所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站
选择区域/语言
Huawei Global - English
搜索
技术支持 文档中心
S2750, S5700, S6700 V200R005(C00&C01&C02&C03) 配置指南-用户接入与认证
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置采用RADIUS方式进行认证、授权和计费

配置采用RADIUS方式进行认证、授权和计费

AAA可以用多种协议来实现,但最常用的是RADIUS协议。

RADIUS方式进行认证、授权和计费

RADIUS(Remote Authentication Dial-In User Service)是一种客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

为了避免设备和RADIUS服务器之间的安全传输风险,建议设备和RADIUS服务器之间的通信网络部署在一个安全域中。

配置流程

配置AAA方案

背景信息

如果需要采用RADIUS方式进行认证、授权和计费,需要在认证方案中配置认证模式为RADIUS认证,在计费方案中配置计费模式为RADIUS计费。

配置认证模式为RADIUS认证时还可以配置本地认证或不认证为备份认证。配置备份认证可以避免单一认证模式无响应而造成的认证失败。

如果使用authentication-mode命令配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

操作步骤

  • 配置认证方案
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令authentication-scheme authentication-scheme-name,创建一个认证方案并进入认证方案视图,或者直接进入一个已经存在的认证方案视图。

      缺省情况下,设备中有一个认证方案,认证方案名称是default,default方案不能删除,只能修改default方案下的参数。

    4. 执行命令authentication-mode radius,配置认证模式为RADIUS认证。

      缺省情况下,认证模式为本地认证。

      如果需要配置本地认证方式为备份认证方式,请执行命令authentication-mode radius local

      如果在一个认证方案中使用多种认证模式,则认证模式的执行顺序为配置的先后顺序。只有在当前认证模式没有响应的情况下,才会采用下一种认证模式;如果在当前认证模式认证失败,则不会跳转到下一个认证模式进行认证。

    5. 执行命令quit,返回AAA视图。
    6. (可选)执行命令domainname-parse-direction { left-to-right | right-to-left },配置用户名和域名解析的方向,从左向右或从右向左。
    7. (可选)执行命令remote-aaa-user authen-fail retry-interval retry-interval retry-time retry-time block-time block-time,使能AAA远端认证失败后账号锁定功能,配置AAA远端认证失败后用户的重试时间间隔、连续认证失败的限制次数及账号锁定时间。

      缺省情况下,AAA远端认证失败后账号锁定功能处于使能状态,AAA远端认证失败后用户的重试时间间隔为30分钟,连续认证失败的限制次数为30次,账号锁定时间为30分钟。

    8. (可选)执行命令remote-user authen-fail unblock { all | username username },将被锁定的AAA远端认证账号解锁。
  • 配置计费方案
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令accounting-scheme accounting-scheme-name创建计费方案,并进入计费方案视图。

      缺省情况下,设备中有一个计费方案,计费方案配置名是default,default方案不能删除,只能修改default方案下的参数。

    4. 执行命令accounting-mode radius,配置计费模式为RADIUS计费。

      缺省情况下,计费模式采用不计费模式none

    5. (可选)执行命令accounting start-fail { online | offline },配置开始计费失败策略。

      缺省情况下,如果初始计费失败,不允许用户上线。

    6. (可选)执行命令accounting realtime interval,使能实时计费并设置计费间隔。

      缺省情况下,设备按时长计费,未使能实时计费功能,没有设置实时计费间隔。

    7. (可选)执行命令accounting interim-fail [ max-times times ] { online | offline },配置允许的实时计费请求最大无响应次数,以及实时计费失败后采取的策略。

      使能实时计费功能后,缺省情况下,允许的实时计费请求最大无响应次数为3次,实时计费失败后保持付费用户在线。

配置RADIUS服务器模板

背景信息

配置RADIUS服务器模板中的关键步骤是指定服务器的IP地址和端口号、RADIUS共享密钥。其他的步骤如配置RADIUS用户名格式、流量单位、RADIUS请求报文的超时重传次数等都有缺省配置,用户可以根据实际需要进行修改。

RADIUS服务器模板下的配置如RADIUS用户名格式、RADIUS共享密钥要与RADIUS服务器上的配置一致。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server template template-name,进入RADIUS服务器模板视图。
  3. (可选)执行命令radius-server algorithm { loading-share | master-backup },配置RADIUS服务器的运算法则。

