版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
第3章網(wǎng)絡(luò)安全接入技術(shù)華為3Com網(wǎng)絡(luò)學(xué)院第六學(xué)期ISSUE1.0課程目標(biāo)掌握AAA原理與基本配置掌握RADIUS協(xié)議原理與基本配置掌握HWTACACS協(xié)議原理與基本配置學(xué)會分析處理基本的AAA、RADIUS、
HWTACACS故障問題
學(xué)習(xí)完本課程,您應(yīng)該能夠:2課程內(nèi)容
第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析
3AAA概述驗證(Authentication)授權(quán)(Authorization)計費(Accounting)AAA服務(wù)器本地實現(xiàn)AAA使用服務(wù)器實現(xiàn)AAA4AAA的認(rèn)證功能AAA服務(wù)器本地認(rèn)證遠(yuǎn)端認(rèn)證5AAA的授權(quán)功能RADIUS服務(wù)器本地授權(quán)遠(yuǎn)端授權(quán)6AAA的計費功能遠(yuǎn)端計費RADIUS服務(wù)器/TACACS服務(wù)器7課程內(nèi)容
第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析
8RADIUS概述RADIUS(RemoteAuthenticationDial-inUserService)是當(dāng)前流行的安全服務(wù)器協(xié)議。實現(xiàn)AAA(授權(quán)Authorization、驗證Authentication和計費Accounting)功能。RADIUS使用UDP作為傳輸協(xié)議,具有良好的實時性,同時也支持重傳機制和備用服務(wù)器機制,從而有較好的可靠性。9RADIUS服務(wù)器組成RADIUS服務(wù)器usersclientsDictionary10RADIUS服務(wù)器實現(xiàn)AAA流程用戶上網(wǎng)驗證請求驗證授權(quán)通過計費開始請求計費開始應(yīng)答計費結(jié)束請求計費結(jié)束應(yīng)答授權(quán)并允許用戶上網(wǎng)用戶下網(wǎng)RADIUS服務(wù)器11RADIUS結(jié)構(gòu)及基本原理RADIUS協(xié)議采用客戶機/服務(wù)器(Client/Server)結(jié)構(gòu),使用UDP協(xié)議作為傳輸協(xié)議。用戶server/client服務(wù)器NAS路由器或NAS上運行的AAA程序?qū)τ脩魜碇v為服務(wù)器端,對RADIUS服務(wù)器來講是作為客戶端,當(dāng)用戶上網(wǎng)時,路由器決定對用戶采用哪種驗證方法。下面介紹兩種用戶與路由器之間(本地驗證、遠(yuǎn)端驗證)的驗證方法CHAP和PAP。 12本地認(rèn)證-PAP本地(NAS)驗證——PAP方式:PAP(PasswordAuthenticationProtocol)是密碼驗證協(xié)議的簡稱,是認(rèn)證協(xié)議的一種。用戶以明文的形式把用戶名和他的密碼傳遞給NAS,NAS根據(jù)用戶名在NAS端查找本地數(shù)據(jù)庫,如果存在相同的用戶名和密碼表明驗證通過,否則表明驗證未通過。
我查......我驗……UsernamePassword用戶NAS(PPP)(RadiusClient)驗證結(jié)果13本地認(rèn)證-CHAP(1)本地(NAS)驗證——CHAP方式:CHAP(ChallengeHandshakeAuthenticationProtocol)是查詢握手驗證協(xié)議的簡稱,是我們使用的另一種認(rèn)證協(xié)議。SecretPassword=MD5(ChapID+Password+challenge)
我查......我算……我驗……用戶NAS(PPP)(RadiusClient)驗證結(jié)果CHAPID、Username、SecretpasswordChallenge、主機名、CHAPID14本地認(rèn)證-CHAP(2)SecretPassword=MD5(ChapID+Password+challenge)當(dāng)用戶請求上網(wǎng)時,服務(wù)器產(chǎn)生一個16字節(jié)的隨機碼(challenge)給用戶(同時還有一個ID號,本地服務(wù)器的hostname)。用戶端得到這個包后使用自己獨用的設(shè)備或軟件對傳來的各域進行加密,生成一個SecretPassword傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫,得到和用戶端進行加密所用的一樣的密碼,然后根據(jù)原來的16字節(jié)的隨機碼進行加密,將其結(jié)果與SecretPassword作比較,如果相同表明驗證通過,如果不相同表明驗證失敗。15遠(yuǎn)端認(rèn)證-PAP遠(yuǎn)端(Radius)驗證——PAP方式:Secretpassword=PasswordXORMD5(Challenge+Key)(Challenge就是Radius報文中的Authenticator)
我查......我算……我驗……用戶NAS(PPP)(RadiusClient)驗證結(jié)果ChallengeUsername、Secret、Password驗證結(jié)果Username、PasswordKeyKeyRadiusServer16遠(yuǎn)端認(rèn)證-CHAP遠(yuǎn)端(Radius)驗證——CHAP方式:Secretpassword=MD5(ChapID+Password+challenge)
