配置指导导读手册-09安全

通信技术的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权H3C并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何AAA、802.1X、MAC地址认证、Portal认证等接入认证特性，以及IPSourceGuard、ARP防御等安全防御特性。802.1X配802.1X支持EAD快速MAC地址认证SSH2.0配IPSourceGuardARP防御配URPF配格意粗命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表斜命令行参数（命令中必须由实际值进行替代的部分）采用斜体[[]{x|y|...[x|y|...{x|y|...}[x|y|...]&<1-#由“#”号开始的行表示为注释行格意<<>[[]/H3CS7500E系列以太网交换机的配套资料包括如下部分单板H3CS7500EH3CN68机柜安装及改制指导您如何安装N68机柜及改制N68机H3C可插拔SFP[SFP+][XFP]模块安装帮助您掌握SFP/SFP+/XFP模块的正确安装方帮助您掌握PoE（LSBM1POEDIMMH）的安装方（LSQM1POEDIMMS0）的安装]册帮助您了解PWR-SPA电源模块适配器的功能、PSR650电源模块使用您可以通过H3C ）获取的产品资料 与产品资料相关的主要栏目介绍如下 ： 目AAA简 1概 1 2 2 3 3 4 7 7 7 8 11 配置 1 1 2 2 6 AAA显示和............................................................................................................................................2- 1 1 1 2 3 7 1 1 1 1 2802.1X配 1 1 1 1 2 3 4 4 5 8配置 配置Guest 配置Auth-Fail 802.1X显示和.......................................................................................................................................5- 802.1X支持EAD快速部署配 1 1概 1 1 1 1 1 2 2 3 4 4 1 1 1 1 1 2 2下发 2下发 2 2 3 3 3 4 5 5 6 8 1 1 1 1 1 3 3 5 6 6配置 6 7 8 8 9 9 端口安全配 1 1概 1 1 1 3 4 4 4 4 5 5 5 6 7配置NeedToKnow特 7 7 8 9 9 9 UserProfile配 1 1 1创建User 1 1创建User 2配置User 2激活User 3公钥管理配 1 1 1 1 1 2 2 3 3 3 5 5 7SSH2.0配 1SSH2.0简 1概 1 1 4 4 4 5 5 6 7 9 1 1 1 1 1 1 2 2 2 3 4 5 5 5 9IPSourceGuard配 1IPSourceGuard简 1 2 2IPSourceGuard显示和....................................................................................................................14-IPSourceGuard典型配置举 3 3 5 6 8 9 9ARP防御配 1 1 1 2 2 2 3 3 3 3 3 4 5 5 5 5 5 6 8 9配置 1 1 1 1 2AAA简 S7500EIRF（InligentResilientFramework）特性，两台配置了IRF功能的S7500E交换机连接后即形成一台分布式IRF设备。S7500E系列交换机未形成IRF时，适用本手册中的“分布式设备”的情况；形成IRF后则适用本手册中的“分布式IRF设备”的情况。有关IRF特性的详细介绍，请参见“IRF配置指导”中的“IRF配置”。AAA是Authentication、Authorization、Accounting（认证、、计费）的简称，是的基本组网结构如图1-1。图1-1AAA当用户想要通过某网络与NAS建立连接，从而获得其它网络的权利或取得某些网络资源的权利时，NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、、计费信息透传给（RADIUSHWTACACS服务器），RADIUS协议HWTACACS协议规定了NAS 员可以用户对服务器中的文件进行和打印操作；它不仅是一种计费，也对起到了监视作用。当然，用户可以只使用AAA提供的一种或两种安全服务。例如，公司仅仅想让员工在某些特定资源的时候进行认证，那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使在实际应用中，最常使用RADIUS协议。