7-2 AAA RADIUS HWTACACS配置

Transcription

1 目录 目录 AAA/RADIUS/HWTACACS 简介 AAA 简介 RADIUS 协议简介 HWTACACS 协议简介 协议规范 配置任务简介 配置 AAA 配置准备 创建 ISP 域 配置 ISP 域的属性 配置 ISP 域的 AAA 认证方案 配置 ISP 域的 AAA 授权方案 配置 ISP 域的 AAA 计费方案 配置本地用户的属性 配置强制切断用户连接 配置 RADIUS 协议 创建 RADIUS 方案 配置 RADIUS 认证 / 授权服务器 配置 RADIUS 计费服务器及相关参数 配置 RADIUS 报文的共享密钥 配置 RADIUS 报文超时重传次数的最大值 配置支持的 RADIUS 服务器的类型 配置 RADIUS 服务器的状态 配置发送给 RADIUS 服务器的数据相关属性 配置本地 RADIUS 服务器 配置 RADIUS 服务器的定时器 配置 HWTACACS 协议 创建 HWTACACS 方案 配置 HWTACACS 认证服务器 配置 HWTACACS 授权服务器 配置 HWTACACS 计费服务器 配置 HWTACACS 报文的共享密钥 配置发送给 HWTACACS 服务器的数据相关属性 配置 HWTACACS 服务器的定时器 AAA&RADIUS&HWTACACS 显示和维护 i

2 目录 1.7 AAA&RADIUS&HWTACACS 典型配置举例 Telnet/SSH 用户通过 RADIUS 服务器认证 授权 计费的应用配置 FTP/Telnet 用户本地认证 授权 计费配置 Telnet 用户通过 HWTACACS 服务器认证 授权 计费的应用配置 Telnet 用户通过 local 认证,HWTACACS 授权,RADIUS 计费的应用配置 AAA/RADIUS/HWTACACS 常见配置错误举例 RADIUS 常见配置错误举例 HWTACACS 常见配置错误举例 ii

3 1.1 AAA/RADIUS/HWTACACS 简介 AAA 简介 AAA 是 Authentication Authorization Accounting( 认证 授权 计费 ) 的简称, 是网络安全的一种管理机制, 提供了认证 授权 计费三种安全功能 AAA 一般采用客户机 / 服务器结构, 客户端运行于 NAS(Network Access Server, 网络接入服务器 ) 上, 服务器上则集中管理用户信息 NAS 对于用户来讲是服务器端, 对于服务器来说是客户端 AAA 的基本组网结构如图 1-1 图 1-1 AAA 基本组网结构示意图 当用户想要通过某网络与 NAS 建立连接, 从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS 起到了验证用户或对应连接的作用 NAS 负责把用户的认证 授权 计费信息透传给服务器 (RADIUS 服务器或 HWTACACS 服务器 ), RADIUS 协议或 HWTACACS 协议规定了 NAS 与服务器之间如何传递用户信息 图 1-1 的 AAA 基本组网结构中有两台服务器, 用户可以根据实际组网需求来决定认证 授权 计费功能分别由使用哪种协议类型的服务器来承担 例如, 可以选择 RADIUS 服务器实现为认证 授权,HWTACACS 服务器来实现计费 这三种安全服务功能的具体作用如下 : 认证 : 确认远端访问用户的身份, 判断访问者是否为合法的网络用户 ; 授权 : 对不同用户赋予不同的权限, 限制用户可以使用的服务 例如用户成功登录服务器后, 管理员可以授权用户对服务器中的文件进行访问和打印操作 ; 1-1

4 计费 : 记录用户使用网络服务中的所有操作, 包括使用的服务类型 起始时间 数据流量等, 它不仅是一种计费手段, 也对网络安全起到了监视作用 当然, 用户可以只使用 AAA 提供一种或两种安全服务 例如, 公司仅仅想让员工在访问某些特定资源的时候进行身份认证, 那么网络管理员只要配置认证服务器就可以了 但是若希望对部分员工开放这些特定资源的可操作权限, 那么就需要配置认证服务器和授权服务器 如上所述,AAA 是一种管理框架, 它提供了授权部分实体去访问特定资源, 同时可以记录这些实体操作行为的一种安全机制, 因其具有良好的可扩展性, 并且容易实现用户信息的集中管理而被广泛使用 AAA 可以通过多种协议来实现, 目前设备支持基于 RADIUS 协议或 HWTACACS 协议来实现 AAA, 在实际应用中, 最常使用 RADIUS 协议 RADIUS 协议简介 RADIUS(Remote Authentication Dial-In User Service, 远程认证拨号用户服务 ) 是一种分布式的 客户端 / 服务器结构的信息交互协议, 能保护网络不受未授权访问的干扰, 常应用在既要求较高安全性 又允许远程用户访问的各种网络环境中 该协议定义了基于 UDP 的 RADIUS 帧格式及其消息传输机制, 并规定 UDP 端口 分别作为认证 计费端口 RADIUS 最初仅是针对拨号用户的 AAA 协议, 后来随着用户接入方式的多样化发展,RADIUS 也适应多种用户接入方式, 如以太网接入 ADSL 接入 它通过认证授权来提供接入服务, 通过计费来收集 记录用户对网络资源的使用 1. 客户端 / 服务器模式 客户端 :RADIUS 客户端一般位于 NAS 设备上, 可以遍布整个网络, 负责传输用户信息到指定的 RADIUS 服务器, 然后根据从服务器返回的信息进行相应处理 ( 如接受 / 拒绝用户接入 ) 服务器 :RADIUS 服务器运行在中心计算机或工作站上, 维护相关的用户认证和网络服务访问信息, 负责接收用户连接请求并认证用户, 然后给客户端返回所有需要的信息 ( 如接受 / 拒绝认证请求 ) RADIUS 服务器通常要维护三个数据库, 如图 1-2 所示,: 图 1-2 RADIUS 服务器的组成 1-2

5 Users : 用于存储用户信息 ( 如用户名 口令以及使用的协议 IP 地址等配置信息 ) Clients : 用于存储 RADIUS 客户端的信息 ( 如接入设备的共享密钥 IP 地址等 ) Dictionary : 用于存储 RADIUS 协议中的属性和属性值含义的信息 2. 安全和认证机制 RADIUS 客户端和 RADIUS 服务器之间认证消息的交互是通过共享密钥的参与来完成的, 并且共享密钥不能通过网络来传输, 增强了信息交互的安全性 另外, 为防止用户密码在不安全的网络上传递时被窃取, 在传输过程中对密码进行了加密 RADIUS 服务器支持多种方法来认证用户, 如基于 PPP 的 PAP CHAP 认证 另外,RADIUS 服务器还可以为其它类型的认证服务器提供代理客户端的功能, 向其提出认证请求 3. RADIUS 的基本消息交互流程用户 RADIUS 客户端和 RADIUS 服务器之间的交互流程如图 1-3 所示 Host RADIUS client RADIUS server (1) 用户输入用户名 / 密码 (2) 认证请求包 (3) 认证接受 / 拒绝包 (4) 计费开始请求包 (5) 计费开始请求响应包 (6) 用户访问资源 (7) 计费结束请求包 (8) 计费结束请求响应包 (9) 通知访问结束 图 1-3 RADIUS 的基本消息交互流程 消息交互流程如下 : (1) 用户发起连接请求, 向 RADIUS 客户端发送用户名和密码 1-3

6 (2) RADIUS 客户端根据获取的用户名和密码, 向 RADIUS 服务器发送认证请求 包 (Access-Request), 其中的密码在共享密钥的参与下由 MD5 算法进行 加密处理 (3) RADIUS 服务器对用户名和密码进行认证 如果认证成功,RADIUS 服务器 向 RADIUS 客户端发送认证接受包 (Access-Accept); 如果认证失败, 则 返回认证拒绝包 (Access-Reject) 由于 RADIUS 协议合并了认证和授权的 过程, 因此认证接受包中也包含了用户的授权信息 (4) RADIUS 客户端根据接收到的认证结果接入 / 拒绝用户 如果允许用户接入, 则 RADIUS 客户端向 RADIUS 服务器发送计费开始请求包 (Accounting-Request) (5) RADIUS 服务器返回计费开始响应包 (Accounting-Response), 并开始计 费 (6) 用户开始访问网络资源 ; (7) 用户请求断开连接,RADIUS 客户端向 RADIUS 服务器发送计费停止请求包 (Accounting-Request) (8) RADIUS 服务器返回计费结束响应包 (Accounting-Response), 并停止计 费 (9) 用户结束访问网络资源 4. RADIUS 报文结构 RADIUS 采用 UDP 报文来传输消息, 通过定时器管理机制 重传机制 备用服务器 机制, 确保 RADIUS 服务器和客户端之间交互消息的正确收发 RADIUS 报文结构 如图 1-4 所示 图 1-4 RADIUS 报文结构 各字段的解释如下 : (1) Code 域 1-4