我查......我算……我驗……用戶NAS(PPP)(RadiusClient)驗證結(jié)果、授權(quán)CHAPID、Username、SecretpasswordUsername、Secret、Password、Challenge、CHAPID驗證結(jié)果、授權(quán)RadiusServerChallenge、主機名、CHAPID17Radius協(xié)議在協(xié)議棧中的位置Radius是一種流行的AAA協(xié)議,同時其采用的是UDP協(xié)議傳輸模式,AAA協(xié)議在協(xié)議棧中位置如下:Radius協(xié)議18Radius協(xié)議包結(jié)構(gòu)
Attributes:屬性19Radius協(xié)議包各個域解釋各個域的解釋:1、Code:包類型;1字節(jié);指示RADIUS包的類型。
2、Identifier:包標(biāo)識;1字節(jié);用于匹配請求包和響應(yīng)包,同一組請求包和響應(yīng)包的Identifier應(yīng)相同。3、Length:包長度;2字節(jié);整個包的長度。4、Authenticator:驗證字;16字節(jié);用于對包進行簽名。20Radius協(xié)議包:code域
1)Code:包的類型包類型占1個字節(jié),定義如下:1Access-Request——請求認(rèn)證過程2Access-Accept——認(rèn)證響應(yīng)過程3Access-Reject——認(rèn)證拒絕過程4Accounting-Request——請求計費過程5Accounting-Response——計費響應(yīng)過程21Radius協(xié)議包:Identifier域
2)Identifier:包標(biāo)識包標(biāo)識,用以匹配請求包和響應(yīng)包。該字段的取值范圍為0~255;協(xié)議規(guī)定:1、在任何時間,發(fā)給同一個RADIUS服務(wù)器的不同包的Identifier域不能相同,如果出現(xiàn)相同的情況,RADIUS將認(rèn)為后一個包是前一個包的拷貝而不對其進行處理。2、Radius針對某個請求包的響應(yīng)包應(yīng)與該請求包在Identifier上相匹配(相同)。22Radius協(xié)議包:Length域
3)Length:包長度
整個包長度,包括Code,Identifier,Length,Authenticator,Attributes域的長度。23Radius協(xié)議包:Authenticator域4)Authenticator:驗證字該驗證字分為兩種:1、請求驗證字——RequestAuthenticator用在請求報文中,必須為全局唯一的隨機值。2、響應(yīng)驗證字——ResponseAuthenticator用在響應(yīng)報文中,用于鑒別響應(yīng)報文的合法性。
響應(yīng)驗證字=MD5(Code+ID+Length+請求驗證字+Attributes+Key)24Radius協(xié)議包:Authenticator域5)Attributes:屬性
010a62656e6c6164656eAttribute(1)屬性長度為10字節(jié)benladen25Radius協(xié)議屬性1.User-Name該屬性指定了要進行認(rèn)證的用戶名26Radius協(xié)議屬性2.User-Password該屬性指定了要認(rèn)證的用戶的口令,用戶口令加密后存放在該屬性中27Radius協(xié)議屬性3.NAS-IP-Address該屬性指明了發(fā)起認(rèn)證請求的設(shè)備的IP地址28Radius協(xié)議屬性4.Vendor-Specific該屬性用于攜帶各廠商自己擴展的屬性29Radius協(xié)議屬性5.Session-Timeout該屬性指明允許用戶使用的最大時長30Radius協(xié)議屬性6.Acct-Status-Type該屬性指明計費報文的類型該屬性出現(xiàn)在計費報文中不同的取值標(biāo)志出不同的意義1---表示計費開始報文2---表示計費結(jié)束報文3---表示計費更新報文7---表示Accounting-On報文31Radius協(xié)議屬性(一)屬性值屬性名稱 意義1 User-Name 用戶名2User-Password 用戶密碼3Chap-Password Chap認(rèn)證方式中的用戶密碼4Nas-IP-Address Nas的ip地址5Nas-Port 用戶接入端口號6 Service-Type 服務(wù)類型7 Framed-Protocol協(xié)議類型8Framed-IP-Address為用戶提供的IP地址9 Framed-IP-NetMask地址掩碼10Framed-Routing為路由器用戶設(shè)置的路由方式11Filter-Id過濾表的名稱12Framed-MTU 為用戶配置的最大傳輸單元認(rèn)證報文的常用屬性(1):32Radius協(xié)議屬性(二)屬性值屬性名稱意義13 Framed-Compression該連接使用壓縮協(xié)議14 Login-IP-Host對login用戶提供的可連接主機的ip地址15 Login-Service對login用戶可提供的服務(wù)16Login-TCP-PortTCP服務(wù)端口18 Reply-Message認(rèn)證服務(wù)器返回用戶的信息24 State 認(rèn)證服務(wù)器發(fā)送challenge包時傳送的需在接下來的認(rèn)證報文中回應(yīng)的字符串(與Acess-Challenge相關(guān)的屬性)Class 認(rèn)證通過時認(rèn)證服務(wù)器返回的字符串信息,要求在該用戶的計費報文中送給計費服務(wù)器認(rèn)證報文的常用屬性(2):33Radius協(xié)議屬性(三)屬性值屬性名稱意義26Vendor-Specific可擴展屬性