RADIUS性、又允许用户的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入、ADSL接入。它通过认证来提供接入服务，通过计费客户端/服务器模客户端：RADIUSNAS设备上，可以遍布整个网络，负责传输用户信息到指服务器：RADIUS服务器一般运行在中算机或工作站上，相关的用户认证和网络服务信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接RADIUS服务器通常要三个数据库，如图1-2所示图1-2RADIUS“Users”：用于用户信息（如用户名、口令以及使用的协议、IP地址等配置信息）“Clients”：用于RADIUS客户端的信息（如接入设备的共享密钥、IP地址等）密钥不能通过网络来传输，增强了信息交互的安全性。另外，为防止用户在不安全的网络上传RADIUS图1-3RADIUS(1)用户输入用户名认证请求认(1)用户输入用户名认证请求认证接受 计费开始请求计费开始请求响应(6)用 资计费结束请求计费结束请求响应(9)通 结RADIUS客户端根据获取的用户名和，向RADIUS服务器发送认证请求RADIUS服务器对用户名和进行认证。如果认证成功，RADIUS服务器向RADIUS客户由于RADIUS协议合并了认证和的过程，因此认证接受包中也包含了用户的信息。端向RADIUS服务器发送计费开始请求包（Accounting-Request）。用户请求断开连接，RADIUS客户端向RADIUS服务器发送计费停止请求包（Accounting-Request）RADIUSRADIUS采用UDP报文来传输消通过定时器管理机制重传机备用服务器图1-4RADIUSCode表1-1Code1否接入该用户。该报文中必须包含User-Name属性，可选包含234方向Client->Server，Client将用户信息传输到Server，请求Server开始/停止计费，由该报文中的Acct-Status-Type属性区分计费开始请求和计费5求包和响应包的Identifier值相同。长度为2个字节，表示RADIUS数据括CodeIdentifierLengthAuthenticator和Attribute）长度小于Length域的值时，则包会被丢弃。包括两种类型：RequestAuthenticator和ResponseAuthenticator。Attribute长度（Length），表示该属性（包括类型、长度和属性）表1-2RADIUS1User-2User-3CHAP-4NAS-IP-5NAS-67Acct-Link-8Framed-IP-9Framed-IP-56-CHAP-Login-IP-NAS-Port-Login-Port-Login-TCP-Login-LAT-Reply-Callback-Tunnel-Client-Callback-ARAP-ARAP-ARAP-Zone-ARAP-ARAP-Security-Called-Station-Connect-Calling-Station-Configuration-NAS-Message-Login-LAT-Login-LAT-Login-LAT-Framed-AppleTalk-ARAP-Challenge-Framed-AppleTalk-NAS-Port-Acct-Delay-Tunnel-Client-Auth-1-2中所列的属性由RFC2865、RFC2866、RFC2867和RFC2868常用RADIUS标准属性的介绍请参见 常用RADIUS标准属性”RADIUS于设备厂商对RADIUS进行扩展，以实现标准RADIUS没有定义的功能。。如图所示，26Vendor-ID4字节，表示厂商代号，最高字节0，其3字节的编码见RFC1700。H3C公司的Vendor-ID2011。H3CRADIUS扩展属性的介绍请参见“1.6.2H3CRADIUS扩展Vendor-Length，表示该子属性长度Vendor-DataHWTACACS（HWTerminalAccessControllerAccessControlSystem，HW终端控制器控制系统协议）是在TACACS（RFC1492）基础上进行了功能增强的安全协议。该协议与RADIUS协议类似，采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。Dial-upNetwork，虚拟私有拨号网络）接入用户及终端用户的认证、和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、、计费。设备作为HWTACACS的客户端，HWTACACSRADIUSHWTACACS协议与RADIUS协议都实现了认证、、计费的功能，它们有很多相似点：结构上展性。两者之间存在的主要区别如表1-3所示。RADIUS协使用TCP使用UDP，网络传输效率用一个HWTACACS服务器进行认证，另外一个HWTACACS令行受到用户级别和AAA的双重限制，某一级HWTACACS互流程图如图1-6所示。