s2000系列配置指導(dǎo)分冊v1及安全協(xié)議files file

1、Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置目 錄目 錄第 1 章 802.1x 配置1-11.1 802.1x 簡介1-11.1.1 802.1x 標(biāo)準(zhǔn)簡介1-11.1.2 802.1x 體系結(jié)構(gòu)1-11.1.3 802.1x 的認(rèn)證過程1-21.1.4 802.1x 在 S2000 系列以太網(wǎng)交換機中的實現(xiàn)1-31.2 802.1x 配置1-41.2.1 802.1x 配置任務(wù)列表1-41.2.2 開啟/關(guān)閉 802.1x 特性1-41.2.3 設(shè)置端口接入1.2.4 設(shè)置端口接入的模式1-5方式1-51.2.5 設(shè)置端口接入用戶數(shù)

2、量的最大值1-61.2.6 設(shè)置DHCP 觸發(fā)認(rèn)證1-61.2.7 設(shè)置認(rèn)證請求幀的可重復(fù)次數(shù)1-71.2.8 配置定時器參數(shù)1-71.3 802.1x 的與維護1-81.4 802.1x 典型配置舉例1-9第 2 章 AAA 和 RADIUS 協(xié)議配置2-12.1 AAA 和 RADIUS 協(xié)議簡介2-12.1.1 AAA 概述2-12.1.2 RADIUS 協(xié)議概述2-12.1.3 AAA/RADIUS 在 S2000 系列以太網(wǎng)交換機中的實現(xiàn)2-22.2 AAA 配置2-32.2.1 AAA 配置任務(wù)列表2-32.2.2 設(shè)置認(rèn)證/方法表2-32.2.3 設(shè)置計費方法表2-52.2.4

3、創(chuàng)建/刪除 ISP 域2-52.2.5 配置 ISP 域的相關(guān)屬性2-62.2.6 配置用戶模板屬性2-72.2.7 指定缺省的 ISP 域2-82.2.8 添加本地用戶2-82.2.9 配置本地 802.1x 用戶屬性2-92.2.10 強制切斷用戶連接2-102.3 RADIUS 協(xié)議配置2-102.3.1 RADIUS 協(xié)議配置任務(wù)列表2-11iQuidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置目 錄2.3.2 創(chuàng)建/刪除 RADIUS 服務(wù)器組2-112.3.3 設(shè)置RADIUS 服務(wù)器的 IP 地址和端. 2-122.3.4 設(shè)置R

4、ADIUS 報文的加密密鑰2-132.3.5 設(shè)置RADIUS 服務(wù)器響應(yīng)超時定時器2-132.3.6 設(shè)置RADIUS 請求報文的最大傳送次數(shù)2-142.3.7 設(shè)置實時計費間隔2-142.3.8 設(shè)置實時計費請求無響應(yīng)的最大次數(shù)2-152.3.9 設(shè)置停止計費請求報文的最大重發(fā)次數(shù)2-162.3.10 設(shè)置支持何種類型的 RADIUS 服務(wù)器2-162.3.11 設(shè)置RADIUS 服務(wù)器的狀態(tài)2-162.3.12 設(shè)置給RADIUS 服務(wù)器的用戶名格式2-172.4 AAA 和 RADIUS 協(xié)議的與維護2-182.5 AAA 和 RADIUS 協(xié)議典型配置舉例2-192.6 AAA 和

5、RADIUS 協(xié)議故障的診斷與排除2-19iiQuidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置第1章 802.1x 配置1.1 802.1x 簡介1.1.1802.1x 標(biāo)準(zhǔn)簡介IEEE 802.1x 標(biāo)準(zhǔn)（以下簡稱 802.1x）的主要內(nèi)容是一種基于端口的網(wǎng)絡(luò)接入（Port Based Network Access Control）協(xié)議，IEEE 于 2001 年頒布該標(biāo)準(zhǔn)文本并建議業(yè)界廠商使用其中的協(xié)議作為局域網(wǎng)用戶接入認(rèn)證的標(biāo)準(zhǔn)協(xié)議。802.1x 的提出于 IEEE 802.11 標(biāo)準(zhǔn)無線局域網(wǎng)用戶接入?yún)f(xié)

6、議標(biāo)準(zhǔn)，其最初目的主要是解決無線局域網(wǎng)用戶的接入認(rèn)證問題；但由于它的原理對于所有符合 IEEE 802 標(biāo)準(zhǔn)的局域網(wǎng)具有普適性，因此后來它在有線局域網(wǎng)中也得到了廣泛的應(yīng)用。在符合 IEEE 802 標(biāo)準(zhǔn)的局域網(wǎng)中，只要與局域網(wǎng)接入設(shè)備如 LANSwitch。但是對于諸如電相接，用戶就可以與局域網(wǎng)連接并其中的設(shè)備和入、商務(wù)局域網(wǎng)（典型的例子是寫字樓中的 LAN）以及移動辦公等應(yīng)用場合，局域網(wǎng)服務(wù)的提供者普遍希望能對用戶的接入進行，為此產(chǎn)生了本章開始就提到的對“基于端口的網(wǎng)絡(luò)接入”的需求。顧名思義，“基于端口的網(wǎng)絡(luò)接入這一級對所接入的設(shè)備進行認(rèn)證和”是指在局域網(wǎng)接入設(shè)備的端口。連接在端口上的用戶設(shè)

7、備如果能通過認(rèn)證，就可以局域網(wǎng)中的；如果不能通過認(rèn)證，則無法局域網(wǎng)中的相當(dāng)于連接被物理斷開。802.1x 定義了基于端口的網(wǎng)絡(luò)接入?yún)f(xié)議，并且僅定義了接入設(shè)備與接入端口間點到點這一種連接方式。其中端口既可以是物理端口，也可以是邏輯端口。典型的應(yīng)用環(huán)境如：LANSwitch 的每個物理端口連接一個用戶的計算機工作站（基于物理端口），IEEE 802.11 標(biāo)準(zhǔn)定義的無線 LAN 接入環(huán)境（基于邏輯端口）等。1.1.2802.1x 體系結(jié)構(gòu)使用 802.1x 的系統(tǒng)為典型的 C/S（Client/Server，客戶機/服務(wù)器）體系結(jié)構(gòu)， 包括三個實體，如下圖所示分別為： Supplicant Sys

8、tem（接入系統(tǒng)）、Authenticator System（認(rèn)證系統(tǒng)）以及 Authentication Server System（認(rèn)證服務(wù)器系統(tǒng)）。1-1Quidway® S2000 系列以太網(wǎng)交換機AAA 及安全協(xié)議配置用戶手冊 配置指導(dǎo)分冊第 1 章 802.1x 配置設(shè)備需要提供 802.1x 的認(rèn)證系統(tǒng)（Authenticator System）局域網(wǎng)接入部分；用戶側(cè)的設(shè)備如計算機等需要安裝 802.1x 的客戶端（SupplicantSystem）軟件，如公司提供的 802.1x 客戶端（或如 Windows XP 自帶的802.1x 客戶端）；802.1x 的認(rèn)證服

9、務(wù)器系統(tǒng)（Authentication Server System）則一般駐留在運營商的 AAA 中心。Authenticator 與 Authentication Server 間 通 過 EAP （ Extensible Authentication Protocol ，可擴展認(rèn)證協(xié)議） 幀交換信息， Supplicant 與Authenticator 間則以 IEEE 802.1x 所定義的 EAPoL（EAP over LANs，局域網(wǎng)上的 EAP）幀交換信息，EAP 幀中封裝了認(rèn)證數(shù)據(jù)，該認(rèn)證數(shù)據(jù)將被封裝在其它 AAA 上層協(xié)議（如 RADIUS ）的報文中以穿越復(fù)雜的網(wǎng)絡(luò)到達Aut

10、hentication Server，這一過程被稱為 EAP Relay。Authenticator 的端口又分為兩種：非受控端口（Uncontrolled Port）和受控端口（Controlled Port）。非受控端口始終處于雙向連通狀態(tài)，用戶接入設(shè)備可以隨時通過這些端口網(wǎng)絡(luò)以獲得服務(wù)；受控端口只有在用戶接入設(shè)備通過認(rèn)證后才處于連通狀態(tài)，才用戶通過其進一步網(wǎng)絡(luò)。Authenticator Server SystemAuthenticator SystemServices offered byAuthenticators SystemAuthenticator ServerEAP prot

11、ocolexchangesPort unauthorizedcarried in higher layerUncontrolled Porttrolled PortprotocolEAPoLLAN圖1-1 802.1x 體系結(jié)構(gòu)1.1.3 802.1x 的認(rèn)證過程802.1x 通過 EAP 幀承載認(rèn)證信息。標(biāo)準(zhǔn)中共定義了如下幾種類型的 EAP 幀：l EAP-Packet：認(rèn)證信息幀，用于承載認(rèn)證信息。l EAPoL-Start：認(rèn)證發(fā)起幀，Supplicant 主動發(fā)起的認(rèn)證發(fā)起幀。l EAPoL-Logoff：請求幀，主動終止已認(rèn)證狀態(tài)。l EAPoL-Key：密鑰信息幀，支持對 EAP

12、報文的加密。1-2Authenticator PAESupplicant SystemSupplicantConQuidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置EAPoL-Encapsulated-ASF-Alert：用于支持 Alert Standard Forum（ASF）的 Alerting 消息。其中 EAPoL-Start 、 EAPoL-Logoff 和 EAPoL-Key 僅在 Supplicant 和Authenticator 間存在；EAP-Packet 信息由 Authenticator S

