網(wǎng)絡(luò)安全接入技術(shù)_第1頁
網(wǎng)絡(luò)安全接入技術(shù)_第2頁
網(wǎng)絡(luò)安全接入技術(shù)_第3頁
網(wǎng)絡(luò)安全接入技術(shù)_第4頁
網(wǎng)絡(luò)安全接入技術(shù)_第5頁
已閱讀5頁,還剩107頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

第3章網(wǎng)絡(luò)安全接入技術(shù)華為3Com網(wǎng)絡(luò)學(xué)院第六學(xué)期ISSUE1.0課程目標(biāo)掌握AAA原理與基本配置掌握RADIUS協(xié)議原理與基本配置掌握HWTACACS協(xié)議原理與基本配置學(xué)會分析處理基本的AAA、RADIUS、

HWTACACS故障問題

學(xué)習(xí)完本課程,您應(yīng)該能夠:2課程內(nèi)容

第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析

3AAA概述驗證(Authentication)授權(quán)(Authorization)計費(Accounting)AAA服務(wù)器本地實現(xiàn)AAA使用服務(wù)器實現(xiàn)AAA4AAA的認(rèn)證功能AAA服務(wù)器本地認(rèn)證遠(yuǎn)端認(rèn)證5AAA的授權(quán)功能RADIUS服務(wù)器本地授權(quán)遠(yuǎn)端授權(quán)6AAA的計費功能遠(yuǎn)端計費RADIUS服務(wù)器/TACACS服務(wù)器7課程內(nèi)容

第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析

8RADIUS概述RADIUS(RemoteAuthenticationDial-inUserService)是當(dāng)前流行的安全服務(wù)器協(xié)議。實現(xiàn)AAA(授權(quán)Authorization、驗證Authentication和計費Accounting)功能。RADIUS使用UDP作為傳輸協(xié)議,具有良好的實時性,同時也支持重傳機制和備用服務(wù)器機制,從而有較好的可靠性。9RADIUS服務(wù)器組成RADIUS服務(wù)器usersclientsDictionary10RADIUS服務(wù)器實現(xiàn)AAA流程用戶上網(wǎng)驗證請求驗證授權(quán)通過計費開始請求計費開始應(yīng)答計費結(jié)束請求計費結(jié)束應(yīng)答授權(quán)并允許用戶上網(wǎng)用戶下網(wǎng)RADIUS服務(wù)器11RADIUS結(jié)構(gòu)及基本原理RADIUS協(xié)議采用客戶機/服務(wù)器(Client/Server)結(jié)構(gòu),使用UDP協(xié)議作為傳輸協(xié)議。用戶server/client服務(wù)器NAS路由器或NAS上運行的AAA程序?qū)τ脩魜碇v為服務(wù)器端,對RADIUS服務(wù)器來講是作為客戶端,當(dāng)用戶上網(wǎng)時,路由器決定對用戶采用哪種驗證方法。下面介紹兩種用戶與路由器之間(本地驗證、遠(yuǎn)端驗證)的驗證方法CHAP和PAP。 12本地認(rèn)證-PAP本地(NAS)驗證——PAP方式:PAP(PasswordAuthenticationProtocol)是密碼驗證協(xié)議的簡稱,是認(rèn)證協(xié)議的一種。用戶以明文的形式把用戶名和他的密碼傳遞給NAS,NAS根據(jù)用戶名在NAS端查找本地數(shù)據(jù)庫,如果存在相同的用戶名和密碼表明驗證通過,否則表明驗證未通過。

我查......我驗……UsernamePassword用戶NAS(PPP)(RadiusClient)驗證結(jié)果13本地認(rèn)證-CHAP(1)本地(NAS)驗證——CHAP方式:CHAP(ChallengeHandshakeAuthenticationProtocol)是查詢握手驗證協(xié)議的簡稱,是我們使用的另一種認(rèn)證協(xié)議。SecretPassword=MD5(ChapID+Password+challenge)