7 长度为 1 个字节, 用于说明 RADIUS 报文的类型, 如表 1-1 所示 表 1-1 Code 域的主要取值说明 Code 报文类型报文说明 Access-Request 认证请求包 Access-Accept 认证接受包 Access-Reject 认证拒绝包 Accounting-Requ est 计费请求包 Accounting-Resp onse 计费响应包 方向 Client->Server,Client 将用户信息传输到 Server, 由 Server 判断是否接入该用户 该报文中必须包含 User-Name 属性, 包含 NAS-IP-Address User-Password NAS-Port 等属性 方向 Server->Client, 如果 Access-Request 报文中的所有 Attribute 值都可以接受 ( 即认证通过 ), 则传输该类型报文 方向 Server->Client, 如果 Access-Request 报文中存在任何无法被接受的 Attribute 值 ( 即认证失败 ), 则传输该类型报文 方向 Client->Server,Client 将用户信息传输到 Server, 请求 Server 开始 / 停止计费, 由该报文中的 Acct-Status-Type 属性区分计费开始请求和计费结束请求 方向 Server->Client,Server 通知 Client 已经收到 Accounting-Request 报文, 并且已经正确记录计费信息 (2) Identifier 域长度为 1 个字节, 用于匹配请求包和响应包, 以及检测在一段时间内重发的请求包 类型一致的请求包和响应包的 Identifier 值相同 (3) Length 域长度为 2 个字节, 表示 RADIUS 数据包 ( 包括 Code Identifier Length Authenticator 和 Attribute) 的长度, 范围从 20~4096 超过 Length 域的字节将作为填充字符被忽略 如果接收到的包的实际长度小于 Length 域的值时, 则包会被丢弃 (4) Authenticator 域长度为 16 个字节, 用于验证 RADIUS 服务器的应答, 另外还用于用户密码的加密 Authenticator 包括两种类型 :Request Authenticator 和 Response Authenticator (5) Attribute 域不定长度, 用于携带专门的认证 授权和计费信息, 提供请求和响应报文的配置细节 Attribute 可包括多个属性, 每一个属性都采用 (Type Length Value) 三元组的结构来表示 类型 (Type),1 个字节, 取值为 1~255, 用于表示属性的类型, 表 1-2 列出了 RADIUS 认证 授权 计费常用的属性 长度 (Length), 表示该属性 ( 包括类型 长度和属性 ) 的长度, 单位为字节 1-5

8 属性值 (Value), 表示该属性的信息, 其格式和内容由类型和长度决定, 最 大长度为 253 字节 表 1-2 RADIUS 属性 属性编号 属性名称 属性编号 属性名称 1 User-Name 45 Acct-Authentic 2 User-Password 46 Acct-Session-Time 3 CHAP-Password 47 Acct-Input-Packets 4 NAS-IP-Address 48 Acct-Output-Packets 5 NAS-Port 49 Acct-Terminate-Cause 6 Service-Type 50 Acct-Multi-Session-Id 7 Framed-Protocol 51 Acct-Link-Count 8 Framed-IP-Address 52 Acct-Input-Gigawords 9 Framed-IP-Netmask 53 Acct-Output-Gigawords 10 Framed-Routing 54 (unassigned) 11 Filter-ID 55 Event-Timestamp 12 Framed-MTU (unassigned) 13 Framed-Compression 60 CHAP-Challenge 14 Login-IP-Host 61 NAS-Port-Type 15 Login-Service 62 Port-Limit 16 Login-TCP-Port 63 Login-LAT-Port 17 (unassigned) 64 Tunnel-Type 18 Reply_Message 65 Tunnel-Medium-Type 19 Callback-Number 66 Tunnel-Client-Endpoint 20 Callback-ID 67 Tunnel-Server-Endpoint 21 (unassigned) 68 Acct-Tunnel-Connection 22 Framed-Route 69 Tunnel-Password 23 Framed-IPX-Network 70 ARAP-Password 24 State 71 ARAP-Features 25 Class 72 ARAP-Zone-Access 26 Vendor-Specific 73 ARAP-Security 27 Session-Timeout 74 ARAP-Security-Data 28 Idle-Timeout 75 Password-Retry 29 Termination-Action 76 Prompt 30 Called-Station-Id 77 Connect-Info 1-6

9 属性编号 属性名称 属性编号 属性名称 31 Calling-Station-Id 78 Configuration-Token 32 NAS-Identifier 79 EAP-Message 33 Proxy-State 80 Message-Authenticator 34 Login-LAT-Service 81 Tunnel-Private-Group-id 35 Login-LAT-Node 82 Tunnel-Assignment-id 36 Login-LAT-Group 83 Tunnel-Preference 37 Framed-AppleTalk-Link 84 ARAP-Challenge-Response 38 Framed-AppleTalk-Network 85 Acct-Interim-Interval 39 Framed-AppleTalk-Zone 86 Acct-Tunnel-Packets-Lost 40 Acct-Status-Type 87 NAS-Port-Id 41 Acct-Delay-Time 88 Framed-Pool 42 Acct-Input-Octets 89 (unassigned) 43 Acct-Output-Octets 90 Tunnel-Client-Auth-id 44 Acct-Session-Id 91 Tunnel-Server-Auth-id 说明 : 表 1-2 中所列的属性由 RFC 2865 RFC 2866 RFC2867 和 RFC2568 分别定义 5. RADIUS 扩展属性 RADIUS 协议具有良好的可扩展性, 协议 (RFC 2865) 中定义的 26 号属性 (Vendor-Specific) 用于设备厂商对 RADIUS 进行扩展, 以实现标准 RADIUS 没有定义的功能 设备厂商可以封装多个自定义的 (Type Length Value) 子属性来扩展 RADIUS 如图 1-5 所示,26 号属性报文内封装的子属性包括以下四个部分 : Vendor-ID 域占 4 字节, 表示厂商代号, 最高字节为 0, 其余 3 字节的编码见 RFC 1700 我司的 Vendor-ID 是 2011 Vendor-Type, 表示扩展属性的子属性类型 Vendor-Length, 表示该子属性长度 Vendor-Data, 表示该子属性的内容 1-7

10 图 1-5 包括扩展属性的 RADIUS 报文片断 HWTACACS 协议简介 HWTACACS(HUAWEI Terminal Access Controller Access Control System, 华为终端访问控制器控制系统协议 ) 是在 TACACS(RFC 1492) 基础上进行了功能增强的安全协议 该协议与 RADIUS 协议类似, 采用客户端 / 服务器模式实现 NAS 与 HWTACACS 服务器之间的通信 HWTACACS 协议主要用于 PPP(Point-to-Point Protocol, 点对点协议 ) 和 VPDN (Virtual Private Dial-up Network, 虚拟私有拨号网络 ) 接入用户及终端用户的认证 授权和计费 其典型应用是对需要登录到设备上进行操作的终端用户进行认证 授权 计费 设备作为 HWTACACS 的客户端, 将用户名和密码发给 HWTACACS 服务器进行验证 用户验证通过并得到授权之后可以登录到设备上进行操作 1. HWTACACS 协议与 RADIUS 协议的区别 HWTACACS 协议与 RADIUS 协议都实现了认证 授权 计费的功能, 它们有很多相似点 : 结构上都采用客户端 / 服务器模式 ; 都使用公共密钥对传输的用户信息进行加密 ; 都有较好的灵活性和可扩展性 两者之间存在的主要区别如表 1-3 所示 表 1-3 HWTACACS 协议和 RADIUS 协议区别 HWTACACS 协议 使用 TCP, 端口号为 49, 网络传输更可靠 除了 HWTACACS 报文头, 对报文主体全部进行加密 协议报文较为复杂, 认证和授权分离, 使得认证 授权服务可以分离在不同的安全服务器上实现 例如, 可以用一个 HWTACACS 服务器进行认证, 另外一个 HWTACACS 服务器进行授权 支持对设备的配置命令进行授权使用 例如, 可以授权一个通过安全认证登录设备的用户对设备进行配置 RADIUS 协议 使用 UDP, 网络传输效率更高 只对验证报文中的密码字段进行加密 协议报文比较简单, 认证和授权结合, 难以分离 不支持 1-8

11 2. HWTACACS 的基本消息交互流程 下面以 Telnet 用户为例, 说明使用 HWTACACS 对用户进行认证 授权和计费的过 程 基本消息交互流程图如图 1-6 所示 图 1-6 Telnet 用户认证 授权和计费流程图 在整个过程中的基本消息交互流程如下 : (1) Telnet 用户请求登录设备 (2) HWTACACS 客户端收到请求之后, 向 HWTACACS 服务器发送认证开始报文 (3) HWTACACS 服务器发送认证回应报文, 请求用户名 HWTACACS 客户端收到回应报文后, 向用户询问用户名 1-9

12 (4) HWTACACS 客户端收到回应报文后, 向用户询问用户名 (5) 用户输入用户名 (6) HWTACACS 客户端收到用户名后, 向 HWTACACS 服务器发送认证持续报文, 其中包括了用户名 (7) HWTACACS 服务器发送认证回应报文, 请求登录密码 HWTACACS 客户端收到回应报文, 向用户询问登录密码 (8) HWTACACS 客户端收到回应报文, 向用户询问登录密码 (9) 用户输入密码 (10) HWTACACS 客户端收到登录密码后, 向 HWTACACS 服务器发送认证持续报文, 其中包括了登录密码 (11) HWTACACS 服务器发送认证回应报文, 指示用户通过认证 (12) HWTACACS 客户端向 HWTACACS 服务器发送授权请求报文 (13) HWTACACS 服务器发送授权回应报文, 指示用户通过授权 (14) HWTACACS 客户端收到授权回应成功报文, 向用户输出设备的配置界面 (15) HWTACACS 客户端向 HWTACACS 服务器发送计费开始报文 (16) HWTACACS 服务器发送计费回应报文, 指示计费开始报文已经收到 (17) 用户请求断开连接 (18) HWTACACS 客户端向 HWTACACS 服务器发送计费结束报文 (19) HWTACACS 服务器发送计费结束报文, 指示计费结束报文已经收到 协议规范与 相关的协议规范有 : RFC 2865:Remote Authentication Dial In User Service (RADIUS) RFC 2866:RADIUS Accounting RFC 2867:RADIUS Accounting Modifications for Tunnel Protocol Support RFC 2868:RADIUS Attributes for Tunnel Protocol Support RFC 2869:RADIUS Extensions RFC 1492:An Access Control Protocol, Sometimes Called TACACS 1.2 配置任务简介 AAA 和 RADIUS/HWTACACS 的基本配置过程如下 : (1) 配置 ISP 域引用的 AAA 方案, 根据认证策略选择配置本地认证方案 RADIUS 方案或者 HWTACACS 方案 1-10

