s8500路由交换机操作手册v2 007 2 aaa radius hwtacacs配置

第1章AAARADIUSHWTACACS配 简 1 1 2 2 7 配置 配置支持的RADIUS服务器的类 配置发送给RADIUS服务器的数据相关属 配置HWTACACS协 创建HWTACACS方 配置HWTACACS认证服务 配置HWTACACS服务 配置HWTACACS计费服务 配置HWTACACS报文的共享密 第1AAARADIUSHWTACACSAAA是Authentication，AuthorizationandAccounting（认证、和计费）的简实际上是的一种管理机制。这里的主要是指控制，包括针对以上问题，AAA必须提供下列服务：RADIUSHWTACACS协议进行远端认证，由设器通信。对于RADIUS协议，可以采用标准或扩展的RADIUS协议，与iLAMS等系统配合完成认证。RADIUS：RADIUS是特殊的流程。只是在认证和的RADIUS放用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。AAA可以通过多种协议来实现，VRP中的AAA是基于RADIUS协议或HWTACACS协议来实现的。在“userid@isp-name”形式的用户名中，“@”后的“isp-nameISP域的。接入设备将“userid”作为用于认证的用户名，将“isp-name”作为域策略（例如使用的RADIUS方案）在内的属性集。最常使用RADIUS协议来实现AAA。RADIUS是RemoteAuthenticationDial-InUserService（认证拨号用户服务）机制，并定义了1812作为认证端口，1813作为计费端口。RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接入/挂断用户）。RADIUS服务器负责接收用户连接请求，认证用户，ss图1-1RADIUS下的Login等。RADIUS服务器对用户的认证过程通常需要利用设备的认证功能，RADIUS客RADIUS协议合并了认证和过程，在响应报文中携带了信息。操作流程图1-2所示。 RADIUS 用户输入用户名/口 认证请求包Access-认证接受包Access计费开始请求包Accounting-计费开始请求响应包Accounting计费结束请求包Accounting-通 结束通 结束RADIUSRADIUS服务器发送认证请求户端；如果认证失败，则返回Access-Reject响应包；RADIUS客户端根据接收到的认证结果接入/用户。如果可以接入用户，则RADIUS客户端向RADIUS 客户端向 服务器发送计费停止请求RADIUS服务器和客户端之间交互消息正确收发。RADIUS1-3图1-3RADIUS表1-1Code1含NAS-IP-Address、User-PassworS-Port等属性。234est计费请求包方向->Server，将用户信息传输到Server，请求Server开始计费，由该报文中的Acct-Status-Type属性区分计5nse计费响应包方向Server->，Server通知侧已经收到Authenticator和Attributes。超过长度域的字节被视为填充，在接收时应被忽略；如果包的实际长度比Length域所指示的值小时，则应被丢弃。Authenticator域（16字节）RADIUS服务器传输回来的请求，并且还用于隐藏算法中，分为RequestAuthenticator和Response出了RADIUS、认证常用的属性。最大长度为253字节。表1-2RADIUS123456789(for于设备厂商对RADIUS进行扩展，以实现标准RADIUS没有定义的功能。specifiedattributeHWTACACS（TerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）RADIUS协议类似，主要是通过-Server模式与TACACS服务器通信来实现多种用户的AAA功能，可用于PPP和VPDN接入用户及终端用户的认证、和计费。控制。HWTACACS协议与RADIUS协议的主要区别如表1-3所示。使用TCP进行认证，另外一个TACACS服务器进行。HWTACACS的典型应用是拨号用户或终端用户需要登录到设备上进行操作。路由器或交换机作为HWTACACS的客户端，将用户名和发给TACACS服务器进TACACS1-6所示。 用户请求登录路由器或交换机，TACACS客户端收到请求，向TACACS服务器发送认证回应报文，请求用户名；TACACS客户端收到回应TACACS服务器发送认证回应报文，请求登录；TACACS客户端收到回TACACS客户端收到回应成功报文，向用户输出路由器或交换机的配置表1-4创建ISP配置ISP配置ISPAAARADIUS协议”；如果采参见“配置HWTACACS配置ISP域的AAA方配置ISPAAA配置配置发送给HWTACACS服务器的配置非和抵赖行为。同时，通过配置域可以对接入用户进行AAA等管理。RADIUS方案（radius-scheme）：可以通过配置好的RADIUS方案来置HWTACACS协议。”ISP16表1-5创建ISP-创建一个ISP域或者进入已创建ISPname-手工配置缺省的ISPdefault{disable|enableisp-name省的ISP域为表1-6配置ISP-创建一个ISP域或者进入已创建ISP域的name设置ISPstate{active|block缺省情况下，当一个ISP域被创建access-limit{disable|缺省情况下，当一个ISP域被创建idle-cut{disable|minuteself-service-url{disable[high-ip-address缺省情况下，没有配置IP在AA服务请求的用户名／／用户信息的交互认证过程，它不会下发信息给请求用在AA如果用户要使用RADIUS或HWTACACS认证，则需要先配置要的则不需要配置scheme。