Session-Timeout在認(rèn)證通過報文或Challenge報文中,通知
NAS該用戶可用的會話時長(時長預(yù)付費)28 Idle-Timeout允許用戶空閑在線的最大時長32NAS-Identifier標(biāo)識NAS的字符串
Proxy-StateNAS通過代理服務(wù)器轉(zhuǎn)發(fā)認(rèn)證報文時服務(wù)器添加在報文中的屬性60Chap-Challenge 可以代替認(rèn)證字字段傳送challenge的屬性61 Nas-Port-Type 接入端口的類型62 Port-Limit 服務(wù)器限制NAS為用戶開放的端口數(shù)認(rèn)證報文的常用屬性(3):34Radius協(xié)議屬性(四)屬性值屬性名稱 意義40 Acct-Status-Type計費請求報文的類型41 Acct-Delay-TimeRadius客戶端發(fā)送計費報文耗費的時間42 Acct-Input-Octets輸入字節(jié)數(shù)43Acct-Output-Octets輸出字節(jié)數(shù)
44Acct-Session-Id計費會話標(biāo)識45 Acct-Authentic在計費包中標(biāo)識用戶認(rèn)證通過的方式46 Acct-Session-Time用戶在線時長47Acct-Input-Packets輸入包數(shù)48 Acct-Output-Packets 輸出包數(shù)49Acct-Terminate-Case用戶下線原因
50 Acct-Multi_Session-Id 相關(guān)計費會話標(biāo)識51 Acct-Link-Count生成計費記錄時多連接會話的會話個數(shù)認(rèn)證報文的常用屬性(4):35RADIUS協(xié)議總結(jié)
特點描述UDP由于傳輸控制協(xié)議(TCP)的開銷大,客戶和服務(wù)器之間的通信使用用戶數(shù)據(jù)協(xié)議(UDP)。通常,用戶等待輸入用戶名和口令提示UDP目的端口RADIUS使用兩個端口集,RFC定義之前常用端口為1645和1646。RFC2138定義的端口為1812和1813屬性屬性用于在NAS和客戶端之間交換信息模型客戶/服務(wù)器模型,數(shù)據(jù)交換單向傳輸加密方法采用MD5進行口令加密,用戶名不加密。在客戶發(fā)往服務(wù)器的訪問請求分組中,RADIUS只加密口令,其他部分以明文方式傳輸。第三方可以捕獲這些相關(guān)的信息,如用戶名、授權(quán)服務(wù)和記賬信息多協(xié)議支持只支持IP協(xié)議,不支持AppleTalk,NetBIOS,IPX36Radius+簡介標(biāo)準(zhǔn)Radius協(xié)議的不足之處Radius+1.1協(xié)議支持的特性不能處理和保證用戶對于服務(wù)質(zhì)量的動態(tài)需求——帶寬動態(tài)下發(fā)支持動態(tài)改變服務(wù)質(zhì)量——動態(tài)帶寬下發(fā)不支持服務(wù)器主動下發(fā)控制報文支持服務(wù)器主動激活端口;支持服務(wù)器主動中斷連接;Radius+與標(biāo)準(zhǔn)Radius共性:1)Radius+協(xié)議與Radius一樣,通過UDP通訊;2)采用重傳確認(rèn)機制以確保接收;3)安全性:A)密碼加密:使用客戶端與服務(wù)器端的共享密鑰通過MD5算法對用戶口令進行加密,使得口令和密鑰不會在網(wǎng)上明文傳送;B)包簽名:有16字節(jié)的驗證字用于對報文進行簽名,以確定收到的報文為合法報文。37課程內(nèi)容
第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析38
HWTACACS概述HWTACACS安全協(xié)議是在TACACS(RFC1492)基礎(chǔ)上進行了功能增強的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似,主要是通過Server-Client模式與TACACS服務(wù)器通信來實現(xiàn)多種用戶的AAA功能。用于PPP和VPDN接入用戶及l(fā)ogin用戶的認(rèn)證、授權(quán)和計費。39HWTACACS協(xié)議和RADIUS協(xié)議區(qū)別HWTACACS協(xié)議RADIUS協(xié)議使用TCP,網(wǎng)絡(luò)傳輸更可靠。使用UDP。除了標(biāo)準(zhǔn)的HWTACACS報文頭,對報文主體全部進行加密。只是對驗證報文中的密碼字段進行加密。認(rèn)證和授權(quán)分離,例如,可以用一個TACACS服務(wù)器進行認(rèn)證,另外一個TACACS服務(wù)器進行授權(quán)。認(rèn)證和授權(quán)一起處理。適于進行安全控制。適于進行計費。支持對路由器上的配置命令進行授權(quán)使用。不支持。40
HWTACACS組網(wǎng)應(yīng)用撥號用戶終端用戶HWTACACS客戶端TACACS服務(wù)器TACACS服務(wù)器Internet41HWTACACS服務(wù)器實現(xiàn)AAA流程用戶登錄認(rèn)證開始報文認(rèn)證回應(yīng)報文,請求用戶名用戶輸入用戶名認(rèn)證回應(yīng)報文,向用戶請求密碼計費結(jié)束請求計費結(jié)束應(yīng)答向用戶申請用戶名HWTACACS客戶端HWTACACS服務(wù)器用戶認(rèn)證持續(xù)報文,向服務(wù)器發(fā)送用戶名向用戶請求密碼用戶輸入密碼認(rèn)證持續(xù)報文,向服務(wù)器發(fā)送密碼計費開始報文認(rèn)證回應(yīng)報文,認(rèn)證通過授權(quán)請求報文授權(quán)回應(yīng)報文,授權(quán)通過計費開始回應(yīng)報文,用戶下線用戶成功登錄42課程內(nèi)容
