1 AAA

 国产 女同国产 女同

1.1  AAA简介 1.1.1  详细

AAA（Authentication、Authorization、Accounting，认证、授权、计费）是相聚安全的一种经管机制，提供了认证、授权、计费三种安全功能。

·     认证：阐明看望相聚的汉典用户的身份，判断看望者是否为正当的相聚用户。

·     授权：对不同用户赋予不同的权限，限定用户不错使用的作事。例如，经管员授权办公用户才智对作事器中的文献进行看望和打印操作，而其它临时访客不具备此权限。

·     计费：纪寄托户使用相聚作事过程中的所有这个词操作，包括使用的作事类型、肇始时期、数据流量等，用于采集和纪寄托户对相聚资源的使用情况，并不错罢了针对时期、流量的计费需求，也对相聚起到监视作用。

AAA收受客户端/作事器结构，客户端运行于NAS（Network Access Server，相聚接入作事器）上，考究考证用户身份与经管用户接入，作事器上则集聚经管用户信息。AAA的基本组网结构如图1-1。

图1-1 AAA基本组网结构暗示图

 

当用户想要通过NAS取得看望其它相聚的职权或取得某些相聚资源的职权时，着手需要通过AAA认证，而NAS就起到了考证用户的作用。NAS考究把用户的认证、授权、计费信息透传给作事器。作事器字据自己的设立对用户的身份进行判断并复返相应的认证、授权、计费吊销。NAS字据作事器复返的吊销，决定是否允许用户看望外部相聚、获取相聚资源。

AAA不错通过多种左券来罢了，这些左券章程了NAS与作事器之间怎样传递用户信息。面前勾引缓助RADIUS（Remote Authentication Dial-In User Service，汉典认证拨号用户作事）左券、HWTACACS（HW Terminal Access Controller Access Control System，HW结尾看望限定器限定系统左券）左券和LDAP（Lightweight Directory Access Protocol，轻量级目次看望左券）左券，在本色应用中，最常使用RADIUS左券。

图1-1的AAA基本组网结构中有两台作事器，用户不错字据本色组网需求来决定认证、授权、计费功能分别由使用哪种左券类型的作事器来承担。例如，不错选用HWTACACS作事器罢了认证和授权，RADIUS作事器罢了计费。

天然，用户也不错只使用AAA提供的一种或两种安全作事。例如，公司只是想让职工在看望某些特定资源时进行身份认证，那么相聚经管员只须设立认证作事器就不错了。可是若但愿对职工使用相聚的情况进行纪录，那么还需要设立计费作事器。

面前，勾引缓助动态口令认证机制。

1.1.2  RADIUS左券简介

RADIUS（Remote Authentication Dial-In User Service，汉典认证拨号用户作事）是一种散播式的、客户端/作事器结构的信回绝互左券，能保护相聚不受未授权看望的干预，常应用在既要求较高安全性、又允许汉典用户看望的各式相聚环境中。RADIUS左券合并了认证和授权的过程，它界说了RADIUS的报文花式过头音书传输机制，并章程使用UDP作为封装RADIUS报文的传输层左券，UDP端口1812、1813分别作为认证/授权、计费端口。

RADIUS着手仅是针对拨号用户的AAA左券，其后跟着用户接入方式的各样化发展，RADIUS也顺应多种用户接入方式，如以太网接入、ADSL接入。它通过认证授权来提供接入作事，通过计费来采集、纪寄托户对相聚资源的使用。

1. 客户端/作事器模式

·     客户端：RADIUS客户端一般位于NAS上，不错遍布整个相聚，考究将用户信息传输到指定的RADIUS作事器，然后字据作事器复返的信息进行相应处理（如接受/回绝用户接入）。

·     作事器：RADIUS作事器一般运行在中心联想机或责任站上，齰舌用户的身份信息和与其关系的相聚作事信息，考究摄取NAS发送的认证、授权、计费请求并进行相应的处理，然后给NAS复返处理吊销（如接受/回绝认证请求）。另外，RADIUS作事器还不错作为一个代理，以RADIUS客户端的身份与其它的RADIUS认证作事器进行通讯，考究转发RADIUS认证和计费报文。

RADIUS作事器泛泛要齰舌三个数据库，如图1-2所示：

图1-2 RADIUS作事器的组成

 

·     “Users”：用于存储用户信息（如用户名、口令以及使用的左券、IP地址等设立信息）。

·     “Clients”：用于存储RADIUS客户端的信息（如NAS的分享密钥、IP地址等）。

·     “Dictionary”：用于存储RADIUS左券中的属性和属性值含义的信息。

2. 安全的消回绝互机制

RADIUS客户端和RADIUS作事器之间认证音书的交互是通过分享密钥的参与来完成的。分享密钥是一个带传闻输的客户端和作事器齐知说念的字符串，不需要单独进行相聚传输。RADIUS报文中有一个16字节的考证字字段，它包含了对整个报文的数字签名数据，该签名数据是在分享密钥的参与下期骗MD5算法联想出的。收到RADIUS报文的一方要考证该签名的正确性，如果报文的签名不正确，则丢弃它。通过这种机制，保证了RADIUS客户端和RADIUS作事器之间信回绝互的安全性。另外，为防护用户密码在不安全的相聚上传递时被窃取，在RADIUS报文传输过程中还期骗分享密钥对用户密码进行了加密。

3. 用户认证机制

RADIUS作事器缓助多种方法来认证用户，例如PAP（Password Authentication Protocol，密码考证左券）、CHAP（Challenge Handshake Authentication Protocol，质询合手手考证左券）以及EAP（Extensible Authentication Protocol，可彭胀认证左券）。

4. RADIUS的基本消回绝互经由

用户、RADIUS客户端和RADIUS作事器之间的交互经由如图1-3所示。

图1-3 RADIUS的基本消回绝互经由

 

 

消回绝互经由如下：

(1)     用户发起贯串请求，向RADIUS客户端发送用户名和密码。

(2)     RADIUS客户端字据获取的用户名和密码，向RADIUS作事器发送认证请求包（Access-Request），其中的密码在分享密钥的参与下期骗MD5算法进行加密处理。

(3)     RADIUS作事器对用户名和密码进行认证。如果认证顺利，RADIUS作事器向RADIUS客户端发送认证接受包（Access-Accept）；如果认证失败，则复返认证回绝包（Access-Reject）。由于RADIUS左券合并了认证和授权的过程，因此认证接受包中也包含了用户的授权信息。

(4)     RADIUS客户端字据摄取到的认证吊销接入/回绝用户。如果允许用户接入，则RADIUS客户端向RADIUS作事器发送计费启动请求包（Accounting-Request）。

(5)     RADIUS作事器复返计费启动反应包（Accounting-Response），并启动计费。

(6)     用户启动看望相聚资源。

(7)     用户请求断开贯串。

(8)     RADIUS客户端向RADIUS作事器发送计费罢手请求包（Accounting-Request）。

(9)     RADIUS作事器复返计费吊销反应包（Accounting-Response），并罢手计费。

(10)     陈诉用户吊销看望相聚资源。

5. RADIUS报文结构

RADIUS收受UDP报文来传输音书，通过定时器机制、重传机制、备用作事器机制，确保RADIUS作事器和客户端之间交互音书的正确收发。RADIUS报文结构如图1-4所示。

图1-4 RADIUS报文结构

 

各字段的说明如下：

(1)     Code域

长度为1个字节，用于说明RADIUS报文的类型，如表1-1所示。

表1-1 Code域的主要取值说明

Code

报文类型

报文说明

1

Access-Request认证请求包

地方Client->Server，Client将用户信息传输到Server，请求Server对用户身份进行考证。该报文中必须包含User-Name属性，可选包含NAS-IP-Address、User-Password、NAS-Port等属性

2

Access-Accept认证接受包

地方Server->Client，如果Access-Request报文中的所有这个词Attribute值齐不错接受（即认证通过），则传输该类型报文

3

Access-Reject认证回绝包

地方Server->Client，如果Access-Request报文中存在职何无法被接受的Attribute值（即认证失败），则传输该类型报文

4

Accounting-Request计费请求包

地方Client->Server，Client将用户信息传输到Server，请求Server启动/罢手计费。该报文中的Acct-Status-Type属性用于区分计费启动请乞降计费吊销请求

5

Accounting-Response计费反应包

地方Server->Client，Server陈诉Client仍是收到Accounting-Request报文，况且仍是正确纪录计费信息

 

(2)     Identifier域

长度为1个字节，用于匹配请求包和反应包，以及检测在一段时期内重发的请求包。对于类型一致且属于消亡个交互过程的请求包和反应包，该Identifier值疏导。

(3)     Length域

长度为2个字节，清楚RADIUS数据包（包括Code、Identifier、Length、Authenticator和Attribute）的长度，单元为字节。向上Length域的字节将作为填充字符被忽略。如果摄取到的包的本色长度小于Length域的值时，则包会被丢弃。

(4)     Authenticator域

长度为16个字节，用于考证RADIUS作事器的应付报文，另外还用于用户密码的加密。Authenticator包括两种类型：Request Authenticator和Response Authenticator。

(5)     Attribute域

不定长度，用于佩戴专诚的认证、授权和计费信息。Attribute域可包括多个属性，每一个属性齐收受（Type、Length、Value）三元组的结构来清楚。

·     类型（Type）：清楚属性的类型。

·     长度（Length）：清楚该属性（包括类型、长度和属性值）的长度，单元为字节。

·     属性值（Value）：清楚该属性的信息，其花式和内容由类型决定。

表1-2列出了RADIUS认证、授权、计费常用的属性，这些属性由RFC 2865、RFC 2866、RFC 2867和RFC 2868所界说。常用RADIUS标准属性的先容请参见“1.1.8  1. 常用RADIUS标准属性”。

表1-2 RADIUS属性

属性编号

属性称号

属性编号

属性称号

1

User-Name

45

Acct-Authentic

2

User-Password

46

Acct-Session-Time

3

CHAP-Password

47

Acct-Input-Packets

4

NAS-IP-Address

48

Acct-Output-Packets

5

NAS-Port

49

Acct-Terminate-Cause

6

Service-Type

50

Acct-Multi-Session-Id

7

Framed-Protocol

51

Acct-Link-Count

8

Framed-IP-Address

52

Acct-Input-Gigawords

9

Framed-IP-Netmask

53

Acct-Output-Gigawords

10

Framed-Routing

54

(unassigned)

11

Filter-ID

55

Event-Timestamp

12

Framed-MTU

56-59

(unassigned)

13

Framed-Compression

60

CHAP-Challenge

14

Login-IP-Host

61

NAS-Port-Type

15

Login-Service

62

Port-Limit

16

Login-TCP-Port

63

Login-LAT-Port

17

(unassigned)

64

Tunnel-Type

18

Reply-Message

65

Tunnel-Medium-Type

19

Callback-Number

66

Tunnel-Client-Endpoint

20

Callback-ID

67

Tunnel-Server-Endpoint

21

(unassigned)

68

Acct-Tunnel-Connection

22

Framed-Route

69

Tunnel-Password

23

Framed-IPX-Network

70

ARAP-Password

24

State

71

ARAP-Features

25

Class

72

ARAP-Zone-Access

26

Vendor-Specific

73

ARAP-Security

27

Session-Timeout

74

ARAP-Security-Data

28

Idle-Timeout

75

Password-Retry

29

Termination-Action

76

Prompt

30

Called-Station-Id

77

Connect-Info

31

Calling-Station-Id

78

Configuration-Token

32

NAS-Identifier

79

EAP-Message

33

Proxy-State

80

Message-Authenticator

34

Login-LAT-Service

81

Tunnel-Private-Group-id

35

Login-LAT-Node

82

Tunnel-Assignment-id

36

Login-LAT-Group

83

Tunnel-Preference

37

Framed-AppleTalk-Link

84

ARAP-Challenge-Response

38

Framed-AppleTalk-Network

85

Acct-Interim-Interval

39

Framed-AppleTalk-Zone

86

Acct-Tunnel-Packets-Lost

40

Acct-Status-Type

87

NAS-Port-Id

41

Acct-Delay-Time

88

Framed-Pool

42

Acct-Input-Octets

89

(unassigned)

43

Acct-Output-Octets

90

Tunnel-Client-Auth-id

44

Acct-Session-Id

91

Tunnel-Server-Auth-id

 

6. RADIUS彭胀属性

RADIUS左券具有宽广的可彭胀性，RFC 2865中界说的26号属性（Vendor-Specific）用于勾引厂商对RADIUS进行彭胀，以罢了标准RADIUS莫得界说的功能。

勾引厂商不错在26号属性中封装多个自界说的（Type、Length、Value）子属性，以提供更多的彭胀功能。26号属性的花式如图1-5所示：

·     Vendor-ID，清楚厂商代号，最高字节为0，其余3字节的编码见RFC 1700。H3C公司的Vendor-ID是25506。

·     Vendor-Type，清楚子属性类型。

·     Vendor-Length，清楚子属性长度。

·     Vendor-Data，清楚子属性的内容。

对于H3C RADIUS彭胀属性的先容请参见“1.1.8  2. H3C RADIUS彭胀属性”。

图1-5 26号属性的花式

 

1.1.3  HWTACACS左券简介

HWTACACS（HW Terminal Access Controller Access Control System，HW结尾看望限定器限定系统左券）是在TACACS（RFC 1492）基础上进行了功能增强的安全左券。该左券与RADIUS左券访佛，收受客户端/作事器模式罢了NAS与HWTACACS作事器之间的通讯。

HWTACACS左券主要用于PPP（Point-to-Point Protocol，点对点左券）和VPDN（Virtual Private Dial-up Network，臆造专用拨号相聚）接入用户及结尾用户的认证、授权和计费。其典型应用是对需要登录到NAS勾引上进行操作的结尾用户进行认证、授权以及对结尾用户实施的操作进行纪录。勾引作为HWTACACS的客户端，将用户名和密码发给HWTACACS作事器进行考证，用户考证通过并得到授权之后不错登录到勾引上进行操作，HWTACACS作事器上会纪寄托户对勾引实施过的敕令。

1. HWTACACS左券与RADIUS左券的区别

HWTACACS左券与RADIUS左券齐罢了了认证、授权和计费功能，它们有好多一样点：结构上齐收受客户端/作事器模式；齐使用分享密钥对传输的用户信息进行加密；齐有较好的天真性和可彭胀性。两者之间存在的主要区别如表1-3所示。

表1-3 HWTACACS左券和RADIUS左券区别

HWTACACS左券

RADIUS左券

使用TCP，相聚传输更可靠

使用UDP，相聚传输效力更高

除了HWTACACS报文头，对报文主体全部进行加密

只对认证报文中的密码字段进行加密

左券报文较为复杂，认证和授权分离，使得认证、授权作事不错分离在不同的作事器上罢了。例如，不错用一个HWTACACS作事器进行认证，另外一个HWTACACS作事器进行授权

左券报文比拟简便，认证和授权结合，难以分离

缓助对勾引的设立敕令进行授权使用。用户可使用的敕令行受到用户变装和AAA授权的双重限定，某变装的用户输入的每一条敕令齐需要通过HWTACACS作事器授权，如果授权通过，敕令就不错被实施

不缓助对勾引的设立敕令进行授权使用

用户登录勾引后不错使用的敕令行由用户所具有的变装决定，对于用户变装的关系先容请参见“基础设立领导”中的“RBAC”

 

2. HWTACACS的基本消回绝互经由

底下以Telnet用户为例，说明使用HWTACACS对用户进行认证、授权和计费的过程。基本消回绝互经由图如图1-6所示。

图1-6 Telnet用户认证、授权和计费经由图

 

