对于某些接入方式,用户最终所属的ISP域可由相应的认证模块(例如802.1X)提供命令行来指定,用于满足一定的用户认证管理策略。
1.1.7 认证、授权、计费方法
在具体实现中,一个ISP域对应着设备上一套实现AAA的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
1. 认证方法
AAA支持以下认证方法:
·不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
·本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
·远端认证:认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过、或LDAP协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端服务器无效时,可配置备选认证方式完成认证。
2. 授权方法
AAA支持以下授权方法:
·不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
·本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
·远端授权:授权过程在接入设备和远端服务器之间完成。协议的认证和授权是绑定在一起的,不能单独使用进行授权。认证成功后,才能进行授权,授权信息携带在认证回应报文中下发给用户。/LDAP协议的授权与认证相分离,在认证成功后,授权信息通过授权报文进行交互。当远端服务器无效时,可配置备选授权方式完成授权。
3. 计费方法
AAA支持以下计费方法:
·不计费:不对用户计费。
·本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
·远端计费:计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。
1.1.8 AAA的扩展应用
对于login用户,AAA还可以对其提供以下服务,用于提高对设备操作的安全性:
·命令行授权:用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。关于命令行授权的详细介绍请参考“基础配置指导”中的“配置用户通过CLI登录设备”。
·命令行计费:若未开启命令行授权功能,则计费服务器对用户执行过的所有有效命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。关于命令行计费的详细介绍请参考“基础配置指导”中的“配置用户通过CLI登录设备”。
·用户角色切换认证:在不退出当前登录、不断开当前连接的前提下,用户将当前的用户角色切换为其它用户角色时,只有通过服务器的认证,该切换操作才被允许。关于用户角色切换的详细介绍请参考“基础配置指导”中的“RBAC”。
1.1.9 AAA支持VPN多实例
通过AAA支持VPN多实例,可实现认证/授权/计费报文在VPN之间的交互。如所示,各私网客户端之间业务隔离,连接客户端的PE设备作为NAS,通过VPN网络把私网客户端的认证/授权/计费信息透传给网络另一端的私网服务器,实现了对私网客户端的集中认证,且各私网的认证报文互不影响。
图1-10 AAA支持VPN多实例典型组网图
在MCE设备上进行的接入认证在本特性的配合下,也可支持多实例功能。关于MCE的相关介绍请参见“MPLS配置指导”中的“MCE”。关于的相关介绍请参见“安全配置指导”中的“”。
与AAA、、、LDAP相关的协议规范有:
·RFC 2865: Dial In User ()
·RFC 2866:
·RFC 2867: for
·RFC 2868: for
·RFC 2869:
·RFC 3576: to Dial In User ()
·RFC 4818: -IPv6-
·RFC 5176: to Dial In User ()
·RFC 1492:An ,
·RFC 1777:
·RFC 2251: (v3)
1.2 FIPS相关说明
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
1.3 AAA配置任务简介
AAA配置任务如下:
(1)配置AAA方案
若选择使用本地AAA方案,则需要配置本地用户;若选择使用远程AAA方案,则需要配置、或LDAP。
¡
¡
¡
¡
(2)创建ISP域并配置相关属性
a.
b.
(3)
请根据实际需求为用户所在的ISP域配置实现认证、授权、计费的方法,这些方法中将会引用已经配置的AAA方案。
¡
¡
¡
(4)(可选)配置AAA高级功能
¡
¡
¡
¡
¡
¡
1.4 配置本地用户简介
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名和用户类别为用户的唯一标识。本地用户分为两类,一类是设备管理用户;另一类是网络接入用户。设备管理用户供设备管理员登录设备使用,网络接入用户供通过设备访问网络服务的用户使用。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。具体步骤是,创建一个本地用户并进入本地用户视图,然后在本地用户视图下配置相应的用户属性,可配置的用户属性包括:
·描述信息
·服务类型
用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证。
·用户状态
用于指示是否允许该用户请求网络服务器,包括和block两种状态。表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。
·最大用户数
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入。
·所属的用户组
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性)。关于本地用户组的介绍和配置请参见“”。
·绑定属性
用户认证时需要检测的属性,用于限制接入用户的范围。若用户的实际属性与设置的绑定属性不匹配,则不能通过认证,因此在配置绑定属性时要考虑该用户是否需要绑定某些属性。
·用户授权属性
用户认证通过后,接入设备给用户下发授权属性。由于可配置的授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性。
本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户视图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。
·密码管理属性
用户密码的安全属性,可用于对本地用户的认证密码进行管理和控制。可设置的策略包括:密码老化时间、密码最小长度、密码组合策略、密码复杂度检查策略和用户登录尝试次数限制策略。
本地用户的密码管理属性在系统视图(具有全局性)、用户组视图和本地用户视图下都可以配置,其生效的优先级顺序由高到底依次为本地用户、用户组、全局。全局配置对所有本地用户生效,用户组的配置对组内所有本地用户生效。有关密码管理以及全局密码配置的详细介绍请参见“安全配置指导”中的“ ”。
·有效期
网络接入类本地用户在有效期内才能认证成功。
本地用户配置任务如下:
(1)配置本地用户属性
¡
¡
(2)(可选)
(3)(可选)
1.4.3 配置设备管理类本地用户属性1. 配置限制和指导
配置绑定接口属性时要考虑绑定接口类型是否合理,如果绑定的接口与实际的接口类型不一致或用户未携带该绑定属性则会导致认证失败。
开启设备管理类全局密码管理功能(通过命令- )后,设备上将不显示配置的本地用户密码,也不会将该密码保存在当前配置中。如果关闭了设备管理类全局密码管理功能,已配置的密码将恢复在当前配置中。当前配置可通过 -命令查看。
授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置,各视图下的配置优先级顺序从高到底依次为:本地用户视图-->用户组视图。
2. 配置步骤
(1)进入系统视图。
-view
(2)添加设备管理类本地用户,并进入设备管理类本地用户视图。
local-user user-name class
(3)设置本地用户的密码。
(非FIPS模式)
[ { hash | } ]
可以不为本地用户设置密码。为提高用户账户的安全性,建议设置本地用户密码。
(FIPS模式)
必须且只能通过交互式方式设置明文密码,否则用户的本地认证不能成功。
(4)设置本地用户可以使用的服务类型。
(非FIPS模式)
-type { ftp | { http | https | ssh | | } * }
(FIPS模式)
-type { https | ssh | } *
缺省情况下,本地用户不能使用任何服务类型。
(5)(可选)设置本地用户的状态。
state { | block }
缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务。
(6)(可选)设置使用当前本地用户名接入设备的最大用户数。
-limit max-user-
缺省情况下,不限制使用当前本地用户名接入的用户数。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
(7)(可选)设置本地用户的绑定属性。
bind- -type -
缺省情况下,未设置本地用户的绑定属性。
(8)(可选)设置本地用户的授权属性。
- { idle-cut | user-role role-name | work- -name } *
缺省情况下:
¡授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
¡由用户角色为-admin或者level-15的用户创建的本地用户被授权用户角色-。
(9)(可选)设置设备管理类本地用户的密码管理属性。请至少选择其中一项进行配置。
¡设置密码老化时间。
- aging aging-time
¡设置密码最小长度。
-
¡设置密码组合策略。
- type- type- [ type- type- ]
¡设置密码的复杂度检查策略。
- { same- | user-name } check
¡设置用户登录尝试次数以及登录尝试失败后的行为。
- login- login-times [ { lock | lock-time time | } ]
缺省情况下,采用本地用户所属用户组的密码管理策略。
(10)(可选)设置本地用户所属的用户组。
group group-name
缺省情况下,本地用户属于用户组。
1.4.4 配置网络接入类本地用户属性1. 配置限制和指导
开启网络接入类全局密码管理功能(通过命令- -class)后,设备上将不显示配置的本地用户密码,也不会将该密码保存在当前配置中。如果关闭了网络接入类全局密码管理功能,已配置的密码将恢复在当前配置中。当前配置可通过 -命令查看。
授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置,各视图下的配置优先级顺序从高到底依次为:本地用户视图-->用户组视图。
在绑定接口属性时要考虑绑定接口类型是否合理。对于不同接入类型的用户,请按照如下方式进行绑定接口属性的配置:
·802.1X用户:配置绑定的接口为开启802.1X的二层以太网接口、二层聚合接口。
·MAC地址认证用户:配置绑定的接口为开启MAC地址认证的二层以太网接口、二层聚合接口。
·Web认证用户:配置绑定的接口为开启Web认证的二层以太网接口。
·用户:若使能的接口为VLAN接口,且没有通过 命令配置用户漫游功能,则配置绑定的接口为用户实际接入的二层以太网接口;其它情况下,配置绑定的接口均为使能的接口。
2. 配置步骤
(1)进入系统视图。
-view
(2)添加网络接入类本地用户,并进入网络接入类本地用户视图。
local-user user-name class
(3)(可选)设置本地用户的密码。
{ | }
(4)(可选)设置本地用户的描述信息。
缺省情况下,未配置本地用户的描述信息。
(5)设置本地用户可以使用的服务类型。
-type { lan- | }
缺省情况下,本地用户不能使用任何服务类型。
(6)(可选)设置本地用户的状态。
state { | block }
缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务。