图1- 用户登认证开始报用户登认证开始报认证回应报文，请求向用户申请用户用户输入用户认证持续报文，向服务器端发用户认证回应报文，请向用户申用户输认证持续报文，向服务器端认证回应报文，认证通回应报文 通用户登录成计费开始报计费开始报文回用户退计费结束报计费结束报文回 HWTACACSHWTACACS服务器发送认证持续报文，其中包括了用户输入HWTACACS客户端收到登录后，向HWTACACS服务器发送认证持续报文，其中包括ISP（InternetServiceProvider，Internet服务提供者）ISP的用户构成的户登录时提供的用户名决定的，如图1-7所示。图1-7的ISP域下未应用任何认证、、计费方案，系统将使用缺省的认证、、计费方案。lan-access用户：LAN接入用户，如802.1X认证、MAC命令行：用户执行的每一条命令都需要接受服务器的检查，只有成功令才被允许执行。关于命令行的详细介绍请参考“基础配置指导”中的“配置用户通过CLI命令行计费：用户执行过的所有命令或被成功执行令，会被计费服务器进行记录。CLI登录设备”。细介绍请参考“基础配置指导”中的“CLI配置”。AAA支持在ISP域视图下针对不同的接入方式配置不同的认证、、计费的方法（一组不同的认证//计费方案），具体的配置步骤请参见“2.3在ISP域中配置实现AAA的方法”。RFC2865：RemoteAuthenticationDialInUserServiceRFC2866：RADIUSRFC2867：RADIUSAccountingModificationsforTunnelProtocolRFC2868：RADIUSAttributesforTunnelProtocolRFC2869：RADIUSRFC1492：AnAccessControlProtocol,SometimesCalledRADIUSRADIUS表1-4RADIUS1User-2User-Access-Request3CHAP-属性出现在Access-Request报文中4NAS-IP-Server通过不同的IP地址来标识不同的Client，通常Client采用本地一个接口的Client的NAS-IP-Address。该字段仅出现在Access-Request报文中5NAS-67用户Frame8为用户所配置的IPNAS之间数据链路的MTU802.1X的EAP方式认证中，NAS通过Framed-MTUServerEAPEAP报文大于数据链路MTU导致的报文丢失Login-IP-用户登录设备的接口IPLogin-Reply-Calling-Station-NAS用于向Server告知标识用户的号码，在设备提供的lan-access业务中，该字段填充的是用户的MAC地址，采用的“HHHH-HHHH-HHHH”格式封装NAS-NAS用来向Server标识自己的名3：Interium-4：Reset-8：Accounting-Off（3GPP中有定义9-14：forTunnel15：forCHAP-NAS-Port-NAS认证用户的端口的物理15：以16：所有种类的17：Cable（有线电视电缆如果在ATM或以太网端口上还划分VLAN，则该属性值为持EAP认证方式被使用NAS-Port-表1-5H3CRADIUS12345Output-Average-61：Trigger-2：Terminate-对于FTPRADIUS客户端作为FTP服务器的时候，该属性用于设置RADIUS客户端上的FTPEXEC用户优NAS系统启动时刻，以秒为单位，表示从197011UTC认证请求和计费请求报文中携带的用户IP地址和MAC地址，格式为设备的用户列表中，用于校验802.1X客户端的握手报文SSL用户认证成功后下发的用户组，一个用户可以属于多个用户组，多个用户组之间使用分号格开。本属性用于SSL设备的配合SSL用户安全认证之后下发的安全级两次实时计费间隔的输入的字节差，以Byte两次实时计费间隔的输出的字节差，以ByteBackup-NAS-RADIUS报文的备份源IP图2-1AAA表2-1AAA在ISP域中配置实现AAA创建ISP配置ISP方 至少选其配置NAS-ID与VLAN界面认证方式的详细介绍请参见“基础配置指导/配置用户通过CLI登录设备”。配置AAA当选择使用本地认证方ocal）对用户进行认证时，应在设备上创建本地用户并配置相关属性。请求网络服务，block表示该用户请求网络服务。 3.配置用户组属性”。户MAC地址、用户所属VLAN。各属性的使用及支持情况请见表2-3。用户属用户认证通过后，接入设备下发给用户的权限。可支持的属性包括：ACL、PPP回呼号码、闲置切换功能、用户级别、UserProfile、VLAN、FTP/SFTP工作。各属性的使用及支持情况请见表2-3。表2-.12.2.1表2-3-{auto|cipher-force缺省情况下，所有接入用户的显password{cipher|simplestate{active|blockservice-type{ftp|lan-access{ssh|net|terminal}*|portalbind-attribute{call-call-number[:subcall-number]|ip-address|locationport-number|macmac-addressvlanvlan-id}location、mac和vlan；authorization-attribute{acl-number|callback-callback-number|idle-cutminutelevellevel|user-profileprofile-|vlanvlan-id|work-directory-name}ppp用户支持属性acl、性acl、idle-cut、user-profile和level；用户组systemlocal-userpassword-display-modecipher-forcepassword命令指定明文显示（即simple方式），也会显示为密文。