s8500路由交換機(jī)操作手冊v2 007 2 aaa radius hwtacacs配置

第1章AAARADIUSHWTACACS配 簡 1 1 2 2 7 配置 配置支持的RADIUS服務(wù)器的類 配置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)相關(guān)屬 配置HWTACACS協(xié) 創(chuàng)建HWTACACS方 配置HWTACACS認(rèn)證服務(wù) 配置HWTACACS服務(wù) 配置HWTACACS計費服務(wù) 配置HWTACACS報文的共享密 第1AAARADIUSHWTACACSAAA是Authentication，AuthorizationandAccounting（認(rèn)證、和計費）的簡實際上是的一種管理機(jī)制。這里的主要是指控制，包括針對以上問題，AAA必須提供下列服務(wù)：RADIUSHWTACACS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證，由設(shè)器通信。對于RADIUS協(xié)議，可以采用標(biāo)準(zhǔn)或擴(kuò)展的RADIUS協(xié)議，與iLAMS等系統(tǒng)配合完成認(rèn)證。RADIUS：RADIUS是特殊的流程。只是在認(rèn)證和的RADIUS放用戶信息。因此，AAA框架具有良好的可擴(kuò)展性，并且容易實現(xiàn)用戶信息的集中管理。AAA可以通過多種協(xié)議來實現(xiàn)，VRP中的AAA是基于RADIUS協(xié)議或HWTACACS協(xié)議來實現(xiàn)的。在“userid@isp-name”形式的用戶名中，“@”后的“isp-nameISP域的。接入設(shè)備將“userid”作為用于認(rèn)證的用戶名，將“isp-name”作為域策略（例如使用的RADIUS方案）在內(nèi)的屬性集。最常使用RADIUS協(xié)議來實現(xiàn)AAA。RADIUS是RemoteAuthenticationDial-InUserService（認(rèn)證撥號用戶服務(wù)）機(jī)制，并定義了1812作為認(rèn)證端口，1813作為計費端口。RADIUS服務(wù)器，然后根據(jù)從服務(wù)器返回的信息進(jìn)行相應(yīng)處理（如接入/掛斷用戶）。RADIUS服務(wù)器負(fù)責(zé)接收用戶連接請求，認(rèn)證用戶，ss圖1-1RADIUS下的Login等。RADIUS服務(wù)器對用戶的認(rèn)證過程通常需要利用設(shè)備的認(rèn)證功能，RADIUS客RADIUS協(xié)議合并了認(rèn)證和過程，在響應(yīng)報文中攜帶了信息。操作流程圖1-2所示。 RADIUS 用戶輸入用戶名/口 認(rèn)證請求包Access-認(rèn)證接受包Access計費開始請求包Accounting-計費開始請求響應(yīng)包Accounting計費結(jié)束請求包Accounting-通 結(jié)束通 結(jié)束RADIUSRADIUS服務(wù)器發(fā)送認(rèn)證請求戶端；如果認(rèn)證失敗，則返回Access-Reject響應(yīng)包；RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/用戶。如果可以接入用戶，則RADIUS客戶端向RADIUS 客戶端向 服務(wù)器發(fā)送計費停止請求RADIUS服務(wù)器和客戶端之間交互消息正確收發(fā)。RADIUS1-3圖1-3RADIUS表1-1Code1含NAS-IP-Address、User-PassworS-Port等屬性。234est計費請求包方向->Server，將用戶信息傳輸?shù)絊erver，請求Server開始計費，由該報文中的Acct-Status-Type屬性區(qū)分計5nse計費響應(yīng)包方向Server->，Server通知側(cè)已經(jīng)收到Authenticator和Attributes。超過長度域的字節(jié)被視為填充，在接收時應(yīng)被忽略；如果包的實際長度比Length域所指示的值小時，則應(yīng)被丟棄。Authenticator域（16字節(jié)）RADIUS服務(wù)器傳輸回來的請求，并且還用于隱藏算法中，分為RequestAuthenticator和Response出了RADIUS、認(rèn)證常用的屬性。最大長度為253字節(jié)。表1-2RADIUS123456789(for于設(shè)備廠商對RADIUS進(jìn)行擴(kuò)展，以實現(xiàn)標(biāo)準(zhǔn)RADIUS沒有定義的功能。specifiedattributeHWTACACS（TerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）RADIUS協(xié)議類似，主要是通過-Server模式與TACACS服務(wù)器通信來實現(xiàn)多種用戶的AAA功能，可用于PPP和VPDN接入用戶及終端用戶的認(rèn)證、和計費?？刂啤WTACACS協(xié)議與RADIUS協(xié)議的主要區(qū)別如表1-3所示。使用TCP進(jìn)行認(rèn)證，另外一個TACACS服務(wù)器進(jìn)行。