(7)(可选)设置使用当前本地用户名接入设备的最大用户数。
-limit max-user-
缺省情况下,不限制使用当前本地用户名接入的用户数。
(8)(可选)设置本地用户的绑定属性。
bind- { ip ip- | -type - | mac mac- | vlan vlan-id} *
缺省情况下,未设置本地用户的任何绑定属性。
(9)(可选)设置本地用户的授权属性。
- { acl acl- | idle-cut | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name| - | user- -name | vlan vlan-id } *
缺省情况下,本地用户无授权属性。
(10)(可选)设置网络接入类本地用户的密码管理属性。请至少选择其中一项进行配置。
¡设置密码最小长度。
-
¡设置密码组合策略。
- type- type- [ type- type- ]
¡设置密码的复杂度检查策略。
- { same- | user-name } check
缺省情况下,采用本地用户所属用户组的密码管理策略。
(11)(可选)设置本地用户所属的用户组。
group group-name
缺省情况下,本地用户属于用户组。
(12)(可选)设置本地用户的有效期。
- { from start-date start-time to -date -time |from start-date start-time | to -date -time }
缺省情况下,未限制本地用户的有效期,该用户始终有效。
1.4.5 配置用户组属性1. 功能简介
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。
2. 配置步骤
(1)进入系统视图。
-view
(2)创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为。
(3)设置用户组的授权属性。
- { acl acl- | idle-cut | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name| - | user- -name | vlan vlan-id | work- -name } *
缺省情况下,未设置用户组的授权属性。
(4)(可选)设置用户组的密码管理属性。请至少选择其中一项进行配置。
¡设置密码老化时间。
- aging aging-time
¡设置密码最小长度。
-
¡设置密码组合策略。
- type- type- [ type- type- ]
¡设置密码的复杂度检查策略。
- { same- | user-name } check
¡设置用户登录尝试次数以及登录尝试失败后的行为。
- login- login-times [ { lock | lock-time time | } ]
缺省情况下,采用全局密码管理策略。全局密码管理策略的相关配置请参见“安全配置指导”中的“ ”。
1.4.6 配置本地用户过期自动删除功能1. 功能简介
开启本地用户过期自动删除功能之后,设备将定时(10分钟,不可配)检查网络接入类本地用户是否过期并自动删除过期的本地用户。
2. 配置步骤
(1)进入系统视图。
-view
(2)开启本地用户过期自动删除功能。
local-user auto-
缺省情况下,本地用户过期自动删除功能处于关闭状态。
1.4.7 本地用户及本地用户组显示和维护
完成上述配置后,在任意视图下执行命令可以显示配置后本地用户及本地用户组的运行情况,通过查看显示信息验证配置的效果。
表1-3 本地用户及本地用户组显示和维护
操作
命令
显示本地用户的配置信息和在线用户数的统计信息
local-user [ class { | } | idle-cut { | } | -type { ftp | http | https | lan- | | ssh | | } | state { | block } | user-name user-name class { | } | vlan vlan-id]
显示本地用户组的相关配置
user-group { all | name group-name }
1.5.1 配置任务简介
配置任务如下:
(1)
若要对认证服务器使用EAP认证方法进行可达性探测,则需要配置EAP认证方案,并在服务器探测模板中引用该方案。
(2)
若要对认证服务器进行可达性探测,则需要配置服务器探测模板,并在认证服务器配置中引用该模板。
(3)
(4)
(5)
(6)
若配置认证/计费服务器时未指定共享密钥,则可以通过本任务统一指定对所有认证/计费服务器生效的共享密钥。
(7)
若配置认证/计费服务器时未指定所属的VPN,则可以通过本任务统一指定所有认证/计费服务器所属的VPN。
(8)(可选)
(9)(可选)
(10)(可选)配置报文交互参数
¡
¡
¡
¡
¡
(11)(可选)配置属性参数
¡
¡
¡
¡
¡
(12)(可选)配置扩展功能
¡
¡
¡
¡
¡
¡
¡
¡
¡
认证方案1. 功能简介
EAP认证方案是一个EAP认证选项的配置集合,用于指定设备采用的EAP认证方法以及某些EAP认证方法需要引用的CA证书。
2. 配置限制和指导
一个EAP认证方案可以同时被多个探测模板引用。
系统最多支持配置16个EAP认证方案。
3. 配置准备
配置CA证书之前,需要通过FTP或TFTP的方式将证书文件导入设备的存储介质的根目录下。
在IRF组网环境中,需要保证主设备的存储介质的根目录下已经保存了CA证书文件。
4. 配置步骤
(1)进入系统视图。
-view
(2)创建EAP认证方案,并进入EAP认证方案视图。
eap- eap--name
(3)配置EAP认证方法。
{ md5 | peap-gtc | peap- | ttls-gtc | ttls- }
缺省情况下,采用的EAP认证方法为MD5-。
(4)配置当前认证方案要使用的CA证书。
ca-file file-name
缺省情况下,未配置CA证书。
当使用EAP认证方法为PEAP-GTC、PEAP-、TTLS-GTC、TTLS-时,则需要通过本命令配置使用的CA证书,用于校验服务器证书。
1.5.3 配置服务器探测模板1. 功能简介
服务器探测功能是指,设备周期性发送探测报文探测服务器是否可达或可用:如果服务器不可达,则置服务器状态为block,如果服务器可达,则置服务器状态为。该探测功能不依赖于实际用户的认证过程,无论是否有用户向服务器发起认证,无论是否有用户在线,设备都会自动对指定的服务器进行探测,便于及时获得该服务器的可达状态。
服务器探测模板用于配置探测参数,并且可以被方案视图下的服务器配置引用。
目前,设备支持两种探测方式:
·简单探测方式:设备采用探测模板中配置的探测用户名、密码构造一个认证请求报文,并在探测周期内选择随机时间点向引用了探测模板的服务器发送该报文。如果在本次探测周期内收到服务器的认证响应报文,则认为当前探测周期内该服务器可达。
·EAP探测方式:设备采用指定的EAP认证方案中配置的EAP认证方法启动服务器探测。在探测过程中,设备会在配置的探测周期超时后使用探测模板中配置的探测用户名和密码,模拟一个合法EAP认证用户向引用了该探测模板的服务器发起一次EAP认证,如果在探测超时时间内(不可配)成功完成该次认证,则认为当前探测周期内该服务器可用。
EAP探测方式相较于简单探测方式,由于探测过程还原了完整的认证过程,更能保证服务器探测结果的可靠性。建议在接入用户使用EAP认证方法的组网环境中,使用该方式的服务器探测功能。
2. 配置限制和指导
系统支持同时存在多个服务器探测模板。
只有一个服务器配置中成功引用了一个已经存在的服务器探测模板,设备才会启动对该服务器的探测功能。
若探测模板中引用的EAP认证方案不存在,则设备会暂时采用简单探测方式发起探测。当引用的EAP认证方案配置成功后,下一个探测周期将使用EAP方式发起探测。
服务器探测功能启动后,以下情况发生将会导致探测过程中止:
·删除该服务器配置;
·取消对服务器探测模板的引用;
·删除对应的服务器探测模板;
·将该服务器的状态手工置为block;
·删除当前方案。
3. 配置步骤
(1)进入系统视图。
-view
(2)配置服务器探测模板。
- test- -name name[ { | } ] [ ] [ eap---name ]
1.5.4 创建方案1. 配置限制和指导
系统最多支持配置16个方案。一个方案可以同时被多个ISP域引用。
2. 配置步骤
(1)进入系统视图。
-view
(2)创建方案,并进入方案视图。
--name
1.5.5 配置认证服务器1. 功能简介
由于服务器的授权信息是随认证应答报文发送给客户端的,的认证和授权功能由同一台服务器实现,因此认证服务器相当于认证/授权服务器。通过在方案中配置认证服务器,指定设备对用户进行认证时与哪些服务器进行通信。
一个方案中最多允许配置一个主认证服务器和16个从认证服务器。缺省情况下,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为的从服务器并与之交互。
开启服务器负载分担功能后,设备会根据各服务器的权重以及服务器承载的用户负荷,按比例进行用户负荷分配并选择要交互的服务器。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主认证服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个方案的主认证服务器,又作为另一个方案的从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置主认证服务器。
{ host-name | ipv4- | ipv6 ipv6- }[ port- | key { | } | test- -name | vpn- vpn--name| -value ] *
缺省情况下,未配置主认证服务器。
仅在服务器负载分担功能处于开启状态下,参数才能生效。
(4)(可选)配置从认证服务器。
{ host-name | ipv4- | ipv6 ipv6- } [ port- | key { | } | test- -name | vpn- vpn--name| -value ] *
缺省情况下,未配置从认证服务器。
仅在服务器负载分担功能处于开启状态下,参数才能生效。
1.5.6 配置计费服务器1. 功能简介
通过在方案中配置计费服务器,指定设备对用户进行计费时与哪些服务器进行通信。
一个方案中最多允许配置一个主计费服务器和16个从计费服务器。缺省情况下,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为的从服务器并与之交互。开启服务器负载分担功能后,设备会根据各服务器的权重以及服务器承载的用户负荷,按比例进行用户负荷分配并选择要交互的服务器。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主计费服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个方案的主计费服务器,又作为另一个方案的从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。
目前不支持对FTP/SFTP/SCP用户进行计费。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置主计费服务器。
{ host-name | ipv4- | ipv6 ipv6- }[ port- |key { | } | vpn- vpn--name| -value ] *
缺省情况下,未配置主计费服务器。
仅在服务器负载分担功能处于开启状态下,参数才能生效。
(4)(可选)配置从计费服务器。
{ host-name | ipv4- | ipv6 ipv6- } [ port- | key { | } | vpn- vpn--name | -value ] *
缺省情况下,未配置从计费服务器。
仅在服务器负载分担功能处于开启状态下,参数才能生效。
1.5.7 配置报文的共享密钥1. 功能简介
客户端与服务器使用MD5算法并在共享密钥的参与下生成验证字,接受方根据收到报文中的验证字来判断对方报文的合法性。只有在共享密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