基本消回绝互经由如下：

(1)     Telnet用户请求登录勾引。

(2)     HWTACACS客户端收到请求之后，向HWTACACS作事器发送认证启动报文。

(3)     HWTACACS作事器发送认证复兴报文，请求用户名。

(4)     HWTACACS客户端收到复兴报文后，向用户商榷用户名。

(5)     用户输入用户名。

(6)     HWTACACS客户端收到用户名后，向HWTACACS作事器发送认证不时报文，其中包括了用户名。

(7)     HWTACACS作事器发送认证复兴报文，请求登录密码。

(8)     HWTACACS客户端收到复兴报文，向用户商榷登录密码。

(9)     用户输入密码。

(10)     HWTACACS客户端收到登录密码后，向HWTACACS作事器发送认证不时报文，其中包括了登录密码。

(11)     如果认证顺利，HWTACACS作事器发送认证复兴报文，指令用户通过认证。

(12)     HWTACACS客户端向HWTACACS作事器发送授权请求报文。

(13)     如果授权顺利，HWTACACS作事器发送授权复兴报文，指令用户通过授权。

(14)     HWTACACS客户端收到授权顺利报文，向用户输出勾引的设立界面，允许用户登录。

(15)     HWTACACS客户端向HWTACACS作事器发送计费启动报文。

(16)     HWTACACS作事器发送计费复兴报文，指令计费启动报文仍是收到。

(17)     用户请求断开贯串。

(18)     HWTACACS客户端向HWTACACS作事器发送计费吊销报文。

(19)     HWTACACS作事器发送计费吊销报文，指令计费吊销报文仍是收到。

1.1.4  LDAP左券简介

LDAP（Lightweight Directory Access Protocol，轻量级目次看望左券）是一种目次看望左券，用于提供跨平台的、基于标准的目次作事。它是在X.500左券的基础上发展起来的，剿袭了X.500的优点，并对X.500在读取、浏览和查询操作方面进行了修订，合适于存储那些时时时改变的数据。

LDAP左券的典型应用是用来保存系统中的用户信息，如Microsoft的Windows操作系统就使用了Active Directory Server（一种LDAP作事器软件）来保存操作系统的用户、用户组等信息，用于用户登录Windows时的认证和授权。

1. LDAP目次作事

LDAP中使用目次纪录并经管系统中的组织信息、东说念主员信息以及资源信息。目次按照树型结构组织，由多个条款（Entry）组成的。条款是具有DN（Distinguished Name，可区笔名）的属性（Attribute）集聚。属性用来承载各式类型的数据信息，例如用户名、密码、邮件、联想机名、运筹帷幄电话等。

LDAP左券基于Client/Server结构提供目次作事功能，所有这个词的目次信息数据存储在LDAP作事器上。面前，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server齐是常用的LDAP作事器软件。

2. 使用LDAP左券进行认证和授权

AAA不错使用LDAP左券对用户提供认证和授权作事。LDAP左券中界说了多种操作来罢了LDAP的各式功能，用于认证和授权的操作东要为绑定和查询。

·     绑定操作的作用有两个：一是与LDAP作事器建立贯串并获取LDAP作事器的看望权限。二是用于搜检用户信息的正当性。

·     查询操作便是构造查询条件，并获取LDAP作事器的目次资源信息的过程。

使用LDAP左券进行认证时，其基本的责任经由如下：

(1)     LDAP客户端使用LDAP作事器经管员DN与LDAP作事器进行绑定，与LDAP作事器建立贯串并取得查询权限。

(2)     LDAP客户端使用认证信息中的用户名构造查询条件，在LDAP作事器指定根目次下查询此用户，得到用户的DN。

(3)     LDAP客户端使用用户DN和用户密码与LDAP作事器进行绑定，搜检用户密码是否正确。

使用LDAP左券进行授权的过程与认证过程一样，着手必须通过与LDAP作事器进行绑定，建立与作事器的贯串，然后在此贯串的基础上通过查询操作得到用户的授权信息。与认证过程稍有不同的是，在查询用户DN时，除大略取得用户DN外，还不错取得用户信息中的授权信息。如果查询用户DN时便大略取得相应的授权信息，则授权过程与认证过程疏导；不然还需要再次以LDAP作事器经管员身份与LDAP作事器进行绑定，并在取得相应的目次查询权限后，使用查询到的用户DN构造查询条件，赓续对该用户的其它授权信息进行查询。

3. LDAP的基本消回绝互经由

底下以Telnet用户登录勾引为例，说明怎样使用LDAP来对用户进行的认证和授权。基本消回绝互经由如图1-7所示。

图1-7 LDAP认证的基本消回绝互经由

 

基本消回绝互经由如下：

(1)     用户发起贯串请求，向LDAP客户端发送用户名和密码。

(2)     LDAP客户端收到请求之后，与LDAP作事器建立TCP贯串。

(3)     LDAP客户端以经管员DN和经管员DN密码为参数向LDAP作事器发送经管员绑定请求报文（Administrator Bind Request）取得查询权限。

(4)     LDAP作事器进行绑定请求报文的处理。如果绑定顺利，则向LDAP客户端发送绑定顺利的复兴报文。

(5)     LDAP客户端以输入的用户名为参数，向LDAP作事器发送用户DN查询请求报文（User DN Search Request）。

(6)     LDAP作事器收到查询请求报文后，字据报文中的查询肇始地址、查询界限、以及过滤条件，对用户DN进行查找。如果查询顺利，则向LDAP客户端发送查询顺利的复兴报文。查询得到的用户DN不错是一或多个。

(7)     LDAP客户端以查询得到的用户DN和用户输入的密码为参数，向LDAP作事器发送用户DN绑定请求报文（User DN Bind Request），搜检用户密码是否正确。

(8)     LDAP作事器进行绑定请求报文的处理。

·     如果绑定顺利，则向LDAP客户端发送绑定顺利的复兴报文。

·     如果绑定失败，则向LDAP客户端发送绑定失败的复兴报文。LDAP客户端以下一个查询到的用户DN（如果存在的话）为参数，赓续向作事器发送绑定请求，直至有一个DN绑定顺利，或者所有这个词DN均绑定失败。如果所有这个词用户DN齐绑定失败，则LDAP客户端陈诉用户登录失败并回绝用户接入。

(9)     LDAP客户端与LDAP作事器进行授权报文的交互。如果需要使用其它有规画（如HWTACACS等）赓续进行授权，则与对应作事器进行授权报文的交互。

(10)     授权顺利之后，LDAP客户端陈诉用户登录顺利。

1.1.5  勾引的AAA罢了 1. 基于域的用户经管

NAS对用户的经管是基于ISP（Internet Service Provider，互联网作事提供者）域的，每个用户齐属于一个ISP域。一般情况下，用户所属的ISP域是由用户登录时提供的用户名决定的，如图1-8所示。

图1-8 用户名决定域名

 

 

为便于对不同接入方式的用户进行区分经管，提供更为风雅且有各异化的认证、授权、计费作事，AAA将用户诀别为以下几个类型：

·     lan-access用户：LAN接入用户，如802.1X认证、MAC地址认证用户。

·     login用户：登录勾引用户，如SSH、Telnet、FTP、结尾接入用户（即从Console口登录的用户）。

·     Portal接入用户。

·     HTTP或HTTPS用户：使用HTTP或HTTPS作事登录勾引的用户。

对于某些接入方式，用户最终所属的ISP域可由该相应的认证模块（例如802.1X）提供敕令行来指定，用于称心一定的用户认证经管政策。

2. 罢了AAA的方法

在具体罢了中，一个ISP域对应着勾引上一套罢了AAA的设立政策，它们是经管员针对该域用户制定的一套认证、授权、计费方法，可字据用户的接入特征以及不同的安全需求组合使用。

AAA缓助以下认证方法：

·     不认证：对用户相等信任，分歧其进行正当性搜检，一般情况下不收受这种方法。

·     土产货认证：认证过程在接入勾引上完成，用户信息（包括用户名、密码和各式属性）设立在接入勾引上。优点是速率快，不错责骂运营老本；污点是存储信息量受勾引硬件条件限定。

·     远端认证：认证过程在接入勾引和远端的作事器之间完成，接入勾引和远端作事器之间通过RADIUS、HWTACACS或LDAP左券通讯。优点是用户信息集聚在作事器上斡旋经管，可罢了大容量、高可靠性、缓助多勾引的集聚式斡旋认证。当远端作事器无效时，可设立备选认证方式完成认证。

AAA缓助以下授权方法：

·     不授权：接入勾引不请求授权信息，分歧用户不错使用的操作以及用户允许使用的相聚作事进行授权。此时，认证通过的login用户只好系统予以的缺省用户变装level-0，其中FTP/SFTP/SCP用户的责任目次是勾引的根目次，但并无看望权限；认证通过的非login用户，可顺利看望相聚。对于用户变装level-0的详备先容请参见“基础设立领导”中的“RBAC”。

·     土产货授权：授权过程在接入勾引上进行，字据接入勾引上为土产货用户设立的关系属性进行授权。

·     远端授权：授权过程在接入勾引和远端作事器之间完成。RADIUS左券的认证和授权是绑定在通盘的，不可单独使用RADIUS进行授权。RADIUS认证顺利后，才智进行授权，RADIUS授权信息佩戴在认证复兴报文中下发给用户。HWTACACS左券的授权与认证相分离，在认证顺利后，HWTACACS授权信息通过授权报文进行交互。当远端作事器无效时，可设立备选授权方式完成授权。

AAA缓助以下计费方法：

·     不计费：分歧用户计费。

·     土产货计费：计费过程在接入勾引上完成，罢了了土产货用户贯串数的统计和限定，并莫得本色的用度统计功能。

·     远端计费：计费过程在接入勾引和远端的作事器之间完成。当远端作事器无效时，可设立备选计费方式完成计费。

除此除外，对于login用户，AAA还不错对其提供以下作事，用于普及对勾引操作的安全性：

·     敕令行授权：用户实施的每一条敕令齐需要接受授权作事器的搜检，只好授权顺利的敕令才被允许实施。对于敕令行授权的详备先容请参考“基础设立领导”中的“登录勾引”。

·     敕令行计费：若未开启敕令行授权功能，则计费作事器对用户实施过的所有这个词灵验敕令进行纪录；若开启了敕令行授权功能，则计费作事器仅对授权通过的敕令进行纪录。对于敕令行计费的详备先容请参考“基础设立领导”中的“登录勾引”。

·     用户变装切换认证：在不退出面前登录、不休开面前贯串的前提下，用户将面前的用户变装切换为其它用户变装时，只好通过作事器的认证，该切换操作才被允许。对于用户变装切换的详备先容请参考“基础设立领导”中的“RBAC”。

1.1.6  AAA缓助MPLS L3VPN

在MPLS L3VPN组网中，要求在私网客户端业务封闭的情况下，罢了对客户端的集聚认证，这就需要AAA缓助基于VPN多实例的报文交互。通过AAA缓助MPLS L3VPN，可罢了RADIUS、HWTACACS认证/授权/计费报文在MPLS L3VPN之间的交互。如图1-9所示，贯串客户端的PE勾引作为NAS，通过MPLS L3VPN把私网客户端的认证/授权/计费信息透传给相聚另一端的私网作事器，罢了了对私网客户端的集聚认证，且各私网的认证报文互不影响。

图1-9 AAA缓助MPLS L3VPN典型组网图

 

 

1.1.7  左券范例

与AAA、RADIUS、HWTACACS、LDAP关系的左券范例有：

·     RFC 2865：Remote Authentication Dial In User Service (RADIUS)

·     RFC 2866：RADIUS Accounting

·     RFC 2867：RADIUS Accounting Modifications for Tunnel Protocol Support

·     RFC 2868：RADIUS Attributes for Tunnel Protocol Support

·     RFC 2869：RADIUS Extensions

·     RFC 5176：Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)

·     RFC 1492：An Access Control Protocol， Sometimes Called TACACS

·     RFC 1777：Lightweight Directory Access Protocol

·     RFC 2251：Lightweight Directory Access Protocol (v3)

1.1.8  RADIUS属性 1. 常用RADIUS标准属性

表1-4 常用RADIUS标准属性

属性编号

属性称号

描绘

1

User-Name

需要进行认证的用户称号

2

User-Password

需要进行PAP方式认证的用户密码，在收受PAP认证方式时，该属性仅出面前Access-Request报文中

3

CHAP-Password

需要进行CHAP方式认证的用户密码的音书摘录。在收受CHAP认证方式时，该属性出面前Access-Request报文中

4

NAS-IP-Address

Server通过不同的IP地址来象征不同的Client，泛泛Client收受土产货一个接口的IP地址来独一的象征我方，这便是NAS-IP-Address。该属性指令面前发起请求的Client的NAS-IP-Address。该字段仅出面前Access-Request报文中

5

NAS-Port

用户接入NAS的物理端标语

6

Service-Type

用户苦求认证的业务类型

7

Framed-Protocol

用户Frame类型业务的封装左券

8

Framed-IP-Address

为用户所设立的IP地址

11

Filter-ID

看望限定列表的称号

12

Framed-MTU

用户与NAS之间数据链路的MTU（Maximum Transmission Unit，最大传输单元）值。例如在802.1X的EAP方式认证中，NAS通过Framed-MTU值指令Server发送EAP报文的最大长度，防护EAP报文大于数据链路MTU导致的报文丢失

14

Login-IP-Host

用户登录勾引的接口IP地址

15

Login-Service

用户登录勾引时收受的业务类型

18

Reply-Message

作事器反馈给用户的纯文本描绘，可用于向用户浮现认证失败的原因

26

Vendor-Specific

厂商自界说的额外属性。一个报文中不错有一个或者多个额外属性，每个额外属性中不错有一个或者多个子属性

27

Session-Timeout

会话吊销之前，给用户提供作事的最大时期，即用户的最大可用时长

28

Idle-Timeout

会话吊销之前，允许用户不时稳定的最大时期，即用户的限定堵截时期

31

Calling-Station-Id

NAS用于向Server见告象征用户的号码，在我司勾引提供的lan-access业务中，该字段填充的是用户的MAC地址，收受的“HHHH-HHHH-HHHH”花式封装

32

NAS-Identifier

NAS用来向Server象征我方的称号

40

Acct-Status-Type

计费请求报文的类型

·     1：Start

·     2：Stop

·     3：Interim-Update

·     4：Reset-Charge

·     7：Accounting-On（3GPP中有界说）

·     8：Accounting-Off （3GPP中有界说）

·     9-14：Reserved for Tunnel Accounting

·     15：Reserved for Failed

45

Acct-Authentic

用户收受的认证方式，包括RADIUS，Local以及Remote

60

CHAP-Challenge

在CHAP认证中，由NAS生成的用于MD5联想的随即序列

61

NAS-Port-Type

NAS认证用户的端口的物理类型

·     15：以太网

·     16：所有这个词种类的ADSL

·     17：Cable（有线电视电缆）

·     19：WLAN-IEEE 802.11

·     201：VLAN

·     202：ATM

如果在ATM或以太网端口上还诀别VLAN，则该属性值为201

79

EAP-Message

用于封装EAP报文，罢了RADIUS左券对EAP认证方式的缓助

80

Message-Authenticator

用于对认证报文进行认证和校验，防护违警报文骗取。该属性在RADIUS左券缓助EAP认证方式被使用

87

NAS-Port-Id

用字符串来描绘的认证端口信息

 