HWTACACS的典型應(yīng)用是撥號用戶或終端用戶需要登錄到設(shè)備上進(jìn)行操作。路由器或交換機(jī)作為HWTACACS的客戶端，將用戶名和發(fā)給TACACS服務(wù)器進(jìn)TACACS1-6所示。 用戶請求登錄路由器或交換機(jī)，TACACS客戶端收到請求，向TACACS服務(wù)器發(fā)送認(rèn)證回應(yīng)報文，請求用戶名；TACACS客戶端收到回應(yīng)TACACS服務(wù)器發(fā)送認(rèn)證回應(yīng)報文，請求登錄；TACACS客戶端收到回TACACS客戶端收到回應(yīng)成功報文，向用戶輸出路由器或交換機(jī)的配置表1-4創(chuàng)建ISP配置ISP配置ISPAAARADIUS協(xié)議”；如果采參見“配置HWTACACS配置ISP域的AAA方配置ISPAAA配置配置發(fā)送給HWTACACS服務(wù)器的配置非和抵賴行為。同時，通過配置域可以對接入用戶進(jìn)行AAA等管理。RADIUS方案（radius-scheme）：可以通過配置好的RADIUS方案來置HWTACACS協(xié)議?！盜SP16表1-5創(chuàng)建ISP-創(chuàng)建一個ISP域或者進(jìn)入已創(chuàng)建ISPname-手工配置缺省的ISPdefault{disable|enableisp-name省的ISP域為表1-6配置ISP-創(chuàng)建一個ISP域或者進(jìn)入已創(chuàng)建ISP域的name設(shè)置ISPstate{active|block缺省情況下，當(dāng)一個ISP域被創(chuàng)建access-limit{disable|缺省情況下，當(dāng)一個ISP域被創(chuàng)建idle-cut{disable|minuteself-service-url{disable[high-ip-address缺省情況下，沒有配置IP在AA服務(wù)請求的用戶名／／用戶信息的交互認(rèn)證過程，它不會下發(fā)信息給請求用在AA如果用戶要使用RADIUS或HWTACACS認(rèn)證，則需要先配置要的則不需要配置scheme。表1-7配置ISPAAA-創(chuàng)建一個ISP域或者進(jìn)入已創(chuàng)建ISP域的nameradius-scheme-name[local]|hwtacacs-scheme-name[local]|localnone為login用戶配置認(rèn)證radius-scheme-name[local]|hwtacacs-scheme-name[local]|localnoneradius-scheme-name[local]|hwtacacs-scheme-name[local]|localnone[local]|local|noneauthenticationdefault命令配置的認(rèn)證方案不區(qū)分用戶類型，即對所有類型的RADIUS的信息雖然在認(rèn)證成功回應(yīng)的報文中攜帶，但在認(rèn)證回應(yīng)的處理流程中不會處理RADIUS的信息。radius-schemeradius-scheme-namelocalhwtacacs-scheme證，不能再同時采用RADIUS或HWTACACS方案。所配置的server，通過后向用戶下發(fā)信息。不是必須使用的。在域的AAA配置中，方案為可選配置。低權(quán)限的參觀級。FTP用戶的默認(rèn)使用設(shè)備的根。配置有三個步驟：如果用戶要使用HWTACACS，則需要先配置要的HWTACACS確定要配置的接入方式或者服務(wù)類型，AAA可以按照不同的接入方式和服務(wù)類表1-8配置ISP域的AAA方-創(chuàng)建一個ISP域或者進(jìn)入已創(chuàng)建ISP域的視圖nameauthorization{radius-radius-scheme-name[local]hwtacacs-scheme-name[local|local|noneauthorization{radius-radius-scheme-name[local]hwtacacs-scheme-name[local|local|noneauthorization{radius-radius-scheme-name[local]hwtacacs-scheme-name[local|local|none{radius-radius-scheme-name[local]local|none注意：NAS的為server沒有響應(yīng)。radius-schemeradius-scheme-namelocalhwtacacs-scheme。權(quán)，不能再同時采用RADIUS或HWTACACS方案。如果用戶要使用RADIUS或HWTACACS計費，則需要先配置要的則不需要配置scheme。AAA計費的配置，并且從配置上正確限制了接入所能使用的計表1-9配置ISPAAA-創(chuàng)建一個ISP域或者進(jìn)入已創(chuàng)建ISP域的視圖nameaccountingaccounting{radius-radius-scheme-name[local]hwtacacs-scheme-name[local]local|noneradius-scheme-name[local]|hwtacacs-scheme-name[local]local|noneradius-scheme-name[local]|hwtacacs-scheme-name[local]local|none{radius-|none在對用戶實施計費時，如果發(fā)現(xiàn)沒有可用的計費服務(wù)器或與計費服務(wù)器通信失cotingoptiolradius-schemeradius-scheme-namelocalhwtacacs-scheme費，不能再同時采用RADIUS或HWTACACS方案。