13 (2) 创建用户所属的 ISP 域, 并引用已配置的 AAA 方案 (3) 如果是需要本地认证, 则需要在设备上配置本地用户的属性, 手动添加认证的用户名和密码等 ; 如果采用 RADIUS/HWTACACS 方案, 通过远端的 RADIUS/HWTACACS 服务器进行认证, 则需要在服务器上配置相应的用户属性 说明 : 对于 Login 用户, 在以上配置之前还需要配置登录用户界面的认证方式为 scheme 有关登录用户界面认证方式的详细介绍请参见 系统分册 中的 用户界面配置 表 1-4 配置任务简介 配置任务 说明 详细配置 创建 ISP 域 必选 配置 ISP 域的属性 必选 如果采用本地认证, 请参见 配置本地用户的属性 ; 配置 AAA 配置 ISP 域的 AAA 认证方案 如果采用 RADIUS 认证, 请参见 配置 RADIUS 协议 ; 如果采用 HWTACACS 认证, 请参见 配置 HWTACACS 协议 配置 ISP 域的 AAA 授权方案 配置 ISP 域的 AAA 计费方案 配置本地用户的属性 配置强制切断用户连接

14 配置任务说明详细配置 创建 RADIUS 方案必选 配置 RADIUS 认证 / 授权服务器 必选 配置 RADIUS 计费服务器 配置 RADIUS 协议 配置 RADIUS 报文的共享密钥 配置 RADIUS 报文的超时重传次数的最大值 配置支持的 RADIUS 服务器的类型 必选 配置 RADIUS 服务器的状态 配置发送给 RADIUS 服务器的数据相关属性 配置本地 RADIUS 服务器 配置 RADIUS 服务器的定时器 创建 HWTACACS 方案必选 配置 HWTACACS 协议 配置 HWTACACS 认证服务器 配置 HWTACACS 授权服务器 配置 HWTACACS 计费服务器 配置 HWTACACS 报文的共享密钥 配置发送给 HWTACACS 服务器的数据相关属性 配置 HWTACACS 服务器的定时器 必选 必选 配置 AAA AAA 功能可以在为合法用户提供网络接入服务的同时, 对网络设备进行保护, 防止非授权访问和抵赖行为 同时, 通过配置 ISP 域可以对接入用户进行 AAA 等管理 AAA 将用户类型分为 :lan-access 用户 ( 如 802.1x 认证 MAC 地址认证用户 ) login 用户 ( 如 SSH Telnet FTP 终端接入用户) Portal 用户 PPP 用户 1-12

15 命令行用户 ( 命令行授权用户 ) 对于除命令行用户之外的各类型用户请求, 按照实际需求, 可以单独配置认证 / 授权 / 计费的策略 命令行用户可以单独配置授权策略, 用来支持对设备的配置命令进行授权使用 配置准备进行远端认证 授权或计费时, 需要已经创建 RADIUS 或 HWTACACS 方案 RADIUS 方案 (radius-scheme): 通过引用已配置的 RADIUS 方案来实现认证 授权 计费 有关 RADIUS 方案的配置请参见 1.4 配置 RADIUS 协议 HWTACACS 方案 (hwtacacs-scheme): 通过引用已配置的 HWTACACS 方案来实现认证 授权 计费 有关 HWTACACS 方案的配置请参见 1.5 配置 HWTACACS 协议 创建 ISP 域一个 ISP(Internet Service Provider,Internet 服务提供者 ) 域是由属于同一个 ISP 的用户构成的群体 在 userid@isp-name 形式的用户名中, userid 为用于身份认证的用户名, isp-name 为域名 在多 ISP 的应用环境中, 不同 ISP 域的用户有可能接入同一台设备 而且各 ISP 用户的用户属性 ( 例如用户名及密码构成 服务类型 / 权限等 ) 有可能不相同, 因此有必要通过设置 ISP 域把它们区分开, 并为每个 ISP 域单独配置包括 AAA 策略 ( 一组不同的认证 / 授权 / 计费方案 ) 在内的属性集 对于设备来说, 每个接入用户都属于一个 ISP 域 系统中最多可以配置 16 个 ISP 域 如果某个用户在登录时没有提供 ISP 域名, 系统将把它归于缺省的 ISP 域 表 1-5 创建 ISP 域操作命令说明进入系统视图 system-view - 创建一个 ISP 域 domain isp-name 必选返回系统视图 quit - 手工配置缺省的 ISP 域 domain default { disable enable isp-name } 缺省情况下, 系统缺省的 ISP 域为 system 1-13

16 说明 : 配置为缺省的 ISP 域不能够被删除, 除非首先使用命令 domain default disable 将其修改为非缺省 ISP 域 配置 ISP 域的属性 表 1-6 配置 ISP 域的属性 操作命令说明 进入系统视图 system-view - 创建一个 ISP 域或者进入已创建 ISP 域的视图 domain isp-name 必选 设置 ISP 域的状态 state { active block } 缺省情况下, 当一个 ISP 域被创建以后, 其状态为 active, 即允许任何属于该域的用户请求网络服务 设置当前 ISP 域可容纳接入用户数的限制 设置用户闲置切断功能 设置自助服务器定位功能 定义为 PPP 用户分配 IP 地址的地址池 access-limit { disable enable max-user-number } idle-cut { disable enable minute } self-service-url { disable enable url-string } ip pool pool-number low-ip-address [ high-ip-address ] 缺省情况下, 不对当前 ISP 域可容纳的接入用户数作限制 缺省情况下, 用户闲置切断功能处于关闭状态 缺省情况下, 自助服务器定位功能处于关闭状态 缺省情况下, 没有定义为 PPP 用户分配 IP 地址的 IP 地址池 说明 : 自助服务器定位功能需要与支持自助服务的 RADIUS 服务器配合使用, 如 CAMS 安装自助服务软件的服务器即自助服务器 通过使用自助服务, 用户可以对自己的帐号或卡号进行管理和控制 1-14

17 1.3.4 配置 ISP 域的 AAA 认证方案在 AAA 中, 认证 授权和计费是三个独立的业务流程 认证的职责是完成各接入或服务请求的用户名 / 密码 / 用户信息的交互认证过程, 它不会下发授权信息给请求用户, 也不会触动计费的流程 AAA 支持以下认证方式 : 不认证 : 对用户非常信任, 不对其进行合法性检查, 一般情况下不采用这种方式 本地认证 : 认证过程在接入设备上完成, 用户信息 ( 包括用户名 密码和各种属性 ) 配置在接入设备上 优点是速度快, 可以降低运营成本 ; 缺点是存储信息量受设备硬件条件限制 远端认证 : 认证过程在接入设备和远端的服务器之间完成, 接入设备和远端服务器之间通过 RADIUS 协议或 HWTACACS 协议通信 对于 RADIUS 协议, 可以采用标准或扩展的 RADIUS 协议, 与 CAMS 等系统配合完成认证 优点是用户信息集中在服务器上统一管理, 可实现大容量 高可靠性 支持多设备的集中式统一认证 在 AAA 中, 可以只使用认证, 而不使用授权或计费 如果用户没有进行任何配置, 则系统缺省 ISP 域的认证方案为 local 配置认证有三个步骤: (1) 如果用户要使用 RADIUS 或 HWTACACS 认证, 则需要先配置要引用的 RADIUS 方案或 HWTACACS 方案 ; 如果要使用 local 或 none 认证, 则不需要配置方案 (2) 确定要配置的接入方式或者服务类型 AAA 可以对不同的接入方式和服务类型进行认证方案的配置, 并且从配置上正确限制了接入所能使用的认证协议 (3) 确定是否为所有的接入方式或服务类型配置认证方案 表 1-7 配置 ISP 域的 AAA 认证方案 操作 命令 说明 进入系统视图 system-view - 创建一个 ISP 域或者进入已创建 ISP 域的视图 为所有类型的用户配置认证方案 为 lan-access 用户配置认证方案 domain isp-name authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } authentication lan-access { local none radius-scheme radius-scheme-name [ local ] } 必选 缺省情况下, 所有类型的用户采用 local 认证方案 1-15

18 操作命令说明 为 login 用户配置认证方案 为 Portal 用户配置认证方案 为 PPP 用户配置认证方案 authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } authentication portal { none radius-scheme radius-scheme-name } authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } 说明 : authentication default 命令配置的认证方案不区分用户类型, 即对所有类型的用户都起作用 此配置的优先级低于具体接入方式的配置 当 RADIUS 被配置选择为认证方案时,AAA 只接受 RADIUS 服务器的认证结果, RADIUS 授权的信息虽然在认证成功回应的报文中携带, 但在认证回应的处理流程中不会被处理 如果配置了 radius-scheme radius-scheme-name local 或 hwtacacs-scheme hwtacacs-scheme-name local, 则 local 为 RADIUS 服务器或 HWTACACS 服务器没有正常响应后的备选认证方案 即当 RADIUS 服务器或 HWTACACS 服务器有效时, 不使用本地认证 ; 当 RADIUS 服务器或 HWTACACS 服务器无效时, 使用本地认证 如果 local 或者 none 作为第一认证方案, 那么只能采用本地认证或者不进行认证, 不能再同时采用 RADIUS 或 HWTACACS 方案 配置 ISP 域的 AAA 授权方案在 AAA 中, 授权是一个和认证 计费同级别的独立流程, 其职责是发送授权请求给所配置的授权服务器, 授权通过后向用户下发授权信息 AAA 支持以下授权方式 : 直接授权 : 对用户非常信任, 直接授权用户的权限为接入设备允许用户所使用默认权限 本地授权 : 授权过程在接入设备上进行, 根据接入设备上为本地用户配置的相关属性进行授权 远端授权 : 授权过程在接入设备和远端服务器之间完成 RADIUS 协议的认证和授权是绑定在一起的, 不能单独使用 RADIUS 进行授权 RADIUS 认证成功后, 才能进行授权,RADIUS 授权信息携带在认证回应报文中下发给用 1-16