13、ystem 重新封裝后傳遞到 Authentication Server System；EAPoL-Encapsulated-ASF-Alert 與網(wǎng)管信息相關(guān)，由 Authenticator 終結(jié)。上述幀的交互如下圖所示。zPCRADIUS Server&DHCPAccess BlockedEAPoLRADIUSEAPoL_StartEAP_Request/IdentityEAP_Response/IdentityRADIUS_Access_RequestRADIUS_Access_ChallengeEAP_RequestEAP_Response(cretentials)RADIUS

14、_Access_RequestEAP_SuccessRADIUS_Access_AcceptAccess Allowed圖1-2 802.1x 認(rèn)證過程1.1.4 802.1x 在 S2000 系列以太網(wǎng)交換機中的實現(xiàn)由上述的原理我們可以看到，802.1x 提供了一個用戶認(rèn)證的實現(xiàn)方案，但是僅僅依靠 802.1x 是不足以實現(xiàn)該方案的接入設(shè)備的管理者還要對AAA 方法進行配置，選擇使用 RADIUS 或本地認(rèn)證方法，以配合 802.1x 完成用戶的認(rèn)證。AAA 方法的具體配置細(xì)節(jié)，請參見本書的“AAA 和 RADIUS協(xié)議配置”章節(jié)。Quidway S2000 系列以太網(wǎng)交換機在 802.1x

15、 的實現(xiàn)中，不僅支持協(xié)議所規(guī)定的端口接入認(rèn)證方式，還對其進行了擴展、優(yōu)化：l 支持一個物理端口下掛接多個用戶計算機的應(yīng)用場合；1-3Quidway® S2000 系列以太網(wǎng)交換機AAA 及安全協(xié)議配置用戶手冊 配置指導(dǎo)分冊第 1 章 802.1x 配置接入方式（即對用戶的認(rèn)證方式）不僅可以基于端口，還可以基于zMAC 地址。這樣就極大地提高了系統(tǒng)的安全性和可管理性。1.2 802.1x 配置1.2.1802.1x 配置任務(wù)列表802.1x 本身的各項配置任務(wù)都可以在以太網(wǎng)交換機的全局模式下完成。當(dāng)全局 802.1x 沒有開啟時，可以對端口的 802.1x 狀態(tài)進行配置，所配置項會在開

16、啟全局 802.1x 后生效。 說明：請不要同時啟動 802.1x 與 RSTP，兩者同時啟動時不能保證 S2000 系列以太網(wǎng)交換機的正常工作。802.1x 的主要配置任務(wù)列表如下：l 開啟/關(guān)閉 802.1x 特性l 設(shè)置端口接入l 設(shè)置端口接入的模式方式l 設(shè)置端口接入用戶數(shù)量的最大值l 設(shè)置DHCP 觸發(fā)認(rèn)證l 設(shè)置認(rèn)證請求幀的可重復(fù)l 配置定時器參數(shù)次數(shù)在以上的配置任務(wù)中，第一項任務(wù)是必配的，否則 802.1x 無法發(fā)揮作用；其余任務(wù)則是可選的，用戶可以根據(jù)各自的具體需求決定是否進行這些配置。1.2.2開啟/關(guān)閉 802.1x 特性可以通過下面令開啟/關(guān)閉指定端口上的 802.1x

17、特性；當(dāng)不指定任何確定的端口時，開啟/關(guān)閉全局的 802.1x 特性。請在全局配置模式或以太網(wǎng)端口配置模式下進行下列配置。1-4Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置表1-1 開啟/關(guān)閉 802.1x 特性各端口的 802.1x 狀態(tài)在全局 802.1x 沒有開啟之前可以配置，但不起作用；在全局 802.1x 啟動后，各端口配置會立即生效。缺省情況下，全局及端口的 802.1x 特性均為關(guān)閉狀態(tài)。1.2.3設(shè)置端口接入的模式可以通過下面令來設(shè)置 802.1x 在指定端口上進行接入有指定任何確定的端口時

18、，設(shè)置的是所有端口進行接入的模式。當(dāng)沒的模式。請在全局或以太網(wǎng)端口配置模式下進行下列配置。表1-2 設(shè)置端口接入的模式缺省情況下，802.1x 在端口上進行接入的模式為 auto（自動識別模式，又稱為協(xié)議文收發(fā)，不模式），即：端口初始狀態(tài)為非狀態(tài)，僅EAPoL 報用戶網(wǎng)絡(luò)。；如果認(rèn)證流程通過，則端口切換到狀態(tài)，用戶網(wǎng)絡(luò)1.2.4設(shè)置端口接入方式可以通過下面令來設(shè)置 802.1x 在指定端口上進行接入的方式。當(dāng)沒有指定任何確定的端口時，設(shè)置的是所有端口進行接入的方式。請在全局或以太網(wǎng)端口配置模式下進行下列配置。1-5操作命令設(shè)置端口接入的模式dot1x port-control force-au

