AAA及RADIUS/HWTACACS协议配置
1.1 简介
1.1.1 AAA简介
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器。
具有访问权的用户可以得到哪些服务。
如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
1. 认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。
2. 授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
HWTACACS授权:由TACACS服务器对用户进行授权。
3. 计费功能
AAA支持以下计费方式:
不计费:不对用户计费。
远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。
AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
1.1.2 ISP域简介
ISP域即ISP用户群,一个ISP域是由属于同一个ISP的用户构成的用户群。
在“userid@isp-name”形式的用户名中,“@”后的“isp-name”即为ISP域的域名。接入设备将“userid”作为用于身份认证的用户名,将“isp-name”作为域名。
在多ISP的应用环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。
在ISP域视图下,可以为每个ISP域配置包括使用的AAA策略(使用的RADIUS方案等)在内的一整套单独的ISP域属性。
1.1.3 RADIUS协议简介
AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。
1. 什么是RADIUS
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境中。
RADIUS服务包括三个组成部分:
协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。
RADIUS服务器通常要维护三个数据库,如图1-1所示。
第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。
第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。
第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。
另外,RADIUS服务器还能够作为其他AAA服务器的客户端进行代理认证或计费。
2. RADIUS的基本消息交互流程
RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。用户、交换机、RADIUS服务器之间的交互流程如图1-2所示。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。
(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。
(9) 用户访问资源结束。
3. RADIUS协议的报文结构
RADIUS协议采用UDP报文来承载数据,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息正确收发。RADIUS报文结构如图1-3所示。
1.3 配置AAA
需要为合法用户提供网络接入服务,同时对网络设备进行保护,防止非授权访问和抵赖行为,需要配置AAA。当需要通过ISP域来对接入用户进行AAA等管理时,需要配置ISP域。
1.3.1 配置准备
如果采用远端认证、授权或计费方案时,需要已经创建RADIUS或HWTACACS方案。
RADIUS方案(radius-scheme):可以通过引用配置好的RADIUS方案来实现认证、授权、计费。有关RADIUS方案的配置请参见“1.4 配置RADIUS协议。”
HWTACACS方案(hwtacacs-scheme):可以通过引用配置好的HWTACACS方案来实现认证、授权、计费。有关HWTACACS方案的配置请参见“1.5 配置HWTACACS协议。”
1.3.2 创建ISP域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个ISP域,进入已创建的ISP域视图或者配置缺省的ISP域 |
domain { isp-name | default { disable | enable isp-name } } |
必选 缺省情况下,系统缺省的ISP域为system |
1.3.3 配置ISP域的属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个ISP域或者进入已创建的ISP域视图 |
domain isp-name |
必选 |
|
设置ISP域的状态 |
state { active | block } |
可选 缺省情况下,当一个ISP域被创建以后,其状态为active,允许任何属于该域的用户请求网络服务 |
|
指定可容纳接入用户数的最大值 |
access-limit { disable | enable max-user-number } |
可选 缺省情况下,当一个ISP域被创建以后,其可容纳的接入用户没有数量限制 |
|
设置用户闲置切断功能 |
idle-cut { disable | enable minute flow } |
可选 缺省情况下,关闭用户闲置切断功能 |
|
设置用户计费模式 |
accounting optional |
可选 缺省情况下,当一个ISP域被创建以后,计费可选开关关闭 |
|
设置域信使提醒功能 |
messenger time { enable limit interval | disable } |
可选 缺省情况下,交换机关闭信使提醒功能 |
|
设置自助服务器定位功能 |
self-service-url { disable | enable url-string } |
可选 缺省情况下,交换机关闭自助服务器定位功能 |
1.3.4 配置ISP域的AAA方案用户可以通过两种方式配置认证、授权、计费方案:
1. 认证、授权、计费捆绑方式
采用这种方式时,用户通过scheme命令指定具体的AAA方案。若采用RADIUS或HWTACACS方案,认证、授权、计费统一由RADIUS或HWTACACS方案中指定的RADIUS或TACACS服务器来完成,即认证、授权、计费不能分别指定不同的方案。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个ISP域或者进入已创建ISP域的视图 |
