M0000007中低端路由器AAA及Radius配置(中文版V1.1)定稿資料

課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.01.1驗證、授權(quán)和記費（ AAA）概述AAA·?é?ll

°D¤?￡¨Authentication ￡|úé¨?￡¨Authorization ￡|?D?¨￡Accounting￡|QuidwaySeriesRouter QuidwaySeriesRouterAAAServer?aμ?éμ?AAA é?ó??tí??μé?AAA驗證(Authentication) ：驗證用戶身份。授權(quán)(Authorization) ：授權(quán)用戶可以使用哪些服務(wù)。計費(Accounting)：記錄用戶使用網(wǎng)絡(luò)資源的情況，對用戶進行計費。實現(xiàn)AAA功能可以在本地進行，也可以由 AAA服務(wù)器在遠程進行。計費功能由于占用系統(tǒng)資源大通常都使用 AAA服務(wù)器實現(xiàn)。對于用戶數(shù)量大的情況，驗證和授權(quán)也應(yīng)該使用 AAA服務(wù)器。AAA服務(wù)器與網(wǎng)絡(luò)設(shè)備的通信有標準的協(xié)議， 目前比較流行的是 RADIUS 協(xié)議。1課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 提供AAA支持的服務(wù)??|AAA§??3μ??tí?PPP??3ˉèa·QuidwaySeriesRouterEXEC

Quidway SeriesRouter

FTPClient

QuidwaySeriesRouterPPP：PPP的PAP、CHAP驗證的用戶。EXEC：指通過telnet登陸到路由器，以及通過各種方式(如console口，aux口等)進入到路由器進行配置的操作。FTP：通過ftp登陸到路由器的用戶。2課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 驗證與授權(quán)°D¤ó??úé¨?D°?¤úé?¨?óo§??￠?ú?àD°?¤t??í?-?ìPPP?μCHAPD°?¤?o1ò?1?á???1?á??¤3ê?μéò?1、驗證用戶名、口令驗證：包括PPP的PAP驗證、PPP的CHAP驗證、EXEC用戶驗證、FTP用戶驗證。撥號的PPP用戶可以進行主叫號碼驗證。2、授權(quán)服務(wù)類型授權(quán)：對一個用戶授權(quán)提供的服務(wù)?？梢允?PPP、EXEC、FTP中的一種或幾種。回呼號碼：對 PPP回呼用戶可以設(shè)定回呼號碼。隧道屬性：配置 L2TP的隧道屬性。驗證、授權(quán)可以在本地進行，也可以在RADISU服務(wù)器進行。但對一個用戶的驗證和授權(quán)使用相同的方法，即或者驗證、授權(quán)均在本地進行，或者均使用RADIUS服務(wù)器。3課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 計費及AAA使用特別提醒?D??AAAé?ó??ae??D?á?ó?§éo?ó?é?′?°??o?üé??ó?AAAt?í?????D??úó??êà°D¤μ??ó?§oa?é??§ò???D???o2￡?ì??D?òo¨?????á?üà??￡1aaaaccounting-schemeoptional首次使用AAA，經(jīng)常發(fā)生配置了用戶而驗證不通過的情況。這實際上是由于沒有學(xué)會靈活使用aaaaccounting-schemeoptional的原因。其實這種情況不是驗證不通過，而是計費失敗，切斷了用戶。因為開始使用的時候啟用AAA，這時缺省使用本地驗證。而本地驗證也是需要計費的，由于沒有配置RADIUS服務(wù)器，造成計費失敗，而因為沒有配置aaaaccounting-schemeoptional，在計費失敗時的處理就是斷開用戶，因此用戶不能成功上網(wǎng)。aaaaccounting-schemeoptional的作用是在計費失敗時允許用戶繼續(xù)使用網(wǎng)絡(luò)。因此在只驗證不計費的情況下，一定要注意配置aaaaccounting-schemeoptional命令。4課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0基本配置命令A(yù)AA·oa???ü?à???üà??aaa-enableaaaaccounting-schemeoptionalèaaaauthentication-schemelogin{default|methods-list}{method1[method2...]}èaaaauthentication-schemeppp{default|methods-list}{method1}[method2...]?¨?3a5?ó?§?°??1￡1radius￠?local￠?none￠?radiuslocal￠?radiusnoneaaa-enable：啟用AAA。aaaaccounting-schemeoptional：計費處理選項。aaaauthentication-schemelogin{default|methods-list}{method1[method2...]}aaaauthentication-schemeppp{default|methods-list}{method1}[method2...]配置login的驗證方法表和 ppp的驗證方法表，方法表的名字可以是 default也可以自己取。缺省方法表的缺省方法為本地驗證。驗證方法有三種： radius、local、none。配置多種方法時，前面的方法失敗則使用后面的方法，這里說的失敗不是驗證失敗，而是驗證不能成功進行，比如與RADIUS服務(wù)器通信失敗，因此只有RADIUS方法才可能有失敗的情況。所以只有 5種有意義的方法組合：后面的方法有 5種有效組合： radius、local、none、radiuslocal、radiusnone。方法表的概念：login只能配置一個方法表， 配置了方法表即自動應(yīng)用到所有需要 AAA的FTP用戶、EXEC用戶?？梢耘渲枚鄠€方法表，特定的接口使用哪個方法表還需要將這個方法表應(yīng)用到接口上。即在接口上配置pppauthentication-mode{chap|pap}[callin][scheme{default|name-list}]，缺省使用default方法表。5課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 本地用戶數(shù)據(jù)庫a?μ?ó?§oéyY?a?a??μ?óo§éyY?a??ó?§?-??ü?àyêLocal-user Y?Displayaaauser

