所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
RADIUS认证、授权和计费

RADIUS认证、授权和计费

RADIUS概述

AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议。

RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为默认的认证、计费端口。

RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。

RADIUS协议的主要特征如下:

  • 客户端/服务器模式

    • RADIUS客户端:一般位于网络接入服务器NAS(Network Access Server)上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

      设备作为RADIUS协议的客户端,实现以下功能:

      • 支持标准RADIUS协议及扩充属性,包括RFC(Request For Comments)2865、RFC2866。

      • 支持华为RADIUS扩展属性。

      • 对RADIUS服务器状态探测功能。

      • 计费结束报文的本地缓存重传功能。

      • RADIUS服务器主备或负载分担功能。

    • RADIUS服务器:一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS服务器通常要维护三个数据库,如图1-8所示。

      图1-8  RADIUS服务器的组成

      • Users:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
      • Clients:用于存储RADIUS客户端的信息(如共享密钥、IP地址等)。
      • Dictionary:用于存储RADIUS协议中的属性和属性值含义的信息。
  • 安全的消息交互机制

    RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的。共享密钥是一个带外传输的、客户端和服务器都知道的字符串,不需要单独进行网络传输。RADIUS报文中有一个16字节的验证字字段,它包含了对整个报文的数字签名数据,该签名数据是在共享密钥的参与下利用MD5算法计算得出。收到RADIUS报文的一方要验证该签名的正确性,如果报文的签名不正确,则丢弃它。通过这种机制,保证了RADIUS客户端和RADIUS服务器之间信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在RADIUS报文传输过程中还利用共享密钥对用户密码进行了加密。

  • 良好的扩展性

    RADIUS报文是由报文头和一定数目的属性(Attribute)构成,新属性的加入不会破坏协议的原有实现。

RADIUS报文介绍

RADIUS报文格式

RADIUS协议是基于UDP协议的,RADIUS报文格式如图1-9所示。

图1-9  RADIUS报文格式

各字段的解释如下:
  • Code:长度为1个字节,用来说明RADIUS报文的类型。不同RADIUS报文的Code值不相同。例如,Code为1时表示Access-Request报文,Code为2时表示Access-Accept报文。
  • Identifier:长度为1个字节,用来匹配请求报文和响应报文,以及检测在一段时间内重发的请求报文。RADIUS客户端发送请求报文后,RADIUS服务器返回的响应报文中的Identifier值应与请求报文中的Identifier值相同。
  • Length:长度为2个字节,用来指定RADIUS报文的长度。超过Length取值的字节将作为填充字符而忽略。如果接收到的报文的实际长度小于Length的取值,则该报文会被丢弃。
  • Authenticator:长度为16个字节,用来验证RADIUS服务器的响应报文,同时还用于用户密码的加密。
  • Attribute:即RADIUS属性字段,长度不定,为报文的内容主体,用来携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可以包括多个RADIUS属性,每一个RADIUS属性都采用(Type、Length、Value)三元组的结构来表示,具体请参见RADIUS属性

    • 类型(Type),1个字节,取值为1~255,用于表示RADIUS属性的编号。
    • 长度(Length),表示该RADIUS属性(包括类型、长度和属性值)的长度,单位为字节。
    • 属性值(Value),表示该RADIUS属性的信息,其格式和内容由类型和长度决定,最大长度为253字节。
RADIUS报文类型

目前RADIUS定义了十六种报文类型,其中认证报文类型如表1-4所示,计费报文类型如表1-5所示,CoA/DM报文类型如表1-6所示。

表1-4  RADIUS认证报文

报文名称

说明

Access-Request

认证请求报文,是RADIUS报文交互过程中的第一个报文,用来携带用户的认证信息(例如:用户名、密码等)。认证请求报文由RADIUS客户端发送给RADIUS服务器,RADIUS服务器根据该报文中携带的用户信息判断是否允许接入。

Access-Accept

认证接受报文,是RADIUS服务器对RADIUS客户端发送的Access-Request报文的接受响应报文。如果Access-Request报文中的所有属性都可以接受(即认证通过),则发送该类型报文。RADIUS客户端收到此报文后,用户才能认证通过并被赋予相应的权限。

Access-Reject

认证拒绝报文,是RADIUS服务器对RADIUS客户端的Access-Request报文的拒绝响应报文。如果Access-Request报文中的任何一个属性不可接受(即认证失败),则RADIUS服务器返回Access-Reject报文,用户认证失败。

Access-Challenge

认证挑战报文。EAP中继认证时,RADIUS服务器接收到Access-Request报文中携带的用户名信息后,会随机生成一个MD5挑战字,同时将此挑战字通过Access-Challenge报文发送给用户。用户使用该挑战字对用户密码进行加密处理后,将新的用户密码信息通过Access-Request报文发送给RADIUS服务器。RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则该用户为合法用户。

表1-5  RADIUS计费报文

报文名称

说明

Accounting-Request(Start)

计费开始请求报文。如果RADIUS客户端使用RADIUS模式进行计费,RADIUS客户端会在用户开始访问网络资源时,向RADIUS服务器发送计费开始请求报文。

Accounting-Response(Start)

计费开始响应报文。RADIUS服务器接收并成功记录计费开始请求报文后,需要回应一个计费开始响应报文。

Accounting-Request(Interim-update)

实时计费请求报文。为避免RADIUS服务器无法收到计费结束请求报文而继续对该用户计费,可以在RADIUS客户端上配置实时计费功能。RADIUS客户端定时向RADIUS服务器发送实时计费请求报文,减少计费误差。

Accounting-Response(Interim-update)

实时计费响应报文。RADIUS服务器接收并成功记录实时计费请求报文后,需要回应一个实时计费响应报文。

Accounting-Request(Stop)

计费结束请求报文。当用户断开连接时(连接也可以由NAS断开),RADIUS客户端向RADIUS服务器发送计费结束请求报文,其中包括用户上网所使用的网络资源的统计信息(上网时长、进/出的字节数等),请求RADIUS服务器停止计费。

Accounting-Response(Stop)

计费结束响应报文。RADIUS服务器接收计费停止请求报文后,需要回应一个计费停止响应报文。

表1-6  RADIUS CoA/DM报文

报文名称

说明

CoA-Request

动态授权请求报文。当管理员需要更改某个在线用户的权限时(例如,管理员不希望用户访问某个网站),可以通过RADIUS服务器发送一个动态授权请求报文给RADIUS客户端,使RADIUS客户端修改在线用户的权限。

CoA-ACK

动态授权请求接受报文。如果RADIUS客户端成功更改了用户的权限,则RADIUS客户端回应动态授权请求接受报文给RADIUS服务器。

CoA-NAK

动态授权请求拒绝报文。如果RADIUS客户端未成功更改用户的权限,则RADIUS客户端回应动态授权请求拒绝报文给RADIUS服务器。

DM-Request

用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过RADIUS服务器发送一个用户离线请求报文给RADIUS客户端,使RADIUS客户端终结用户的连接。

DM-ACK

用户离线请求接受报文。如果RADIUS客户端已经切断了用户的连接,则RADIUS客户端回应用户离线请求接受报文给RADIUS服务器。

DM-NAK

用户离线请求拒绝报文。如果RADIUS客户端无法切断用户的连接,则RADIUS客户端回应用户离线请求拒绝报文给RADIUS服务器。

RADIUS认证、授权、计费流程

设备作为RADIUS客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如图1-10所示。

图1-10  RADIUS认证、授权和计费的交互流程

  1. 当用户需要访问外部网络时,用户发起连接请求,向RADIUS客户端(即设备)发送用户名和密码。
  2. RADIUS客户端根据获取的用户名和密码,向RADIUS服务器提交认证请求报文。该报文中包含用户名、密码等用户的身份信息。
  3. RADIUS服务器对用户身份的合法性进行检验:

    • 如果用户身份合法,RADIUS服务器向RADIUS客户端返回认证接受报文,允许用户进行下一步动作。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。
    • 如果用户身份不合法,RADIUS服务器向RADIUS客户端返回认证拒绝报文,拒绝用户访问接入网络。
  4. RADIUS客户端通知用户认证是否成功。
  5. RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
  6. RADIUS服务器返回计费开始响应报文,并开始计费。
  7. 用户开始访问网络资源。
  8. (可选)在使能实时计费功能的情况下,RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
  9. (可选)RADIUS服务器返回实时计费响应报文,并实时计费。
  10. 用户发起下线请求,请求停止访问网络资源。
  11. RADIUS客户端向RADIUS服务器提交计费结束请求报文。
  12. RADIUS服务器返回计费结束响应报文,并停止计费。
  13. RADIUS客户端通知用户访问结束,用户结束访问网络资源。

RADIUS报文重传机制

用户认证过程中,设备会发送认证请求报文到RADIUS服务器。为避免由于网络故障、时延等原因导致设备无法收到服务器的回应报文,设备在发送认证请求报文到服务器时具有超时重传超时机制,重传次数和重传间隔通过定时器进行控制。

