPN |
设置RADIUS方案所属的VPN实例 此处设置的VPN对于该方案下的所有RADIUS认证和计费服务器生效,但设备优先使用配置RADIUS认证和计费服务器时为各服务器单独指定的VPN 此配置项的支持情况与设备的具体型号有关,请以设备的实际情况为准 |
|
安全策略服务器IP地址 |
设置安全策略服务器的IP地址 |
|
RADIUS报文源IP地址 |
设备向RADIUS服务器发送RADIUS报文时使用的源IP地址 为了避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址 |
|
缓存未得到响应的停止计费报文 |
设置当出现没有得到响应的停止计费请求时,是否将该报文存入设备缓存后,并制定允许停止计费请求无响应的最大次数 |
|
停止计费报文最大发送次数 |
||
启用accounting-on报文发送功能 |
设置是否启用accounting-on报文发送功能,并指定accounting-on报文的重发时间间隔和最大发送次数 在启用accounting-on报文发送功能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器,要求服务器强制该设备的用户下线 启用accounting-on报文发送功能后,请保存配置,以保证功能在设备重启后生效 |
|
accounting-on发送间隔 |
||
accounting-on发送次数 |
||
属性 |
设置开启RADIUS Attribute 25的CAR参数解析功能 |
|
属性值类型 |
在“RADIUS服务器配置”中单击<添加>按钮,弹出如图1-4所示的页面,可以为RADIUS方案添加RADIUS服务器。
RADIUS服务器的详细配置如表1-3所示。
表1-3 RADIUS服务器的详细配置
配置项 |
说明 |
服务器类型 |
设置要添加的RADIUS服务器类型,包括:主认证服务器、主计费服务器、备份认证服务器、备份计费服务器 |
IP地址 |
设置RADIUS服务器的IP地址,可以配置IPv4地址或IPv6地址 · 主认证服务器和备份认证服务器的IP地址不能相同,主计费服务器和备份计费服务器的IP地址不能相同 · 同一RADIUS方案中所有RADIUS服务器的IP地址协议版本必须一致 |
端口 |
设置RADIUS服务器的UDP端口号 |
密钥 |
设置RADIUS服务器的共享密钥 当RADIUS服务器中未指定共享密钥时,使用RADIUS方案的通用配置中指定的共享密钥 |
确认密钥 |
|
VPN |
设置RADIUS服务器所属的VPN实例 当RADIUS服务器中未指定VPN时,使用RADIUS方案的通用配置中指定的VPN |
如图1-5所示,Telnet用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现RADIUS服务器对登录Router的Telnet用户进行认证、授权和计费。
· 由一台CAMS/iMC服务器(IP地址为10.1.1.1/24)担当认证/授权、计费RADIUS服务器的职责。
· Router与认证/授权、计费RADIUS服务器交互报文时的共享密钥均为expert,认证/授权、计费的端口号分别为1812和1813。
· Router向RADIUS服务器发送的用户名携带域名。
· Telnet用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码abc进行认证,认证通过后的用户级别为3。
图1-5 RADIUS配置组网图
(1) 配置RADIUS server(CAMS)
下面以CAMS为例(使用CAMS版本为:CAMS 2.10-R0210),说明RADIUS server的基本配置。
# 增加接入设备。
· 登录进入CAMS管理平台,单击左侧菜单树中“系统管理 > 系统配置”的“接入设备配置” > “修改” > “增加”后,进入接入设备配置页面,进行如下配置,如图1-6所示。
· 输入初始IP地址为Router的IP地址“10.1.1.2”。
· 输入与Router交互报文时的认证、计费共享密钥为“expert”。
· 选择业务类型为“设备管理业务”。
· 输入认证及计费的端口号分别为“1812,1813”。
· 选择协议类型为“扩展协议”。
· 选择RADIUS报文类型为“标准报文”。
· 单击<确定>按钮完成操作。
# 增加设备管理用户。
· 单击左侧菜单树中“用户管理 > 设备管理用户”的“增加”后,进入设备管理用户配置页面,进行如下配置,如图1-7所示。
· 输入用户名为“hello@bbb”。
· 输入密码和密码确认为“abc”。
· 选择服务类型为“Telnet”。
· 输入EXEC权限级别为“3”(该值为Telnet用户登录系统后的用户级别,缺省为0)。
· 输入主机起始IP地址为“192.168.1.0”,主机结束IP地址为“192.168.1.255”,单击<增加>按钮。
· 单击<确定>按钮完成操作。
(2) 配置RADIUS server(iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
· 登录进入iMC管理平台,选择“业务”页签,单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面,进行如下配置,如图1-8所示。
· 输入与Router交互报文时的认证、计费共享密钥为“expert”。
· 输入认证及计费的端口号分别为“1812”和“1813”。
· 选择业务类型为“设备管理业务”。
· 选择接入设备类型为“H3C”。
· 单击<选择>或<手工增加>按钮,添加IP地址为“10.1.1.2”的接入设备。
· 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
# 增加设备管理用户。
· 选择“用户”页签,单击导航树中的“接入用户视图 > 设备管理用户”菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面,进行如下配置,如图1-9所示。
· 输入帐号名为“hello@bbb”。
· 输入用户密码和密码确认为“abc”。
· 选择服务类型为“Telnet”。
· 输入EXEC权限级别为“3”(该值为Telnet用户登录系统后的用户级别,缺省为0)。
