所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置AAA方案

配置AAA方案

通过配置AAA方案,可以确定对用户进行的认证、授权和计费方式。

(可选)使能RADIUS协议功能

打开应用层联动模块中RADIUS的协议开关,用户发送的认证、授权和计费请求报文将被转发。关闭RADIUS协议功能时,用户发送的认证、授权和计费请求报文将被丢弃。

背景信息

请在路由器上进行如下配置:

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius enable,使能RADIUS协议功能。

  3. 执行命令commit,提交配置。

配置认证方案

配置认证方式后,应该在认证服务器上配置相关用户信息,否则用户不能通过认证。

背景信息

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令authentication-scheme scheme-name,创建认证方案。

    NE40E中固定有三个认证方案default、default0、default1,不能删除,只能修改。

  4. 执行命令authentication-mode {radius | local } *[ none ]authentication-mode noneauthentication-mode radius-proxy,配置认证模式。

    • 若认证模式选择radius,采用RADIUS认证时,还需配置RADIUS认证服务器,具体请参见配置RADIUS认证/计费服务器
    • 若认证模式选择local,采用本地认证时,还需执行命令local-user user-name password { cipher cipher-password | irreversible-cipher irreversible-password,创建本地用户。
    • 若认证模式选择radius-proxy,采用RADIUS代理认证时,还需配置RADIUS代理认证,具体请参见配置RADIUS代理认证功能

  5. (可选)执行命令authening authen-fail { offline | online authen-domain domain-name },用户配置认证失败后的处理策略。

    认证失败后的处理策略是指当用户认证失败后,NE40E对用户的处理策略。

  6. (可选)执行命令authening quota-out-redirect-enable,配置用户上线过程中,用户配额为0重定向到指定域的功能。
  7. (可选)执行命令authening authen-redirect online authen-domain domain-name,配置重定向域。

    配置重定向域可使认证成功和实际认证不成功的用户最终分别从不同的域上线。

    实际应用中,通过在重定向域中配置私网IP地址池、基于用户ACL的访问权限、安全域等,使得对于用户的公/私网地址分配、访问权限、是否做NAT等功能都可以按照用户域进行差异化配置和隔离,从而可节省公网IP地址资源,并防止非法攻击占用大量公网IP地址资源。

  8. (可选)执行命令mac-authentication enable,在AAA域视图下配置MAC认证功能使能。

    说明:

    MAC认证功能主要用于简化WEB认证过程。若使能了MAC认证功能,在WEB认证过程中,WEB认证用户只需在第一次认证时输入用户名和密码,同时RADIUS服务器会记录下用户的MAC地址,当用户再需要WEB认证时,RADIUS服务器便可以根据其MAC信息进行认证,而不需要用户再次输入用户名和密码。

    在现网应用中,此命令常与认证失败重定向命令authening authen-fail online authen-domain domain-name配合使用,即用户MAC认证失败后,会进入认证失败重定向域,用户可以从该域通过用户名、密码进行WEB认证进入认证域并正常访问网络资源。

(可选)配置通过命令重授权

背景信息

在需要修改在线用户的用户组,而相应的动态授权服务器Down导致不能及时修改的情况下,可通过命令行的方式修改。

说明:

组网规划中,一般是通过ACL来控制用户的权限,而用户的ACL是以用户组为基础配置的;所以通过修改用户所属用户组,达到修改用户权限的目的。例如:用户组1通过ACL配置只允许访问内网,用户组2通过ACL配置允许访问内网和外网。用户A上线时,属于用户组1,只能访问内网,如果需要把用户A的权限提高为可以同时访问外网,则通过命令行修改用户A所属用户组为用户组2,就可以达到这个目的,也就是对用户A进行了重授权。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令reauthorize enable,配置使能通过命令行动态重授权功能。
  3. 执行命令reauthorize username username user-group user-group-name,配置为指定用户名的用户配置重授权用户组。

(可选)配置用户授权失败策略

背景信息

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令user-qos cir-zero { cir-value | unlimited },配置当RADIUS服务器下发的CIR(committed information rate/承诺信息速率)和PIR(peak information rate/峰值流量速率)都为0的情况下,用户CAR(committed access rate/承诺接入速率)的实际值。
  4. 执行命令quit,退回至系统视图。
  5. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  6. 执行命令radius-attribute qos-profile no-exist-policy { online | offline },配置RADIUS服务器下发qos-profile属性在设备上不存在时对用户是否在线的策略。
  7. 执行命令radius-attribute policy-name no-exist-policy { online | offline },设置用户上线过程中,RADIUS服务器通过HUAWEI-95号属性下发的策略名称不存在时用户的在线策略。