2. H3C RADIUS彭胀属性

表1-5 H3C RADIUS彭胀属性

子属性编号

子属性称号

描绘

1

Input-Peak-Rate

用户接入到NAS的峰值速率，以bps为单元

2

Input-Average-Rate

用户接入到NAS的平均速率，以bps为单元

3

Input-Basic-Rate

用户接入到NAS的基本速率，以bps为单元

4

Output-Peak-Rate

从NAS到用户的峰值速率，以bps为单元

5

Output-Average-Rate

从NAS到用户的平均速率，以bps为单元

6

Output-Basic-Rate

从NAS到用户的基本速率，以bps为单元

15

Remanent_Volume

清楚该贯串的剩余可用总流量。对于不同的作事器类型，此属性的单元不同

20

Command

用于会话限定，清楚对会话进行操作，此属性有五种取值

·     1：Trigger-Request

·     2：Terminate-Request

·     3：SetPolicy

·     4：Result

·     5：PortalClear

24

Control_Identifier

作事器重发报文的象征符，对于消亡会话中的重发报文，本属性必须疏导。不同的会话的报文佩戴的该属性值可能疏导。相应的客户端反应报文必须佩戴该属性，其值不变

在启动、罢手或中间上报流量的Accounting-Request报文中，若带有Control_Identifier属性，此时的Control_Identifier属性无本色真理

25

Result_Code

清楚Trigger-Request或SetPolicy的吊销，0清楚顺利，非0清楚失败

26

Connect_ID

用户贯串索引

28

Ftp_Directory

FTP/SFTP/SCP用户责任目次

对于FTP/SFTP/SCP用户，当RADIUS客户端作为FTP/SFTP/SCP作事器时，该属性用于竖立RADIUS客户端上的FTP/SFTP/SCP目次

29

Exec_Privilege

EXEC用户优先级

59

NAS_Startup_Timestamp

NAS系统启动时刻，以秒为单元，清楚从1970年1月1日UTC 00:00:00以来的秒数

60

Ip_Host_Addr

认证请乞降计费请求报文中佩戴的用户IP地址和MAC地址，花式为“A.B.C.D hh:hh:hh:hh:hh:hh”，IP地址和MAC地址之间以空格分开

61

User_Notify

作事器需要透传到客户端的信息

62

User_HeartBeat

802.1X用户认证顺利后下发的32字节的Hash字符串，该属性值被保存在勾引的用户列表中，用于校验802.1X客户端的合手手报文

该属性仅出面前Access-Accept和Accounting-Request报文中

140

User_Group

SSL VPN用户认证顺利后下发的用户组，一个用户不错属于多个用户组，多个用户组之间使用分号格开。本属性用于与SSL VPN勾引投合

141

Security_Level

SSL VPN用户安全认证之后下发的安全级别

201

Input-Interval-Octets

两次实时计费拆开的输入的字节差，以Byte为单元

202

Output-Interval-Octets

两次实时计费拆开的输出的字节差，以Byte为单元

203

Input-Interval-Packets

两次计费拆开的输入的包数，单元由勾引上的设立决定

204

Output-Interval-Packets

两次计费拆开的输出的包数，单元由勾引上的设立决定

205

Input-Interval-Gigawords

两次计费拆开的输入的字节差是4G字节的些许倍

206

Output-Interval-Gigawords

两次计费拆开的输出的字节差是4G字节的些许倍

207

Backup-NAS-IP

NAS发送RADIUS报文的备份源IP地址

255

Product_ID

居品称号

 

1.2  AAA设立想路及设立任务简介

在作为AAA客户端的接入勾引（罢了NAS功能的相聚勾引）上，AAA的基本设立想路如下：

(1)     设立AAA有规画：字据不同的组网环境，设立相应的AAA有规画。

·     土产货认证：由NAS自己对用户进行认证、授权和计费。需要设立土产货用户，即local user的关系属性，包括手动添加用户的用户名和密码等。

·     汉典认证：由汉典AAA作事器来对用户进行认证、授权和计费。需要设立RADIUS、HWTACACS或LDAP有规画。

(2)     设立罢了AAA的方法：在用户所属的ISP域均分别指定罢了认证、授权、计费的方法。其中，汉典认证、授权、计费方法中均需要援用仍是设立的RADIUS、HWTACACS或LDAP有规画。

·     认证方法：可选用不认证（none）、土产货认证（local）或汉典认证（scheme）；

·     授权方法：可选用不授权（none）、土产货授权（local）或汉典授权（scheme）；

·     计费方法：可选用不计费（none）、土产货计费（local）或汉典计费（scheme）。

图1-10 AAA基本设立想路经由图

 

表1-6 AAA设立任务简介

设立任务

说明

详备设立

设立AAA有规画

设立土产货用户

四者至少选其一

1.3.1 

设立RADIUS有规画

1.3.2 

设立HWTACACS有规画

1.3.3 

设立LDAP有规画

1.3.4 

在ISP域中设立罢了AAA的方法

创建ISP域

必选

1.4.2 

设立ISP域的属性

可选

1.4.3 

设立ISP域的AAA认证方法

三者至少选其一

1.4.4 

设立ISP域的AAA授权方法

1.4.5 

设立ISP域的AAA计费方法

1.4.6 

设立RADIUS session control功能

可选

1.5 

设立RADIUS DAE作事器

可选

1.6 

限定同期在线的最大用户贯串数

可选

1.7 

设立NAS-ID与VLAN的绑定

可选

1.8 

 

1.3  设立AAA有规画 1.3.1  设立土产货用户

当选用使用土产货认证、土产货授权、土产货计费方法对用户进行认证、授权或计费时，应在勾引上创建土产货用户并设立关系属性。

所谓土产货用户，是指在土产货勾引上竖立的一组用户属性的集聚。该集聚以用户名和用户类别为用户的独一象征。土产货用户分为两类，一类是勾引经管用户；另一类是相聚接入用户。勾引经管用户供勾引经管员登录勾引使用，相聚接入用户供通过勾引看望相聚作事的用户使用。为使某个请求相聚作事的用户不错通过土产货认证，需要在勾引上的土产货用户数据库中添加相应的表项。具体要领是，创建一个土产货用户并插足土产货用户视图，然后在土产货用户视图下设立相应的用户属性，可设立的用户属性包括：

·     描绘信息

·     作事类型

用户可使用的相聚作事类型。该属性是土产货认证的检测项，如果莫得用户不错使用的作事类型，则该用户无法通过认证。

缓助的作事类型包括：FTP、HTTP、HTTPS、lan-access、Portal、SSH、Telnet、Terminal。

·     用户现象

包括active和block两种现象。active清楚允许该用户请求相聚作事，block清楚系统封闭该用户进行新的认证、授权、计费请求，可是不错摄取仍是顺利计用度户的罢手计费请求。

·     最大用户数

使用面前用户名接入勾引的最大用户数量。若面前该用户名的接入用户数已达最大值，则使用该用户名的新用户将被封闭接入。

·     所属的用户组

每一个土产货用户齐属于一个土产货用户组，并剿袭组中的所有这个词属性（密码经管属性和用户授权属性）。对于土产货用户组的先容和设立请参见“1.3.1  2. 设立用户组属性”。

·     绑定属性

用户认证时需要检测的属性，用于限定接入用户的界限。若用户的本色属性与竖立的绑定属性不匹配，则不可通过认证，因此在设立绑定属性时要探究该用户是否需要绑定某些属性。可绑定的属性包括：用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。各属性的使用及缓助情况请见表1-8。

·     用户授权属性

用户认证通事后，接入勾引给用户下发授权属性。缓助的授权属性请见表1-8。由于可设立的授权属性齐有其明确的使用环境和用途，因此设立授权属性时要探究该用户是否需要某些属性。

土产货用户的授权属性在用户组和土产货用户视图下齐不错设立，且土产货用户视图下的设立优先级高于用户组视图下的设立。用户组的设立对组内所有这个词土产货用户顺利。

·     密码经管属性

用户密码的安全属性，可用于对勾引经管类土产货用户的认证密码进行经管和限定。可竖立的政策包括：密码老化时期、密码最小长度、密码组合政策、密码复杂度搜检政策和用户登录尝试次数限定政策。

土产货用户的密码经管属性在系统视图（具有全局性）、用户组视图和土产货用户视图下齐不错设立，其顺利的优先级法例由高到底瓜代为土产货用户、用户组、全局。全局设立对所有这个词土产货用户顺利，用户组的设立对组内所有这个词土产货用户顺利。关系密码经管以及全局密码设立的详备先容请参见“安全设立领导”中的“Password Control”。

·     灵验期

相聚接入类土产货用户在灵验期内才智认证顺利。

表1-7 设立任务简介

设立任务

说明

详备设立

设立土产货用户属性

必选

1.3.1  1.

设立用户组属性

可选

1.3.1  2.

设立土产货用户自动删除功能

可选

1.3.1  3.

土产货用户及土产货用户组浮现与齰舌

可选

1.3.1  4.

 

1. 设立土产货用户属性

设立土产货用户属性时，有以下设立限定和领导：

·     使能全局密码经管功能（通过敕令password-control enable）后，勾引上将不浮现设立的土产货用户密码。

·     授权属性和密码限定属性均不错在土产货用户视图和用户组视图下设立，各视图下的设立优先级法例从高到底瓜代为：土产货用户视图-->用户组视图。

·     在绑定接口属性时要探究绑定接口类型是否合理。对于不同接入类型的用户，请按照如下方式进行绑定接口属性的设立：

¡     802.1X用户：设立绑定的接口为使能802.1X的二层以太网接口；

¡     MAC地址认证用户：设立绑定的接口为使能MAC地址认证的二层以太网接口；

¡     Portal用户：若使能Portal的接口为VLAN接口，且莫得通过portal roaming enable敕令设立Portal用户漫游功能，则设立绑定的接口为用户本色接入的二层以太网接口；其它情况下，设立绑定的接口均为使能Portal的接口。

表1-8 设立土产货用户的属性

操作

敕令

说明

国内自拍2019在线

插足系统视图

system-view

-

添加土产货用户，并插足土产货用户视图

local-user user-name [ class { manage | network } ]

缺省情况下，不存在土产货用户

（可选）竖立土产货用户的密码

对于相聚接入类（network）土产货用户

password { cipher | simple } password

相聚接入类用户的密码将在加密运算后以密文的方式保存到设立文献中

勾引经管类用户的密码将在哈希联想后以密文的方式保存到设立文献中

若不竖立密码，则土产货用户认证时无需输入密码，只须用户名灵验且其它属性考证通过即可认证顺利，因此为普及用户帐户的安全性，提出竖立土产货用户密码

对于勾引经管类（manage）土产货用户

非FIPS模式下：

password [ { hash | simple } password ]

FIPS模式下：

password

竖立土产货用户不错使用的作事类型

对于相聚接入类（network）土产货用户

service-type { lan-access | portal }

缺省情况下，土产货用户不可使用任何作事类型

对于勾引经管类（manage）土产货用户

非FIPS模式下：

service-type { ftp | { http | https | ssh | telnet | terminal } * }

FIPS模式下：

service-type { https | ssh | terminal } *

（可选）竖立土产货用户的描绘信息

description text

缺省情况下，未设立土产货用户的描绘信息

仅相聚接入类土产货用户缓助

（可选）竖立土产货用户的现象

state { active | block }

缺省情况下，当一个土产货用户被创建以后，其现象为active，允许该用户请求相聚作事

（可选）竖立使用面前土产货用户名接入勾引的最大用户数

access-limit max-user-number

缺省情况下，不限定使用面前土产货用户名接入的用户数

由于FTP/SFTP/SCP用户不缓助计费，因此FTP/SFTP/SCP用户不受此属性限定

（可选）竖立土产货用户的绑定属性

bind-attribute { ip ip-address | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *

缺省情况下，未竖立土产货用户的任何绑定属性

·     绑定属性ip仅适用于lan-access类型中的802.1X用户；

·     绑定属性location、mac和vlan仅适用于lan-access和Portal类型的用户

（可选）竖立土产货用户的授权属性

authorization-attribute { acl acl-number | idle-cut minute | user-profile profile-name | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | user-role role-name | vlan vlan-id | work-directory directory-name } *

缺省情况下，授权FTP/SFTP/SCP用户不错看望的目次为勾引的根目次，但无看望权限。由用户变装为network-admin或者level-15的用户创建的土产货用户被授权用户变装network-operator

（可选）竖立勾引经管类土产货用户的密码经管属性

密码老化时期

password-control aging aging-time

缺省情况下，收受土产货用户所属用户组的密码经管政策

仅勾引经管类的土产货用户缓助土产货用户密码经管功能

密码最小长度

password-control length length

密码组合政策

password-control composition type-number type-number [ type-length type-length ]

密码的复杂度搜检政策

password-control complexity { same-character | user-name } check

用户登录尝试次数以及登录尝试失败后的活动

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

（可选）竖立土产货用户所属的用户组

group group-name

缺省情况下，土产货用户属于系统默许创建的用户组system

（可选）竖立土产货用户的灵验期

validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }

缺省情况下，未限定土产货用户的灵验期，该用户永久灵验

仅相聚接入类土产货用户缓助

 

2. 设立用户组属性

为了简化土产货用户的设立，增强土产货用户的可经管性，引入了用户组的见解。用户组是一个土产货用户属性的集聚，某些需要集聚经管的属性可在用户组中斡旋设立和经管，用户组内的所有这个词土产货用户齐不错剿袭这些属性。面前，用户组中不错经管的用户属性为授权属性。

每个新增的土产货用户齐默许属于一个系统自动创建的用户组system，且剿袭该组的所有这个词属性。土产货用户所属的用户组不错通过土产货用户视图下的group敕令来修改。

表1-9 设立用户组的属性

操作

敕令

说明

插足系统视图

system-view

-

创建用户组，并插足用户组视图

user-group group-name

缺省情况下，存在一个称号为system的用户组

竖立用户组的授权属性

authorization-attribute { acl acl-number | idle-cut minute | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | user-profile profile-name | vlan vlan-id | work-directory directory-name } *

缺省情况下，未竖立用户组的授权属性

（可选）竖立用户组的密码经管属性

密码老化时期

password-control aging aging-time

缺省情况下，收受全局密码经管政策

全局密码经管政策的关系设立请参见“安全设立领导”中的“Password Control”

密码最小长度

password-control length length

密码组合政策

password-control composition type-number type-number [ type-length type-length ]

密码的复杂度搜检政策

password-control complexity { same-character | user-name } check

用户登录尝试次数以及登录尝试失败后的活动

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

 

3. 设立土产货用户逾期自动删除功能

开启土产货用户逾期自动删除功能之后，勾引将定时（10分钟，不可配）搜检相聚接入类土产货用户是否逾期并自动删除逾期的土产货用户。

表1-10 设立土产货用户逾期自动删除功能

操作

敕令

说明

插足系统视图

system-view

-

开启土产货用户逾期自动删除功能

local-user auto-delete enable

缺省情况下，土产货用户逾期自动删除功能处于关闭现象

 

4. 土产货用户及土产货用户组浮现与齰舌

完成上述设立后，在职意视图下实施display敕令不错浮现设立后土产货用户及土产货用户组的运行情况，通过查察浮现信息考证设立的成果。

表1-11 土产货用户及土产货用户组浮现和齰舌

操作

敕令

浮现土产货用户的设立信息和在线用户数的统计信息

display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | http | https | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]

浮现土产货用户组的关系设立

display user-group [ group-name ]

 

1.3.2  设立RADIUS有规画

RADIUS有规画中界说了勾引和RADIUS作事器之间进行信回绝互所必需的一些参数，主要包括RADIUS作事器的IP地址、UDP端标语、报文分享密钥、作事类型等。

1. RADIUS设立任务简介

表1-12 RADIUS设立任务简介

设立任务

说明

详备设立

设立RADIUS作事器探伤模板

可选

1.3.2  2.

创建RADIUS有规画

必选

1.3.2  3.

设立RADIUS认证作事器

必选

1.3.2  4.

设立RADIUS计费作事器及关系参数

可选

1.3.2  5.

设立RADIUS报文的分享密钥

可选

1.3.2  6.