我查......我算……我驗……用戶NAS(PPP)(RadiusClient)驗證結(jié)果CHAPID、Username、SecretpasswordChallenge、主機名、CHAPID14本地認(rèn)證-CHAP(2)SecretPassword=MD5(ChapID+Password+challenge)當(dāng)用戶請求上網(wǎng)時,服務(wù)器產(chǎn)生一個16字節(jié)的隨機碼(challenge)給用戶(同時還有一個ID號,本地服務(wù)器的hostname)。用戶端得到這個包后使用自己獨用的設(shè)備或軟件對傳來的各域進行加密,生成一個SecretPassword傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫,得到和用戶端進行加密所用的一樣的密碼,然后根據(jù)原來的16字節(jié)的隨機碼進行加密,將其結(jié)果與SecretPassword作比較,如果相同表明驗證通過,如果不相同表明驗證失敗。15遠(yuǎn)端認(rèn)證-PAP遠(yuǎn)端(Radius)驗證——PAP方式:Secretpassword=PasswordXORMD5(Challenge+Key)(Challenge就是Radius報文中的Authenticator)

我查......我算……我驗……用戶NAS(PPP)(RadiusClient)驗證結(jié)果ChallengeUsername、Secret、Password驗證結(jié)果Username、PasswordKeyKeyRadiusServer16遠(yuǎn)端認(rèn)證-CHAP遠(yuǎn)端(Radius)驗證——CHAP方式:Secretpassword=MD5(ChapID+Password+challenge)

我查......我算……我驗……用戶NAS(PPP)(RadiusClient)驗證結(jié)果、授權(quán)CHAPID、Username、SecretpasswordUsername、Secret、Password、Challenge、CHAPID驗證結(jié)果、授權(quán)RadiusServerChallenge、主機名、CHAPID17Radius協(xié)議在協(xié)議棧中的位置Radius是一種流行的AAA協(xié)議,同時其采用的是UDP協(xié)議傳輸模式,AAA協(xié)議在協(xié)議棧中位置如下:Radius協(xié)議18Radius協(xié)議包結(jié)構(gòu)

Attributes:屬性19Radius協(xié)議包各個域解釋各個域的解釋:1、Code:包類型;1字節(jié);指示RADIUS包的類型。

2、Identifier:包標(biāo)識;1字節(jié);用于匹配請求包和響應(yīng)包,同一組請求包和響應(yīng)包的Identifier應(yīng)相同。3、Length:包長度;2字節(jié);整個包的長度。4、Authenticator:驗證字;16字節(jié);用于對包進行簽名。20Radius協(xié)議包:code域

1)Code:包的類型包類型占1個字節(jié),定義如下:1Access-Request——請求認(rèn)證過程2Access-Accept——認(rèn)證響應(yīng)過程3Access-Reject——認(rèn)證拒絕過程4Accounting-Request——請求計費過程5Accounting-Response——計費響應(yīng)過程21Radius協(xié)議包:Identifier域

2)Identifier:包標(biāo)識包標(biāo)識,用以匹配請求包和響應(yīng)包。該字段的取值范圍為0~255;協(xié)議規(guī)定:1、在任何時間,發(fā)給同一個RADIUS服務(wù)器的不同包的Identifier域不能相同,如果出現(xiàn)相同的情況,RADIUS將認(rèn)為后一個包是前一個包的拷貝而不對其進行處理。2、Radius針對某個請求包的響應(yīng)包應(yīng)與該請求包在Identifier上相匹配(相同)。22Radius協(xié)議包:Length域

3)Length:包長度

整個包長度,包括Code,Identifier,Length,Authenticator,Attributes域的長度。23Radius協(xié)議包:Authenticator域4)Authenticator:驗證字該驗證字分為兩種:1、請求驗證字——RequestAuthenticator用在請求報文中,必須為全局唯一的隨機值。2、響應(yīng)驗證字——ResponseAuthenticator用在響應(yīng)報文中,用于鑒別響應(yīng)報文的合法性。

響應(yīng)驗證字=MD5(Code+ID+Length+請求驗證字+Attributes+Key)24Radius協(xié)議包:Authenticator域5)Attributes:屬性

