安全技術1:ACL(訪問控制列表)
簡介:
ACL(Access Control List,訪問控制列表)主要用來實現流識別功能。網絡設備爲了過濾數據包,需要配置一系列的匹配規則,以識別需要過濾的報文。在識別出特定的報文之後,才能根據預先設定的策略允許或禁止相應的數據包通過。
ACL通過一系列的匹配條件對數據包進行分類,這些條件可以是數據包的源地址、目的地址、端口號等。
由ACL定義的數據包匹配規則,可以被其它需要對流量進行區分的功能引用,如QoS中流分類規則的定義。
根據應用目的,可將ACL分爲下面幾種:
基本ACL:只根據三層源IP地址制定規則。
高級ACL:根據數據包的源IP地址信息、目的IP地址信息、IP承載的協議類型、協議特性等三、四層信息制定規則。
二層ACL:根據源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息制定規則。
ACL在交換機上的應用方式
1. ACL直接下發到硬件中的情況
交換機中ACL可以直接下發到交換機的硬件中用於數據轉發過程中報文的過濾和流分類。此時一條ACL中多個規則的匹配順序是由交換機的硬件決定的,用戶即使在定義ACL時配置了匹配順序,該匹配順序也不起作用。ACL直接下發到硬件的情況包括:交換機實現QoS功能時引用ACL、通過ACL過濾轉發數據等。
2. ACL被上層模塊引用的情況
交換機也使用ACL來對由軟件處理的報文進行過濾和流分類。此時ACL規則的匹配順序有兩種:config(指定匹配該規則時按用戶的配置順序)和auto(指定匹配該規則時系統自動排序,即按“深度優先”的順序)。這種情況下用戶可以在定義ACL的時候指定一條ACL中多個規則的匹配順序。用戶一旦指定某一條ACL的匹配順序,就不能再更改該順序。只有把該列表中所有的規則全部刪除後,才能重新指定其匹配順序。
ACL被軟件引用的情況包括:對登錄用戶進行控制時引用ACL等。
ACL的作用
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
ACL匹配順序
ACL可能會包含多個規則,而每個規則都指定不同的報文範圍。這樣,在匹配報文時就會出現匹配順序的問題。
ACL支持兩種匹配順序:
配置順序:根據配置順序匹配ACL規則。
自動排序:根據“深度優先”規則匹配ACL規則。
“深度優先”規則說明如下:
IP ACL(基本和高級ACL)的深度優先以源IP地址掩碼和目的IP地址掩碼長度排序,掩碼越長的規則位置越靠前。排序時先比較源IP地址掩碼長度,若源IP地址掩碼長度相等,則比較目的IP地址掩碼長度。例如,源IP地址掩碼爲255.255.255.0的規則比源IP地址掩碼爲255.255.0.0的規則匹配位置靠前
S2000-HI支持的ACL
交換機支持的ACL如下:
基本ACL和高級ACL
S2000-HI交換機上定義的ACL只能用於被上層模塊引用的情況,不能下發到硬件
ACL 3p原則
記住 3P 原則,您便記住了在路由器上應用 ACL 的一般規則。您可以爲每種協議 (per protocol)、每個方向 (per direction)、每個接口 (per interface) 配置一個 ACL:
每種協議一個 ACL 要控制接口上的流量,必須爲接口上啓用的每種協議定義相應的 ACL。
每個方向一個 ACL 一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量,必須分別定義兩個 ACL。
每個接口一個 ACL 一個 ACL 只能控制一個接口(例如快速以太網 0/0)上的流量。
ACL 的編寫可能相當複雜而且極具挑戰性。每個接口上都可以針對多種協議和各個方向進行定義。
ACL的執行過程
一個端口執行哪條ACL,這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配,那麼後面的語句就將被忽略,不再進行檢查。 數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設爲允許發送),則不管是第一條還是最後一條語句,數據都會立即發送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數據包將視爲被拒絕而被丟棄。這裏要注意,ACL不能對本路由器產生的數據包進行控制
說明:時間段配置在同一個名字下可以配置多個時間段,這些時間段之間是“或”的關係。
如果一個時間段只定義了週期時間段,則只有在該週期時間段內,該時間段才進入激活狀態。
如果一個時間段只定義了絕對時間段,則只有在該絕對時間段內,該時間段才進入激活狀態。
如果一個時間段同時定義了絕對時間段和週期時間段,則只有同時滿足絕對時間段和週期時間段的定義時,該時間段才進入激活狀態。