第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析43AAA基本配置創(chuàng)建ISP域并配置相關(guān)屬性創(chuàng)建ISP域配置用戶使用的AAA方案配置ISP域的狀態(tài)配置可接入用戶數(shù)量的最大值配置計費可選開關(guān)定義本地地址池并為PPP用戶分配IP地址創(chuàng)建本地用戶并配置相關(guān)屬性(僅用于本地認(rèn)證)
創(chuàng)建本地用戶并配置相關(guān)屬性(僅用于本地認(rèn)證)44創(chuàng)建ISP域并配置相關(guān)屬性創(chuàng)建ISP域
操作命令創(chuàng)建ISP域或進入指定ISP域視圖domain{isp-name|default
{disable|enableisp-name}}
刪除指定的ISP域undodomainisp-name
45創(chuàng)建ISP域并配置相關(guān)屬性配置用戶使用AAA方案
操作命令配置域使用的AAA方案scheme{radius-scheme
radius-scheme-name[local]|hwtacacs-scheme
hwtacacs-scheme-name[local]|local|none}恢復(fù)域使用的缺省的AAA方案undoscheme{radius-scheme|hwtacacs-scheme|none}46創(chuàng)建ISP域并配置相關(guān)屬性操作命令配置域使用的認(rèn)證方案authentication{radius-schemeradius-scheme-name[local]|hwtacacs-schemehwtacacs-scheme-name[local]|local|none}恢復(fù)域缺省的認(rèn)證方案undoauthentication配置域使用的授權(quán)方案authorization{hwtacacs-schemehwtacacs-scheme-name|none}恢復(fù)域缺省的授權(quán)方案undoauthorization配置域使用的計費方案accounting{radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name|none}刪除域使用的計費方案undoaccounting47創(chuàng)建ISP域并配置相關(guān)屬性配置ISP域的狀態(tài)
操作命令設(shè)置ISP域的狀態(tài)state{active|block}48創(chuàng)建ISP域并配置相關(guān)屬性配置可接入用戶數(shù)量的最大值
操作命令指定可接入用戶數(shù)的最大值access-limit{disable|enablemax-user-number}恢復(fù)可接入用戶數(shù)到缺省設(shè)置undoaccess-limit
49創(chuàng)建ISP域并配置相關(guān)屬性配置計費可選開關(guān)
操作命令打開計費可選開關(guān)accountingoptional
關(guān)閉計費可選開關(guān)undoaccountingoptional
50創(chuàng)建ISP域并配置相關(guān)屬性定義地址池并為PPP用戶分配IP地址
操作命令定義為PPP用戶分配IP地址的地址池ippoolpool-numberlow-ip-address[high-ip-address]
刪除指定的地址池undoippoolpool-number
51創(chuàng)建本地用戶并配置相關(guān)屬性創(chuàng)建本地用戶 操作命令添加本地用戶local-useruser-name
刪除本地用戶或本地用戶的服務(wù)類型undolocal-useruser-name[service-type]刪除所有本地用戶或指定類型的本地用戶undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]52創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性 操作命令設(shè)置所有本地用戶密碼的顯示方式local-userpassword-display-mode{cipher-force|auto}取消已設(shè)置的本地用戶密碼的顯示方式undolocal-userpassword-display-mode
刪除所有本地用戶或指定類型的本地用戶undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]53創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置用戶的密碼password{simple|cipher}
password
取消用戶的密碼設(shè)置undopassword
設(shè)置用戶的狀態(tài)state{active|block}取消用戶的狀態(tài)undostate{active|block}設(shè)置用戶可以使用的服務(wù)類型service-type{telnet|ssh|terminal}*[level
level]取消用戶可以使用的服務(wù)undoservice-type{telnet|ssh|terminal}54創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置用戶的優(yōu)先級level
