RADIUS方式认证、授权和计费配置
本地方式认证、授权中使用的是在本地设备上存储的用户信息和属性进行认证和授权,仅对于小型网络有效,因为设备上可以存储的用户数是很有限的。所以,通常采用像RADIUS服务器或HWTACACS服务器进行远程认证、授权,并可计费。而RADIUS服务器或HWTACACS服务器的AAA方案更加安全,可以避免设备遭受攻击。
使用RADIUS协议对接入用户进行认证、授权和计费的配置方法,因为RADIUS中的认证和授权是同步进行的,只要使能了其认证功能,也就同时使能了其授权功能。
一、配置AAA方案
在RADIUS方式中要配置采用RADIUS认证、授权和计费方式。配置认证模式为RADIUS认证时还可以配置本地认证或不认证为备份认证。配置备份认证(授权)可以避免单一认证(授权)模式无响应(不包括认证没有通过的情况)而造成的认证失败。同理,配置计费模式为RADIUS计费时还可以配置不计费模式为备份计费。
二、配置RADIUS服务器模板
配置RADIUS服务器模板关键是用来配置与RADIUS服务器进行通信的相关参数,如RADIUS服务器的IP地址和端口号,与RADIUS服务器通信时所使用的共享秘钥等。像RADIUS用户名格式、流量计算单位、RADIUS请求报文的超时重传次数等参数都有缺省配置,用户可以根据实际需要进行修改。RADIUS服务器模板也是要在对应的域的AAA方案中绑定才能得到应用。
RADIUS服务器模板下的配置如RADIUS用户名格式、RADIUS共享秘钥等要与RADIUS服务器的对应配置一致。
三、RADIUS认证、授权和计费配置示例
如上拓扑,用户同处于huawei域,通过SwitchA访问网络。SwitchB作为目的网络(DestinationNetwork)的接入服务器(NAS)。现要在SwitchB上采用以下RADIUS方式的AAA方案控制用户访问目的网络。
(1)为了提高认证的可靠性,SwitchB对接入用户先用RADIUS服务器进行认证,如果认证没有响应,在使用本地认证。
(2)RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。
1、基本配置思路
根据RADIUS配置流程,结合本例具体要求得出以下基本配置思路(均在SwitchB上配置,没有特别的业务方案要求,所以可以无需配置业务方案,直接采用缺省配置即可):
(1)配置AAA方案,包括RADIUS认证方案和计费方案。
(2)配置RADIUS服务器模板。
(3)在huawei域下绑定上面的RADIUS认证、计费方案和RADIUS服务器模板。
2、具体配置步骤
(1)配置RADIUS认证方案和计费方案。以本地认证作为备份认证方式。
[Huawei]AAA
[Huawei-aaa]authentication-scheme auth #--配置认证方案名为auth
[Huawei-aaa-authen-auth]authentication-moderadius local #--配置认证模式为先进行RADIUS认证,RADIUS认证服务器无响应后再进行本地认证。
[Huawei-aaa-authen-auth]quit
[Huawei-aaa]accounting-scheme abc #--配置计费方案abc
[Huawei-aaa-accounting-abc]accounting-moderadius #--配置计费模式为RADIUS计费模式
[Huawei-aaa-accounting-abc]accountingstart-fail online #--配置当开始计费失败时,允许用户上线
[Huawei-aaa-accounting-abc]quit
(2)配置RADIUS服务器模板。
<Huawei>system-view
[Huawei]radius-server template shiva #--配置RADIUS服务器模板shiva
[Huawei-radius-shiva]radius-serverauthentication 129.7.66.66 1812 #--配置RADIUS主用认证服务器的IP地址和端口
[Huawei-radius-shiva]radius-serveraccounting 129.7.66.66 1813 #--配置RADIUS主用计费服务器的IP地址和端口
[Huawei-radius-shiva]radius-serverauthentication129.7.66.67 1812 secondary #--配置RADIUS备用认证服务器的IP地址和端口
[Huawei-radius-shiva]radius-serveraccounting 129.7.66.67 1813 secondary #--配置RADIUS备用计费服务器的IP地址和端口
[Huawei-radius-shiva]radius-servershared-key cipher hello #--配置RADIUS服务器的共享秘钥
[Huawei-radius-shiva]radius-serverretransmit 2 #--配置设备向RADIUS服务器发送请求报文的超时重传次数为2
[Huawei-radius-shiva]quit
(3)配置huawei域,并在域下绑定以上配置的认证方案、计费方案和RADIUS服务器模板。
[Huawei-aaa]domain hauwei
[Huawei-aaa-doamain-hauwei]authentication-schemeauth
[Huawei-aaa-doamain-hauwei]accounting-schemeabc