domain isp-name |
必选 |
|
配置域使用的AAA方案 |
scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] } |
必选, 系统缺省使用的AAA方案为local |
|
配置域使用的RADIUS方案 |
radius-scheme radius-scheme-name |
可选 此功能也可以通过scheme命令指定所引用的RADIUS方案实现 |
2. 认证、授权、计费分离方式
采用这种方式时,用户可以通过authentication、authorization、accounting这三条命令分别指定认证、授权、计费方案。认证、授权、计费分离方式中对于AAA支撑的各种业务的具体实现如下:
对于终端用户
认证采用:RADIUS,local,RADIUS-local或者none。
授权采用:none。
计费采用:RADIUS或者none。
用户可以参照上面的实现任意组合配置认证、授权和计费的方案。Quidway S2000-HI 系列以太网交换机 操作手册 AAA/RADIUS/HWTACACS 第 1 章
对于FTP用户
对于FTP用户仅支持认证。
认证采用:RADIUS,local,RADIUS-local。
请在ISP域视图下进行下列配置。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个ISP域或者进入已创建ISP域的视图 |
domain isp-name |
必选 |
|
配置域使用的认证方案 |
authentication { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none } |
可选 缺省情况下,没有配置分离的认证方案 |
|
配置域使用的授权方案 |
authorization { none | hwtacacs-scheme hwtacacs-scheme-name } |
可选 缺省情况下,没有配置分离的授权方案 |
|
配置域使用的计费方案 |
accounting { none | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name } |
可选 缺省情况下,没有配置分离的计费方案 |
1.3.5 配置动态VLAN下发特性动态VLAN下发是指以太网交换机根据RADIUS服务器下发的属性值,将已经通过身份认证的用户所在的端口动态地加入到不同的VLAN中,从而对用户所能访问的网络资源进行控制。
目前交换机支持RADIUS认证服务器下发整型和字符串型的VLAN ID:
整型:交换机根据RADIUS认证服务器下发的整型ID将端口加入相应VLAN中,如果该VLAN不存在,则首先创建VLAN,而后将端口加入到新创建的VLAN中。
字符串型:交换机根据RADIUS认证服务器下发的字符串型ID,与交换机上已存在VLAN的名称进行比对,如果找到匹配项,则将该端口加入相应VLAN中,否则VLAN下发失败,用户无法通过认证。
交换机支持两种模式的动态VLAN下发的是为了适应认证服务器而设置的。不同的认证服务器下发方式不同,建议用户根据所使用的服务器动态VLAN下发的格式来对设备进行配置。这里列出几种常用的服务器的下发模式:
|
服务器类型 |
动态VLAN下发方式 |
|
CAMS |
整型(最新版本根据属性值确定下发的是整型还是字符串型) |
|
ACS |
字符串型 |
|
FreeRADIUS |
根据属性值确定(100就是整型,“100”就是字符串型) |
|
Shiva Access Manager |
字符串型 |
|
Steel-Belted Radius Administrator |
字符串型 |
在实际应用中,为了与Guest VLAN配合使用,一般将端口控制方式设置为基于端口的方式;如果将端口控制方式设置为基于MAC地址的方式,则每个端口下面只能连接一个用户。
|
|
配置步骤 |
命令 |
说明 |
|
||
|
|
进入系统视图 |
system-view |
- |
|
||
|
|
创建ISP域,并进入其视图 |
domain isp-name |
- |
|
||
|
|
配置VLAN下发模式 |
vlan-assignment-mode { integer | string } |
可选 缺省情况下,VLAN下发模式为整型(integer) |
|
||
|
|
配置VLAN下发模式为字符串型 |
vlan-assignment-mode string |
与上一步骤必选其一 |
|
||
|
创建VLAN,并进入其视图 |
vlan vlan-id |
- |
||||
|
配置下发VLAN的名称 |
name string |
当配置VLAN下发模式为字符串型时,必须配置此任务 |
||||
1.3.6 配置本地用户的属性当AAA方案选择了本地认证方案(local)时,应在交换机上创建本地用户并配置相关属性。
所谓本地用户,是指在交换机上设置的一组用户的集合。该集合以用户名为用户的唯一标识。为使某个请求网络服务的用户可以通过本地认证,需要在交换机上的本地用户数据库中添加相应的表项。
表1-11 配置本地用户的属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加本地用户,并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,系统中没有任何本地用户 |
|
设置指定用户的密码 |
password { simple | cipher } password |
可选 |
|
设置所有本地用户密码的显示方式 |
local-user password-display-mode { cipher-force | auto } |
可选 缺省情况下,所有接入用户的密码显示方式为auto,表示按照用户配置的密码显示方式显示 |
|
设置指定用户的状态 |
state { active | block } |
可选 缺省情况下,当一个本地用户被创建以后,其状态为active,允许该用户请求网络服务 |
|
设置用户可以使用的服务类型 |
service-type { ftp | lan-access | { telnet | ssh | terminal }* [ level level ] } |
必选 缺省情况下,系统不对用户授权任何服务 |
|
设置用户的优先级 |
level level |
可选 缺省情况下,用户的优先级为0 |
|
服务类型为lan-access用户的属性设置 |
attribute { ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port port-number | port port-number } }* |