ó?§o?ó?§oú?à?é¨ú??tí???1?á??oò11?á?FTPé¨ú??á?使用本地驗證、授權(quán)需要在路由器上維護用戶數(shù)據(jù)庫。由于路由器上資源有限，此數(shù)據(jù)庫不宜過大。最多只支持配置50個用戶。大量用戶應(yīng)該使用RADIUS服務(wù)器。local-useruser[password{simple|cipher}password]配置用戶口令local-useruser[service-type{exec-administrator|exec-guest|exec-operator|ftp|ppp}...]配置授權(quán)服務(wù)local-useruser[call-numbernumber][:sub-number]配置主叫號碼與子主叫號碼。local-useruser[callback-numbernumber]配置回呼號碼。local-useruser[ftp-directorydirectory]配置FTP目錄。undo local-user user 刪除用戶?？梢允褂胐isplayaaauser 命令或在 displaycurrent-configuration 中查看配置的用戶。6課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0配置舉例AAA??ù??yò?ˉ?AAAè [Quidway] aaa-enable??PPPó?§μo?a?é?°D¤??¨?3aè [Quidway] aaaauthentication-schemelogindefault local??o2?D?éa?o?é?3?ó?§o?éíè [Quidway] aaaaccounting-schemeoptional¨?a?é??￠?3a￥óó?μ?a??êàPPPμ?ó?ú?è [Quidway-Serial0] ppp authentication-mode pap schemedefault配置對連接到 Serial0上的PPP用戶使用本地驗證。7課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 調(diào)試和監(jiān)控信息μ?é?ì1-???￠??é?ú??ó?§oè displayaaa usera?ó?μ?é??￠?￡??2AAA?μó????è debuggingradius primitiveáét?μ?é??￠?￡??2AAAy??3è debuggingradius event原語為各服務(wù) (PPP、EXEC、FTP)與AAA功能的接口，常見原語有 7種。請求原語三種：join(pap)：用戶名、口令驗證請求。join(chap)：PPP的CHAP驗證請求。leave：用戶下網(wǎng)請求。返回結(jié)果的原語三種：accept：驗證通過。reject：驗證不通過，拒絕用戶。bye：用戶下網(wǎng)的確認。另外還有一種：cut：在計費失敗時，如果沒有配置 aaaaccounting-schemeoptional 則要求相應(yīng)服務(wù)切斷用戶。用事件調(diào)試信息可以簡單觀察 AAA 過程。由于事件調(diào)試信息很短，在用戶驗證活動量大時可以只打開事件調(diào)試信息，這樣不會由于調(diào)試信息過多而無法觀察。8課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.01.2RADIUS概述RADIUS·?é?l RADIUS(Remote Authentication Dial-in UserService)é?μa?à??μ?2?¨??tí??a?°òl(fā) éμ? AAA￡¨éú¨?Authorization ￠?°D¤?Authentication ì1? ?DAccounting￡|￥?ü?RADIUS采用客戶機/服務(wù)器（Client/Server）結(jié)構(gòu)。驗證、授權(quán)時客戶端的任務(wù)是將用戶（User）的信息發(fā)送到指定的服務(wù)器，然后根據(jù)服務(wù)器的不同響應(yīng)進行處理。RADIUS服務(wù)器的任務(wù)是接收客戶端發(fā)來的用戶連接請求，驗證用戶，并返回客戶端提供服務(wù)所需要的配置信息。RADIUS服務(wù)器的數(shù)據(jù)庫中集中存放了相關(guān)的安全信息，避免安全信息凌亂散布帶來的不安全性，同時更可靠且易于管理。實現(xiàn)計費時，客戶端將用戶的上網(wǎng)時長、進出字節(jié)數(shù)、進出包數(shù)等原始數(shù)據(jù)送到RADIUS服務(wù)器上，以供RADIUS服務(wù)器計費時使用。在路由器上運行 RADIUS 客戶端程序。9課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0實現(xiàn)AAA的流程RADIUSμé?AAAμ?à??3QuidwaySeriesRouterAAAServeró?§oè?ì?éú¨?￠2é??3ó?§oè?ì?ó?§oáì??

