AAA方案
认证方案
认证方案用来定义用户认证时使用的认证方法以及每种认证方法生效的顺序。认证方案应用到域,与域下的授权方案、计费方案、服务器模板等配置结合,实现对用户进行认证、授权和计费。
设备支持的认证方法
- RADIUS认证:将用户信息配置在RADIUS服务器上,通过RADIUS服务器对用户进行认证。
- HWTACACS认证:将用户信息配置在HWTACACS服务器上,通过HWTACACS服务器对用户进行认证。
- 本地认证:设备作为认证服务器,将用户信息配置在设备上。本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。
- 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方式。
认证方法的生效顺序
认证方案中可以指定一种或者多种认证方法:按照配置顺序,NAS设备首先选择第一种认证方法,当前面的认证方法无响应时,后面的认证方法才会被启用;直到某种认证方法有响应或者所有的认证方法遍历完成后均无响应(均无响应时用户认证失败)时,用户身份认证过程将被停止。
仅前一种方法无响应时,NAS设备才尝试使用下一个认证方法。如果某种认证方法回应认证失败,则意味着AAA服务器拒绝用户接入,用户身份认证过程将被停止,并且不会尝试后面的认证方法。
授权方案
授权方案用来定义用户授权时使用的授权方法以及每种授权方法生效的顺序。授权方案应用到域,与域下的认证方案、计费方案、服务器模板等配置结合,实现对用户进行认证、授权和计费。
设备支持的授权方法
- HWTACACS授权:由HWTACACS服务器对用户进行授权。
- 本地授权:设备作为授权服务器,根据设备上配置的用户信息进行授权。
- 不授权:不对用户进行授权。
- if-authenticated授权:用户认证通过,则授权通过,否则授权不通过。适用于用户必须认证且认证过程与授权过程可分离的场景。
RADIUS认证与授权结合,不能分离,认证成功授权也成功。采用RADIUS认证时,不需要配置授权方案。
除此之外,对于管理员用户(即Login用户),通常使用“认证+权限级别”的方法控制用户访问设备,提高对设备操作的安全性。其中,认证用来限制对网络设备的访问;权限级别定义用户登录到网络设备后可以执行的命令。该方法的详细介绍请参见《S2720, S5700, S6700 V200R019C10 配置指南(命令行)-基础配置》中的“通过CLI登录设备配置”。
授权方法的生效顺序
授权方案中可以指定一种或者多种授权方法。指定多种授权方法时,配置顺序决定了每种授权方法生效的顺序,配置在前的授权方法优先生效。当前面的授权方法无响应时,后面的授权方法才会启用。如果前面的授权方法回应授权失败,表示AAA服务器拒绝为用户提供服务。此时,授权结束,后面的授权方法不会被启用。
授权信息
- 授权方法为本地授权时,用户从域下获取授权信息。
- 授权方法为服务器授权时,用户从服务器和域下获取授权信息。域下配置的授权信息比服务器下发的授权信息优先级低,如果两者的授权信息冲突,则服务器下发的授权优先生效;如果两者的授权信息不冲突,则两者的授权信息同时生效。这样处理可以通过域管理进行灵活授权,而不必受限于服务器提供的授权。
服务器常用的授权信息请参见表1-3。域下支持配置的授权信息请参见表1-4。
授权信息 |
说明 |
|---|---|
ACL编号 |
服务器下发ACL编号,NAS设备需要配置该ACL编号对应的规则。 |
ACL规则 |
服务器直接下发ACL规则,用户能够访问ACL所包括的网络资源。NAS设备上不需要配置对应的ACL。 |
VLAN |
服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,NAS设备在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。 授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。 |
用户组/UCL组 |
服务器向NAS设备下发用户组名、UCL组名或者UCL组ID,NAS设备上需要配置对应的组及组内的网络资源。 |
CAR |
服务器下发授权,控制用户接入到NAS设备或者NAS设备到用户的平均速率(CIR)、峰值速率(PIR)、承诺突发尺寸(CBS)和峰值突发尺寸(PBS)。 |
管理员用户级别 |
服务器下发管理用户(例如Telnet用户)的优先级,有效值范围0~15。授权大于等于16的为无效值。 |
业务方案 |
服务器下发业务方案名称,NAS设备上需要配置对应的业务方案及其下的网络授权和策略。 |
闲置切断 |
服务器下发闲置切断时间,用户上线后,如果连续无操作或者流量低于某个设置值的时长超过该时间,则断开用户连接。 |
重认证、强制用户下线 |
服务器下发为用户提供服务的剩余时长,时间到达后,根据服务器下发的动作对用户重认证或者强制用户下线。 |
授权参数 |
说明 |
|---|---|
VLAN |
部署简单,维护成本也较低,由于其控制粒度在VLAN层面,适用于在同一办公室或同一部门所有人员权限相同的场景。 本地授权时,仅需在NAS设备上配置VLAN及VLAN内的网络资源。 不支持为在线Portal用户授权VLAN。对于MAC优先的Portal认证,Portal认证成功后,V1版本的Agile Controller-Campus授权session timeout属性让用户立刻下线,然后再通过MAC认证上线授权VLAN。 用户获取VLAN授权后,需要手动触发DHCP申请IP地址。 |
业务方案 |
业务方案及业务方案所包括的网络资源需要在NAS设备上配置。 |
用户组(传统模式) |
用户组指具有相同角色、相同权限等属性的一组用户(终端)的集合。例如,园区网中可以根据企业部门结构划分研发组、财务组、市场组、访客组等部门用户组,对于不同部门可授予不同安全策略。 用户组及用户组内的网络资源需要在NAS设备上配置。 |
UCL组(统一模式) |
UCL组是一种用户类别的标记。借助UCL组管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略即能满足该类别所有用户的网络访问需求。 UCL组及UCL组内的网络资源需要在NAS设备上配置。 |
计费方案
计费方案用来定义用户计费时使用的计费方法。计费方案应用到域,与域下的认证方案、授权方案、服务器模板等配置结合,实现对用户进行认证、授权和计费。
设备支持的计费方法
- RADIUS计费:由RADIUS服务器对用户进行计费。
- HWTACACS计费:由HWTACACS服务器对用户进行计费。
- 不计费:不对用户计费。
计费方法的生效顺序
计费方案中只能指定一种计费方法。
从RADIUS报文介绍中的RADIUS计费报文可以看出,计费报文分为计费请求报文(Accounting-Request)和计费响应报文(Accounting-Response)。设备每发送一个计费请求报文,如果收到服务器回应的计费响应报文则代表计费成功;如果没有收到服务器回应的计费响应报文则代表计费失败。
- 计费开始请求报文:用户认证成功开始访问网络资源时,设备向RADIUS服务器发送计费开始请求报文;
- 计费结束请求报文:用户断开连接时(连接也可以由接入服务器断开),设备向服务器发送计费结束请求报文;
- 实时计费请求报文:为减少计费误差、避免计费服务器无法收到计费停止请求报文而继续对该用户计费,可以在设备上配置实时计费功能,此后设备将周期性的向RADIUS服务器发送实时计费请求报文。
- 开始计费失败:默认使用户下线。
- 实时计费失败:默认允许用户在线。
- 结束计费失败:重传计费结束请求报文。