19、thorized | force-unauthorized | auto interface port-list 將端口接入的模式恢復(fù)為缺省值no dot1x port-control interface port-list 操作命令開啟 802.1x 特性dot1x interface port-list 關(guān)閉 802.1x 特性no dot1x interface port-list Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置表1-3 設(shè)置端口接入方式缺省情況下，802.1x 在端口上進行接入地址進行

20、認(rèn)證。的方式為macbased，即基于MAC1.2.5設(shè)置端口接入用戶數(shù)量的最大值可以通過下面令來設(shè)置 802.1x 在指定端口上可容納接入用戶數(shù)量的最大值。當(dāng)沒有指定任何確定的端口數(shù)量。表所有端口都容納所設(shè)置的接入用戶請在全局或以太網(wǎng)端口配置模式下進行下列配置。表1-4 設(shè)置端口接入用戶數(shù)量的最大值缺省情況下，802.1x 在 S2000 系列以太網(wǎng)交換機所有的端口上都64 個接入用戶。最多有1.2.6DHCP 觸發(fā)認(rèn)證設(shè)置可以通過下面令來設(shè)置 802.1x 是否以太網(wǎng)交換機在用戶運行DHCP、申請動態(tài) IP 地址時就觸發(fā)對其的認(rèn)證。請在全局模式下進行下列配置。表1-5 設(shè)置DHCP 觸發(fā)認(rèn)

21、證1-6操作命令DHCP 觸發(fā)認(rèn)證dot1x dhcp-launch不DHCP 觸發(fā)認(rèn)證no dot1x dhcp-launch操作命令設(shè)置端口接入用戶數(shù)量的最大值dot1x max-user user-number interface port-list 將端口接入用戶數(shù)量的最大值恢復(fù)為缺省值no dot1x max-user interface port-list 操作命令設(shè)置端口接入方式dot1x port-method macbased |portbased interface portlist 將端口接入方式恢復(fù)為缺省值no dot1x port-method interface p

22、ortlist Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置缺省情況下，不在用戶運行 DHCP 申請動態(tài) IP 地址時就觸發(fā)對其的認(rèn)證。1.2.7設(shè)置認(rèn)證請求幀的可重復(fù)次數(shù)可以通過下面的次數(shù)。令來設(shè)置以太網(wǎng)交換機可重復(fù)向接入用戶認(rèn)證請求幀請在全局模式下進行下列配置。表1-6 設(shè)置認(rèn)證請求幀的可重復(fù)次數(shù)缺省情況下，max-req-value 為 3，即交換機最多可重復(fù)向接入用戶認(rèn)證請求幀。3 次1.2.8配置定時器參數(shù)可以通過下面令來配置 802.1x 的各項定時器參數(shù)。請在全局模式下進行下列配置。表1-7

23、配置定時器參數(shù)其中：quiet-period quiet-period-value：靜默定時器，取值范圍為 10120，為秒。server-timeout server-timeout-value：RADIUS 服務(wù)器超時定時器，取值范圍為 100300，為秒。1-7操作命令配置定時器參數(shù)dot1x timeout quiet-period quiet-period-value |tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value 將定時器參數(shù)恢復(fù)為缺

24、省值no dot1x timeout quiet-period | tx-period |supp-timeout | server-timeout 操作命令設(shè)置認(rèn)證請求幀的可重復(fù)次數(shù)dot1x max-req max-req-value將認(rèn)證請求幀的可重復(fù)次數(shù)恢復(fù)為缺省值no dot1x max-reqQuidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置supp-timeout supp-timeout-value：Supplicant 認(rèn)證超時定時器，取值范圍為 10120，為秒。tx-period tx-pe

25、riod-value：傳送超時定時器，取值范圍為 10120，秒。為缺 省 情況下 ， quiet-period-value 為 60s ； tx-period-value 為 30s ；supp-timeout-value 為 30s；server-timeout-value 為 100s。1.3802.1x 的與維護用戶模式下進行下列操作。其中，show dot1x 命令還可以在除普通請在用戶模式以外的所有模式下使用。表1-8 802.1x 的與維護！顯示系統(tǒng)中 802.1x 的配置信息。Quidway# show dot1x802.1X protocol is enableConfigu

26、re: Transmit PeriodMax-req is Quiet Period Supp Timeout000030000003000060000030s,CommitPeriod000015 ss,s,Quiet Period Timer is disableServer Timeout 000100 sTotalum on-line usernumbernumberisis5120Total current on-line userPort Ethernet0/1 is link-down 802.1X protocol is enableThe port is a(n) authe

27、nticatorAuthenticate Mode is auto1-8操作命令清除 802.1x 的統(tǒng)計信息clear dot1x statistics interface port-list 顯示 802.1x 的配置、運行情況和統(tǒng)計信息show dot1x session | statistics port-list 打開 802.1x 的錯誤/報文/全部調(diào)試開關(guān)debug dot1x error | event | packet | all 關(guān)閉 802.1x 的錯誤/報文/全部調(diào)試開關(guān)no debug dot1x error | event | packet | all Quidwa