可选 当指定用户绑定的是远程端口,则该用户必需指定nas-ip参数,缺省为127.0.0.1,表示为本机;若用户绑定的是本地端口,则不需要指定nas-ip参数 |
1.3.7 配置强制切断用户连接
表1-12 配置强制切断用户连接
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
强制切断用户连接 |
cut connection { all | access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name } |
必选 |
1.4 配置RADIUS协议
RADIUS协议配置是以RADIUS方案为单位进行的,一个RADIUS方案在实际组网环境中既可以运用于一台独立的RADIUS服务器,也可以运用于两台配置相同、但IP地址不同的主、从RADIUS服务器。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、从服务器的IP地址、共享密钥以及RADIUS服务器类型等。
在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器(如果不配置计费服务器,则必须配置accounting optional命令)。同时,保证交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
1.4.1 创建RADIUS方案RADIUS协议的配置是以RADIUS方案为单位进行的。在进行其它RADIUS协议配置之前,必须先创建RADIUS方案并进入其视图。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
1.4.2 配置RADIUS认证/授权服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
设置主RADIUS认证/授权服务器的IP地址和端口号 |
primary authenticaiton ip-address [ port-number ] |
必选 缺省情况下,主认证/授权服务器的IP地址为0.0.0.0,UDP端口号为1812 |
|
设置从RADIUS认证/授权服务器的IP地址和端口号 |
secondary authentication ip-address [ port-number ] |
可选 缺省情况下,从认证/授权服务器的IP地址均为0.0.0.0,UDP端口号为1812 |
1.4.3 配置RADIUS服务器
|
操作 |
命令 |
说明 |
|
|||
|
进入系统视图 |
system-view |
- |
|
|||
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
|||
|
|
设置主RADIUS计费服务器的IP地址和端口号 |
primary accounting ip-address [ port-number ] |
必选 缺省情况下,主计费服务器的IP地址均为0.0.0.0,UDP端口号为1813 |
|||
|
|
设置从RADIUS计费服务器的IP地址和端口号 |
secondary accounting ip-address [ port-number ] |
可选 缺省情况下,从计费服务器的IP地址均为0.0.0.0,UDP端口号为1813 |
|||
|
|
使能停止计费报文缓存功能 |
stop-accounting-buffer enable |
可选 缺省情况下,使能停止计费报文缓存功能 |
|||
|
|
使能停止计费报文重传功能,并配置停止计费报文可以传送的最大次数 |
retry stop-accounting retry-times |
可选 缺省情况下,最多可以将缓存的停止计费请求报文重发500次 |
|||
|
|
设置允许实时计费失败的最大次数 |
retry realtime-accounting retry-times |
可选 缺省情况下,最多允许5次实时计费失败,5次之后将切断用户连接 |
|||
1.4.4 配置RADIUS报文的共享密钥
RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
设置RADIUS认证/授权报文的共享密钥 |
key authentication string |
必选 缺省情况下,RADIUS认证/授权报文的共享密钥为“huawei” |
|
设置RADIUS计费报文的共享密钥 |
key accounting string |
必选 缺省情况下,RADIUS计费报文的共享密钥为“huawei” |
1.4.5 配置RADIUS请求报文的最大传送次数
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应交换机,则交换机有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则交换机将认为本次认证失败。
表1-17 配置RADIUS请求报文的最大传送次数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
设置RADIUS请求报文的最大传送次数 |
retry retry-times |
可选 缺省情况下,RADIUS请求报文的最大传送次数为3次 |
1.4.6 配置支持的RADIUS服务器的类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
设置支持何种类型的RADIUS服务器 |
server-type { huawei | standard } |
可选 缺省情况下,交换机支持的RADIUS服务器类型为standard。系统缺省创建的system方案的RADIUS服务器类型是huawei |
1.4.7 配置RADIUS服务器的状态
对于某个RADIUS方案中的主、从服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与交换机的通信中断时,交换机会主动地与从服务器交互报文。
当主服务器变为block的状态超过timer quiet命令设定的时间后,若有RADIUS请求,交换机会尝试与主服务器通信。如果主服务器恢复正常,交换机会立即恢复与其通信,而不与从服务器通信,同时,主服务器的状态恢复为active,从服务器的状态不变。
当主服务器与从服务器的状态都为active或block时,交换机将只把报文发送到
主服务器上。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
设置主RADIUS认证/授权服务器的状态 |
St ate primary authentication { block | active } |