设立RADIUS有规画所属的VPN

可选

1.3.2  7.

设立发送给RADIUS作事器的用户名花式和数据统计单元

可选

1.3.2  8.

设立发送RADIUS报文的最大尝试次数

可选

1.3.2  9.

设立RADIUS作事器的现象

可选

1.3.2  10.

设立RADIUS作事器负载分管功能

可选

1.3.2  11.

设立发送RADIUS报文使用的源地址

可选

1.3.2  12.

设立RADIUS作事器的定时器

可选

1.3.2  13.

设立RADIUS的accounting-on功能

可选

1.3.2  14.

设立RADIUS作事器安全政策作事器的IP地址

可选

1.3.2  15.

设立RADIUS Attribute 15的搜检方式

可选

1.3.2  16.

设立RADIUS的Trap功能

可选

1.3.2  17.

RADIUS浮现和齰舌

可选

1.3.2  18.

 

2. 设立RADIUS作事器探伤模板

RADIUS作事器探伤功能是指，勾引周期性发送探伤报文探伤RADIUS作事器是否可达：如果作事器不可达，则置作事器现象为block，如果作事器可达，则置作事器现象为active。该探伤功能不依赖于本色用户的认证过程，不管是否有用户向RADIUS作事器发起认证，不管是否有用户在线，勾引齐会自动对指定的RADIUS作事器进行探伤，便于实时取得该作事器的可达现象。

RADIUS作事器探伤模板用于设立探伤用户名、密码以及探伤周期，况且不错被RADIUS有规画视图下的RADIUS作事器设立援用。只好一个RADIUS作事器设立中顺利援用了一个仍是存在的作事器探伤模板，勾引才会启动对该RADIUS作事器的探伤功能。

RADIUS作事器探伤报文是一种模拟的认证请求报文，作事器探伤模板中设立的探伤用户名和密码即为该探伤报文中的认证用户名和密码。勾引会在设立的探伤周期内选用随即时期点向援用了作事器探伤模板的RADIUS作事器发送探伤报文，且每次收到的探伤应付音书仅能说明面前探伤周期内该RADIUS作事器可达。作事器探伤功能启动后，周期性的探伤过程会一直实施，直到关系的设立发生变化（包括：删除该RADIUS作事器设立、取消对作事器探伤模板的援用、删除对应的作事器探伤模板、将该RADIUS作事器的现象手工置为block、删除面前RADIUS有规画）。

表1-13 设立RADIUS作事器探伤模板

操作

敕令

说明

插足系统视图

system-view

-

设立RADIUS作事器探伤模板

radius-server test-profile profile-name username name [ password { cipher | simple } string ] [ interval interval ]

缺省情况下，不存在RADIUS作事器探伤模板

系统缓助最多同期存在多个RADIUS作事器探伤模板

 

3. 创建RADIUS有规画

在进行RADIUS的其它设立之前，必须先创建RADIUS有规画并插足其视图。系统最多缓助设立16个RADIUS有规画。一个RADIUS有规画不错同期被多个ISP域援用。

表1-14 创建RADIUS有规画

操作

敕令

说明

插足系统视图

system-view

-

创建RADIUS有规画，并插足RADIUS有规画视图

radius scheme radius-scheme-name

·     空设立启动时，使用软件功能缺省值，未界说RADIUS有规画

·     缺省设立启动时，使用软件功能出厂值，存在一个称号为system的RADIUS有规画

对于空设立启动和缺省设立启动，请参见“基础设立领导”中的“设立文献经管”

 

4. 设立RADIUS认证作事器

由于RADIUS作事器的授权信息是随认证应付报文发送给RADIUS客户端的，RADIUS的认证和授权功能由消亡台作事器罢了，因此RADIUS认证作事器很是于RADIUS认证/授权作事器。通过在RADIUS有规画中设立RADIUS认证作事器，指定勾引对用户进行RADIUS认证时与哪些作事器进行通讯。

一个RADIUS有规画中最多允许设立一个主认证作事器和16个从认证作事器。当主作事器不可达时，勾引字据从作事器的设立法例由先到后查找现象为active的从作事器并与之交互。

开启作事器负载分管功能后，勾引会字据各作事器的权重以及作事器承载的用户负荷，按比例进行用户负荷分拨并选用要交互的作事器。

提出在不需要备份的情况下，只设立主RADIUS认证作事器即可。

在本色组网环境中，不错指定一台作事器既作为某个RADIUS有规画的主认证作事器，又作为另一个RADIUS有规画的从认证作事器。

若作事器位于MPLS VPN私网中，通过主机名方式指定RADIUS作事器时，为保证RADIUS报文被发送到指定的私网作事器，需要在勾引上通过ip host（或ipv6 host）敕令为该VPN设立主机名和IPv4（或IPv6）地址的对应关系；或通过dns server（或ipv6 dns server）敕令为该VPN设立域名作事器的地址。关系ip host、ipv6 host、dns server、ipv6 dns server敕令的详备先容请参见“三层本事-IP业务敕令参考”中的“域名融会”。

表1-15 设立RADIUS认证作事器

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

设立主RADIUS认证作事器

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *

二者至少选其一

缺省情况下，未设立主认证作事器和从认证作事器

在消亡个有规画中指定的主认证作事器和从认证作事器的主机名、IP地址、端标语和VPN参数不可十足疏导，况且各从认证作事器的主机名、IP地址、端标语和VPN参数也不可十足疏导

仅在RADIUS作事器负载分管功能处于开启现象下，参数weight才智顺利

设立从RADIUS认证作事器

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *

 

5. 设立RADIUS计费作事器及关系参数

通过在RADIUS有规画中设立RADIUS计费作事器，指定勾引对用户进行RADIUS计费时与哪些作事器进行通讯。

一个RADIUS有规画中最多允许设立一个主计费作事器和16个从计费作事器。当主作事器不可达时，勾引字据从作事器的设立法例由先到后查找现象为active的从作事器并与之交互。

开启作事器负载分管功能后，勾引会字据各作事器的权重以及作事器承载的用户负荷，按比例进行用户负荷分拨并选用要交互的作事器。

提出在不需要备份的情况下，只设立主RADIUS计费作事器即可。

在本色组网环境中，不错指定一台作事器既作为某个RADIUS有规画的主计费作事器，又作为另一个RADIUS有规画的从计费作事器。

通过在勾引上设立发起实时计费请求的最大尝试次数，允许勾引向RADIUS作事器发出的实时计费请求莫得得到反应的次数向上指定的最大值时堵截用户贯串。当用户请求断开贯串或者勾引强行堵截用户贯串的情况下，勾引会向RADIUS计费作事器发起罢手计费请求。为了使得勾引尽量与RADIUS作事器同步堵截用户贯串，不错开启对无反应的RADIUS罢手计费报文缓存功能，将罢手计费报文缓存在本机上，然后屡次尝试向作事器发起罢手计费请求。如果在发起罢手计费请求的尝试次数达到指定的最大值后勾引仍然莫得收到反应，则将其从缓存中删除。

面前RADIUS不缓助对FTP/SFTP/SCP用户进行计费。

若作事器位于MPLS VPN私网中，通过主机名方式指定RADIUS作事器时，为保证RADIUS报文被发送到指定的私网作事器，需要在勾引上通过ip host（或ipv6 host）敕令为该VPN设立主机名和IPv4（或IPv6）地址的对应关系；或通过dns server（或ipv6 dns server）敕令为该VPN设立域名作事器的地址。关系ip host、ipv6 host、dns server、ipv6 dns server敕令的详备先容请参见“三层本事-IP业务敕令参考”中的“域名融会”。

表1-16 设立RADIUS计费作事器及关系参数

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

设立主RADIUS计费作事器

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *

二者至少选其一

缺省情况下，未设立主/从计费作事器

在消亡个有规画中指定的主计费作事器和从计费作事器的主机名、IP地址、端标语和VPN参数不可十足疏导，况且各从计费作事器的主机名、IP地址、端标语和VPN参数也不可十足疏导

仅在RADIUS作事器负载分管功能处于开启现象下，参数weight才智顺利

设立从RADIUS计费作事器

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *

（可选）竖立允许发起实时计费请求的最大尝试次数

retry realtime-accounting retry-times

缺省情况下，允许发起实时计费请求的最大尝试次数为5

（可选）开启对无反应的RADIUS罢手计费请求报文的缓存功能

stop-accounting-buffer enable

缺省情况下，勾引缓存未得到反应的RADIUS罢手计费请求报文

（可选）竖立发起RADIUS罢手计费请求的最大尝试次数

retry stop-accounting retries

缺省情况下，发起RADIUS罢手计费请求的最大尝试次数为500

 

6. 设立RADIUS报文的分享密钥

RADIUS客户端与RADIUS作事器使用MD5算法并在分享密钥的参与下生成考证字，接受方字据收到报文中的考证字来判断对方报文的正当性。只好在分享密钥一致的情况下，互相才智摄取对方发来的报文并作出反应。

由于勾引优先收受设立RADIUS认证/计费作事器时指定的报文分享密钥，因此，本设立中指定的RADIUS报文分享密钥仅在设立RADIUS认证/计费作事器时未指定相应密钥的情况下使用。

表1-17 设立RADIUS报文的分享密钥

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

设立RADIUS报文的分享密钥

key { accounting | authentication } { cipher | simple } string

缺省情况下，无分享密钥

必须保证勾引上竖立的分享密钥与RADIUS作事器上的十足一致

 

7. 设立RADIUS有规画所属的VPN

该设立用于为RADIUS有规画下的所有这个词RADIUS作事器斡旋指定所属的VPN。RADIUS作事器所属的VPN也不错在设立RADIUS作事器的时候单独指定，且被优先使用。未单独指定所属VPN的作事器，则属于所在RADIUS有规画所属的VPN。

表1-18 设立RADIUS有规画所属的VPN

表1-19 操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

设立RADIUS有规画所属的VPN

vpn-instance vpn-instance-name

缺省情况下，RADIUS有规画属于公网

 

8. 设立发送给RADIUS作事器的用户名花式和数据统计单元

接入用户泛泛以“userid@isp-name”的花式定名，“@”后头的部分为ISP域名，勾引通过该域名决定将用户归于哪个ISP域。由于有些较早期的RADIUS作事器不可接受佩戴有ISP域名的用户名，因此就需要勾引着手将用户名中佩戴的ISP域名去除后再传送给该类RADIUS作事器。通过竖立发送给RADIUS作事器的用户名花式，就不错选用发送RADIUS作事器的用户名中是否要佩戴ISP域名，以及是否保持用户输入的原始用户名花式。

勾引通过发送计费报文，向RADIUS作事器推崇在线用户的数据流量统计值，该值的单元可配，为保证RADIUS作事器计费的准确性，勾引上竖立的发送给RADIUS作事器的数据流或者数据包的单元应与RADUIS作事器上的流量统计单元保持一致。

需要扎眼的是，如果要在两个乃至两个以上的ISP域中援用疏导的RADIUS有规画，提出竖立该RADIUS有规画允许用户名中佩戴ISP域名，使得RADIUS作事器端不错字据ISP域名来区分不同的用户。

表1-20 设立发送给RADIUS作事器用户名花式和数据统计单元

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

竖立发送给RADIUS作事器的用户名花式

user-name-format { keep-original | with-domain | without-domain }

·     空设立启动时，使用软件功能缺省值，勾引发送给RADIUS作事器的用户名佩戴有ISP域名

·     缺省设立启动时，使用软件功能出厂值，存在一个称号为system的RADIUS有规画，该有规画中勾引发送给RADIUS作事器的用户名不佩戴有ISP域名

对于空设立启动和缺省设立启动，请参见“基础设立领导”中的“设立文献经管”

（可选）竖立发送给RADIUS作事器的数据流或者数据包的单元

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

缺省情况下，数据流的单元为byte，数据包的单元为one-packet

 

9. 设立发送RADIUS报文的最大尝试次数

由于RADIUS左券收受UDP报文来承载数据，因此其通讯过程是不可靠的。如果勾引在应付超时定时器章程的时长内（由timer response-timeout敕令设立）莫得收到RADIUS作事器的反应，则勾引有必要向RADIUS作事器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数已达到指定的最大尝试次数而RADIUS作事器仍旧莫得反应，则勾引将尝试与其它作事器通讯，如果不存在现象为active的作事器，则以为本次认证或计费失败。对于RADIUS作事器现象的关系内容，请参见“1.3.2  10. 设立RADIUS作事器的现象”。

表1-21 设立发送RADIUS报文的最大尝试次数

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

竖立发送RADIUS报文的最大尝试次数

retry retry-times

缺省情况下，发送RADIUS报文的最大尝试次数为3次

 

10. 设立RADIUS作事器的现象

RADIUS有规画中各作事器的现象（active、block）决定了勾引向哪个作事器发送请求报文，以及勾引在与面前作事器通讯中断的情况下，怎样转而与另外一个作事器进行交互。在本色组网环境中，可指定一个主RADIUS作事器和多个从RADIUS作事器，由从作事器作为主作事器的备份。当RADIUS作事器负载分管功能处于开启现象时，勾引仅字据面前各作事器承载的用户负荷调遣现象为active的作事器发送认证或计费请求。当RADIUS作事器负载分管功能处于关闭现象时，勾引上主从作事器的切换坚信以下原则：

·     当主作事器现象为active时，勾引着手尝试与主作事器通讯，若主作事器不可达，勾引改换主作事器的现象为block，并启动该作事器的quiet定时器，然后按照从作事器的设立先后法例瓜代查找现象为active的从作事器进行认证或者计费。如果现象为active的从作事器也不可达，则将该从作事器的现象置为block，同期启动该作事器的quiet定时器，并赓续查找现象为active的从作事器。作为事器的quiet定时器超时，或者手动将作事器现象置为active时，该作事器将复原为active现象。在一次认证或计费过程中，如果勾引在尝试与从作事器通讯时，之前仍是查找过的作事器现象由block复原为active，则勾引并不会立即复原与该作事器的通讯，而是赓续查找从作事器。如果所有这个词已设立的作事器齐不可达，则以为本次认证或计费失败。

·     如果在认证或计费过程中删除了面前正在使用的作事器，则勾引在与该作事器通讯超时后，将会立即从主作事器启动瓜代查找现象为active的作事器并与之进行通讯。

·     当主/从作事器的现象均为block时，勾引尝试与主作事器进行通讯。

·     只须存在现象为active的作事器，勾引就仅与现象为active的作事器通讯，即使该作事器不可达，勾引也不会尝试与现象为block的作事器通讯。

·     一朝作事器现象称心自动切换的条件，则所有这个词RADIUS有规画视图下该作事器的现象齐会相应地变化。

缺省情况下，勾引将设立了IP地址的各RADIUS作事器的现象均置为active，以为所有这个词的作事器均处于正常责任现象，但有些情况下用户可能需要通过以下设立手工改变RADIUS作事器确面前现象。例如，已知某作事器故障，为幸免勾引以为其active而进行无真理的尝试，可暂时将该作事器现象手工置为block。

表1-22 设立RADIUS作事器的现象

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

竖立主RADIUS认证作事器的现象

state primary authentication { active | block }

四者可选其一

缺省情况下，RADIUS有规画中设立的RADIUS作事器的现象均为active

竖立的作事器现象不可被保存在设立文献中，可通过display radius scheme敕令查察。勾引重启后，各作事器现象将复原为缺省现象active

竖立主RADIUS计费作事器的现象

state primary accounting { active | block }

竖立从RADIUS认证作事器的现象

state secondary authentication  [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }

竖立从RADIUS计费作事器的现象

state secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }

 

11. 设立RADIUS作事器负载分管功能

缺省情况下，RADIUS作事器的调遣收受主/从模式，即勾引优先与主作事器交互，当主作事器不可达时，勾引字据从作事器的设立法例由先到后查找现象为active的从作事器并与之交互。