°D¤??μ?°D¤?úé¨?¨ìy???D?§?é??μD?§?é?￥ó′eD??é??μ?D??é?￥ó′e首先由各種服務(wù)（ PPP、EXEC、FTP）得到用戶信息，然后將這些信息交給RADIUS 服務(wù)器進行驗證。如果通過驗證， RADIUS 服務(wù)器將驗證信息連同RADIUS用戶數(shù)據(jù)庫中包含的用戶授權(quán)信息一起送給路由器。 路由器根據(jù)這些信息向用戶提供相應(yīng)服務(wù)。通過驗證的同時，通知 RADIUS 服務(wù)器會話開始。 于會話終止時再次通知RADIUS服務(wù)器。 這樣由RADIUS 服務(wù)器保存的記帳記錄可以用于計費。10課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0結(jié)構(gòu)及基本原理RADIUSμé?AAAμ?à??3QuidwaySeriesRouterAAAServeró?§oè?ì?éú¨?￠2é??3ó?§oè?ì?ó?§oáì??

°D¤??μ?°D¤?úé¨?¨ìy???D?§?é??μD?§?é?￥ó′eD??é??μ?D??é?￥ó′eRADIUS協(xié)議采用客戶機/服務(wù)器（Client/Server）結(jié)構(gòu)，路由器作為客戶端與RADIUS服務(wù)器通信。UDP（UserDatagramProtocol）即用戶數(shù)據(jù)報協(xié)議，它是一種面向無連接的協(xié)議，傳輸層不保證報文的可靠性和順序性，這樣報文可能丟失或者是亂序。RADIUS 協(xié)議使用了兩個 UDP端口分別用于驗證（以及驗證通過后對用戶的授權(quán)）和計費。在 RADIUS的協(xié)議文本 RFC2138 和RFC2139 中，使用1812號端口作為驗證端口， 1813號端口為計費端口 。也可以使用其他端口。RADIUS協(xié)議采用了“請求 /響應(yīng)”的操作模式， 請求由客戶端發(fā)起，當 RADIUS服務(wù)器收到一個合法的請求后就要給予響應(yīng)。由于 UDP報文可能會丟失，網(wǎng)絡(luò)也可能臨時出現(xiàn)故障，因此路由器提供重傳機制，當在一定時間內(nèi)沒有收到RADIUS服務(wù)器的響應(yīng)時，會重傳剛才的請求。如果多次重傳后仍然收不到響應(yīng)，那么路由器會向備用的 RADIUS服務(wù)器發(fā)送請求。作為安全協(xié)議，RADIUS自身的安全性也有一定考慮?？蛻舳伺c服務(wù)器端有共享密鑰。通訊時使用MD5算法通過共享密鑰對包進行數(shù)字簽名，驗證簽名的正確性可以防止網(wǎng)絡(luò)上的其他主機冒充路由器或者RADIUS服務(wù)器。用戶口令也需要進行加密后再在網(wǎng)上傳送，使口令不會泄漏。每個RADIUS包有0到多個屬性，用戶的各種信息均寫在屬性中，一些屬性協(xié)議還規(guī)定了各屬性值的含義。性能的擴展只需要增加包中所帶的屬性即可。使用中還可以定義私有的屬性類型和屬性值。這需要修改 RADIUS服務(wù)器的屬性字典。11課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0驗證與授權(quán)RADIUS°D¤ó??éú¨?°D¤?￠?úé¨?y??3?á?￡1á?èó?¨μ??μ?μ?ó?§o?￠?′ü?′?RADIUSt?í??￠?ìêRADIUSt?í???ó?§o??°D¤?￡1?1?¨ó??§o——μ?o????¨ó??§o——μ?o??