19 户 HWTACACS 授权与认证相分离, 在认证成功后,HWTACACS 授权信息通过授权报文进行交互 授权不是必须使用的 在域的 AAA 配置中, 授权方案为配置 如果用户没有进行任何配置, 则系统缺省域的授权方案为 local 如果用户配置的授权方案为 none, 则意味着用户是不需要授权的, 此时, 认证通过的用户只有系统所给予的默认权限 EXEC 用户 ( 控制台用户, 可以通过 console/aux/ 异步串口或者 Telnet 连接设备, 每个连接称为一个 EXEC 用户, 如 Telnet 用户 SSH 用户 ) 的默认级别为最低权限的访问级 FTP 用户被默认授权使用设备的根目录 配置授权有三个步骤 : 如果用户要使用 HWTACACS 授权, 则需要先配置要引用的 HWTACACS 方案 ; 如果是 RADIUS 授权, 只有将认证和授权的 RADIUS 方案配置相同, 授权才起作用 确定要配置的接入方式或者服务类型,AAA 可以按照不同的接入方式和服务类型进行 AAA 授权的配置, 并且从配置上正确限制了接入所能使用的授权协议 确定是否为所有的接入方式或服务类型配置授权方案 表 1-8 配置 ISP 域的 AAA 授权方案操作命令说明进入系统视图 system-view - 创建一个 ISP 域或者进入已创建 ISP 域的视图 为所有类型的用户配置授权方案 为命令行用户配置授权方案 为 lan-access 用户配置授权方案 为 login 用户配置授权方案 为 Portal 用户配置授权方案 domain isp-name authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } authorization command hwtacacs-scheme hwtacacs-scheme-name authorization lan-access { local none radius-scheme radius-scheme-name [ local ] } authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } authorization portal { none radius-scheme radius-scheme-name } 必选 缺省情况下, 所有类型的用户采用 local 授权方案 1-17

20 操作命令说明 为 PPP 用户配置授权方案 authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } 说明 : authorization default 命令配置的授权方案不区分用户类型, 即对所有类型的用户都起作用 此配置的优先级低于具体接入方式的配置 RADIUS 授权是特殊的流程, 只是在认证和授权的 RADIUS 方案相同的条件下, RADIUS 授权起作用 对于所有 RADIUS 授权失败的情况, 授权失败返回给 NAS (Network Access Server, 网络接入服务器 ) 的原因为服务器没有响应 如果配置了 radius-scheme radius-scheme-name local 或 hwtacacs-scheme hwtacacs-scheme-name local, 则 local 为 RADIUS 服务器或 HWTACACS 服务器没有正常响应后的备选授权方案 即当 RADIUS 服务器或 HWTACACS 服务器有效时, 不使用本地授权 ; 当 RADIUS 服务器或 HWTACACS 服务器无效时, 使用本地授权 如果 local 或者 none 作为第一授权方案, 那么只能采用本地授权或者不进行授权, 不能再同时采用 RADIUS 或 HWTACACS 方案 RADIUS 服务器的授权信息是随认证应答报文发给 RADIUS 客户端的, 故不能单独指定授权服务器 因此, 如果指定的认证和授权方案是 RADIUS 方案, 必须保证认证和授权的方案相同, 否则系统会给出错误提示 配置 ISP 域的 AAA 计费方案在 AAA 中, 计费是一个和认证 授权同级别的独立流程, 其职责为发送计费开始 / 更新 / 结束请求给所配置的计费服务器 AAA 支持以下计费方式 : 不计费 : 不对用户计费 本地计费 : 计费过程在接入设备上完成, 实现了本地用户连接数的统计和限制, 并没有实际的费用统计功能 远端计费 : 计费过程在接入设备和远端的服务器之间完成 计费不是必须使用的 在 ISP 域的 AAA 配置中, 允许不配置计费方案 如果不配置计费方案, 则系统缺省 ISP 域的计费方案为 local 配置计费有三个步骤: 1-18

21 如果用户要使用 RADIUS 或 HWTACACS 计费, 则需要先配置要引用的 RADIUS 方案或 HWTACACS 方案 ; 如果要使用 local 或 none 计费, 则不需要配置方案 确定要配置的接入方式或者服务类型,AAA 可以支持为按照不同的接入方式和服务类型进行 AAA 计费的配置, 并且从配置上正确限制了接入所能使用的计费协议 确定是否为所有的接入方式或服务类型配置计费方案 表 1-9 配置 ISP 域的 AAA 计费方案操作命令说明进入系统视图 system-view - 创建一个 ISP 域或者进入已创建 ISP 域的视图 打开计费开关 为所有类型的用户配置计费方案 为 lan-access 用户配置计费方案 为 login 用户配置计费方案 为 Portal 用户配置计费方案 为 PPP 用户配置计费方案 domain isp-name accounting optional accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } accounting lan-access { local none radius-scheme radius-scheme-name [ local ] } accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } accounting portal { none radius-scheme radius-scheme-name } accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } 必选 缺省情况下, 当一个 ISP 域被创建以后, 计费开关关闭 缺省情况下, 所有类型的用户采用 local 计费方案 1-19

22 说明 : 在对用户实施计费时, 如果发现没有可用的计费服务器或与计费服务器通信失败, 只要配置了 accounting optional, 即使无法实施计费, 也不会挂断用户 accounting default 命令配置的计费方案不区分用户类型, 即对所有类型的用户都起作用 此配置的优先级低于具体接入方式的配置 本地计费只是为了支持本地用户的连接数管理, 没有实际的统计功能 本地的接入数管理只对本地计费有效, 对本地认证和授权没有作用 如果配置了 radius-scheme radius-scheme-name local 或 hwtacacs-scheme hwtacacs-scheme-name local, 则 local 为 RADIUS 服务器或 TACACS 服务器没有正常响应后的备选计费方案 即当 RADIUS 服务器或 TACACS 服务器有效时, 不使用本地计费 ; 当 RADIUS 服务器或 TACACS 服务器无效时, 使用本地计费 如果 local 或者 none 作为第一计费方案, 那么只能采用本地认证或者不进行计费, 不能再同时采用 RADIUS 或 HWTACACS 方案 login 类型的接入中 FTP 不支持计费流程 配置本地用户的属性当 AAA 方案选择了本地认证方案 (local) 时, 应在设备上创建本地用户并配置相关属性 所谓本地用户, 是指在设备上设置的一组用户的集合 该集合以用户名为用户的唯一标识 为使某个请求网络服务的用户可以通过本地认证, 需要在设备上的本地用户数据库中添加相应的表项 表 1-10 配置本地用户的属性 操作 命令 说明 进入系统视图 system-view - 设置本地用户密码的显示方式 添加本地用户, 并进入本地用户视图 设置指定用户的密码 local-user password-display-mode { auto cipher-force } local-user user-name password { cipher simple } password 缺省情况下, 所有接入用户的密码显示方式为 auto, 表示按照用户配置的密码显示方式显示 必选 缺省情况下, 系统中没有任何本地用户 必选 1-20

23 操作命令说明 设置指定用户的状态 state { active block } 缺省情况下, 当一个本地用户被创建以后, 其状态为 active, 允许该用户请求网络服务 设置服务类型 service-type { lan-access { ssh telnet terminal }* [ level level ] } 必选缺省情况下, 系统不对用户授权任何服务 设置用户可以使用的服务类型 设置用户可以使用的服务类型为 FTP 指定 FTP/SFTP 用户可以访问的目录 service-type ftp work-directory directory-name 缺省情况下, 系统不支持 FTP 匿名用户访问, 不对用户授权任何服务 ; 若授权 FTP 服务, 缺省授权使用设备的根目录 缺省情况下,FTP/SFTP 用户可以访问设备的根目录 设置 PPP 用户的回呼及主叫号码属性 service-type ppp [ call-number call-number [ : subcall-number ] callback-nocheck callback-number callback-number ] 缺省情况下, 系统不对用户授权任何服务 ; 若授权 PPP 服务, 缺省设置为回呼不认证, 不设置用户回呼号码, 不对 ISDN 用户进行主叫号码认证 设置用户的优先级 设置服务类型为 lan-access 用户的一些属性值 level level attribute { access-limit max-user-number idle-cut minute ip ip-address location { nas-ip ip-address port slot-number subslot-number port-number port slot-number subslot-number port-number } mac mac-address vlan vlanid } * 缺省情况下, 用户的优先级为 0 当指定用户绑定的是远程端口, 则该用户必须指定 nas-ip 参数, 缺省为 , 表示为本机 ; 若用户绑定的是本地端口, 则不需要指定 nas-ip 参数 1-21