level
恢復(fù)缺省的優(yōu)先級undolevel
授權(quán)用戶可以使用DVPN服務(wù)service-typedvpn
取消用戶可以使用DVPN服務(wù)undoservice-typedvpn
授權(quán)FTP用戶可以訪問的目錄service-typeftp[ftp-directory
directory]恢復(fù)對FTP用戶授權(quán)的缺省目錄undoservice-typeftp[ftp-directory]55創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置PPP用戶的回呼及主叫號碼屬性service-typeppp[callback-nocheck|callback-numbercallback-number|call-numbercall-number[:subcall-number]]恢復(fù)PPP用戶回呼及主叫號碼屬性的缺省設(shè)置undoservice-typeppp[callback-nocheck|callback-number|call-number]56AAA基本配置AAA協(xié)議的顯示與調(diào)試 操作命令顯示所有或指定ISP域的配置信息displaydomain[isp-name]顯示用戶連接的相關(guān)信息displayconnection[domainisp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name]
顯示本地用戶的相關(guān)信息displaylocal-user[domain
isp-name|service-type{pad|telnet|ssh|terminal|ftp|ppp}
|state{active|block}|user-name
user-name]57課程內(nèi)容
第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析58RADIUS基本配置RADIUS協(xié)議的配置包括:創(chuàng)建RADIUS方案設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器設(shè)置RADIUS計費服務(wù)器及相關(guān)屬性設(shè)置RADIUS報文的共享密鑰設(shè)置RADIUS請求報文的最大傳送次數(shù)設(shè)置支持的RADIUS服務(wù)器的類型設(shè)置RADIUS服務(wù)器的狀態(tài)設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位配置NAS發(fā)送RADIUS報文使用的源地址配置RADIUS服務(wù)器的定時器使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能
59RADIUS基本配置創(chuàng)建RADIUs方案 操作命令創(chuàng)建RADIUS方案并進入其視圖radiusscheme
radius-scheme-name
刪除RADIUS方案undoradiusscheme
radius-scheme-name
60RADIUS基本配置配置RADIUS授權(quán)/認(rèn)證服務(wù)器 操作命令設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號primaryauthenticaiton
ip-address[port-number]將主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號恢復(fù)為缺省值undoprimary
authentication設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號secondary
authentication
ip-address[port-number]將從RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號恢復(fù)為缺省值undosecondary
authentication
61RADIUS基本配置配置RADIUS計費服務(wù)器 操作命令設(shè)置主RADIUS計費服務(wù)器的IP地址和端口號primaryaccountig
ip-address[port-number]將主RADIUS計費服務(wù)器的IP地址和端口號恢復(fù)為缺省值undoprimaryaccounting
設(shè)置從RADIUS計費服務(wù)器的IP地址和端口號secondary
accounting
ip-address[port-number]將從RADIUS計費服務(wù)器的IP地址和端口號恢復(fù)為缺省值undosecondary
accounting
62RADIUS基本配置使能停止計費報文緩存及重傳功能 操作命令使能停止計費報文緩存功能stop-accounting-bufferenable
關(guān)閉停止計費報文緩存功能undostop-accounting-bufferenable
使能停止計費報文重傳功能,并配置停止計費報文可以傳送的最大次數(shù)retrystop-accountingretry-times
恢復(fù)停止計費報文最大傳送次數(shù)為缺省值undoretrystop-accounting
63RADIUS基本配置設(shè)置允許實時計費請求無響應(yīng)的最大次數(shù) 操作命令設(shè)置允許實時計費請求無響應(yīng)的最大次數(shù)retryrealtime-accountingretry-times