图1-11所示,以802.1X认证、客户端主动发起认证为例,设备收到包含客户端用户名信息的EAP报文(EAP-Response/Identity)之后,将EAP报文封装在RADIUS认证请求报文(RADIUS Access-Request)中发送给RADIUS服务器进行处理;如果达到重传间隔时间,设备未收到RADIUS服务器发回的回应报文,会再次发送认证请求报文。

满足以下任意一个条件,设备停止重传:
  • 收到RADIUS服务器的回应报文。收到RADIUS服务器的回应报文后,设备会停止重传,此时设备标记RADIUS服务器的状态为Up。
  • 探测到RADIUS服务器的状态为Down。设备将RADIUS服务器的状态置为Down后:
    • 如果达到最大重传次数,则停止重传,RADIUS服务器的状态为Down。
    • 如果还没有达到最大重传次数,设备会再重传一次认证请求报文到RADIUS服务器。相当于给状态为Down的服务器一次机会。如果收到RADIUS服务器的回应报文,停止重传,并将RADIUS服务器的状态恢复为Up;如果未收到RADIUS服务器的回应报文,也停止重传,RADIUS服务器的状态为Down。
  • 达到最大重传次数。达到最大重传次数后,设备会停止重传,此时:
    • 如果收到RADIUS服务器的回应报文,此时设备标记RADIUS服务器的状态为Up。
    • 如果已经探测到RADIUS服务器的状态为Down,设备将服务器的状态置为Down。
    • 如果没收到RADIUS服务器的回应报文也没有探测到服务器的状态为Down,此时,服务器实际上没有响应。需要注意,服务器无响应不等同于Down状态,只有满足置Down的条件,设备才会将服务器标记为Down状态。

RADIUS服务器的状态介绍和置Down的条件请参见RADIUS服务器状态探测

RADIUS报文重传是针对一个服务器而言的,如果RADIUS服务器模板中配置了多个服务器,整体重传时间取决于重传间隔、重传次数、RADIUS服务器的状态、服务器的个数以及选择服务器的算法。

图1-11  RADIUS认证报文重传流程图
定时器由以下命令设置:

命令

说明

radius-server retransmit retry-times

重传次数,默认值为3

radius-server timeout time-value

超时时间间隔,默认值为5秒。

RADIUS服务器选择机制

大型企业网络中通常会部署多台RADIUS服务器,这样做的目的一是为了在一台服务器故障的情况下,不会影响用户接入;二是为了在大量用户接入时,多个服务器之间能够负载均衡,单个服务器的资源不会被耗尽。当RADIUS服务器模板中配置了多个服务器,设备在向服务器发送报文时,通过以下两种机制选择RADIUS服务器:
  • RADIUS服务器主备算法
  • RADIUS服务器负载均衡算法

另外,RADIUS服务器的运算法则可以配置为基于单个用户的也可以配置为基于报文的。如果配置为基于单个用户的运算法则,认证阶段会保存认证服务器的信息,如果认证服务器同时也是计费服务器,则计费阶段优先向该服务器发送计费请求;如果配置为基于报文的运算法则,认证阶段不会保存认证服务器的信息,在计费阶段会重新选择计费服务器,可能存在同一个用户的认证和计费不在同一个服务器上的问题。

RADIUS服务器主备算法

设备在向服务器发送认证或计费报文时,默认使用主备算法选择RADIUS服务器。主备顺序根据配置RADIUS认证服务器或RADIUS计费服务器时的权重决定,权重值较大者为主,如果权重值相同,则先配置的服务器为主。如图1-12所示,在所有状态为Up的服务器中,优先向主服务器发送认证或计费报文,如果主服务器没有回应,则向备服务器发送。

如果设备在发送报文的过程中,所有状态为Up的服务器均没有回应,此后,设备在原先为Down状态的服务器(此前没有向这部分服务器发送认证或计费报文)中,按照权重值,再发送一次报文。如果设备没有收到任何服务器的回应报文,则跳转到备份认证方式,比如本地认证。备份方式需要在认证方案中配置,如果未配置,则本次认证流程结束。

图1-12  RADIUS服务器主备算法示意图
RADIUS服务器负载均衡算法

选择负载均衡算法后,设备在向服务器发送认证或计费报文时,会根据配置RADIUS认证服务器或RADIUS计费服务器时的权重来分配报文发送的服务器。如图1-13所示,RADIUS服务器-1的状态为Up、权重为80,RADIUS服务器-2的状态为Up、权重为20。则设备向RADIUS服务器-1发送报文的概率为80/(80+20)=80%,设备向RADIUS服务器-2发送报文的概率20/(80+20)=20%。

如果设备在发送报文的过程中,所有状态为Up的服务器均没有回应,此后,设备在原先为Down状态的服务器(此前没有向这部分服务器发送认证或计费报文)中,按照权重值,再发送一次报文。如果设备没有收到任何服务器的回应报文,则跳转到备份认证方式,比如本地认证。备份认证方式需要在认证方案中配置,如果未配置,则本次认证或计费流程结束。

图1-13  RADIUS服务器负载均衡算法示意图

RADIUS服务器状态探测

RADIUS服务器的可用性和可维护性是用户接入认证的基本条件,当设备与RADIUS服务器之间无法通信时,RADIUS服务器不能对用户进行认证和授权。为了解决该问题,设备支持在RADIUS服务器Down时的用户逃生功能,即RADIUS服务器Down后,用户无法获取服务器授权时,仍能够具有一定的网络访问权限。

但是,RADIUS服务器Down时的用户逃生功能必须在设备将RADIUS服务器的状态标记为Down后才能启用。如果RADIUS服务器的状态没有标记为Down、设备又不能与RADIUS服务器正常通信,这会导致用户既获取不到服务器授权也不能进行逃生,进而造成用户没有任何网络访问权限。所以,设备必须及时感知到RADIUS服务器的状态,在RADIUS服务器状态为Down时,使用户能够逃生使用户能够获取逃生权限;在RADIUS服务器状态恢复Up后,用户退出逃生权限,进行重认证。

RADIUS服务器的状态

设备将RADIUS服务器的状态分为三种,三种状态的含义及出现的场景如下表所示。

状态

含义

场景

Up RADIUS服务器可用
  • RADIUS服务器的初始状态
  • 设备收到RADIUS服务器的报文
Down RADIUS服务器不可用 满足将RADIUS服务器的状态标记为Down的条件
Force-up(强制Up) 在没有可用的RADIUS服务器时,会选择Force-up状态的服务器 dead-time定时器超时

RADIUS服务器的初始状态被标记为Up。在收到RADIUS认证请求报文、并且满足将RADIUS服务器的状态标记为Down的条件时,RADIUS服务器的状态被切换为Down。触发状态切换的RADIUS认证请求报文可以是用户认证过程中发送的,也可以是管理员构造的,比如执行test-aaa命令时发送的测试报文或者自动探测时发送的探测报文。

以下几种情形下,设备会将RADIUS服务器的状态由Down切换为Up或者Force-up:
  • dead-time定时器超时,将RADIUS服务器的状态由Down切换为Force-up:设备在将RADIUS服务器的状态标记为Down后就会启动dead-time定时器,该定时器定义了Down状态可持续的时长。定时器超时后,设备将服务器的状态标记为Force-up。之后,如果有新用户需要通过RADIUS方式进行认证,在没有可用的RADIUS服务器的情况下,设备会尝试和Force-up状态的服务器重新建立连接。
  • 设备收到RADIUS服务器的报文,将RADIUS服务器的状态由Down切换为Up。例如,配置自动探测后,设备收到RADIUS服务器的响应报文。
将RADIUS服务器的状态标记为Down的条件
图1-14所示,将RADIUS服务器的状态标记为Down的条件如下:
  1. 一个探测周期内,发送认证请求报文后未收到响应报文的次数(n)大于或等于连续无响应的最大次数(dead-count)时,设备记录一次通讯中断。
  2. 如果连续两个探测周期都记录了通讯中断,则设备认为该服务器已不可用、达到了将服务器状态标记为Down的条件。
    说明:
    如果第二个探测周期未记录通讯中断,则清除第一次通讯中断的记录。
  3. 设备再次向服务器发送认证请求报文(第2n+1次)时,将服务器状态标记为Down。
    • 如果设备收到服务器的响应报文,则将服务器状态恢复为Up。
    • 如果设备没有收到服务器的响应报文,在重传次数未达到的情况下,设备会再向该服务器发送一次认证请求报文(第2n+2次),如果仍未收到响应报文,之后设备不会再向该服务器发送认证请求报文。

能否将一个RADIUS服务器的状态标记为Down,与RADIUS请求报文发送的次数、间隔、RADIUS服务器的探测周期和每个探测周期连续无响应最大次数的设置有关系。

说明:
如果RADIUS服务器模板中配置了多个服务器,整体状态探测的时间与服务器的个数以及选择服务器的算法有关。当用户终端使用客户端软件进行认证时,如果终端客户端软件的超时等待时间小于所有整体状态探测时间的总和,可能导致终端客户端软件反复拨号而无法接入网络;另外如果配置了服务器逃生,为了使用户能够正常加入逃生权限,也需要整体状态探测时间的总和小于终端客户端软件的超时等待时间。各个参数的配置建议请参见配置建议
图1-14  将RADIUS服务器的状态标记为Down的逻辑流程图