RADIUS有规画中开启了作事器负载分管功能后，勾引会字据各作事器的权重以及作事器承载的用户负荷，按比例进行用户负荷分拨并选用要交互的作事器。

需要扎眼的是，负载分管模式下，某台计费作事器启动对某用户计费后，该用户后续计费请求报文均会发往消亡计费作事器。如果该计费作事器不可达，则顺利复返计费失败。

表1-23 设立RADIUS作事器负载分管功能

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

开启RADIUS作事器负载分管功能

algorithm loading-share enable

缺省情况下，RADIUS作事器负载分管功能处于关闭现象

 

12. 设立发送RADIUS报文使用的源地址

RADIUS作事器上通过IP地址来象征接入勾引，并字据收到的RADIUS报文的源IP地址是否与作事器所经管的接入勾引的IP地址匹配，来决定是否处理来自该接入勾引的认证或计费请求。若RADIUS作事器收到的RADIUS认证或计费报文的源地址在所经管的接入勾引IP地址界限内，则会进行后续的认证或计费处理，不然顺利丢弃该报文。因此，为保证认证和计费报文可被作事器正常摄取并处理，接入勾引上发送RADIUS报文使用的源地址必须与RADIUS作事器上指定的接入勾引的IP地址保持一致。

泛泛，该地址为接入勾引上与RADIUS作事器路由可达的接口IP地址，但在一些特殊的组网环境中，例如在接入勾引使用VRRP（Virtual Router Redundancy Protocol，臆造路由器冗余左券）进行双机热备应用时，不错将该地址指定为VRRP上行链路所在备份组的臆造IP地址。

勾引发送RADIUS报文时，字据以下法例查找使用的源地址：

(1)     若面前所使用的RADIUS有规画中设立了发送RADIUS报文使用源地址，则使用该地址。

(2)     不然，字据面前使用的作事器所属的VPN查找系统视图下通过radius nas-ip敕令设立的私网源地址，对于公网作事器则顺利查找该敕令设立的公网源地址。

(3)     若系统视图下莫得设立相应的源地址，则使用通过路由查找到的报文出接口地址。

此设立不错在系统视图和RADIUS有规画视图下进行，系统视图下的设立将对所有这个词RADIUS有规画顺利，RADIUS有规画视图下的设立仅对本有规画灵验，况且具有高于前者的优先级。

表1-24 为所有这个词RADIUS有规画设立发送RADIUS报文使用的源地址

操作

敕令

说明

插足系统视图

system-view

-

竖立勾引发送RADIUS报文使用的源地址

radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

缺省情况下，未指定源地址，即以发送报文的接口地址作为源地址

 

表1-25 为RADIUS有规画设立发送RADIUS报文使用的源地址

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

竖立勾引发送RADIUS报文使用的源地址

nas-ip { ipv4-address | ipv6 ipv6-address }

缺省情况下，使用系统视图下由敕令radius nas-ip指定的源地址，若系统视图下未指定源地址，则使用发送RADIUS报文的接口地址

 

13. 设立RADIUS作事器的定时器

在与RADIUS作事器交互的过程中，勾引上可启动的定时器包括以下几种：

·     作事器反应超时定时器（response-timeout）：如果在RADIUS请求报文发送出去一段时期后，勾引还莫得得到RADIUS作事器的反应，则有必要重传RADIUS请求报文，以保证用户尽可能地取得RADIUS作事，这段时期被称为RADIUS作事器反应超时时期。

·     作事器复原激活现象定时器（quiet）：作为事器不可达时，勾引将该作事器的现象置为block，并开启超时定时器，在设定的一定时期拆开之后，再将该作事器的现象复原为active。这段时期被称为RADIUS作事器复原激活现象时长。

·     实时计费拆开定时器（realtime-accounting）：为了对用户实施实时计费，有必要依期向作事器发送实时计费更新报文，通过竖立实时计费的时期拆开，勾引会每隔设定的时期向RADIUS作事器发送一次在线用户的计费信息。

竖立RADIUS作事器的定时器时，请免除以下设立原则：

·     要字据设立的从作事器数量合理竖立发送RADIUS报文的最大尝试次数和RADIUS作事器反应超时时期，幸免因为超时重传时期过长，在主作事器不可达时，出现勾引在尝试与从作事器通讯的过程中接入模块（例如Telnet模块）的客户端贯串已超时的表象。可是，有些接入模块的客户端的贯串超时时期较短，在设立的从作事器较多的情况下，即使将报文重传次数和RADIUS作事器反应超时时期竖立的很小，也可能会出现上述客户端超时的表象，并导致首次认证或计费失败。这种情况下，由于勾引会将不可达作事器的现象竖立为block，不才次认证或计费时勾引就不会尝试与这些现象为block的作事器通讯，一定进程上裁汰了查找可达作事器的时期，因此用户再次尝试认证或计费就不错顺利。

·     要字据设立的从作事器数量合理竖立作事器复原激活现象的时期。如果作事器复原激活现象时期竖立得过短，就会出现勾引反复尝试与现象active但本色不可达的作事器通讯而导致的认证或计费频繁失败的问题；如果作事器复原激活现象竖立的过长，则会导致仍是复原激活现象的作事器暂时不可为用户提供认证或计费作事。

·     实时计费拆开的取值对勾引和RADIUS作事器的性能有一定的关系性要求，取值小，会加多相聚中的数据流量，对勾引和RADIUS作事器的性能要求就高；取值大，会影响计费的准确性。因此要结合相聚的本色情况合理竖立计费拆开的大小，一般情况下，提出当用户量比拟大（大于等于1000）时，尽量把该拆开的值竖立得大一些。

表1-26 竖立RADIUS作事器的定时器

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

竖立RADIUS作事器反应超时时期

timer response-timeout seconds

缺省情况下，RADIUS作事器反应超时定时器为3秒

竖立作事器复原激活现象的时期

timer quiet minutes

缺省情况下，作事器复原激活现象前需要恭候5分钟

竖立实时计费拆开

timer realtime-accounting minutes

缺省情况下，实时计费拆开为12分钟

 

14. 设立RADIUS的accounting-on功能

使能了accounting-on功能后，勾引会在重启后主动向RADIUS作事器发送accounting-on报文来见告我方仍是重启，并要求RADIUS作事器罢手计费且强制通过本勾引上线的用户下线。该功能可用于处置勾引重启后，重启前的原在线用户因被RADIUS作事器以为仍然在线而短时期内无法再次登录的问题。若勾引发送accounting-on报文后RADIUS作事器无反应，则会在按照一定的时期拆开（interval seconds）尝试重发几次（send send-times）。

表1-27 设立RADIUS的accounting-on功能

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

设立accounting-on功能

accounting-on enable [ interval seconds | send send-times ] *

缺省情况下，accounting-on功能处于关闭现象

 

15. 设立RADIUS安全政策作事器的IP地址

通过设立RADIUS安全政策作事器的IP地址，接入勾引不错考证IMC（Intelligent Management Center，智能经管中心）作事器发送给勾引的限定报文的正当性。当接入勾引收到IMC作事器的限定报文时，若该限定报文的源IP地址不是指定的安全政策作事器的IP地址，则接入勾引以为其违警而丢弃。若iMC的设立平台、认证作事器以及安全政策作事器的IP地址疏导，则不需要在接入勾引上设立RADIUS安全政策作事器的IP地址。

安全政策作事器是H3C EAD（Endpoint Admission Defense，端点准入驻守）有规画中的经管与限定中心。泛泛，若要缓助竣工的EAD功能，提出在接入勾引上通过本设立指定两个RADIUS安全政策作事器的IP地址，分别为IMC安全政策作事器的IP地址和IMC设立平台的IP地址。

表1-28 竖立RADIUS的安全政策作事器

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

竖立RADIUS安全政策作事器的IP地址

security-policy-server { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

缺省情况下，未指定RADIUS安全政策作事器

一个RADIUS有规画中最多不错设立8个安全政策作事器IP地址

 

 

16. 设立RADIUS Attribute 15的搜检方式

RADIUS 15号属性为Login-Service属性，该属性佩戴在Access-Accept报文中，由RADIUS作事器下发给勾引，清楚认证用户的业务类型，例如属性值0清楚Telnet业务。勾引搜检用户登录时收受的业务类型与作事器下发的Login-Service属性所指定的业务类型是否一致，如果不一致则用户认证失败 。由于RFC中并未界说SSH、FTP和Terminal这三种业务的Login-Service属性值，因此勾引无法针对SSH、FTP、Terminal用户进行业务类型一致性搜检，为了缓助对这三种业务类型的搜检，H3C为Login-Service属性界说了表1-29所示的彭胀取值。

表1-29 彭胀的Login-Service属性值

属性值

描绘

50

用户的业务类型为SSH

51

用户的业务类型为FTP

52

用户的业务类型为Terminal

 

不错通过设立勾引对RADIUS 15号属性的搜检方式，限定勾引是否使用彭胀的Login-Service属性值对用户进行业务类型一致性搜检。

·     严格搜检方式：勾引使用标准属性值和彭胀属性值对用户业务类型进行搜检，对于SSH、FTP、Terminal用户，当RADIUS作事器下发的Login-Service属性值为对应的彭胀取值时才智够通过认证。

·     松散搜检方式：勾引使用标准属性值对用户业务类型进行搜检，对于SSH、FTP、Terminal用户，在RADIUS作事器下发的Login-Service属性值为0（清楚用户业务类型为Telnet）时才智够通过认证。

由于某些RADIUS作事器不缓助自界说的属性，无法下发彭胀的Login-Service属性，若要使用这类RADIUS作事器对SSH、FTP、Terminal用户进行认证，提出勾引上对RADIUS 15号属性值收受松散搜检方式。

表1-30 设立RADIUS Attribute 15的搜检方式

操作

敕令

说明

插足系统视图

system-view

-

插足RADIUS有规画视图

radius scheme radius-scheme-name

-

设立RADIUS Attribute 15的搜检方式

attribute 15 check-mode { loose | strict }

缺省情况下，RADIUS Attribute 15的搜检方式为strict方式

 

17. 设立RADIUS的Trap功能

开启相应的RADIUS Trap功能后，RADIUS模块会生成告警信息，用于推崇该模块的紧要事件：

·     当NAS向RADIUS作事器发送计费或认证请求莫得收到反当令，会重传请求，当重传次数达到最大传送次数时仍然莫得收到反当令，NAS以为该作事器不可达，并发送清楚RADIUS作事器不可达的告警信息。

·     当timer quiet定时器设定的时期到达后，NAS将作事器的现象置为激活现象并发送清楚RADIUS作事器可达的告警信息。

·     当NAS发现认证失败次数与认证请求总和的百分比向上阈值时，会发送清楚认证失败次数向上阈值的告警信息。

生成的告警信息将发送到勾引的SNMP模块，通过竖立SNMP中告警信息的发送参数，来决定告警信息输出的关系属性。关系告警信息的详备先容，请参见“相聚经管和监控设立领导”中的“SNMP”。

表1-31 设立RADIUS的Trap功能

操作

敕令

说明

插足系统视图

system-view

-

开启RADIUS的Trap功能

snmp-agent trap enable radius [ accounting-server-down | authentication-error-threshold | authentication-server-down | accounting-server-up | authentication-server-up ] *

缺省情况下，所有这个词类型的RADIUS Trap功能均处于开启现象

 

18. RADIUS浮现和齰舌

完成上述设立后，在职意视图下实施display敕令不错浮现设立后RADIUS的运行情况，通过查察浮现信息考证设立的成果。

在用户视图下，实施reset敕令不错断根关系统计信息。

表1-32 RADIUS浮现和齰舌

操作

敕令

 

浮现所有这个词或指定RADIUS有规画的设立信息

display radius scheme [ radius-scheme-name ]

 

浮现RADIUS报文的统计信息

display radius statistics

 

浮现缓存的RADIUS罢手计费请求报文的关系信息

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }

断根RADIUS左券的统计信息

reset radius statistics

 

断根缓存的RADIUS罢手计费请求报文

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }

 

 

1.3.3  设立HWTACACS有规画 1. HWTACACS设立任务简介

表1-33 HWTACACS设立任务简介

设立任务

说明

详备设立

创建HWTACACS有规画

必选

1.3.3  2.

设立HWTACACS认证作事器

必选

1.3.3  3.

设立HWTACACS授权作事器

可选

1.3.3  4.

设立HWTACACS计费作事器

可选

1.3.3  5.

设立HWTACACS报文的分享密钥

可选

1.3.3  6.

设立HWTACACS有规画所属的VPN

可选

1.3.3  7.

设立发送给HWTACACS作事器的用户名花式和数据统计单元

可选

1.3.3  8.

设立发送HWTACACS报文使用的源地址

可选

1.3.3  9.

设立HWTACACS作事器的定时器

可选

1.3.3  10.

HWTACACS浮现和齰舌

可选

1.3.3  11.

 

2. 创建HWTACACS有规画

在进行HWTACACS的其它关系设立之前，必须先创建HWTACACS有规画并插足其视图。系统最多缓助设立16个HWTACACS有规画。一个HWTACACS有规画不错同期被多个ISP域援用。

表1-34 创建HWTACACS有规画

操作

敕令

说明

插足系统视图

system-view

-

创建HWTACACS有规画并插足其视图

hwtacacs scheme hwtacacs-scheme-name

缺省情况下，未界说HWTACACS有规画

 

3. 设立HWTACACS认证作事器

通过在HWTACACS有规画中设立HWTACACS认证作事器，指定勾引对用户进行HWTACACS认证时与哪个作事器进行通讯。

一个HWTACACS有规画中最多允许设立一个主认证作事器和16个从认证作事器。当主作事器不可达时，勾引字据从作事器的设立法例由先到后查找现象为active的从作事器并与之交互。提出在不需要备份的情况下，只设立主HWTACACS认证作事器即可。

在本色组网环境中，不错指定一台作事器既作为某个HWTACACS有规画的主认证作事器，又作为另一个HWTACACS有规画的从认证作事器。

若作事器位于MPLS VPN私网中，通过主机名方式指定HWTACACS作事器时，为保证HWTACACS报文被发送到指定的私网作事器，需要在勾引上通过ip host（或ipv6 host）敕令为该VPN设立主机名和IPv4（或IPv6）地址的对应关系；或通过dns server（或ipv6 dns server）敕令为该VPN设立域名作事器的地址。关系ip host、ipv6 host、dns server、ipv6 dns server敕令的详备先容请参见“三层本事-IP业务敕令参考”中的“域名融会”。

表1-35 设立HWTACACS认证作事器

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

设立主HWTACACS认证作事器

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

二者至少选其一

缺省情况下，未设立主/从认证作事器

在消亡个有规画中指定的主认证作事器和从认证作事器的主机名、IP地址、端标语和VPN参数不可十足疏导，况且各从认证作事器的主机名、IP地址、端标语和VPN参数也不可十足疏导

设立从HWTACACS认证作事器

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

 

4. 设立HWTACACS授权作事器

通过在HWTACACS有规画中设立HWTACACS授权作事器，指定勾引对用户进行HWTACACS授权时与哪个作事器进行通讯。

一个HWTACACS有规画中最多允许设立一个主授权作事器和16个从授权作事器。当主作事器不可达时，勾引字据从作事器的设立法例由先到后查找现象为active的从作事器并与之交互。提出在不需要备份的情况下，只设立主HWTACACS授权作事器即可。