如果不配置開始日期,時間段就是從當前時間起到結束日期爲止。
如果不配置結束日期,時間段就是從配置的開始時間起到系統可以表示的最大時間爲止。
定義基本ACL
基本ACL只根據三層源IP制定規則,對數據包進行相應的分析處理。
基本ACL的序號取值範圍爲2000~2999。
在定義ACL規則時如果不指定編號,用戶將創建並定義一個新規則,設備將自動爲這個規則分配一個編號。
定義高級ACL
高級ACL可以使用數據包的源地址信息、目的地址信息、IP承載的協議類型、針對協議的特性,例如TCP或UDP的源端口、目的端口,TCP標記,ICMP協議的類型、code等內容定義規則。
高級ACL序號取值範圍3000~3999。
高級ACL支持對三種報文優先級的分析處理:ToS(Type Of Service,服務類型)優先級、IP優先級和DSCP(Differentiated Services Codepoint Priority,差分服務編碼點優先級)。
用戶可以利用高級ACL定義比基本ACL更準確、更豐富、更靈活的規則
案例:1:配置時間段,取值爲週一到週五每天8:00到18:00。
<Quidway> system-view
[Quidway] time-range test 8:00 to 18:00 working-day
[Quidway] display time-range test
Current time is 00:32:52 Apr/2/2000 Sunday
Time-range : test ( Inactive )
08:00 to 18:00 working-day
2:配置ACL 2000,禁止源地址爲1.1.1.1的報文通過。
<Quidway> system-view
[Quidway] acl number 2000
[Quidway-acl-basic-2000] rule deny source 1.1.1.1 0
[Quidway-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0
3: 配置ACL 3000,允許從129.9.0.0網段的主機向202.38.160.0網段的主機發送的端口號爲80的報文通過。
<Quidway>system-view
[Quidway] acl number 3000
[Quidway-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
[Quidway-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www
安全技術2:AAA(認證、授權和計費)
簡介:
AAA 是Authentication,Authorization and Accounting(認證、授權和計費)的簡稱,它提供了一個用來對認證、授權和計費這三種安全功能進行配置的一致性框架,它是對網絡安全的一種管理。
AAA 可完成下列服務:
認證:驗證用戶是否可獲得訪問權。
授權:授權用戶可使用哪些服務。
計費:記錄用戶使用網絡資源的情況。
AAA 的優點
(1) 靈活易控。
(2) 標準化的認證方法。
(3) 多重備用系統。
網絡安全主要是指訪問控制,包括:
哪些用戶可以訪問網絡服務器。
具有訪問權的用戶可以得到哪些服務。
如何對正在使用網絡資源的用戶進行計費。
針對以上問題,AAA必須提供認證功能、授權功能和計費功能。
1. 認證功能
AAA支持以下認證方式:
不認證:對用戶非常信任,不對其進行合法檢查。一般情況下不採用這種方式。
本地認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設備上。本地認證的優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限制。
遠端認證:支持通過RADIUS協議或HWTACACS協議進行遠端認證,設備(如Quidway系列交換機)作爲客戶端,與RADIUS服務器或TACACS服務器通信。對於RADIUS協議,可以採用標準或擴展的RADIUS協議。
2. 授權功能
AAA支持以下授權方式:
直接授權:對用戶非常信任,直接授權通過。
本地授權:根據設備上爲本地用戶帳號配置的相關屬性進行授權。
RADIUS認證成功後授權:RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。
HWTACACS授權:由TACACS服務器對用戶進行授權。
3. 計費功能
AAA支持以下計費方式:
不計費:不對用戶計費。
遠端計費:支持通過RADIUS服務器或TACACS服務器進行遠端計費。
AAA一般採用客戶端/服務器結構:客戶端運行於被管理的資源側,服務器上集中存放用戶信息。因此,AAA框架具有良好的可擴展性,並且容易實現用戶信息的集中管理。
RADIUS協議簡介
AAA是一種管理框架,因此,它可以用多種協議來實現。在實踐中,人們最常使用RADIUS協議來實現AAA。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分佈式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的干擾,常被應用在既要求較高安全性,又要求維持遠程用戶訪問的各種網絡環境中。
RADIUS服務包括三個組成部分:
協議:RFC 2865和RFC 2866基於UDP/IP層定義了RADIUS幀格式及其消息傳輸機制,並定義了1812作爲認證端口,1813作爲計費端口。
服務器:RADIUS服務器運行在中心計算機或工作站上,包含了相關的用戶認證和網絡服務訪問信息。
客戶端:位於撥號訪問服務器設備側,可以遍佈整個網絡。RADIUS基於客戶端/服務器模型。交換機作爲RADIUS客戶端,負責傳輸用戶信息到指定的RADIUS服務器,然後根據從服務器返回的信息對用戶進行相應處理(如接入/掛斷用戶)。RADIUS服務器負責接收用戶連接請求,認證用戶,然後給交換機返回所有需要的信息。
RADIUS服務器通常要維護三個數據庫,如圖所示。
第一個數據庫“Users”用於存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置)。
第二個數據庫“Clients”用於存儲RADIUS客戶端的信息(如共享密鑰)。
第三個數據庫“Dictionary”存儲的信息用於解釋RADIUS協議中的屬性和屬性值的含義。
另外,RADIUS服務器還能夠作爲其他AAA服務器的客戶端進行代理認證或計費。
配置AAA
需要爲合法用戶提供網絡接入服務,同時對網絡設備進行保護,防止非授權訪問和抵賴行爲,需要配置AAA。當需要通過ISP域來對接入用戶進行AAA等管理時,需要配置ISP域。
配置ISP域的AAA方案
用戶可以通過兩種方式配置認證、授權、計費方案:
1. 認證、授權、計費捆綁方式
採用這種方式時,用戶通過scheme命令指定具體的AAA方案。若採用RADIUS或HWTACACS方案,認證、授權、計費統一由RADIUS或HWTACACS方案中指定的RADIUS或TACACS服務器來完成,即認證、授權、計費不能分別指定不同的方案。
2. 認證、授權、計費分離方式
採用這種方式時,用戶可以通過authentication、authorization、accounting這三條命令分別指定認證、授權、計費方案。認證、授權、計費分離方式中對於AAA支撐的各種業務的具體實現如下:
對於終端用戶
認證採用:RADIUS,local,RADIUS-local或者none。
授權採用:none。
計費採用:RADIUS或者none。
對於FTP用戶
對於FTP用戶僅支持認證。
認證採用:RADIUS,local,RADIUS-local。
請在ISP域視圖下進行下列配置
案例:在如圖所示的環境中,需要通過配置交換機實現RADIUS服務器對登錄交換機的Telnet用戶進行認證。
要求:一臺RADIUS服務器(擔當認證RADIUS服務器的職責)與交換機相連,服務器IP地址爲10.110.91.164;
設置交換機與認證RADIUS服務器交互報文時的共享密鑰爲“expert”。
RADIUS服務器可使用CAMS服務器。使用第三方RADIUS服務器時,RADIUS方案中的server-type可以選擇standard類型或huawei類型。
在RADIUS服務器上設置與交換機交互報文時的共享密鑰爲“expert”;
設置驗證的端口號;
添加Telnet用戶名及登錄密碼。
如果RADIUS方案中設置交換機不從用戶名中去除用戶域名而是一起傳給RADIUS服務器,RADIUS服務器上添加的Telnet用戶名應爲“userid@isp-name”形式。
配置步驟
# 配置Telnet用戶採用AAA認證方式。<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS的關聯。
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme cams
Telnet用戶登錄時輸入用戶名userid @cams,以使用cams域進行認證。
FTP/Telnet用戶本地認證配置
如下圖所示的環境中,現需要通過配置交換機實現對登錄交換機的Telnet用戶進行本地認證。
配置步驟:(使用本地認證方案)
# 進入系統視圖。<Quidway> system-view
System View: return to User View with Ctrl+Z.
[Quidway]
# 配置Telnet用戶採用AAA認證方式。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
[Quidway-ui-vty0-4] quit
# 創建本地用戶telnet。
[Quidway] local-user telnet
[Quidway-luser-telnet] service-type telnet
[Quidway-luser-telnet] password simple huawei
[Quidway-luser-telnet] attribute idle-cut 300 access-limit 5
[Quidway] domain system
[Quidway-isp-system] scheme local
使用Telnet登錄時輸入用戶名爲telnet@system,以使用system域進行認證。
安全技術3:dot1X
dot1 X 是 IEEE 802.1 X的縮寫,是基於Client/Server的訪問控制和認證協議。
802.1x簡介
IEEE802 LAN/WAN委員會爲解決無線局域網網絡安全問題,提出了802.1x協議。後來,802.1x協議作爲局域網端口的一個普通接入控制機制用在以太網中,主要解決以太網內認證和安全方面的問題。
802.1x協議是一種基於端口的網絡接入控制(Port Based Network Access Control)協議。“基於端口的網絡接入控制”是指在局域網接入控制設備的端口這一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源——相當於連接被物理斷開。
802.1x的體系結構
使用802.1x的系統爲典型的Client/Server體系結構,包括三個實體:Supplicant System(客戶端)、Authenticator System(設備端)以及Authentication Server System(認證服務器),如下圖所示。
客戶端是位於局域網段一端的一個實體,由連接到該鏈接另一端的設備端對其進行認證。客戶端一般爲一個用戶終端設備,用戶通過啓動客戶端軟件發起802.1x認證。客戶端軟件必須支持EAPOL(EAP over LANs,局域網上的EAP)協議。
設備端是位於局域網段一端的一個實體,用於對連接到該鏈接另一端的實體進行認證。設備端通常爲支持802.1x協議的網絡設備(如Quidway系列交換機),它爲客戶端提供接入局域網的端口,該端口可以是物理端口,也可以是邏輯端口。
認證服務器是爲設備端提供認證服務的實體。認證服務器用於實現用戶的認證、授權和計費,通常爲RADIUS服務器。該服務器可以存儲用戶的相關信息,例如用戶的賬號、密碼以及用戶所屬的VLAN、優先級、用戶的訪問控制列表等。
三個實體涉及如下四個基本概念:端口PAE、受控端口、受控方向和端口受控方式。
1. PAE(Port Access Entity,端口訪問實體)
PAE是認證機制中負責執行算法和協議操作的實體。設備端PAE利用認證服務器對需要接入局域網的客戶端執行認證,並根據認證結果相應地控制受控端口的授權/非授權狀態。客戶端PAE負責響應設備端的認證請求,向設備端提交用戶的認證信息。客戶端PAE也可以主動向設備端發送認證請求和下線請求。
2. 受控端口
設備端爲客戶端提供接入局域網的端口,這個端口被劃分爲兩個虛端口:受控端口和非受控端口。
非受控端口始終處於雙向連通狀態,主要用來傳遞EAPOL協議幀,保證客戶端始終能夠發出或接受認證。
受控端口在授權狀態下處於連通狀態,用於傳遞業務報文;在非授權狀態下處於斷開狀態,禁止傳遞任何禁止從客戶端接收報文。
受控端口和非受控端口是同一端口的兩個部分;任何到達該端口的幀,在受控端口與非受控端口上均可見。
3. 受控方向
在非授權狀態下,受控端口可以被設置成單向受控:
實行單向受控時,禁止從客戶端接收幀,但允許向客戶端發送幀。
默認情況下,受控端口實行單向受控。
4. 端口受控方式
Quidway系列交換機支持以下兩種端口受控方式:
基於端口的認證:只要該物理端口下的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,當第一個用戶下線後,其他用戶也會被拒絕使用網絡。
基於MAC地址認證:該物理端口下的所有接入用戶都需要單獨認證,當某個用戶下線時,也只有該用戶無法使用網絡。
802.1x的工作機制
IEEE 802.1x認證系統利用EAP(Extensible Authentication Protocol,可擴展認證協議)協議,作爲在客戶端和認證服務器之間交換認證信息的手段。
在客戶端PAE與設備端PAE之間,EAP協議報文使用EAPOL封裝格式,直接承載於LAN環境中。
在設備端PAE與RADIUS服務器之間,EAP協議報文可以使用EAPOR封裝格式(EAP over RADIUS),承載於RADIUS協議中;也可以由設備端PAE進行終結,而在設備端PAE與RADIUS服務器之間傳送PAP協議報文或CHAP協議報文。
當用戶通過認證後,認證服務器會把用戶的相關信息傳遞給設備端,設備端PAE根據RADIUS服務器的指示(Accept或Reject)決定受控端口的授權/非授權狀態。
802.1x的認證過程
Quidway S2000-HI系列交換機支持EAP終結方式和EAP中繼方式完成認證。
1. EAP中繼方式
這種方式是IEEE 802.1x標準規定的,將EAP協議承載在其他高層協議中,如EAP over RADIUS,以便擴展認證協議報文穿越複雜的網絡到達認證服務器。一般來說,EAP中繼方式需要RADIUS服務器支持EAP屬性:EAP-Message(值爲79)和Message-Authenticator(值爲80)。
EAP中繼方式有三四種認證方法:EAP-MD5、EAP-TLS(Transport Layer Security,傳輸層安全)、EAP-TTLS和PEAP(Protected Extensible Authentication Protocol,受保護的擴展認證協議):
EAP-MD5:驗證客戶端的身份,RADIUS服務器發送MD5加密字(EAP-Request/MD5 Challenge報文)給客戶端,客戶端用該加密字對口令部分進行加密處理。
EAP-TLS:驗證客戶端和RADIUS服務器端雙方的身份,通過EAP-TLS認證方法檢查彼此的安全證書,保證雙方的正確性,防止網絡數據被盜竊。
EAP-TTLS:是對EAP-TLS的一種擴展。在EAP TLS中,實現對客戶端和認證服務器的雙向認證。EAP-TTLS擴展了這種實現,它使用TLS建立起來的安全隧道傳遞信息。
PEAP:首先創建和使用TLS安全通道來進行完整性保護,然後進行新的EAP協商,從而完成對客戶端的身份驗證。
802.1x在S2000-HI交換機上的實現
S2000-HI交換機除了支持前面所述的802.1x特性外,還支持如下特性:
與CAMS服務器配合,實現檢測客戶端功能(檢測代理、雙網卡等)。
客戶端版本檢測功能。
Guest VLAN功能。
配置802.1x簡介
802.1x提供了一個用戶身份認證的實現方案,爲了實現此方案,除了配置802.1x相關命令外,還需要在交換機上配置AAA方案,選擇使用RADIUS或本地認證方案,以配合802.1x完成用戶身份認證:
802.1x用戶通過域名和交換機上配置的ISP域相關聯。
配置ISP域使用的AAA方案,包括本地認證方案和RADIUS方案。
如果採用RADIUS方案,通過遠端的RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在交換機上進行RADIUS客戶端的相關設置。
如果是需要本地認證,則需要在交換機上手動添加認證的用戶名和密碼,當用戶使用和交換機中記錄相同的用戶名和密碼,啓動802.1x客戶端軟件進行認證時,就可以通過認證。
也可以配置交換機先採用RADIUS方案,通過RADIUS服務器進行認證,如果RADIUS服務器無效,則使用本地認證。
配置802.1x基本功能
配置802.1x的應用特性
802.1x的應用特性的各項配置都是可選的,包括如下配置任務:
配置802.1x與CAMS配合應用的特性:檢測客戶端使用多網卡、代理等。
配置客戶端版本檢測功能。
配置允許DHCP觸發認證。
配置Guest VLAN功能
案例: 802.1x典型配置舉例
要求:
在各端口上對用戶接入進行認證,以控制其訪問Internet;接入控制模式要求是基於MAC地址的接入控制。
所有接入用戶都屬於一個缺省的域:aabbcc.net,該域最多可容納30個用戶;認證時,先進行RADIUS認證,如果RADIUS服務器沒有響應再轉而進行本地認證;計費時,如果RADIUS計費失敗則切斷用戶連接使其下線;此外,接入時在用戶名後不添加域名,正常連接時如果用戶有超過20分鐘流量持續小於2000Bytes的情況則切斷其連接。