010a62656e6c6164656eAttribute(1)屬性長度為10字節(jié)benladen25Radius協(xié)議屬性1.User-Name該屬性指定了要進行認(rèn)證的用戶名26Radius協(xié)議屬性2.User-Password該屬性指定了要認(rèn)證的用戶的口令,用戶口令加密后存放在該屬性中27Radius協(xié)議屬性3.NAS-IP-Address該屬性指明了發(fā)起認(rèn)證請求的設(shè)備的IP地址28Radius協(xié)議屬性4.Vendor-Specific該屬性用于攜帶各廠商自己擴展的屬性29Radius協(xié)議屬性5.Session-Timeout該屬性指明允許用戶使用的最大時長30Radius協(xié)議屬性6.Acct-Status-Type該屬性指明計費報文的類型該屬性出現(xiàn)在計費報文中不同的取值標(biāo)志出不同的意義1---表示計費開始報文2---表示計費結(jié)束報文3---表示計費更新報文7---表示Accounting-On報文31Radius協(xié)議屬性(一)屬性值屬性名稱 意義1 User-Name 用戶名2User-Password 用戶密碼3Chap-Password Chap認(rèn)證方式中的用戶密碼4Nas-IP-Address Nas的ip地址5Nas-Port 用戶接入端口號6 Service-Type 服務(wù)類型7 Framed-Protocol協(xié)議類型8Framed-IP-Address為用戶提供的IP地址9 Framed-IP-NetMask地址掩碼10Framed-Routing為路由器用戶設(shè)置的路由方式11Filter-Id過濾表的名稱12Framed-MTU 為用戶配置的最大傳輸單元認(rèn)證報文的常用屬性(1):32Radius協(xié)議屬性(二)屬性值屬性名稱意義13 Framed-Compression該連接使用壓縮協(xié)議14 Login-IP-Host對login用戶提供的可連接主機的ip地址15 Login-Service對login用戶可提供的服務(wù)16Login-TCP-PortTCP服務(wù)端口18 Reply-Message認(rèn)證服務(wù)器返回用戶的信息24 State 認(rèn)證服務(wù)器發(fā)送challenge包時傳送的需在接下來的認(rèn)證報文中回應(yīng)的字符串(與Acess-Challenge相關(guān)的屬性)Class 認(rèn)證通過時認(rèn)證服務(wù)器返回的字符串信息,要求在該用戶的計費報文中送給計費服務(wù)器認(rèn)證報文的常用屬性(2):33Radius協(xié)議屬性(三)屬性值屬性名稱意義26Vendor-Specific可擴展屬性

Session-Timeout在認(rèn)證通過報文或Challenge報文中,通知

NAS該用戶可用的會話時長(時長預(yù)付費)28 Idle-Timeout允許用戶空閑在線的最大時長32NAS-Identifier標(biāo)識NAS的字符串

Proxy-StateNAS通過代理服務(wù)器轉(zhuǎn)發(fā)認(rèn)證報文時服務(wù)器添加在報文中的屬性60Chap-Challenge 可以代替認(rèn)證字字段傳送challenge的屬性61 Nas-Port-Type 接入端口的類型62 Port-Limit 服務(wù)器限制NAS為用戶開放的端口數(shù)認(rèn)證報文的常用屬性(3):34Radius協(xié)議屬性(四)屬性值屬性名稱 意義40 Acct-Status-Type計費請求報文的類型41 Acct-Delay-TimeRadius客戶端發(fā)送計費報文耗費的時間42 Acct-Input-Octets輸入字節(jié)數(shù)43Acct-Output-Octets輸出字節(jié)數(shù)

44Acct-Session-Id計費會話標(biāo)識45 Acct-Authentic在計費包中標(biāo)識用戶認(rèn)證通過的方式46 Acct-Session-Time用戶在線時長47Acct-Input-Packets輸入包數(shù)48 Acct-Output-Packets 輸出包數(shù)49Acct-Terminate-Case用戶下線原因

50 Acct-Multi_Session-Id 相關(guān)計費會話標(biāo)識51 Acct-Link-Count生成計費記錄時多連接會話的會話個數(shù)認(rèn)證報文的常用屬性(4):35RADIUS協(xié)議總結(jié)