AAA方案選擇了本地認(rèn)證方案（local）時，應(yīng)在設(shè)備上創(chuàng)建本地用戶并配置相表1-10-password{simple|cipher { |autostate{active|blockservice-type{lan-access{net|ssh|terminal}*[level]指定FTP錄service-typeftp[ftp-levelattribute{ipip-address|macmac-address|idle-cutminute|vlanvlanid|location{nas-ipip-addressportportnum|portportnum}}*需要指定nas-ip參數(shù)service-type是本地認(rèn)證的檢測項。如果沒有用戶可以使用的服務(wù)如果配置的認(rèn)證方式需要用戶名和口令（包括本地認(rèn)證、RADIUS認(rèn)證及表1-11-cutconnection{all|access-{dot1x|mac-authentication}-name|interfaceip-address|macmac-address|vlanvlan-id|ucibindexucib-index|user-nameuser-name}[slot-number配置RADIUS享密鑰以及RADIUS服務(wù)器類型等。些參數(shù)。為了使這些參數(shù)能夠生效，還必須在某個ISP域視圖下指定該域的RADIUS方案。具體配置細(xì)節(jié)，請參見“1.3配置AAA”。-radiusRADIUS方案-radius設(shè)置主RADIUS認(rèn)證/服務(wù)器的IPip-address[port-number/服務(wù)器的IP設(shè)置從RADIUS認(rèn)證/服務(wù)器的IPsecondaryip-address[port-number/服務(wù)器的IP地在實際組網(wǎng)環(huán)境中，可以指定兩臺RADIUS服務(wù)器分別作為主、從認(rèn)證/服-radius圖priccountigip-[port-number器的IP地址均為secondaryip-address[port-number器的IP地址均為retrystop-retry-文發(fā)送500次retry-RADIUS協(xié)議采用不同的UDP端口來收發(fā)認(rèn)證/和計費報文，因此必須將認(rèn)了停止計費報文重能，設(shè)備應(yīng)將其緩存在本機(jī)上，然后重新發(fā)送直到設(shè)備提供對連續(xù)實時計費請求無響應(yīng)次數(shù)限制的設(shè)置——在設(shè)備向RADIUS服-radius的RADIUS方案keyauthenticationkeyaccounting最大傳送次數(shù)而RADIUS服務(wù)器仍舊沒有響應(yīng)，則設(shè)備將認(rèn)為本次認(rèn)證失敗。-radiusretryretry-數(shù)為3次注意：-radiusRADIUS方案{extendedstandardRADIUS服務(wù)器類型為對于某個RADIUS方案中的主、從服務(wù)器（無論是認(rèn)證/服務(wù)器還是計費服務(wù)blocktimerquietRADIUS請求-radiusstateprimary|activestateprimaryactive}方案中配置了IP地址的RADIUSstatesecondary|activestatesecondaryactive}-radius|without-RADIUS服務(wù)器的用戶名攜帶有ISP域名data-flow-formatdata{bytegiga-byte|kilo-bytemega-byte}{giga-packet|kilo-packetmega-packet|one-packet單位為onepacketnas-ipip-radiusnas-ipip-發(fā)送給RADIUS服務(wù)器的用戶名是否攜帶有ISP。如果指定某個RADIUS方案不允許用戶名中攜帶有ISP，那么請不要在兩ISPRADIUS方案，否則，會出現(xiàn)雖然實際用戶不同（ISP域中）RADIUS服務(wù)器認(rèn)為用戶相同（因為-ip-addresskey采用本地RADIUS認(rèn)證服務(wù)器功能時，其認(rèn)證/服務(wù)的UDP端必須用此命令配置的共享密鑰必須和在RADIUS方案視圖下用命令{accounting|authentication}配置的認(rèn)證/或計費報文的共享密鑰一致RADIUS16系統(tǒng)中用于控制這個時長的定時器就被稱為RADIUS服務(wù)器響應(yīng)超時定時器。-創(chuàng)建RADIUS方案并進(jìn)入的RADIUS方案設(shè)置RADIUS服務(wù)器應(yīng)答3秒timerquiet5分鐘timerrealtime-accounting隔為12分鐘。