由于设备优先采用配置认证/计费服务器时指定的报文共享密钥,因此,本配置中指定的报文共享密钥仅在配置认证/计费服务器时未指定相应密钥的情况下使用。
2. 配置限制和指导
必须保证设备上设置的共享密钥与服务器上的完全一致。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置报文的共享密钥。
key { | } { | }
缺省情况下,未配置报文的共享密钥。
1.5.8 配置方案所属的VPN1. 功能简介
该配置用于为方案下的所有服务器统一指定所属的VPN。服务器所属的VPN也可以在配置服务器的时候单独指定,且被优先使用。未单独指定所属VPN的服务器,则属于所在方案所属的VPN。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置方案所属的VPN。
vpn- vpn--name
缺省情况下,方案属于公网。
服务器的状态1. 服务器状态切换简介
方案中各服务器的状态(、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主服务器和多个从服务器,由从服务器作为主服务器的备份。当服务器负载分担功能处于开启状态时,设备仅根据当前各服务器承载的用户负荷调度状态为的服务器发送认证或计费请求。当服务器负载分担功能处于关闭状态时,设备上主从服务器的切换遵从以下原则:
·当主服务器状态为时,设备首先尝试与主服务器通信,若主服务器不可达,则按照从服务器的配置先后顺序依次查找状态为的从服务器。
·只要存在状态为的服务器,设备就仅与状态为的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
·当主/从服务器的状态均为block时,设备才会尝试与主服务器进行通信,若未配置主服务器,则设备尝试与首个配置的从服务器通信。
·如果服务器不可达,则设备将该服务器的状态置为block,并启动该服务器的quiet定时器。当服务器的quiet定时器超时,或者手动将服务器状态置为时,该服务器将恢复为状态。
·在一次认证或计费过程中,如果设备在尝试与从服务器通信时,之前已经查找过的服务器状态由block恢复为,则设备并不会立即恢复与该服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
·对于每一个新用户,设备都会遵照以上原则为其选择可达的服务器;已在线用户的重认证时,设备会按照服务器的选择模式( -命令设置)来决定是否需要依照以上原则重新选择认证服务器,或是选用之前认证时使用的服务器。
·如果在认证或计费过程中删除了当前正在使用的服务器,则设备在与该服务器通信超时后,将会立即从主服务器开始依次查找状态为的服务器并与之进行通信。
·一旦服务器状态满足自动切换的条件,则所有方案视图下该服务器的状态都会相应地变化。
·将认证服务器的状态由修改为block时,若该服务器引用了服务器探测模板,则关闭对该服务器的探测功能;反之,将认证服务器的状态由block更改为时,若该服务器引用了一个已存在的服务器探测模板,则开启对该服务器的探测功能。
·缺省情况下,设备将配置了IP地址的各服务器的状态均置为,认为所有的服务器均处于正常工作状态,但有些情况下用户可能需要通过以下配置手工改变服务器的当前状态。例如,已知某服务器故障,为避免设备认为其而进行无意义的尝试,可暂时将该服务器状态手工置为block。
2. 配置限制和指导
设置的服务器状态不能被保存在配置文件中,可通过 命令查看。
设备重启后,各服务器状态将恢复为缺省状态。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置认证服务器的状态。请至少选择其中一项进行配置。
¡设置主认证服务器的状态。
state { | block }
¡设置主计费服务器的状态。
state { | block }
¡设置从认证服务器的状态。
state [ { host-name | ipv4- | ipv6 ipv6- } [ port- | vpn- vpn--name] *] { | block }
¡设置从计费服务器的状态。
state [ { host-name | ipv4- | ipv6 ipv6- } [ port- | vpn- vpn--name] *] { | block }
缺省情况下,服务器的状态为。
1.5.10 配置服务器的定时器1. 定时器简介
在与服务器交互的过程中,设备上可启动的定时器包括以下几种:
·服务器响应超时定时器(-):如果在请求报文发送出去一段时间后,设备还没有得到服务器的响应,则有必要重传请求报文,以保证用户尽可能地获得服务,这段时间被称为服务器响应超时时间。
·服务器恢复激活状态定时器(quiet):当服务器不可达时,设备将该服务器的状态置为block,并开启超时定时器,在设定的一定时间间隔之后,再将该服务器的状态恢复为。这段时间被称为服务器恢复激活状态时长。
·实时计费间隔定时器(-):为了对用户实施实时计费,有必要定期向服务器发送实时计费更新报文,通过设置实时计费的时间间隔,设备会每隔设定的时间向服务器发送一次在线用户的计费信息。
2. 配置限制和指导
设置服务器的定时器时,请遵循以下配置原则:
·要根据配置的从服务器数量合理设置发送报文的最大尝试次数和服务器响应超时时间,避免因为超时重传时间过长,在主服务器不可达时,出现设备在尝试与从服务器通信的过程中接入模块(例如模块)的客户端连接已超时的现象。但是,有些接入模块的客户端的连接超时时间较短,在配置的从服务器较多的情况下,即使将报文重传次数和服务器响应超时时间设置的很小,也可能会出现上述客户端超时的现象,并导致初次认证或计费失败。这种情况下,由于设备会将不可达服务器的状态设置为block,在下次认证或计费时设备就不会尝试与这些状态为block的服务器通信,一定程度上缩短了查找可达服务器的时间,因此用户再次尝试认证或计费就可以成功。
·要根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置得过短,就会出现设备反复尝试与状态但实际不可达的服务器通信而导致的认证或计费频繁失败的问题;如果服务器恢复激活状态设置的过长,则会导致已经恢复激活状态的服务器暂时不能为用户提供认证或计费服务。
·实时计费间隔的取值对设备和服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些(大于15分钟)。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置定时器参数。请至少选择其中一项进行配置。
¡设置服务器响应超时时间。
timer -
缺省情况下,服务器响应超时定时器为3秒。
¡设置服务器恢复激活状态的时间。
timer quiet
缺省情况下,服务器恢复激活状态前需要等待5分钟。
¡设置实时计费间隔。
timer - [ ]
缺省情况下,实时计费间隔为12分钟。
报文使用的源IP地址1. 功能简介
服务器上通过IP地址来标识接入设备,并根据收到的报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。若服务器收到的认证或计费报文的源地址在所管理的接入设备IP地址范围内,则会进行后续的认证或计费处理,否则直接丢弃该报文。
设备发送报文时,根据以下顺序查找使用的源IP地址:
(1)当前所使用的方案中配置的发送报文使用的源IP地址。
(2)根据当前使用的服务器所属的VPN查找系统视图下通过 nas-ip命令配置的私网源地址,对于公网服务器则直接查找该命令配置的公网源地址。
(3)通过路由查找到的发送报文的出接口地址。
2. 配置限制和指导
发送报文使用的源IP地址在系统视图和方案视图下均可配置,系统视图下的配置将对所有方案生效,方案视图下的配置仅对本方案有效,并且具有高于前者的优先级。
为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送报文使用的源IP地址必须与服务器上指定的接入设备的IP地址保持一致。
通常,该地址为接入设备上与服务器路由可达的接口IP地址,为避免物理接口故障时从服务器返回的报文不可达,推荐使用接口地址为发送报文使用的源IP地址。但在一些特殊的组网环境中,例如在接入设备使用VRRP( ,虚拟路由器冗余协议)进行双机热备应用时,可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址。
源接口配置和源IP地址配置不能同时存在,后配置的生效。
3. 为所有方案配置发送报文使用的源IP地址
(1)进入系统视图。
-view
(2)设置设备发送报文使用的源IP地址。
nas-ip{ -type - | { ipv4- | ipv6 ipv6- } [ vpn- vpn--name ] }
缺省情况下,未指定发送报文使用的源IP地址,设备将使用到达服务器的路由出接口的主IPv4地址或IPv6地址作为发送报文的源IP地址。
4. 为指定方案配置发送报文使用的源IP地址
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置设备发送报文使用的源IP地址。
nas-ip { ipv4- | -type - | ipv6 ipv6- }
缺省情况下,未指定设备发送报文使用的源IP地址,使用系统视图下由命令 nas-ip指定的源IP地址。
服务器的用户名格式和数据统计单位1. 功能简介
接入用户通常以“@isp-name”的格式命名,“@”后面的部分为ISP域名,设备通过该域名决定将用户归于哪个ISP域。由于有些较早期的服务器不能接受携带有ISP域名的用户名,因此就需要设备首先将用户名中携带的ISP域名去除后再传送给该类服务器。通过设置发送给服务器的用户名格式,就可以选择发送服务器的用户名中是否要携带ISP域名,以及是否保持用户输入的原始用户名格式。
设备通过发送计费报文,向服务器报告在线用户的数据流量统计值,该值的单位可配。
2. 配置限制和指导
如果要在两个乃至两个以上的ISP域中引用相同的方案,建议设置该方案允许用户名中携带ISP域名,使得服务器端可以根据ISP域名来区分不同的用户。
为保证服务器计费的准确性,设备上设置的发送给服务器的数据流或者数据包的单位应与服务器上的流量统计单位保持一致。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置发送给服务器的用户名格式。
user-name- { keep- | with- | - }
缺省情况下,发送给服务器的用户名携带ISP域名。
(4)设置发送给服务器的数据流或者数据包的单位。
data-flow- { data { byte | giga-byte | kilo-byte | mega-byte } | { giga- | kilo- | mega- | one- } } *
缺省情况下,数据流的单位为字节,数据包的单位为包。
1.5.13 配置发送报文的最大尝试次数1. 功能简介
由于协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer -命令配置)没有收到服务器的响应,则设备有必要向服务器重传请求报文。如果发送请求报文的累计次数已达到指定的最大尝试次数而服务器仍旧没有响应,则设备将尝试与其它服务器通信,如果不存在状态为的服务器,则认为本次认证或计费失败。关于服务器状态的相关内容,请参见“”。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置发送报文的最大尝试次数。
retry
缺省情况下,发送报文的最大尝试次数为3次。
1.5.14 配置允许发起实时计费请求的最大尝试次数1. 功能简介
通过在设备上配置发起实时计费请求的最大尝试次数,允许设备向服务器发出的实时计费请求没有得到响应的次数超过指定的最大值时切断用户连接。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置允许发起实时计费请求的最大尝试次数。
retry -
缺省情况下,允许发起实时计费请求的最大尝试次数为5。
1.5.15 配置报文的DSCP优先级1. 功能简介
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定设备发送的报文携带的DSCP优先级的取值。配置DSCP优先级的取值越大,报文的优先级越高。
2. 配置步骤
(1)进入系统视图。
-view
(2)配置报文的DSCP优先级。