24 说明 : S9500 系列交换机上不显示本地用户密码, 而且 local-user password-display-mode 命令也不生效 当采用 local-user password-display-mode cipher-force 命令后, 即使用户通过 password 命令指定密码显示方式为明文显示 ( 即 simple 方式 ) 后, 密码也会显示为密文 本地用户的 service-type 是本地认证的检测项 如果没有用户可以使用的服务类型, 则该用户无法正常认证通过 在授权的过程中, 如果没有配置用户可以使用的服务类型, 则默认不授权任何服务 如果配置登录设备的认证方式需要用户名和密码 ( 包括本地认证 RADIUS 认证及 HWTACACS 认证 ), 则用户登录系统后所能访问的命令级别由用户的优先级确定, 其它认证方式下则由用户界面的优先级确定 对于 SSH 用户, 使用 RSA 公钥认证时, 其所能使用的命令以用户界面上设置的级别为准 关于登录设备的认证方式与用户访问命令级别的详细介绍请参见 系统分册 中的 用户界面配置 使用 service-type 命令与 level 命令均可指定用户优先级, 最后设置的级别有效 本地用户的 attribute ip 命令只适用于支持 IP 地址上传功能的认证, 如 802.1x 认证 ; 对于不支持 IP 地址上传功能的认证, 如果配置了该命令, 会导致本地认证失败, 如 MAC 地址认证 本地用户的 attribute port 命令绑定的端口只针对端口号, 不区分端口类型 用户界面视图下使用命令 idle-cut 配置的闲置切断功能只对 lan-access 用户有效 在主备环境下, 如果主板指定的目录在备板上不存在, 则主备倒换之后, 用户可能登录不成功或登录后无法进行正常操作 如果 FTP/SFTP 当前指定的工作目录中带备板槽位号, 则主备板倒换之后用户将不能正常登录 所以在指定工作目录时, 建议不要带槽位号信息 配置强制切断用户连接 注意 : 当有大量 MAC 地址认证用户在线时, 请勿在短时间内重复执行 cut 命令, 因为执行该命令后,MAC 地址认证用户会因为流量很快又触发认证上线的, 导致设备繁忙 如果有特殊原因确实需要清除大量的 MAC 地址认证用户, 请使用 undo mac-authentication 命令 1-22

25 表 1-11 配置强制切断用户连接 操作命令说明 进入系统视图 system-view - 强制切断指定用户的连接 cut connection { access-type { dot1x mac-authentication portal } all domain isp-name interface interface-type interface-number ip ip-address mac mac-address ucibindex ucib-index user-name user-name vlan vlan-id } [ slot slot-number ] 必选此命令只对 service-type 为 lan-access 的用户有效 1.4 配置 RADIUS 协议 RADIUS 协议配置是以 RADIUS 方案为单位进行的 当创建一个新的 RADIUS 方案之后, 需要对属于此方案的 RADIUS 服务器的 IP 地址和 UDP 端口号进行设置, 这些服务器包括认证 / 授权和计费服务器, 而每种服务器又有主服务器和从服务器的区别 每个 RADIUS 方案的属性包括 : 主服务器的 IP 地址 从服务器的 IP 地址 共享密钥以及 RADIUS 服务器类型等 RADIUS 协议配置仅仅定义了设备和 RADIUS 服务器之间进行信息交互所必须的一些参数 为了使这些参数能够生效, 还必须在某个 ISP 域视图下指定该域引用的 RADIUS 方案 具体配置细节, 请参见 1.3 配置 AAA 创建 RADIUS 方案在进行 RADIUS 的其它配置之前, 必须先创建 RADIUS 方案并进入其视图 表 1-12 创建 RADIUS 方案操作命令说明进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 radius scheme radius-scheme-name 必选缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 说明 : 一个 RADIUS 方案可以同时被多个 ISP 域引用 1-23

26 1.4.2 配置 RADIUS 认证 / 授权服务器 表 1-13 配置 RADIUS 认证 / 授权服务器 操作命令说明 进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 配置主 RADIUS 认证 / 授权服务器 配置从 RADIUS 认证 / 授权服务器 radius scheme radius-scheme-name primary authentication ip-address [ port-number ] secondary authentication ip-address [ port-number ] 缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 二者必选其一缺省情况下, 未配置主认证 / 授权服务器和从认证 / 授权服务器 两者同时配置的情况下, 当主服务器不可达时, 设备将使用从服务器进行认证 说明 : 建议在不需要备份的情况下, 只配置主 RADIUS 认证 / 授权服务器即可 在实际组网环境中, 可以指定两台 RADIUS 服务器分别作为主 从认证 / 授权服务器 ; 也可以指定一台服务器既作为某个方案的主认证 / 授权服务器, 又作为另一个方案的从认证 / 授权服务器 在同一个方案中指定的主认证 / 授权服务器和从认证 / 授权服务器的 IP 地址不能相同, 否则将提示配置不成功 系统缺省创建的 system 方案使用的主认证服务器的 IP 为 , 端口号为 配置 RADIUS 计费服务器及相关参数 表 1-14 配置 RADIUS 计费服务器及相关参数 操作命令说明 进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 配置主 RADIUS 计费服务器 配置从 RADIUS 计费服务器 radius scheme radius-scheme-name primary accounting ip-address [ port-number ] secondary accounting ip-address [ port-number ] 缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 二者必选其一缺省情况下, 未配置主 / 从计费服务器 两者同时配置的情况下, 当主服务器不可达时, 设备将使用从服务器进行计费 1-24

27 操作命令说明 使能停止计费报文缓存功能 设置当出现没有得到响应的停止计费请求时, 将该报文存入设备缓存后, 允许停止计费请求无响应的最大次数 设置允许实时计费请求无响应的最大次数 stop-accounting-buffer enable retry stop-accounting retry-times retry realtime-accounting retry-times 缺省情况下, 使能停止计费报文缓存功能 缺省情况下, 允许停止计费请求无响应的最大次数为 500 缺省情况下, 最多允许 5 次实时计费请求无响应 说明 : 建议在不需要备份的情况下, 只配置主 RADIUS 计费服务器即可 在实际组网环境中, 可以指定两台 RADIUS 服务器分别作为主 从计费服务器 ; 也可以指定一台服务器既作为某个方案的主计费服务器, 又作为另一个方案的从计费服务器 此外, 由于 RADIUS 协议采用不同的 UDP 端口来收发认证 / 授权和计费报文, 因此必须将认证 / 授权端口号和计费端口号配置得不同 如果 RADIUS 计费服务器对设备发出的停止计费请求报文没有响应, 且设备使能了停止计费报文缓存功能, 设备应将其缓存在本机上, 然后重新发送直到 RADIUS 计费服务器产生响应, 或者在重新发送的次数达到指定的次数限制后将其丢弃 设备提供对连续实时计费请求无响应次数限制的设置 在设备向 RADIUS 服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时, 设备将切断用户连接 主计费服务器和从计费服务器的 IP 地址不能相同, 否则将提示配置不成功 系统缺省创建的 system 方案使用的主计费服务器的 IP 为 , 端口号为 1646 目前 RADIUS 及 HWTACACS 协议均不支持对 FTP 用户进行计费 配置 RADIUS 报文的共享密钥 RADIUS 客户端与 RADIUS 服务器使用 MD5 算法来加密 RADIUS 报文, 双方通过设置共享密钥来验证报文的合法性 只有在密钥一致的情况下, 彼此才能接收对方发来的报文并作出响应 1-25

28 表 1-15 配置 RADIUS 报文的共享密钥 操作命令说明 进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 设置 RADIUS 认证 / 授权或计费报文的共享密钥 radius scheme radius-scheme-name key { accounting authentication } string 必选 缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 必选缺省情况下, 无密钥 注意 : 必须保证设备上设置的共享密钥与 RADIUS 服务器上的完全一致 配置 RADIUS 报文超时重传次数的最大值由于 RADIUS 协议采用 UDP 报文来承载数据, 因此其通信过程是不可靠的 如果 RADIUS 服务器在应答超时定时器规定的时长内没有响应设备, 则设备有必要向 RADIUS 服务器重传 RADIUS 请求报文 如果累计的传送次数超过最大重传次数而 RADIUS 服务器仍旧没有响应, 则设备将认为本次认证失败 表 1-16 配置 RADIUS 报文超时重传次数的最大值操作命令说明进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 设置 RADIUS 报文超时重传次数的最大值 radius scheme radius-scheme-name retry retry-times 必选缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 缺省情况下,RADIUS 报文超时重传次数的最大值为 3 说明 : RADIUS 报文超时重传次数的最大值与 RADIUS 服务器应答超时时间的乘积不能超过 75 秒 RADIUS 服务器应答超时时间的配置请参考命令 timer response-timeout 1-26

29 1.4.6 配置支持的 RADIUS 服务器的类型 表 1-17 配置支持的 RADIUS 服务器的类型 操作命令说明 进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 设置支持何种类型的 RADIUS 服务器 radius scheme radius-scheme-name server-type { extended standard } 必选 缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 缺省情况下, 设备支持的 RADIUS 服务器类型为 standard 系统缺省创建的 system 方案的 RADIUS 服务器类型是 extended 说明 : 当设备系统支持的 RADIUS 服务器类型的配置被更改时, 会将原有的发送到 RADIUS 服务器的数据流的单位恢复为缺省情况 使用第三方 RADIUS 服务器时,RADIUS 服务器类型可以选择 standard 类型或 extended 类型 ; 使用 CAMS 服务器时,RADIUS 服务器类型应选择 extended 类型 配置 RADIUS 服务器的状态对于某个 RADIUS 方案中的主 从服务器 ( 无论是认证 / 授权服务器还是计费服务器 ), 当主服务器与设备的通信中断时, 设备会主动地转而与从服务器交互报文 主服务器变为 block 的状态超过 timer quiet 设定的时间后, 当有 RADIUS 请求时, 设备会尝试与主服务器通信 如果主服务器恢复正常, 设备会立即恢复与其通信, 而不继续与从服务器通信 同时, 主服务器的状态恢复为 active, 从服务器的状态不变 而计费开始后, 客户端与从计费服务器之间的通信不会因为主计费服务器的恢复而切换 当主服务器与从服务器的状态都为 active 或都为 block 时, 设备将只把报文发送到主服务器 1-27