恢復(fù)允許實時計費請求無響應(yīng)的最大次數(shù)為缺省值undoretryrealtime-accounting
64RADIUS基本配置設(shè)置RADIUS報文的共享密鑰 操作命令設(shè)置RADIUS認(rèn)證/授權(quán)報文的共享密鑰key
authentication
string
恢復(fù)RADIUS認(rèn)證/授權(quán)報文共享密鑰為缺省undokey
authentication
設(shè)置RADIUS計費報文的共享密鑰key
accounting
string
恢復(fù)RADIUS計費報文共享密鑰為缺省undokeyaccounting
65RADIUS基本配置設(shè)置RADIUS請求報文的最大傳送次數(shù) 操作命令設(shè)置RADIUS請求報文的最大傳送次數(shù)retry
retry-times
將RADIUS請求報文的最大傳送次數(shù)恢復(fù)為缺省值undoretry
缺省情況下,RADIUS請求報文的最大傳送次數(shù)為3次。66RADIUS基本配置設(shè)備重啟用戶再認(rèn)證功能配置過程 配置步驟命令說明進入系統(tǒng)視圖system-view-進入RADIUS方案視圖radiusschemeradius-scheme-name-啟動設(shè)備重啟用戶再認(rèn)證功能accounting-onenable[sendtimes][intervalinterval]缺省情況下:設(shè)備重啟用戶再認(rèn)證功能處于關(guān)閉狀態(tài);發(fā)送Accounting-On報文的最大次數(shù)(times)為15次、時間間隔(interval)為3秒67RADIUS基本配置設(shè)置支持的RADIUS服務(wù)器的類型 操作命令設(shè)置支持何種類型的RADIUS服務(wù)器server-type{huawei|standard}恢復(fù)RADIUS服務(wù)器類型為缺省設(shè)置undoserver-type
68RADIUS基本配置設(shè)置RADIUS服務(wù)器的狀態(tài) 操作命令設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)state
primary
authentication{block|active}設(shè)置主RADIUS計費服務(wù)器的狀態(tài)state
primary
accounting{block|active}設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)state
secondary
authentication{block|active}設(shè)置從RADIUS計費服務(wù)器的狀態(tài)state
secondaryaccounting{block|active}69RADIUS基本配置設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式 操作命令設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式user-name-format{with-domain|without-domain}70RADIUS基本配置設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流單位 操作命令設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}恢復(fù)發(fā)送到RADIUS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置undodata-flow-format
71RADIUS基本配置配置NAS發(fā)送RADIUS報文使用的源地址 操作命令配置NAS發(fā)送RADIUS報文使用的源地址(RADIUS視圖)nas-ipip-address
取消NAS發(fā)送RADIUS報文使用的源地址(RADIUS視圖)undonas-ip
配置NAS發(fā)送RADIUS報文使用的源地址(系統(tǒng)視圖)radiusnas-ipip-address
取消NAS發(fā)送RADIUS報文使用的源地址(系統(tǒng)視圖)undoradiusnas-ip
72RADIUS基本配置配置RADIUS服務(wù)器應(yīng)答超時定時器 操作命令設(shè)置RADIUS服務(wù)器應(yīng)答超時定時器timerresponse-timeoutseconds
將RADIUS服務(wù)器應(yīng)答超時定時器恢復(fù)為缺省值undotimerresponse-timeout
73RADIUS基本配置配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時間 操作命令配置恢復(fù)激活時間timerquietminutes
恢復(fù)缺省配置undotimerquiet
74RADIUS基本配置配置RADIUS服務(wù)器實時計費時間操作命令設(shè)置實時計費間隔timerrealtime-accounting
minutes
將實時計費間隔恢復(fù)為缺省值undotimerrealtime-accounting
75實時計費時間間隔與用戶量之間的推薦比例關(guān)系 用戶數(shù)實時計費間隔(分鐘)1~993100~4996500~999121000