表1-7配置ISPAAA-创建一个ISP域或者进入已创建ISP域的nameradius-scheme-name[local]|hwtacacs-scheme-name[local]|localnone为login用户配置认证radius-scheme-name[local]|hwtacacs-scheme-name[local]|localnoneradius-scheme-name[local]|hwtacacs-scheme-name[local]|localnone[local]|local|noneauthenticationdefault命令配置的认证方案不区分用户类型，即对所有类型的RADIUS的信息虽然在认证成功回应的报文中携带，但在认证回应的处理流程中不会处理RADIUS的信息。radius-schemeradius-scheme-namelocalhwtacacs-scheme证，不能再同时采用RADIUS或HWTACACS方案。所配置的server，通过后向用户下发信息。不是必须使用的。在域的AAA配置中，方案为可选配置。低权限的参观级。FTP用户的默认使用设备的根。配置有三个步骤：如果用户要使用HWTACACS，则需要先配置要的HWTACACS确定要配置的接入方式或者服务类型，AAA可以按照不同的接入方式和服务类表1-8配置ISP域的AAA方-创建一个ISP域或者进入已创建ISP域的视图nameauthorization{radius-radius-scheme-name[local]hwtacacs-scheme-name[local|local|noneauthorization{radius-radius-scheme-name[local]hwtacacs-scheme-name[local|local|noneauthorization{radius-radius-scheme-name[local]hwtacacs-scheme-name[local|local|none{radius-radius-scheme-name[local]local|none注意：NAS的为server没有响应。radius-schemeradius-scheme-namelocalhwtacacs-scheme。权，不能再同时采用RADIUS或HWTACACS方案。如果用户要使用RADIUS或HWTACACS计费，则需要先配置要的则不需要配置scheme。AAA计费的配置，并且从配置上正确限制了接入所能使用的计表1-9配置ISPAAA-创建一个ISP域或者进入已创建ISP域的视图nameaccountingaccounting{radius-radius-scheme-name[local]hwtacacs-scheme-name[local]local|noneradius-scheme-name[local]|hwtacacs-scheme-name[local]local|noneradius-scheme-name[local]|hwtacacs-scheme-name[local]local|none{radius-|none在对用户实施计费时，如果发现没有可用的计费服务器或与计费服务器通信失cotingoptiolradius-schemeradius-scheme-namelocalhwtacacs-scheme费，不能再同时采用RADIUS或HWTACACS方案。AAA方案选择了本地认证方案（local）时，应在设备上创建本地用户并配置相表1-10-password{simple|cipher { |autostate{active|blockservice-type{lan-access{net|ssh|terminal}*[level]指定FTP录service-typeftp[ftp-levelattribute{ipip-address|macmac-address|idle-cutminute|vlanvlanid|location{nas-ipip-addressportportnum|portportnum}}*需要指定nas-ip参数service-type是本地认证的检测项。如果没有用户可以使用的服务如果配置的认证方式需要用户名和口令（包括本地认证、RADIUS认证及表1-11-cutconnection{all|access-{dot1x|mac-authentication}-name|interfaceip-address|macmac-address|vlanvlan-id|ucibindexucib-index|user-nameuser-name}[slot-number配置RADIUS享密钥以及RADIUS服务器类型等。些参数。为了使这些参数能够生效，还必须在某个ISP域视图下指定该域的RADIUS方案。具体配置细节，请参见“1.3配置AAA”。-radiusRADIUS方案-radius设置主RADIUS认证/服务器的IPip-address[port-number/服务器的IP设置从RADIUS认证/服务器的IPsecondaryip-address[port-number/服务器的IP地在实际组网环境中，可以指定两台RADIUS服务器分别作为主、从认证/服-radius图priccountigip-[port-number器的IP地址均为secondaryip-address[port-number器的IP地址均为retrystop-retry-文发送500次retry-RADIUS协议采用不同的UDP端口来收发认证/和计费报文，因此必须将认了停止计费报文重能，设备应将其缓存在本机上，然后重新发送直到设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服-radius的RADIUS方案keyauthenticationkeyaccounting最大传送次数而RADIUS服务器仍旧没有响应，则设备将认为本次认证失败。-radiusretryretry-数为3次注意：-radiusRADIUS方案{extendedstandardRADIUS服务器类型为对于某个RADIUS方案中的主、从服务器（无论是认证/服务器还是计费服务blocktimerquietRADIUS请求-radiusstateprimary|activestateprimaryactive}方案中配置了IP地址的RADIUSstatesecondary|activestatesecondaryactive}-radius|without-RADIUS服务器的用户名携带有ISP域名data-flow-formatdata{bytegiga-byte|kilo-bytemega-byte}{giga-packet|kilo-packetmega-packet|one-packet单位为onepacketnas-ipip-radiusnas-ipip-发送给RADIUS服务器的用户名是否携带有ISP。如果指定某个RADIUS方案不允许用户名中携带有ISP，那么请不要在两ISPRADIUS方案，否则，会出现虽然实际用户不同（ISP域中）RADIUS服务器认为用户相同（因为-ip-addresskey采用本地RADIUS认证服务器功能时，其认证/服务的UDP端必须用此命令配置的共享密钥必须和在RADIUS方案视图下用命令{accounting|authentication}配置的认证/或计费报文的共享密钥一致RADIUS16系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器。-创建RADIUS方案并进入的RADIUS方案设置RADIUS服务器应答3秒timerquiet5分钟timerrealtime-accounting隔为12分钟。RADIUSHWTACACS协议的配置是以HWTACACS方案为单位进行的。在进行其它-hwtacacs-hwtacacs设置TACACSip-address[port设置TACACSsecondaryip-address[portTCP连接使用该认证服务器时，才允许-hwtacacs设置TACACS缺省情况下， 服ip-address[port器的IP设置TACACSsecondary缺省情况下， 服ip-address[port器的IP只有当没有活跃的用于发送报文的TCP连接使用该服务器时，才允许-hwtacacs设置TACACS主计费服务器的ip-address[port的IP设置TACACS从计费服务器的secondaryip-address[port的IPretrystop-retry-TCP连接使用该计费服务器时，才允许TACACS客户端（即设备系统）TACACSMD5算法来加密交互的HWTACACS报文，双方通过设置共享密钥来验证报文的。只有在密钥一致设置的共享密钥与TACACS服务器上的完全一样。-hwtacacskey{accounting|authorization|表1-27配置发送给TACACS-进入HWTACACS视图hwtacacs设置发送给TACACS服务{ data-flow-formatdata{byte设置发送给TACACSgiga-byte|kilo-byte器的发送数据单位为{giga-packet|kilo-packetmega-packet|one-packetnas-ipip-hwtacacsnas-ipip-服务器不接受带的用户名时，可以配置将用户名的去除后再传送给TACACS服务器。表1-28配置TACACS-hwtacacs设置TACACS服务器应答超时时为5秒timerquiet为12分钟TACACS服务器的性能有一定的相关性要求—取值越小，对设备和TACACS服务器的性能要求越高。完成上述配置后，在任意视图下执行disy命令可以显示配置后AAA在用户视图下，执行reset命令可以清除相关统计信息。表1-29AAA显示所有或指定ISP域的配disy[isp-namedisyconnection[access-type{dot1xmac-authentication}| -name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|vlanvlan-id|ucibindexucib-index|user-nameuser-name][slotslot-numberdisylocal-user[isp-name|idle-cut{disable|enable}|vlanvlan-id|service-type{lan-access|net|ssh|terminal|ppp|ftp|pad}|state{active|block}|user-nameuser-name][slotslot-number]表1-30RADIUSdisylocal-serverdisyradius[radius-server-name][slot-numberdisyradiusstatistics[slotslot-numberdisystop-accounting-buffer{radius-radius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number]resetradiusstatistics[slotslot-numberradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number]表1-31HWTACACS[statistics[slotslot-number]]session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number清除TACACSresethwtacacsstatistics{accounting|authentication|authorization|all}[slotslot-number]session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number类似，下面的描述以net用户的远端认证为例。