同样，若强制用户密文显示并使用save命令保存当前配置，重启设备后，即使恢复为auto方式，原来配置为明文显如果配置登录交换机的认证方式需要用户名和（包括本地认证、RADIUS认证、HWTACACS认证），则用户登录系统后所能令级别由用户被的级别确定，其它认证方式下则由用户界面所能令级别确定。对于SSH用户，使用公钥认证时，其所能使用令以用户界面上设置的级别为准。关于登录交换机的认证方式与用户界面所能CLI登录设备”和“CLI户属性的集合，某些需要集中管理的属性可在用户组中配置和管理，用户组内的所有本地用户用户所属的用户组可以通过使用本地用户视图下的group命令来修改。表2-4-authorization-attribute{acl-number|callback-callback-number|idle-cutminutelevellevel|user-profileprofile-|vlanvlan-id|work-directory-name}表2-5（分布式设备displaylocal-user[idle-cut{disable|enable}|service-type{ftp|lan-access|portal|ssh|net|terminal}|state{active|block}|user-nameuser-name|vlanvlan-id][slotslot-number]displaylocal-user[idle-cut{disable|enable}|service-type{ftp|lan-access|portal|ssh|net|terminal}|state{active|block}|user-nameuser-name|vlanvlan-id][chassischassis-numberslotslot-number]displayuser-group[group-nameRADIUSRADIUS方案中定义了设备和RADIUS服务器之间进行信息交互所必须的一些参当创建一个新的RADIUS方案之后，需要对属于此方案的RADIUS服务器的IP地址、UDP端进行设置，这些服务器包括认证/和计费服务器，而每种服务器又有主服务器和从服务器的区别。每个RADIUS方案的属性包括：主服务器的IP地址、从服务器IP地址、共享密钥以及RADIUS服务RADIUS配置任务简表2-6RADIUS..22.2.2RADIUS2.2.2配置RADIUS2.2.2配置发送给RADIUS..22.2.2 2.2.2配置RADIUSAttribute25CAR2.2.2RADIUS2.2.2RADIUS表2-7RADIUS-radius配置RADIUS认证/服务表2-8配置RADIUS认证/服务--配置主RADIUS认证 uthentication{ip-addressipv6ipv6-address}[port-number配置从RADIUS认证secondaryauthentication{ip-addressipv6ipv6-address}[port-number在实际组网环境中，可以指定两台RADIUS服务器分别作为主、从认证/服务器；也可以主服务器和从服务器的IP地址版本必须保持一致；认证/服务器和计费服务器的IP地址版RADIUS计费服务器及相关参--配置主RADIUS计费服 ccounting{ip-addressipv6ipv6-address}[port-number配置从RADIUS计费服secondaryaccounting{ip-addressipv6ipv6-address}[port-numberretrystop-accountingretry-的最大次数为500和计费端配置得不同。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时主服务器和从服务器的IP地址版本必须保持一致；计费服务器和认证/服务器的IP地址版RADIUS报文的共享密RADIUS客户端与RADIUS服务器使用MD5算法来加密RADIUS报文双方通过设置共享密钥来验证报文的。只有在密钥一致的情况下，彼此才能接收对方发来的报文并作出响应。--key{accounting|authentication}配置发送RADIUS报文的最大尝试次由于S协议采用DP报文来承载数据，因此其通信过程是不可靠的。如果IS服务器在应答超时定时器规定的时长内没有响应设备，则设备有必要向S服务器重传AS请求报文如果累计的传送次数超过最大尝试次数而S服务器仍旧没有响应则认为本次认证失败关于S服务器状态的相关内容，请参见2 .配置IS服务器的状态”。