· 在所管理设备IP地址列表中单击<增加>按钮,设置IP地址范围为“10.1.1.0~10.1.1.255”。
· 单击<确定>按钮完成操作。
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。
(3) 配置Router
# 配置各接口的IP地址。(略)
# 配置RADIUS方案system。
· 在导航栏中选择“高级配置 > RADIUS”,单击<新建>按钮,进行如下配置。
· 输入方案名称为“system”。
· 选择服务类型为“Extended”。
· 选择用户名格式为“不带域名”。
· 在RADIUS服务器配置中单击<添加>按钮,在弹出的页面上进行如下配置,如图1-10所示。
图1-10 配置RADIUS认证服务器
· 选择服务器类型为“主认证服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1812”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
· 单击<确定>按钮完成主认证服务器的配置。
· 在RADIUS服务器配置中单击<添加>按钮,在弹出的页面上进行如下配置,如图1-11所示。
图1-11 配置RADIUS计费服务器
· 选择服务器类型为“主计费服务器”。
· 输入IP地址为“10.1.1.1”。
· 输入端口为“1813”。
· 输入密钥为“expert”。
· 输入确认密钥为“expert”。
· 单击<确定>按钮完成主计费服务器的配置。
· 完成上述配置后的新建RADIUS方案的页面如图1-12所示,单击<确定>按钮完成操作。
图1-12 新建RADIUS方案system
# 通过命令行开启Router的Telnet服务器功能。
[Router] telnet server enable
# 通过命令行配置Telnet用户登录采用AAA认证方式。
[Router] user-interface vty 0 4
[Router-ui-vty0-4] authentication-mode scheme
[Router-ui-vty0-4] quit
# 通过命令行配置ISP域bbb的AAA方案。由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方案相同。
[Router] domain bbb
[Router-isp-bbb] authentication login radius-scheme system
[Router-isp-bbb] authorization login radius-scheme system
[Router-isp-bbb] accounting login radius-scheme system
[Router-isp-bbb] quit
# 或者不区分用户类型,在ISP域bbb中配置对所有类型的用户都起作用的缺省AAA方案。(在本例中,该配置与单独为login用户配置AAA方案的认证效果相同,可根据实际组网需求选配)
[Router] domain bbb
[Router-isp-bbb] authentication default radius-scheme system
[Router-isp-bbb] authorization default radius-scheme system
[Router-isp-bbb] accounting default radius-scheme system
在Telnet客户端按照提示输入用户名hello@bbb及密码abc,即可进入Router的用户界面,并可以使用级别为0、1、2、3的命令。
配置RADIUS客户端时需要注意如下事项:
(1) 目前RADIUS不支持对FTP用户进行计费。
(2) 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
(3) RADIUS方案中各服务器的状态(active、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主RADIUS服务器和多个从RADIUS服务器,由从服务器作为主服务器的备份。通常情况下,设备上主从服务器的切换遵从以下原则:
· 当主服务器状态为active时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为block,并启动该服务器的静默定时器,然后按照从服务器的配置先后顺序依次查找状态为active的从服务器进行认证或者计费。如果状态为active的从服务器也不可达,则将该从服务器的状态置为block,同时启动该服务器的静默定时器,并继续查找状态为active的从服务器。当服务器的静默定时器超时,或者设备收到该服务器的认证/计费应答报文时,该服务器将恢复为active状态。在一次认证或计费过程中,如果设备在尝试与从服务器通信时,主服务器状态由block恢复为active,则设备并不会立即恢复与主服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 一个用户的计费流程开始之后,设备就不会再与其它的计费服务器通信,即该用户的实时计费报文和停止计费报文只会发往当前使用的计费服务器。如果当前使用的计费服务器被删除,则实时计费和停止计费报文都将无法发送。
· 如果在认证或计费过程中删除了服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 当主/从服务器的状态均为block时,设备仅与主服务器通信,若主服务器可达,则主服务器状态变为active,否则保持不变。
· 只要存在状态为active的服务器,设备就仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
· 设备收到服务器的认证或计费应答报文后会将与报文源IP地址相同且状态为block的认证或计费服务器的状态更改为active。
(4) 实时计费间隔与用户量之间的推荐比例关系如表1-4所示。
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
≥1000 |
≥15 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!