[Huawei-aaa-doamain-hauwei]radius-servershiva
配置好后在SwitchB上执行displayradius-server configuration template命令查看该RADIUS服务器模板的配置。
HWTACACS方式认证、授权和计费配置
HWTACACS协议与RADIUS协议类似,主要通过C/S模式与HWTACACS服务器通信来实现对接入用户进行认证、授权和计费。与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。采用HWTACACS方式进行认证、授权、计费可以防止非法用户对网络的攻击,HWTACACS还支持对命令进行授权,比RADIUS更适用于进行安全控制。
一、配置AAA方案
采用HWTACACS方式时,需要配置HWTACACS认证、授权和计费模式,同样还可以配置本地认证、授权或不认证、不授权为备份认证或授权模式。配置备份认证可以避免单一认证或授权模式无响应而造成的认证或授权失败。
二、配置HWTACACS服务器模板
与RADIUS服务器模板配置一样,配置HWTACACS服务器模板中的关键步骤也就是指定服务器的IP地址和端口号、HWTACACS共享秘钥。其他的步骤如配置HWTACACS用户名格式、流量单位等都有缺省配置,用户可根据实际需要进行修改。
HWTACACS服务器模板下配置的HWTACACS用户名格式、HWTACACS共享秘钥等要与HWTACACS服务器上的对应配置一致。
三、HWTACACS方式认证、授权和计费配置示例
如上拓扑,要求采用HWTACACS认证、授权和计费方案,HWTACACS主用服务器为129.7.66.66/24,备用服务器为129.7.66.67/24,服务器的认证、授权和计费端口号均为49。具体用户要求如下:
(1)SwitchB对接入用户先用HWTACACS服务器进行认证,如果认证没有响应,再使用本地认证。
(2)接入的用户进行用户等级提升时,要求先使用HWTACACS对其进行认证,如果HWTACACS认证没有响应,再使用本地认证。
(3)SwitchB对接入用户先用HWTACACS服务器进行授权,如果授权没有响应,再使用本地授权。
(4)SwitchB对接入用户采用HWTACACS计费。
(5)对用户进行实时计费,计费间隔为3min。
1、基本配置思路
(1)配置AAA方案,包括HWTACACS认证方案、授权方案和计费方案。
(2)配置HWTACACS服务器模板。
(3)在hauwei域下应用HWTACACS服务器模板、认证方案、授权方案和计费方案。
配置均在SwitchB上进行。
2、具体配置步骤
(1)配置AAA认证方案、授权方案、计费方案。
[Huawei]AAA
[Huawei-aaa]authentication-scheme l-h #--配置认证方案名为l-h
[Huawei-aaa-authen-l-h]authentication-modehwtacacs local #--配置认证模式为先进行HWTACACS认证,HWTACACS认证服务器无响应后再进行本地认证。
[Huawei-aaa-authen-l-h]authentication-superhwtacacs local #--配置用户级别提升认证模式为先进行HWTACACS认证,后进行本地认证。
[Huawei-aaa-authen-l-h]quit
[Huawei-aaa]authorization-scheme hwtacacs#--配置授权方案hwtacacs
[Huawei-aaa-author-hwtacacs]authorization-modehwtacacs local #--配置授权模式为先进行HWTACACS授权,后进行本地授权
[Huawei-aaa-author-hwtacacs]quit
[Huawei-aaa]accounting-scheme hwtacacs #--配置计费方案hwtacacs
[Huawei-aaa-accounting- hwtacacs]accounting-modehwtacacs #--配置计费模式为HWTACACS计费模式
[Huawei-aaa-accounting- hwtacacs]accountingstart-fail online #--配置当开始计费失败时,允许用户上线
[Huawei-aaa-accounting- hwtacacs]accounting realtime 3 #--配置实时计费间隔为3min
[Huawei-aaa-accounting- hwtacacs]quit
(2)配置HWTACACS服务器模板。
[Huawei]hwtacacs-server template ht #--配置RADIUS服务器模板shiva
[Huawei- hwtacacs-ht] hwtacacs-serverauthentication 129.7.66.66 49 #--配置HWTACACS主用认证服务器的IP地址和端口
[Huawei- hwtacacs-ht] hwtacacs-serverauthorization 129.7.66.66 49 #--配置HWTACACS主用授权服务器的IP地址和端口
[Huawei- hwtacacs-ht] hwtacacs-serveraccounting 129.7.66.66 49 #--配置HWTACACS主用计费服务器的IP地址和端口
[Huawei- hwtacacs-ht] hwtacacs-serverauthentication 129.7.66.67 49 secondary#--配置HWTACACS备用认证服务器的IP地址和端口