特點描述UDP由于傳輸控制協(xié)議(TCP)的開銷大,客戶和服務(wù)器之間的通信使用用戶數(shù)據(jù)協(xié)議(UDP)。通常,用戶等待輸入用戶名和口令提示UDP目的端口RADIUS使用兩個端口集,RFC定義之前常用端口為1645和1646。RFC2138定義的端口為1812和1813屬性屬性用于在NAS和客戶端之間交換信息模型客戶/服務(wù)器模型,數(shù)據(jù)交換單向傳輸加密方法采用MD5進行口令加密,用戶名不加密。在客戶發(fā)往服務(wù)器的訪問請求分組中,RADIUS只加密口令,其他部分以明文方式傳輸。第三方可以捕獲這些相關(guān)的信息,如用戶名、授權(quán)服務(wù)和記賬信息多協(xié)議支持只支持IP協(xié)議,不支持AppleTalk,NetBIOS,IPX36Radius+簡介標(biāo)準(zhǔn)Radius協(xié)議的不足之處Radius+1.1協(xié)議支持的特性不能處理和保證用戶對于服務(wù)質(zhì)量的動態(tài)需求——帶寬動態(tài)下發(fā)支持動態(tài)改變服務(wù)質(zhì)量——動態(tài)帶寬下發(fā)不支持服務(wù)器主動下發(fā)控制報文支持服務(wù)器主動激活端口;支持服務(wù)器主動中斷連接;Radius+與標(biāo)準(zhǔn)Radius共性:1)Radius+協(xié)議與Radius一樣,通過UDP通訊;2)采用重傳確認(rèn)機制以確保接收;3)安全性:A)密碼加密:使用客戶端與服務(wù)器端的共享密鑰通過MD5算法對用戶口令進行加密,使得口令和密鑰不會在網(wǎng)上明文傳送;B)包簽名:有16字節(jié)的驗證字用于對報文進行簽名,以確定收到的報文為合法報文。37課程內(nèi)容

第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析38

HWTACACS概述HWTACACS安全協(xié)議是在TACACS(RFC1492)基礎(chǔ)上進行了功能增強的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似,主要是通過Server-Client模式與TACACS服務(wù)器通信來實現(xiàn)多種用戶的AAA功能。用于PPP和VPDN接入用戶及l(fā)ogin用戶的認(rèn)證、授權(quán)和計費。39HWTACACS協(xié)議和RADIUS協(xié)議區(qū)別HWTACACS協(xié)議RADIUS協(xié)議使用TCP,網(wǎng)絡(luò)傳輸更可靠。使用UDP。除了標(biāo)準(zhǔn)的HWTACACS報文頭,對報文主體全部進行加密。只是對驗證報文中的密碼字段進行加密。認(rèn)證和授權(quán)分離,例如,可以用一個TACACS服務(wù)器進行認(rèn)證,另外一個TACACS服務(wù)器進行授權(quán)。認(rèn)證和授權(quán)一起處理。適于進行安全控制。適于進行計費。支持對路由器上的配置命令進行授權(quán)使用。不支持。40

HWTACACS組網(wǎng)應(yīng)用撥號用戶終端用戶HWTACACS客戶端TACACS服務(wù)器TACACS服務(wù)器Internet41HWTACACS服務(wù)器實現(xiàn)AAA流程用戶登錄認(rèn)證開始報文認(rèn)證回應(yīng)報文,請求用戶名用戶輸入用戶名認(rèn)證回應(yīng)報文,向用戶請求密碼計費結(jié)束請求計費結(jié)束應(yīng)答向用戶申請用戶名HWTACACS客戶端HWTACACS服務(wù)器用戶認(rèn)證持續(xù)報文,向服務(wù)器發(fā)送用戶名向用戶請求密碼用戶輸入密碼認(rèn)證持續(xù)報文,向服務(wù)器發(fā)送密碼計費開始報文認(rèn)證回應(yīng)報文,認(rèn)證通過授權(quán)請求報文授權(quán)回應(yīng)報文,授權(quán)通過計費開始回應(yīng)報文,用戶下線用戶成功登錄42課程內(nèi)容

第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析43AAA基本配置創(chuàng)建ISP域并配置相關(guān)屬性創(chuàng)建ISP域配置用戶使用的AAA方案配置ISP域的狀態(tài)配置可接入用戶數(shù)量的最大值配置計費可選開關(guān)定義本地地址池并為PPP用戶分配IP地址創(chuàng)建本地用戶并配置相關(guān)屬性(僅用于本地認(rèn)證)

創(chuàng)建本地用戶并配置相關(guān)屬性(僅用于本地認(rèn)證)44創(chuàng)建ISP域并配置相關(guān)屬性創(chuàng)建ISP域

操作命令創(chuàng)建ISP域或進入指定ISP域視圖domain{isp-name|default

{disable|enableisp-name}}

刪除指定的ISP域undodomainisp-name

45創(chuàng)建ISP域并配置相關(guān)屬性配置用戶使用AAA方案

操作命令配置域使用的AAA方案scheme{radius-scheme

radius-scheme-name[local]|hwtacacs-scheme

hwtacacs-scheme-name[local]|local|none}恢復(fù)域使用的缺省的AAA方案undoscheme{radius-scheme|hwtacacs-scheme|none}46創(chuàng)建ISP域并配置相關(guān)屬性操作命令配置域使用的認(rèn)證方案authentication{radius-schemeradius-scheme-name[local]|hwtacacs-schemehwtacacs-scheme-name[local]|local|none}恢復(fù)域缺省的認(rèn)證方案undoauthentication配置域使用的授權(quán)方案authorization{hwtacacs-schemehwtacacs-scheme-name|none}恢復(fù)域缺省的授權(quán)方案undoauthorization配置域使用的計費方案accounting{radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name|none}刪除域使用的計費方案undoaccounting47創(chuàng)建ISP域并配置相關(guān)屬性配置ISP域的狀態(tài)