28、y® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置Port Control Type is Mac-BaseMax on-line user number is 64Port Ethernet0/2 is link-down 802.1X protocol is disable The port is a authenticator Authenticate Mode is auto Port Control Type is Mac-BaseMax on-line user number is 64（以下略）以上顯示信息表示

29、：全局的 802.1x 特性已經(jīng)開啟，各項定時器的取值為多少， 最大可接入用戶為 512，當(dāng)前接入用戶數(shù)為 0；端口 Ethernet 0/1 的鏈路狀態(tài)為 down，該端口上已經(jīng)啟動了 802.1x 特性，工作在認(rèn)證系統(tǒng)模式下，其認(rèn)證方式為 auto，基于 MAC 地址對用戶進行認(rèn)證，該端口最多可容納的接入用戶數(shù)為 64；端口 Ethernet 0/2 的鏈路狀態(tài)為 down，沒有啟動 802.1x 特性， 其它各項屬性與 Ethernet 0/1 相同。（以下其它各端口顯示信息類似，故省略，不再贅述。）1.4802.1x 典型配置舉例1. 組網(wǎng)需求如下圖所示，某用戶的工作站與以太網(wǎng)交換機

30、Quidway S2016 的端口Ethernet 0/1 相連接。交換機的管理者希望在各端口上對用戶接入進行認(rèn)證，以其Internet；接入模式要求是基于 MAC 地址的接入。所有 AAA 接入用戶都屬于一個缺省的域：，該域最多可容納30 個用戶；認(rèn)證時，先進行 RADIUS 認(rèn)證，如果 RADIUS 服務(wù)器沒有響應(yīng)再轉(zhuǎn)而進行本地認(rèn)證；計費時，如果 RADIUS 計費失敗則切斷用戶連接使其下線；此外，接入時在用戶名后不添加，正常連接時如果用戶有超過 20 分鐘流量持續(xù)小于 2000Byte/s 的情況則切斷其連接。由兩臺 RADIUS 服務(wù)器組成的服務(wù)器組與交換機相連，其 IP 地址分別為1

31、0.11.1.1 和 10.11.1.2，要求使用前者作為主認(rèn)證/從計費服務(wù)器，使用后者作為從認(rèn)證/主計費服務(wù)器；設(shè)置系統(tǒng)與認(rèn)證 RADIUS 服務(wù)器交互報文時的加密為“name”、與計費 RADIUS 服務(wù)器交互報文時的加密money”，設(shè)置系統(tǒng)在向 RADIUS 服務(wù)器報文后 5 秒種內(nèi)如果沒有得到響應(yīng)就向其報文的次數(shù)總共為 5 次，設(shè)置系統(tǒng)每 15 分鐘就向重新報文，重復(fù)1-9Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章 802.1x 配置RADIUS 服務(wù)器一次實時計費報文，指示系統(tǒng)從用戶名中去除用戶后再將之傳給 RA

32、DIUS 服務(wù)器。本地 802.1x 接入用戶的用戶名為 localuser，為，為localpass，使用明文輸入，閑置切斷功能處于打開狀態(tài)。2. 組網(wǎng)圖Authenticator Servers (RADIUS Server Cluster IP Addr: 10.11.1.110.11.1.2)InternetEthernet0/1Quidway S2016Supplicant圖1-3 啟動 802.1x 和 RADIUS 對接入用戶進行 AAA 操作3. 配置步驟 說明：下述各配置步驟包含了大部分 AAA/RADIUS 協(xié)議配置命令，對這些命令的介紹，請參見“AAA 和 RADIUS

33、協(xié)議配置”一章的相關(guān)章節(jié)。此外，接入用戶工作站和 RADIUS 服務(wù)器上的配置略。！開啟指定端口 Ethernet 0/1 的 802.1x 特性。Quidway(config)# dot1x interface ethernet 0/1！設(shè)置接入的方式（該命令可以不配置，因為端口的接入在缺省情況下就是基于 MAC 地址的）。Quidway(config)# dot1x port-method macbased interface ethernet 0/1！設(shè)置認(rèn)證方法。Quidway(config)# aaa authentication auth radius next local！設(shè)置計

34、費方法。1-10Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 1 章802.1x 配置Quidway(config)# aaa accounting charge enable offline！創(chuàng)建 RADIUS 組 radius1 并進入其配置模式。Quidway(config)# radius-server host radius1！設(shè)置主認(rèn)證/計費 RADIUS 服務(wù)器的 IP 地址。Quidway(config-radius-radius1)# primary auth 10.11.1.1Quidway(config-radi