配置计费方案

配置计费方案是对用户计费的前提。

背景信息

用户完成认证授权之后,就已经上线成功,从访问业务开始就要进行计费。对用户进行计费可以根据用户上线的时长、用户流量或者是混合时长和流量进行计费。用户的计费过程包括NE40E对用户的上网时长和上下行流量信息进行统计,然后把这些统计信息按照RADIUS协议规定的格式发送到RADIUS服务器,服务器向NE40E返回计费是否成功的信息。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令realtime-accounting backup enable,配置使能主备板间实时计费备份功能。

    缺省情况下,主备板间实时计费备份功能不使能,设备的主备板倒换后,实时计费定时器的超时时间重新累计。

    当RADIUS服务器对实时计费报文的发送间隔要求比较严格时配置此命令。配置realtime-accounting backup enable命令后,主备板会同时启动实时计费的计时,这样即使在实时计费的间隔期间发生了主备倒换,设备能够严格按照设置的时间间隔来发送实时计费报文。

  4. 执行命令accounting-scheme scheme-name,创建计费方案。

    NE40E中固定有两个计费方案default0、default1,不能删除,只能修改。
    • default0计费方案的计费模式缺省为不计费。
    • default1和自定义的计费方案的计费模式缺省为RADIUS计费。

  5. 执行命令accounting-mode { hwtacacs | none | radius },配置计费模式。

    NE40E支持的计费模式包括RADIUS计费、HWTACACS计费和不计费。

    说明:

    普通的BRAS用户不支持HWTACACS计费,只有管理用户支持。

  6. (可选)执行命令accounting interim interval interval [ second ] [ traffic ] [ hash ],配置实时计费间隔以及实时计费报文上报条件、对实时计费报文做散列处理

    实时计费功能是指用户在线过程中,NE40E定时生成计费报文传送给远端服务器。通过实时计费功能,NE40E可以在其和远端服务器通信中断时,最大程度的减少计费异常的时间。

    实时计费间隔时间单位可配置为分钟或秒。

  7. (可选)执行命令accounting start-fail { offline | online [ keep-accounting ] },配置开始计费失败的处理策略。

    开始计费失败策略是指NE40E向远端计费服务器发送开始计费报文后,收不到对方响应报文时采取的处理策略,包括保持用户在线和强制用户下线。

    缺省情况下,开始计费失败后,NE40E使用户下线。

  8. (可选)执行命令accounting interim-fail [ max-times times ] { offline | online },配置实时计费失败的处理策略。

    实时计费失败策略是指NE40E向远端计费服务器发送的实时计费报文超过重传次数后,仍然收不到对方响应报文时的处理策略,包括保持用户在线和强制用户下线。

    当采用RADIUS/HWTACACS计费时,建议配置实时计费报文重传次数大于RADIUS/HWTACACS报文失败重传次数。

  9. (可选)执行命令accounting send-update,设置实时计费用户在收到开始计费回应之后立即发送实时计费报文功能。

    NE40E在收到计费服务器计费回应报文后可根据配置决定是否立即发送实时计费报文。

  10. (可选)配置延迟发送用户的开始计费报文。
    1. 执行命令quit,返回AAA视图。
    2. 执行命令domain domain-name,进入域视图。
    3. 执行命令accounting-start-delay delay-time offline,配置延迟发送用户的开始计费报文。

      双栈用户接入可能会分配多个地址,缺省情况下用户获取第一个地址成功后会发送一个开始计费报文,以后每获取一个地址都会发送一个实时计费报文,如果不想发送多个计费报文,等所有地址都分配成功后再统一发送一个开始计费报文,则可以配置此命令延迟发送开始计费报文。

      说明:

      此命令仅适用于PPP类型用户。

配置域的AAA方案

配置域的AAA方案实现对域用户认证、授权和计费方案配置。

背景信息

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令domain domain-name,进入域视图。

    说明:

    用户的认证、授权、计费都需要在域下执行。

  4. 执行命令authentication-scheme scheme-name,指定域的认证方案。

    缺省情况下,自定义的域使用default1认证方案,default0域使用default0认证方案,default1域使用default1认证方案,default_admin域使用default认证方案。缺省的认证方案使用命令display authentication-scheme可以查看到详细信息。

  5. 执行命令accounting-scheme scheme-name,指定域的计费方案。

    缺省情况下,自定义的域使用default1计费方案,default0域使用default0计费方案,default1域使用default1计费方案,default_admin域使用default0计费方案。