相关命令请参见下表。

命令

说明

radius-server { dead-interval dead-interval | dead-count dead-count }

在RADIUS服务器状态探测过程中,将RADIUS服务器的状态标记为Down的条件。

  • dead-interval dead-interval:探测周期,默认值为5秒。
  • dead-count dead-count:连续无响应的最大次数,默认值为2次。
自动探测

RADIUS服务器的状态被标记为Down后,通过自动探测功能可以检测RADIUS服务器的可达性。

之后,在持续一段时间(自动探测周期)内,如果设备没有收到用户的认证请求报文,表明该段时间内设备一直没有使用RADIUS服务器,设备上记录的RADIUS服务器状态也不是最新的,此时,设备会向RADIUS服务器发送认证请求报文以验证RADIUS服务器的状态。

开启自动状态探测功能只需在设备的RADIUS服务器模板视图下配置自动探测用户名和密码,在RADIUS服务器上不需要配置此自动探测用户名和密码。认证无需成功,设备能收到认证失败响应报文就能证明RADIUS服务器是正常工作的,就会将RADIUS服务器的状态标记为Up;反之,则证明RADIUS服务器不可用,就会将RADIUS服务器的状态标记为Down。

自动探测相关命令请参见下表。

命令

说明

  • radius-server testuser username user-name password cipher password
  • radius-server detect-server interval interval

自动探测功能:

  • user-name:自动探测用户名。
  • password:自动探测用户密码。
  • interval:自动探测周期,默认为60秒。
将RADIUS服务器标记为Down后的处理

设备将RADIUS服务器的状态标记为Down之后,通过配置逃生功能,使用户能够进入逃生授权。设备探测到RADIUS服务器状态恢复为Up后,通过配置重认证功能,使用户重认证获取RADIUS服务器授权,如图1-15所示。

说明:

RADIUS服务器的状态恢复为Up后,对于802.1X认证用户和MAC认证用户,用户会退出逃生授权并进行重认证;对于Portal认证用户,用户会进入预连接授权,在用户访问网络资源时,才会触发重定向到Portal服务器进行认证。

图1-15  将RADIUS服务器标记为Down后的处理

RADIUS服务器Down时逃生权限的配置命令以及重认证功能相关命令如下表所示。

命令

说明

authentication event authen-server-down action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ]

配置RADIUS服务器Down时的逃生功能。

authentication event authen-server-up action re-authen

配置RADIUS服务器恢复为Up时,设备对逃生状态的用户进行重认证。

配置建议
为了保证用户能正常接入网络或者正常加入逃生权限,要根据服务器的个数、终端软件的超时时间,综合考虑重传间隔、重传次数、探测周期和连续无响应的参数设置。例如,RADIUS服务器响应超时时间在4秒内、802.1X客户端超时时间18秒以上时,服务器主备模式下的推荐配置如下:
  • 1个RADIUS服务器时:
    • 系统视图下:radius-server dead-interval 5radius-server dead-count 1

    • RADIUS服务器模板视图下:radius-server retransmit 3 timeout 5
  • 2个RADIUS服务器时:
    • 系统视图下:radius-server dead-interval 2radius-server dead-count 1

    • RADIUS服务器模板视图下:radius-server retransmit 3 timeout 2
  • 3个RADIUS服务器时:
    • 系统视图下:radius-server dead-interval 1radius-server dead-count 1

    • RADIUS服务器模板视图下:radius-server retransmit 5 timeout 1

RADIUS CoA/DM

设备支持RFC5176定义的RADIUS CoA/DM功能,提供一种动态修改在线用户权限或者强制用户下线的机制。本节介绍的内容包括:
交互流程

CoA(Change of Authorization)是指用户认证成功后,管理员可以通过RADIUS协议来修改在线用户的权限或对其进行重认证。CoA的报文交互流程如图1-16所示。

图1-16  CoA的报文交互流程

  1. RADIUS服务器根据业务信息,向设备发送CoA-Request报文,请求更改用户的授权信息。该报文中可以包括ACL规则等授权。
  2. 设备收到CoA-Request报文后,与设备上的用户信息匹配来识别用户。如果匹配成功,则更改用户的授权信息;如果匹配失败,则保持用户原有授权信息。
  3. 设备回应CoA-ACK/NAK报文。
    • 如果更改成功,则设备向RADIUS服务器回应CoA-ACK报文。
    • 如果更改失败,则设备向RADIUS服务器回应CoA-NAK报文。

DM(Disconnect Message)是指用户下线报文,即由RADIUS服务器主动发起的强制用户下线的报文。DM的报文交互流程如图1-17所示。

图1-17  DM的报文交互流程

  1. 管理员在RADIUS服务器上强制用户下线,RADIUS服务器向设备发送DM-Request报文,请求用户下线。
  2. 设备收到DM-Request报文后,与设备上的用户信息匹配来识别用户。如果匹配成功,则通知用户下线;如果匹配失败,则用户保持在线。
  3. 设备回应DM-ACK/NAK报文。

    • 如果用户成功下线,设备给RADIUS服务器回应DM-ACK报文。
    • 否则,设备给RADIUS服务器回应DM-NAK报文。

与用户上线授权或用户主动下线过程相比,CoA/DM的特点是请求报文是由服务器发送的,回应报文是由设备发送的,成功则回应ACK报文、失败则回应NAK报文。

会话标志
设备接收到RADIUS服务器的CoA-Request报文或者DM-Request报文后,根据报文中的某些RADIUS属性来识别用户。用来识别用户的RADIUS属性包括:
  • RADIUS标准属性:User-Name(1)
  • RADIUS标准属性:Acct-Session-ID(4)
  • RADIUS标准属性:Framed-IP-Address(8)
  • RADIUS标准属性:Calling-Station-Id(31)

匹配的方式包括以下两种:

  • any方式:其中一个属性与设备上的用户信息进行匹配检查。识别用户所用的RADIUS属性优先级为:Acct-Session-ID(4) > Calling-Station-Id(31) > Framed-IP-Address(8)属性。按照优先级在请求报文中查找属性,优先找到哪个属性就用哪个属性与设备上的用户信息进行匹配,匹配成功时,设备回应ACK报文,否则回应NAK报文。
  • all方式:所有的属性与设备上的用户信息进行匹配检查。识别用户所用的RADIUS属性包括:Acct-Session-ID(4)、Calling-Station-Id(31)、Framed-IP-Address(8)和User-Name(1)。请求报文中以上属性都要与设备上的用户信息进行匹配,全部匹配成功时,设备回应ACK报文,否则回应NAK报文。
错误码说明

RADIUS服务器的CoA-Request报文或DM-Request报文与设备上的用户信息匹配失败时,设备会在回应的CoA-NAK报文或DM-NAK报文中通过错误码描述失败的原因。错误码介绍请参见表1-7表1-8

表1-7  CoA-NAK报文中的错误码

名称

数值

说明

RD_DM_ERRCODE_MISSING_ATTRIBUTE 402 请求报文中缺少关键属性,导致RADIUS属性完整性检查失败
RD_DM_ERRCODE_NAS_IDENTIFICATION_MISMATCH 403 一个或多个属性与请求报文中的属性不匹配
RD_DM_ERRCODE_INVALID_REQUEST 404 对请求报文进行属性解析时,解析失败
RD_DM_ERRCODE_INVALID_ATTRIBUTE_VALUE 407 请求报文中包含不支持或不存在的属性,导致属性检查失败。

授权检查的内容包括:VLAN、ACL、CAR、重定向ACL编号以及基于接口的认证用户不支持授权华为RADIUS扩展属性RD_hw_URL_Flag和RD_hw_Portal_URL

可能出现的错误包括:
  • 授权的业务方案不存在
  • 授权的QoS模板不存在或QoS模板中未配置用户队列
  • 授权的上下行优先级超过最大值
  • 授权的UCL组索引值不在规格范围内
  • 解析ISP VLAN和出端口信息错误
  • 重认证属性与其他属性同时授权
RD_DM_ERRCODE_SESSION_CONTEXT_NOT_FOUND 503 会话请求失败。包括:
  • 当前针对请求用户的授权正在处理
  • 申请RADIUS临时表失败
  • 用户信息不匹配或未找到用户
  • 用户非RADIUS认证用户
RD_DM_ERRCODE_RESOURCES_UNAVAILABLE 506 其他授权失败的情况使用该错误码
表1-8  DM-NAK报文中的错误码

名称

数值

说明

RD_DM_ERRCODE_INVALID_REQUEST 404 对请求报文进行属性解析时,解析失败
RD_DM_ERRCODE_SESSION_CONTEXT_NOT_REMOVABLE 504 用户删除失败或用户不存在

RADIUS属性

RADIUS属性即RADIUS报文中的Attribute字段,用来携带专门的认证、授权和计费信息。本节介绍的内容包括:

了解RADIUS属性更多信息,请使用AAA属性查询工具

RADIUS标准属性

协议RFC2865、RFC2866、RFC3576和RFC5176标准规定了RADIUS标准属性,所有主流设备厂商基本上都支持。具体请参见表1-9

表1-9  RADIUS标准属性

属性编号

属性名

属性类型

属性说明

1

User-Name

string

需要进行认证的用户名。可以采用带域名的“纯用户名@域名”格式,也可以采用不带域名的“纯用户名”格式。

2

User-Password

string

需要进行认证的用户密码,仅对PAP(Password Authentication Protocol)认证有效。

3

CHAP-Password

string

需要进行认证的用户密码,仅对CHAP(Challenge Handshake Authentication Protocol)认证有效。

4

NAS-IP-Address

ipaddr

认证请求报文中携带的NAS的IP(Internet Protocol)地址。缺省情况下,属性值为NAS发送认证请求报文的源IP地址。可以通过命令radius-attribute nas-ip { ip-address | ap-info }修改属性值为NAS上指定的IP地址或者AP的IP地址

5

NAS-Port

integer

用户接入的物理端口号,可根据实际需要转换成不同格式:
  • “new”模式:槽位号(8位)+子槽位号(4位)+端口号(8位)+VLAN(Virtual Local Area Network) ID(12位)。
  • “old”模式:槽位号(12位)+端口号(8位)+VLAN ID(12位)。

6

Service-Type

integer

用户申请认证的业务类型:
  • 2(Framed):PPP接入用户。
  • 5(Outbound):Web网管用户。
  • 8(Authenticate Only):只重认证不重授权。
  • 10(Call Check):MAC认证用户和MAC旁路认证用户

7

Framed-Protocol

integer

用户Frame类型业务的封装协议:
  • 对于非管理员用户,Framed-Protocol的值固定为1。
  • 对于管理员用户,Framed-Protocol的值固定为6。

8

Framed-IP-Address

ipaddr

用户的IP地址。

11

Filter-Id

string

UCL组名、用户组名称或者用户的IPv4 ACL(Access Control List)号。

说明:
  • Filter-Id(11)属性如果携带IPv4 ACL号,只能携带3000~3999(有线用户)或3000~3031(无线用户)范围内的IPv4 ACL号。

  • RADIUS报文中只能携带用户组名称、UCL组名或者IPv4 ACL号中的一种,不能同时携带。

12

Framed-Mtu

integer

用户与NAS之间数据链路的MTU值。例如在802.1X的EAP(Extensible Authentication Protocol)方式认证中,NAS通过Framed-Mtu值指示Server发送EAP报文的最大长度,防止EAP报文大于数据链路MTU导致的报文丢失。

14

Login-IP-Host

ipaddr

管理员用户的IP地址:
  • 如果该属性取值为0或0xFFFFFFFF,表示不对管理员用户的IP地址进行检查。
  • 如果该属性取值为其他值,表示需要检查管理员用户的IP地址和通过这个属性下发的地址是否一致。

15

Login-Service

integer

管理员用户可以使用的服务类型:
  • 0:Telnet。
  • 5:X25-PAD。
  • 50:SSH。
  • 51:FTP。
  • 52:Terminal。
说明:

一个属性中可以包含多个服务类型。

18

Reply-Message

string

认证成功或拒绝消息:
  • 当该属性用于认证接受报文时,表示成功消息。
  • 当该属性用于认证拒绝报文时,表示拒绝消息。

19

Callback-Number

string

认证服务器回应的可以显示给用户的信息,例如移动电话号码等。

24

State

string

如果RADIUS服务器发送给设备的认证挑战报文中包含该属性值,则设备在后续的认证请求报文中必须包含相同的值。

25

Class

string

如果RADIUS服务器发送给NAS设备的认证接受报文中包含该属性值,则NAS在后续发送的所有计费请求报文中必须包含相同的值。

26

Vendor-Specific

string

厂商自定义属性,具体请参见表1-10。一个报文中可以有一个或多个私有属性,每个私有属性中可以有一个或多个子属性。

27

Session-Timeout

integer

在认证接受报文中,该属性表示为用户提供服务的剩余时间,单位为秒。

在认证挑战报文中,该属性表示EAP认证用户的重认证时长。

该属性的取值必须大于0。

说明:

该属性只对802.1X认证、MAC认证、Portal认证和PPPoE认证用户生效。

RADIUS服务器只下发该属性时,29号属性Termination-Action的默认值设置为0(强制用户下线)。

28

Idle-Timeout

integer

会话结束之前,允许用户持续空闲的最大时间,即用户的闲置切断时间,以秒为单位。

说明:
  • 该属性对管理员用户和无线用户生效。
  • 该属性可以与命令idle-cut(业务方案视图)配置的流量和方向配合使用。当没有授权业务方案或者业务方案没有配置该命令时,用户在闲置切断时间内无上行流量时,切断用户。
  • V200R012C00及之后版本以秒为单位进行闲置切断、之前版本以分钟为单位进行闲置切断。当对接V200R009C00之前版本的AP设备时,闲置切断时间向上取整分钟,例如60s取1分钟、61-119s取2分钟。

29

Termination-Action

integer

用户的业务终止方式:
  • 0:强制用户下线。
  • 1:重认证。
说明:

该属性只对802.1X认证和MAC认证用户生效。

RADIUS服务器只下发该属性时,27号属性Session-Timeout的默认值设置为3600s(802.1X认证用户)或1800s(MAC认证用户)

30

Called-Station-Id

string

NAS设备的号码信息。
  • 对于有线用户,该属性一般情况下为NAS设备的MAC地址。
  • 对于无线用户,该属性表示AP的MAC地址和SSID。通过命令called-station-id wlan-user-format可以修改属性封装的内容为AC的MAC地址、AC的IP地址、AP的名称、AP所属的AP组名称、用户上线的外层VLAN或AP的布放位置信息,以及是否封装SSID。

31

Calling-Station-Id

string

客户端的号码信息,一般为用户的MAC地址。

32

NAS-Identifier

string

NAS设备标识。缺省情况下,属性值为用户的主机名。可以通过命令radius-server nas-identifier-format { hostname | vlan-id | ap-info }修改属性值为用户的VLAN ID或AP的MAC地址

40

Acct-Status-Type

integer

计费请求报文Accounting-Request的类型:
  • 1:开始计费报文。
  • 2:停止计费报文。
  • 3:实时计费报文。

41

Acct-Delay-Time

integer

用于上报发送该计费报文花费的时间,单位为秒(不包括网络传输时间)。

42

Acct-Input-Octets

integer

对应存储上行流量数据结构的低32位,表示上行流量字节数。与RADIUS属性52(Acct-Input-Gigawords)共同组成上行流量。

流量单位必须和RADIUS服务器保持一致,可以为Byte,KByte,MByte或GByte。可以执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位。缺省情况下,设备以字节(Byte)作为RADIUS流量单位。

说明:

S5720HI、S6720HI和S5730HI支持该属性。

43

Acct-Output-Octets

integer

对应存储下行流量数据结构的低32位,表示下行流量字节数。与RADIUS属性53(Acct-Output-Gigawords)共同组成下行流量。

流量单位必须和RADIUS服务器保持一致,可以为Byte,KByte,MByte或GByte。可以执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位。缺省情况下,设备以字节(Byte)作为RADIUS流量单位。

44

Acct-Session-Id

string

计费ID,同一个连接的开始计费、实时计费和停止计费报文的连接的计费ID必须相同。

计费ID格式为:7位主机名+2位槽号+1位子卡号+2位端口号+4位外层VLAN+5位内层VLAN+6位CPU(Central Processing Unit)Tick+2位用户ID的前缀+5位用户ID。

45

Acct-Authentic

integer

用户的认证模式:
  • 1:RADIUS认证。
  • 2:本地认证。
  • 3:其他远端认证。

46

Acct-Session-Time

integer

用户的在线时长,以秒为单位。

说明:

当用户上线后,如果管理员对设备的系统时间进行了更改,设备计算出的用户在线时长可能存在误差。

47

Acct-Input-Packets

integer

上行报文的数目。

说明:

S5720HI、S6720HI和S5730HI支持该属性。

48

Acct-Output-Packets

integer

下行报文的数目。

49

Acct-Terminate-Cause

string

用户连接中断的原因:
  • User-Request(1):用户主动请求下线。
  • Lost Carrier(2):握手失败或心跳超时,例如ARP探测失败、PPP握手失败等。
  • Lost Service(3):对端设备发起的连接拆除。
  • Idle Timeout(4):闲置切断。
  • Session Timeout(5):时间限制切断或流量限制切断。
  • Admin Reset(6):管理员指令性切断。
  • Admin Reboot(7):管理员重启设备。
  • Port Error(8):端口故障。
  • NAS Error(9):设备发生内部错误。
  • NAS Request(10):设备由于资源变化请求下线。
  • NAS Reboot(11):设备自动重启。
  • Port Unneeded(12):端口不可用。
  • Port Preempted(13):端口被抢占。
  • Port Suspended(14):端口挂起。
  • Service Unavailable(15):业务不可用。
  • Callback(16):NAS结束了当前的会话以进行回呼。
  • User Error(17):用户故障,如用户认证失败或超时等。
  • Host Request(18):主机请求。