íéóéü?ü?￡¨ó?§éúo¨??￠?￡|íéü??ü?á?èó?óéü?t?í??μ?2?￥óü?￡1?éíóéü?ü?——é?3?è?ì?￡?é?ó??úé¨??￠??ó?§o??￥′3??éíü??ü?——ü??ó?§èo?ì??μ?1、首先發(fā)送驗證請求包。在用戶名、口令驗證時驗證請求包包含用戶名和加密后的口令；CHAP 驗證中包含用戶名， CHAP 驗證過程中的各項（ Challenge、CHAPIdentifier 、Response）；主叫號碼驗證還需要有主叫號碼。2、RADIUS服務(wù)器收到驗證請求包后，首先檢查包的合法性，然后根據(jù)包中用戶信息驗證用戶是否合法。如果用戶非法，則向路由器發(fā)送訪問拒絕包；如果用戶合法，那么RADIUS 服務(wù)器會將用戶的授權(quán)信息 （如用戶類型、回呼號碼等等）打包發(fā)送到路由器，該包稱為訪問接受包。3、路由器收到訪問接受/拒絕包時，首先要判斷包中的簽名是否正確，如果不正確將認為收到了一個非法的包。如果簽名正確，且收到的是訪問接受包那么路由器會判斷授權(quán)服務(wù)類型是否與此用戶相符，如果不符則拒絕該用戶的上網(wǎng)請求，如果符合則接受用戶的上網(wǎng)請求，并使用其他用戶授權(quán)信息對用戶進行處理（如回呼、L2TP 隧道屬性的設(shè)置）。如果簽名正確且收到的是訪問拒絕包，則拒絕該用戶的上網(wǎng)請求。12課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0計費RADIUS?D??í′?D?y??3ü?¨??D??μ?￠??D?￥ó′e?òo·?ó?§oμ??D?y??3ó?￡1??D§?é? μééa?D? ??D?é??D??￠?￡1?o?oéa¤3é???ú?éy é?3??ú?éyé??ü?éy é?3?ü?éy?D?§éü?￥′3?路由器負責收集可能同用戶上網(wǎng)費用有關(guān)的信息， 并將這些信息發(fā)送到 RADIUS服務(wù)器。RADIUS 服務(wù)器通常是網(wǎng)上的一臺工作站，使用這些信息進行計費。每次計費交互過程包括路由器發(fā)到 RADIUS 服務(wù)器的計費請求包，和 RADIUS服務(wù)器返回的應(yīng)答包。對于需要計費的用戶，在一個會話過程中至少需要兩次這樣的交互過程，分別在驗證通過后和用戶下網(wǎng)時。如果配置了實時計費，還會每隔一段時間進行一次實時計費。計費信息包括會話時間、輸入輸出包數(shù)、輸入輸出字節(jié)數(shù)。當?shù)貌坏秸_計費應(yīng)答包時認為計費失敗。此時如果配置了 aaaaccounting-schemeoptional 命令則繼續(xù)允許用戶訪問網(wǎng)絡(luò)， 否則將切斷用戶。13課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0用戶管理RADIUSó?§oü??3RADIUSa?°ò§í±a?a?°ò￡??aDRADIUSa?°òμ?·êó?t?í??è?ò?¤ì¨oó?§oü?3???ú?RADIUSt?í??ê???￡?ó?-?￥óμ?ü?3?3?t?ó?§oè?ò?°à?o?Dó?RUDIUSt?í???ó?§oü?3?3?t?RADIUS 協(xié)議只規(guī)定了 RADIUS服務(wù)器同 RADIUS 客戶端（路由器）的信息交互的格式。由于 RADIUS 協(xié)議是標準的，所以路由器能與不同的 RADIUS服務(wù)器互通。而在RADIUS服務(wù)器上，使用者可以任意根據(jù)自己的需要對得到的信息進行處理，滿足不同的需求。14課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0基本配置RADIUS·oa?????RADIUSt?í??radiusserver{hostname|ip-address}[authentication-portport-number ][accouting-port port-number ]è radiusshared-key string???¨′íé2yè radiusretry timesè radiustimerresponse-timeout seconds??μééa?D?è radiustimerrealtime-accounting minutesRADIUS服務(wù)器配置radius server {hostname |ip-address }[authentication-port port-number ][accouting-port port-number ]配置服務(wù)器地址和端口號，最多可以配置 3個RADIUS服務(wù)器。radiusshared-key string 配置共享密鑰。重傳機制radiusretrytimes配置最大重傳次數(shù)，如果達到這