操作命令設(shè)置ISP域的狀態(tài)state{active|block}48創(chuàng)建ISP域并配置相關(guān)屬性配置可接入用戶數(shù)量的最大值

操作命令指定可接入用戶數(shù)的最大值access-limit{disable|enablemax-user-number}恢復(fù)可接入用戶數(shù)到缺省設(shè)置undoaccess-limit

49創(chuàng)建ISP域并配置相關(guān)屬性配置計費可選開關(guān)

操作命令打開計費可選開關(guān)accountingoptional

關(guān)閉計費可選開關(guān)undoaccountingoptional

50創(chuàng)建ISP域并配置相關(guān)屬性定義地址池并為PPP用戶分配IP地址

操作命令定義為PPP用戶分配IP地址的地址池ippoolpool-numberlow-ip-address[high-ip-address]

刪除指定的地址池undoippoolpool-number

51創(chuàng)建本地用戶并配置相關(guān)屬性創(chuàng)建本地用戶 操作命令添加本地用戶local-useruser-name

刪除本地用戶或本地用戶的服務(wù)類型undolocal-useruser-name[service-type]刪除所有本地用戶或指定類型的本地用戶undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]52創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性 操作命令設(shè)置所有本地用戶密碼的顯示方式local-userpassword-display-mode{cipher-force|auto}取消已設(shè)置的本地用戶密碼的顯示方式undolocal-userpassword-display-mode

刪除所有本地用戶或指定類型的本地用戶undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]53創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置用戶的密碼password{simple|cipher}

password

取消用戶的密碼設(shè)置undopassword

設(shè)置用戶的狀態(tài)state{active|block}取消用戶的狀態(tài)undostate{active|block}設(shè)置用戶可以使用的服務(wù)類型service-type{telnet|ssh|terminal}*[level

level]取消用戶可以使用的服務(wù)undoservice-type{telnet|ssh|terminal}54創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置用戶的優(yōu)先級level

level

恢復(fù)缺省的優(yōu)先級undolevel

授權(quán)用戶可以使用DVPN服務(wù)service-typedvpn

取消用戶可以使用DVPN服務(wù)undoservice-typedvpn

授權(quán)FTP用戶可以訪問的目錄service-typeftp[ftp-directory

directory]恢復(fù)對FTP用戶授權(quán)的缺省目錄undoservice-typeftp[ftp-directory]55創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置PPP用戶的回呼及主叫號碼屬性service-typeppp[callback-nocheck|callback-numbercallback-number|call-numbercall-number[:subcall-number]]恢復(fù)PPP用戶回呼及主叫號碼屬性的缺省設(shè)置undoservice-typeppp[callback-nocheck|callback-number|call-number]56AAA基本配置AAA協(xié)議的顯示與調(diào)試 操作命令顯示所有或指定ISP域的配置信息displaydomain[isp-name]顯示用戶連接的相關(guān)信息displayconnection[domainisp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name]

顯示本地用戶的相關(guān)信息displaylocal-user[domain

isp-name|service-type{pad|telnet|ssh|terminal|ftp|ppp}

|state{active|block}|user-name

user-name]57課程內(nèi)容

第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析58RADIUS基本配置RADIUS協(xié)議的配置包括:創(chuàng)建RADIUS方案設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器設(shè)置RADIUS計費服務(wù)器及相關(guān)屬性設(shè)置RADIUS報文的共享密鑰設(shè)置RADIUS請求報文的最大傳送次數(shù)設(shè)置支持的RADIUS服務(wù)器的類型設(shè)置RADIUS服務(wù)器的狀態(tài)設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位配置NAS發(fā)送RADIUS報文使用的源地址配置RADIUS服務(wù)器的定時器使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能