可选 缺省情况下,RADIUS方案中各RADIUS服务器的状态均为block。系统缺省创建的system方案的主RADIUS服务器的状态为active,从RADIUS服务器的状态为block |
|
设置主RADIUS计费服务器的状态 |
state primary accounting { block | active } |
|
|
设置从RADIUS认证/授权服务器的状态 |
state secondary authentication { block | active } |
|
|
设置从RADIUS计费服务器的状态 |
state secondary accounting { block | active } |
1.4.8 配置发送给RADIUS服务器的数据相关属性
表1-20 配置发送给RADIUS服务器的数据相关属性
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
|
设置发送给RADIUS服务器的用户名格式 |
user-name-format { with-domain | without-domain } |
可选 缺省情况下,交换机发送给RADIUS服务器的用户名携带有ISP域名 |
|
|
设置发送给RADIUS服务器的数据流的单位 |
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte } packet { giga-packet | kilo-packet | mega- packet | one-packet } |
可选 缺省情况下,RADIUS方案默认的发送数据单位为byte,数据包的单位为one-packet |
|
|
设置交换机发送RADIUS报文使用的源IP地址 |
RADIUS视图 nas-ip ip-address |
可选 缺省情况下,不指定源IP地址,即以发送报文的接口地址作为源IP地址 |
|
|
系统视图 radius nas-ip ip-address |
|
||
1.4.9 配置本地RADIUS认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建本地RADIUS认证服务器 |
local-server nas-ip ip-address key password |
必选 缺省情况下,系统创建了一个本地RADIUS认证服务器,其NAS-IP为127.0.0.1、密钥为huawei |
1.4.10 配置RADIUS服务器的定时器
如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长。交换机系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器。
对于某个RADIUS方案中的主、从服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与设备的通信中断时,设备会主动地与从服务器交互报文。
当主服务器变为block的状态超过timer quiet命令设定的时间后,当有RADIUS请求时,设备会尝试与主服务器通信,如果主服务器恢复正常,设备会立即恢复与其通信,而不继续与从服务器通信。同时,主服务器的状态恢复为active,从服务器的状态不变。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,交换机会向RADIUS服务器发送一次在线用户的计费信息。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建RADIUS方案并进入其视图 |
radius scheme radius-scheme-name |
必选 缺省情况下,系统中已创建了一个名为“system”的RADIUS方案 |
|
设置RADIUS服务器应答超时时间 |
timer response-timeout seconds或者timer second |
可选 缺省情况下,RADIUS服务器应答超时定时器为3秒 |
|
设置主服务器恢复激活状态的时间 |
timer quiet minutes |
可选 缺省情况下,主服务器恢复激活状态前需要等待5分钟 |
|
设置实时计费间隔 |
timer realtime-accounting minutes |
可选 缺省情况下,实时计费间隔为12分钟 |
1.4.11 配置系统发送RADIUS 服务器状态变为Down的Trap
表1-23 配置本地RADIUS认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能当RADIUS 服务器状态变为down时,系统发送Trap |
radius trap { authentication-server-down | accounting-server-down } |
可选 缺省情况下,此功能关闭 |
1.4.12 配置设备重启用户再认证功能
在交换机与CAMS配合实现认证/授权/计费的AAA方案中,限制唯一性用户(指在CAMS上设置了“在线数量限制”为1的用户)通过认证/授权、开始计费时,如果交换机发生重启,在CAMS进行用户在线检查前,当用户再次登录交换机时,交换机会提示该用户已经在线,导致该用户无法正常访问网络资源。只有在网络管理员手工删除该用户的在线信息后,该用户才可以再次登录。
解决上述问题的方法是在交换机上启动设备重启用户再认证功能。启动设备重启用户再认证功能后,交换机每次发生重启时:
交换机生成Accounting-On报文,该报文主要包括NAS-ID、NAS-IP(源IP)和会话ID信息。
交换机每隔设定的时间间隔向CAMS发送Accouting-On报文。
CAMS收到Accounting-On报文后,立即向交换机发送一个响应报文,并根据Accouting-On报文中的NAS-ID、NAS-IP和会话ID,找到并删除通过交换机接入的原用户在线信息,并按照最后一次计费更新报文结束计费。
当交换机收到CAMS的响应报文后,即停止发送Accounting-On报文。
如果交换机发送Accounting-On报文的次数已达到设定的最大发送次数,但是仍没有收到CAMS的响应报文,则交换机停止发送Accounting-On报文。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入RADIUS方案视图 |
radius scheme radius-scheme-name |
- |
|
启动设备重启用户再认证功能 |
accounting-on enable [ send times | interval interval ] |
缺省情况下:设备重启用户再认证功能处于关闭状态;发送Accounting-On报文的最大次数(times)为15次、时间间隔(interval)为3秒 |