52

Acct-Input-Gigawords

integer

对应存储上行流量数据结构的高32位,表示上行的流量字节数是4G(即2^32)字节的多少倍。与RADIUS属性42(Acct-Input-Octets)共同组成上行流量。

流量单位必须和RADIUS服务器保持一致,可以为Byte,KByte,MByte或GByte。可以执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位。缺省情况下,设备以字节(Byte)作为RADIUS流量单位。

说明:

S5720HI、S6720HI和S5730HI支持该属性。

53

Acct-Output-Gigawords

integer

对应存储下行流量数据结构的高32位,表示下行的流量字节数是4G(即2^32)字节的多少倍。与RADIUS属性43(Acct-Output-Octets)共同组成下行流量。

流量单位必须和RADIUS服务器保持一致,可以为Byte,KByte,MByte或GByte。可以执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位。缺省情况下,设备以字节(Byte)作为RADIUS流量单位。

55

Event-Timestamp

integer

生成计费报文的时间,以秒为单位,表示从1970年1月1日0点0分0秒以来的绝对秒数。

60

CHAP-Challenge

string

CHAP认证的质询字段,该质询字段是CHAP认证中由NAS生成的用于MD5(Message Digest algorithm 5)计算的随机序列。

61

NAS-Port-Type

integer

NAS的端口类型,用户可以在设备的接口视图下配置。默认类型是Ethernet(15)。

64

Tunnel-Type

integer

隧道采用的协议类型,目前仅支持取值为13,表示VLAN协议。

65

Tunnel-Medium-Type

integer

隧道承载媒介类型,固定为6,表示以太类型。

79

EAP-Message

string

用于封装EAP报文,实现RADIUS协议对EAP认证方式的支持。EAP报文长度超过253时支持封装成多个属性,一个RADIUS报文可携带多个该字段。

80

Message-Authenticator

string

用于对认证报文进行认证和校验,防止非法报文欺骗。

81

Tunnel-Private-Group-ID

string

隧道私有组标识,目前通过该属性下发用户VLAN。

说明:

支持通过VLAN编号、VLAN描述信息、VLAN名称和VLAN Pool授权,并且授权生效顺序为:VLAN编号 > VLAN描述信息 > VLAN名称 > VLAN Pool

VLAN授权功能生效,对用户认证接入接口的链路类型和接入控制方式有如下要求:
  • 接口链路类型是Untagged的Hybrid类型时,其接入控制方式可以为基于MAC地址或基于接口的。
  • 接口链路类型是Access或Trunk类型时,其接入控制方式只能是基于接口的。

85

Acct-Interim-Interval

integer

用户的实时计费间隔,以秒为单位,建议该值不要小于600秒。支持下发范围60~3932100。

87

NAS-Port-Id

string

用户接入的端口号,包括以下格式:
  • new:

    对于以太接入用户,NAS端口ID形式为:“slot=XX;subslot=XX;port=XXX;VLANID=XXXX;”,其中,Slot取值范围是0~15,Subslot取值范围是0~15,Port取值范围是0~255,VLANID取值范围是1~4094。

    对于ADSL接入用户:NAS端口ID形式为“slot=XX;subslot=X;port=X;VPI=XXX;VCI=XXXXX;”其中,Slot取值范围是0~15,Subslot取值范围是0~9,Port取值范围是0~9,VPI取值范围是0~255,VCI取值范围是0~65535。

  • New client-option82:属性封装Option82选项中的Circuit ID子选项的内容,格式与子选项的格式保持一致。
  • old:

    对于以太接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VLANID(9个字符)。

    对于ADSL接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VPI(8个字符)+VCI(16个字符),字节数不够的,在前面补零。

  • vendor 9:采用CISCO厂商的默认格式封装。

95

NAS-IPv6-Address

ipaddr

NAS设备发送的认证请求报文中携带的设备IPv6地址。NAS-IPv6-Address可以和NAS-IP-Address同时出现在报文中。

96

Framed-Interface-Id

string

用户IPv6接口标识。

97

Framed-IPv6-Prefix

ipaddr

用户IPv6地址前缀。

195

HW-SecurityStr

string

EAP透传认证时用于携带用户的安全信息。

华为RADIUS扩展属性

RADIUS协议具有良好的可扩展性,协议(RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。华为公司的RADIUS扩展属性请参见表1-10

说明:

RADIUS扩展属性中包含各个设备厂商的厂商代号Vendor-ID,华为公司的Vendor-ID是2011。

表1-10  华为RADIUS扩展属性

属性编号

属性名

属性类型

属性说明

26-1

HW-Input-Peak-Information-Rate

integer

用户接入到NAS的报文峰值信息速率(Peak Information Rate),即最大能够通过的速率。整数形式,4字节,单位为bit/s。HW-Input-Peak-Information-Rate必须大于等于HW-Input-Committed-Information-Rate,缺省值等于HW-Input-Committed-Information-Rate。

26-2

HW-Input-Committed-Information-Rate

integer

用户接入到NAS的报文承诺信息速率(Committed Information Rate),即保证能够通过的平均速率。整数形式,4字节,单位为bit/s。

说明:

对用户接入到NAS的报文进行限速时,必须指定该属性。

26-3

HW-Input-Committed-Burst-Size

integer

用户接入到NAS的报文承诺突发尺寸(Committed Burst Size),即瞬间能够通过的承诺突发流量。整数形式,4字节,单位为bit。

26-4

HW-Output-Peak-Information-Rate

integer

从NAS到用户的报文峰值信息速率。整数形式,4字节,单位为bit/s。HW-Output-Peak-Information-Rate必须大于等于HW-Output-Committed-Information-Rate,缺省值等于HW-Output-Committed-Information-Rate。

26-5

HW-Output-Committed-Information-Rate

integer

从NAS到用户的报文承诺信息速率。整数形式,4字节,单位为bit/s。

说明:

对NAS到用户的报文进行限速时,必须指定该属性。

26-6

HW-Output-Committed-Burst-Size

integer

从NAS到用户的报文承诺突发尺寸。整数形式,4字节,单位为bit。

26-15

HW-Remanent-Volume

integer

剩余流量。单位为KB。

26-17

HW-Subscriber-QoS-Profile

string

QoS模板名称。

说明:

RADIUS服务器仅支持对通过S5720HI上线的有线用户授权该属性。

通过远端授权方式向接入设备授权本属性值时,接入设备上必须已使用命令user-queue(QoS模板视图)在QoS模板中创建用户队列实现HQoS调度。

26-18

HW-UserName-Access-Limit

integer

根据用户名进行接入数限制,表示限制一个用户名接入的用户个数。0表示不允许接入,0xFFFFFFFF(4294967295)表示不进行限制,1表示一个用户名允许接入1个用户,依次类推。
说明:
仅Access-Accept报文支持携带该属性。

26-26

HW-Connect-ID

integer

用户连接的索引。

26-28

HW-FTP-Directory

string

FTP用户的初始目录。

26-29

HW-Exec-Privilege

integer

管理用户(例如Telnet用户)的优先级,有效值范围0~15。授权大于等于16的为无效值。

26-31

HW-Qos-Data

string

QoS模板名,最大长度为31字节。RADIUS服务器通过该字段下发QoS模板用于配置流量监管,QoS模板必须在设备上已存在,并已通过命令car(QoS模板视图)配置流量监管。

说明:

S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该属性。

26-33

HW-VoiceVlan

integer

语音VLAN授权标记,数值为1表示授权的VLAN为Voice VLAN。与VLAN授权属性配合使用。

26-35

HW-ProxyRdsPkt

integer

RADIUS服务器是否为代理服务器:
  • 如果服务器认证接受回应报文中携带该属性并且值为1,则该服务器为代理服务器。
  • 如果服务器认证接受回应报文中携带该属性并且值为0,则该服务器不是代理服务器。

26-59

HW-NAS-Startup-Time-Stamp

integer

NAS设备启动时间,从1970年1月1日0点0分0秒时开始计算(以秒为单位)。

26-60

HW-IP-Host-Address

string

认证和计费报文中携带的用户IP地址和MAC地址,格式为“A.B.C.D hh:hh:hh:hh:hh:hh”,IP地址和MAC地址之间必须用空格分开。

如果在认证时用户的IP地址尚未有效,则A.B.C.D设置为255.255.255.255。

26-61

HW-Up-Priority

integer

用户上行报文的802.1p优先级。

说明:

S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该属性。

26-62

HW-Down-Priority

integer

用户下行报文的802.1p优先级。

说明:

S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该属性。

26-75

HW-Primary-WINS

ipaddr

用户认证成功后,RADIUS下发的主WINS服务器地址。

26-76

HW-Second-WINS

ipaddr

用户认证成功后,RADIUS下发的备WINS服务器地址。

26-77

HW-Input-Peak-Burst-Size

integer

上行峰值尺寸,以bit/s为单位。

说明:

S5720HI、S6720HI和S5730HI支持该属性。

26-78

HW-Output-Peak-Burst-Size

integer

下行峰值尺寸,以bit/s为单位。

26-82

HW-Data-Filter

string

RADIUS服务器通过该属性将ACL规则下发给用户。属性格式分为新旧两种,新格式与旧格式相比缩短了ACL格式的长度。

说明:

一个RADIUS报文中可以携带多个26–82号属性,当前每个属性中仅支持携带一条ACL规则。

新属性格式(中括号内的字段表示可选项)

属性格式为:$number permit/deny [ protocol ] [ direction ip-address [ port ] ]

其中各字段的含义如下:
  • $:每条ACL规则的起始符。
  • number:ACL规则编号的后三位,取值为0到999。ACL规则编号前两位固定为10,例如取值为12时,对应ACL规则编号10012。
  • permit/deny:ACL动作,permit表示允许访问,deny表示拒绝访问。
  • protocol:协议类型,取值为tcp或者udp。
  • direction:IP地址类型,取值为dst或者src。其中,dst表示目的IP地址,src表示源IP地址。
  • ip-address:IP地址,取值为any或者x.x.x.x/xx。其中,x.x.x.x表示点分十进制格式的IP地址,xx表示十进制的掩码,中间通过“/”连接。
  • port:端口号,当前仅支持单个端口。
例如:
  • $1 permit dst 10.0.239.192/26
  • $2 permit udp src any 8080
  • $5 deny

旧属性格式

属性格式为:acl number key1 key-value1... keyN key-valueN permit/deny

其中各字段的含义如下:
  • acl:关键字,表示下发的是ACL规则。
  • number:表示ACL规则编号,取值范围是10000到10999。
  • keyM key-valueM(1≤M≤N):ACL语句关键字及其取值,可以为:
    • dest-ip ip-address:目的IP地址,取值为点分十进制格式。当目的IP地址为0.0.0.0时,该参数不需要配置。
    • dest-ipmask mask:目的IP掩码,NAC用户仅支持整数形式,取值范围是1~32,VM用户仅支持点分十进制格式。当IP掩码为0时,该参数不需要配置。
    • tcp-srcport port:源TCP端口号,取值范围是0~65535。
    • tcp-dstport port:目的TCP端口,取值范围是0~65535。
    • udp-srcport port:源UDP端口号,取值范围是0~65535。
    • udp-dstport port:目的UDP端口号,取值范围是0~65535。
  • permit/deny:ACL动作,permit表示允许访问,deny表示拒绝访问。
说明:

推荐使用标准RADIUS属性Filter-Id下发ACL。

最多支持对单个用户下发64条ACL规则。但是如果下发的ACL规则过多,会影响用户上线数量和上线速率,建议不要对单个用户下发超过16条ACL规则。

采用直接转发方式时,无线用户不支持通过该属性下发ACL规则,可通过11号RADIUS标准属性下发ACL规则。

所有关键字不区分大小写;所有关键字和(或)关键值之间用空格隔开;关键字位置顺序可以不固定;permit、deny二个关键字可位于number后或语句最后。

例如:
  • acl 10005 deny
  • acl 10006 tcp-dstport 5080 permit
  • acl 10007 dest-ip 10.11.11.2 dest-ipmask 32 permit
  • acl 10008 dest-ip 10.11.11.3 dest-ipmask 32 udp-dstport 5070 permit

26-135

HW-Client-Primary-DNS

ipaddr

用户认证成功后,RADIUS下发的主DNS服务器地址。

26-136

HW-Client-Secondary-DNS

ipaddr

用户认证成功后,RADIUS下发的备DNS服务器地址。

26-138

HW-Domain-Name

string

用户实际所属域的域名。不一定是用户名中的域名,可能是强制域的域名。

26-141

HW-AP-Information

string

无线用户认证时携带的AP的MAC,格式为H-H-H,其中H为4位的十六进制数

说明:

S5720HI、S6720HI和S5730HI支持该属性。

26-142

HW-User-Information

string

RADIUS服务器为EAPoL(Extensible Authentication Protocol over LAN)用户下发的用户安全检查控制信息,通知用户需要进行哪些安全检查。

26-146

HW-Service-Scheme

string

业务方案的名称。业务方案下通常配置用户的授权信息和策略。

26-153

HW-Access-Type

integer

设备发送给RADIUS服务器的认证请求和计费请求报文中携带的用户接入类型。包括:
  • 1:Dot1x用户。
  • 2:MAC认证用户和MAC旁路认证用户。
  • 3:Portal认证用户。
  • 4:静态用户。
  • 6:管理用户。
  • 7:PPP用户。

26-155

HW-URL-Flag

integer

是否需要用户强推URL,比如和属性HW-Portal-URL结合使用。其中:
  • 0:不需要。
  • 1:需要。

26-156

HW-Portal-URL

string

用户强推URL(Uniform Resource Locator)。

如果RADIUS服务器下发的信息匹配了设备配置的URL模板,则使用URL模板下配置的URL,否则,按RADIUS服务器下发的字符串进行推送。

26-157

HW-Terminal-Type

string

用户使用的终端的类型。

26-158

HW-DHCP-Option

string

DHCP Option信息,按TLV(Type-Length-Value )格式封装,一个报文中可以有多个该属性分别携带不同的Option信息。

仅支持下发Option82信息。

26-160

HW-UCL-Group

integer

UCL组索引。

说明:

S1720GF、S1720GFR-P、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该属性。

26-161

HW-Forwarding-VLAN

string

通过该属性下发用户报文转发的ISP(Internet Service Provider) VLAN。

说明:

S5720HI、S6720HI和S5730HI支持该属性。

26-162

HW-Forwarding-Interface

string

通过该属性下发用户报文转发的出接口。

说明:

S5720HI、S6720HI和S5730HI支持该属性。

26-163

HW-LLDP

string

LLDP信息。一个报文中可以有多个该属性分别携带不同的Option。

26-173

HW-Redirect-ACL

string

重定向ACL,只对匹配ACL规则的用户做重定向,可下发acl-numberacl-name。其中,acl-name必须以字符开始。

说明:

acl-number的取值范围是3000~3999(有线用户)或3000~3031(无线用户)

26-201

HW-User-Extend-Info

string

用户扩展信息。认证请求报文和计费请求报文中携带该信息,可携带多个。目前定义如下:

  • User-Position:上网服务场所编码。
  • User-Position-Type:上网服务场所类型。
  • AP-Device-Code:AP设备编号。
  • AP-POS-X:移动AP经度。
  • AP-POS-Y:移动AP纬度。
  • Wifi-Density:场强信息。
  • TERMINAL-POS-X:移动终端相对AP的X坐标,以米为单位。
  • TERMINAL-POS-Y:移动终端相对AP的Y坐标,以米为单位。
  • HW-Access-Time:用户接入时间,以秒为单位,表示从1970年1月1日零点零分零秒以来的绝对秒数。

仅MAC认证和Portal认证支持该属性。

26-237 HW-Web-Authen-Info

string

Portal服务器发给RADIUS服务器的信息,设备直接透传该信息给RADIUS服务器。比如用户选择的下次登录免认证选项和时间信息,RADIUS服务器根据此信息将用户MAC保存一定的时间,下次用户登录时优选MAC认证,无需再次弹出登录页面。后续可用于EAP等复杂方式的透传认证。

26-238 HW-Ext-Specific

string

用户扩展属性:
  • user-dscp-in:用户上行报文的DSCP值,取值范围为0~63。
  • user-dscp-out:用户下行报文的DSCP值,取值范围为0~63。
  • user-command:取值为1,表示对用户进行重认证;取值为2,表示闪断被授权用户所在的端口;取值为3,表示关闭被授权用户所在的端口。
说明:

当user-command取值为1、2或3时,不支持其他授权属性。

不支持对直接转发模式下的无线用户授权user-dscp-in和user-dscp-out。

26-239 HW-User-Access-Info

string

用户Description模板信息。
26-240 HW-Access-Device-Info

string

策略联动时,在认证和计费请求报文中携带接入交换机的IP地址、MAC地址、端口号等,格式为“ip=A.B.C.D;mac=XXXX-XXXX-XXXX;slot=XX;subslot=XXX;port=XXX;vlanid=XXXX”。

26-244

HW-Reachable-Detect

string

服务器可达性探测信息,认证报文可携带该属性,表示该报文为服务器探测报文。

26-247

HW-Tariff-Input-Octets

string

设备通过计费报文向服务器发送的指定费率级别流量的上行字节数,单位可以为Byte,KByte,MByte或GByte。格式为“费率级别上行字节数;”,计费报文中最多支持携带8个费率级别的流量。

26-248

HW-Tariff-Output-Octets

string

设备通过计费报文向服务器发送的指定费率级别流量的下行字节数,单位可以为Byte,KByte,MByte或GByte。格式为“费率级别下行字节数;”,计费报文中最多支持携带8个费率级别的流量。