59RADIUS基本配置創(chuàng)建RADIUs方案 操作命令創(chuàng)建RADIUS方案并進入其視圖radiusscheme

radius-scheme-name

刪除RADIUS方案undoradiusscheme

radius-scheme-name

60RADIUS基本配置配置RADIUS授權(quán)/認(rèn)證服務(wù)器 操作命令設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號primaryauthenticaiton

ip-address[port-number]將主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號恢復(fù)為缺省值undoprimary

authentication設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號secondary

authentication

ip-address[port-number]將從RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號恢復(fù)為缺省值undosecondary

authentication

61RADIUS基本配置配置RADIUS計費服務(wù)器 操作命令設(shè)置主RADIUS計費服務(wù)器的IP地址和端口號primaryaccountig

ip-address[port-number]將主RADIUS計費服務(wù)器的IP地址和端口號恢復(fù)為缺省值undoprimaryaccounting

設(shè)置從RADIUS計費服務(wù)器的IP地址和端口號secondary

accounting

ip-address[port-number]將從RADIUS計費服務(wù)器的IP地址和端口號恢復(fù)為缺省值undosecondary

accounting

62RADIUS基本配置使能停止計費報文緩存及重傳功能 操作命令使能停止計費報文緩存功能stop-accounting-bufferenable

關(guān)閉停止計費報文緩存功能undostop-accounting-bufferenable

使能停止計費報文重傳功能,并配置停止計費報文可以傳送的最大次數(shù)retrystop-accountingretry-times

恢復(fù)停止計費報文最大傳送次數(shù)為缺省值undoretrystop-accounting

63RADIUS基本配置設(shè)置允許實時計費請求無響應(yīng)的最大次數(shù) 操作命令設(shè)置允許實時計費請求無響應(yīng)的最大次數(shù)retryrealtime-accountingretry-times

恢復(fù)允許實時計費請求無響應(yīng)的最大次數(shù)為缺省值undoretryrealtime-accounting

64RADIUS基本配置設(shè)置RADIUS報文的共享密鑰 操作命令設(shè)置RADIUS認(rèn)證/授權(quán)報文的共享密鑰key

authentication

string

恢復(fù)RADIUS認(rèn)證/授權(quán)報文共享密鑰為缺省undokey

authentication

設(shè)置RADIUS計費報文的共享密鑰key

accounting

string

恢復(fù)RADIUS計費報文共享密鑰為缺省undokeyaccounting

65RADIUS基本配置設(shè)置RADIUS請求報文的最大傳送次數(shù) 操作命令設(shè)置RADIUS請求報文的最大傳送次數(shù)retry

retry-times

將RADIUS請求報文的最大傳送次數(shù)恢復(fù)為缺省值undoretry

缺省情況下,RADIUS請求報文的最大傳送次數(shù)為3次。66RADIUS基本配置設(shè)備重啟用戶再認(rèn)證功能配置過程 配置步驟命令說明進入系統(tǒng)視圖system-view-進入RADIUS方案視圖radiusschemeradius-scheme-name-啟動設(shè)備重啟用戶再認(rèn)證功能accounting-onenable[sendtimes][intervalinterval]缺省情況下:設(shè)備重啟用戶再認(rèn)證功能處于關(guān)閉狀態(tài);發(fā)送Accounting-On報文的最大次數(shù)(times)為15次、時間間隔(interval)為3秒67RADIUS基本配置設(shè)置支持的RADIUS服務(wù)器的類型 操作命令設(shè)置支持何種類型的RADIUS服務(wù)器server-type{huawei|standard}恢復(fù)RADIUS服務(wù)器類型為缺省設(shè)置undoserver-type

68RADIUS基本配置設(shè)置RADIUS服務(wù)器的狀態(tài) 操作命令設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)state

primary

authentication{block|active}設(shè)置主RADIUS計費服務(wù)器的狀態(tài)state

primary

accounting{block|active}設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)state

secondary

authentication{block|active}設(shè)置從RADIUS計費服務(wù)器的狀態(tài)state

secondaryaccounting{block|active}69RADIUS基本配置設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式 操作命令設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式user-name-format{with-domain|without-domain}70RADIUS基本配置設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流單位 操作命令設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}恢復(fù)發(fā)送到RADIUS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置undodata-flow-format

71RADIUS基本配置配置NAS發(fā)送RADIUS報文使用的源地址 操作命令配置NAS發(fā)送RADIUS報文使用的源地址(RADIUS視圖)nas-ipip-address