-radius-设置发送RADIUS的最大尝retryretry-试次数为3次配置支持的RADIUS服务器的类-radius-server-type{extendedstandardstandardRADIUSRADIUS服务器的数据流的单务器时，RADIUS服务器类型可以选择standard类型或extended类型。RADIUS服务器的RADIUS方案中各服务器的状态（active、block）决定了设备向哪个服务器发送请求报文，以及blockactivetimerquiet设定的时间达到后主服务器状态自动恢复为active，从服务器状态不变，设备与主服务器进行通信。后续当主/block时，设备仅与主服务器通信，若主服务器可达，则主服务器状态变为active，否则保持不变。表2-13RADIUS--服statepriblock}uthentication{activestatepriblock}ccounting{active缺省情况下，RADIUS方案中配置了IPRADIUS服务器的状态均为active服statesecondaryauthentication{activeblockstatesecondaryaccounting{activeblockstate命令设置的服务器状态属于动态信息，不能被保存在配置文件中，设备重启后，服务器状态恢复为缺省状态active。配置发送给RADIUS服务器的数据相关属--设置发送给RADIUS服务器user-name-format{keep-originalwith-|without-务器的用户名携带有ISP设置发送给RADIUS服务器data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*据包的单位为one-packet由于有些较早期的RADIUS服务器不能接受携带有ISP的用户名因此必需将用户名的域名去除后再传送给RADIUS服务器。可以通过命令user-name-formatwithout-来指定发送给RADIUS服务器的用户名不携带ISP。如果指定某个RADIUS方案不允许用户名中携带有ISP那么请不要在两个乃至两个以上的ISPRADIUS方案，否则，会出现虽然实际用户不同（ISP域中）、但RADIUS服务器认为用户相同（因为传送到它的用户名相同）的错误。对于级别切换认证，命令user-name-formatkeep-original与user-name-formatwithout-的执行效果一样，发送给RADIUS服务器的用户名都不携带ISP。RADIUSRADIUS服务器上的流量统计单位保持一致，RADIUS方案视图下令nas-ip只对本RADIUS方案有效，系统视图下令radiusnas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。-radiusnas-ip{ip-address|--nas-ip{ip-address|ipv6ipv6-address计费请求）传送出去一段时间后，设备还没有得到RADIUS服务器的响应，则有必要重传主服务器恢复激活状态定时器（quiet）：block，设备会与断与从服务器通信。这段时间被称为RADIUS主服务器恢复激活状态时长。RADIUS服务器发送一-radius-timerresponse-timeout定时器为3秒timerquiet要等待5分钟timerrealtime-accountingRADIUS服务器发送一次用户的RADIUSRADIUS服务器应答超时时间的乘积上限由各接入模块的客户端连接超时时间上限决定，且该乘积过75秒。不同接入模块配置的RADIUS服务器应答超时时间与发送请求报文的最大尝试次数乘积不能大RADIUS报文的应答超时时间与发送请求报文的最大尝试次数的乘积不能大于等于10秒；对于net接入，其客户端连接超时时间为30秒，所以此乘积不能大于等于30秒。EAD方案的是整合与联动，其中的安全策略服务器是EAD方案中的管理与控制中心，它作为一个的集合，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计iMCIP地址相同时，本特性可不配置，除此之外，当设备收到服务器的控制报文时，若该控制报文的源IP地址不是本特性指定的地址，则设备认为其。通常，若要支持完整EAD功能，建议在接入设备上分别iMC安全策略服务器的IP地址和iMC-radius-器发送计费或认证请求没有响应时，NAS认为服务器不可达并输出Trap信息具体情况NAS向Trap报文。另外，当RADIUS服务器在不可达状态下收到服务器发送的报文时，NAS认为服务器可达，也会输出Trap信息。表2-19RADIUSTrap-RADIUSTrap功radius{accounting-server-downRADIUS报文表2-20使能RADIUS客户端的端-radiusclientRADIUS25号属性为class属性，该属性RADIUS服务器下发但RFC中并未定义具体的用途，RADIUSclassCAR参数的下发，为了支持这种应用，可以通过本特性来控制设备是否将RADIUS25号属性解析为CAR参数。