26-249

HW-Tariff-Input-Gigawords

string

指定费率级别流量的上行字节数是4G的多少倍,与HW-Tariff-Input-Octets属性共同决定指定费率级别流量的上行字节数。

26-250

HW-Tariff-Output-Gigawords

string

指定费率级别流量的下行字节数是4G的多少倍,与HW-Tariff-Output-Octets属性共同决定指定费率级别流量的上行字节数。

26-253

HW-Framed-IPv6-Address

ipaddr

用户的IPv6地址。

26-254

HW-Version

string

设备的软件版本号。

26-255

HW-Product-ID

string

NAS的产品名称。

华为支持的友商RADIUS扩展属性

华为设备支持微软、思科、DSL论坛的部分RADIUS扩展属性,具体参见表1-11

表1-11  华为支持的友商RADIUS扩展属性
属性编号 属性名 属性类型 属性说明
MICROSOFT-16 MS-MPPE-Send-Key

string

MPPE发送密钥。
MICROSOFT-17 MS-MPPE-Recv-Key

string

MPPE接收密钥。
CISCO-1 Cisco-avpair

string

Voice VLAN。
DSLFORUM-1 Agent-Circuit-Id

string

上线用户对应到接入设备的线路ID。
DSLFORUM-2 Agent-Remote-Id

string

上线用户的与线路关联的唯一标识。
RADIUS属性在报文中的支持情况
不同的RADIUS报文对于RADIUS属性的支持情况也不相同。RADIUS属性在报文中的支持情况包括:
  • RADIUS认证报文中属性的支持情况,如表1-12所示。
  • RADIUS计费报文中属性的支持情况,如表1-13所示。
  • RADIUS授权报文中属性的支持情况,如表1-14所示。
说明:
  • 1:表示该属性在该类型报文中一定出现一次;
  • 0:表示该属性在该类型报文中一定不能出现(即使出现也不起任何作用,该属性将被丢弃);
  • 0-1:表示该属性在该类型报文中可能出现一次,也可能不出现;
  • 0+:表示零个或多个该属性可能出现在该类型报文中。
表1-12  RADIUS认证报文中属性的支持情况

属性

Access-Request

Access-Accept

Access-Reject

Access-Challenge

User-Name(1)

1

0-1

0

0

User-Password(2)

0-1

0

0

0

CHAP-Password(3)

0-1

0

0

0

NAS-IP-Address(4)

1

0

0

0

NAS-Port(5)

1

0

0

0

Service-Type(6)

1

0-1

0

0

Framed-Protocol(7)

1

0-1

0

0

Framed-IP-Address(8)

0-1

0-1

0

0

Filter-Id(11)

0

0-1

0

0

Framed-Mtu(12)

0-1

0

0

0

Login-IP-Host(14)

0-1

0-1

0

0

Login-Service(15)

0

0-1

0

0

Reply-Message(18)

0

0-1

0-1

0-1

Callback-Number(19)

0

0-1

0

0

State(24)

0-1

0-1

0

0-1

Class(25)

0

0-1

0

0

Session-Timeout(27)

0

0-1

0-1

0-1

Idle-Timeout(28)

0

0-1

0

0

Termination-Action(29)

0

0-1

0

0-1

Called-Station-Id(30)

0-1

0

0

0

Calling-Station-Id(31)

1

0-1

0

0

NAS-Identifier(32)

1

0

0

0

Acct-Session-id(44)

1

0

0

0

CHAP-Challenge(60)

0-1

0

0

0

NAS-Port-Type(61)

1

0

0

0

Tunnel-Type(64)

0

0-1

0

0

Tunnel-Medium-Type(65)

0

0-1

0

0

EAP-Message(79)

0-1

0-1

0-1

0-1

Message-Authenticator(80)

0-1

0-1

0-1

0-1

Tunnel-Private-Group-ID(81)

0

0-1

0-1

0

Acct-Interim-Interval(85)

0

0-1

0

0

NAS-Port-Id(87)

0-1

0

0

0

NAS-IPv6-Address(95)

0-1

0

0

0

Framed-Interface-Id(96)

0+

0

0

0

Framed-IPv6-Prefix(97)

0+

0

0

0

HW-SecurityStr(195)

0-1

0

0

0

HW-Input-Peak-Information-Rate(26-1)

0

0-1

0

0

HW-Input-Committed-Information-Rate(26-2)

0

0-1

0

0

HW-Input-Committed-Burst-Size(26-3)

0

0-1

0

0

HW-Output-Peak-Information-Rate(26-4)

0

0-1

0

0

HW-Output-Committed-Information-Rate(26-5)

0

0-1

0

0

HW-Output-Committed-Burst-Size(26-6)

0

0-1

0

0

HW-Remanent-Volume(26-15)

0

0-1

0

0

HW-Subscriber-QoS-Profile(26-17)

0

0-1

0

0

HW-UserName-Access-Limit(26-18) 0

0-1

0 0

HW-Connect-ID(26-26)

1

0

0

0

Ftp-directory(26-28)

0

0-1

0

0

HW-Exec-Privilege(26-29)

0

0-1

0

0

HW-Qos-Data(26-31)

0

0-1

0

0

HW-VoiceVlan(26-33)

0

0-1

0

0

HW-ProxyRdsPkt(26-35)

0

0-1

0

0

HW-NAS-Startup-Time-Stamp(26-59)

1

0

0

0

HW-IP-Host-Address(26-60)

1

0

0

0

HW-Up-Priority(26-61)

0

0-1

0

0

HW-Down-Priority(26-62)

0

0-1

0

0

HW-Primary-WINS(26-75)

0

0-1

0

0

HW-Second-WINS(26-76)

0

0-1

0

0

HW-Input-Peak-Burst-Size(26-77)

0

0-1

0

0

HW-Output-Peak-Burst-Size(26-78)

0

0-1

0

0

HW-Data-Filter(26-82)

0

0-1

0-1

0

HW-Client-Primary-DNS(26-135)

0

0-1

0

0

HW-Client-Secondary-DNS(26-136)

0

0-1

0

0

HW-Domain-Name(26-138)

1

0

0

0

HW-AP-Information(26-141)

1

0

0

0

HW-User-Information(26-142)

0

0-1

0

0

HW-Service-Scheme(26-146)

0

0-1

0

0

HW-Access-Type(26-153)

1

0-1

0

0

HW-URL-Flag(26-155)

0

0-1

0

0

HW-Portal-URL(26-156)

0

0-1

0

0

HW-Terminal-Type(26-157)

0-1

0

0

0

HW-DHCP-Option(26-158)

0+

0

0

0

HW-UCL-Group(26-160)

0

0-1

0

0

HW-Forwarding-VLAN(26-161)

0

0-1

0

0

HW-Forwarding-Interface(26-162)

0

0-1

0

0

HW-LLDP(26-163)

0-1

0

0

0

HW-Redirect-ACL(26-173)

0

0-1

0

0

HW-User-Extend-Info(26-201)

0-1

0

0

0

HW-Web-Authen-Info(26-237)

1

0

0

0

HW-Ext-Specific(26-238)

0

1

0

0

HW-User-Access-Info(26-239)

1

0

0

0

HW-Access-Device-Info(26-240)

0-1

0

0

0

HW-Reachable-Detect(26-244)

0

0

0

0

HW-Framed-IPv6-Address(26-253)

0-1

0

0

0

HW-Version(26-254)

1

0

0

0

HW-Product-ID(26-255)

1

0

0

0

MS-MPPE-Send-Key(MICROSOFT-16)

0

0-1

0

0

MS-MPPE-Recv-Key(MICROSOFT-17)

0

0-1

0

0

Cisco-avpair(CISCO-1)

0

0-1

0

0

Agent-Circuit-Id(DSLFORUM-1)

0-1

0

0

0

Agent-Remote-Id(DSLFORUM-2)

0-1

0

0

0

表1-13  RADIUS计费报文中属性的支持情况

属性

Accounting-Request

(Start)

Accounting-Request

(Interim-Update)

Accounting-Request

(Stop)

Accounting-Response

(start)

Accounting-Response(Interim-Update)

Accounting-Response

(Stop)

User-Name(1)

1

1

1

0

0

0

NAS-IP-Address(4)

1

1

1

0

0

0

NAS-Port(5)

1

1

1

0

0

0

Service-Type(6)

1

1

1

0

0

0

Framed-Protocol(7)

1

1

1

0

0

0

Framed-IP-Address(8)

1

1

1

0

0

0

Class(25)

0-1

0-1

0-1

0

0

0

Session-Timeout(27)

0

0

0

0-1

0-1

0

Called-Station-Id(30)

说明:
对于PPP接入认证用户,该属性非必带属性。如果认证请求报文中没有携带该属性,计费请求报文中也不会携带该属性。

1

1

1

0

0

0

Calling-Station-Id(31)

1

1

1

0

0

0

NAS-Identifier(32)

1

1

1

0

0

0

Acct-Status-Type(40)

1

1

1

0

0

0

Acct-Delay-Time(41)

0-1

1

1

0

0

0

Acct-Input-Octets(42)

0-1

0-1

0-1

0

0

0

Acct-Session-Id(44)

1

1

1

0

0

0

Acct-Authentic(45)

1

1

1

0

0

0

Acct-Session-Time(46)

0

1

1

0

0

0

Acct-Input-Packets(47)

0-1

0-1

0-1

0

0

0

Acct-Output-Packets(48)

0-1

0-1

0-1

0

0

0

Acct-Terminate-Cause(49)

0

0

1

0

0

0

Acct-Input-Gigawords(52)