[ ipv6 ] dscp dscp-value
缺省情况下,报文的DSCP优先级为0。
1.5.16 配置 15的检查方式1. 功能简介
15号属性为Login-属性,该属性携带在-报文中,由服务器下发给设备,表示认证用户的业务类型,例如属性值0表示业务。设备检查用户登录时采用的业务类型与服务器下发的Login-属性所指定的业务类型是否一致,如果不一致则用户认证失败 。由于RFC中并未定义SSH、FTP和这三种业务的Login-属性值,因此设备无法针对SSH、FTP、用户进行业务类型一致性检查,为了支持对这三种业务类型的检查,H3C为Login-属性定义了所示的扩展取值。
表1-4 扩展的Login-属性值
属性值
描述
50
用户的业务类型为SSH
51
用户的业务类型为FTP
52
用户的业务类型为
可以通过配置设备对 15号属性的检查方式,控制设备是否使用扩展的Login-属性值对用户进行业务类型一致性检查。
·严格检查方式:设备使用标准属性值和扩展属性值对用户业务类型进行检查,对于SSH、FTP、用户,当服务器下发的Login-属性值为对应的扩展取值时才能够通过认证。
·松散检查方式:设备使用标准属性值对用户业务类型进行检查,对于SSH、FTP、用户,在服务器下发的Login-属性值为0(表示用户业务类型为)时才能够通过认证。
2. 配置限制和指导
由于某些服务器不支持自定义的属性,无法下发扩展的Login-属性,若要使用这类服务器对SSH、FTP、用户进行认证,建议设备上对 15号属性值采用松散检查方式。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置对 15的检查方式。
15 check-mode { loose | }
缺省情况下,对 15的检查方式为方式。
1.5.17 配置 25的CAR参数解析功能1. 功能简介
的25号属性为class属性,该属性由服务器下发给设备,但RFC中并未定义具体的用途,仅规定了设备需要将服务器下发的class属性再原封不动地携带在计费请求报文中发送给服务器即可,同时RFC并未要求设备必须对该属性进行解析。目前,某些服务器利用class属性来对用户下发CAR参数,为了支持这种应用,可以通过本特性来控制设备是否将 25号属性解析为CAR参数,解析出的CAR参数可被用来进行基于用户的流量监管控制。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)开启 25的CAR参数解析功能。
25 car
缺省情况下, 25的CAR参数解析功能处于关闭状态。
1.5.18 配置 31中的MAC地址格式1. 配置限制和指导
不同的服务器对填充在 31中的MAC地址有不同的格式要求,为了保证报文的正常交互,设备发送给服务器的 31号属性中MAC地址的格式必须与服务器的要求保持一致。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置 31中的MAC地址格式。
31 mac- { six | three } - { | }
缺省情况下, 31中的MAC地址为大写字母格式,且被分隔符“-”分成6段,即为HH-HH-HH-HH-HH-HH的格式。
1.5.19 配置 属性的流量单位1. 功能简介
属性为H3C自定义属性,携带在服务器发送给接入设备的认证响应或实时计费响应报文中,用于向接入设备通知在线用户的剩余流量值。
2. 配置限制和指导
设备管理员设置的属性流量单位应与服务器上统计用户流量的单位保持一致,否则设备无法正确使用属性值对用户进行计费。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置 属性的流量单位。
- unit { byte | giga-byte| kilo-byte | mega-byte }
缺省情况下,属性的流量单位是千字节。
1.5.20 配置属性解释功能1. 功能简介
不同厂商的服务器所支持的属性集有所不同,而且相同属性的用途也可能不同。为了兼容不同厂商的服务器的属性,需要开启属性解释功能,并定义相应的属性转换规则和属性禁用规则。
开启解释功能后,设备在发送和接收报文时,可以按照配置的属性转换规则以及属性禁用规则对报文中的属性进行不同的处理:
·设备发送报文时,将报文中匹配上禁用规则的属性从报文中删除,将匹配上转换规则的属性替换为指定的属性;
·设备接收报文时,不处理报文中匹配上禁用规则的属性,将匹配上转换规则的属性解析为指定的属性。
如果设备需要按照某种既定规则去处理一些无法识别的其他厂商的私有属性,可以定义扩展属性。通过自定义扩展属性,并结合属性转换功能,可以将系统不可识别的属性映射为已知属性来处理。
2. 配置限制和指导
在一个方案视图下,对于同一个属性,存在以下配置限制:
·如果已经配置了禁用规则,则不允许再配置转换规则;反之亦然。
·基于方向(、sent)的规则和基于报文类型(-、-、)的规则,不能同时配置,只能存在一种。
·对于基于方向的规则,可以同时存在两条不同方向的规则;对于基于报文类型的规则,可以存在同时存在三条不同类型的规则。
3. 配置属性解释功能(基于方案)
(1)进入系统视图。
-view
(2)(可选)定义扩展属性。
-name [ -id ] code -code type { | date | | -id | ip | ipv6 | ipv6- | | }
(3)进入方案视图。
--name
(4)开启属性解释功能。
缺省情况下,属性解释功能处于关闭状态。
(5)配置属性转换/禁用规则。请至少选择其中一项进行配置。
¡配置属性转换规则。
src-attr-name to dest-attr-name { { - | - | } * | { | sent } * }
缺省情况下,未配置任何属性转换规则。
¡配置属性禁用规则。
attr-name { { - | - | } * | { | sent } * }
缺省情况下,未配置任何属性禁用规则。
4. 配置属性解释功能(基于 DAE服务器)
(1)进入系统视图。
-view
(2)(可选)定义扩展属性。
-name [ -id ] code -code type { | date | | -id | ip | ipv6 | ipv6- | | }
(3)进入 DAE服务器视图。
-
(4)开启属性解释功能。
缺省情况下,属性解释功能处于关闭状态。
(5)配置属性转换/禁用规则。请至少选择其中一项进行配置。
¡配置属性转换。
src-attr-name to dest-attr-name { { coa-ack | coa- } * | { | sent } * }
缺省情况下,未配置任何属性转换。
¡配置属性禁用。
attr-name { { coa-ack | coa- } * | { | sent } * }
缺省情况下,未配置任何属性禁用。
1.5.21 配置计费报文缓存功能1. 功能简介
当用户请求断开连接或者设备强行切断用户连接的情况下,设备会向计费服务器发起停止计费请求。为了使得设备尽量与服务器同步切断用户连接,可以开启对无响应的停止计费报文缓存功能,将停止计费报文缓存在本机上,然后多次尝试向服务器发起停止计费请求。如果在发起停止计费请求的尝试次数达到指定的最大值后设备仍然没有收到响应,则将其从缓存中删除。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)开启对无响应的停止计费请求报文的缓存功能。
stop--
缺省情况下,设备缓存未得到响应的停止计费请求报文。
(4)(可选)设置发起停止计费请求的最大尝试次数。
retry stop-
缺省情况下,发起停止计费请求的最大尝试次数为500。
1.5.22 配置用户下线时设备强制发送计费停止报文1. 功能简介
通常,服务器在收到用户的计费开始报文后才会生成用户表项,但有一些服务器在用户认证成功后会立即生成用户表项。如果设备使用该类服务器进行认证/授权/计费,则在用户认证后,因为一些原因(比如授权失败)并未发送计费开始报文,则在该用户下线时设备也不会发送计费停止报文,就会导致服务器上该用户表项不能被及时释放,形成服务器和设备上用户信息不一致的问题。为了解决这个问题,建议开启本功能。
开启本功能后,只要用户使用服务器进行计费,且设备未向服务器发送计费开始报文,则在用户下线时设备会强制发送一个计费停止报文给服务器,使得服务器收到此报文后及时释放用户表项。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置用户下线时设备强制发送计费停止报文。
stop-- send-force
缺省情况下,用户下线时设备不会强制发送计费停止报文。
服务器负载分担功能1. 功能简介
缺省情况下,服务器的调度采用主/从模式,即设备优先与主服务器交互,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为的从服务器并与之交互。
方案中开启了服务器负载分担功能后,设备会根据各服务器的权重以及服务器承载的用户负荷,按比例进行用户负荷分配并选择要交互的服务器。
负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达,则直接返回计费失败。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)开启服务器负载分担功能。
-load-
缺省情况下,服务器负载分担功能处于关闭状态。
服务器的选择模式1. 功能简介
可以通过本特性对用户重认证时认证服务器的选择模式进行控制:
·继承模式:也是缺省模式,该模式下,设备直接沿用用户认证时使用的服务器,不再做其它尝试。使用此模式可以达到快速重认证的效果,但如果该认证服务器不可达,则会导致重认证失败。
·重新选择模式:该模式下,设备会根据当前方案中服务器的配置、服务器负载分担功能的开启状态,以及各服务器的可达状态重新选择认证服务器。使用此模式,可以尽可能得保证重认证时选择到当前最优且可达的服务器。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置重认证时服务器的选择模式。
- { | }
缺省情况下,重认证时仍然选用认证时使用的认证服务器。
1.5.25 配置的-on功能1. 功能简介
开启-on功能后,整个设备会在重启后主动向服务器发送-on报文来告知自己已经重启,并要求服务器停止计费且强制通过本设备上线的用户下线。该功能可用于解决设备重启后,重启前的原在线用户因被服务器认为仍然在线而短时间内无法再次登录的问题。若设备发送-on报文后服务器无响应,则会在按照一定的时间间隔( )尝试重发几次(send send-times)。
-on扩展功能是为了适应分布式架构而对-on功能的增强。
-on扩展功能适用于lan-用户,该类型的用户数据均保存在用户接入的成员设备上。开启-on扩展功能后,当有用户发起接入认证的成员设备重启时,设备会向服务器发送携带设成员设备标识的-on报文,用于通知服务器对该成员设备的用户停止计费且强制用户下线。如果自上一次重启之后,成员设备上没有用户接入认证的记录,则该成员设备再次重启,并不会触发设备向服务器发送携带成员设备标识的-on报文。
2. 配置限制和指导
只有在-on功能处于开启状态,且和H3C iMC服务器配合使用的情况下,-on扩展功能才能生效。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)开启-on功能。
-on [ | send send-times ] *
缺省情况下,-on功能处于关闭状态。
(4)(可选)开启-on扩展功能。
-on
缺省情况下,-on扩展功能处于关闭状态。
1.5.26 配置的 功能1. 功能简介
H3C的iMC 服务器使用 报文向设备发送授权信息(例如授权ACL/VLAN/用户组/VSI/黑洞MAC)的动态修改请求以及断开连接请求。开启 功能后,设备会打开知名UDP端口1812来监听并接收服务器发送的 报文。
当设备收到 报文时,通过 客户端配置验证 报文的合法性。
2. 配置限制和指导
需要注意的是,该功能仅能和H3C的iMC 服务器配合使用。缺省情况下,为节省系统资源,设备上的 功能处于关闭状态。因此,在使用iMC 服务器且服务器需要对用户授权信息进行动态修改或强制用户下线的情况下,必须开启此功能。
3. 配置步骤
(1)进入系统视图。
-view
(2)开启 功能。
-
缺省情况下, 功能处于关闭状态。
(3)指定 客户端。
- { ip ipv4- | ipv6 ipv6- } [ key { | } | vpn- vpn--name] *
缺省情况下,未指定 客户端。
1.5.27 配置 DAE服务器功能1. 功能简介
DAE( ,动态授权扩展)协议是RFC 5176中定义的协议的一个扩展,它用于强制认证用户下线,或者更改在线用户授权信息。DAE采用客户端/服务器通信模式,由DAE客户端和DAE服务器组成。
·DAE客户端:用于发起DAE请求,通常驻留在一个服务器上,也可以为一个单独的实体。
·DAE服务器:用于接收并响应DAE客户端的DAE请求,通常为一个NAS( ,网络接入服务器)设备。
DAE报文包括以下两种类型:
·DMs( ):用于强制用户下线。DAE客户端通过向NAS设备发送DM请求报文,请求NAS设备按照指定的匹配条件强制用户下线。
·COA( of ):用于更改用户授权信息。DAE客户端通过向NAS设备发送COA请求报文,请求NAS设备按照指定的匹配条件更改用户授权信息。
在设备上开启 DAE服务后,设备将作为 DAE服务器在指定的UDP端口监听指定的 DAE客户端发送的DAE请求消息,然后根据请求消息进行用户授权信息的修改、断开用户连接、关闭/重启用户接入端口或重认证用户,并向 DAE客户端发送DAE应答消息。
2. 配置步骤
(1)进入系统视图。
-view
(2)开启 DAE服务,并进入 DAE服务器视图。
-
缺省情况下, DAE服务处于关闭状态。
(3)指定 DAE客户端。
{ - | ipv6 ipv6- } [ key { | } | vpn- vpn--name] *
缺省情况下,未指定 DAE客户端。
(4)(可选)指定 DAE服务端口。
port port-
缺省情况下, DAE服务端口为3799。
1.5.28 配置告警功能1. 功能简介
开启相应的告警功能后,模块会生成告警信息,用于报告该模块的重要事件:
·当NAS向服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,NAS认为该服务器不可达,并发送表示服务器不可达的告警信息。
·当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送表示服务器可达的告警信息。
·当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送表示认证失败次数超过阈值的告警信息。
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
2. 配置限制和指导
需要按照NMS( ,网络管理系统)的要求,选择设备发送服务器状态变化告警信息时采用的MIB节点版本。不同版本的MIB节点定义不同,具体请见AAA命令手册。
3. 配置步骤
(1)进入系统视图。
-view
(2)开启告警功能。
snmp-agent trap [ --down | --up | -error- | --down | --up ] *
缺省情况下,所有类型的 告警功能均处于关闭状态。
(3)(可选)配置发送告警信息采用的MIB节点版本。
trap- { v1 | v2 } [ --down | --up | --down | --up ] *
缺省情况下,使用v1版本的MIB节点发送告警信息。
1.5.29 关闭/开启协议功能1. 功能简介
缺省情况下,协议功能处于开启状态,设备可以接收和发送报文。由于攻击者可能会通过的 报文监听端口或 DAE服务端口向设备发起网络攻击,因此设备管理员可以通过临时关闭协议功能来阻止攻击,并在网络环境恢复安全后,再重新打开协议功能。另外,如果服务器需要调整配置或暂时不提供服务,则可以通过关闭设备上的协议功能来协助完成此过程。
关闭协议功能后,设备将停止接收和发送报文,具体处理机制如下:
若有新用户上线,则根据配置的备份方案进行认证、授权和计费处理。
·若已经为用户发送了认证请求报文:
¡如果收到服务器的响应报文,则根据响应完成认证和授权。
¡如果未收到服务器响应报文,则根据配置的备份方案进行认证处理。
·若已经为用户发送了计费开始请求报文:
¡如果收到服务器的响应报文,则用户上线,但后续计费更新和计费结束请求报文无法发出,也不能被缓存下来尝试继续发送。服务器因为收不到在线用户的下线报文,会出现有一段时间用户已经下线,但服务器上还有此用户的情况。另外,已缓存的计费报文也将从缓存中被删除。计费报文的发送失败,都会直接影响用户计费信息的准确性。
¡如果未收到服务器的响应报文,则根据配置的备份方案进行处理。
2. 配置限制和指导
关闭协议功能后,若再重新开启协议功能,已经使用其它方案进行的认证、授权或计费过程并不会切换为方案来执行。
3. 关闭协议功能
(1)进入系统视图。
-view
(2)关闭协议功能。
undo
缺省情况下,协议功能处于开启状态。
4. 开启协议功能
(1)进入系统视图。
-view
(2)开启协议功能。
缺省情况下,协议功能处于开启状态。
1.5.30 显示和维护
完成上述配置后,在任意视图下执行命令可以显示配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-5 显示和维护
操作
命令
显示所有或指定方案的配置信息
[ --name ]
显示服务器的负载统计信息
-load
显示报文的统计信息
显示缓存的停止计费请求报文的相关信息
stop-- { - --name | -id -id | time-range start-time end-time | user-name user-name }
清除所有服务器的历史负载统计信息
reset -load
清除协议的统计信息
reset
清除缓存的停止计费请求报文
reset stop-- { - --name | -id -id | time-range start-time end-time | user-name user-name }
配置任务简介
配置任务如下:
(1)
(2)
(3)
(4)
(5)
若配置服务器时未指定共享密钥,则可以通过本任务统一指定对所有认证/计费服务器生效的共享密钥。
(6)
若配置服务器时未指定所属的VPN,则可以通过本任务统一指定所有服务器所属的VPN。
(7)(可选)
(8)(可选)配置报文交互参数
¡
¡
(9)(可选)
1.6.2 创建方案1. 配置限制和指导
系统最多支持配置16个方案。一个方案可以同时被多个ISP域引用。
2. 配置步骤
(1)进入系统视图。
-view
(2)创建方案,并进入方案视图。
--name
1.6.3 配置认证服务器1. 功能简介
通过在方案中配置认证服务器,指定设备对用户进行认证时与哪个服务器进行通信。
一个方案中最多允许配置一个主认证服务器和16个从认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为的从服务器并与之交互。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主认证服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个方案的主认证服务器,又作为另一个方案的从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置主认证服务器。
{ host-name | ipv4- | ipv6 ipv6- } [ port- | key { | } | - | vpn- vpn--name ] *
缺省情况下,未配置主认证服务器。
(4)(可选)配置从认证服务器。
{ host-name | ipv4- | ipv6 ipv6- } [ port- | key { | } | - | vpn- vpn--name ] *
缺省情况下,未配置从认证服务器。
1.6.4 配置授权服务器1. 功能简介
通过在方案中配置授权服务器,指定设备对用户进行授权时与哪个服务器进行通信。
一个方案中最多允许配置一个主授权服务器和16个从授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为的从服务器并与之交互。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主授权服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个方案的主授权服务器,又作为另一个方案的从授权服务器。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、主机名、IP地址、端口号也不能完全相同。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置主授权服务器。
{ host-name | ipv4- | ipv6 ipv6- }[ port- | key { | } | - | vpn- vpn--name ] *
缺省情况下,未配置主授权服务器。
(4)(可选)配置从授权服务器。
{ host-name | ipv4- | ipv6 ipv6- }[ port- | key{ | } | - | vpn- vpn--name ] *
缺省情况下,未配置从授权服务器。
1.6.5 配置计费服务器1. 功能简介
通过在方案中配置计费服务器,指定设备对用户进行计费时与哪个服务器进行通信。
一个方案中最多允许配置一个主计费服务器和16个从计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为的从服务器并与之交互。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主计费服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个方案的主计费服务器,又作为另一个方案的从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。
目前不支持对FTP/SFTP/SCP用户进行计费。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置主计费服务器。
{ host-name | ipv4- | ipv6 ipv6- } [ port- | key { | } | - | vpn- vpn--name] *
缺省情况下,未配置主计费服务器。
(4)(可选)配置从计费服务器。
{ host-name | ipv4- | ipv6 ipv6- } [ port- | key { | } | - | vpn- vpn--name ] *
缺省情况下,未配置从计费服务器。
1.6.6 配置报文的共享密钥1. 功能简介
客户端与服务器使用MD5算法并在共享密钥的参与下加密报文。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
由于设备优先采用配置认证/授权/计费服务器时指定的报文共享密钥,因此,本配置中指定的报文共享密钥仅在配置认证/授权/计费服务器时未指定相应密钥的情况下使用。
2. 配置限制和指导
必须保证设备上设置的共享密钥与服务器上的完全一致。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置认证、授权、计费报文的共享密钥。
key { | | } { | }
缺省情况下,未设置报文的共享密钥。
1.6.7 配置方案所属的VPN1. 功能简介
该配置用于指定方案所属的VPN,即为方案下的所有服务器统一指定所属的VPN。服务器所属的VPN也可以在配置服务器的时候单独指定,且被优先使用。未单独指定所属VPN的服务器,则属于所在方案所属的VPN。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)配置方案所属的VPN。
vpn- vpn--name
缺省情况下,方案属于公网。
1.6.8 配置服务器的定时器1. 定时器及服务器状态切换简介
在与服务器交互的过程中,设备上可启动的定时器包括以下几种:
·服务器响应超时定时器(-):如果在请求报文传送出去一段时间后,设备还没有得到服务器的响应,则会将该服务器的状态置为block,并向下一个服务器发起请求,以保证用户尽可能得到服务,这段时间被称为服务器响应超时时长。
·实时计费间隔定时器(-):为了对用户实施实时计费,有必要定期向服务器发送用户的实时计费信息,通过设置实时计费的时间间隔,设备会每隔设定的时间向服务器发送一次在线用户的计费信息。