由兩臺RADIUS服務器組成的服務器組與交換機相連,其IP地址分別爲10.11.1.1和10.11.1.2,前者作爲主認證/備份計費服務器,後者作爲備份認證/主計費服務器;設置系統與認證RADIUS服務器交互報文時的加密密碼爲“name”、與計費RADIUS服務器交互報文時的加密密碼“money”,設置系統在向RADIUS服務器發送報文後5秒種內如果沒有得到響應就向其重新發送報文,重複發送報文的次數總共爲5次,設置系統每15分鐘就向RADIUS服務器發送一次實時計費報文,指示系統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
本地802.1x接入用戶的用戶名爲localuser,密碼爲localpass,使用明文輸入,閒置切斷功能處於打開狀態。
配置步驟
# 開啓全局802.1x特性。
<Quidway> system-view
[Quidway] dot1x
# 開啓指定端口Ethernet 1/0/1的802.1x特性。
[Quidway] dot1x interface Ethernet 1/0/1
# 設置接入控制方式(該命令可以不配置,因爲端口的接入控制在缺省情況下就是基於MAC地址的)。
[Quidway] dot1x port-method macbased interface Ethernet 1/0/1
# 創建RADIUS方案radius1並進入其視圖。
[Quidway] radius scheme radius1
# 設置主認證/計費RADIUS服務器的IP地址。
[Quidway-radius-radius1] primary authentication 10.11.1.1
[Quidway-radius-radius1] primary accounting 10.11.1.2
# 設置備份認證/計費RADIUS服務器的IP地址。
[Quidway-radius-radius1] secondary authentication 10.11.1.2
[Quidway-radius-radius1] secondary accounting 10.11.1.1
# 設置系統與認證RADIUS服務器交互報文時的加密密碼。
[Quidway -radius-radius1] key authentication name
# 設置系統與計費RADIUS服務器交互報文時的加密密碼。
[Quidway-radius-radius1] key accounting money
# 設置系統向RADIUS服務器重發報文的時間間隔與次數。
[Quidway-radius-radius1] timer 5
[Quidway-radius-radius1] retry 5
# 設置系統向RADIUS服務器發送實時計費報文的時間間隔。
[Quidway-radius-radius1] timer realtime-accounting 15
# 指示系統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 創建域aabbcc.net並進入其視圖。
[Quidway] domain default enable aabbcc.net
# 指定radius1爲該域用戶的RADIUS方案,若RADIUS服務器無效,則使用本地認證方案。
[Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local
# 設置該域最多可容納30個用戶。
[Quidway-isp-aabbcc.net] access-limit enable 30
# 啓動閒置切斷功能並設置相關參數。
[Quidway-isp-aabbcc.net] idle-cut enable 20 2000
[Quidway-isp-aabbcc.net] quit
# 配置域aabbcc.net爲缺省用戶域。
[Quidway] domain default enable aabbcc.net
# 添加本地接入用戶。
[Quidway] local-user localuser
[Quidway-luser-localuser] service-type lan-access
[Quidway-luser-localuser] password simple localpass