35、us-radius1)# primary acct 10.11.1.2！設(shè)置從認(rèn)證/計費 RADIUS 服務(wù)器的 IP 地址。Quidway(config-radius-radius1)# second auth 10.11.1.2Quidway(config-radius-radius1)# second acct 10.11.1.1！設(shè)置系統(tǒng)與認(rèn)證 RADIUS 服務(wù)器交互報文時的加密。Quidway(config-radius-radius1)# key auth name！設(shè)置系統(tǒng)與計費 RADIUS 服務(wù)器交互報文時的加密。Quidway(config-radius-radius1)

36、# key acct money！設(shè)置系統(tǒng)向 RADIUS 服務(wù)器重發(fā)報文的時間間隔與次數(shù)。Quidway(config-radius-radius1)# timeout 5Quidway(config-radius-radius1)# retransmit 5！設(shè)置系統(tǒng)向 RADIUS 服務(wù)器實時計費報文的時間間隔。Quidway(config-radius-radius1)# realtime-acct-timeout 15！指示系統(tǒng)從用戶名中去除用戶后再將之傳給 RADIUS 服務(wù)器。Quidway(config-radius-radius1)# username-format with

37、out-domainQuidway(config-radius-radius1)# exit 并進入其配置模式。！創(chuàng)建用戶域Quidway(config)# domain！指定 auth 為該域用戶的認(rèn)證方法。Quidway(config-isp-)# authen-scheme auth！指定 charge 為該域用戶的計費方法。Quidway(config-isp-)# acct-scheme charge！指定 radius1 為該域用戶的 RADIUS 服務(wù)器組。1-11Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊AAA 及安全協(xié)議配置配置指導(dǎo)分冊第 1 章 80

38、2.1x 配置Quidway(config-isp-)# radius-scheme radius1！設(shè)置該域最多可容納 30 個用戶。Quidway(config-isp-)# access-limit enable 30！設(shè)置該域用戶的閑置切斷參數(shù)并啟動閑置切斷功能。Quidway(config-isp-)# idle-cut data 20 2000Quidway(config-isp-)# user-template idle-cut enable！將該域設(shè)置為全局缺省域，并且不對接入用戶添加。Quidway(config)# global setting domain-default

39、 enable no！添加本地接入用戶并設(shè)置其參數(shù)。Quidway(config)# user localuserQuidway(config)# set user localuserservice-type 8021x enable password 0 localpass！開啟全局 802.1x 特性。Quidway(config)# dot1x1-12Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 2 章 AAA 和 RADIUS 協(xié)議配置第2章 AAA 和 RADIUS 協(xié)議配置2.1 AAA 和RADIUS 協(xié)議簡介2.1.1

40、AAA 概述1. 什么是 AAAAAA 是 Authentication，Authorization and Accounting（認(rèn)證、和計費）的簡稱，它提供了一個用來對認(rèn)證、和計費這三種安全功能進行配置的一致性框架，實際上是對的一種管理。這里的主要是指，包括：l 哪些用戶可以網(wǎng)絡(luò)服務(wù)器？l 具有權(quán)的用戶可以得到哪些服務(wù)？l 如何對正在使用網(wǎng)絡(luò)的用戶進行計費？以上問題，AAA 必須提供下列服務(wù)：l 認(rèn)證：驗證用戶是否可獲得權(quán)。：用戶可使用哪些服務(wù)。zl 計費：用戶使用網(wǎng)絡(luò)的情況。2. AAA 的優(yōu)點由于 AAA 一般采用客戶/服務(wù)器結(jié)構(gòu)：客戶端運行于被管理的上集中存放用戶信息，因此，AAA

41、框架具有如下的優(yōu)點：側(cè)，服務(wù)器l 具有良好的可擴展性l 可以使用標(biāo)準(zhǔn)化的認(rèn)證方法l 容易，便于用戶信息的集中管理l 可以使用多重備用系統(tǒng)來提升整個框架的安全系數(shù)2.1.2RADIUS 協(xié)議概述如前所述，AAA 是一種管理框架，因此，它可以用多種協(xié)議來實現(xiàn)。在實踐中，人們最常使用 RADIUS 協(xié)議來實現(xiàn) AAA。2-1Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 2 章 AAA 和 RADIUS 協(xié)議配置1. 什么是 RADIUSRADIUS 是 Remote Authentication Dial-In User Service（認(rèn)

42、證撥號用戶服務(wù)）的簡稱，它是一種分布式的、客戶機/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護網(wǎng)絡(luò)不受未的干擾，常被應(yīng)用在既要求較高安全性、又要求維持用戶的各種網(wǎng)絡(luò)環(huán)境中（例如，它常被應(yīng)用來管理使用串口和調(diào)制解調(diào)器的大量分散撥號用戶）。RADIUS 系統(tǒng)是 NAS（Network AccessServer，網(wǎng)絡(luò)接入服務(wù)器）系統(tǒng)的重要輔助部分。當(dāng) RADIUS 系統(tǒng)啟動后，如果用戶想要通過與 NAS（PSTN 環(huán)境下的撥號接入服務(wù)器或以太網(wǎng)環(huán)境下帶接入功能的以太網(wǎng)交換機）建立連接從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得使用某些網(wǎng)絡(luò)的權(quán)利時，NAS，也就是 RADIUS客戶端將把用戶的認(rèn)證、和計費請求傳遞給 RADI