·服务器恢复激活状态定时器(quiet):当服务器不可达时,设备将该服务器的状态置为block,并开启超时定时器,在设定的一定时间间隔之后,再将该服务器的状态恢复为。这段时间被称为服务器恢复激活状态时长。
方案中各服务器的状态(、block)决定了设备向哪个服务器发送请求报文,以及设备在与当前服务器通信中断的情况下,如何转而与另外一个服务器进行交互。在实际组网环境中,可指定一个主服务器和多个从服务器,由从服务器作为主服务器的备份。通常情况下,设备上主从服务器的切换遵从以下原则:
·当主服务器状态为时,设备首先尝试与主服务器通信,若主服务器不可达,则按照从服务器的配置先后顺序依次查找状态为的从服务器进行认证或者计费。
·只要存在状态为的服务器,设备就仅与状态为的服务器通信,即使该服务器不可达,设备也不会尝试与状态为block的服务器通信。
·当主/从服务器的状态均为block时,设备尝试与主服务器进行通信,若未配置主服务器,则设备尝试与首个配置的从服务器通信。
·如果服务器不可达,则设备将该服务器的状态置为block,同时启动该服务器的quiet定时器。当服务器的quiet定时器超时,该服务器将恢复为状态。
·在一次认证或计费过程中,如果设备在尝试与从服务器通信时,之前已经查找过的服务器状态由block恢复为,则设备并不会立即恢复与该服务器的通信,而是继续查找从服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
·如果在认证或计费过程中删除了当前正在使用的服务器,则设备在与该服务器通信超时后,将会立即从主服务器开始依次查找状态为的服务器并与之进行通信。
·一旦服务器状态满足自动切换的条件,则所有方案视图下该服务器的状态都会相应地变化。
2. 配置限制和指导
实时计费间隔的取值对设备和服务器的性能有一定的相关性要求,取值越小,对设备和服务器的性能要求越高。建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些(大于15分钟)。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置定时器参数。请至少选择其中一项进行配置。
¡设置服务器响应超时时间。
timer -
缺省情况下,服务器响应超时时间为5秒。
¡设置实时计费的时间间隔。
timer -
缺省情况下,实时计费间隔为12分钟。
¡设置服务器恢复激活状态的时间。
timer quiet
缺省情况下,服务器恢复激活状态前需要等待5分钟。
报文使用的源IP地址1. 功能简介
服务器上通过IP地址来标识接入设备,并根据收到的报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权或计费请求。若服务器收到的认证或计费报文的源地址在所管理的接入设备IP地址范围内,则会进行后续的认证或计费处理,否则直接丢弃该报文。
设备发送报文时,根据以下顺序查找使用的源IP地址:
(1)当前所使用的方案中配置的发送报文使用的源IP地址。
(2)根据当前使用的服务器所属的VPN查找系统视图下通过 nas-ip命令配置的私网源地址,对于公网服务器则直接查找该命令配置的公网源地址。
(3)通过路由查找到的发送报文的出接口地址。
2. 配置限制和指导
发送给报文使用的源IP地址在系统视图和方案视图下均可以进行配置,系统视图下的配置将对所有方案生效,方案视图下的配置仅对本方案有效,并且具有高于前者的优先级。
为保证认证、授权和计费报文可被服务器正常接收并处理,接入设备上发送报文使用的源IP地址必须与服务器上指定的接入设备的IP地址保持一致。
通常,该地址为接入设备上与服务器路由可达的接口IP地址,为避免物理接口故障时从服务器返回的报文不可达,推荐使用接口地址为发送报文使用的源IP地址。但在一些特殊的组网环境中,例如在接入设备使用VRRP进行双机热备应用时,可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址。
源接口配置和源IP地址配置不能同时存在,后配置的生效。
3. 为所有方案配置发送报文使用的源IP地址
(1)进入系统视图。
-view
(2)设置设备发送报文使用的源IP地址。
nas-ip{ -type - |{ ipv4- | ipv6 ipv6- }[vpn- vpn--name] }
缺省情况下,未指定发送报文使用的源IP地址,设备将使用到达服务器的路由出接口的主IPv4地址或IPv6地址作为发送报文的源IP地址。
4. 为指定方案配置发送报文使用的源IP地址
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置设备发送报文使用的源IP地址。
nas-ip { ipv4- | -type - | ipv6 ipv6- }
缺省情况下,未指定设备发送报文使用的源IP地址,使用系统视图下由命令 nas-ip指定的源IP地址。
1.6.10 配置发送给服务器的用户名格式和数据统计单位1. 功能简介
接入用户通常以“@isp-name”的格式命名,“@”后面的部分为ISP域名,设备通过该域名决定将用户归于哪个ISP域的。由于有些服务器不能接受携带有ISP域名的用户名,因此就需要设备首先将用户名中携带的ISP域名去除后再传送给该类服务器。通过设置发送给服务器的用户名格式,就可以选择发送服务器的用户名中是否要携带ISP域名。
设备通过发送计费报文,向服务器报告在线用户的数据流量统计值,该值的单位可配。
2. 配置限制和指导
如果要在两个乃至两个以上的ISP域中引用相同的方案,建议设置该方案允许用户名中携带ISP域名,使得服务器端可以根据ISP域名来区分不同的用户。
为保证服务器计费的准确性,设备上设置的发送给服务器的数据流或者数据包的单位应与服务器上的流量统计单位保持一致。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)设置发送给服务器的用户名格式。
user-name- { keep- | with- | - }
缺省情况下,发送给服务器的用户名携带ISP域名。
(4)设置发送给服务器的数据流或者数据包的单位。
data-flow- { data { byte | giga-byte | kilo-byte | mega-byte } | { giga- | kilo- | mega- | one- } } *
缺省情况下,数据流的单位为字节,数据包的单位为包。
1.6.11 配置计费报文缓存功能1. 功能简介
当用户请求断开连接或者设备强行切断用户连接的情况下,设备会向计费服务器发送停止计费请求报文,通过开启对无响应的停止计费请求报文的缓存功能,将其缓存在本机上,然后发送直到计费服务器产生响应,或者在发起停止计费请求报文的尝试次数达到指定的最大值后将其丢弃。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入方案视图。
--name
(3)开启对无响应的停止计费请求报文的缓存功能。
stop--
缺省情况下,设备缓存未得到响应的计费请求报文。
(4)(可选)设置发起停止计费请求的最大尝试次数。
retry stop-
缺省情况下,发起停止计费请求的最大尝试次数为100。
1.6.12 显示和维护
完成上述配置后,在任意视图下执行命令可以显示配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
表1-6 显示和维护
操作
命令
查看所有或指定方案的配置信息或统计信息
[ --name [ ] ]
显示缓存的停止计费请求报文的相关信息
stop-- - --name
清除协议的统计信息
reset { | all | | }
清除缓存的停止计费请求报文
reset stop-- - --name
1.7.1 LDAP配置任务简介
LDAP配置任务如下:
(1)配置LDAP服务器
a.
b.
c.(可选)
d.(可选)
e.
f.
(2)(可选)
(3)
(4)
(5)(可选)
(6)(可选)
服务器
(1)进入系统视图。
-view
(2)创建LDAP服务器,并进入LDAP服务器视图。
ldap -name
1.7.3 配置LDAP服务器IP地址1. 配置限制和指导
LDAP服务器视图下仅能同时存在一个IPv4地址类型的LDAP服务器或一个IPv6地址类型的LDAP服务器。多次配置,后配置的生效。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入LDAP服务器视图。
ldap -name
(3)配置LDAP服务器IP地址。
{ ip ipv4-| ipv6 ipv6- } [ port port-] [ vpn- vpn--name ]
缺省情况下,未配置LDAP服务器IP地址。
1.7.4 配置LDAP版本号1. 配置限制和指导
目前设备仅支持和两个协议版本。
的LDAP服务器只支持版本。
设备上配置的LDAP版本号需要与服务器支持的版本号保持一致。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入LDAP服务器视图。
ldap -name
(3)配置LDAP版本号。
- { v2 | v3}
缺省情况下,LDAP版本号为。
1.7.5 配置LDAP服务器的连接超时时间1. 功能简介
设备向LDAP服务器发送绑定请求、查询请求,如果经过指定的时间后未收到LDAP服务器的回应,则认为本次认证、授权请求超时。若使用的ISP域中配置了备份的认证、授权方案,则设备会继续尝试进行其他方式的认证、授权处理,否则本次认证、授权失败。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入LDAP服务器视图。
ldap -name
(3)配置LDAP服务器的连接超时时间。
- time-
缺省情况下,LDAP服务器的连接超时时间为10秒。
1.7.6 配置具有管理员权限的用户属性1. 功能简介
配置LDAP认证过程中绑定服务器所使用的用户DN和用户密码,该用户具有管理员权限。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入LDAP服务器视图。
ldap -name
(3)配置具有管理员权限的用户DN。
login-dn dn-
缺省情况下,未配置具有管理员权限的用户DN。
配置的管理员权限的用户DN必须与LDAP服务器上管理员的DN一致。
(4)配置具有管理员权限的用户密码。
login- { ciper|}
缺省情况下,未配置具有管理权限的用户密码。
1.7.7 配置LDAP用户属性参数1. 功能简介
要对用户进行身份认证,就需要以用户DN及密码为参数与LDAP服务器进行绑定,因此需要首先从LDAP服务器获取用户DN。LDAP提供了一套DN查询机制,在与LDAP服务器建立连接的基础上,按照一定的查询策略向服务器发送查询请求。该查询策略由设备上指定的LDAP用户属性定义,具体包括以下几项:
·用户DN查询的起始节点(-base-dn)
·用户DN查询的范围(-scope)
·用户名称属性(user-name-)
·用户名称格式(user-name-)
·用户对象类型(user--class)
2. 配置限制和指导
LDAP服务器上的目录结构可能具有很深的层次,如果从根目录进行用户DN的查找,耗费的时间将会较长,因此必须配置用户查找的起始点DN,以提高查找效率。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入LDAP服务器视图。
ldap -name
(3)配置用户查询的起始DN。
-base-dn base-dn
缺省情况下,未指定用户查询的起始DN。
(4)(可选)配置用户查询的范围。
-scope { all-level | -level }
缺省情况下,用户查询的范围为all-level。
(5)(可选)配置用户查询的用户名属性。
user- user-name- { name- | cn | uid }
缺省情况下,用户查询的用户名属性为cn。
(6)(可选)配置用户查询的用户名格式。
user- user-name- { with- | - }
缺省情况下,用户查询的用户名格式为-。
(7)(可选)配置用户查询的自定义用户对象类型。
user- user--class -class-name