在本色组网环境中，不错指定一台作事器既作为某个HWTACACS有规画的主授权作事器，又作为另一个HWTACACS有规画的从授权作事器。

若作事器位于MPLS VPN私网中，通过主机名方式指定HWTACACS作事器时，为保证HWTACACS报文被发送到指定的私网作事器，需要在勾引上通过ip host（或ipv6 host）敕令为该VPN设立主机名和IPv4（或IPv6）地址的对应关系；或通过dns server（或ipv6 dns server）敕令为该VPN设立域名作事器的地址。关系ip host、ipv6 host、dns server、ipv6 dns server敕令的详备先容请参见“三层本事-IP业务敕令参考”中的“域名融会”。

表1-36 设立HWTACACS授权作事器

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

竖立主HWTACACS授权作事器

primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

二者至少选其一

缺省情况下，未设立主/从授权作事器

在消亡个有规画中指定的主授权作事器和从授权作事器的主机名、IP地址、端标语和VPN参数不可十足疏导，况且各从授权作事器的主机名、IP地址、端标语和VPN参数也不可十足疏导

竖立从HWTACACS授权作事器

secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

 

5. 设立HWTACACS计费作事器

通过在HWTACACS有规画中设立HWTACACS计费作事器，指定勾引对用户进行HWTACACS计费时与哪个作事器进行通讯。

一个HWTACACS有规画中最多允许设立一个主计费作事器和16个从计费作事器。当主作事器不可达时，勾引字据从作事器的设立法例由先到后查找现象为active的从作事器并与之交互。提出在不需要备份的情况下，只设立主HWTACACS计费作事器即可。

在本色组网环境中，不错指定一台作事器既作为某个HWTACACS有规画的主计费作事器，又作为另一个HWTACACS有规画的从计费作事器。

当用户请求断开贯串或者勾引强行堵截用户贯串的情况下，勾引会向HWTACACS计费作事器发送罢手计费请求报文，通过开启对无反应的HWTACACS罢手计费请求报文的缓存功能，将其缓存在本机上，然后发送直到HWTACACS计费作事器产生反应，或者在发起罢手计费请求报文的尝试次数达到指定的最大值后将其丢弃。

面前HWTACACS不缓助对FTP/SFTP/SCP用户进行计费。

若作事器位于MPLS VPN私网中，通过主机名方式指定HWTACACS作事器时，为保证HWTACACS报文被发送到指定的私网作事器，需要在勾引上通过ip host（或ipv6 host）敕令为该VPN设立主机名和IPv4（或IPv6）地址的对应关系；或通过dns server（或ipv6 dns server）敕令为该VPN设立域名作事器的地址。关系ip host、ipv6 host、dns server、ipv6 dns server敕令的详备先容请参见“三层本事-IP业务敕令参考”中的“域名融会”。

表1-37 设立HWTACACS计费作事器

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

竖立HWTACACS主计费作事器

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

二者至少选其一

缺省情况下，未设立主/从计费作事器

在消亡个有规画中指定的主计费作事器和从计费作事器的主机名、IP地址、端标语和VPN参数不可十足疏导，况且各从计费作事器的主机名、IP地址、端标语和VPN参数也不可十足疏导

竖立HWTACACS从计费作事器

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

（可选）开启对无反应的HWTACACS罢手计费请求报文的缓存功能

stop-accounting-buffer enable

缺省情况下，勾引缓存未得到反应的HWTACACS计费请求报文

（可选）竖立发起HWTACACS罢手计费请求的最大尝试次数

retry stop-accounting retries

缺省情况下，发起HWTACACS罢手计费请求的最大尝试次数为100

 

6. 设立HWTACACS报文的分享密钥

HWTACACS客户端与HWTACACS作事器使用MD5算法并在分享密钥的参与下加密HWTACACS报文。只好在密钥一致的情况下，互相才智摄取对方发来的报文并作出反应。

由于勾引优先收受设立HWTACACS认证/授权/计费作事器时指定的报文分享密钥，因此，本设立中指定的HWTACACS报文分享密钥仅在设立HWTACACS认证/授权/计费作事器时未指定相应密钥的情况下使用。

表1-38 设立HWTACACS报文的分享密钥

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

设立HWTACACS认证、授权、计费报文的分享密钥

key { accounting | authentication | authorization } { cipher | simple } string

缺省情况下，无分享密钥

必须保证勾引上竖立的分享密钥与HWTACACS作事器上的十足一致

 

7. 设立HWTACACS有规画所属的VPN

该设立用于指定HWTACACS有规画所属的VPN，即为HWTACACS有规画下的所有这个词HWTACACS作事器斡旋指定所属的VPN。HWTACACS作事器所属的VPN也不错在设立HWTACACS作事器的时候单独指定，且被优先使用。未单独指定所属VPN的作事器，则属于所在HWTACACS有规画所属的VPN。

表1-39 设立HWTACACS有规画所属的VPN

表1-40 操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

设立HWTACACS有规画所属的VPN

vpn-instance vpn-instance-name

缺省情况下，HWTACACS有规画属于公网

 

8. 设立发送给HWTACACS作事器的用户名花式和数据统计单元

接入用户泛泛以“userid@isp-name”的花式定名，“@”后头的部分为ISP域名，勾引通过该域名决定将用户归于哪个ISP域的。由于有些HWTACACS作事器不可接受佩戴有ISP域名的用户名，因此就需要勾引着手将用户名中佩戴的ISP域名去除后再传送给该类HWTACACS作事器。通过竖立发送给HWTACACS作事器的用户名花式，就不错选用发送HWTACACS作事器的用户名中是否要佩戴ISP域名。

勾引通过发送计费报文，向HWTACACS作事器推崇在线用户的数据流量统计值，该值的单元可配，为保证HWTACACS作事器计费的准确性，勾引上竖立的发送给HWTACACS作事器的数据流或者数据包的单元应与HWTACACS作事器上的流量统计单元保持一致。

需要扎眼的是，如果要在两个乃至两个以上的ISP域中援用疏导的HWTACACS有规画，提出竖立该HWTACACS有规画允许用户名中佩戴ISP域名，使得HWTACACS作事器端不错字据ISP域名来区分不同的用户。

表1-41 设立发送给HWTACACS作事器的用户名花式和数据统计单元

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

竖立发送给HWTACACS作事器的用户名花式

user-name-format { keep-original | with-domain | without-domain }

缺省情况下，发往HWTACACS作事器的用户名带域名

（可选）竖立发送给HWTACACS作事器的数据流或者数据包的单元

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

缺省情况下，数据流的单元为byte，数据包的单元为one-packet

 

9. 设立发送HWTACACS报文使用的源地址

HWTACACS作事器上通过IP地址来象征接入勾引，并字据收到的HWTACACS报文的源IP地址是否与作事器所经管的接入勾引的IP地址匹配，来决定是否处理来自该接入勾引的认证、授权或计费请求。若HWTACACS作事器收到的HWTACACS认证或计费报文的源地址在所经管的接入勾引IP地址界限内，则会进行后续的认证或计费处理，不然顺利丢弃该报文。因此，为保证认证、授权和计费报文可被作事器正常摄取并处理，接入勾引上发送HWTACACS报文使用的源地址必须与HWTACACS作事器上指定的接入勾引的IP地址保持一致。

泛泛，该地址为接入勾引上与HWTACACS作事器路由可达的接口IP地址，但在一些特殊的组网环境中，例如在接入勾引使用VRRP进行双机热备应用时，不错将该地址指定为VRRP上行链路所在备份组的臆造IP地址。

勾引发送HWTACACS报文时，字据以下法例查找使用的源地址：

·     若面前所使用的HWTACACS有规画中设立了发送HWTACACS报文使用源地址，则使用该地址。

·     不然，字据面前使用的作事器所属的VPN查找系统视图下通过hwtacacs nas-ip敕令设立的私网源地址，对于公网作事器则顺利查找该敕令设立的公网源地址。

·     若系统视图下莫得设立相应的源地址，则使用通过路由查找到的报文出接口地址。

此设立不错在系统视图和HWTACACS有规画视图下进行，系统视图下的设立将对所有这个词HWTACACS有规画顺利，HWTACACS有规画视图下的设立仅对本有规画灵验，况且具有高于前者的优先级。

表1-42 为所有这个词HWTACACS有规画设立发送HWTACACS报文使用的源地址

操作

敕令

说明

插足系统视图

system-view

-

竖立勾引发送HWTACACS报文使用的源地址

hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

缺省情况下，未指定源地址，即以发送报文的接口地址作为源地址

 

表1-43 为HWTACACS有规画设立发送HWTACACS报文使用的源地址

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

竖立勾引发送HWTACACS报文使用的源地址

nas-ip { ipv4-address | ipv6 ipv6-address }

缺省情况下，使用系统视图下由敕令hwtacacs nas-ip指定的源地址，若系统视图下未指定源地址，则使用发送HWTACACS报文的接口地址

 

10. 设立HWTACACS作事器的定时器

在与HWTACACS作事器交互的过程中，勾引上可启动的定时器包括以下几种：

·     作事器反应超时定时器（response-timeout）：如果在HWTACACS请求报文传送出去一段时期后，勾引还莫得得到HWTACACS作事器的反应，则会将该作事器的现象置为block，并向下一个HWTACACS作事器发起请求，以保证用户尽可能得到HWTACACS作事，这段时期被称为HWTACACS作事器反应超往往长。

·     实时计费拆开定时器（realtime-accounting）：为了对用户实施实时计费，有必要依期向作事器发送用户的实时计费信息，通过竖立实时计费的时期拆开，勾引会每隔设定的时期向HWTACACS作事器发送一次在线用户的计费信息。

·     作事器复原激活现象定时器（quiet）：作为事器不可达时，勾引将该作事器的现象置为block，并开启超时定时器，在设定的一定时期拆开之后，再将该作事器的现象复原为active。这段时期被称为作事器复原激活现象时长。

对于HWTACACS作事器的现象：

HWTACACS有规画中各作事器的现象（active、block）决定了勾引向哪个作事器发送请求报文，以及勾引在与面前作事器通讯中断的情况下，怎样转而与另外一个作事器进行交互。在本色组网环境中，可指定一个主HWTACACS作事器和多个从HWTACACS作事器，由从作事器作为主作事器的备份。泛泛情况下，勾引上主从作事器的切换坚信以下原则：

·     当主作事器现象为active时，勾引着手尝试与主作事器通讯，若主作事器不可达，勾引改换主作事器的现象为block，并启动该作事器的quiet定时器，然后按照从作事器的设立先后法例瓜代查找现象为active的从作事器进行认证或者计费。如果现象为active的从作事器也不可达，则将该从作事器的现象置为block，同期启动该作事器的quiet定时器，并赓续查找现象为active的从作事器。作为事器的quiet定时器超时，该作事器将复原为active现象。在一次认证或计费过程中，如果勾引在尝试与从作事器通讯时，之前仍是查找过的作事器现象由block复原为active，则勾引并不会立即复原与该作事器的通讯，而是赓续查找从作事器。如果所有这个词已设立的作事器齐不可达，则以为本次认证或计费失败。

·     如果在认证或计费过程中删除了面前正在使用的作事器，则勾引在与该作事器通讯超时后，将会立即从主作事器启动瓜代查找现象为active的作事器并与之进行通讯。

·     当主/从作事器的现象均为block时，勾引尝试与主作事器进行通讯。

·     只须存在现象为active的作事器，勾引就仅与现象为active的作事器通讯，即使该作事器不可达，勾引也不会尝试与现象为block的作事器通讯。

·     一朝作事器现象称心自动切换的条件，则所有这个词HWTACACS有规画视图下该作事器的现象齐会相应地变化。

需要扎眼的是：实时计费拆开的取值对勾引和HWTACACS作事器的性能有一定的关系性要求，取值越小，对勾引和HWTACACS作事器的性能要求越高。提出当用户量比拟大（大于等于1000）时，尽量把该拆开的值竖立得大一些。

表1-44 设立HWTACACS作事器的定时器

操作

敕令

说明

插足系统视图

system-view

-

插足HWTACACS有规画视图

hwtacacs scheme hwtacacs-scheme-name

-

竖立HWTACACS作事器反应超时时期

timer response-timeout seconds

缺省情况下，作事器反应超时时期为5秒

竖立实时计费的时期拆开

timer realtime-accounting minutes

缺省情况下，实时计费拆开为12分钟

竖立作事器复原激活现象的时期

timer quiet minutes

缺省情况下，作事器复原激活现象前需要恭候5分钟

 

11. HWTACACS浮现和齰舌

完成上述设立后，在职意视图下实施display敕令不错浮现设立后HWTACACS的运行情况，通过查察浮现信息考证设立的成果。

在用户视图下，实施reset敕令不错断根关系统计信息。

表1-45 HWTACACS浮现和齰舌

操作

敕令

查察所有这个词或指定HWTACACS有规画的设立信息或统计信息

display hwtacacs scheme [ hwtacacs-server-name [ statistics ] ]

浮现缓存的HWTACACS罢手计费请求报文的关系信息

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

断根HWTACACS左券的统计信息

reset hwtacacs statistics { accounting | all | authentication | authorization }

断根缓存的HWTACACS罢手计费请求报文

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

 

1.3.4  设立LDAP有规画 1. LDAP设立任务简介

表1-46 LDAP设立任务简介

设立任务

说明

详备设立

设立LDAP作事器

创建LDAP作事器

必选

1.3.4  2.

设立LDAP作事器IP地址

必选

1.3.4  3.

设立LDAP版块号

可选

1.3.4  4.

设立LDAP作事器的贯串超时时期

可选

1.3.4  5.

设立具有经管员权限的用户属性

必选

1.3.4  6.

设立LDAP用户属性参数

必选

1.3.4  7.

创建LDAP有规画

必选

1.3.4  8.

指定LDAP认证作事器

必选

1.3.4  9.

LDAP浮现和齰舌

可选

1.3.4  10.