  6. (可选)执行命令accounting dual-stack { separate | identical },配置双栈用户的计费方式。

    当用户计费方式指定为分开计费,则IPv4和IPv6的流量会分别上送;当用户计费方式指定为统一计费,则将流量汇总后统一处理。

    缺省情况下,计费方式为分开计费。

  7. 执行命令authorization-scheme scheme-name,指定域的授权方案。

检查配置结果

AAA方案配置完成后,可以查看认证、授权、计费和记录方案的配置信息,以及用户在线的基本信息。

前提条件

已经完成AAA方案的所有配置。

操作步骤

  • 执行display aaa configuration命令查看AAA的概要信息。
  • 执行display accounting-scheme [ accounting-scheme-name ]命令查看计费方案的配置情况。
  • 执行display authentication-scheme [ authentication-scheme-name ]命令查看认证方案的配置情况。
  • 执行display authorization-scheme [ authorization-scheme-name ]命令查看授权方案的配置情况。
  • 执行display recording-scheme [ recording-scheme-name ]命令查看记录方案的配置情况。

任务示例

执行display aaa configuration命令,查看AAA的概要信息。

<HUAWEI> display aaa configuration
  -----------------------------------------------------------------------------------------------------
  AAA configuration information :
  -----------------------------------------------------------------------------------------------------
  Parse Priority                            : Domain first
  Domain Name Delimiter                     : @ 
  Domainname parse direction                : Left to right
  Domainname location                       : After-delimiter
  Realm name delimiter                      : -
  Realmname parse direction                 : Left to right
  Realmname location                        : Before-delimiter
  Domain                                    : total: 1024  used: 9     
  Authentication-scheme                     : total: 32    used: 3    
  Authorization-scheme                      : total: 32    used: 1    
  Accounting-scheme                         : total: 256   used: 2    
  Recording-scheme                          : total: 128   used: 0    
  AAA-access-user                           : total: 279552 used: 3    
  Access-user-state                         : authen: 0    author: 0    accounting: 3   
  Transition-step                           : -
  Min-Delay-time                            : -
  Max-Delay-time                            : -
  Access speed                              : -
  Offline speed                             : 256(/s)
  Account-session-id-version                : Version1
  Remote-download configuration             : 
    Remote user-group                       : disable
    Remote user-group check interval        : 10
    Remote acl                              : disable
  User no-family user-max-session           : 0
  Access-trigger lease original             : disable   

  BGP over PPPoE                            : disable   
  BGP over LNS                              : disable
  Said check-rule rule1(increase)           : 10000
  Said diag-rule(increase,reduce,rate)      : 10000,1000,30
  Said recover interval                     : 0
  Said check-rule user-number(reduce-ratio) : 50
  Said check-rule flow-speed(reduce-ratio)  : 50
  -----------------------------------------------------------------------------------------------------

执行display authentication-scheme命令,查看认证方案的配置信息。

<HUAWEI> display authentication-scheme scheme0
  ---------------------------------------------------------------------------
  Authentication-scheme-name   : scheme0
  Authentication-method        : RADIUS authentication
  Authentication-fail-policy    : Cut user
  Authentication-fail-domain    : -
  Authentication-redirect-domain: -
  ---------------------------------------------------------------------------

执行display authorization-scheme命令查看授权方案的配置信息。

<HUAWEI> display authorization-scheme scheme0
---------------------------------------------------------------------------
 Authorization-scheme-name   : scheme0
 Authorization-method         : Local authorization
 Authorization-cmd level 0   : disabled
 Authorization-cmd level 1   : disabled
 Authorization-cmd level 2   : enabled  ( Hwtacacs  )
 Authorization-cmd level 3   : disabled
 Authorization-cmd level 4   : disabled
 Authorization-cmd level 5   : disabled
 Authorization-cmd level 6   : disabled
 Authorization-cmd level 7   : disabled
 Authorization-cmd level 8   : disabled
 Authorization-cmd level 9   : disabled
 Authorization-cmd level 10   : disabled
 Authorization-cmd level 11   : disabled
 Authorization-cmd level 12   : disabled
 Authorization-cmd level 13   : disabled
 Authorization-cmd level 14   : disabled
 Authorization-cmd level 15   : disabled
 Authorization-cmd no-response-policy    : Online
---------------------------------------------------------------------------

执行display accounting-scheme命令查看计费方案的配置信息。

<HUAWEI> display accounting-scheme scheme0
  ---------------------------------------------------------------------------
  Accounting-scheme-name                : scheme0
  Accounting-method                     : RADIUS accounting
  Realtime-accounting-switch            : Open
  Realtime-accounting-interval(min)     : 5
  Start-accounting-fail-policy          : Cut user
  Realtime-accounting-fail-policy       : Cut user
  Realtime-accounting-failure-retries   : 3
  Realtime-accounting-hash              : Yes

---------------------------------------------------------------------------

执行display recording-scheme命令,查看记录方案的配置信息。

<HUAWEI> display recording-scheme scheme0
---------------------------------------------------------------------------
  Recording-scheme-name       : scheme0
  HWTACACAS-template-name     : template0
---------------------------------------------------------------------------
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16552

下载量:209

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页