    缺省情况下,RADIUS服务器采用主备运算法则。

  4. 执行命令radius-server authentication ip-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ip-address } | weight weight-value ] *(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数)或者radius-server authentication ipv6-address port [ source { loopback interface-number | ip-address ipv6-address } | weight weight-value ] *,配置RADIUS认证服务器。

    缺省情况下,未配置RADIUS认证服务器。

  5. 执行命令radius-server accounting ip-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ip-address } | weight weight-value ] *(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数)或者radius-server accounting ipv6-address port [ source { loopback interface-number | ip-address ipv6-address } | weight weight-value ] *,配置RADIUS计费服务器。

    缺省情况下,未配置RADIUS计费服务器。

  6. 执行命令radius-server shared-key cipher key-string,配置RADIUS服务器的共享密钥。

    缺省情况下,RADIUS共享密钥采用密文形式显示用户口令。您可以在《S系列交换机缺省帐号与密码》(企业网运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。

  7. (可选)执行命令radius-server user-name domain-includedradius-server user-name original配置设备向RADIUS服务器发送的报文中用户名包含域名

    缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

    如果RADIUS服务器不接受带域名的用户名,可以执行命令undo radius-server user-name domain-included,设备会将用户名中的域名去掉,再发送给RADIUS服务器。

  8. (可选)执行命令radius-server traffic-unit { byte | kbyte | mbyte | gbyte },配置RADIUS流量单位。

    缺省情况下,设备以字节(byte)作为RADIUS流量单位。

  9. (可选)执行命令radius-server { retransmit retry-times | timeout time-value | dead-time dead-time } *,设置RADIUS请求报文的超时重传次数、超时时间和主用服务器恢复激活状态的时间。

    缺省情况下,RADIUS请求报文的超时重传次数为3,超时时间是5秒,主用服务器恢复激活状态的时间为5分钟。

  10. (可选)执行命令radius-server nas-port-format { new | old },配置RADIUS服务器的NAS端口形式。

    缺省情况下,NAS端口形式采用new的格式。

  11. (可选)执行命令radius-server nas-port-id-format { new | old },配置RADIUS服务器的NAS端口ID形式。

    缺省情况下,采用新的NAS端口ID形式。

  12. (可选)执行命令radius-attribute nas-ip ip-address或者radius-attribute nas-ipv6 ipv6-address,配置设备发送RADIUS报文使用的NAS-IP-Address属性或者NAS-IPv6-Address属性
  13. (可选)执行命令radius-server accounting-stop-packet resend [ resend-times ],配置计费停止报文的重传功能以及可重发的计费停止报文个数。

    缺省情况下,计费停止报文的重发次数为0,即计费停止报文不重发。

  14. (可选)执行命令radius-attribute check attribute-name,对接收的RADIUS认证成功报文内的指定属性进行检查。

    缺省情况下,对接收的RADIUS认证成功报文不做检查。

  15. (可选)执行命令radius-server hw-dhcp-option-format { new | old },配置华为扩展属性HW-DHCP-Option的格式。

    缺省情况下,华为扩展属性HW-DHCP-Option的格式为old。

  16. (可选)执行命令radius-attribute set attribute-name attribute-value,更改RADIUS属性的属性值。
  17. (可选)执行命令calling-station-id mac-format { dot-split | hyphen-split } [ mode1 | mode2 ] [ lowercase | uppercase ]或者执行命令calling-station-id mac-format unformatted [ lowercase | uppercase ],设置RADIUS报文中calling-station-id(Type 31)属性字段中MAC地址的封装格式。

    缺省情况下,calling-station-id属性字段中MAC地址的格式为xxxx-xxxx-xxxx,小写形式。

  18. (可选)配置RADIUS自动探测功能

    1. 执行命令radius-server testuser username username password cipher password,创建RADIUS自动探测用户。

      缺省情况下,设备未配置RADIUS自动探测用户。

    2. 执行命令radius-server detect-server interval interval,配置RADIUS自动探测周期。

      缺省情况下,RADIUS自动探测周期为60秒。

  19. 执行命令quit,返回系统视图。
  20. (可选)执行命令radius-server authorization ip-address [ vpn-instance vpn-instance-name ] { server-group group-name | shared-key cipher key-string } * [ ack-reserved-interval interval ](S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置RADIUS授权服务器。

    缺省情况下,没有配置RADIUS授权服务器。

  21. 执行命令return,返回用户视图。
  22. (可选)执行命令test-aaa user-name user-password radius-template template-name [ chap | pap ],测试某个用户是否能够通过RADIUS认证。