取消NAS發(fā)送RADIUS報文使用的源地址(RADIUS視圖)undonas-ip

配置NAS發(fā)送RADIUS報文使用的源地址(系統(tǒng)視圖)radiusnas-ipip-address

取消NAS發(fā)送RADIUS報文使用的源地址(系統(tǒng)視圖)undoradiusnas-ip

72RADIUS基本配置配置RADIUS服務(wù)器應(yīng)答超時定時器 操作命令設(shè)置RADIUS服務(wù)器應(yīng)答超時定時器timerresponse-timeoutseconds

將RADIUS服務(wù)器應(yīng)答超時定時器恢復(fù)為缺省值undotimerresponse-timeout

73RADIUS基本配置配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時間 操作命令配置恢復(fù)激活時間timerquietminutes

恢復(fù)缺省配置undotimerquiet

74RADIUS基本配置配置RADIUS服務(wù)器實時計費時間操作命令設(shè)置實時計費間隔timerrealtime-accounting

minutes

將實時計費間隔恢復(fù)為缺省值undotimerrealtime-accounting

75實時計費時間間隔與用戶量之間的推薦比例關(guān)系 用戶數(shù)實時計費間隔(分鐘)1~993100~4996500~999121000

15RADIUS基本配置-定時器基本配置76RADIUS基本配置使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能 操作命令使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能radiustrap{authentication-server-down|accounting-server-down}關(guān)閉RADIUS服務(wù)器狀態(tài)變?yōu)閐own時發(fā)送trap報文的功能undoradiustrap{authentication-server-down|accounting-server-down}

77RADIUS基本配置配置本地RADIUS認(rèn)證服務(wù)器 操作命令配置本地RADIUS認(rèn)證服務(wù)器local-servernas-ipip-addresskeypassword取消本地RADIUS認(rèn)證服務(wù)器的配置undolocal-servernas-ipip-address78RADIUS基本配置RADIUS協(xié)議的顯示與調(diào)試操作命令顯示所有或指定RADIUS方案的配置信息或統(tǒng)計信息displayradius[radius-server-name|statistics]顯示RADIUS報文的統(tǒng)計信息displayradiusstatistics

顯示緩存的沒有得到響應(yīng)的停止計費請求報文displaystop-accounting-buffer{radius-scheme

radius-server-name|session-id

session-id|time-range

start-time

stop-time|user-name

user-name}79RADIUS基本配置RADIUS協(xié)議的顯示與調(diào)試(續(xù)) 操作命令打開RADIUS報文調(diào)試開關(guān)debuggingradiuspacket

關(guān)閉RADIUS報文調(diào)試開關(guān)undodebuggingradiuspacket

刪除那些緩存的、沒有得到響應(yīng)的停止計費請求報文resetstop-accounting-buffer{radius-scheme

radius-server-name|session-id

session-id|time-range

start-time

stop-time|user-name

user-name}清除RADIUS服務(wù)器的統(tǒng)計信息resetradiusstatistics

80課程內(nèi)容

第一節(jié):AAA介紹第二節(jié):RADIUS協(xié)議介紹第三節(jié):HWTACACS協(xié)議介紹第四節(jié):AAA基本配置第五節(jié):RADIUS基本配置第六節(jié):HWTACACS基本配置第七節(jié):配置舉例及故障分析81HWTACACS基本配置HWTACACS的配置包括:創(chuàng)建HWTACACS方案配置TACACS認(rèn)證服務(wù)器配置TACACS授權(quán)服務(wù)器配置TACACS計費功能配置TACACS服務(wù)器的密鑰配置TACACS服務(wù)器的用戶名格式配置TACACS服務(wù)器的流量單位配置NAS發(fā)送HWTACACS報文使用的源地址配置TACACS服務(wù)器的定時器

82HWTACACS基本配置創(chuàng)建HWTACACS方案 操作命令創(chuàng)建HWTACACS方案,并進入HWTACACS視圖hwtacacsscheme

hwtacacs-scheme-name

刪除HWTACACS方案undohwtacacsschemehwtacacs-scheme-name

83HWTACACS認(rèn)證服務(wù)器基本配置配置HWTACACS認(rèn)證服務(wù)器 操作命令配置TACACS主認(rèn)證服務(wù)器primaryauthentication

ip-address[port]刪除TACACS主認(rèn)證服務(wù)器undoprimaryauthentication

配置TACACS從認(rèn)證服務(wù)器secondaryauthentication

ip-address[port]刪除TACACS從認(rèn)證服務(wù)器undosecondaryauthentication

84HWTACACS授權(quán)服務(wù)器基本配置配置HWTACACS授權(quán)服務(wù)器 操作命令配置TACACS主授權(quán)服務(wù)器primaryauthorizationip-address[port]刪除TACACS主授權(quán)服務(wù)器undoprimaryauthorization