 

2. 创建LDAP作事器

表1-47 创建LDAP作事器

操作

敕令

说明

插足系统视图

system-view

-

创建LDAP作事器并插足LDAP作事器视图

ldap server server-name

缺省情况下，不存在LDAP作事器

 

3. 设立LDAP作事器IP地址

表1-48 设立LDAP作事器IP地址

操作

敕令

说明

插足系统视图

system-view

-

插足LDAP作事器视图

ldap server server-name

-

设立LDAP作事器IP地址

{ ip ip-address | ipv6 ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ]

缺省情况下，未设立LDAP作事器IP地址

LDAP作事器视图下仅能同期存在一个IPv4地址类型的LDAP作事器或一个IPv6地址类型的LDAP作事器。屡次设立，后设立的顺利

 

4. 设立LDAP版块号

设立LDAP认证中所缓助的LDAP左券的版块号，面前勾引缓助LDAPv2和LDAPv3两个左券版块。勾引上设立的LDAP版块号需要与作事器缓助的版块号保持一致。

表1-49 设立LDAP版块号

操作

敕令

说明

插足系统视图

system-view

-

插足LDAP作事器视图

ldap server server-name

-

设立LDAP版块号

protocol-version { v2 | v3 }

缺省情况下，LDAP版块号为LDAPv3

Microsoft的LDAP作事器只缓助LDAPv3版块

 

5. 设立LDAP作事器的贯串超时时期

勾引向LDAP作事器发送绑定请求、查询请求，如果经过指定的时期后未收到LDAP作事器的复兴，则以为本次认证、授权请求超时。若使用的ISP域中设立了备份的认证、授权有规画，则勾引会赓续尝试进行其他方式的认证、授权处理，不然本次认证、授权失败。

表1-50 设立LDAP作事器的贯串超时时期

操作

敕令

说明

插足系统视图

system-view

-

插足LDAP作事器视图

ldap server server-name

-

设立LDAP作事器的贯串超时时期

server-timeout time-interval

缺省情况下，LDAP作事器的贯串超时时期为10秒

 

6. 设立具有经管员权限的用户属性

设立LDAP认证过程中绑定作事器所使用的用户DN和用户密码，该用户具有经管员权限。

表1-51 设立具有经管员权限的用户属性

操作

敕令

说明

插足系统视图

system-view

-

插足LDAP作事器视图

ldap server server-name

-

设立具有经管员权限的用户DN

login-dn dn-string

缺省情况下，未设立具有经管员权限的用户DN

设立的经管员权限的用户DN必须与LDAP作事器上经管员的DN一致

设立具有经管员权限的用户密码

login-password { ciper | simple } password

缺省情况下，未设立具有经管权限的用户密码

 

7. 设立LDAP用户属性参数

要对用户进行身份认证，就需要以用户DN及密码为参数与LDAP作事器进行绑定，因此需要着手从LDAP作事器获取用户DN。LDAP提供了一套DN查询机制，在与LDAP作事器建立贯串的基础上，按照一定的查询政策向作事器发送查询请求。该查询政策由勾引上指定的LDAP用户属性界说，具体包括以下几项：

·     用户DN查询的肇始节点（search-base-dn）

·     用户DN查询的界限（search-scope）

·     用户称号属性（user-name-attribute）

·     用户称号花式（user-name-format）

·     用户对象类型（user-object-class）

LDAP作事器上的目次结构可能具有很深的档次，如果从根目次进行用户DN的查找，破钞的时期将会较长，因此必须设立用户查找的肇始点DN，以普及查找效力。

表1-52 设立LDAP用户属性参数

操作

敕令

说明

插足系统视图

system-view

-

插足LDAP作事器视图

ldap server server-name

-

设立用户查询的肇始DN

search-base-dn base-dn

缺省情况下，未指定用户查询的肇始DN

（可选）设立用户查询的界限

search-scope { all-level | single-level }

缺省情况下，用户查询的界限为all-level

（可选）设立用户查询的用户名属性

user-parameters user-name-attribute { name-attribute | cn | uid }

缺省情况下，用户查询的用户名属性为cn

（可选）设立用户查询的用户名花式

user-parameters user-name-format { with-domain | without-domain }

缺省情况下，用户查询的用户名花式为without-domain

（可选）设立用户查询的自界说用户对象类型

user-parameters user-object-class object-class-name

缺省情况下，未指定自界说用户对象类型，字据使用的LDAP作事器的类型使用各作事器缺省的用户对象类型

 

8. 创建LDAP有规画

系统最多缓助设立16个LDAP有规画。一个LDAP有规画不错同期被多个ISP域援用。

表1-53 创建LDAP有规画

操作

敕令

说明

插足系统视图

system-view

-

创建LDAP有规画并插足其视图

ldap scheme ldap-scheme-name

缺省情况下，未界说LDAP有规画

 

9. 指定LDAP认证作事器

表1-54 指定LDAP认证作事器

操作

敕令

说明

插足系统视图

system-view

-

插足LDAP有规画视图

ldap scheme ldap-scheme-name

-

指定LDAP认证作事器

authentication-server server-name

缺省情况下，未指定LDAP认证作事器

 

10. LDAP浮现和齰舌

完成上述设立后，在职意视图下实施display敕令不错浮现设立后LDAP的运行情况，通过查察浮现信息考证设立的成果。

表1-55 LDAP浮现和齰舌

操作

敕令

查察所有这个词或指定LDAP有规画的设立信息

display ldap scheme [ scheme-name ]

 

1.4  在ISP域中设立罢了AAA的方法

通过在ISP域视图下援用事前设立的认证、授权、计费有规画来罢了对用户的认证、授权和计费。如果用户所属的ISP域下未应用任何认证、授权、计费方法，系统将使用缺省的认证、授权、计费方法，分别为土产货认证、土产货授权和土产货计费。

1.4.1  设立准备

·     若收受土产货认证有规画，则请先完老土产货用户的设立。关系土产货用户的设立请参见“1.3.1  设立土产货用户”。

·     若收受远端认证、授权或计费有规画，则请提前创建RADIUS有规画、HWTACACS有规画或LDAP有规画。关系RADIUS有规画的设立请参见“1.3.2  设立RADIUS有规画”。关系HWTACACS有规画的设立请参见“1.3.3  设立HWTACACS有规画”。关系LDAP有规画的设立请参见“1.3.4  设立LDAP有规画”。

1.4.2  创建ISP域

在多ISP的应用环境中，不同ISP域的用户有可能接入消亡台勾引。而且各ISP用户的用户属性（例如用户名及密码组成、作事类型/权限等）有可能不疏导，因此有必要通过竖立ISP域把它们区分开，并为每个ISP域单独设立一套AAA方法及ISP域的关系属性。

对于勾引来说，每个接入用户齐属于一个ISP域。系统中最多不错设立16个ISP域，包括一个系统缺省存在的称号为system的ISP域。如果某个用户在登录时莫得提供ISP域名，系统将把它归于缺省的ISP域。系统缺省的ISP域不错手工修改为一个指定的ISP域。

用户认证时，勾引将按照如下先后法例为其选用认证域：接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中，仅部分接入模块缓助指定认证域，例如802.1X、MAC地址认证。如果字据以上原则决定的认证域在勾引上不存在，但勾引上为未知域名的用户指定了ISP域，则最终使用该指定的ISP域认证，不然，用户将无法认证。

一个ISP域被设立为缺省的ISP域后将不大略被删除，必须着手使用敕令undo domain default enable将其修改为非缺省ISP域，然后才不错被删除。其中，系统缺省存在的system域只可被修改，不可被删除。

表1-56 创建ISP域

操作

敕令

说明

插足系统视图

system-view

-

创建ISP域并插足其视图

domain isp-name

-

复返系统视图

quit

-

（可选）手工设立缺省的ISP域

domain default enable isp-name

缺省情况下，系统缺省的ISP域为system

（可选）设立未知域名的用户的ISP域

domain if-unknown isp-domain-name

缺省情况下，莫得为未知域名的用户指定ISP域

 

1.4.3  设立ISP域的属性

一个ISP域中可设立以下属性，这些属性对于接入该域的所有这个词用户均顺利：

·     域的现象：通过域的现象（active、block）限定是否允许该域中的用户请求相聚作事。

·     用户授权属性：用户认证顺利之后，优先收受作事器下发的User Profile授权属性，其次收受ISP域下设立的属性值。

表1-57 设立ISP域的属性

操作

敕令

说明

插足系统视图

system-view

-

插足ISP域视图

domain isp-name

-

竖立ISP域的现象

state { active | block }

缺省情况下，当一个ISP域被创建以后，其现象为active，即允许任何属于该域的用户请求相聚作事

竖立面前ISP域下的用户授权属性

authorization-attribute { ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | user-profile profile-name }

缺省情况下，未对面前ISP域下的用户竖立任何授权属性

 

1.4.4  设立ISP域的AAA认证方法

设立ISP域的AAA认证方法时，需要扎眼的是：

·     当选用了RADIUS左券的认证有规画以及非RADIUS左券的授权有规画时，AAA只接受RADIUS作事器的认证吊销，RADIUS授权的信息天然在认证顺利复兴的报文中佩戴，但在认证复兴的处理经由中不会被处理。

·     面前，汉典有规画只可缓助对称号为level-n的用户变装之间的切换进行认证。当使用HWTACACS有规画进行用户变装切换认证时，系统使用用户输入的用户变装切换用户名进行变装切换认证；当使用RADIUS有规画进行用户变装切换认证时，系统使用RADIUS作事器上设立的“$enabn$”花样的用户名进行用户变装切换认证，其中n为用户但愿切换到的用户变装level-n中的n。

·     FIPS模式下不缓助none认证方法。

设立前的准备责任：

(1)     细则要设立的接入方式或者作事类型。AAA不错对不同的接入方式和作事类型设立不同的认证有规画。

(2)     细则是否为所有这个词的接入方式或作事类型设立缺省的认证方法，缺省的认证方法对所有这个词接入用户齐起作用，但其优先级低于为具体接入方式或作事类型设立的认证方法。

表1-58 设立ISP域的AAA认证方法

操作

敕令

说明

插足系统视图

system-view

-

插足ISP域视图

domain isp-name

-

为面前ISP域设立缺省的认证方法

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，面前ISP域的缺省认证方法为local

为lan-access用户设立认证方法

authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户收受缺省的认证方法

为login用户设立认证方法

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户收受缺省的认证方法

为Portal用户设立认证方法

authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户收受缺省的认证方法

设立用户变装切换认证方法

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

缺省情况下，用户变装切换认证收受缺省的认证方法

 

1.4.5  设立ISP域的AAA授权方法

设立ISP域的AAA授权方法时，需要扎眼的是：

·     面前勾引暂不缓助使用LDAP进行授权。

·     在一个ISP域中，只好RADIUS授权方法和RADIUS认证方法援用了疏导的RADIUS有规画，RADIUS授权才智顺利。若RADIUS授权未顺利或者RADIUS授权失败，则用户认证会失败。

·     FIPS模式下不缓助none授权方法。

设立前的准备责任：

(1)     细则要设立的接入方式或者作事类型，AAA不错按照不同的接入方式和作事类型进行AAA授权的设立。

(2)     细则是否为所有这个词的接入方式或作事类型设立缺省的授权方法，缺省的授权方法对所有这个词接入用户齐起作用，但其优先级低于为具体接入方式或作事类型设立的授权方法。

表1-59 设立ISP域的AAA授权方法

操作

敕令

说明

插足系统视图

system-view

-

插足ISP域视图

domain isp-name

-

为面前ISP域设立缺省的授权方法

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，面前ISP域的缺省授权方法为local

设立敕令行授权方法

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local [ none ] | local [ none ] | none }

缺省情况下，敕令行授权收受缺省的授权方法

为lan-access用户设立授权方法

authorization lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户收受缺省的授权方法

为login用户设立授权方法

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户收受缺省的授权方法

为Portal用户设立授权方法

authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户收受缺省的授权方法

 

1.4.6  设立ISP域的AAA计费方法

设立ISP域的AAA计费方法时，需要扎眼的是：

·     不缓助对FTP/SFTP/SCP类型login用户进行计费。

·     土产货计费仅用于投合土产货用户视图下的access-limit敕令来罢了对土产货用户贯串数的限定功能。

·     FIPS模式下不缓助none计费方法。

设立前的准备责任：

(1)     细则要设立的接入方式或者作事类型，AAA不错按照不同的接入方式和作事类型进行AAA计费的设立。

(2)     细则是否为所有这个词的接入方式或作事类型设立缺省的计费方法，缺省的计费方法对所有这个词接入用户齐起作用，但其优先级低于为具体接入方式或作事类型设立的计费方法。

表1-60 设立ISP域的AAA计费方法

操作

敕令

说明

插足系统视图

system-view

-

插足ISP域视图

domain isp-name

-

为面前ISP域设立缺省的计费方法

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，面前ISP域的缺省计费方法为local

设立敕令行计费方法

accounting command hwtacacs-scheme hwtacacs-scheme-name

缺省情况下，敕令行计费收受缺省的计费方法

为lan-access用户设立计费方法

accounting lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户收受缺省的计费方法

为login用户设立计费方法

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name  [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户收受缺省的计费方法

为Portal用户设立授权方法

accounting portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户收受缺省的计费方法

 

1.5  设立RADIUS session control功能

H3C的IMC RADIUS作事器使用session control报文向勾引发送授权信息的动态修改请求以及断开贯串请求。使能RADIUS session control功能后，勾引会翻开闻名UDP端口1812来监听并摄取RADIUS作事器发送的session control报文。

需要扎眼的是，该功能仅能和H3C的IMC RADIUS作事器投合使用。

表1-61 使能RADIUS session control作事

操作

敕令

说明

插足系统视图

system-view

-

使能RADIUS session control功能

radius session-control enable

缺省情况下，RADIUS session control功能处于关闭现象

 

1.6  设立RADIUS DAE作事器

DAE（Dynamic Authorization Extensions，动态授权彭胀）左券是RFC 5176中界说的RADIUS左券的一个彭胀，它用于强制认证用户下线，或者改换在线用户授权信息。DAE收受客户端/作事器通讯模式，由DAE客户端和DAE作事器组成。

·     DAE客户端：用于发起DAE请求，泛泛驻留在一个RADIUS作事器上，也不错为一个单独的实体。

·     DAE作事器：用于摄取并反应DAE客户端的DAE请求，泛泛为一个NAS（Network Access Server，相聚接入作事器）勾引。

DAE报文包括以下两种类型：

·     DMs（Disconnect Messages）：用于强制用户下线。DAE客户端通过向NAS勾引发送DM请求报文，请求NAS勾引按照指定的匹配条件强制用户下线。

·     COA（Change of Authorization）Messages：用于改换用户授权信息。DAE客户端通过向NAS勾引发送COA请求报文，请求NAS勾引按照指定的匹配条件改换用户授权信息。

在勾引上使能RADIUS DAE作事后，勾引将作为RADIUS DAE作事器在指定的UDP端口监听指定的RADIUS DAE客户端发送的DAE请求音书，然后字据请求音书进行用户授权信息的修改或断开用户贯串，并向RADIUS DAE客户端发送DAE应付音书。

表1-62 设立RADIUS DAE作事器

操作

敕令

说明

插足系统视图

system-view

-

使能RADIUS DAE作事，并插足RADIUS DAE作事器视图

radius dynamic-author server

缺省情况下， RADIUS DAE作事处于关闭现象

指定RADIUS DAE客户端

client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *

缺省情况下，未指定RADIUS DAE客户端

指定RADIUS DAE作事端口

port port-number

缺省情况下，RADIUS DAE作事端口为3799

 

1.7  限定同期在线的最大用户贯串数

通过设立同期在线的最大用户贯串数，不错限定收受指定登录方式（FTP、SSH、Telnet等）同期接入勾引的在线用户数。

该设立对于通过任何一种认证方式（none、password或者scheme）接入勾引的用户齐顺利。

表1-63 设立同期在线的最大用户贯串数

操作

敕令

说明

插足系统视图

system-view

-

设立同期在线的最大用户贯串数

非FIPS模式下：

aaa session-limit { ftp | http | https | ssh | telnet } max-sessions

FIPS模式下：

aaa session-limit { https | ssh } max-sessions

各样型用户缺省的最大用户贯串数均为32

 

1.8  设立NAS-ID与VLAN的绑定

用户的接入VLAN可象征用户的接入位置，而在某些应用环境中，相聚运营商需要使用接入勾引发送给RADIUS作事器的NAS-Identifier属性值来象征用户的接入位置，因此接入勾引上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。这么，当用户上线时，勾引会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS作事器。

表1-64 设立NAS-ID与VLAN的绑定

操作

敕令

说明

插足系统视图

system-view

-

创建NAS-ID Profile，并插足NAS-ID-Profile视图

aaa nas-id profile profile-name

必选

本NAS-ID Profile将被使能Portal或端口安全相应特点进行援用，具体应用请参见“安全设立领导”中的“Portal”或“端口安全”

竖立NAS-ID 与VLAN的绑定关系

nas-id nas-identifier bind vlan vlan-id

必选

缺省情况下，未竖立任何绑定关系

 

1.9  AAA浮现和齰舌

完成上述设立后，在职意视图下实施display敕令不错浮现设立后AAA的运行情况，通过查察浮现信息考证设立的成果。

表1-65 AAA浮现和齰舌

操作

敕令

浮现所有这个词或指定ISP域的设立信息

display domain [ isp-name ]

 