表2-21RADIUSAttribute-radius-attribute25缺省情况下，RADIUSAttribute25表2-22RADIUSdisplayradiusscheme[radius-scheme-name][slotslot-number置信息（分布式IRF设备）displayradiusscheme[radius-scheme-name][chassis-numberslotslot-numberdisplayradiusstatistics[slotslot-number布式IRF设备）displayradiusstatistics[chassischassis-numberslotslot-number|session-idsession-id|time-rangestart-timestop-time|user-user-name}[slotslot-number费请求报文（分布式IRF设备）|session-idsession-id|time-rangestart-timestop-time|user-user-name}[chassischassis-numberslotslot-numberresetradiusstatistics[slotslot-number布式IRF设备）resetradiusstatistics[chassischassis-numberslotslot-numberresetstop-accounting-buffer{radius-schemeradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number]resetstop-accounting-buffer{radius-schemeradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[chassischassis-numberslotslot-number]HWTACACS..32.2.3配置发送给 服务器的数据相关属2.2.3配置发送HWTACACS报文使用的源.32.2.3前，必须先创建HWTACACS方案并进入其视图。表2-24HWTACACS-hwtacacs表2-25HWTACACS-hwtacacs- ip-address[port-numbersecondaryip-address[port-number表2-26配置HWTACACS服务-hwtacacs- uthorizationip-[port-numberip-address[port-number表2-27HWTACACS-hwtacacs- ccountingip-[port-numbersecondaryip-address[port-numberretrystop-retry-使用HWTACACS服务器作为AAA服务器时，可设置密钥以提高设备与HWTACACS服务器通信HWTACACS客户端（即设备系统）HWTACACS服务器使用MD5算法来加密交互的HWTACACS报文，双方通过设置共享密钥来验证报文的。只有在密钥一致的情况下，双方-hwtacacs-key{accounting|-hwtacacs-设置发送给HWTACACS服务器的user-name-format{keep-original | 设置发送给HWTACACS服务器的data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*如果HWTACACS服务器不接受带的用户名，可以配置将用户名的去除后再传送HWTACACS服务器 对于级别切换认证，命令user-name-formatkeep-original与user-name-formatwithout-的效果一样，发送给HWTACACS服务器的用户名都不携带ISP。nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。-hwtacacsnas-ipip--hwtacacs-nas-ipip--hwtacacs-timerresponse-timeouttimerquiet态前需要等待5分钟timerrealtime-accounting设备和HWTACACS服务器的性能要求越高。表2-33HWTACACS协议显示displayhwtacacs[hwtacacs-server-name[statistics]][displayhwtacacs[hwtacacs-server-name[statistics]][chassis-numberslotslot-numberdisplaystop-accounting-bufferhwtacacs-hwtacacs-scheme-name[slotslot-number求报文（分布式IRF设备）displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name[chassischassis-numberslotslot-number]resethwtacacsstatistics{accounting|all|authenticationauthorization}[slotslot-numberhwtacacs-scheme-name[slotslot-numberISP域中配置实现AAA通过在ISP域视图下预先配置的认证、、计费方案来实现对用户的认证、和计费。每所属的ISP域下未应用任何认证、、计费方法，系统将使用缺省的认证、、计费方法。方案，则请提前创建RADIUS方案或HWTACACS方案。 ISP并为每个ISP域单独配置包括AAA方法（一组不同的认证//计费方案）在内的属性集。对于设备来说，每个接入用户都属于一个ISP域。系统中最多可以配置16ISP域，包括一个系统缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP，系统将把它归于缺省的ISP域。表2-34ISP-创建ISP-手工配置缺省的ISPdefaultenableisp-缺省ISP域。表2-35ISP-进入ISPname-设置ISPstate{active|block缺省情况下，当一个ISP域被创建以后，其状态为active，即允许任何属设置当前ISP域可容纳接入用户缺省情况下，不对当前ISP域可容纳idle-cutenableminute[flowself-service-urlenableurl-配置当前ISP域的缺省User缺省情况下，当前ISPUser的服务器即自助服务器。通过使用自助服务，用户可以对自己的帐号或进行管理和控制。在AAA中，认证、和计费是三个独立的业务流程。认证的职责是完成各接入或服务请求的用AAA支持以下认证方法：配置在接入设备上。优点是速度快，可以降低运营成本；缺点是信息量受设备硬件条件器之间通过RADIUS或HWTACACS协议通信。对于RADIUS协议，可以采用标准或扩展的RADIUS协议，与iMC等系统配合完成认证。优点是用户信息集中在服务器上管理，可实现大容量、高可靠性、支持多设备的集中式认证。当远端服务器无效时，可配置本地省认证方法为local。如果用户使用RADIUS或HWTACACS认证，则需要先配置要的RADIUS或确定要配置的接入方式或者服务类型。AAA可以对不同的接入方式和服务类型配置不同的认-进入ISP-authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]户采用local认证方法为lan-access用户配置认证authenticationlan-access{local|noneradius-schemeradius-scheme-name[local]authenticationlogin{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]authenticationportal{local|noneradius-schemeradius-scheme-name[local]hwtacacs-scheme-name|radius-schemeradius-scheme-name}如果配置AAA认证方法时指定了参数radius-schemeradius-scheme-namelocal或hwtacacs-schemehwtacacs-scheme-namelocallocal为远端服务器没有正常响应后的要求携带认证的情况下，系统使用用户名“$enab3@_name$”进行用户级别切换在AAA中，是一个和认证、计费同级别的独立流程，其职责是发送请求给所配置的服务器，通过后向用户下发信息。在ISP域的AAA配置中，方法为可选配置。AAA支持以下方法：是绑定在一起的，不能单独使用RADIUS进行。RADIUS认证成功后，才能进行授权，RADIUS信息携带在认证回应报文中下发给用户。HWTACACS协议的与认证户、SSH用户）的默认级别为最低权限的级。FTP用户被默认使用设备的根。如果用户要使用HWTACACS，则需要先配置要的HWTACACS方案；如果RADIUS，只有在认证和方法中相同的RADIUS方案，才起作用表2-37配置ISP域的AAA方-进入ISPname-{hwtacacs-hwtacacs-scheme-name[local]||none|radius-radius-scheme-name[local]用local方法{hwtacacs-hwtacacs-scheme-name[localnone]|local|noneauthorizationlan-access{localnone|radius-radius-scheme-name[local]authorization{hwtacacs-hwtacacs-scheme-name[local]||none|radius-radius-scheme-name[local]authorizationportal{local|none|[local]}authorizationdefault命令配置的方法不区分用户类型，即对所有类型的用户都起作用。RADIUS是特殊的流程，只有在认证和方法中的RADIUS方案相同的条件下，RADIUS才起作用。对于所有RADIUS失败的情况，失败返回给NAS的原因为如果配置AAA方法时指定了参数radius-schemeradius-scheme-namelocal或hwtacacs-schemehwtacacs-scheme-namelocal|none]localnone为远端服务器local或者none作为第一方法时，只能采用本地或者不进行，不能再同时采RADIUS、HWTACACS方案务器。因此，如果使用RADIUS认证和RADIUS，必须保证认证和方法中的RADIUS方案相同，否则系统会给出错误提示。在AAA中，计费是一个和认证、同级别的独立流程，其职责为发送计费开始／更新／结束请如果不配置计费方法，则ISP域的缺省计费方法为local。如果用户要使用RADIUS或HWTACACS计费，则需要先配置要的RADIUS方案HWTACACS方案；如果要使用localnone计费，则不需要配置方案确定要配置的接入方式或者服务类型，AAA-进入ISP-accountingaccountingdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]采用local计费方法accountingcommandaccountinglan-access{local|none[local]accountinglogin{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]accountingportal{local|none|[local]}本地计费方法并不用于对用户实施实际的计费功能只是用来配合本地用户视图下的access-limit命令来实现本地用户连接数的限制功能。在计费可选开关打开的情况下，本地用accountingdefault命令配置的计费方法不区分用户类型，即对所有类型的用户都起作用。此如果配置AAA计费方法时指定了参数radius-schemeradius-scheme-namelocal或hwtacacs-schemehwtacacs-scheme-namelocallocal为远端服务器没有正常响应后的localnone作为第一计费方法，那么只能采用本地认证或者不进行计费，不能同时表2-39-cutconnection{access-type{dot1xmac-authentication|portal}|allisp-name|interfaceip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id}[slotslot-number]连接（分布式IRF设备cutconnection{access-type{dot1x|mac-authentication|portal}|all|isp-name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id}[chassischassis-numberslotslot-number]NAS-IDVLAN在某些应用环境中，依靠VLAN来确定用户的接入位置，而网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置，因此接入设备上需要将NAS-ID的“Portal配置”。表2-40NAS-IDVLAN-NAS-ID-Profile视图aaanas-idprofileprofile-设置NAS-ID与VLAN的绑定关nas-idnas-identifierbindvlanvlan-AAA显示和displayAAA的运行情况，通过查看显表2-41AAA显示所有或指定ISP [isp-name（分布式设备displayconnection[access-type{dot1x|mac-authentication|portal}|isp-name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id][slotslot-number]displayconnection[access-type{dot1x|mac-authentication|portal}|isp-name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id][chassischassis-numberslotslot-number]AAASwitch与认证、、计费HWTACACS服务器交互报文时的共享密钥均为expert，向HWTACACS服务器发送的用户名中不带。图3-1net用户远端HWTACACS认证、和计费配置组网HWTACACSHWTACACSnet#IP地址（略）#开启Switch的net服务器功能 netserver[Switch]user-interfacevty0[Switch-ui-vty0-4]authentication-modescheme[Switch-ui-vty0-4]quit#[Switch]hwtacacsscheme#配置主认证服务器的IP地址为，认证端为49。[Switch-hwtacacs-hwtac]pri uthentication49#配置主服务器的IP地址为，认证端为49。[Switch-hwtacacs-hwtac]pri uthorization49#配置主计费服务器的IP地址为，认证端为49。[Switch-hwtacacs-hwtac]pri ccounting49[Switch-hwtacacs-hwtac]keyauthorizationexpert[Switch-hwtacacs-