器交互报文时的共享密钥为“expertRADIUS服务器交互报文时的共享RADIUSCAMS（ComprehensiveAccessManagementServer，综的server-type应选择extended类型。RADIUS服务器上设置与交换机交互报文时的共享密钥为“expert”；设置验证的net用户名应为“userid@isp-name”形式。(IPaddress:46)(IPaddress:46)net图1-7配置net用户的远端RADIUS认证、和计[Sysname]user-interfacevty0[Sysname-ui-vty0-4]authentication-modescheme[Sysname-ui-vty0-4]quit2000时，则不需要该配置。 [Sysname-isp-cams]accountingoptional[Sysname-isp-cams]quit<Sysname>system-view[Sysname]radiusschemecams [Sysname-radius-cams]pri ccounting461813[Sysname-radius-cams]keyauthenticationexpert[Sysname-radius-cams]keyaccountingexpert[Sysname-radius-cams]server-typeextended[Sysname-radius-cams]user-name-formatwith-[Sysname-radius-cams]quit#配置的AAA方案。在该应用配置中，因为接入用户对认证、和计费 [Sysname-isp-cams]authenticationloginradius-schemecams[Sysname-isp-cams]authorizationloginradius-schemecams[Sysname-isp-cams]accountingloginradius-schemecams [Sysname-isp-cams]authenticationdefaultradius-schemecams[Sysname-isp-cams]authorizationdefaultradius-schemecams[Sysname-isp-cams]accountingdefaultradius-schemecamsFTP用户除了没有计费过程外，与 下面描述仅以net用户为例。netn图1-8配 n[Sysname]user-interfacevty0[Sysname-ui-vty0-4]authentication-modescheme[Sysname-ui-vty0-4]quit <Sysname>system-view[Sysname]local-user net]service-type net]passwordsimpleextended net]quit [Sysname-isp-system]authenticationloginlocal[Sysname-isp-system]authorizationloginlocal[Sysname-isp-system]accountingloginlocal<Sysname>system-view [Sysname-isp-system]authenticationdefaultlocal[Sysname-isp-system]authorizationdefaultlocal[Sysname-isp-system]accountingdefaultlocal这种方法与1.7.1RADIUS认证方法类似，只需要将1.7.1小节中“配认证服务的UDP端修改为1645，并配置本地用户即可。报文时的共享密钥均为“expert”，设置交换机除去用户名中的后再将之传给TACACS服务器。AuthenticationServersAuthenticationServersnetnet图1-9配置net用户的远端TACACS认证、和计net[Sysname]user-interfacevty0[Sysname-ui-vty0-4]authentication-modescheme[Sysname-ui-vty0-4]quit[Sysname]hwtacacsscheme [Sysname-hwtacacs-hwtac]pri ccounting6449[Sysname-hwtacacs-hwtac]keyauthenticationexpert[Sysname-hwtacacs-hwtac]keyauthorizationexpert[Sysname-hwtacacs-hwtac]keyaccountingexpert[Sysname-hwtacacs-hwtac]user-name-formatwithout-[Sysname-hwtacacs-hwtac]quit<Sysname>system-view [Sysname-isp-hwtacacs]authenticationloginhwtacacs-schemehwtac[Sysname-isp-hwtacacs]authorizationloginhwtacacs-schemehwtac[Sysname-isp-hwtacacs]accountingloginhwtacacs-schemehwtac [Sysname-isp-hwtacacs]authenticationdefaulthwtacacs-schemehwtac[Sysname-isp-hwtacacs]authorizationdefaulthwtacacs-schemehwtac[Sysname-isp-hwtacacs]accountingdefaulthwtacacs-schemehwtac 一台TACACS服务器（担当服务器的职责）与交换机相连，服务器IP地址为64，设置交换机与TACACS服务器交互报文时的共享密钥均为“