43、US 服務(wù)器。RADIUS服務(wù)器上有一個用戶數(shù)據(jù)庫，其中包含了所有的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)信息。RADIUS 服務(wù)器將在接收到 NAS 傳來的用戶請求后，通過對用戶數(shù)據(jù)庫的查找、更新，完成相應(yīng)的認(rèn)證、和計費工作，并把用戶所需的配置信息和計費統(tǒng)計數(shù)據(jù)返回給 NAS在這里，NAS 起到了接入用戶及對應(yīng)連接的作用，而 RADIUS 協(xié)議則規(guī)定了 NAS 與 RADIUS 服務(wù)器之間如何傳遞用戶配置信息和計費信息。NAS 和 RADIUS 之間信息的交互是通過將信息承載在 UDP 報文中來完成的。在這個過程互雙方將使用密鑰對報文進行加密，以保證用戶的配置信息（如）被加密后才在網(wǎng)絡(luò)上傳遞，從而避免它們被偵聽

44、、竊取。2. RADIUS 操作RADIUS 服務(wù)器對用戶的認(rèn)證過程通常需要利用接入服務(wù)器等設(shè)備的證功能，通常整個操作步驟如下：認(rèn)(1)(2)至 RADIUS 服務(wù)器。將客戶端的用戶名和加密口令用戶可從 RADIUS 服務(wù)器收到下述響應(yīng)報文之一：ACCEPT：表明用戶通過認(rèn)證。REJECT：表明用戶沒有通過認(rèn)證，提示用戶重新輸入用戶名和口令，否zz則被拒絕。2.1.3 AAA/RADIUS 在 S2000 系列以太網(wǎng)交換機中的實現(xiàn)由前面的概述，我們可以明白，在這樣一個 AAA/RADIUS 框架中，S2000 系列以太網(wǎng)交換機是作為用戶接入設(shè)備即 NAS，相對于 RAIDUS 服務(wù)器來說， S

45、2000 系列以太網(wǎng)交換機是 RADIUS 系統(tǒng)的客戶端；換句話說，AAA/RADIUS在 S2000 系列以太網(wǎng)交換機中實現(xiàn)的是其客戶端部分。S2000 系列以太網(wǎng)交換機參與的、使用 RADIUS 認(rèn)證的組網(wǎng)示意圖如下所示。2-2Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 2 章 AAA 和 RADIUS 協(xié)議配置認(rèn)證 ServerPC user1計費 Server1PC user2S3026ISP1計費 Server2S2000 系列PC user3認(rèn)證 ServerPC user4S3026 In ternet計費 Serve

46、rISP2S2000 系列圖2-1 S2000 系列使用 RADIUS 認(rèn)證的典型組網(wǎng)圖2.2 AAA 配置2.2.1AAA 配置任務(wù)列表AAA 的配置任務(wù)列表如下：l 設(shè)置認(rèn)證/方法表l 設(shè)置計費方法表l 創(chuàng)建/刪除 ISP 域l 配置 ISP 域的相關(guān)屬性l 配置用戶模板屬性l 指定缺省的 ISP 域l 添加本地用戶l 配置本地用戶屬性l 強制切斷用戶連接在以上的配置任務(wù)中，創(chuàng)建 ISP 域是必需的，否則無法區(qū)分接入用戶的屬性；其余任務(wù)則是可選的，用戶可以根據(jù)各自的具體需求決定是否進行這些配置。2.2.2設(shè)置認(rèn)證/方法表認(rèn)證/方法是指系統(tǒng)對接入用戶在請求登錄過程中采取的認(rèn)證/策或無須略，可

47、以采用遠(yuǎn)端認(rèn)證/（RADIUS 認(rèn)證/）、本地認(rèn)證/2-3Quidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 2 章 AAA 和 RADIUS 協(xié)議配置認(rèn)證/三種方法中的一種或幾種的組合。請在全局配置模式下進行下列配置。表2-1 設(shè)置認(rèn)證/方法表其中，method1 為首次認(rèn)證/方法；method2 為二次認(rèn)證/方法。認(rèn)證/方法的取值可以從以下三種中選擇一種：l radius使用 RADIUS 服務(wù)器進行認(rèn)證/l local由接入設(shè)備（即以太網(wǎng)交換機）在本地進行認(rèn)證/l simple用戶不需要進行認(rèn)證/即可獲得服務(wù)上述命令只是設(shè)置了一個認(rèn)證