[Huawei- hwtacacs-ht] hwtacacs-serverauthorization 129.7.66.67 49 secondary#--配置HWTACACS备用授权服务器的IP地址和端口
[Huawei-hwtacacs-ht]hwtacacs-serveraccounting 129.7.66.67 49 secondary #--配置HWTACACS备用计费服务器的IP地址和端口
[Huawei- hwtacacs-ht]hwtacacs-servershared-key cipher hello #--配置HWTACACS服务器的共享秘钥
[Huawei-hwtacacs-ht]quit
(3)配置huawei域,并在域下绑定以上配置的HWTACACS认证方案、计费方案和RADIUS服务器模板。
[Huawei-aaa]domain hauwei
[Huawei-aaa-doamain-hauwei]authentication-schemel-h
[Huawei-aaa-doamain-hauwei]authorization-schemehwtacacs
[Huawei-aaa-doamain-hauwei]accounting-schemehwtacacs
[Huawei-aaa-doamain-hauwei]hwtacacs-server ht
[Huawei-aaa-doamain-hauwei]quit
配置好后,在SwitchB上执行displayhwtacacs-server template查看该服务器模板配置,执行display domain查看该域的配置。
五、AAA认证、授权和计费配置管理
(1)display aaaconfiguration:查看AAA的摘要配置信息。
(2)displaylocal-user:查看本地用户摘要。
(3)displaydomain [name domain-name]:查看所有或指定域的配置信息。
(4)displayauthentication-scheme [authentication-scheme-name]:查看所有或指定认证方案的配置信息。
(5)displayauthorization-scheme [authorization-scheme-name]:查看所有或指定授权方案的配置信息。
(6)displayaccounting-scheme [accounting-scheme-name]:查看计费方案的配置信息。
(7)displayservice-scheme [name name ]:查看业务方案的配置信息。
(8)displayaccess-user [domain domain-name | interface interface-type interface-number[vlan vlan-id [qinq qinq-vlan-id]] | ip-address ip-address [vpn-instancevpn-instance-name] | mac-address mac-address |slot slot-id | open | user-iduser-number]:查看符合对应条件的所有在线用户的摘要信息。
(9)displayradius-server configuration [template template-name] :查看RADIUS服务器模板的配置信息。
(10)displayradius-attribute [template template-name] disable:查看设备所有或指定模板中禁用的RADIUS属性。
(11)displayradius-attribute [template template-name] translate:查看设备所有或指定模板中RADIUS属性转换的配置信息。
(12)displayradius-server accounting-stop-packet {all | i pip-address}:查看所有或指定IP地址的RADIUS服务器的计费停止报文信息。
(13)displayhwtacacs-server template [template-name]:查看设备所有或指定模板中HWTACACS服务器模板的配置信息。
(14)displayhwtacacs-server accounting-stop-packet {all | number | ip ip-address}:查看设备所有或指定IP地址的HWTACACS服务器的计费停止报文信息。
(15)reset aaa{offline-record | abnormal-offline-record | online-fail-record}:清除用户下线、异常下线、上线失败的记录信息。
(16)resethwtacacs-server statistics {all | accounting | Authentication | authorization}:清除HWTACACS的统计信息。
(17)resethwtacacs-server accounting-stop-packet {all | i pip-address}:清除设备所有或指定IP地址的HWTACACS 服务器的计费停止保暖文统计信息。
(18)resetradius-server accounting-stop-packet {all | i pip-address}:清除设备所有或者指定IP地址的RADIUS服务器的计费停止报文统计信息。