30 表 1-18 配置 RADIUS 服务器的状态 操作命令说明 进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 设置主 RADIUS 认证 / 授权服务器的状态 设置主 RADIUS 计费服务器的状态 设置从 RADIUS 认证 / 授权服务器的状态 设置从 RADIUS 计费服务器的状态 radius scheme radius-scheme-name state primary authentication { active block } state primary accounting { active block } state secondary authentication { active block } state secondary accounting { active block } 必选 缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 缺省情况下,RADIUS 方案中配置了 IP 地址的各 RADIUS 服务器的状态均为 active 说明 : state 命令设置的服务器状态属于动态信息, 不能被保存在配置文件中, 设备重启后, 服务器状态恢复为缺省状态 active 配置发送给 RADIUS 服务器的数据相关属性 表 1-19 配置发送给 RADIUS 服务器的数据相关属性 操作命令说明 进入系统视图 system-view - 使能 RADIUS trap 功能 创建 RADIUS 方案并进入其视图 设置发送给 RADIUS 服务器的用户名格式 radius trap { accounting-server-down authentication-server-down } radius scheme radius-scheme-name user-name-format { with-domain without-domain } 缺省情况下,RADIUS trap 功能关闭 必选 缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 缺省情况下, 设备发送给 RADIUS 服务器的用户名携带有 ISP 域名 1-28

31 操作命令说明 设置发送给 RADIUS 服务器的数据流的单位 data-flow-format data { { byte giga-byte kilo-byte mega-byte } packet { giga-packet kilo-packet mega-packet one-packet } }* 缺省情况下, 数据的单位为 byte, 数据包的单位为 one packet 设置设备发送 RADIUS 报文使用的源地址 RADIUS 方案视图 系统视图 nas-ip ip-address quit radius nas-ip ip-address 两者其一 缺省情况下, 不指定源地址, 即以发送报文的接口地址作为源地址 说明 : 由于有些较早期的 RADIUS 服务器不能接受携带有 ISP 域名的用户名, 因此必需将用户名的域名去除后再传送给 RADIUS 服务器 可以通过命令 user-name-format 来指定发送给 RADIUS 服务器的用户名是否携带有 ISP 域名 如果指定某个 RADIUS 方案不允许用户名中携带有 ISP 域名, 那么请不要在两个乃至两个以上的 ISP 域中同时设置使用该 RADIUS 方案, 否则, 会出现虽然实际用户不同 ( 在不同的 ISP 域中 ) 但 RADIUS 服务器认为用户相同 ( 因为传送到它的用户名相同 ) 的错误 系统缺省创建的 system 方案的用户名不带域名 设备向 RAIDUS 服务器发送数据流的单位应与 RADIUS 服务器上的流量统计单位保持一致, 否则无法正确计费 RADIUS 方案视图下的命令 nas-ip 只对本 RADIUS 方案有效, 系统视图下的命令 radius nas-ip 对所有 RADIUS 方案有效 RADIUS 方案视图下的设置具有更高的优先级 配置本地 RADIUS 服务器设备除了支持传统的作为 RADIUS 客户端的服务 即分别采用认证 / 授权服务器 计费服务器的方式进行用户的认证管理外, 还提供了本地的简单 RADIUS 服务器端功能 ( 包括认证 授权和计费 ), 称之为本地 RADIUS 服务器功能 可以通过下面的命令来配置本地 RADIUS 服务器的相关参数 1-29

32 表 1-20 配置本地 RADIUS 认证服务器 操作命令说明 进入系统视图 system-view - 配置本地 RADIUS 服务器 local-server nas-ip ip-address key password 必选 缺省情况下, 没有配置本地 RADIUS 服务器的相关参数 说明 : 采用本地 RADIUS 认证服务器功能时, 其认证 / 授权服务的 UDP 端口号必须为 1645, 计费服务的 UDP 端口号为 1646; 服务器的 IP 地址都设置为本地服务器的地址 用此命令配置的共享密钥必须和在 RADIUS 方案视图下用命令 key { accounting authentication } 配置的认证 / 授权或计费报文的共享密钥一致 包括系统缺省创建的本地 RADIUS 认证服务器在内, 设备最多支持 16 个本地 RADIUS 服务器 配置 RADIUS 服务器的定时器如果在 RADIUS 请求报文 ( 认证 / 授权请求或计费请求 ) 传送出去一段时间后, 设备还没有得到 RADIUS 服务器的响应, 则有必要重传 RADIUS 请求报文, 以保证用户确实能够得到 RADIUS 服务, 这段时间被称为 RADIUS 服务器响应超时时长, 设备系统中用于控制这个时长的定时器就被称为 RADIUS 服务器响应超时定时器 表 1-21 设置 RADIUS 服务器的定时器 操作 命令 说明 进入系统视图 system-view - 创建 RADIUS 方案并进入其视图 设置 RADIUS 服务器应答超时时间 设置主服务器恢复激活状态的时间 radius scheme radius-scheme-name timer response-timeout seconds timer quiet minutes 必选缺省情况下, 系统中已创建了一个名为 system 的 RADIUS 方案 缺省情况下,RADIUS 服务器应答超时定时器为 3 秒 缺省情况下, 主服务器恢复激活状态前需要等待 5 分钟 1-30

33 操作命令说明 设置实时计费间隔 timer realtime-accounting minutes 缺省情况下, 实时计费间隔为 12 分钟 为了对用户实施实时计费, 有必要设置实时计费的时间间隔 在设置了该属性以后, 每隔设定的时间, 设备会向 RADIUS 服务器发送一次在线用户的计费信息 说明 : RADIUS 各类报文重传次数的最大值与 RADIUS 服务器应答超时时间的乘积不能超过 75 秒 RADIUS 各类报文重传次数的最大值配置请参考命令 retry 1.5 配置 HWTACACS 协议 创建 HWTACACS 方案 HWTACACS 协议的配置是以 HWTACACS 方案为单位进行的 在进行 HWTACACS 协议的其它相关配置之前, 必须先创建 HWTACACS 方案并进入其视图 表 1-22 创建 HWTACACS 方案 操作 命令 说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 hwtacacs scheme hwtacacs-scheme-name 必选缺省情况下, 没有定义 HWTACACS 方案 注意 : 系统最多支持配置 16 个 HWTACACS 方案 只有当方案没有被引用时, 才能删除该方案 1-31

34 1.5.2 配置 HWTACACS 认证服务器 表 1-23 配置 HWTACACS 认证服务器 操作命令说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 配置主 HWTACACS 认证服务器 配置从 HWTACACS 认证服务器 hwtacacs scheme hwtacacs-scheme-name primary authentication ip-address [ port-number ] secondary authentication ip-address [ port-number ] 必选 缺省情况下, 没有定义 HWTACACS 方案 二者必选其一缺省情况下, 未配置主 / 从认证服务器 两者同时配置的情况下, 当主服务器不可达时, 设备将使用从服务器进行认证 说明 : 建议在不需要备份的情况下, 只配置主认证服务器即可 主认证服务器和从认证服务器的 IP 地址不能相同, 否则将提示配置不成功 只有当没有活跃的用于发送认证报文的 TCP 连接使用该认证服务器时, 才允许删除该服务器 配置 HWTACACS 授权服务器 表 1-24 配置 HWTACACS 授权服务器 操作命令说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 配置主 HWTACACS 授权服务器 配置从 HWTACACS 授权服务器 hwtacacs scheme hwtacacs-scheme-name primary authorization ip-address [ port-number ] secondary authorization ip-address [ port-number ] 必选缺省情况下, 没有定义 HWTACACS 方案 二者必选其一缺省情况下, 未配置主 / 从授权服务器 两者同时配置的情况下, 当主服务器不可达时, 设备将使用从服务器进行授权 1-32

35 注意 : 建议在不需要备份的情况下, 只配置主授权服务器即可 主授权服务器和从授权服务器的 IP 地址不能相同, 否则将提示配置不成功 只有当没有活跃的用于发送授权报文的 TCP 连接使用该授权服务器时, 才允许删除该服务器 对于 FTP Telnet SSH 等用户, 如果不配置授权服务器, 只配置认证和计费服务器, 认证和计费都可以正常进行, 只是用户的权限级别默认为 0, 即最低权限 配置 HWTACACS 计费服务器 表 1-25 配置 HWTACACS 计费服务器 操作命令说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 设置 HWTACACS 主计费服务器 设置 HWTACACS 从计费服务器 使能停止计费报文缓存功能 设置当出现没有得到响应的停止计费请求时, 将该报文存入设备缓存后, 停止计费请求报文的最大发送次数 hwtacacs scheme hwtacacs-scheme-name primary accounting ip-address [ port-number ] secondary accounting ip-address [ port-number ] stop-accounting-buffer enable retry stop-accounting retry-times 必选 缺省情况下, 没有定义 HWTACACS 方案 缺省情况下, 主 / 从计费服务器的 IP 地址均为 ,TCP 端口号均为 49 两者同时配置的情况下, 当主服务器不可达时, 设备将使用从服务器进行计费 缺省情况下, 使能停止计费报文缓存功能 缺省情况下,retry-times 的值为