(可选)配置业务方案

背景信息

接入用户需要获取授权信息才能上线,可以通过配置业务方案管理用户的授权信息。

在配置AAA的任务中,业务方案下只需要配置命令admin-user privilege level。其余命令在业务方案被其他特性(比如IPSec特性)调用时才需要配置。

设备切换为NAC传统模式时,业务方案下仅支持配置命令admin-user privilege level

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令service-scheme service-scheme-name,创建一个业务方案并进入业务方案视图。

    缺省情况下,设备中没有创建业务方案。

  4. 执行命令admin-user privilege level level,配置用户可以作为管理员登录设备,同时指定登录时的管理员级别。

    level参数的取值范围是0~15。缺省情况下,未配置用户级别。

  5. (可选)执行命令dns ip-address,配置DNS主用服务器地址。

    缺省情况下,业务方案下没有配置DNS主用服务器。

  6. (可选)执行命令dns ip-address secondary,配置DNS备用服务器地址。

    缺省情况下,业务方案下没有配置DNS备用服务器。

配置域

背景信息

创建的认证方案、计费方案、RADIUS服务器模板,只有在域下应用后才能生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令domain domain-name,创建域并进入域视图,或者直接进入一个已经存在的域视图。

    缺省情况下,设备上存在名为“default”和“default_admin”两个域。可以修改这两个域下的配置,但是不能删除这两个域。

    • 用户认证时,如果输入不带域名的用户名,将到默认域认证,因此设备需通过domain(系统视图) domain-name [ admin ]命令设置domain-name为全局默认域。
    • 用户认证时,如果输入带域名的用户名,需要带上正确的域名domain-name

  4. 执行命令authentication-scheme authentication-scheme-name,配置域的认证方案。

    缺省情况下,域使用配置名为“default”的认证方案。

  5. (可选)执行命令accounting-scheme accounting-scheme-name,配置域的计费方案。

    缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策略为:计费模式为不计费,关闭实时计费开关。

  6. (可选)执行命令user-group group-name,配置对域下的用户下发用户组授权。

    缺省情况下,未配置对域下的用户下发用户组授权。

  7. (可选)执行命令service-scheme service-scheme-name,配置域的业务方案。

    缺省情况下,域下没有配置任何业务方案。

  8. 执行命令radius-server(AAA域视图) template-name,配置域的RADIUS服务器模板

    缺省情况下,域下没有配置RADIUS服务器模板

  9. (可选)执行命令state { active | block [ time-range time-name &<1–4> ] },配置域的状态为阻塞状态。

    当域处于阻塞状态时,属于该域的用户不能登录。缺省情况下,域创建后处于激活状态。

  10. 执行命令quit,退出域视图。
  11. (可选)执行命令domain-name-delimiter delimiter,配置域名分隔符。

    域名分隔符可以是 \ / : < > | @ ' % 中的某一个。

    缺省情况下,域名分隔符为@。

检查配置结果

操作步骤

  • 执行命令display aaa configuration,查看AAA的概要信息。
  • 执行命令display authentication-scheme [ authentication-scheme-name ],查看认证方案的配置信息。
  • 执行命令display accounting-scheme [ accounting-scheme-name ],查看计费方案的配置信息。
  • 执行命令display service-scheme [ name name ],查看业务方案的配置信息。
  • 执行命令display radius-server configuration [ template template-name ],查看RADIUS服务器模板的配置信息。
  • 执行命令display radius-server authorization configuration,查看RADIUS授权服务器的配置信息。
  • 执行命令display radius-attribute [ template template-name ] disable,查看设备禁用的RADIUS属性。
  • 执行命令display radius-attribute [ template template-name ] translate,查看RADIUS属性转换的配置信息。
  • 执行命令display domain [ name domain-name ],查看域的配置信息。
  • 执行命令display radius-server accounting-stop-packet { all | ip { ip-address | ipv6-address } },查看RADIUS服务器的计费停止报文信息。
  • 执行命令display radius-attribute [ template template-name ] check,查看RADIUS认证成功报文内必须检查的属性。
  • 执行命令display remote-user authen-fail [ blocked | username username ],查看认证失败的AAA远端认证账号的信息。
翻译
English
下载文档
更新时间:2022-05-25

文档编号:EDOC1000047403

浏览量:22849

下载量:4291

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页

版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: