AAA 原理与配置

本贴最后更新于 717 天前,其中的信息可能已经天翻地覆

前言

对于任何网络,用户管理都是最基本的安全管理要求之一。

AAA(Authentication, Authorization, and Accounting)是一种管理框架,它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA 可以通过多种协议来实现,在实际应用中,最常使用 RADIUS (Remote Authentication Dial-In User Service)协议或 HWTACACS(Huawei Terminal Access Controller Access Control System)思科的是 TACACS+。

本章将介绍 AAA 基本概念、AAA 的实现方式、AAA 的基本配置以及常见 AAA 应用场景。

目标

学完本课程后,您将能够:

  • 掌握 AAA 的基本原理
  • 描述 AAA 的应用场景
  • 描述 RADIUS 的基本原理
  • 掌握 AAA 的基本配置

AAA 概述

为什么使用 AAA

需求 描述
设备的数量 大量的网络设备、VPN 服务器、无线 AP 要做身份验证。
人员的数量 大量的员工需要在各种设备上做身份验证。
人员的变动 员工的入职、升职、离职,需要对相关账户属性或权限做修改。
计费的需要 记录访问时间、操作过程等行为,产生日志或相关费用。

因此,AAA 给企业网络提供一种集中式、标准化、可扩展、灵活的解决方案。

AAA 基本概念

AAA 是 Authentication(认证)、Authorization(授权)和 Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

image

名词 描述
认证
Authentication
Who are you?你是谁?
确认用户的身份,判断访问者是否为合法的网络用户。
授权
Authorization
What can you do? 你能做什么?
对不同用户赋予不同的权限,限制用户可以使用的服务。
计费
Accounting
What did you do? 你做过什么?
记录用户使用网络服务过程中的所有操作

AAA 常见架构

AAA 常见网络架构中包括用户、NAS(Network Access Server)、AAA 服务器(AAA Server)。采用 C/S(客户端/服务器)架构

AAA 可以通过多种协议来实现,目前设备支持基于 RADIUS 或 HWTACACS 协议来实现 AAA,在实际应用中,最常使用 RADIUS 协议。

角色 描述
用户 每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符 @ 后的字符串决定。例如,如果用户名是 user1@domain1,则用户属于 domain1 域。如果用户名后不带有 @,则用户属于系统缺省域。
AAA 客户端 开启 AAA,通常为网络设备、服务器、无线 AP 等
通常被称为 NAS( Network Access Server,网络接入服务器)
NAS 基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。
AAA 服务器 负责 AAA,通常为各个厂商开发的不同产品

image

注:AAA 框架使用协议的交互都是在 AAA 客户端和 AAA 服务器之间完成的。也就是说用户和 AAA 客户端之间没有运行 AAA 框架调用协议的交互。

image

AAA 工作原理

认证(Authentication)

AAA 支持三种认证方式

认证方式 Effect
不认证 完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。华为不允许不认证。
本地认证 将本地用户信息(包括用户名、密码和各种属性)配置在 NAS 上,此时路由器即是 NAS 也是 AAA Server
本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。
这种认证方式常用于对用户登录设备进行管理,如 Telnet,FTP 用户等。
远端认证 将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。
支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证。
NAS 作为客户端,与 RADIUS 服务器或 HWTACACS 服务器进行通信。

image

注:认证方案中可以指定一种或者多种认证方法:按照配置顺序,仅前一种方法无响应时(不是失败),NAS 设备才尝试使用下一个认证方法。如果某种认证方法回应认证失败,则意味着 AAA 服务器拒绝用户接入,用户身份认证过程将被停止,并且不会尝试后面的认证方法

授权(Authorization)

AAA 授权功能赋予用户访问的特定网络或设备的权限。授权信息包括:

  • 所属用户组
  • 所属 VLAN
  • ACL 编号

AAA 支持三种授权方式:

方法 Effect
不授权 不对用户进行授权处理。
本地授权 根据 NAS 上对应域下的配置进行授权。
远端授权 支持由 RADIUS 服务器授权或 HWTACAS 服务器授权。
  • HWTACACS 授权,使用 HWTACACS 服务器对所有用户授权。
  • RADIUS 授权,只支持对通过 RADIUS 服务器认证的用户授权。RADIUS 协议的认证和授权是绑定在一起的,不能单独使用 RADIUS 进行授权。
    当采用远端授权时,用户可以同时从授权服务器和 NAS 获取授权信息。NAS 配置的授权信息优先级比授权服务器下发的授权信息
    |

image

注:可以指定一种或多种授权方法:按照配置顺序,仅前一种授权方法无响应时(不是失败),后面的授权方法才会被启用。如果前面的授权方法回应授权失败,表示 AAA 服务器拒绝为用户提供服务。此时,授权结束,后面的授权方法不会被启用

计费(Accouting)

计费功能用于监控授权用户的网络行为和网络资源的使用情况。AAA 支持两种计费方式:

计费方式 说明
不计费 为用户提供免费上网服务,不产生相关活动日志。
远端计费 支持通过 RADIUS 服务器或 HWTACACS 服务器进行远端计费。

image

注:只能指定一种计费方法。

AAA 协议

AAA 常用协议

运行在 AAA 客户端和服务端之间,在实际应用中,最常使用 RADIUS 协议。HWTACACS 完全兼容思科华三使用的 TACACS+,机制完全一致。

AAA 协议 封装 端口号 安全程度 标准 命令授权 组成
RADIUS UDP 1812、1813 只加密密码 IETF 公开标准 不支持 认证和授权一起
HWTACACS TCP 49 加密整个包 华为私有 支持对设备上的配置命令进行授权使用 认证和授权独立
TACACS+ TCP 49 加密整个包 Cisco Private 支持对设备上的配置命令进行授权使用 认证和授权独立

注:授权一般都是厂商私有,所以 RADIUS 只能做认证和计费。

RADIUS 工作原理

设备作为 RADIUS 客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到 RADIUS 服务器。RADIUS 服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS 客户端和 RADIUS 服务器之间的交互流程如图 1 所示。

image

第几步 详细过程
1 当用户接入网络时,用户发起连接请求,向 RADIUS 客户端(即设备)发送用户名和密码。
2 RADIUS 客户端向 RADIUS 服务器发送包含用户名和密码信息的认证请求报文。
3 RADIUS 服务器对用户身份的合法性进行检验:
  • 如果用户身份合法,RADIUS 服务器向 RADIUS 客户端返回认证接受报文,允许用户进行下一步动作。由于 RADIUS 协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。
  • 如果用户身份不合法,RADIUS 服务器向 RADIUS 客户端返回认证拒绝报文,拒绝用户访问接入网络。|
    |4|RADIUS 客户端通知用户认证是否成功。|
    |5|RADIUS 客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则 RADIUS 客户端向 RADIUS 服务器发送计费开始请求报文。|
    |6|RADIUS 服务器返回计费开始响应报文,并开始计费。|
    |7| 用户开始访问网络资源。|
    |8|(可选)在使能实时计费功能的情况下,RADIUS 客户端会定时向 RADIUS 服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。|
    |9|(可选)RADIUS 服务器返回实时计费响应报文,并实时计费。|
    |10| 用户发起下线请求,请求停止访问网络资源。|
    |11|RADIUS 客户端向 RADIUS 服务器提交计费结束请求报文。|
    |12|RADIUS 服务器返回计费结束响应报文,并停止计费。|
    |13|RADIUS 客户端通知用户访问结束,用户结束访问网络资源。|

HWTACACS 工作原理

下面以 Telnet 用户为例,说明使用 HWTACACS 对用户进行认证、授权和计费的过程。基本消息交互流程图如图 1 所示。

image

步骤 详细过程
1 Telnet 用户请求登录设备。
2 HWTACACS 客户端收到请求之后,向 HWTACACS 服务器发送认证开始报文。
3 HWTACACS 服务器发送认证回应报文,请求用户名。
4 HWTACACS 客户端收到回应报文后,向用户询问用户名。
5 用户输入用户名。
6 HWTACACS 客户端收到用户名后,向 HWTACACS 服务器发送认证持续报文,其中包括了用户名。
7 HWTACACS 服务器发送认证回应报文,请求密码。
8 HWTACACS 客户端收到认证回应报文,向用户询问密码。
9 用户输入密码。
10 HWTACACS 客户端收到密码后,向 HWTACACS 服务器发送认证持续报文,其中包括了密码信息。
11 HWTACACS 服务器发送认证回应报文,指示用户通过认证。
12 HWTACACS 客户端向 HWTACACS 服务器发送授权请求报文。
13 HWTACACS 服务器发送授权回应报文,指示用户通过授权。
14 HWTACACS 客户端收到授权回应报文,向用户输出设备的配置界面。
15 HWTACACS 客户端向 HWTACACS 服务器发送计费开始请求报文。
16 HWTACACS 服务器发送计费开始回应报文,指示计费开始请求报文已经收到。
17 用户请求断开连接。
18 HWTACACS 客户端向 HWTACACS 服务器发送计费结束请求报文。
19 HWTACACS 服务器发送计费结束回应报文,指示计费结束请求报文已经收到。

AAA 域

简介

NAS 设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的 AAA 配置信息。

使用域的目的,为了防止同名的存在,有了域即使同名但域名是唯一的。

用户输入的用户名决定域,完整格式:用户名 @ 域名后缀

image

如图 1 所示,域统一管理 AAA 方案、服务器模板和授权等配置信息

  • AAA 方案:分为认证方案、授权方案和计费方案,用来定义认证、授权和计费的方法及每种方法的生效顺序
  • 服务器模板:用来配置认证、授权或计费使用的服务器。配置服务器授权时,用户从服务器和域下获取授权信息,详见图 2
    如果使用本地认证或授权,需要配置本地用户的相关信息。
  • 域下的授权信息:域下还可以配置授权信息。

image

授权信息分为两类:服务器下发的授权信息和域下的授权信息。用户从何处获取授权与授权方案中配置的授权方法有关。如图 2 所示:

  • 授权方法为本地授权时,用户从域下获取授权信息。
  • 授权方法为服务器授权时,用户从服务器和域下获取授权信息。域下配置的授权信息比服务器下发的授权信息优先级低,如果两者的授权信息冲突,则服务器下发的授权优先生效;如果两者的授权信息不冲突,则两者的授权信息同时生效。这样处理可以通过域管理进行灵活授权,而不必受限于服务器提供的授权。

image

用户所属的域

图 3 所示,用户所属的域是由用户登录到 NAS 设备时提供的用户名决定的,当用户名中没有携带域名或者携带的域名在 NAS 设备上未配置时,NAS 设备无法确认用户所属的域,此时,NAS 设备根据用户的类型将用户加入到默认域中。

image

image

注:本地认证作用的

为了提供更为精细且有差异化的认证、授权、计费服务,AAA 将用户划分为管理员用户和接入用户两种类型。NAS 设备存在两个全局默认域:全局默认管理域 default_admin ​和全局默认普通域 default​,分别作为 管理员用户 ​和 接入用户 ​的全局默认域,两个全局默认域下的缺省配置也不同。

| 用户分类 | 用户接入方式
| 使用的全局默认域 | 全局默认域下的缺省配置
(认证方案)| 全局默认域下的缺省配置

(计费方案)
管理员用户 又称为 Login 用户,指可以登录设备的用户。
包括通过 FTP、HTTP、SSH、Telnet ​和 Console 方式登录设备的用户。
缺省本地认证
default_admin default(本地认证) default(不计费)
接入/普通用户 包括 NAC 用户(包括 802.1X 认证用户、MAC 认证用户、Portal 认证用户、PPPoE 认证用户)。
缺省本地认证
default radius(本地认证) default(不计费)
#查看设备当前配置的全局默认普通域和全局默认管理域
 display aaa configuration
  Domain Name Delimiter            : @
  Domainname parse direction       : Left to right
  Domainname location              : After-delimiter
  Administrator user default domain: default_admin    //全局默认管理域
  Normal user default domain       : default    //全局默认普通域

  • 两个全局默认域缺省都绑定了名称为 default 的计费方案,修改该计费方案会同时影响这两个域的配置。
  • 两个全局默认域均不能删除,只能修改

AAA 常见应用场景

image

image

image

AAA 服务器产品

思科 AAA 服务器产品

ACS:Secure Access Control Server,安全访问控制服务器

ISE:Identity Services Engine,身份服务引擎。

image

Windows 上 801.x 认证

image

启动上面的服务后会多出一个选项页面,这就是 802.1x 认证。

image

image

AAA 配置实现

配置流程

创建配置服务器模板 :箭头/Arrow_96px:

创建配置 AAA 方案 :箭头/Arrow_96px:

创建配置域方案 :箭头/Arrow_96px:

在域下应用 AAA 方案、RADIUS 服务器模板和授权信息

image

默认参数 缺省值
本地用户 名称*:admin*
接入方式:SSH、HTTP(用于 Web 网管方式登录设备)
全局默认普通域 default:默认绑定认证方案 radius 和计费方案 default、未绑定授权方案。
全局默认管理域 default_admin:默认绑定认证方案 default 和计费方案 default、未绑定授权方案。
认证方案 default:默认认证方式为本地认证。radius:默认认证方式为 RADIUS 认证。
授权方案 default:默认授权方式为本地授权。
计费方案 default:默认不计费。

配置本地认证

背景信息

AAA 认证、授权可以在 NAS 设备上完成,也可以交由服务器完成。如果在 NAS 上完成 AAA 认证和授权,则相当在 NAS 上配置一个本地的 AAA 服务器。本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。

配置本地服务器,需要在设备上配置用户的认证和授权信息,包括配置本地用户和配置本地授权两个步骤。

配置本地认证

背景信息
配置本地用户时,可以配置本地用户允许建立的连接数目、本地用户级别、闲置切断时间以及本地用户上线时间等功能,同时支持本地用户修改密码功能。

说明

  • 为充分保证设备安全,请用户不要关闭密码复杂度检查功能,并定期修改密码。

  • 更改本地账号的权限(密码、接入类型、FTP 目录、级别等)后,已经在线的用户权限不会被更改,新上线的用户则以新的权限为准。

  • 本地用户的接入类型分为以下两类:

    • 管理类:包括 ftp、http、ssh、telnet、x25-pad 和 terminal。
    • 普通类:包括 8021x、bind、ppp、sslvpn 和 web。
  • 登录方式为 Telnet 和 FTP 时存在安全风险,建议使用 STelnet 和 SFTP,此时,用户的接入类型配置为 SSH
    缺省情况下,HTTP 采用随机生成的自签名证书支持 HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授信的数字证书。

操作步骤

(1)创建本地用户(AAA 视图下)

步骤 命令 说明
(可选)使能对密码进行复杂度检查功能 user-password complexity-check [ three-of-kinds ] 缺省情况下,设备对密码进行复杂度检查。用户设置的密码至少包含“大写字母、小写字母、数字和特殊字符”中的两种,才能通过密码复杂度检查。
创建本地用户名和密码(选择一种方式创建本地用户名和密码)
local-user user-name password 缺省情况下:本命令为交互式命令,当用户输入密码时,直接以明文形式输入存在安全风险,建议用户以交互式方式输入。如果用户名中带域名分隔符(如“@”、“|”、“%”等符号),并且没有执行命令 domainname-parse-direction right-to-left 设置域名解析方向,则认为分隔符前面的部分是纯用户名,后面部分是域名。如果没有分隔符,则整个字符串为用户名,普通用户默认到 default 域认证,管理用户默认到 default_admin 域进行认证。
local-user user-name password { cipher | irreversible-cipher } password
配置本地用户的允许接入类型 local-user user-name service-type { 8021x | bind | ftp | http | ppp | ssh | sslvpn | telnet | terminal | web | x25-pad } ^*^ 缺省情况下,本地用户关闭所有的接入类型。如果为 Portal 接入用户,则配置的接入类型为 web。配置本地用户的接入类型前,如果用户已经存在,需注意:
  • 如果密码使用的是不可逆加密算法,则只允许配置管理类的接入类型。
  • 如果密码使用的是可逆加密算法,则允许配置普通类或者管理类的接入类型,不允许配置普通类与管理类的混合类接入类型,并且当配置为管理类的接入类型时,加密算法自动转换成不可逆加密算法。
    |
    |(可选)为本地用户分配固定的 IP 地址 |local-user user-name bind-ip ip-address| 缺省情况下,系统没有为本地用户分配固定的 IP 地址。|

(2)(可选)配置用户级别、所属用户组、接入时间段、闲置切断功能及可建立的连接数目

步骤 命令 说明
配置本地用户级别 local-user user-name privilege level level 缺省情况下,本地用户的级别为 0 级。
配置本地用户所属的组 local- user user-name user-group group-name 缺省情况下,本地用户不属于任何用户组。
配置本地账号的接入时间段 local-user user-name time-range time-name 缺省情况下,未配置本地账号的接入时间段,即任意时间都允许接入。
配置指定用户的闲置切断时间 local-user user-name idle-timeout minutes [ seconds ]
或者 local-user user-name idle-cut
指定用户界面的超时时间。本地用户闲置时间超过设定时间,则用户自动下线。设置用户连接的超时时间为 0 或者过长会导致终端一直处于登录状态,存在安全风险,建议用户执行命令 lock 锁定当前连接。如果对普通用户(NAC 或 PPP 用户等)进行闲置切断,则执行命令 local-user user-name idle-cut 进行配置,如果需要对管理用户进行闲置切断,请执行命令 local-user user-name idle-timeout minutes [ seconds ]进行配置。
配置指定用户可建立的连接数目 local-user user-name access-limit max-number 缺省情况下,不限制用户可建立的连接数目。如果需要设置本地账号只能在唯一终端登录,可通过设置 max-number 的值为 1 实现该功能。

(3)配置本地用户安全性(可选)

| 步骤

命令 说明
使能本地帐号锁定功能并配置用户的重试时间间隔、连续认证失败的限制次数及帐号锁定时间
local-aaa-user wrong-password retry-interval retry-interval retry-time retry-time block-time block-time 缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为 5 分钟、连续输入错误密码的限制次数为 3 次,帐号锁定时间为 5 分钟。
配置在用户账号锁定期间,允许该用户使用指定的 IP 地址访问网络
aaa-quiet administrator except-list { *ipv4-address ipv6-address* } &<1-32> 缺省情况下,用户在账号锁定期间不能访问网络。通过命令 display aaa-quiet administrator except-list,可以查询以上配置的 IP 地址信息。
配置本地接入用户密码策略
使能本地接入用户的密码策略功能并进入本地接入用户密码策略视图。 local-aaa-user password policy access-user 缺省情况下,本地接入用户的密码策略功能处于使能状态。
配置每个用户密码的历史记录的最大条数。 password history record number number 缺省情况下,每个用户密码的历史记录的最大条数是 5 条。
退出本地接入用户密码策略视图。 quit
配置本地管理员密码策略
使能本地管理员的密码策略功能并进入本地管理员密码策略视图。 local-aaa-user password policy administrator 缺省情况下,本地管理员的密码策略功能处于已使能状态。
使能密码过期提醒功能并配置密码过期前的提醒时间。 password alert before-expire day 缺省情况下,密码过期前的提醒时间为 30 天。
使能初始密码提醒功能。 password alert original 缺省情况下,初始密码修改提醒功能处于使能状态。
使能密码过期功能并配置密码过期时间。 password expire day 缺省情况下,密码过期时间为 90 天。
配置每个用户密码的历史记录的最大条数。 password history record number number 缺省情况下,每个用户密码的历史记录的最大条数是 5 条。
退出本地管理员密码策略视图。 quit

(4)本地用户访问权限相关配置(可选)

步骤 命令 说明
配置允许 FTP 用户访问的 FTP 目录 local-user user-name ftp-directory directory 缺省情况下,允许 FTP 用户访问的 FTP 目录为空。若配置本地用户的接入类型为 FTP 方式,则必须配置本地用户的 FTP 目录,且本地用户的级别不能低于管理级,否则 FTP 用户无法登录。
配置本地用户的状态 local-user user-name state { **active block** }
  • 若用户状态为激活态,将接收该用户的认证请求并做进一步处理。
  • 若用户状态为阻塞态,将拒绝该用户的认证请求。
    |
    | 配置本地账号的有效期 |local-user user-name expire-date expire-date| 缺省情况下,本地账号永久有效。|
    | 配置本地用户的账户类型 |local-user user-name account-type cmcc-tr069| 缺省情况下,未配置本地用户的账户类型。
    如果未通过命令 set operator-code cmcc 开启设备的 TR-069 功能,则本命令无法执行。
    |

(5)本地管理员用户修改密码时,去使能与用户进行交互确认的功能

[R1-aaa] undo local-user password change-offline enable

缺省情况下,本地管理员用户在 AAA 视图下通过命令 local-user user-name password 修改密码时,已使能与用户进行交互确认的功能,设备会提示用户账号将被注销,需要重新登录。

(6)修改本地用户登录密码(可选)

步骤 命令 说明
返回用户视图 return -
修改本地用户登录密码 local-user change-password -

配置授权规则

配置 AAA 方案

背景信息

如果需要采用本地方式进行认证和授权,需要在认证方案中配置认证模式为本地认证,在授权方案中配置授权模式为本地授权。

缺省情况下,设备对用户进行本地认证和授权。

注:如果使用 authentication-mode 命令配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

【1】配置认证方案

(1)进入 AAA 视图

[R1] aaa

(2)创建一个认证方案并进入认证方案视图,或者直接进入一个已经存在的认证方案视图

[R1-aaa] authentication-scheme 

缺省情况下,设备中有两个认证方案,认证方案名称分别是 default 和 radius,default 和 radius 方案均不能删除,只能修改方案下的参数。

(3)配置认证模式为本地认证

#配置为RADIUS认证
[R1-aaa-authen-rz] authentication-mode local

#如果需要配置本地认证为备份认证模式,请执行命令
[R1-aaa-authen-rz] authentication-mode { radius local | local-case }

缺省情况下,认证模式为本地认证。

(4)在当前认证模板下,配置对用户提升级别进行认证时采用的认证模式(可选)

[R1-aaa-authen-rz] authentication-super [ hwtacacs | super ] * none

缺省情况下,用户提升级别时认证模式为 super,即本地认证模式。

(5)配置域名解析的方向,从左向右或从右向左(可选)

[R1-aaa] domainname-parse-direction { left-to-right | right-to-left }

缺省情况下,域名解析方向为从左向右。

(6)配置认证旁路时间(可选)

[R1] aaa-authen-bypass enable time time-value

缺省情况下,未启用旁路认证功能。

参数 参数说明 取值
enable 使能远端认证旁路功能。 -
time time-value 指定认证旁路时间。 整数形式,单位为分钟,取值范围为 1~1440。
# 配置认证旁路时间为3分钟。
[Huawei] aaa-authen-bypass enable time 3

【2】配置授权方案

(1)进入 AAA 视图

[R1] aaa

(2)创建授权方案,并进入授权方案视图或直接进入一个已存在的授权方案视图

[R1-aaa] authorization-scheme 

缺省情况下,设备有一个授权方案,授权方案配置名是 default,不能删除,只能修改。

(3)配置授权模式

[R1-aaa-authorization-sq] authorization-mode local [ none ]

缺省情况下,授权模式为本地授权模式。

(4)配置授权服务器下发的用户授权信息的生效模式(可选)

[R1-aaa] authorization-modify mode { modify | overlay }

缺省情况下,授权服务器下发的用户授权信息的生效模式为 overlay 模式。

参数 参数说明 取值
modify 指定授权服务器下发的用户授权信息的生效模式为修改模式。 -
overlay 指定授权服务器下发的用户授权信息的生效模式为覆盖模式。 -

(5)配置认证旁路时间(可选)

[R1] aaa-authen-bypass enable time time-value

缺省情况下,未启用旁路认证功能。

参数 参数说明 取值
enable 使能远端认证旁路功能。 -
time time-value 指定认证旁路时间。 整数形式,单位为分钟,取值范围为 1~1440。
# 配置认证旁路时间为3分钟。
[Huawei] aaa-authen-bypass enable time 3

在域下应用 AAA 方案

背景信息
创建的认证和授权方案,只有在域下应用后才能生效。采用本地方式进行认证和授权时,采用缺省的计费方案,即不计费。

操作步骤

(1)创建域并进入域视图或进入一个已存在的域视图

[R1-aaa] domain  [ domain-index domain-index ]

缺省情况下,设备存在两个域:“default”和“default_admin”。“default”用于普通接入用户的域,“default_admin”用于管理员的域。

说明

  • 用户认证时,如果输入不带域名的用户名,将到默认域认证,因此设备需通过 domain domain-name [ admin ]命令设置 domain-name 为全局默认域。
  • 用户认证时,如果输入带域名的用户名,需要带上正确的域名​domain-name​。

(2)配置域的 AAA 方案

步骤 命令 说明
配置域的认证方案 authentication-scheme authentication-scheme-name 缺省情况下,“default”域使用名为“radius”的认证方案,“default_admin”域使用名为“default”的认证方案,其他域使用名为“radius”的认证方案。
配置域的授权方案 authorization-scheme authorization-scheme-name 缺省情况下,域下没有绑定授权方案。

(3)配置本地授权规则(可选)

步骤 命令 说明
(可选)配置对域下的用户下发用户组授权。 user-group group-name 缺省情况下,未配置对域下的用户下发用户组授权。
(可选)配置域的业务方案 service-scheme service-scheme-name 缺省情况下,域下没有配置任何业务方案。

(4)配置域的状态和流量统计功能(可选)

步骤 命令 说明
配置域的状态 state { **active block** [ time-range time-name &<1–4> ] }

(5)使能域用户的流量统计功能(可选)

[R1-aaa-domain-test] statistic enable

缺省情况下,域用户的流量统计功能处于未使能状态。

(6)配置域名解析方案(如果在 AAA 视图和认证模板视图下都配置了域名解析,则优先使用认证模板上的配置。认证模板下的配置仅适用于无线用户)(可选)

| 步骤

命令 说明
AAA 视图
退出域视图 quit
配置域名解析的方向 domainname-parse-direction { left-to-right | right-to-left } 域名解析的方向可以是从左到右,或者从右到左。缺省情况下,域名解析方向为从左向右。
配置域名分隔符 domain-name-delimiter delimiter 域名分隔符可以是 \ / : < > | @ ' % 中的某一个。缺省情况下,域名分隔符为 @。
配置域名的位置 domain-location { after-delimiter | before-delimiter } 缺省情况下,域名在分隔符后。
配置安全字符串分隔符 security-name-delimiter delimiter 缺省情况下,安全字符串分隔符为*。

配置基于 RADIUS 远程认证

配置 RADIUS 服务器模板

背景信息
设备通过 RADIUS 服务器模板来指定与其对接的 RADIUS 服务器,RADIUS 服务器模板内包含服务器的 IP 地址、端口号、源接口、共享密钥等配置。

RADIUS 服务器模板下的配置要与 RADIUS 服务器上的配置一致

操作步骤

【1】配置 RADIUS 服务模板名字

[NSA] radius-server template template-name

缺省情况下,设备上存在一个名为“default”的 RADIUS 服务器模板,只能修改,不能删除。

【2】配置 RADIUS 认证服务器

#IPv4 RADIUS认证
[R1-radius-DNA] radius-server authentication ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address | vlanif interface-number } | weight weight-value ] *

#IPv6 RADIUS认证
[R1-radius-DNA] radius-server authentication ipv6-address port [ source { loopback interface-number | ip-address ipv6-address | vlanif interface-number } | weight weight-value ] *

缺省情况下,未配置 RADIUS 认证服务器。

参数 参数说明 取值
ipv4-address 指定 RADIUS 认证服务器的 IPv4 地址。 点分十进制格式,必须是合法的单播地址。
ipv6-address 指定 RADIUS 认证服务器的 IPv6 地址。 32 位 16 进制数,格式为 X:X:X:X:X:X:X:X。
port 指定 RADIUS 认证服务器的端口号。 整数形式,取值范围是 1~65535。
vpn-instance vpn-instance-name 指定绑定的 VPN 实例名称。 必须是已存在的 VPN 实例。
source loopback interface-number 指定 Loopback 接口的 IP 地址作为源 IP 地址。其中,interface-number 表示 Loopback 接口编号。 必须是已存在的 Loopback 接口。
source ip-address ipv4-address 指定 IPv4 地址作为向 RADIUS 认证服务器发送 RADIUS 报文时使用的源 IPv4 地址。如果没有配置此参数,则使用出接口的 IPv4 地址作为向 RADIUS 认证服务器发送 RADIUS 报文时使用的源 IPv4 地址。 点分十进制格式,必须是合法的单播地址。
source ip-address ipv6-address 指定 IPv6 地址作为向 RADIUS 认证服务器发送 RADIUS 报文时使用的源 IPv6 地址。如果没有配置此参数,则使用出接口的 IPv6 地址作为向 RADIUS 认证服务器发送 RADIUS 报文时使用的源 IPv6 地址。该地址不能为 VRRP6 虚地址。 32 位 16 进制数,格式为 X:X:X:X:X:X:X:X。
source vlanif interface-number 指定 VLANIF 接口的 IP 地址作为源 IP 地址。其中,interface-number 表示 VLANIF 接口编号。 必须是已存在的 VLANIF 接口。
weight weight-value 指定 RADIUS 认证服务器的权重值。当配置了多个服务器时,设备优先通过权重值大的服务器进行认证。当权重值相等时,设备则优先通过先配置的服务器进行认证。 整数形式,取值范围是 0~100,缺省值为 80。
# 配置主用RADIUS认证服务器的IP地址为10.163.155.13,端口号为1812。
[R1-radius-DNA] radius-server authentication 10.163.155.13 1812

# 配置备用RADIUS认证服务器的IP地址为10.163.155.15,端口号为1812,权重为50。
[R1-radius-DNA] radius-server authentication 10.163.155.15 1812 weight 50

【3】配置 RADIUS 计费服务器

配置IPv4 RADIUS计费服务器
[R1-radius-DNA] radius-server accounting ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address | vlanif interface-number } | weight weight-value ] *

配置IPv6 RADIUS计费服务器
[R1-radius-DNA] radius-server accounting ipv6-address port [ source { loopback interface-number | ip-address ipv6-address | vlanif interface-number } | weight weight-value ] *
参数 参数说明 取值
ipv4-address 指定 RADIUS 计费服务器的 IPv4 地址。 点分十进制格式。必须是合法的单播地址。
ipv6-address 指定 RADIUS 计费服务器的 IPv6 地址。 32 位 16 进制数,格式为 X:X:X:X:X:X:X:X。
port 指定服务器的端口号。 整数形式,取值范围是 1~65535。
vpn-instance vpn-instance-name 指定绑定的 VPN 实例名称。 必须是已存在的 VPN 实例名称。
source loopback interface-number 指定 Loopback 接口的编号。 必须是已存在的 Loopback 接口。
source ip-address ipv4-address 指定计费服务器的源 IPv4 地址。 点分十进制格式,必须是合法的单播地址。
source ip-address ipv6-address 指定计费服务器的源 IPv6 地址。该地址不能为 VRRP6 虚地址。 32 位 16 进制数,格式为 X:X:X:X:X:X:X:X。
source vlanif interface-number 指定 VLANIF 接口的 IP 地址作为源 IP 地址。其中,interface-number 表示 VLANIF 接口编号。 必须是已存在的 VLANIF 接口。
weight weight-value 指定计费服务器的权重值。当配置了多个服务器时,设备优先通过权重值大的服务器进行计费。当权重值相等时,设备则优先通过先配置的服务器进行计费。 整数形式,取值范围是 0~100。
# 配置RADIUS主用计费服务器。
[R1-radius-DNA] radius-server accounting 10.163.155.12 1813

# 配置备用RADIUS计费服务器。
[R1-radius-DNA] radius-server accounting 10.163.155.15 1813 weight 50

【4】配置 RADIUS 服务器的共享密钥

[R1-radius-DNA] radius-server shared-key cipher key-string
参数 参数说明 取值
cipher 以密文形式显示共享密钥。 -
key-string 指定 RADIUS 共享密钥。 字符串形式,不支持空格、单引号和问号,区分大小写。key​***-string***可以是长度为 1~128 位的明文形式,也可以是长度为 48、68、88、108、128、148、168 或 188 位的密文形式。
# 配置RADIUS服务器的共享密钥为YsHsjx_202206,以密文形式显示。
[R1-radius-DNA] radius-server shared-key cipher YsHsjx_202206

同一个 RADIUS 服务器同时配置在多个 RADIUS 服务器模板下时:

  • 如果不同 RADIUS 服务器模板下的共享密钥不同,则需要在每个 RADIUS 服务器模板视图下分别配置。
  • 如果所有 RADIUS 服务器模板下的共享密钥相同,则可以在系统视图下配置。配置命令为 radius-server ip-address { ipv4-address | ipv6-address } shared-key cipherkey-string​。
  • RADIUS 服务器模板视图下和系统视图下都配置 RADIUS 服务器的密钥时,系统视图下配置的 RADIUS 服务器密钥优先生效

【5】配置 RADIUS 服务器的运算法则(可选)

当 RADIUS 服务器模板下配置多台认证或者计费服务器时,设备根据配置的运算法则和权重参数 weight,决定如何选择 RADIUS 服务器:

  • 若选择主备算法,则权重参数 weight 决定主备,weight 值较大者为主,如果 weight 值相同,则先配置的服务器为主服务器。
  • 如选择负载均衡算法,则权重参数 weight 决定报文的分配。
radius-server algorithm { loading-share | master-backup } [ based-user ]

缺省情况下,RADIUS 服务器采用基于单个用户的主备运算法则。

参数 参数说明 取值
loading-share 指定 RADIUS 服务器的运算法则为负载均衡运算法则。 -
master-backup 指定 RADIUS 服务器的运算法则为主备运算法则。 -
based-user 指定 RADIUS 服务器的运算法则为基于单个用户的运算法则。如不指定该参数,则表示 RADIUS 服务器的运算法则为基于报文的运算法则。 -
# 配置RADIUS服务器使用负载均衡运算法则。
 system-view
[Huawei] radius-server template template1
[Huawei-radius-template1] radius-server algorithm loading-share

【6】RADIUS 请求报文的超时重传次数和超时时间(可选)

[R1-radius-DNA] radius-server { retransmit retry-times | timeout time-value } *

缺省情况下,RADIUS 认证请求报文的超时重传次数为 3,超时时间是 5 秒。

参数 参数说明 取值
retransmit retry-times 指定超时重传次数。这里的报文超时重传次数是指报文的发送次数。 整数形式,取值范围是 1~5。
timeout time-value 指定超时时间。 整数形式,取值范围是 1~10,单位是秒。
# 配置RADIUS认证请求报文的超时重传次数为3,重传超时时间为2秒。
 system-view
[Huawei] radius-server template test1
[Huawei-radius-test1] radius-server retransmit 3 timeout 2

【7】配置设备向 RADIUS 服务器发送的报文中的用户名的格式(可选)

#配置设备向RADIUS服务器发送的报文中的用户名包含域名。
[R1-radius-DNA] radius-server user-name domain-included

#配置设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
[R1-radius-DNA] radius-server user-name original

#配置设备向RADIUS服务器发送的报文中的用户名不包含域名。
[R1-radius-DNA] undo radius-server user-name domain-included

#配置设备向RADIUS服务器发送的报文中的用户名不包含域名(除EAP认证外的其他认证方式,AR1000V无使用场景,建议不使用该命令)。
[R1-radius-DNA] undo radius-server user-name domain-included except-eap

缺省情况下,设备向 RADIUS 服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

# 设置用户名格式中不包含域名。
 system-view
[Huawei] radius-server template template1
[Huawei-radius-template1] undo radius-server user-name domain-included

【8】配置 RADIUS 服务器的流量单位(可选)

[R1-radius-DNA] radius-server traffic-unit { byte | kbyte | mbyte | gbyte }

缺省情况下,设备以(byte)作为 RADIUS 流量单位。

# 使用千字节作为RADIUS流量单位。
 system-view
[Huawei] radius-server template template1
[Huawei-radius-template1] radius-server traffic-unit kbyte

【9】配置重认证方式为只重认证不重授权(可选)

[R1-radius-DNA] radius-attribute service-type with-authenonly-reauthen

缺省情况下,重认证方式为重认证和重授权。

当 RADIUS 服务器的 Service-Type 属性为 Authenticate Only 时,该功能才可以生效。

# 配置重认证方式为只重认证不重授权。
 system-view
[Huawei] radius-server template test
[Huawei-radius-test] radius-attribute service-type with-authenonly-reauthen

【10】启用 Framed-IP-Address 的功能(可选)

[R1-radius-DNA] radius-server framed-ip-address no-user-ip enable

缺省情况下,当用户发送的 RADIUS 认证请求报文中没有携带用户 IP 地址时,未使能设备在 RADIUS 认证请求报文中封装 RADIUS 属性 Framed-IP-Address 的功能。

# 当用户发送的RADIUS认证请求报文中没有携带用户IP地址时,使能设备在RADIUS认证请求报文中封装RADIUS属性Framed-IP-Address的功能。
 system-view
[Huawei] radius-server template template1
[Huawei-radius-template1] radius-server framed-ip-address no-user-ip enable

配置 AAA 方案

背景信息
用户使用的认证、授权和计费方法通过 AAA 方案来定义。如果使用 RADIUS 方式进行认证、授权和计费,需要在认证方案中配置认证模式为 RADIUS 认证,在计费方案中配置计费模式为 RADIUS 计费。RADIUS 认证与授权结合,不能分离,认证成功授权也成功。所以不需要配置授权方案,仅需配置认证方案和计费方案。

为避免单一认证模式无响应而造成的认证失败,一般会在认证方案中配置本地认证或不认证为备份认证模式。

注:如果使用 authentication-mode​命令配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

【1】配置认证方案

(1)进入 AAA 视图

[R1] aaa

(2)创建一个认证方案并进入认证方案视图,或者直接进入一个已经存在的认证方案视图

[R1-aaa] authentication-scheme scheme-name

缺省情况下,设备中有两个认证方案,认证方案名称分别是 default 和 radius,default 和 radius 方案均不能删除,只能修改方案下的参数。

(3)配置认证模式为 RADIUS 认证

#配置为RADIUS认证
[R1-aaa-authen-rz] authentication-mode radius

#如果需要配置本地认证为备份认证模式,请执行命令
[R1-aaa-authen-rz] authentication-mode radius local | local-case }

缺省情况下,认证模式为本地认证。

(4)配置用户在服务器认证无响应转入本地认证后,设备不发送计费或授权报文(可选)

[R1-aaa-authen-rz] undo server no-response { accounting | authorization }

缺省情况下,在配置了服务器计费的情况下,用户在服务器认证无响应转入本地认证后,设备不发送计费报文。

(5)配置管理员用户在 RADIUS 认证拒绝后转入本地认证(可选)

该功能仅对管理员用户生效。实现该功能认证模式必须为 RADIUS+ 本地认证。

[R1-aaa-authen-rz] radius-reject local

缺省情况下,未配置管理员用户在 RADIUS 认证拒绝后转入本地认证。在 RADIUS 认证拒绝后(即 RADIUS 服务器回应 Access-Reject 报文),认证流程结束,用户认证失败。

(6)配置账号锁定功能(可选)

#开启接入用户远端认证失败后账号锁定功能
[R1-aaa]access-user remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time

#开启管理员用户远端认证失败后账号锁定功能
[R1-aaa]administrator remote authen-fail retry-interval retry-interval retry-time retry-time block-time block-time

缺省情况下,接入用户远端认证失败后账号锁定功能处于关闭状态;管理员用户远端认证失败后账号锁定功能处于开启状态,并且,远端认证失败后用户的重试时间间隔为 5 分钟,连续认证失败的限制次数为 30 次,账号锁定时间为 5 分钟。

参数 参数说明 取值
retry-interval retry-interval 指定远端认证失败后用户的重试时间间隔。 整数形式,取值范围为 5~65535,单位为分钟。
retry-time retry-time 指定接入用户连续认证失败的限制次数。 整数形式,取值范围为 3~65535。
block-time block-time 指定接入用户帐号的锁定时间。 整数形式,取值范围为 5~65535,单位为分钟。
# 开启接入和管理员用户远端认证失败后账号锁定功能:
#   - 远端认证失败后用户的重试时间间隔为5分钟
#   - 连续认证失败的限制次数为3次、账号锁定时间为5分钟

[Huawei] aaa
[Huawei-aaa] access-user remote authen-fail retry-interval 5 retry-time 3 block-time 5
[Huawei-aaa] administrator remote authen-fail retry-interval 5 retry-time 3 block-time 5

#配置在用户账号锁定期间,允许该用户使用指定的IP地址访问网络
[R1-aaa] aaa-quiet administrator except-list { ipv4-address | ipv6-address } &<1-32> 

缺省情况下,用户在账号锁定期间不能访问网络。

#将认证失败的远端认证账号解锁
[R1-aaa] remote-user authen-fail unblock { all | username username }

(7)配置当 RADIUS 服务器下发的 Session-Timeout 为 0 时,设备不对用户进行下线或重认证(可选)

[R1-aaa] aaa-author session-timeout invalid-value enable

缺省情况下,当 Radius 服务器下发的 Session-Timeout 属性值为 0 时,该属性不生效。

(8)配置认证旁路时间(可选)

[R1] aaa-authen-bypass enable time time-value

缺省情况下,未启用旁路认证功能。

参数 参数说明 取值
enable 使能远端认证旁路功能。 -
time time-value 指定认证旁路时间。 整数形式,单位为分钟,取值范围为 1~1440。
# 配置认证旁路时间为3分钟。
[Huawei] aaa-authen-bypass enable time 3

【2】配置计费方案

(1)进入 AAA 视图

[R1] aaa

(2)创建一个计费方案,并进入计费方案视图或直接进入一个已存在的计费方案视图

[R1-aaa] accounting-scheme 

缺省情况下,设备中有一个计费方案,计费方案配置名是 default,default 方案不能删除,只能修改 default 方案下的参数。

(3)配置计费模式为 RADIUS 计费

[R1-aaa-accounting-jf] accounting-mode radius

缺省情况下,不计费,即计费模式为 none

(4)配置计费失败策略

  • 开始计费失败策略
#配置开始计费失败策略
[R1-aaa-accounting-jf] accounting start-fail { offline | online }

缺省情况下,如果开始计费失败,不允许用户上线。

  • 实时计费失败策略
#使能实时计费并设置计费间隔
[R1-aaa-accounting-jf] accounting realtime 

缺省情况下,设备按时长计费,未使能实时计费功能。

#配置允许的实时计费请求最大无响应次数,以及实时计费失败后采取的策略
[R1-aaa-accounting-jf] accounting interim-fail [ max-times times ] { offline | online }

缺省情况下,允许的实时计费请求最大无响应次数为 3 次,实时计费失败后允许用户在线。

  • 结束计费失败策略
#进入RADIUS服务器模板视图
[R1] radius-server template 
#配置计费结束报文的重传功能以及可重发的计费结束报文个数
[R1-radius-raddius-server] radius-server accounting-stop-packet resend [ resend-times ]

缺省情况下,允许重发计费结束报文,且计费结束报文的重发次数为 3。

创建域和配置域

背景信息

NAS 设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的 AAA 配置信息。

设备根据用户名决定用户所属的域。对用户进行认证、授权和计费前,需要先创建用户所属的域。

操作步骤

(1)进入 AAA 视图

[R1] aaa

(2)用来创建域,并进入域视图

[R1-aaa] domain domain-name [ domain-index domain-index ]

缺省情况下,设备上存在名为“default”和“default_admin”两个域。可以修改这两个域下的配置,但是不能删除这两个域。

参数 参数说明 取值
domain-name 指定域名。 字符串形式,不区分大小写,长度范围是 1~64,不支持空格,不能仅配置为“-”或“--”,且不能包含字符“*” “?” “"”。
domain-index domain-index 指定域的索引。 整数形式,取值范围是 0~255。
#创建名称为domain1的域,并进入域视图
 system-view
[Huawei] aaa
[Huawei-aaa] domain domain1
[Huawei-aaa-domain-domain1]

(3)配置域的状态(可选)

[Huawei-aaa-domain-domain1] state { active | block [ time-range time-name &<1–4> ] }

缺省情况下,域创建后处于激活状态。当域处于阻塞状态时,属于该域的用户不能登录。

参数 参数说明 取值
active 指定域为激活态。 -
block 指定域为阻塞态。 -
time-range time-name 指定域为阻塞态的时间段。其中,time-name 表示域为阻塞状态的时间段名称。如果不指定时间段,表示任何时间都为阻塞态。 字符串形式,区分大小写,必须以英文字母开头,长度范围是 1~32。但为避免混淆,时间段的名字不可以使用英文单词 all。

(4)使能域用户的流量统计功能(可选)

[Huawei-aaa-domain-domain1] statistic enable

缺省情况下,域用户的流量统计功能处于未使能状态。

(5)配置域名解析方案,对设备上所有域都有效(可选)

[Huawei-aaa] domainname-parse-direction { left-to-right | right-to-left }

缺省情况下,域名解析方向为从左向右。

参数 参数说明 取值
left-to-right 指定域名解析方向为从左向右。 -
right-to-left 指定域名解析方向为从右向左。 -

(6)配置域名分隔符和位置(可选)

#配置域名分隔符(默认为@)
[R1-aaa]domain-name-delimiter delimiter
#配置域名的位置(缺省情况下,域名在分隔符后)
[R1-aaa]domain-location { after-delimiter | before-delimiter }

注:认证模板下也支持配置域名方案,如果在 AAA 视图和认证模板视图下都配置了域名解析方案,则优先使用认证模板下的配置。认证模板下的配置仅适用于无线用户。

参数 参数说明 取值
delimiter 指定安全字符串分隔符。 枚举类型,只能是 1 位,取值范围:“\”,“/”,“:”,“<”,“>”,”|“,“%”,“@”,“*”,“'”
after-delimiter 指定域名在分隔符后。 -
before-delimiter 指定域名在分隔符前。 -

(7)配置安全字符串功能(可选)

#使能安全字符串功能(默认启用)
[R1-aaa] security-name enable

#配置安全字符串分隔符(默认为*,Identifier character \ / : < > | @ ' % * )
[R1-aaa] security-name-delimiter delimiter

注:认证模板下也支持配置安全字符串,如果在 AAA 视图和认证模板视图下都配置了安全字符串,则优先使用认证模板下的配置。认证模板下的配置仅适用于无线用户。

参数 参数说明 取值
delimiter 指定安全字符串分隔符。 枚举类型,只能是 1 位,取值范围:“\”,“/”,“:”,“<”,“>”,”|“,“%”,“@”,“*”,“'”

配置全局默认域

背景信息
设备根据用户的用户名决定用户所属的域。当用户名中没有携带域名、设备无法确认用户所属的域时,将用户加入到全局默认域中。根据用户类型的不同(接入用户或者管理员用户),全局默认域又分为全局默认普通域和全局默认管理域。

操作步骤

(1)配置全局默认域

#配置全局默认普通域
[R1]domain domain-name

#配置全局默认管理域
[R1]domain domain-name admin

缺省情况下,全局默认域有两个:全局默认普通域“default”和全局默认管理域“default_admin”。

参数 参数说明 取值
domain-name 指定全局默认域的域名。 必须是已存在的域名。
admin 表示配置指定的域为管理域。如果不指定此参数,则表示配置全局默认普通域。 -

注:全局默认普通域和全局默认管理域可以配置为同一个域。

在域下应用 AAA 方案、RADIUS 服务器模板和授权信息

背景信息
域统一管理 AAA 方案、服务器模板等配置信息,另外,域下还可以配置授权信息。用户属于哪个域就使用哪个域下的 AAA 配置信息。

操作步骤

(1)创建域并进入域视图或进入一个已存在的域视图

[R1-aaa] domain domain-name [ domain-index domain-index ]
[R1-aaa-domain-yu]   

缺省情况下,设备存在两个域:“default”和“default_admin”。“default”用于普通接入用户的域,“default_admin”用于管理员的域。

(2)配置域下应用的认证方案

[R1-aaa-domain-yu] authentication-scheme scheme-name 

缺省情况下,“default”域使用名为“radius”的认证方案,“default_admin”域使用名为“default”的认证方案,其他域使用名为“radius”的认证方案。

(3)配置域下应用的计费方案

[R1-aaa-domain-yu] accounting-scheme accounting-scheme-name   

缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策略为:计费模式为不计费,关闭实时计费开关。

(4)配置域下应用的 RADIUS 服务器模板

[R1-aaa-domain-yu] radius-server template-name  

缺省情况下,“default”域下绑定了名为“default”的 RADIUS 服务器模板,“default_admin”域下没有绑定 RADIUS 服务器模板,其他域下绑定了名为“default”的 RADIUS 服务器模板。

(5)开启 RADIUS 计费报文抄送功能并配置二级计费 RADIUS 服务器模板(可选)

[R1-aaa-domain-yu] accounting-copy radius-server template-name

缺省情况下,未开启 RADIUS 计费报文抄送功能。

(6)域下配置授权信息

    :字母/Number_1_96px: 配置对域下的用户下发用户组授权
[R1-aaa-domain-yu] user-group group-name

缺省情况下,未配置对域下的用户下发用户组授权。

   :字母/Number_2_96px: 配置对域下的用户下发业务方案授权
[R1-aaa-domain-yu] service-scheme service-scheme-name

缺省情况下,未配置对域下的用户下发业务方案授权。

验证命令

查看 RADIUS 服务器模板的配置信息

display radius-server configuration [ template template-name ]
参数 参数说明 取值
template template-name 指定 RADIUS 服务器模板的名称。如果不指定此参数则显示所有 RADIUS 服务器模板的配置信息。 必须是已存在的 RADIUS 服务器模板名称。
# 查看名称为shiva的RADIUS服务器模板的配置信息。

 display radius-server configuration template shiva
  ------------------------------------------------------------------------------
  Server-template-name          :  shiva
  Server-template-index         :  1
  Protocol-version              :  standard
  Traffic-unit                  :  B
  Shared-secret-key             :  ******
  Group-filter                  :  class
  Timeout-interval(in second)   :  5
  Retransmission                :  2
  EndPacketSendTime             :  0
  Dead time(in minute)          :  5
  Domain-included               :  YES
  NAS-IP-Address                :  -
  Calling-station-id MAC-format :  xxxx-xxxx-xxxx
  Called-station-id MAC-format  :  XX.XX.XX.XX.XX.XX
  NAS-Port-ID format            :  New 
  Service-type                  :  - 
  NAS-IPv6-Address              :  ::
  Server algorithm              :  master-backup 
  Detect-interval(in second)    :  60 
  Detect up-server(in second)   :  0  
  Detect timeout(in second)     :  3
  Testuser-username             :  test
  Testuser-ciperpwd             :  %^%#.5*EDl^j_WXg[#Z>plj8;k|8.s*ju<_F~g9k`0*9%^%#
  Chargeable-user-identity      :  Not Support  
  CUI Not reject                :  No
  Enable framed-ip-address      :  Yes 
  Authentication Server 1       :  10.7.66.66     Port:1812  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Authentication Server 2       :  10.7.66.67     Port:1812  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Accounting Server     1       :  10.7.66.66     Port:1813  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Accounting Server     2       :  10.7.66.67     Port:1813  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  ------------------------------------------------------------------------------ 
项目 描述
Server-template-name RADIUS 服务器模板的名称。通过 radius-server template 命令配置。
Server-template-index RADIUS 服务器模板的索引。
Protocol-version RADIUS 协议的版本:
  • standard
  • huawei
  • iphotel
  • portal
    |
    |Traffic-unit|RADIUS 服务器模板的流量单位:
  • B:字节
  • KB:千字节
  • MB:兆(Mega)字节
  • GB:吉(Giga)字节
    通过 radius-server traffic-unit 命令配置。
    |
    |Shared-secret-key|RADIUS 服务器模板的共享密钥。通过 radius-server shared-key 配置。|
    |Group-filter| 用户组过滤字段,目前仅支持使用 class 字段作为组过滤字段。|
    |Timeout-interval(in second)|RADIUS 应答超时时间。通过 radius-server retransmit timeout 命令配置。|
    |Retransmission|RADIUS 重传次数。通过 radius-server retransmit timeout 命令配置。|
    |EndPacketSendTime|RADIUS 计费停止报文重传次数。通过 radius-server accounting-stop-packet resend 命令配置。|
    |Dead time(in minute)|RADIUS 主用服务器恢复激活状态的时间。通过 radius-server retransmit timeout 命令配置。|
    |Domain-included|RADIUS 用户名格式,指定用户名是否包含域名。
  • YES:表示用户名包含域名。
  • NO:表示用户名不包含域名。
  • Original:用户原始输入的用户名,设备不对其进行修改。
    通过 radius-server user-name domain-included 命令配置。
    |
    |NAS-IP-Address|RADIUS 报文中 NAS-IP-Address 属性值。|
    |Calling-station-id MAC-format|RADIUS 报文 calling-station-id 属性 MAC 地址的封装格式。|
    |Called-station-id MAC-format|RADIUS 报文 called-station-id 属性 MAC 地址的封装格式。通过 called-station-id mac-format 命令配置。|
    |NAS-Port-ID format|RADIUS 服务器 NAS 端口 ID 的形式。
  • New:指定采用新的 NAS 端口 ID 形式。
  • Old:指定采用旧的 NAS 端口 ID 形式。
    通过 radius-server nas-port-id-format 命令配置。
    |
    |Service-type| 服务类型。|
    |NAS-IPv6-Address|RADIUS 报文中 NAS-IPv6-Address 属性值。|
    |Server algorithm|RADIUS 服务器的运算法则。
  • master-backup:表示 RADIUS 服务器的运算法则为基于报文的主备运算法则。
  • master-backup based-user:表示 RADIUS 服务器的运算法则为基于单个用户的主备运算法则。
  • loading-share:表示 RADIUS 服务器的运算法则为基于报文的负载均衡运算法则。
  • loading-share based-user:表示 RADIUS 服务器的运算法则为基于单个用户的负载均衡运算法则。
    通过 radius-server algorithm 命令配置。
    |
    |Detect-interval(in second)| 对 Down 状态的 RADIUS 服务器的自动探测周期。通过 radius-server ​​****detect-****​server 命令配置。|
    |Detect up-server(in second)| 对 Up 状态的 RADIUS 服务器的自动探测周期。通过 radius-server detect-server up-server interval 命令配置。|
    |Detect timeout(in second)|RADIUS 服务器自动探测报文的超时等待时间。通过 radius-server detect-server timeout 命令配置。|
    |Chargeable-user-identity| 设备是否支持 CUI 属性。取值包括:
  • Not Support:设备不支持 CUI 属性。
  • Support:设备支持 CUI 属性。
    通过 radius-server support chargeable-user-identity 命令配置。
    |
    |CUI Not reject| 设备是否不处理 CUI 属性。取值包括:
  • No:设备处理 CUI 属性。
  • Yes:设备不处理 CUI 属性。
    通过 radius-server support chargeable-user-identity 命令配置。
    |
    |Enable framed-ip-address| 当用户发送的 RADIUS 认证请求报文中没有携带用户 IP 地址时,是否使能设备在 RADIUS 认证请求报文中封装 RADIUS 属性 Framed-IP-Address 的功能。取值包括:
  • No:未使能。
  • Yes:已使能。
    通过 radius-server framed-ip-address no-user-ip enable 命令配置。
    |
    |Testuser-username|RADIUS 服务器自动探测用户名。通过 radius-server testuser 命令配置。|
    |Testuser-ciperpwd|RADIUS 服务器自动探测用户密码。通过 radius-server testuser 命令配置。|
    |Authentication Server 1|RADIUS 主用认证服务器的 IP 地址、端口号、权重值、状态、VPN 实例、源接口以及源 IP 地址。通过 radius-server authentication 命令配置。|
    |Authentication Server 2|RADIUS 备用认证服务器的 IP 地址、端口号、权重值、状态、VPN 实例、源接口以及源 IP 地址。通过 radius-server authentication 命令配置。|
    |Accounting Server 1|RADIUS 主用计费服务器的 IP 地址、端口号、权重值、状态、VPN 实例、源接口以及源 IP 地址。通过 radius-server accounting 命令配置。|
    |Accounting Server 2|RADIUS 备用计费服务器的 IP 地址、端口号、权重值、状态、VPN 实例、源接口以及源 IP 地址。通过 radius-server accounting 命令配置。|

查看 RADIUS 服务器会话管理功能的配置信息

测试 RADIUS 服务器的连通性

#(所有视图)测试设备与认证服务器或计费服务器的连通性,认证服务器或计费服务器是否可以正常对用户进行认证或计费。
test-aaa user-name user-password radius-template template-name [ chap | pap ]

test-aaa user-name user-password radius-template template-name [ accounting [ start | realtime | stop ] ]

test-aaa user-name user-password hwtacacs-template template-name [ accounting [ start | realtime | stop ] ]
参数 参数说明 取值
user-name 指定用户名。 字符串形式,不区分大小写,长度范围是 1~253。
**说明:**探测 HWTACACS 服务器或 RADIUS 服务器时,用户名中不支持空格。
user-password 指定用户密码。 字符串形式,区分大小写,长度范围是 1~128。
radius-template template-name 指定 RADIUS 服务器模板名称。 RADIUS 服务器模板必须已经存在。
chap 指定认证方式为 CHAP 认证。NAS 设备把用户名和加密后的密码,以及一个 16 字节随机码传给 RADIUS 服务器。RADIUS 服务器根据用户名查找数据库得到密码,然后根据收到的 16 字节的随机码对密码进行加密,将其结果与传来的密码作比较,如果相同表明验证通过,如果不相同表明验证失败。另外如果验证成功,RADIUS 服务器同样可以生成一个 16 字节的随机码对用户进行询问(Challenge)。 -
pap 指定认证方式为 PAP 认证。NAS 设备把用户名和加密后的密码放到验证请求包的相应属性中传递给 RADIUS 服务器。根据 RADIUS 服务器的返回结果来决定是否允许用户上线。 -
accounting 指定计费。默认发送的计费报文是开始计费报文。 -
start 指定发送的报文是开始计费报文。 -
realtime 指定发送的报文是实时计费报文。 -
stop 指定发送的报文是停止计费报文。 -
hwtacacs-template template-name 指定 HWTACACS 服务器模板名称。 HWTACACS 服务器模板必须已经存在。

#前提:(已在RADIUS服务器上配置了测试用户wakin@huawei.com,用户密码为wakin) 
#测试用户wakin@huawei.com是否能够通过R1-radius的认证
test-aaa wakin@huawei.com wakin radius-template R1-radius  

Info: Account test succeed.

#不正确的情况
test-aaa aaa@huawei.com aaa radius-template R1-radius

Info: User name or password is wrong.

查看 AAA 的概要信息

(1)查看 AAA 的概要信息,如域、认证方案、授权方案、计费方案的使用情况(所有视图)

 display aaa configuration

# 查看AAA的概要信息。

 display aaa configuration
  Domain Name Delimiter                   : @                                 
  Domainname parse direction              : Left to right                     
  Domainname location                     : After-delimiter                   
  Administrator user default domain       : default_admin                     
  Normal user default domain              : default                           
  Domain                                  : total: 256     used: 2            
  Authentication-scheme                   : total: 33      used: 2            
  Accounting-scheme                       : total: 32      used: 1            
  Authorization-scheme                    : total: 32      used: 1            
  Service-scheme                          : total: 256     used: 1            
  Recording-scheme                        : total: 32      used: 0            
  Local-user                              : total: 512     used: 3            
  Local-user block retry-interval         : 5 Min(s)                          
  Local-user block retry-time             : 3                                 
  Local-user block time                   : 5 Min(s)                          
  Remote-admin-user block retry-interval  : 5 Min(s)                          
  Remote-admin-user block retry-time      : 30                                
  Remote-admin-user block time            : 5 Min(s)                          
  Session timeout invalid enable          : No 
项目 描述
Domain Name Delimiter 域名分隔符,可以是 \ / : < > | @ ' %中的某一个。缺省是 @。
通过 domain-name-delimiter 命令配置。
Domain 域的数目。
  • total:可以创建的域总数。
  • used:已经创建的域数目。
    |
    |Domainname parse direction| 域名的解析方向。
  • Left to right:从左到右解析。
  • Right to left:从右到左解析。
    通过 domainname-parse-direction 命令配置。
    |
    |Domainname location| 域名的位置。
  • After-delimiter:域名在分隔符后。
  • Before-delimiter:域名在分隔符前。
    通过 domain-location 命令配置。
    |
    |Administrator user default domain| 管理用户默认域。|
    |Normal user default domain| 普通用户默认域。|
    |Authentication-scheme| 认证方案数目。
  • total:可以创建的认证方案总数。
  • used:已经创建的认证方案数目。
    |
    |Accounting-scheme| 计费方案数目。
  • total:可以创建的计费方案总数。
  • used:已经创建的计费方案数目。
    |
    |Authorization-scheme| 授权方案数目。
  • total:可以创建的授权方案总数。
  • used:已经创建的授权方案数目。
    |
    |Service-scheme| 业务方案数目。
  • total:可以创建的业务方案总数。
  • used:已经创建的业务方案数目。
    |
    |Recording-scheme| 记录方案数目。
  • total:可以创建的记录方案总数。
  • used:已经创建的记录方案数目。
    |
    |Local-user| 本地用户数目。
  • total:可以创建的本地用户总数。
  • used:已经创建的本地用户数目。
    |
    |Local-user block retry-interval| 本地账号用户的重试时间间隔。
    通过 local-aaa-user wrong-password 命令配置。
    |
    |Local-user block retry-time| 本地账号连续认证失败的限制次数。
    通过 local-aaa-user wrong-password 命令配置。
    |
    |Local-user block time| 本地账号的锁定时间。
    通过 local-aaa-user wrong-password 命令配置。
    |
    |Remote-access-user block retry-interval| 远端认证失败的接入用户的重试时间间隔。
    通过 access-user remote authen-fail 命令配置。
    |
    |Remote-access-user block retry-time| 远端认证失败的接入用户连续认证失败的限制次数。
    通过 access-user remote authen-fail 命令配置。
    |
    |Remote-access-user block time| 远端认证失败的接入用户的锁定时间。
    通过 access-user remote authen-fail 命令配置。
    |
    |Remote-admin-user block retry-interval| 远端认证失败的管理员用户的重试时间间隔。
    通过 administrator remote authen-fail 命令配置。
    |
    |Remote-admin-user block retry-time| 远端认证失败的管理员用户连续认证失败的限制次数。
    通过 administrator remote authen-fail 命令配置。
    |
    |Remote-admin-user block time| 远端认证失败的管理员用户的锁定时间。
    通过 administrator remote authen-fail 命令配置。
    |
    |Session timeout invalid enable| 通过 aaa-author session-timeout invalid-value enable 命令配置。
  • Yes:当 Radius 服务器下发的 Session-Timeout 为 0 时,设备不对用户进行下线或重认证。
  • No:当 Radius 服务器下发的 Session-Timeout 为 0 时,设备对用户进行下线或重认证。
    |
    |Navigator first login state| 出厂设备首次登录状态。|

查看认证方案的配置信息

display authentication-scheme [ authentication-scheme-name ]
参数 参数说明 取值
authentication​***-scheme**-name*** 指定查看的认证方案名称。 必须为已存在的认证方案名称。
# 查看所有认证方案的摘要信息。
 display authentication-scheme
  -------------------------------------------------------------------
 Authentication-scheme-name          Authentication-method      scheme-index   
  -------------------------------------------------------------------
  default                             Local                       0             
  radius                              RADIUS                      1             
  -------------------------------------------------------------------
  Total of authentication scheme: 2

# 查看配置名为default的认证方案的详细配置信息。
 display authentication-scheme default
                                                                            
  Authentication-scheme-name          : default                             
  Authentication-method               : Local  
  server no-response accounting       : NO
  server no-response authorization    : NO
  Location after radius reject        : None
项目 描述
scheme-index 方案索引。
Authentication-scheme-name 认证方案的名称。通过**authentication-scheme(AAA 视图)**命令配置。
Authentication-method 认证方案的认证模式。通过 authentication-mode(认证方案视图)命令配置。
server no-response accounting 用户在服务器认证无响应转入本地认证后,设备是否继续发送计费报文。取值包括:
  • YES:设备继续发送计费报文。
  • NO:设备不发送计费报文。
    通过 server no-response accounting 命令配置。
    |
    |server no-response authorization| 用户在服务器认证无响应转入本地认证后,设备是否继续发送授权报文。取值包括:
  • YES:设备继续发送授权报文。
  • NO:设备不发送授权报文。
    通过 server no-response authorization 命令配置。
    |
    |Location after radius reject|RADIUS 认证拒绝后,转入的下一种认证方式。取值包括:
  • None:未配置下一种认证方式,认证结束。
  • Local:转入本地认证。
    通过 radius-reject local 命令配置。
    |

查看计费方案的配置情况

display accounting-scheme [ accounting-scheme-name ]
参数 参数说明 取值
accounting-scheme-name 指定查看的计费方案名称。 必须为已存在的计费方案名称。
# 查看所有计费方案的摘要信息。
 display accounting-scheme
  -------------------------------------------------------------------
  Accounting-scheme-name              Accounting-method           scheme-index   
  -------------------------------------------------------------------
  default                             None                         0              
  radius-1                            RADIUS                       1                                   
  tacas-1                             HWTACACS                     3              
  haca-1                              HACA                   
  -------------------------------------------------------------------
  Total of accounting-scheme: 4 


# 查看系统缺省的计费方案的详细配置信息。
 display accounting-scheme default

  Accounting-scheme-name                : default
  Accounting-method                     : None
  Realtime-accounting-switch            : Disabled
  Realtime-accounting-interval(min)     : -
  Start-accounting-fail-policy          : Offline
  Realtime-accounting-fail-policy       : Online
  Realtime-accounting-failure-retries   : 3
项目 描述
scheme-index 方案索引。
Accounting-scheme-name 计费方案的名称。通过**accounting-scheme(AAA 视图)**命令创建。
Accounting-method 此计费方案配置的计费模式。计费模式如下:
  • HWTACACS:HWTACACS 服务器计费。
  • None:不计费。
  • RADIUS:RADIUS 服务器计费。
  • HACA:HACA 服务器计费。
    通过 accounting-mode 命令配置。
    |
    |Realtime-accounting-switch| 是否启用实时计费功能。实时计费开关有两种状态:
  • Disabled:关闭,不进行实时计费。
  • Enabled:打开,进行实时计费。
    通过 accounting realtime 命令配置。
    |
    |Realtime-accounting-interval(min)| 实时计费间隔。通过 accounting realtime 命令配置。|
    |Start-accounting-fail-policy| 开始计费失败后对用户采取的策略:
  • Offline:使用户下线。
  • Online:保持用户在线。
    通过 accounting start-fail 命令配置。
    |
    |Realtime-accounting-fail-policy| 实时计费失败后对用户采取的策略:
  • Offline:使用户下线。
  • Online:保持用户在线。
    通过 accounting interim-fail 命令配置。
    |
    |Realtime-accounting-failure-retries| 确认为实时计费失败前系统尝试实时计费的次数。通过 accounting interim-fail 命令配置。|

查看授权方案的配置信息

display authorization-scheme [ authorization-scheme-name ]
参数 参数说明 取值
authorization-scheme-name 指定查看的授权方案名称。 必须为已存在的授权方案名称。
# 查看授权方案的摘要信息。
 display authorization-scheme
  -------------------------------------------------------------------
  Authorization-scheme-name          Authorization-method         scheme-index   
  -------------------------------------------------------------------
   default                             Local                       0            
   scheme0                             Local                       1            
  -------------------------------------------------------------------
   Total of authorization-scheme: 2


# 查看名为scheme0的授权方案的详细配置信息。
 display authorization-scheme scheme0
---------------------------------------------------------------------------
 Authorization-scheme-name   : scheme0
 Authorization-method        : Local
 Authorization-cmd level  0   : Disabled
 Authorization-cmd level  1   : Disabled 
 Authorization-cmd level  2   : Disabled
 Authorization-cmd level  3   : Disabled
 Authorization-cmd level  4   : Disabled
 Authorization-cmd level  5   : Disabled
 Authorization-cmd level  6   : Disabled
 Authorization-cmd level  7   : Disabled
 Authorization-cmd level  8   : Disabled
 Authorization-cmd level  9   : Disabled
 Authorization-cmd level 10   : Disabled
 Authorization-cmd level 11   : Disabled
 Authorization-cmd level 12   : Disabled
 Authorization-cmd level 13   : Disabled
 Authorization-cmd level 14   : Disabled
 Authorization-cmd level 15   : Disabled
 Authorization-cmd no-response-policy    : Online
---------------------------------------------------------------------------
项目 描述
scheme-index 方案索引。
Authorization-scheme-name 授权方案的名称。通过**authorization-scheme(AAA 视图)**命令配置。
Authorization-method 授权方案配置的授权模式。通过 authorization-mode 命令配置。
Authorization-cmd level 该级别用户是否使能了按命令行授权功能。
  • Disabled:没有使能按命令行授权功能。
  • Enabled:使能了按命令行授权功能。
    通过 authorization-cmd 命令配置。
    |
    |Authorization-cmd no-response-policy| 按命令行授权失败时的策略:允许用户上线。|

查看认证失败的远端认证账号的信息

display remote-user authen-fail [ blocked | username username ]
参数 参数说明 取值
blocked 显示所有已被锁定的远端认证账号。 -
username username 显示指定的认证失败的远端认证账号的详细信息。如果不指定 username 参数,表示显示所有认证失败的远端认证账号的基本信息。 字符串形式,不支持空格,不区分大小写,长度范围是 1~253。
# 查看所有认证失败的AAA远端认证账号。
 display remote-user authen-fail
  Interval: Retry Interval(Mins)
  TimeLeft: Retry Time Left
  BlockDuration: Block Duration(Mins)
  -------------------------------------------------------------------------------------------
  Username                   Interval  TimeLeft  BlockDuration  UserType
  -------------------------------------------------------------------------------------------
  www@test                   0         0         65414          administrator
  -------------------------------------------------------------------------------------------
  Total 1, 1 printed

# 查看所有被锁定的AAA远端认证账号。
 display remote-user authen-fail blocked
Interval: Retry Interval(Mins)
TimeLeft: Retry Time Left
BlockDuration: Block Duration(Mins)
---------------------------------------------------------------------------------------------------------
Username                   Interval  TimeLeft  BlockDuration  BlockTime                 UserType
---------------------------------------------------------------------------------------------------------
www@test                   0         0         65414          2018-04-23 17:22:09+08:00 administrator
---------------------------------------------------------------------------------------------------------
Total 1, 1 printed


# 查看认证失败的AAA远端认证账号“test”的详细信息。
 display remote-user authen-fail username test
  The contents of the user:
  User-type             : Administrator
  Retry interval(Mins)  : 29
  Retry time left       : 4
  Block time left(Mins) : 0
  User state            : Block
项目 描述
Username 用户名。
Interval 或 Retry interval(Mins) 用户的重试时间间隔,单位是分钟。通过命令 access-user remote authen-fail 或命令 administrator remote authen-fail 配置。
TimeLeft 或 Retry Time Left 用户连续认证失败的剩余限制次数。通过命令 access-user remote authen-fail 或命令 administrator remote authen-fail 配置。
BlockDuration 或 Block time left(Mins) 用户帐号的锁定时间,单位是分钟。通过命令 access-user remote authen-fail 或命令 administrator remote authen-fail 配置。
UserType 用户类型,取值包括:
  • administrator:管理员用户。
  • access-user:接入用户。
    |
    |BlockTime| 用户帐号的锁定时刻。|
    |Block time left(Mins)| 用户帐号的剩余锁定时间。|
    |User-state| 用户的状态:
  • Block:该用户处于锁定状态。
  • Active:该用户处于活跃状态。
    |

查看在用户账号锁定期间,允许该用户访问网络使用的 IP 地址

display aaa-quiet administrator except-list
# 查看在用户账号锁定期间,允许该用户访问网络使用的IP地址。

 display aaa-quiet administrator except-list
 -------------------------------------------------------------------------------
 Admin silent whitelist  #白名单内配置的IP地址
 -------------------------------------------------------------------------------
 10.2.2.1
 10.2.2.2
 -------------------------------------------------------------------------------
 Total: 2, printed: 2

查看按照指定标准查看在线用户的概要信息

display access-user [ domain domain-name | interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan-id ] ] | ip-address ip-address [ vpn-instance vpn-instance-name ] | ipv6-address ipv6-address | access-slot slot-id | user-group user-group-name | username user-name ] [ detail ] 、
display access-user [ mac-address mac-address | service-scheme service-scheme-name | user-id user-id | statistics | ssid ssid-name ]
display access-user access-type { admin [ ftp | ssh | telnet | terminal | web ] | ppp | l2tp } [ username user-name ]
参数 参数说明 取值
domain domain-name 指定根据域名查看用户信息。 必须是已存在的域名。
interface interface-type interface-number 指定根据接口查看用户信息。
  • interface-type:接口类型。
  • interface-number:接口编号。
    vlan vlan-id [ qinq qinq-vlan-id ]
  • vlan-id:VLAN ID。如果是 QinQ VLAN,表示内层 VLAN ID。
  • qinq-vlan-id:表示外层 VLAN ID。
    |vlan-idqinq-vlan-id:整数形式,取值范围是 1~4094。|
    |ip-address ip-address| 指定根据 IP 地址查看用户信息。
    **说明:**当用户类型为 NAC 用户时,则显示详细用户信息;其他类型用户则显示简要用户信息。
    | 点分十进制格式。|
    |vpn-instance vpn-instance-name| 指定 IP 地址所属的 VPN 实例。| 必须是已存在的 VPN 实例。|
    |ipv6-address ipv6-address| 指定根据 IPv6 地址查看用户信息。| 总长度为 128 位,通常分为 8 组,每组为 4 个 16 进制数的形式,格式为 X:X:X:X:X:X:X:X。|
    |mac-address mac-address| 指定根据 MAC 地址查看用户信息。| 格式为 H-H-H。其中 H 为 4 位的十六进制数。|
    |service-scheme service-scheme-name| 根据业务方案查看用户。| 必须为已经存在的业务方案。|
    |access-slot slot-id| 指定根据接口板查看用户信息。| 接口板槽位号,取值范围根据设备的型号确定。|
    |ssid ssid-name| 指定服务组合识别码。| 已存在的 SSID 名。|
    |statistics| 指定查看设备上用户的统计信息:
  • Historical wireless user statistics:指定查看设备上历史的 WLAN 用户的统计信息。
  • Current online user statistics:指定查看设备上当前在线的所有用户的统计信息。
    user-group user-group-name
    user-id user-id
    username user-name
    detail
    access-type
    admin [ ftp | ssh | telnet | terminal | web ]
    ​ ftp:FTP 用户。
    ​ ssh:SSH 用户。
    ​ telnet:Telnet 用户。
    ​ terminal:Terminal 用户。
    ​ web:Web 用户。
    ppp
    l2tp

查看域的配置信息

display domain [ name domain-name ]
参数 参数说明 取值
name domain-name 指定查看的域名。如果不指定域名,则显示所有域的摘要信息。 必须为已存在的域名。
# 查看当前所有存在的域的配置信息。

 display domain
  -------------------------------------------------------------------------
  index    DomainName
  -------------------------------------------------------------------------
  0        default
  1        default_admin
  -------------------------------------------------------------------------
  Total: 2
项目 描述
index 域的索引。通过**domain(AAA 视图)**命令配置。
DomainName 域的名称。通过**domain(AAA 视图)**命令配置。
# 查看default域的配置信息。
 display domain name default

  Domain-name                     : default
  Domain-index                    : 0
  Domain-state                    : Active
  Authentication-scheme-name      : default
  Accounting-scheme-name          : default
  Authorization-scheme-name       : -
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group                      : -
  Push-url-address                : -
  Domain auto block Time-range    : asd   
  Flow-statistic                  : enable
  Tariff-level
   Qos-profile                    : huawei
   Accounting-flag                : enable
项目 描述
Domain-name 域的名称。
通过**domain(AAA 视图)**命令配置。
Domain-index 域的索引。
通过**domain(AAA 视图)**命令配置。
Domain-state 域的状态,其中:
  • Active 表示激活状态。
  • Block 表示阻塞状态。
    通过 state(AAA 域视图)命令配置。
    |
    |Authentication-scheme-name| 域使用的认证方案名称。
    通过
    authentication-scheme(AAA 域视图)命令配置。
    |
    |Accounting-scheme-name| 域使用的计费方案名称。
    通过
    accounting-scheme(AAA 域视图)命令配置。
    |
    |Authorization-scheme-name| 域使用的授权方案名称。
    通过
    authorization-scheme(AAA 域视图)命令配置。
    |
    |Service-scheme-name| 域使用的业务方案名称。
    通过
    service-scheme(AAA 域视图)命令配置。
    |
    |RADIUS-server-template| 域使用的 RADIUS 服务器模板名称。
    通过
    radius-server(AAA 域视图)命令配置。
    |
    |HWTACACS-server-template| 域使用的 HWTACACS 服务器模板名称。
    通过
    hwtacacs-server
    命令配置。
    |
    |User-group| 域使用的用户组授权。
    通过**user-group(AAA 域视图)**命令配置。
    |
    |Push-url-address| 域使用的强推 URL。|
    |Domain auto block Time-range| 域自动阻塞的时间段。|
    |Flow-statistic| 域用户的流量统计功能是否使能:
  • enable:使能。
  • -:未使能。
    通过**statistic enable(AAA 域视图)**命令配置。
    |
    |Tariff-level| 费率级别。|
    |Qos-profile| 费率级别对应的 QoS 模板。|
    |Accounting-flag| 费率级别对应的计费功能是否使能:
  • enable:使能。
  • disable:未使能。
    |

查看本地用户的属性信息

display local-user [ domain domain-name | state { active | block } | username username ] *
参数 参数说明 取值
domain domain-name 查看指定域下的本地用户属性。 必须是已存在的域名。
state { **active block** } 根据状态查看本地用户属性。
  • active:激活态。
  • block:阻塞态。
    ||
    |username user-name| 查看指定用户名的本地用户属性。| 必须是已存在的用户名。|
# 查看所有本地用户的概要信息。
 display local-user
  ----------------------------------------------------------------------------
  User-name                      State  AuthMask  AdminLevel
  ----------------------------------------------------------------------------
  user-a                         A      A         0
  user-c                         A      A         0
  ----------------------------------------------------------------------------
  Total 2 user(s) 

# 查看本地用户user-a的详细信息。
 display local-user username user-a
  The contents of local user(s):
  Password             : ****************
  State                : active
  Service-type-mask    : A
  Privilege level      : -
  Ftp-directory        : -
  Access-limit         : Yes
  Access-limit-max     : 4294967295
  Accessed-num         : 0
  Idle-timeout         : -
  User-group           : -
  Account-type         : cmcc-tr069
  Original-password    : No
  Password-set-time    : 2019-12-01 18:42:57+01:00 DST
  Password-expired     : No 
  Password-expire-time : - 
  Account-expire-time  : -   
  Bind IP              : 10.1.1.1

注:登录失败未被锁定的本地用户会显示剩余可以尝试登录的次数 Retry-time-left,修改初始密码失败的本地用户会显示剩余可以尝试登录的次数 Change password retry-count-left。当连续登录失败或者修改初始密码失败的次数达到命令 local-aaa-user wrong-password 配置的次数限制,用户会被锁定。

用户登录失败或者修改初始密码失败的次数未达到命令 local-aaa-user wrong-password 配置的次数限制时,用户不会被锁定。如果,通过命令 local-aaa-user wrong-password 修改了次数限制,且修改后的次数小于用户已经登录失败或者修改初始密码失败的次数时,用户还有一次尝试登录或者修改密码的机会,此时,字段 Retry-time-left 或者 Change password retry-count-left 显示 1。

# 查看登录失败的本地用户user1的信息。
 display local-user username user1                                                                                             
  The contents of local user(s):                                                                                                  
  Password             : ****************                                                                                         
  State                : active                                                                                                   
  Service-type-mask    : T                                                                                                        
  Privilege level      : 0                                                                                                        
  Ftp-directory        : -                                                                                                        
  Access-limit         : -                                                                                                        
  Accessed-num         : 0                                                                                                        
  Idle-timeout         : -                                                                                                        
  Retry-interval       : 4 Min(s)                                                                                                 
  Retry-time-left      : 1                                                                                                        
  Original-password    : Yes                                                                                                      
  Password-set-time    : 2019-01-27 13:26:55+08:00                                                                                
  Password-expired     : No                                                                                                       
  Password-expire-time : -                                                                                                        
  Account-expire-time  : -

# 查看修改初始密码失败的本地用户user1的信息。
 display local-user username user1
  The contents of local user(s):                                                                                                  
  Password             : ****************                                                                                         
  State                : active                                                                                                   
  Service-type-mask    : T                                                                                                        
  Privilege level      : 0                                                                                                        
  Ftp-directory        : -                                                                                                        
  Access-limit         : -                                                                                                        
  Accessed-num         : 1                                                                                                        
  Idle-timeout         : -                                                                                                        
  Change password retry-interval  : 4 Min(s)                                                                                      
  Change password retry-count-left: 3                                                                                             
  Original-password    : Yes                                                                                                      
  Password-set-time    : 2019-01-27 13:26:55+08:00                                                                                
  Password-expired     : No                                                                                                       
  Password-expire-time : -                                                                                                        
  Account-expire-time  : -

# 查看处于锁定状态的本地用户信息。
 display local-user state block
  ----------------------------------------------------------------------------                                                    
  User-name                      State  AuthMask  AdminLevel  BlockTime                                                           
  ----------------------------------------------------------------------------                                                    
  test2                          B      T         0           2018-04-10 01:55:11-00:00                                           
  ---------------------------------------------------------------------------- 
  Total 1 user(s) 

# 查看处于锁定状态的本地用户test2的信息。
 display local-user state block username test2
  The contents of local user(s):                                                                                                  
  Password             : ****************                                                                                         
  State                : block                                                                                                    
  Service-type-mask    : T                                                                                                        
  Privilege level      : 0                                                                                                        
  Ftp-directory        : -                                                                                                        
  Access-limit         : -                                                                                                        
  Accessed-num         : 0                                                                                                        
  Idle-timeout         : -                                                                                                        
  Block-time-left      : 8 Min(s)                                                                                                 
  Original-password    : Yes                                                                                                      
  Password-set-time    : 2019-01-27 13:26:55+08:00                                                                                
  Password-expired     : No                                                                                                       
  Password-expire-time : -                                                                                                        
  Account-expire-time  : -
项目 描述
User-name 本地用户的用户名。通过 local-user 命令配置。
State 本地用户的状态:
  • A:Active
  • B:Block
    通过 local-user 命令配置。
    |
    |AuthMask| 本地用户的接入类型,包括如下几种类型:
  • T:Telnet 用户。
  • M:终端用户,通常指 Console 用户。
  • S:SSH 用户。
  • F:FTP 用户。
  • W:WEB 用户。
  • B:IP Session 用户。
  • X:802.1X 用户。
  • A:All,表示用户可以使用所有接入类型。
  • H:HTTP 用户。
  • D:X25-PAD 用户。
  • P:PPP 用户。
  • 组合类型:例如 MH,表示用户既可以是终端用户,也可以是 HTTP 用户。
    通过 local-user service-type 命令配置。
    |
    |AdminLevel| 本地用户的级别。
    通过 local-user 命令配置。
    当没有配置 local-user 命令时,admin 用户显示的级别为“-”。
    |
    |Password| 本地用户的密码。
    通过 local-user 命令配置。
    |
    |Service-type-mask| 本地用户的服务类型,和 AuthMask 的类型一致。
    通过 local-user service-type 命令配置。
    |
    |Privilege level| 本地用户的级别。
    通过 local-user 命令配置。
    |
    |Ftp-directory| 本地用户的 FTP 目录。
    通过 local-user 命令配置。
    |
    |Access-limit| 是否配置了本地用户的连接限制数。
    通过 local-user 命令配置。
    |
    |Access-limit-max| 本地用户的连接限制数。
    通过 local-user 命令配置。
    |
    |Accessed-num| 本地用户已建立的连接数。|
    |Idle-timeout| 本地用户的闲置切断时间。
    通过 local-user 命令配置。
    |
    |User-group| 本地用户绑定的用户组。
    通过 local-user 命令配置。
    |
    |Account-type| 本地用户的账户类型。
    通过命令 local-user account-type 配置本地用户的账户类型为 CMCC-TR069 协议用户。
    |
    |Original-password| 本地用户的密码是否是初始密码:
  • Yes
  • No
    通过 password alert original 命令配置。
    |
    |Password-set-time| 本地用户的密码创建时间,该时间格式为本地时间附带夏令时时区。|
    |Password-expired| 本地用户的密码是否过期:
  • Yes
  • No
    |
    |Password-expire-time| 本地用户的密码过期时间,该时间格式为本地时间附带夏令时时区。
    通过 password expire 命令配置。
    |
    |Account-expire-time| 本地用户的账号过期时间,该时间格式为本地时间附带夏令时时区。
    通过 local-user expire-date 命令配置。
    |
    |Bind IP| 本地用户绑定的 IP 地址。
    通过 local-user bind-ip 命令配置。
    |
    |BlockTime 或 Block-time-left| 本地用户被锁定(由于连续输入错误密码导致本地用户被锁定)的剩余时间。|
    |Retry-interval| 本地用户被锁定前,可以尝试登录的重试时间间隔。
    通过 local-aaa-user wrong-password 命令配置。
    |
    |Retry-time-left| 本地用户被锁定前,剩余可尝试登录的次数。
    通过 local-aaa-user wrong-password 命令配置。
    |
    |Change password retry-interval| 本地用户被锁定前,可以尝试修改初始密码的重试时间间隔。
    通过 local-aaa-user wrong-password 命令配置。
    |
    |Change password retry-count-left| 本地用户被锁定前,剩余可尝试修改初始密码的次数。
    通过 local-aaa-user wrong-password 命令配置。
    |

查看本地用户的过期时间

display local-user expire-time

# 查看本地用户的过期时间。

 display local-user expire-time
 -------------------------------------------------------------------------------  
 Username                Password-expire       Account-expire            Expired
 -------------------------------------------------------------------------------
 zsh                     2014-12-01 21:25:44    -                        NO
 mm001                   2014-12-01 21:29:58    -                        NO
 -------------------------------------------------------------------------------
 Total: 2, printed: 2  
项目 描述
Username 本地用户的用户名。通过**local-user(AAA 视图)**命令配置。
Password-expire 密码过期时间。通过 password expire 命令配置。
Account-expire 账号过期时间。通过 local-user expire-date 命令配置。
Expired 本地用户是否已经过期:
  • YES
  • NO
    说明:由于显示值可能与实际值存在一分钟以内的误差,所以可能出现当前密码已经过期,但仍然显示为 NO 的情形。当本地用户的账号或密码过期时,表示本地用户已经过期。
    |

查看本地用户的密码策略信息

display local-aaa-user password policy { access-user | administrator }
参数 参数说明 取值
access-user 显示本地接入用户的密码策略信息。 -
administrator 显示本地管理员的密码策略信息。 -
# 查看本地接入用户的密码策略信息。
 display local-aaa-user password policy access-user
  Password control                 : Enable 
  Password history                 : Enable (history records:5) 
项目 描述
Password control 密码控制功能的开启状态:
  • Enable:开启
  • Disable:关闭该参数可以
    通过命令 local-aaa-user password policy access-user 配置。
    |
    |Password history| 密码历史记录功能的开启状态和每个用户密码的历史记录的最大条数。
    该参数可以通过命令 password history record number 配置。
    |
# 查看本地管理员的密码策略信息。
 display local-aaa-user password policy administrator
  Password control                 : Enable                                 
  Password expiration              : Enable (180 days)                      
  Password history                 : Enable (history records:5)             
  Password alert before expiration : 30 days                                
  Password alert original          : Enable 
项目 描述
Password control 密码控制功能的开启状态:
  • Enable:开启
  • Disable:关闭
    该参数可以通过命令 local-aaa-user password policy administrator 配置。
    |
    |Password expiration| 密码过期功能的开启状态和密码过期时间。该参数可以通过命令 password expire 配置。|
    |Password history| 密码历史记录功能的开启状态和每个用户密码的历史记录的最大条数。该参数可以通过命令 password history record number 配置。|
    |Password alert before expiration| 密码过期前的提醒时间。该参数可以通过命令 password alert before-expire 配置。|
    |Password alert original| 初始密码修改提醒功能的开启状态:
  • Enable:开启
  • Disable:关闭
    该参数可以通过命令 password alert original 配置。
    |

查看认证请求数

display aaa statistics access-type-authenreq

查看业务方案配置信息

display service-scheme [ name name ]
参数 参数说明 取值
name name 指定业务方案名称。 必须是已存在的业务方案名称。
# 查看所有业务方案信息。
 display service-scheme
  -------------------------------------------------------------------
  service-scheme-name                    scheme-index
  -------------------------------------------------------------------
  svcscheme1                               0
  svcscheme2                               1
  -------------------------------------------------------------------
  Total of service scheme: 2


# 查看名为svcscheme1的业务方案配置信息。
 display service-scheme name svcscheme1
                                                                            
  service-scheme-name           : svcscheme1                                 
  service-scheme-dns-name       : -                                          
  service-scheme-primary-dns    : -                                          
  service-scheme-secondary-dns  : -                                          
  service-scheme-adminlevel     : 15                                         
  service-scheme-dhcpgroup      : -   
  service-scheme-ippool         : -
  service-scheme-primary-wins   : -                                          
  service-scheme-secondary-wins : -                                          
  service-scheme-update-config  : -                                          
  service-scheme-update-version : -                                          
  service-scheme-acl-number     : -                                         
  service-scheme-interface-flag : -     service-scheme-qosprofile     : -     
项目 描述
service-scheme-name 业务方案名称。通过**service-scheme(AAA 视图)**命令配置。
scheme-index 业务方案索引。
service-scheme-dns-name 业务方案下的 DNS 缺省域名。
service-scheme-primary-dns 主用 DNS 服务器地址。
service-scheme-secondary-dns 备用 DNS 服务器地址。
service-scheme-adminlevel 管理员用户级别。通过 admin-user privilege level 命令配置。
service-scheme-dhcpgroup DHCP 服务器组。
service-scheme-ippool 业务方案下的 IP 地址池。
service-scheme-primary-wins 主用 wins 服务器地址。
service-scheme-secondary-wins 备用 wins 服务器地址。
service-scheme-update-config 升级包的 URL 路径。
service-scheme-update-version 升级包的版本号。
service-scheme-acl-number 推送给对端的本端子网信息。
service-scheme-interface-flag 推送给对端的绑定 IPSec 的接口 IP 地址。
service-scheme-qosprofile 绑定的 QoS 模板名称。通过**qos-profile(业务方案视图)**命令配置。
service-scheme-idlecut-time 闲置切断时间,单位是分钟。通过**idle-cut(业务方案视图)**命令配置。
service-scheme-idlecut-flow 闲置切断的流量阈值,单位是 Kbyte。通过**idle-cut(业务方案视图)**命令配置。
service-scheme-idlecut-direct 闲置切断的对流量生效的方向。取值包括:
  • Inbound:表示闲置切断对上行流量生效。
  • Outbound:表示闲置切断对下行流量生效。
  • Inbound and Outbound:表示闲置切断对上行流量和下行流量都生效。
    通过 idle-cut(业务方案视图)命令配置。
    |
    |Tariff-level| 费率级别。|
    |Qos-profile| 费率级别对应的 QoS 模板。通过
    tariff-level
    命令配置。|
    |Accounting-flag| 费率级别对应的计费功能是否使能:
  • enable:使能。
  • disable:未使能。
    通过 tariff-level 命令配置。
    |

维护 AAA

配置主备 RADIUS 案例

组网需求
如图 1 所示,用户同处于 huawei 域,Router 作为目的网络接入服务器。用户需要通过服务器的远端认证才能通过 Router 访问目的网络。在 Router 上的远端认证方式如下:

  • Router 对接入用户先用 RADIUS 服务器进行认证,如果认证没有响应,再使用本地认证。
  • RADIUS 服务器 10.7.66.66/24 作为主用认证服务器和计费服务器,RADIUS 服务器 10.7.66.67/24 作为备用认证服务器和计费服务器,认证端口号缺省为 1812,计费端口号缺省为 1813。

image

配置思路

用如下的思路配置采用 RADIUS 协议对用户进行认证和计费。

  1. 配置 RADIUS 服务器模板。
  2. 配置认证方案、计费方案。
  3. 在域下应用 RADIUS 服务器模板、认证方案和计费方案。

说明

  • 配置前请确保各设备之间路由可达。
  • 请确保 RADIUS 服务器模板内的共享密钥和 RADIUS 服务器上的配置保持一致。
  • 如果 RADIUS 服务器不接受包含域名的用户名,可以在 RADIUS 服务器模板视图下,配置命令 undo radius-server user-name domain-included 使设备向 RADIUS 服务器发送的报文中的用户名不包含域名。
  • 域被配置成全局默认域之后,用户的用户名中携带该域名或者不携带域名时,会使用全局默认域下的 AAA 配置信息。
  • 配置命令 undo radius-server user-name domain-included 后,设备仅会修改发送报文中的用户名格式,不会影响用户所属的域。例如,配置该命令后,用户名为“user@huawei.com”的用户仍使用 huawei.com 域下的 AAA 配置信息。

操作步骤

(1)配置 VTY

user-interface vty 0 4
 authentication-mode aaa
 user privilege level 15
 protocol inbound all

(2)配置 RADIUS 服务器模板

# 配置RADIUS服务器模板shiva。
 system-view
[Huawei] sysname Router
[Router] radius-server template shiva

# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。
[Router-radius-shiva] radius-server authentication 10.7.66.66 1812 weight 80
[Router-radius-shiva] radius-server accounting 10.7.66.66 1813 weight 80

# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。
[Router-radius-shiva] radius-server authentication 10.7.66.67 1812 weight 40
[Router-radius-shiva] radius-server accounting 10.7.66.67 1813 weight 40

# 配置RADIUS服务器密钥、重传次数,以及设备向RADIUS服务器发送的报文中的用户名不包含域名。
[Router-radius-shiva] radius-server shared-key cipher YsHsjx_202206
[Router-radius-shiva] radius-server retransmit 2
[Router-radius-shiva] undo radius-server user-name domain-included
[Router-radius-shiva] quit

(3)配置认证方案、计费方案。

# 配置认证方案auth,认证模式为先进行RADIUS认证,后进行本地认证。
[Router] aaa
[Router-aaa] authentication-scheme auth
[Router-aaa-authen-auth] authentication-mode radius local
[Router-aaa-authen-auth] quit


# 配置计费方案abc,计费模式为RADIUS,并配置当开始计费失败时,允许用户上线。
[Router-aaa] accounting-scheme abc
[Router-aaa-accounting-abc] accounting-mode radius
[Router-aaa-accounting-abc] accounting start-fail online
[Router-aaa-accounting-abc] quit

(4)配置 huawei 域,在域下应用认证方案 auth、计费方案 abc、RADIUS 服务器模板 shiva

[Router-aaa] domain huawei
[Router-aaa-domain-huawei] authentication-scheme auth
[Router-aaa-domain-huawei] accounting-scheme abc
[Router-aaa-domain-huawei] radius-server shiva
[Router-aaa-domain-huawei] quit
[Router-aaa] quit

(5)配置 huawei 域为全局默认域

[Router] domain huawei
[Router] domain huawei admin

(6)配置 AAA 本地认证

[Router] aaa
[Router-aaa] local-user user1 password irreversible-cipher YsHsjx_202207
[Router-aaa] local-user user1 service-type http
[Router-aaa] local-user user1 privilege level 15
[Router-aaa] quit

(7)验证配置结果


# 在Router上执行命令display radius-server configuration template template-name,可以观察到该RADIUS服务器模板的配置与要求一致。
[Router] display radius-server configuration template shiva
  ------------------------------------------------------------------------------
  Server-template-name          :  shiva
  Server-template-index         :  1
  Protocol-version              :  standard
  Traffic-unit                  :  B
  Shared-secret-key             :  ******
  Group-filter                  :  class 
  Timeout-interval(in second)   :  5
  Retransmission                :  2
  EndPacketSendTime             :  3 
  Dead time(in minute)          :  5
  Domain-included               :  NO
  NAS-IP-Address                :  - 
  Calling-station-id MAC-format :  xxxx-xxxx-xxxx
  Called-station-id MAC-format  :  XX-XX-XX-XX-XX-XX
  NAS-Port-ID format            :  New 
  Service-type                  :  - 
  NAS-IPv6-Address              :  ::
  Server algorithm              :  master-backup 
  Detect-interval(in second)    :  60 
  Authentication Server 1       :  10.7.66.66     Port:1812  Weight:80  [UP]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Authentication Server 2       :  10.7.66.67     Port:1812  Weight:40  [UP]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Accounting Server     1       :  10.7.66.66     Port:1813  Weight:80  [UP]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Accounting Server     2       :  10.7.66.67     Port:1813  Weight:40  [UP]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  ------------------------------------------------------------------------------ 

思考题?

AAA 支持的认证、授权和计费方式分别有哪几种?

认证:不认证、本地认证、远端认证

授权:不授权、本地授权、远端授权

计费:不计费、远端计费

当创建本地认证的普通用户时,没有关联自定义的域,则该用户属于哪个域?

如果创建用户时未指定用户所属的域,用户会自动关联缺省域 default(管理用户关联到 default_admin 域)。

本章总结

AAA 技术为了提高企业网络的安全性,防止非法用户登录,需要对企业内部员工,外部客户等进行身份的认证,可访问资源的授权和上网为行为的监控。

  • 认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。
  • 授权(Authorization):授权用户可以使用哪些服务。
  • 计费(Accounting):记录用户使用网络资源的情况。

AAA 技术可以本地实现,也可以通过远端服务器实现。

AAA 可以用多种协议来实现,最常用的是 RADIUS 协议。

FAQ

RADIUS、HWTACAS 协议运行在谁和谁之间?

运行在 NAS/AAA Client 和 AAA 服务器之间

WinRADIUS 使用

设置 NAS 密钥和 RADIUS 端口

image

创建 ODBC 数据库

image

image

image

image

创建 RAIDUS 表

image

image

添加 RADIUS 用户

image

image

image

查询

image

image

image

修改

image

image

image

image

  • 网络
    138 引用 • 177 回帖 • 4 关注
  • 安全

    安全永远都不是一个小问题。

    200 引用 • 816 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...