36 说明 : 建议在不需要备份的情况下, 只配置主计费服务器即可 主计费服务器和从计费服务器的 IP 地址不能相同, 否则将提示配置不成功 只有当没有活跃的用于发送计费报文的 TCP 连接使用该计费服务器时, 才允许删除该服务器 目前 RADIUS 及 HWTACACS 协议均不支持对 FTP 用户进行计费 配置 HWTACACS 报文的共享密钥使用 HWTACACS 服务器作为 AAA 服务器时, 可设置密钥以提高设备与 HWTACACS 服务器通信的安全性 HWTACACS 客户端 ( 即设备系统 ) 与 HWTACACS 服务器使用 MD5 算法来加密交互的 HWTACACS 报文, 双方通过设置共享密钥来验证报文的合法性 只有在密钥一致的情况下, 双方才能彼此接收对方发来的报文并作出响应 因此, 必须保证设备上设置的共享密钥与 HWTACACS 服务器上的完全一样 表 1-26 配置 HWTACACS 报文的共享密钥 操作 命令 说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 设置 HWTACACS 计费 授权及认证报文的共享密钥 hwtacacs scheme hwtacacs-scheme-name key { accounting authorization authentication } string 必选缺省情况下, 没有定义 HWTACACS 方案 必选缺省情况下, 无密钥 配置发送给 HWTACACS 服务器的数据相关属性 表 1-27 配置发送给 HWTACACS 服务器的数据相关属性 操作命令说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 设置发送给 HWTACACS 服务器的用户名格式 hwtacacs scheme hwtacacs-scheme-name user-name-format { with-domain without-domain } 必选 缺省情况下, 没有定义 HWTACACS 方案 缺省情况下, 发往 HWTACACS 服务器的用户名带域名 1-34

37 操作命令说明 设置发送给 HWTACACS 服务器的数据流的单位 data-flow-format { data { byte giga-byte kilo-byte mega-byte } packet { giga-packet kilo-packet mega-packet one-packet } }* 缺省情况下, 数据的单位为 byte, 数据包的单位为 one-packet 配置发送 HWTACACS 报文使用的源地址 HWTACAC S 视图 系统视图 nas-ip ip-address quit hwtacacs nas-ip ip-address 两者其一 缺省情况下, 不指定源地址, 即以发送报文的接口地址作为源地址 注意 : 如果 HWTACACS 服务器不接受带域名的用户名, 可以配置将用户名的域名去除后再传送给 HWTACACS 服务器 HWTACACS 方案视图下的命令 nas-ip 只对本 HWTACACS 方案有效, 系统视图下的命令 hwtacacs nas-ip 对所有 HWTACACS 方案有效 HWTACACS 方案视图下的设置具有更高的优先级 配置 HWTACACS 服务器的定时器 表 1-28 配置 HWTACACS 服务器的定时器 操作命令说明 进入系统视图 system-view - 创建 HWTACACS 方案, 并进入 HWTACACS 视图 设置 HWTACACS 服务器应答超时时间 设置主服务器恢复激活状态的时间 设置实时计费的时间间隔 hwtacacs scheme hwtacacs-scheme-name timer response-timeout seconds timer quiet minutes timer realtime-accounting minutes 必选 缺省情况下, 没有定义 HWTACACS 方案 缺省情况下, 应答超时时间为 5 秒 缺省情况下, 主服务器恢复激活状态前需要等待 5 分钟 缺省情况下, 实时计费间隔为 12 分钟 1-35

38 说明 : 为了对用户实施实时计费, 有必要设置实时计费的时间间隔 在设置了该属性以后, 每隔设定的时间, 设备会向 HWTACACS 服务器发送一次在线用户的计费信息 按照协议, 如果服务器对实时计费报文没有正常响应, 设备也不会强制切断在线用户 实时计费间隔时间取值必须为 3 的整数倍 实时计费间隔的取值对设备和 HWTACACS 服务器的性能有一定的相关性要求, 取值越小, 对设备和 HWTACACS 服务器的性能要求越高 1.6 AAA&RADIUS&HWTACACS 显示和维护 完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 AAA&RADIUS&HWTACACS 的运行情况, 通过查看显示信息验证配置的效果 在用户视图下, 执行 reset 命令可以清除相关统计信息 表 1-29 AAA 协议显示和维护 操作 显示所有或指定 ISP 域的配置信息 显示用户连接的相关信息 显示本地用户相关信息 display domain [ isp-name ] 命令 display connection [ access-type { dot1x mac-authentication portal } domain isp-name interface interface-type interface-number ip ip-address mac mac-address ucibindex ucib-index user-name user-name vlan vlan-id ] [ slot slot-number ] display local-user [ domain isp-name idle-cut { disable enable } service-type { ftp lan-access ppp ssh telnet terminal } state { active block } user-name user-name vlan vlan-id ] [ slot slot-number ] 表 1-30 RADIUS 协议显示和维护 操作 显示本地 RADIUS 认证服务器的统计信息 显示所有或指定 RADIUS 方案的配置信息 命令 display local-server statistics display radius [ radius-server-name ] [ slot slot-number ] 显示 RADIUS 报文的统计信息 display radius statistics [ slot slot-number ] 显示缓存的没有得到响应的停止计费请求报文 display stop-accounting-buffer { radius-scheme radius-server-name session-id session-id time-range start-time stop-time user-name user-name } [ slot slot-number ] 1-36

39 操作 命令 清除 RADIUS 协议的统计信息 reset radius statistics [ slot slot-number ] 删除缓存中的没有得到响应的停止计费请求报文 清除本地服务器的统计信息 reset stop-accounting-buffer { radius-scheme radius-server-name session-id session-id time-range start-time stop-time user-name user-name } [ slot slot-number ] reset local-server statistics 表 1-31 HWTACACS 协议显示和维护 操作 查看所有或指定 HWTACACS 方案的配置信息或统计信息 显示缓存的没有得到响应的停止计费请求报文 清除 HWTACACS 协议的统计信息 删除缓存中的没有得到响应的停止计费请求报文 命令 display hwtacacs [ hwtacacs-server-name [ statistics [ slot slot-number ] ] ] display stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name session-id session-id time-range start-time stop-time user-name user-name } [ slot slot-number ] reset hwtacacs statistics { accounting all authentication authorization } [ slot slot-number ] reset stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name session-id session-id time-range start-time stop-time user-name user-name } [ slot slot-number ] 1.7 AAA&RADIUS&HWTACACS 典型配置举例 Telnet/SSH 用户通过 RADIUS 服务器认证 授权 计费的应用配置 说明 : SSH 用户和 Telnet 用户通过 RADIUS 服务器进行认证 授权 计费的配置方法类似, 下面的描述以 Telnet 用户的远端认证为例 目前不支持对 FTP 用户进行计费 1. 组网需求 如图 1-7 所示, 配置交换机实现 RADIUS 服务器对登录交换机的 Telnet 用户进 行认证 授权和计费 1-37

40 使用 CAMS 的 RADIUS 服务器 ( 其担当认证 RADIUS 服务器和计费 RADIUS 服务器的职责 ) 与交换机相连, 服务器 IP 地址为 交换机与认证 RADIUS 服务器交互报文时的共享密钥为 expert 与计费 RADIUS 服务器交互报文时的共享密钥为 expert, 发送给 RADIUS 服务器的用户名带域名 在 RADIUS 服务器上设置与交换机交互报文时的共享密钥为 expert; 设置验证及计费的端口号 ; 添加 Telnet 用户名及登录密码, 用户名应为 userid@isp-name 形式 2. 组网图 RADIUS server /24 Internet Telnet user Switch 图 1-7 配置 Telnet 用户的远端 RADIUS 认证 授权和计费典型配置组网 3. 配置步骤 # 开启交换机的 Telnet 服务器功能 <Sysname> system-view [Sysname] telnet server enable # 配置 Telnet 用户登录采用 AAA 认证方式 [Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] quit # 创建 ISP 域 [Sysname] domain 1 # 配置用户计费 RADIUS 服务器使用 CAMS 服务器时, 必须进行该配置, 因为 CAMS 服务器并不对计费报文作回应 [Sysname-isp-1] accounting optional [Sysname-isp-1] quit # 配置 RADIUS 方案 1-38

41 <Sysname> system-view [Sysname] radius scheme rad [Sysname-radius-rad] primary authentication [Sysname-radius-rad] primary accounting [Sysname-radius-rad] key authentication expert [Sysname-radius-rad] key accounting expert [Sysname-radius-rad] server-type extended [Sysname-radius-rad] user-name-format with-domain [Sysname-radius-rad] quit # 配置 ISP 域的 AAA 方案 在该应用配置中, 因为接入用户对认证 授权和计费三个过程都需要, 所以需要在域中对认证 授权和计费方案全部配置 <Sysname> system-view [Sysname] domain 1 [Sysname-isp-1] authentication login radius-scheme rad [Sysname-isp-1] authorization login radius-scheme rad [Sysname-isp-1] accounting login radius-scheme rad [Sysname-isp-1] quit # 或者不区分用户类型, 配置缺省的 AAA 方案 [Sysname] domain 1 [Sysname-isp-1] authentication default radius-scheme rad [Sysname-isp-1] authorization default radius-scheme rad [Sysname-isp-1] accounting default radius-scheme rad FTP/Telnet 用户本地认证 授权 计费配置 说明 : FTP 用户除了没有计费过程外, 与 Telnet 用户通过本地认证 授权的配置方法类似, 下面描述仅以 Telnet 用户为例 1. 组网需求如图 1-8 所示, 配置交换机实现对登录交换机的 Telnet 用户进行本地认证 授权和计费 2. 组网图 图 1-8 配置 Telnet 用户的本地认证 授权和计费典型配置组网 1-39