0-1

0-1

0-1

0

0

0

Acct-Output-Gigawords(53)

0-1

0-1

0-1

0

0

0

Event-Timestamp(55)

1

1

1

0

0

0

NAS-Port-Type(61)

1

1

1

0

0

0

NAS-Port-Id(87)

1

1

1

0

0

0

NAS-IPv6-Address(95)

0-1

0-1

0-1

0

0

0

HW-Input-Committed-Information-Rate(26-2)

1

1

1

0

0

0

HW-Output-Committed-Information-Rate(26-5)

1

1

1

0

0

0

HW-Connect-ID(26-26)

1

1

1

0

0

0

HW-IP-Host-Address(26-60)

1

1

1

0

0

0

HW-Domain-Name(26-138)

1

1

1

0

0

0

HW-AP-Information(26-141)

0-1

0-1

0-1

0

0

0

HW-User-Information(26-142)

0

0

0

0-1

0-1

0

HW-Access-Type(26-153)

0-1

0-1

0-1

0

0

0

HW-Terminal-Type(26-157)

0-1

0-1

0-1

0

0

0

HW-DHCP-Option(26-158)

0+

0+

0+

0

0

0

HW-HTTP-UA(26-159)

0-1

0-1

0-1

0

0

0

HW-LLDP(26-163)

0-1

0-1

0-1

0

0

0

HW-User-Extend-Info(26-201)

0-1

0-1

0-1

0

0

0

HW-Access-Device-Info(26-240)

0-1

0-1

0-1

0

0

0

HW-Reachable-Detect(26-244)

0

0

0

0

0

0

HW-Tariff-Input-Octets(26-247)

0

0-1

0-1

0

0

0

HW-Tariff-Output-Octets(26-248)

0

0-1

0-1

0

0

0

HW-Tariff-Input-Gigawords(26-249)

0

0-1

0-1

0

0

0

HW-Tariff-Output-Gigawords(26-250)

0

0-1

0-1

0

0

0

HW-Framed-IPv6-Address(26-253)

0-1

0-1

0-1

0

0

0

MS-MPPE-Send-Key(MICROSOFT-16)

0

0

0

0

0

0

MS-MPPE-Recv-Key(MICROSOFT-17) 0 0 0 0 0 0
Cisco-avpair(CISCO-1) 0 0 0 0 0 0
Agent-Circuit-Id(DSLFORUM-1) 0-1 0-1 0-1 0 0 0
Agent-Remote-Id(DSLFORUM-2) 0-1 0-1 0-1 0 0 0
表1-14  RADIUS动态授权报文(CoA/DM)中属性的支持情况

属性号

CoA REQUEST

CoA ACK

CoA NAK

DM REQUEST

DM ACK

DM NAK

User-Name(1)

0-1

0-1

0-1

0-1

0-1

0-1

NAS-IP-Address(4)

0-1

0-1

0-1

0-1

0-1

0-1

NAS-Port(5)

0-1

0

0

0-1

0

0

Framed-IP-Address(8)

0-1

0-1

0-1

0-1

0-1

0-1

Filter-Id(11)

0-1

0

0

0

0

0

Session-Timeout(27)

0-1

0

0

0

0

0

Idle-Timeout(28)

0-1

0

0

0

0

0

Termination-Action(29)

0-1

0

0

0

0

0

Calling-Station-Id(31)

0-1

0-1

0-1

0-1

0-1

0-1

NAS-Identifier(32)

0

0-1

0-1

0

0

0

Acct-Session-Id(44)

1

1

1

1

1

1

Tunnel-Type(64)

0-1

0

0

0

0

0

Tunnel-Medium-Type(65)

0-1

0

0

0

0

0

Tunnel-Private-Group-ID(81)

0-1

0

0

0

0

0

Acct-Interim-Interval(85)

0-1

0

0

0

0

0

NAS-Port-Id(87)

0-1

0

0

0-1

0

0

HW-Input-Peak-Information-Rate(26-1)

0-1

0

0

0

0

0

HW-Input-Committed-Information-Rate(26-2)

0-1

0

0

0

0

0

HW-Output-Peak-Information-Rate(26-4)

0-1

0

0

0

0

0

HW-Output-Committed-Information-Rate(26-5)

0-1

0

0

0

0

0

HW-Output-Committed-Burst-Size(26-6)

0-1

0

0

0

0

0

HW-Subscriber-QoS-Profile(26-17)

0-1

0

0

0

0

0

HW-Qos-Data(26-31)

0-1

0

0

0

0

0

HW-Up-Priority(26-61)

0-1

0

0

0

0

0

HW-Down-Priority(26-62)

0-1

0

0

0

0

0

HW-Input-Peak-Burst-Size(26-77)

0-1

0

0

0

0

0

HW-Output-Peak-Burst-Size(26-78)

0-1

0

0

0

0

0

HW-Data-Filter(26-82)

0-1

0

0

0

0

0

HW-Service-Scheme(26-146)

0-1

0

0

0

0

0

HW-URL-Flag(26-155)

0-1

0

0

0

0

0

HW-Portal-URL(26-156)

0-1

0

0

0

0

0

HW-UCL-Group (26-160)

0-1

0

0

0

0

0

HW-Forwarding-VLAN(26-161)

0-1

0

0

0

0

0

HW-Forwarding-Interface(26-162)

0-1

0

0

0

0

0

HW-Redirect-ACL(26-173)

0-1

0

0

0

0

0

HW-Ext-Specific(26-238)

1

0

0

0

0

0

MS-MPPE-Send-Key(MICROSOFT-16) 0 0 0 0 0 0
MS-MPPE-Recv-Key(MICROSOFT-17) 0 0 0 0 0 0
Cisco-avpair(CISCO-1) 0-1 0 0 0 0 0
Agent-Circuit-Id(DSLFORUM-1) 0-1 0 0 0 0 0
Agent-Remote-Id(DSLFORUM-2) 0-1 0 0 0 0 0

RADIUS属性禁用和转换功能

不同厂商支持的RADIUS属性集不同,再加上各个厂商都有自己的私有属性,这就造成不同厂商间的RADIUS属性存在不兼容问题,进一步导致设备无法解析收到的RADIUS属性或者对端RADIUS服务器无法解析设备发送的RADIUS属性。鉴于以上问题,在对接替换场景中经常使用RADIUS属性禁用功能和RADIUS属性转换功能。

RADIUS属性禁用功能

RADIUS服务器上定义的RADIUS属性与设备上相比,可能存在属性编号相同、名称相同、但封装的格式或内容不同的情形。如果RADIUS服务器下发上述属性到设备,会造成设备解析失败;如果设备发送上述属性到RADIUS服务器,也会造成RADIUS服务器解析失败。此时,可以通过属性禁用功能禁用该属性,之后,设备接收到RADIUS服务器下发的该属性时,不会解析该属性;设备在发送RADIUS报文到服务器时,也不会封装该属性。

当前,设备支持禁用华为支持的RADIUS属性(即属性名称和编号华为支持),支持禁用发送的或者接收的RADIUS属性。

RADIUS属性转换功能

属性转换主要是为了兼容不同厂商RADIUS属性定义的差别。例如,华为设备通过私有属性Exec-Privilege(26-29)下发管理员用户的优先级,但某个厂商的接入设备和RADIUS服务器通过属性Login-service(15)下发管理员用户的优先级。在共用一台RADIUS服务器的情况下,用户希望华为设备能够兼容属性Login-service(15)。这种情况在华为设备上配置RADIUS属性转换,源属性为Login-service(15),目的属性为Exec-Privilege (26-29),当设备收到RADIUS认证回应报文解析到属性Login-Service(15)时,会自动当成Exec-Privilege (26-29)属性来处理。

设备支持对发送的或者接收的RADIUS属性进行转换,依据RADIUS属性三元组组成结构(Type、Length和Value):
  • 对于发送方向,如果把属性A转换成属性B,那么设备在发送报文时,属性Type是B,但属性Value是按照属性A的内容与格式封装的;
  • 对于接收方向,如果把属性A转换成属性B,那么设备在收到包含属性A的报文时,会把属性A的Value按照属性B的方式来解析,即配置了属性转换后,相当于收到的不是属性A,而是属性B。

设备支持在华为支持的RADIUS属性和不支持的RADIUS属性间进行转换,转换方式如表1-15所示。

说明:

其他厂家RADIUS属性Type字段长度为1个字节时,设备才支持对其进行转换。

表1-15  RADIUS属性转换方式
源RADIUS属性华为是否支持 目的RADIUS属性华为是否支持 支持转换的方向 对应的配置命令(RADIUS服务器模板视图)
支持 支持 发送、接收

radius-attribute translate src-attribute-name dest-attribute-name { receive | send | access-accept | access-request | account-request | account-response } *

支持 不支持 发送

radius-attribute translate extend src-attribute-name vendor-specific dest-vendor-id dest-sub-id { access-request | account-request } *

不支持 支持 接收

radius-attribute translate extend vendor-specific src-vendor-id src-sub-id dest-attribute-name { access-accept | account-response } *

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29466

下载量:1201

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页