15RADIUS基本配置-定時器基本配置76RADIUS基本配置使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能 操作命令使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能radiustrap{authentication-server-down|accounting-server-down}關(guān)閉RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能undoradiustrap{authentication-server-down|accounting-server-down}
77RADIUS基本配置配置本地RADIUS認(rèn)證服務(wù)器 操作命令配置本地RADIUS認(rèn)證服務(wù)器local-servernas-ipip-addresskeypassword取消本地RADIUS認(rèn)證服務(wù)器的配置undolocal-servernas-ipip-address78RADIUS基本配置RADIUS協(xié)議的顯示與調(diào)試操作命令顯示所有或指定RADIUS方案的配置信息或統(tǒng)計信息displayradius[radius-server-name|statistics]顯示RADIUS報文的統(tǒng)計信息displayradiusstatistics
顯示緩存的沒有得到響應(yīng)的停止計費請求報文displaystop-accounting-buffer{radius-scheme
radius-server-name|session-id
session-id|time-range
start-time
stop-time|user-name
user-name}79RADIUS基本配置RADIUS協(xié)議的顯示與調(diào)試(續(xù)) 操作命令打開RADIUS報文調(diào)試開關(guān)debuggingradiuspacket
關(guān)閉RADIUS報文調(diào)試開關(guān)undodebuggingradiuspacket
刪除那些緩存的、沒有得到響應(yīng)的停止計費請求報文resetstop-accounting-buffer{radius-scheme
radius-server-name|session-id
session-id|time-range
start-time
stop-time|user-name
user-name}清除RADIUS服務(wù)器的統(tǒng)計信息resetradiusstatistics
80課程內(nèi)容
第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析81HWTACACS基本配置HWTACACS的配置包括:創(chuàng)建HWTACACS方案配置TACACS認(rèn)證服務(wù)器配置TACACS授權(quán)服務(wù)器配置TACACS計費功能配置TACACS服務(wù)器的密鑰配置TACACS服務(wù)器的用戶名格式配置TACACS服務(wù)器的流量單位配置NAS發(fā)送HWTACACS報文使用的源地址配置TACACS服務(wù)器的定時器
82HWTACACS基本配置創(chuàng)建HWTACACS方案 操作命令創(chuàng)建HWTACACS方案,并進入HWTACACS視圖hwtacacsscheme
hwtacacs-scheme-name
刪除HWTACACS方案undohwtacacsschemehwtacacs-scheme-name
83HWTACACS認(rèn)證服務(wù)器基本配置配置HWTACACS認(rèn)證服務(wù)器 操作命令配置TACACS主認(rèn)證服務(wù)器primaryauthentication
ip-address[port]刪除TACACS主認(rèn)證服務(wù)器undoprimaryauthentication
配置TACACS從認(rèn)證服務(wù)器secondaryauthentication
ip-address[port]刪除TACACS從認(rèn)證服務(wù)器undosecondaryauthentication
84HWTACACS授權(quán)服務(wù)器基本配置配置HWTACACS授權(quán)服務(wù)器 操作命令配置TACACS主授權(quán)服務(wù)器primaryauthorizationip-address[port]刪除TACACS主授權(quán)服務(wù)器undoprimaryauthorization
配置TACACS從授權(quán)服務(wù)器secondaryauthorizationip-address[port]刪除TACACS從授權(quán)服務(wù)器undosecondaryauthorization
85HWTACACS計費服務(wù)器基本配置配置HWTACACS計費服務(wù)器 操作命令配置TACACS主計費服務(wù)器primaryaccounting
ip-address[port]刪除配置的TACACS主計費服務(wù)器undoprimaryaccounting
配置TACACS從計費服務(wù)器secondaryaccounting
ip-address[port]刪除配置的TACACS從計費服務(wù)器undosecondaryaccounting
86HWTACACS計費服務(wù)器基本配置使能停止計費報文的重傳功能 操作命令使能停止計費報文重傳,并配置傳送的最大次數(shù)retrystop-accountingretry-times
關(guān)閉停止計費報文重傳功能undoretrystop-accounting
87HWTACACS基本配置配置NAS發(fā)送HWTACACS報文使用的源地址 操作命令配置NAS發(fā)送HWTACACS報文使用的源地址(HWTACACS視圖)nas-ipip-address