缺省情况下,未指定自定义用户对象类型,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。
1.7.8 配置LDAP属性映射表1. 功能简介
在用户的LDAP授权过程中,设备会通过查询操作得到用户的授权信息,该授权信息由LDAP服务器通过若干LDAP属性下发给设备。若设备从LDAP服务器查询得到某LDAP属性,则该属性只有在被设备的AAA模块解析之后才能实际生效。如果某LDAP服务器下发给用户的属性不能被AAA模块解析,则该属性将被忽略。因此,需要通过配置LDAP属性映射表来指定要获取哪些LDAP属性,以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性,具体映射为哪种类型的AAA属性由实际应用需求决定。
每一个LDAP属性映射表项定义了一个LDAP属性与一个AAA属性的对应关系。将一个LDAP属性表在指定的LDAP方案视图中引用后,该映射关系将在LDAP授权过程中生效。
2. 配置步骤
(1)进入系统视图。
-view
(2)创建LDAP的属性映射表,并进入属性映射表视图。
ldap -map map-name
(3)配置LDAP属性映射表项。
map ldap- ldap--name [ -value -value ] aaa- { user-group | user- }
1.7.9 创建LDAP方案1. 配置限制和指导
系统最多支持配置16个LDAP方案。一个LDAP方案可以同时被多个ISP域引用。
2. 配置步骤
(1)进入系统视图。
-view
(2)创建LDAP方案,并进入LDAP方案视图。
ldap ldap--name
1.7.10 指定LDAP认证服务器
(1)进入系统视图。
-view
(2)进入LDAP方案视图。
ldap ldap--name
(3)指定LDAP认证服务器。
- -name
缺省情况下,未指定LDAP认证服务器。
1.7.11 指定LDAP授权服务器
(1)进入系统视图。
-view
(2)进入LDAP方案视图。
ldap ldap--name
(3)指定LDAP授权服务器。
- -name
缺省情况下,未指定LDAP授权服务器。
1.7.12 引用LDAP属性映射表1. 功能简介
在使用LDAP授权方案的情况下,可以通过在LDAP方案中引用LDAP属性映射表,将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性。
2. 配置限制和指导
一个LDAP方案视图中只能引用一个LDAP属性映射表,后配置的生效。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入LDAP方案视图。
ldap ldap--name
(3)引用LDAP属性映射表。
-map map-name
缺省情况下,未引用任何LDAP属性映射表。
1.7.13 LDAP显示和维护
完成上述配置后,在任意视图下执行命令可以显示配置后LDAP的运行情况,通过查看显示信息验证配置的效果。
表1-7 LDAP显示和维护
操作
命令
查看所有或指定LDAP方案的配置信息
ldap [ ldap--name ]
1.8 创建ISP域1.8.1 ISP域简介
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备。而且各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能不相同,因此有必要通过设置ISP域把它们区分开,并为每个ISP域单独配置一套认证、授权、计费方法及ISP域的相关属性。
对于设备来说,每个接入用户都属于一个ISP域。系统中最多可以配置16个ISP域,包括一个系统缺省存在的名称为的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域;如果用户所属的ISP域下未应用任何认证、授权、计费方法,系统将使用缺省的认证、授权、计费方法,分别为本地认证、本地授权和本地计费。
用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,接入模块是否支持指定认证域由各接入模块决定。如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
1.8.2 配置限制和指导
一个ISP域被配置为缺省的ISP域后,将不能够被删除,必须首先使用命令undo 将其修改为非缺省ISP域,然后才可以被删除。
系统缺省存在的域只能被修改,不能被删除。
如果一个ISP域中使用方案对用户进行认证、授权或计费,请合理规划域名的长度,并保证设备发送给服务器的整体用户名长度不超过253字符,否会导致认证、授权或计费失败。
如果一个ISP域中使用方案对用户进行计费,请保证设备发送给服务器的用户名中携带的域名长度不超过247个字符,否会导致计费失败。
1.8.3 创建非缺省ISP域
(1)进入系统视图。
-view
(2)创建ISP域并进入其视图。
isp-name
缺省情况下,存在一个的ISP域,名称为。
1.8.4 配置缺省ISP域
(1)进入系统视图。
-view
(2)配置缺省的ISP域。
isp-name
缺省情况下,系统缺省的ISP域为。
1.8.5 配置未知域名用户的ISP域
(1)进入系统视图。
-view
(2)配置未知域名的用户的ISP域。
if- isp-name
缺省情况下,没有为未知域名的用户指定ISP域。
1.9 配置ISP域的属性1.9.1 配置ISP域的状态1. 功能简介
通过域的状态(、block)控制是否允许该域中的用户请求网络服务。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入ISP域视图。
isp-name
(3)设置ISP域的状态。
state { | block }
缺省情况下,当前ISP域处于活动状态,即允许任何属于该域的用户请求网络服务。
1.9.2 配置ISP域的用户授权属性1. 授权属性介绍
ISP域下可配置如下授权属性:
·ACL:用户被授权访问匹配指定ACL的网络资源。
·CAR:用户流量将受到指定的监管动作控制。
·可点播的最大节目数:用户可以同时点播的最大节目数。
·IPv4地址池:用户可以从指定的地址池中分配得到一个IPv4地址。
·IPv6地址池:用户可以从指定的地址池中分配得到一个IPv6地址。
·重定向URL:用户认证成功后,首次访问网络时将被推送此URL提供的Web页面。
·用户组:用户将继承该用户组中的所有属性。
·User :用户访问行为将受到该User 中预设配置的限制。
用户认证成功之后,优先采用服务器下发的属性值,其次采用ISP域下配置的属性值。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入ISP域视图。
isp-name
(3)设置当前ISP域下的用户授权属性。
-{ acl acl- | car cir --rate [ pir peak--rate ] cir --rate [ pir peak--rate ]| igmp max-- max--| ip-pool ipv4-pool-name| ipv6-pool ipv6-pool-name| mld max-- max-- | url url- | user-group user-group-name| user- -name }
缺省情况下,IPv4用户可以同时点播的最大节目数为4,IPv6用户可以同时点播的最大节目数为4,无其它授权属性。
1.9.3 设置设备上传到服务器的用户在线时间中保留闲置切断时间1. 功能简介
设备上传到服务器的用户在线时间中保留闲置切断时间:当用户异常下线时,上传到服务器上的用户在线时间中包含了一定的闲置切断时间,此时服务器上记录的用户时长将大于用户实际在线时长。该闲置切断时间在用户认证成功后由AAA授权,对于认证用户,若接入接口上开启了用户在线探测功能,则在线探测闲置时长为闲置切断时间。
2. 配置步骤
(1)进入系统视图。
-view
(2)进入ISP域视图。
isp-name
(3)设置设备上传到服务器的用户在线时间中保留闲置切断时间。
-time -idle-time
缺省情况下,设备上传到服务器的用户在线时间中扣除闲置切断时间。
1.10 在ISP域中配置实现AAA的方法1.10.1 配置ISP域的AAA认证方法1. 配置限制和指导
配置ISP域的AAA认证方法时,需要注意的是:
·为了提高可靠性,可以指定多个备选的认证方法,在当前的认证方法无效时设备将按照配置顺序尝试使用备选的方法完成认证。例如,- --name local none表示,先进行认证,若认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
·当选择了协议的认证方案以及非协议的授权方案时,AAA只接受服务器的认证结果,授权的信息虽然在认证成功回应的报文中携带,但在认证回应的处理流程中不会被处理。
·当使用方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证;当使用方案进行用户角色切换认证时,系统使用服务器上配置的“$enabn$”形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n。
·FIPS模式下不支持none认证方法。
2. 配置准备
配置前的准备工作:
·确定要配置的接入方式或者服务类型。AAA可以对不同的接入方式和服务类型配置不同的认证方案。
·确定是否为所有的接入方式或服务类型配置缺省的认证方法,缺省的认证方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的认证方法。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入ISP域视图。
isp-name
(3)(可选)为当前ISP域配置缺省的认证方法。
{ - --name [ - --name ] [ local ] [ none ] | ldap- ldap--name [ local ] [ none ] | local [ none ] | none | - --name [ - --name ] [ local ] [ none ] }
缺省情况下,当前ISP域的缺省认证方法为local。
(4)为指定类型的用户或服务配置认证方法。
¡为lan-用户配置认证方法。
lan- {ldap- ldap--name[ local ] [ none ] | local [ none ] | none | - --name [ local ] [ none ] }
缺省情况下,lan-用户采用缺省的认证方法。
¡为login用户配置认证方法。
login { - --name [ - --name ] [ local ] [ none ] | ldap- ldap--name [ local ] [ none ] | local [ none ] | none | - --name [ - --name ] [ local ] [ none ] }
缺省情况下,login用户采用缺省的认证方法。
¡为用户配置认证方法。
{ ldap- ldap--name [ local ] [ none ] | local [ none ] | none | - --name [ local ] [ none ] }
缺省情况下,用户采用缺省的认证方法。
¡配置用户角色切换认证方法。
super { - --name | - --name} *
缺省情况下,用户角色切换认证采用缺省的认证方法。
1.10.2 配置ISP域的AAA授权方法1. 配置限制和指导
配置ISP域的AAA授权方法时,需要注意的是:
·为了提高可靠性,可以指定多个备选的授权方法,在当前的授权方法无效时设备将按照配置顺序尝试使用备选的方法完成授权。例如,- --name local none表示,先进行授权,若授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
·目前设备暂不支持使用LDAP进行授权。
·在一个ISP域中,只有授权方法和认证方法引用了相同的方案,授权才能生效。若授权未生效或者授权失败,则用户认证会失败。
·FIPS模式下不支持none授权方法。
2. 配置准备
配置前的准备工作:
·确定要配置的接入方式或者服务类型,AAA可以按照不同的接入方式和服务类型进行AAA授权的配置。