配置TACACS從授權(quán)服務(wù)器secondaryauthorizationip-address[port]刪除TACACS從授權(quán)服務(wù)器undosecondaryauthorization

85HWTACACS計費服務(wù)器基本配置配置HWTACACS計費服務(wù)器 操作命令配置TACACS主計費服務(wù)器primaryaccounting

ip-address[port]刪除配置的TACACS主計費服務(wù)器undoprimaryaccounting

配置TACACS從計費服務(wù)器secondaryaccounting

ip-address[port]刪除配置的TACACS從計費服務(wù)器undosecondaryaccounting

86HWTACACS計費服務(wù)器基本配置使能停止計費報文的重傳功能 操作命令使能停止計費報文重傳,并配置傳送的最大次數(shù)retrystop-accountingretry-times

關(guān)閉停止計費報文重傳功能undoretrystop-accounting

87HWTACACS基本配置配置NAS發(fā)送HWTACACS報文使用的源地址 操作命令配置NAS發(fā)送HWTACACS報文使用的源地址(HWTACACS視圖)nas-ipip-address

取消NAS發(fā)送HWTACACS報文使用的源地址HWTACACS視圖)undonas-ip

配置NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖)hwtacacsnas-ipip-address

取消NAS發(fā)送HWTACACS報文使用的源地址(系統(tǒng)視圖)undohwtacacsnas-ip

88HWTACACS基本配置配置HWTACACS服務(wù)器密鑰 操作命令配置TACACS計費、授權(quán)及認(rèn)證服務(wù)器的密鑰key{accounting|authorization|authentication}string

刪除配置undokey{accounting|authorization|authentication}89HWTACACS基本配置配置HWTACACS服務(wù)器的用戶名格式 操作命令配置用戶名帶域名user-name-format

with-domain

配置用戶名不帶域名user-name-format

without-domain

90HWTACACS基本配置配置HWTACACS服務(wù)器的流量單位 操作命令配置TACACS服務(wù)器的流量單位data-flow-formatdata[byte|giga-byte|kilo-byte|mega-byte]

data-flow-formatpacket[giga-packet|kilo-packet|mega-packet|one-packet]恢復(fù)發(fā)送到TACACS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置undodata-flow-format{data|packet}91HWTACACS服務(wù)器定時器基本配置配置HWTACACS服務(wù)器的應(yīng)答超時時間 操作命令配置應(yīng)答超時時間timerresponse-timeoutseconds

恢復(fù)缺省配置undotimerresponse-timeout

缺省情況下,應(yīng)答超時時間為5秒。92HWTACACS服務(wù)器定時器基本配置配置HWTACACS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時間 操作命令配置恢復(fù)激活時間timerquietminutes

恢復(fù)缺省配置undotimerquiet

93HWTACACS服務(wù)器定時器基本配置配置實時計費時間間隔 操作命令設(shè)置實時計費間隔timerrealtime-accounting

minutes

將實時計費間隔恢復(fù)為缺省值undotimerrealtime-accounting

94HWTACACS服務(wù)器定時器基本配置實時計費時間間隔與用戶量之間的推薦比例關(guān)系 用戶數(shù)實時計費間隔(分鐘)1~993100~4996500~999121000

1595HWTACACS基本配置配置在線用戶主動修改當(dāng)前密碼 操作命令配置在線用戶主動修改當(dāng)前密碼hwtacacschange-passwordself96HWTACACS基本配置HWTACACS協(xié)議的顯示與調(diào)試 操作命令顯示所有或指定HWTACACS方案的配置信息displayhwtacacs[hwtacacs-server-name[statistics]]顯示緩存的沒有得到響應(yīng)的停止計費請求報文displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name

打開HWTACACS協(xié)議調(diào)試開關(guān)debugginghwtacacs{all|error|event|message|receive-packet|send-packet}97HWTACACS基本配置HWTACACS協(xié)議的顯示與調(diào)試(續(xù)) 操作命令關(guān)閉HWTACACS協(xié)議調(diào)試開關(guān)undodebugginghwta

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論