42 3. 配置步骤 (1) 方法一 : 使用本地认证 授权和计费 # 开启设备的 Telnet 服务器功能 <Sysname> system-view [Sysname] telnet server enable # 配置 Telnet 用户登录采用 AAA 认证方式 [Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] quit # 创建本地用户 telnet <Sysname> system-view [Sysname] local-user telnet [Sysname-luser-telnet] service-type telnet [Sysname-luser-telnet] password simple aabbccddeeff [Sysname-luser-telnet] quit # 配置 ISP 域的 AAA 方案为本地认证 授权和计费 [Sysname] domain system [Sysname-isp-system] authentication login local [Sysname-isp-system] authorization login local [Sysname-isp-system] accounting login local [Sysname-isp-system] quit # 或者不区分用户类型, 配置缺省的 AAA 方案 [Sysname] domain system [Sysname-isp-system] authentication default local [Sysname-isp-system] authorization default local [Sysname-isp-system] accounting default local 使用 Telnet 登录时输入用户名为 userid@system, 以使用 system 域进行认证 (2) 方法二 : 使用本地 RADIUS 服务器 这种方法与 小节中的远端 RADIUS 认证方法类似, 不同的是 : 配置本地用户 ; 配置认证 / 授权和计费服务器 :IP 地址为 , 共享密钥为 aabbcc, 认证 / 授权 UDP 端口号为 1645 计费 UDP 端口号为 1646; 配置本地 RADIUS 服务器 :IP 地址为 , 共享密钥为 aabbcc 具体实现如下 : # 开启设备的 Telnet 服务器功能 1-40

43 <Sysname> system-view [Sysname] telnet server enable # 配置 Telnet 用户登录采用 AAA 认证方式 [Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] quit # 创建本地用户 telnet [Sysname] local-user telnet [Sysname-luser-telnet] service-type telnet [Sysname-luser-telnet] password simple aabbccddeeff [Sysname-luser-telnet] quit # 配置 RADIUS 方案 [Sysname] radius scheme rad [Sysname-radius-rad] primary authentication [Sysname-radius-rad] primary accounting [Sysname-radius-rad] key authentication aabbcc [Sysname-radius-rad] key accounting aabbcc [Sysname-radius-rad] server-type extended [Sysname-radius-rad] quit # 配置 ISP 域的 AAA 方案 [Sysname] domain 1 [Sysname-isp-1] authentication login radius-scheme rad [Sysname-isp-1] authorization login radius-scheme rad [Sysname-isp-1] accounting login radius-scheme rad [Sysname-isp-cams] quit # 配置本地 RADIUS 服务器 [Sysname] local-server nas-ip key aabbcc Telnet 用户通过 HWTACACS 服务器认证 授权 计费的应用配置 1. 组网需求 通过配置交换机实现 HWTACACS 服务器对登录交换机的用户进行认证 授权 计费 一台 HWTACACS 服务器 ( 担当认证 授权 计费服务器的职责 ) 与交换机相连, 服务器 IP 地址为 交换机与认证 授权 计费 HWTACACS 服务器交互报文时的共享密钥均为 expert, 交换机发送给 HWTACACS 服务器的用户名中不带域名 在 HWTACACS 服务器上设置与交换机交互报文时的共享密钥为 expert 1-41

44 2. 组网图 HWTACACS server /24 Internet Telnet user Switch 图 1-9 配置 Telnet 用户的远端 HWTACACS 认证 授权和计费典型配置组网 3. 配置步骤 # 开启交换机的 Telnet 服务器功能 <Sysname> system-view [Sysname] telnet server enable # 配置 Telnet 用户登录采用 AAA 方式 [Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] quit # 配置 HWTACACS 方案 <Sysname> system-view [Sysname] hwtacacs scheme hwtac [Sysname-hwtacacs-hwtac] primary authentication [Sysname-hwtacacs-hwtac] primary authorization [Sysname-hwtacacs-hwtac] primary accounting [Sysname-hwtacacs-hwtac] key authentication expert [Sysname-hwtacacs-hwtac] key authorization expert [Sysname-hwtacacs-hwtac] key accounting expert [Sysname-hwtacacs-hwtac] user-name-format without-domain [Sysname-hwtacacs-hwtac] quit # 配置 ISP 域的 AAA 方案 <Sysname> system-view [Sysname] domain 1 [Sysname-isp-1] authentication login hwtacacs-scheme hwtac [Sysname-isp-1] authorization login hwtacacs-scheme hwtac [Sysname-isp-1] accounting login hwtacacs-scheme hwtac [Sysname-isp-1] quit 1-42

45 # 或者不区分用户类型, 配置缺省的 AAA 方案 [Sysname] domain 1 [Sysname-isp-1] authentication default hwtacacs-scheme hwtac [Sysname-isp-1] authorization default hwtacacs-scheme hwtac [Sysname-isp-1] accounting default hwtacacs-scheme hwtac Telnet 用户通过 local 认证,HWTACACS 授权,RADIUS 计费的应用配置 1. 组网需求 通过配置交换机实现 local 认证,HWTACACS 授权和 RADIUS 计费 Telnet 用户的用户名为 telnet, 密码为 telnet 一台 HWTACACS 服务器 ( 担当授权服务器的职责 ) 与交换机相连, 服务器 IP 地址为 设置交换机与授权 HWTACACS 服务器交互报文时的共享密钥均为 expert, 交换机发送给 HWTACACS 服务器的用户名中不带域名 一台 RADIUS 服务器 ( 担当计费服务器的职责 ) 与交换机相连, 服务器 IP 地址为 设置交换机与计费 RADIUS 服务器交互报文时的共享密钥为 expert 说明 : 其他接入如果需要此类 AAA 应用, 和 Telnet 在域的 AAA 配置上类似, 只有接入的区分 2. 组网图 图 1-10 配置 Telnet 用户的 local 认证,TACACS 授权和 RADIUS 计费典型配置组网 3. 配置步骤 # 开启交换机的 Telnet 服务器功能 <Sysname> system-view [Sysname] telnet server enable 1-43

46 # 配置 Telnet 用户登录采用 AAA 认证方式 [Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] quit # 配置 HWTACACS 方案 <Sysname> system-view [Sysname] hwtacacs scheme hwtac [Sysname-hwtacacs-hwtac] primary authorization [Sysname-hwtacacs-hwtac] key authorization expert [Sysname-hwtacacs-hwtac] user-name-format without-domain [Sysname-hwtacacs-hwtac] quit # 配置 RADIUS 方案 <Sysname> system-view [Sysname] radius scheme rd [Sysname-radius-rd] primary accounting [Sysname-radius-rd] key accounting expert [Sysname-radius-rd] server-type extended [Sysname-radius-rd] user-name-format without-domain [Sysname-radius-rd] quit # 创建本地用户 telnet <Sysname> system-view [Sysname] local-user telnet [Sysname-luser-telnet] service-type telnet [Sysname-luser-telnet] password simple telnet # 配置 ISP 域的 AAA 方案 <Sysname> system-view [Sysname] domain 1 [Sysname-isp-1] authentication login local [Sysname-isp-1] authorization login hwtacacs-scheme hwtac [Sysname-isp-1] accounting login radius-scheme rd [Sysname-isp-1] quit # 或者不区分用户类型, 配置缺省的 AAA 方案 [Sysname] domain 1 [Sysname-isp-1] authentication default local [Sysname-isp-1] authorization default hwtacacs-scheme hwtac [Sysname-isp-1] accounting default radius-scheme rd 1-44

47 1.8 AAA/RADIUS/HWTACACS 常见配置错误举例 RADIUS 常见配置错误举例 1. 用户认证 / 授权总是失败错误排除 : (1) 用户名不是 userid@isp-name 的形式, 或设备没有指定缺省的 ISP 域 请使用正确形式的用户名或在设备中设定缺省的 ISP 域 (2) RADIUS 服务器的数据库中没有配置该用户 检查 RADIUS 服务器的数据库以保证该用户的配置信息确实存在 (3) 用户侧输入的密码不正确 请确保接入用户输入正确的密码 (4) RADIUS 服务器和设备的报文共享密钥不同 请仔细比较两端的共享密钥, 确保它们相同 (5) 设备与 RADIUS 服务器之间存在通信故障 ( 可以通过在设备上 ping RADIUS 服务器来检查 ) 请确保设备与 RADIUS 服务器之间能够正常通信 2. RADIUS 报文无法传送到 RADIUS 服务器错误排除 : (1) 设备与 RADIUS 服务器之间的通信线路不通 ( 物理层 / 链路层 ) 请确保线路通畅 (2) 设备上没有设置相应的 RADIUS 服务器 IP 地址 请确保正确设置 RADIUS 服务器的 IP 地址 (3) 认证 / 授权和计费服务的 UDP 端口设置得不正确 请确保与 RADIUS 服务器提供的端口号一致 (4) RADIUS 服务器的认证 / 授权和计费端口被其它应用程序占用 确保 RADIUS 服务器上的认证 / 授权和计费端口可用 3. 用户认证通过并获得授权, 但是计费功能出现异常 错误排除 : (1) 计费端口号设置得不正确 请正确设置 RADIUS 计费端口号 (2) 计费服务器和认证 / 授权服务器不是同一台机器, 设备却要求认证 / 授权和计费在同一个服务器 (IP 地址相同 ) 请确保设备的认证 / 授权和计费服务器的设置与实际情况相同 1-45

48 1.8.2 HWTACACS 常见配置错误举例 HWTACACS 的常见配置错误举例与 RADIUS 基本相似, 可以参考上面内容 1-46