RADIUSHWTACACS協(xié)議的配置是以HWTACACS方案為單位進(jìn)行的。在進(jìn)行其它-hwtacacs-hwtacacs設(shè)置TACACSip-address[port設(shè)置TACACSsecondaryip-address[portTCP連接使用該認(rèn)證服務(wù)器時，才允許-hwtacacs設(shè)置TACACS缺省情況下， 服ip-address[port器的IP設(shè)置TACACSsecondary缺省情況下， 服ip-address[port器的IP只有當(dāng)沒有活躍的用于發(fā)送報文的TCP連接使用該服務(wù)器時，才允許-hwtacacs設(shè)置TACACS主計費服務(wù)器的ip-address[port的IP設(shè)置TACACS從計費服務(wù)器的secondaryip-address[port的IPretrystop-retry-TCP連接使用該計費服務(wù)器時，才允許TACACS客戶端（即設(shè)備系統(tǒng)）TACACSMD5算法來加密交互的HWTACACS報文，雙方通過設(shè)置共享密鑰來驗證報文的。只有在密鑰一致設(shè)置的共享密鑰與TACACS服務(wù)器上的完全一樣。-hwtacacskey{accounting|authorization|表1-27配置發(fā)送給TACACS-進(jìn)入HWTACACS視圖hwtacacs設(shè)置發(fā)送給TACACS服務(wù){(diào) data-flow-formatdata{byte設(shè)置發(fā)送給TACACSgiga-byte|kilo-byte器的發(fā)送數(shù)據(jù)單位為{giga-packet|kilo-packetmega-packet|one-packetnas-ipip-hwtacacsnas-ipip-服務(wù)器不接受帶的用戶名時，可以配置將用戶名的去除后再傳送給TACACS服務(wù)器。表1-28配置TACACS-hwtacacs設(shè)置TACACS服務(wù)器應(yīng)答超時時為5秒timerquiet為12分鐘TACACS服務(wù)器的性能有一定的相關(guān)性要求—取值越小，對設(shè)備和TACACS服務(wù)器的性能要求越高。完成上述配置后，在任意視圖下執(zhí)行disy命令可以顯示配置后AAA在用戶視圖下，執(zhí)行reset命令可以清除相關(guān)統(tǒng)計信息。表1-29AAA顯示所有或指定ISP域的配disy[isp-namedisyconnection[access-type{dot1xmac-authentication}| -name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|vlanvlan-id|ucibindexucib-index|user-nameuser-name][slotslot-numberdisylocal-user[isp-name|idle-cut{disable|enable}|vlanvlan-id|service-type{lan-access|net|ssh|terminal|ppp|ftp|pad}|state{active|block}|user-nameuser-name][slotslot-number]表1-30RADIUSdisylocal-serverdisyradius[radius-server-name][slot-numberdisyradiusstatistics[slotslot-numberdisystop-accounting-buffer{radius-radius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number]resetradiusstatistics[slotslot-numberradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number]表1-31HWTACACS[statistics[slotslot-number]]session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number清除TACACSresethwtacacsstatistics{accounting|authentication|authorization|all}[slotslot-number]session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number類似，下面的描述以net用戶的遠(yuǎn)端認(rèn)證為例。器交互報文時的共享密鑰為“expertRADIUS服務(wù)器交互報文時的共享RADIUSCAMS（ComprehensiveAccessManagementServer，綜的server-type應(yīng)選擇extended類型。RADIUS服務(wù)器上設(shè)置與交換機(jī)交互報文時的共享密鑰為“expert”；設(shè)置驗證的net用戶名應(yīng)為“userid@isp-name”形式。(IPaddress:46)(IPaddress:46)net圖1-7配置net用戶的遠(yuǎn)端RADIUS認(rèn)證、和計[Sysname]user-interfacevty0[Sysname-ui-vty0-4]authentication-modescheme[Sysname-ui-vty0-4]quit2000時，則不需要該配置。 [Sysname-isp-cams]accountingoptional[Sysname-isp-cams]quit<Sysname>system-view[Sysname]radiusschemecams [Sysname-radius-cams]pri ccounting461813[Sysname-radius-cams]keyauthenticationexpert[Sysname-radius-cams]keyaccountingexpert[Sysname-radius-cams]server-typeextended[Sysname-radius-cams]user-name-formatwith-[Sysname-radius-cams]quit#配置的AAA方案。在該應(yīng)用配置中，因為接入用戶對認(rèn)證、和計費 [Sysname-isp-cams]authenticationloginradius-schemecams[Sysname-isp-cams]authorizationloginradius-schemecams[Sysname-isp-cams]accountingloginradius-schemecams [Sysname-isp-cams]authenticationdefaultradius-schemecams[Sysname-isp-cams]authorizationdefaultradius-schemecams[Sysname-isp-cams]accountingdefaultradius-schemecamsFTP用戶除了沒有計費過程外，與 下面描述僅以net用戶為例。netn圖1-8配 n[Sysname]user-interfacevty0[Sysname-ui-vty0-4]authentication-modescheme[Sysname-ui-vty0-4]quit <Sysname>system-view[Sysname]local-user net]service-type net]passwordsimpleextended net]quit [Sysname-isp-system]authenticationloginlocal[Sysname-isp-system]authorizationloginlocal[Sysname-isp-system]accountingloginlocal<Sysname>system-view [Sysname-isp-system]authenticationdefaultlocal[Sysname-isp-system]authorizationdefaultlocal[Sysname-isp-system]accountingdefaultlocal這種方法與1.7.1RADIUS認(rèn)證方法類似，只需要將1.7.1小節(jié)中“配認(rèn)證服務(wù)的UDP端修改為1645，并配置本地用戶即可。報文時的共享密鑰均為“expert”，設(shè)置交換機(jī)除去用戶名中的后再將之傳給TACACS服務(wù)器。AuthenticationServersAuthenticationServersnetnet圖1-9配置net用戶的遠(yuǎn)端TACACS認(rèn)證、和計net[Sysname]user-interfacevty0[Sysname-ui-vty0-4]authentication-modescheme[Sysname-ui-vty0-4]quit[Sysname]hwtacacsscheme [Sysname-hwtacacs-hwtac]pri ccounting6449[Sysname-hwtacacs-hwtac]keyauthenticationexpert[Sysname-hwtacacs-hwtac]keyauthorizationexpert[Sysname-hwtacacs-hwtac]keyaccountingexpert[Sysname-hwtacacs-hwtac]user-name-formatwithout-[Sysname-hwtacacs-hwtac]quit<Sysname>system-view [Sysname-isp-hwtacacs]authenticationloginhwtacacs-schemehwtac[Sysname-isp-hwtacacs]authorizationloginhwtacacs-schemehwtac[Sysname-isp-hwtacacs]accountingloginhwtacacs-schemehwtac [Sysname-isp-hwtacacs]authenticationdefaulthwtacacs-schemehwtac[Sysname-isp-hwtacacs]authorizationdefaulthwtacacs-schemehwtac[Sysname-isp-hwtacacs]accountingdefaulthwtacacs-schemehwtac 一臺TACACS服務(wù)器（擔(dān)當(dāng)服務(wù)器的職責(zé)）與交換機(jī)相連，服務(wù)器IP地址為64，設(shè)置交換機(jī)與TACACS服務(wù)器交互報文時的共享密鑰均為“