48、/方法表，但要讓它實際發(fā)揮作用則必須在某個用戶域（限定了某類用戶）的設(shè)置中明確地它。如果系統(tǒng)某個用戶域了認(rèn)證/方法為 radius 的認(rèn)證/方法表，則系統(tǒng)有必要進行 RADIUS 服務(wù)器的配置（相關(guān)配置請見本章的 RADIUS配置一節(jié)）；并且，遠(yuǎn)端的 RADIUS 服務(wù)器上必須配置有相關(guān)用戶的信息。了 local 認(rèn)證/方法時，系統(tǒng)需要增加本地用戶并設(shè)置本地用戶屬性。了 simple 認(rèn)證/方法時，只要本地存在該方法的用戶，則不需要對其進行認(rèn)證/，該用戶即可獲得網(wǎng)絡(luò)服務(wù)。 說明：所謂二次認(rèn)證/方法是指當(dāng)用戶首次認(rèn)證/沒有結(jié)果（如遠(yuǎn)端 RADIUS所選擇的策略。二次認(rèn)證/授服務(wù)器沒有給出任何響應(yīng)

49、）時再次進行認(rèn)證/權(quán)方法是可選的，缺省情況下，不配置二次認(rèn)證/方法。首次認(rèn)證方法不能為空。如果首次認(rèn)證/即明確地給出了認(rèn)證/結(jié)果。（例如 RADIUS 響應(yīng)用戶認(rèn)證失?。?，則不再對用戶進行二次認(rèn)證/另外，local 和 simple 被稱為相似的認(rèn)證/方法。請注意，首次和二次認(rèn)證/方法不能被配置成相同或相似的認(rèn)證/方法。缺省情況下，系統(tǒng)自帶一條名為“default”的認(rèn)證/方法表，其首次認(rèn)證/方法為 radius，二次認(rèn)證/方法為 local。2-4操作命令設(shè)置認(rèn)證/方法表aaa authentication scheme-name method1 nextmethod2 刪除認(rèn)證/方法表no

50、 aaa authentication scheme-nameQuidway® S2000 系列以太網(wǎng)交換機 用戶手冊 配置指導(dǎo)分冊AAA 及安全協(xié)議配置第 2 章 AAA 和 RADIUS 協(xié)議配置2.2.3設(shè)置計費方法表與認(rèn)證/方法表相對應(yīng)，可以通過下面令來設(shè)置計費方法表。目前，計費過程只能使用 RADIUS 協(xié)議實現(xiàn)?？梢赃x擇使用 RADIUS 模式下配置的RADIUS 服務(wù)器組進行計費或不計費。請在全局配置模式下進行下列配置。表2-2 設(shè)置計費方法表其中，disable 表示不對用戶計費；enable 表示對用戶計費；offline 表示對用戶計費失敗時切斷用戶與網(wǎng)絡(luò)的連接；

51、online 表示對用戶計費失敗時讓用戶繼續(xù)（即保持用戶與網(wǎng)絡(luò)的連接）。缺省情況下，系統(tǒng)自帶一條名為“default”的計費方法表，其具體計費方法為：對用戶計費，如果計費失敗則切斷用戶與網(wǎng)絡(luò)的連接。2.2.4創(chuàng)建/刪除 ISP 域什么是 ISP（Internet Service Provider，因特網(wǎng)服務(wù)提供商）域？簡單點說，ISP 域即 ISP 用戶群，一個 ISP 域即是由同屬于一個 ISP 的用戶的用戶群 。 一 般 說 來 ， 在 “ useridisp-name ” 形 式 （ 例 如gw20010608例中的“對用戶進行接入）的用戶名中，“”后的“isp-name”（如”）即為

52、ISP 域的。在 S2000 系列以太網(wǎng)交換機時，對于用戶名為“useridisp-name”形式的 ISP 用戶，系統(tǒng)就將把“userid”作為用于認(rèn)證的用戶名，把“isp-name”作為。引入 ISP 域的設(shè)置是為了支持多 ISP 的應(yīng)用環(huán)境：在這種環(huán)境中，同一個接入設(shè)備接入的有可能是不同 ISP 的用戶。由于各 ISP 用戶的用戶屬性（例如用戶名及、服務(wù)類型/權(quán)限、計費方法等）有可能各不相同，因此有必要通過設(shè)置ISP 域的方法把它們區(qū)別開。在S2000 系列以太網(wǎng)交換機的ISP域配置模式下，可以為每個 ISP 域配置包括 AAA 策略（認(rèn)證/方法、計費方法、使用的 RADIUS 服務(wù)器組等）在內(nèi)的一整套單獨的 ISP 域?qū)傩?。對?S2000 系列以太網(wǎng)交換機來說，每個接入用戶都屬于一個 ISP 域。系統(tǒng)中最多可以配置 16 個 ISP 域。如果某個用戶在登錄時沒有上報 ISP，則系統(tǒng)將把它歸于缺省的 ISP 域。具體請參見“指定缺省 ISP 域”命令的說明。2-5操作命令設(shè)置計費方法表aaa accounting scheme-name disable | enab