·确定是否为所有的接入方式或服务类型配置缺省的授权方法,缺省的授权方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的授权方法。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入ISP域视图。
isp-name
(3)(可选)为当前ISP域配置缺省的授权方法。
{ - --name [ - --name ] [ local ] [ none ] | local [ none ] | none | - --name [ - --name ] [ local ] [ none ] }
缺省情况下,当前ISP域的缺省授权方法为local。
(4)为指定类型的用户或服务配置授权方法。
¡配置命令行授权方法。
{ - --name[ local ] [ none ] | local [ none ] | none }
缺省情况下,命令行授权采用缺省的授权方法。
¡为lan-用户配置授权方法。
lan- { local [ none ] | none | - --name [ local ] [ none ]}
缺省情况下,lan-用户采用缺省的授权方法。
¡为login用户配置授权方法。
login {- --name [ - --name ] [ local ] [ none ] | local [ none ] | none | - --name [ - --name ] [ local ] [ none ] }
缺省情况下,login用户采用缺省的授权方法。
¡为用户配置授权方法。
{ local [ none ] | none | - --name [ local ] [ none ] }
缺省情况下,用户采用缺省的授权方法。
1.10.3 配置ISP域的AAA计费方法1. 配置限制和指导
配置ISP域的AAA认证方法时,需要注意的是:
·为了提高可靠性,可以指定多个备选的计费方法,在当前的计费方法无效时设备将按照配置顺序尝试使用备选的方法完成计费。例如,- --name local none表示,先进行计费,若计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
·不支持对FTP类型login用户进行计费。
·本地计费仅用于配合本地用户视图下的-limit命令来实现对本地用户连接数的限制功能。
·FIPS模式下不支持none计费方法。
2. 配置准备
配置前的准备工作:
·确定要配置的接入方式或者服务类型,AAA可以按照不同的接入方式和服务类型进行AAA计费的配置。
·确定是否为所有的接入方式或服务类型配置缺省的计费方法,缺省的计费方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的计费方法。
3. 配置步骤
(1)进入系统视图。
-view
(2)进入ISP域视图。
isp-name
(3)(可选)为当前ISP域配置缺省的计费方法。
{ - --name[ - --name ] [ local ] [ none ] | local [ none ] | none | - --name [ - --name ] [ local ] [ none ] }
缺省情况下,当前ISP域的缺省计费方法为local。
(4)为指定类型的用户配置计费方法。
¡配置命令行计费方法。
- --name
缺省情况下,命令行计费采用缺省的计费方法。
¡为lan-用户配置计费方法。
lan- { - --name1 - --name2 [ local ] [ none ] | local [ none ] | none | - --name [ local ] [ none ]}
缺省情况下,lan-用户采用缺省的计费方法。
¡为login用户配置计费方法。
login { - --name [ - --name ] [ local ] [ none ] | local [ none ] | none | - --name [ - --name ] [ local ] [ none ] }
缺省情况下,login用户采用缺省的计费方法。
¡为用户配置授权方法。
{ - --name1 - --name2[ local ] [ none ] | local [ none ] | none | - --name [ local ] [ none ] }
缺省情况下,用户采用缺省的计费方法。
(5)(可选)配置扩展计费策略。
¡配置用户计费开始失败策略。
start-fail { | }
缺省情况下,如果用户计费开始失败,则允许用户保持在线状态。
¡配置用户计费更新失败策略。
-fail { [ max-times times ] | }
缺省情况下,如果用户计费更新失败,允许用户保持在线状态。
¡配置用户计费配额(流量或时长)耗尽策略。
quota-out { | }
缺省情况下,用户的计费配额耗尽后将被强制下线。
1.10.4 ISP域显示和维护
完成上述配置后,在任意视图下执行命令可以显示配置后AAA的运行情况,通过查看显示信息验证配置的效果。
表1-8 ISP域显示和维护
操作
命令
显示所有或指定ISP域的配置信息
[ isp-name ]
1.11 限制同时在线的最大用户连接数1. 功能简介
通过配置同时在线的最大用户连接数,可以限制采用指定登录方式(FTP、SSH、等)同时接入设备的在线用户数。
该配置对于通过任何一种认证方式(none、或者)接入设备的用户都生效。
2. 配置步骤
(1)进入系统视图。
-view
(2)配置同时在线的最大用户连接数。
(非FIPS模式)
aaa -limit { ftp | http | https | ssh | } max-
(FIPS模式)
aaa -limit { https | ssh } max-
缺省情况下,最大用户连接数为32。
1.12 配置NAS-ID1. NAS-ID的应用
用户进行认证时,系统会获取设备的NAS-ID来设置报文中的NAS-属性,该属性用于向服务器标识用户的接入位置。
若在实际网络中,用户的接入VLAN可以标识用户的接入位置,则可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射。
2. 配置限制和指导
NAS-ID 将被或端口安全相应特性进行引用,具体应用请参见“安全配置指导”中的“”或“端口安全”。
一个NAS-ID 中可以指定多组NAS-ID和VLAN绑定。
一个NAS-ID可以与多个VLAN进行绑定,一个VLAN只能绑定一个NAS-ID。
3. 配置步骤
(1)进入系统视图。
-view
(2)创建NAS-ID ,并进入NAS-ID-视图。
aaa nas-id -name
(3)设置NAS-ID 与VLAN的绑定关系。
nas-id nas- bind vlan vlan-id
1.13 配置设备ID1. 功能简介
计费过程使用Acct--Id属性作为用户的计费ID。设备使用系统时间、随机数以及设备ID为每个在线用户生成一个唯一的Acct--Id值。
2. 配置步骤
(1)进入系统视图。
-view
(2)配置设备ID。
aaa -id -id
缺省情况下,设备ID为0。
1. 功能简介
为了提高系统的安全性,用户通过、SSH、HTTP、HTTPS、 over SSH、 over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
·对于通过、SSH、HTTP、HTTPS方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡密码组合检测策略。
¡密码最小长度限制。
¡密码中不能包含用户名或者字符顺序颠倒的用户名。
·对于通过 over SSH、 over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡用户密码为弱密码。
¡用户密码为缺省密码。
¡全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
·关闭了密码修改周期性提醒日志功能。
·用户密码修改为符合系统安全要求的密码。
·密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
·密码检查策略的参数设置发生变化。
2. 配置限制和指导
仅 6616及以上版本支持本功能。
当前系统中的密码检查策略可通过 -命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制可分别通过- 、- 命令修改。关于密码检查策略的具体介绍,请参见“安全命令参考”的“ ”。
3. 配置步骤
(1)进入系统视图。
-view
(2)开启密码修改周期性提醒日志功能。
local- log --
缺省情况下,密码修改周期性提醒日志功能处于开启状态。
1.15.1 功能简介
本功能适用于设备作为客户端或者FTP/SSH/SFTP客户端与服务器端建立连接的场景。如果设备上配置了连接记录策略,当设备作为客户端与服务器端成功建立连接时,系统会按照策略中指定的计费方案向AAA服务器发送计费开始报文,并在设备与服务器端断开连接时发送计费结束报文。通过此功能,AAA服务器上将会记录设备的连接情况,便于管理员进行查看。
连接记录业务处理过程中,系统发送给AAA服务器的计费报文中封装的是用户输入的原始用户名,因此计费方案中通过user-name-命令设置的用户名格式并不生效。
1.15.3 配置步骤
(1)进入系统视图。
-view
(2)创建连接计录策略,并进入连接记录策略视图。
aaa -
(3)指定连接记录策略采用的计费方案。
- --name
完成上述配置后,在任意视图下执行命令可以显示连接记录策略的配置信息。
表1-9 连接记录策略显示和维护
操作
命令
显示连接记录策略的配置信息
aaa -
1.16 配置AAA请求测试功能1. 功能简介
AAA请求测试功能是指,通过执行测试命令,由设备向指定的AAA服务器发起一次测试请求来模拟一个用户的认证/计费过程。本功能主要用于排查设备与AAA服务器交互时的故障原因,目前仅支持对服务器发起测试。
当故障发生时,管理员可在设备上执行测试命令发起一次请求,并通过查看打印出的认证/计费请求结果以及报文交互信息,来快速定位故障发生的关键环节,以及及时排查影响认证/计费结果的属性。
基本的AAA请求测试原则如下:
·整个测试过程不受服务器状态(是否为状态)以及工作模式(是否为负载分担模式)的影响,所有在测试命令中指定的服务器都有可能作为测试对象。
·如果测试命令中未指定具体的服务器,设备将对测试命令中指定的方案中的所有服务器轮询测试。轮询测试过程中,设备按照认证请求测试->计费开始请求测试->计费结束请求测试的顺序依次进行,具体测试过程如下:
a.设备向主认证服务器发送一个认证请求报文,请求报文携带的用户名和密码在测试命令中指定。如果设备收到应答报文(无论认证结果为成功或失败),或最终测试完所有认证服务器后都未收到应答报文,则停止测试认证服务器,并开始测试计费服务器。如果方案中未配置认证服务器,则直接进入下个测试环节。
b.设备开始发送计费开始请求报文,其测试原则与认证服务器的测试原则类似,收到应答或所有服务器都未响应时,则停止测试计费服务器,并进入下个测试环节。
c.设备向曾经发送过计费开始请求报文的服务器发送计费停止报文,收到应答或所有服务器都未响应时,结束本次测试。
·如果测试命令中指定了具体的服务器,且该服务器参数能够与测试命令中指定的方案中的某服务器参数完全匹配,则设备将对该认证/计费服务器发起一次认证/计费请求。
缺省情况下,设备在测试过程中发送的请求报文会携带一些属性,如所示。为了便于辅助排查认证/计费故障,设备还支持由用户通过配置来选择这些请求报文中最终要携带的属性,以及允许自定义所携带属性的取值。
表1-10 请求报文中缺省携带的属性
报文类型
缺省携带的属性
认证请求
User-Name、CHAP-(或User-)、CHAP-、NAS-IP-(或NAS-IPv6-)、-Type、-、NAS-、NAS-Port-Type、Acct--Id
计费请求
User-Name、Acct--Type、NAS-IP-(NAS-IPv6-)、NAS-、Acct--Id、Acct-Delay-Time、Acct--Cause
2. 配置限制和指导
未经允许不得转载! 作者:admin,转载或复制请以超链接形式并注明出处墨迹游戏网。
原文地址:《09-安全配置指导》发布于:2024-08-17