取消NAS發(fā)送HWTACACS報文使用的源地址HWTACACS視圖)undonas-ip
配置NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖)hwtacacsnas-ipip-address
取消NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖)undohwtacacsnas-ip
88HWTACACS基本配置配置HWTACACS服務(wù)器密鑰 操作命令配置TACACS計費、授權(quán)及認(rèn)證服務(wù)器的密鑰key{accounting|authorization|authentication}string
刪除配置undokey{accounting|authorization|authentication}89HWTACACS基本配置配置HWTACACS服務(wù)器的用戶名格式 操作命令配置用戶名帶域名user-name-format
with-domain
配置用戶名不帶域名user-name-format
without-domain
90HWTACACS基本配置配置HWTACACS服務(wù)器的流量單位 操作命令配置TACACS服務(wù)器的流量單位data-flow-formatdata[byte|giga-byte|kilo-byte|mega-byte]
data-flow-formatpacket[giga-packet|kilo-packet|mega-packet|one-packet]恢復(fù)發(fā)送到TACACS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置undodata-flow-format{data|packet}91HWTACACS服務(wù)器定時器基本配置配置HWTACACS服務(wù)器的應(yīng)答超時時間 操作命令配置應(yīng)答超時時間timerresponse-timeoutseconds
恢復(fù)缺省配置undotimerresponse-timeout
缺省情況下,應(yīng)答超時時間為5秒。92HWTACACS服務(wù)器定時器基本配置配置HWTACACS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時間 操作命令配置恢復(fù)激活時間timerquietminutes
恢復(fù)缺省配置undotimerquiet
93HWTACACS服務(wù)器定時器基本配置配置實時計費時間間隔 操作命令設(shè)置實時計費間隔timerrealtime-accounting
minutes
將實時計費間隔恢復(fù)為缺省值undotimerrealtime-accounting
94HWTACACS服務(wù)器定時器基本配置實時計費時間間隔與用戶量之間的推薦比例關(guān)系 用戶數(shù)實時計費間隔(分鐘)1~993100~4996500~999121000
1595HWTACACS基本配置配置在線用戶主動修改當(dāng)前密碼 操作命令配置在線用戶主動修改當(dāng)前密碼hwtacacschange-passwordself96HWTACACS基本配置HWTACACS協(xié)議的顯示與調(diào)試 操作命令顯示所有或指定HWTACACS方案的配置信息displayhwtacacs[hwtacacs-server-name[statistics]]顯示緩存的沒有得到響應(yīng)的停止計費請求報文displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name
打開HWTACACS協(xié)議調(diào)試開關(guān)debugginghwtacacs{all|error|event|message|receive-packet|send-packet}97HWTACACS基本配置HWTACACS協(xié)議的顯示與調(diào)試(續(xù)) 操作命令關(guān)閉HWTACACS協(xié)議調(diào)試開關(guān)undodebugginghwta
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2023年酒店、廚房設(shè)備用品項目融資計劃書
- 2023年消化系統(tǒng)用藥項目融資計劃書
- 2023年全自動金屬帶鋸床超精密加工機床項目融資計劃書
- 機械制圖考試題+答案
- 養(yǎng)老院老人生活娛樂制度
- 養(yǎng)老院老人健康監(jiān)測人員表彰制度
- 托管合作協(xié)議書(2篇)
- 播種收割合同(2篇)
- 2024年生態(tài)農(nóng)業(yè)灌溉水塔建設(shè)及維護服務(wù)合同3篇
- 2024年版:汽車合伙投資退出合同書
- 電力安全教育及培訓(xùn)總結(jié)報告(3篇模板)
- 國際金融智慧樹知到期末考試答案章節(jié)答案2024年中國石油大學(xué)(華東)
- QCT265-2023汽車零部件編號規(guī)則
- 新時代高職英語(基礎(chǔ)模塊)Unit3-1
- 2024年達(dá)州市中考數(shù)學(xué)真題試卷
- (高清版)JTGT 3365-01-2020 公路斜拉橋設(shè)計規(guī)范
- 業(yè)務(wù)連續(xù)性工作計劃
- 微機原理與接口技術(shù)智慧樹知到期末考試答案章節(jié)答案2024年西安工商學(xué)院
- “口腔種植修復(fù)臨床護理”的專家共識
- 火電項目管理手冊
- 2023年浙江省統(tǒng)招專升本考試英語真題及答案解析
評論
0/150
提交評論