1.10  AAA典型设立例如 1.10.1  SSH用户的HWTACACS认证、授权、计费设立 1. 组网需求

通过设立Switch罢了使用HWTACACS作事器对SSH登录Switch的用户进行认证、授权、计费。

·     由一台HWTACACS作事器担当认证、授权、计费作事器的职责，作事器IP地址为10.1.1.1/24。

·     Switch与认证、授权、计费HWTACACS作事器交互报文时的分享密钥均为expert，向HWTACACS作事器发送的用户名中不带域名。

·     SSH用户登录Switch时使用HWTACACS作事器上设立的用户名以及密码进行认证，认证通事后具有缺省的用户变装network-operator。

2. 组网图

图1-11 SSH用户HWTACACS认证、授权和计费设立组网图

 

 

3. 设立要领

(1)     设立HWTACACS作事器

# 在HWTACACS作事器上竖立与Switch交互报文时的分享密钥为expert；添加SSH用户名hello及密码。（略）

(2)     设立Switch

# 设立各接口的IP地址（略）。

# 创建HWTACACS有规画hwtac。

<Switch> system-view

[Switch] hwtacacs scheme hwtac

# 设立主认证作事器的IP地址为10.1.1.1，认证端标语为49。

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

# 设立主授权作事器的IP地址为10.1.1.1，授权端标语为49。

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

# 设立主计费作事器的IP地址为10.1.1.1，计费端标语为49。

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

# 设立与认证、授权、计费作事器交互报文时的分享密钥均为明文expert。

[Switch-hwtacacs-hwtac] key authentication simple expert

[Switch-hwtacacs-hwtac] key authorization simple expert

[Switch-hwtacacs-hwtac] key accounting simple expert

# 设立向HWTACACS作事器发送的用户名不佩戴域名。

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 创建ISP域bbb，为login用户设立AAA认证方法为HWTACACS认证/授权/计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login hwtacacs-scheme hwtac

[Switch-isp-bbb] quit

# 创建土产货RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH作事器功能。

[Switch] ssh server enable

# 竖立SSH用户登寄托户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用户变装授权功能，使得认证通事后的SSH用户具有缺省的用户变装network-operator。

[Switch] role default-role enable

4. 考证设立

用户向Switch发起SSH贯串，按照辅导输入正确用户名hello@bbb及密码后，可顺利登录Switch，并具有用户变装network-operator所领有的敕令行实施权限。

1.10.2  SSH用户的local认证、HWTACACS授权、RADIUS计费设立 1. 组网需求

通过设立Switch罢了local认证，HWTACACS授权和RADIUS计费。SSH用户的用户名和密码为hello。

·     一台HWTACACS作事器（担当授权作事器的职责）与Switch连结，作事器IP地址为10.1.1.2。Switch与授权HWTACACS作事器交互报文时的分享密钥均为expert，发送给HWTACACS作事器的用户名中不带域名。

·     一台RADIUS作事器（担当计费作事器的职责）与Switch连结，作事器IP地址为10.1.1.1。Switch与计费RADIUS作事器交互报文时的分享密钥为expert，发送给RADIUS作事器的用户名中不带域名。

·     认证通事后的SSH用户具有缺省的用户变装network-operator。

2. 组网图

图1-12 SSH用户local认证、HWTACACS授权和RADIUS计费设立组网图

 

3. 设立要领

(1)     设立HWTACACS作事器（略）

(2)     设立RADIUS作事器（略）

(3)     设立Switch

# 设立各接口的IP地址（略）。

# 创建土产货RSA及DSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH作事器功能。

[Switch] ssh server enable

# 竖立SSH用户登寄托户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 设立HWTACACS有规画。

[Switch] hwtacacs scheme hwtac

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49

[Switch-hwtacacs-hwtac] key authorization simple expert

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 设立RADIUS有规画。

[Switch] radius scheme rd

[Switch-radius-rd] primary accounting 10.1.1.1 1813

[Switch-radius-rd] key accounting simple expert

[Switch-radius-rd] user-name-format without-domain

[Switch-radius-rd] quit

# 创确立备经管类土产货用户hello。

[Switch] local-user hello class manage

# 设立该土产货用户的作事类型为SSH。

[Switch-luser-manage-hello] service-type ssh

# 设立该土产货用户密码为明文123456TESTplat&!。（如若FIPS模式下，只可使用交互式方式竖立）。

[Switch-luser-manage-hello] password simple 123456TESTplat&!

[Switch-luser-manage-hello] quit

# 创建ISP域bbb，为login用户设立AAA认证方法为土产货认证、HWTACACS授权、RADIUS计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login local

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login radius-scheme rd

[Switch-isp-bbb] quit

# 使能缺省用户变装授权功能，使得认证通事后的SSH用户具有缺省的用户变装network-operator。

[Switch] role default-role enable

4. 考证设立

用户向Switch发起SSH贯串，按照辅导输入用户名hello@bbb及正确的密码后，可顺利登录Switch，并具有用户变装network-operator领有的敕令行实施权限。

1.10.3  SSH用户的RADIUS认证和授权设立 1. 组网需求

如图1-13所示，设立Switch罢了使用RADIUS作事器对登录Switch的SSH用户进行认证和授权。

·     由一台iMC作事器担当认证/授权RADIUS作事器的职责，作事器IP地址为10.1.1.1/24。

·     Switch与RADIUS作事器交互报文时使用的分享密钥为expert，向RADIUS作事器发送的用户名带域名。作事器字据用户名佩戴的域名来区分提供给用户的作事。

·     SSH用户登录Switch时使用RADIUS作事器上设立的用户名hello@bbb以及密码进行认证，认证通事后具有缺省的用户变装network-operator。

2. 组网图

图1-13 SSH用户RADIUS认证/授权设立组网图

 

3. 设立要领

(1)     设立RADIUS作事器（iMC PLAT 5.0）

 

# 加多接入勾引。

登录插足iMC经管平台，选用“业务”页签，单击导航树中的[接入业务/接入勾引经管/接入勾引设立]菜单项，插足接入勾引设立页面，在该页面中单击“加多”按钮，插足加多接入勾引页面。

·     竖立与Switch交互报文时使用的认证、计费分享密钥为“expert”；

·     竖立认证及计费的端标语分别为“1812”和“1813”；

·     选用业务类型为“勾引经管业务”；

·     选用接入勾引类型为“H3C”；

·     选用或手工加多接入勾引，添加IP地址为10.1.1.2的接入勾引；

·     其它参数收受缺省值，并单击<细则>按钮完成操作。

 

图1-14 加多接入勾引

 

# 加多勾引经管用户。

选用“用户”页签，单击导航树中的[接入用户视图/勾引经管用户]菜单项，插足勾引经管用户列表页面，在该页面中单击<加多>按钮，插足加多勾引经管用户页面。

·     输入用户名“hello@bbb”和密码；

·     选用作事类型为“SSH”；

·     添加所经管勾引的IP地址，IP地址界限为“10.1.1.0～10.1.1.255”；

·     单击<细则>按钮完成操作。

 

图1-15 加多勾引经管用户

 

(2)     设立Switch

# 设立VLAN接口2的IP地址，SSH客户端将通过该地址贯串SSH作事器。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 设立VLAN接口3的IP地址，Switch将通过该地址与作事器通讯。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0

[Switch-Vlan-interface3] quit

# 生成RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH作事器功能。

[Switch] ssh server enable

# 竖立SSH用户登寄托户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用户变装授权功能，使得认证通事后的SSH用户具有缺省的用户变装network-operator。

[Switch] role default-role enable

# 创建RADIUS有规画rad。

[Switch] radius scheme rad

# 设立主认证作事器的IP地址为10.1.1.1，认证端标语为1812。

[Switch-radius-rad] primary authentication 10.1.1.1 1812

# 设立与认证作事器交互报文时的分享密钥为明文expert。

[Switch-radius-rad] key authentication simple expert

# 设立向RADIUS作事器发送的用户名要佩戴域名。

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

# 创建ISP域bbb，为login用户设立AAA认证方法为RADIUS认证/授权、不计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] accounting login none

[Switch-isp-bbb] quit

4. 考证设立

用户向Switch发起SSH贯串，按照辅导输入用户名hello@bbb及正确的密码后，可顺利登录Switch，并具有用户变装network-operator所领有的敕令行实施权限。

1.10.4  SSH用户的LDAP认证设立 1. 组网需求

如图1-16所示，设立Switch罢了使用LDAP作事器对登录Switch的SSH用户进行认证，且认证通事后具有缺省的用户变装network-operator。

·     一台LDAP认证作事器与Switch连结，作事器IP地址为10.1.1.1。作事器域名为ldap.com。

·     在LDAP作事器上竖立经管员administrator的密码为admin!123456；并添加用户名为aaa的用户，密码为ldap!123456。

2. 组网图

图1-16 SSH用户LDAP认证设立组网图

 

3. 设立要领

(1)     设立LDAP作事器

 

# 添加用户aaa。

·     在LDAP作事器上，选用[启动/经管器具]中的[Active Directory用户和联想机]，翻开Active Directory用户经管界面；

·     在Active Directory用户经管界面的左侧导航树中，点击ldap.com节点下的“Users”按钮；

·     选用[操作/新建/用户]，翻开[新建对象-用户]对话框；

·     在对话框中输入用户登录名aaa，并单击<下一步>按钮。

图1-17 新建用户aaa

 

·     在弹出的对话框的“密码”区域框内输入用户密码ldap!123456，并单击<下一步>按钮。用户帐户的其它属性（密码的改换方式、密码的生活方式、是否禁用帐户）请字据本色情况选用设立，图中仅为示例。

图1-18 竖立用户密码

 

·     单击<完成>按钮，创建新用户aaa。

# 将用户aaa加入Users组。

·     在Active Directory用户经管界面的左侧导航树中，点击ldap.com节点下的“Users”按钮；

·     在右侧的Users信息框中右键单击用户aaa，选用“属性”项；

·     在弹出的[aaa属性]对话框中选用“隶属于”页签，并单击<添加(D)...>按钮。

图1-19 修改用户属性

 

·     在弹出的[选用组]对话框的可剪辑区域框中输入对象称号“Users”，单击<细则>，完成用户aaa添加到Users组。

图1-20 添加用户aaa到用户组Users

 

# 完成用户aaa的添加之后，还需要设立经管员用户administrator的密码为admin!123456。

·     在右侧的Users信息框中右键单击经管员用户administrator，选用“竖立密码(S)...”项；

·     在弹出的密码添加对话框中竖立经管员密码，详备过程略。

(2)     设立Switch

# 设立VLAN接口2的IP地址，SSH用户将通过该地址贯串Switch。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 24

[Switch-Vlan-interface2] quit

# 设立VLAN接口3的IP地址，Switch将通过该地址与LDAP作事器通讯。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] ip address 10.1.1.2 24

[Switch-Vlan-interface3] quit

# 生老土产货RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH作事器功能。

[Switch] ssh server enable

# 竖立SSH用户登寄托户线的认证方式为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用户变装授权功能，使得认证通事后的SSH用户具有缺省的用户变装network-operator。

[Switch] role default-role enable

# 创建LDAP作事器。

[Switch] ldap server ldap1

# 设立LDAP认证作事器的IP地址。

[Switch-ldap-server-ldap1] ip 10.1.1.1

# 设立具有经管员权限的用户DN。

[Switch-ldap-server-ldap1] login-dn cn=administrator，cn=users，dc=ldap，dc=com

# 设立具有经管员权限的用户密码。

[Switch-ldap-server-ldap1] login-password simple admin!123456

# 设立查询用户的肇始目次。

[Switch-ldap-server-ldap1] search-base-dn dc=ldap，dc=com

[Switch-ldap-server-ldap1] quit

# 创建LDAP有规画。

[Switch] ldap scheme ldap-shm1

# 设立LDAP认证作事器。

[Switch-ldap-ldap-shm1] authentication-server ldap1

[Switch-ldap-ldap-shm1] quit

# 创建ISP域bbb，为login用户设立AAA认证方法为LDAP认证、不授权、不计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login ldap-scheme ldap-shm1

[Switch-isp-bbb] authorization login none

[Switch-isp-bbb] accounting login none

[Switch-isp-bbb] quit

4. 考证设立

用户向Switch发起SSH贯串，按照辅导输入用户名aaa@bbb及正确的密码ldap!123456后，可顺利登录Switch，并具有用户变装network-operator所领有的敕令行实施权限。

1.11  AAA常见设立作假例如 1.11.1  RADIUS认证/授权失败 1. 故障表象

用户认证/授权老是失败。

2. 故障分析

(1)     勾引与RADIUS作事器之间存在通讯故障。

(2)     用户名不是“userid@isp-name”的花样，或勾引上莫得正确设立用于认证该用户的ISP域。

(3)     RADIUS作事器的数据库中莫得设立该用户。

(4)     用户侧输入的密码不正确。

(5)     RADIUS作事器和勾引的报文分享密钥不同。

3. 处理过程

(1)     使用ping敕令搜检勾引与RADIUS作事器是否可达。

(2)     使用正确花样的用户名或在勾引上确保正确设立了用于该用户认证的ISP域。

(3)     搜检RADIUS作事器的数据库以保证该用户的设立信息确乎存在。

(4)     确保接入用户输入正确的密码。

(5)     搜检两头的分享密钥，并确保两头一致。

1.11.2  RADIUS报文传送失败 1. 故障表象

RADIUS报文无法传送到RADIUS作事器。

2. 故障分析

(1)     勾引与RADIUS作事器之间的通讯存在故障。

(2)     勾引上莫得竖立相应的RADIUS作事器IP地址。

(3)     认证/授权和计费作事的UDP端口竖立不正确。

(4)     RADIUS作事器的认证/授权和计费端口被其它应用门径占用。

3. 处理过程

(1)     确保知晓引导。

(2)     确保正确竖立RADIUS作事器的IP地址。

(3)     确保与RADIUS作事器提供作事的端标语一致。

(4)     确保RADIUS作事器上的认证/授权和计费端口可用。

1.11.3  RADIUS计费功能颠倒 1. 故障表象

用户认证通过并取得授权，可是计费功能出现颠倒。

2. 故障分析

(1)     计费端标语竖立不正确。

(2)     计费作事器和认证作事器不是消亡台机器，勾引却要求认证和计费功能属于消亡个作事器（IP地址疏导）。

3. 处理过程

(1)     正确竖立RADIUS计费端标语。

(2)     确保勾引的认证作事器和计费作事器的竖立与本色情况疏导。

1.11.4  HWTACACS常见设立作假例如

HWTACACS的常见设立作假例如与RADIUS基本一样，不错参考以上内容。

1.11.5  LDAP常见设立作假例如 1. 故障表象

用户认证失败。

2. 故障分析

(1)     勾引与LDAP作事器之间存在通讯故障。

(2)     设立的认证/授权作事器IP地址或端标语不正确。

(3)     用户名不是“userid@isp-name”的花样，或勾引上莫得正确设立用于认证该用户的ISP域。

(4)     LDAP作事器目次中莫得设立该用户。

(5)     用户输入的密码不正确。

(6)     具有经管员权限的用户DN或密码莫得设立。

(7)     勾引上设立的用户参数（如用户名属性）与作事器上的设立分歧应。

(8)     认证操作时，莫得设立LDAP有规画用户查询的肇始DN。

3. 处理过程

(1)     使用ping敕令搜检勾引与LDAP作事器是否可达。

(2)     确保设立的认证作事器IP地址与端标语与LDAP作事器本色使用的IP地址和端标语相符。

(3)     使用正确花样的用户名或在勾引上确保正确设立了用于该用户认证的ISP域。

(4)     搜检LDAP作事器目次以保证该用户的设立信息确乎存在。

(5)     确保输入用户密码正确。

(6)     确保设立了正确的经管员用户DN和密码。

(7)     确保勾引上的用户参数（如用户名属性）设立与LDAP作事器上的设立疏导。

(8)     认证操作时，确保设立了用户查询的肇始DN。

 

• 系列
• 国产 女同
• H3C
• S5830V2
• S5820V2