1.4 配置RADIUS協議
RADIUS協議配置是以RADIUS方案爲單位進行的,一個RADIUS方案在實際組網環境中既可以運用於一臺獨立的RADIUS服務器,也可以運用於兩臺配置相同、但IP地址不同的主、從RADIUS服務器。當創建一個新的RADIUS方案之後,需要對屬於此方案的RADIUS服務器的IP地址和UDP端口號進行設置,這些服務器包括認證/授權和計費服務器,而每種服務器又有主服務器和從服務器的區別。每個RADIUS方案的屬性包括:主服務器的IP地址、從服務器的IP地址、共享密鑰以及RADIUS服務器類型等。
在實際組網環境中,上述參數的設置需要根據具體需求來決定。但是必須至少設置一個認證/授權服務器和一個計費服務器(如果不配置計費服務器,則必須配置accounting optional命令)。同時,保證交換機上的RADIUS服務端口設置與RADIUS服務器上的端口設置保持一致。
說明:
實際上,RADIUS協議配置僅僅定義了交換機和RADIUS服務器之間進行信息交互所必需的一些參數。爲了使這些參數能夠生效,還必須在某個ISP域視圖下指定該域引用配置有上述參數的RADIUS方案。具體配置命令的細節請參見1.3 配置AAA。
1.4.1 創建RADIUS方案
RADIUS協議的配置是以RADIUS方案爲單位進行的。在進行其它RADIUS協議配置之前,必須先創建RADIUS方案並進入其視圖。
注意:
一個RADIUS方案可以同時被多個ISP域引用。
1.4.2 配置RADIUS認證/授權服務器
注意:
RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,故不需要指定單獨的授權服務器。
在實際組網環境中,可以指定2臺RADIUS服務器分別作爲主、從認證/授權服務器;也可以指定一臺服務器既作爲主認證/授權服務器,又作爲從認證/授權服務器。
系統缺省創建的system方案使用的主認證服務器的IP爲127.0.0.1,端口號爲1645。
1.4.3 配置RADIUS計費服務器
注意:
在實際組網環境中,可以指定2臺RADIUS服務器分別作爲主、從計費服務器;也可以指定一臺服務器既作爲主計費服務器,又作爲從計費服務器。此外,由於RADIUS協議採用不同的UDP端口來收發認證/授權和計費報文,因此必須將認證/授權端口號和計費端口號設置得不同。
如果RADIUS計費服務器對交換機發出的停止計費請求報文沒有響應,且交換機使能了停止計費報文重傳功能,交換機應將其緩存在本機上,然後重新發送直到RADIUS計費服務器產生響應,或者在重新發送的次數達到指定的次數限制後將其丟棄。
交換機提供對連續實時計費失敗次數限制的設置——在交換機向RADIUS服務器發出的實時計費失敗的次數超過所設定的限度時,交換機將切斷用戶連接。
系統缺省創建的system方案使用的主計費服務器的IP爲127.0.0.1,端口號爲1646。
目前RADIUS協議不支持對FTP用戶進行計費。
1.4.4 配置RADIUS報文的共享密鑰
RADIUS客戶端與RADIUS服務器使用MD5算法來加密RADIUS報文,雙方通過設置共享密鑰來驗證報文的合法性。只有在密鑰一致的情況下,雙方纔能彼此接收對方發來的報文並作出響應。
注意:
在認證/授權服務器與計費服務器不相同且這兩臺服務器中的共享密鑰也不同時,必須分別設置認證/授權報文和計費報文的共享密鑰。
1.4.5 配置RADIUS請求報文的最大傳送次數
由於RADIUS協議採用UDP報文來承載數據,因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內沒有響應交換機,則交換機有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數超過最大傳送次數而RADIUS服務器仍舊沒有響應,則交換機將認爲本次認證失敗。
1.4.6 配置支持的RADIUS服務器的類型
1.4.7 配置RADIUS服務器的狀態
對於某個RADIUS方案中的主、從服務器(無論是認證/授權服務器還是計費服務器),當主服務器因故障而導致其與交換機的通信中斷時,交換機會主動地與從服務器交互報文。
當主服務器變爲block的狀態超過timer quiet命令設定的時間後,若有RADIUS請求,交換機會嘗試與主服務器通信。如果主服務器恢復正常,交換機會立即恢復與其通信,而不與從服務器通信,同時,主服務器的狀態恢復爲active,從服務器的狀態不變。
當主服務器與從服務器的狀態都爲active或block時,交換機將只把報文發送到主服務器上。
1.4.8 配置發送給RADIUS服務器的數據相關屬性
注意:
接入用戶通常以“userid@isp-name”的格式命名,“@”後面的部分爲ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此,設備通過user-name-format命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。
如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該RADIUS方案,否則,會出現雖然實際用戶不同(在不同的ISP域中)、但RADIUS服務器認爲用戶相同(因爲傳送到它的用戶名相同)的錯誤。
對於802.1x用戶,如果採用EAP認證方式,則交換機會把客戶端輸入的內容直接封裝後發給服務器,這種情況下user-name-format的設置對其無效。
系統缺省創建的system方案的用戶名不帶域名。
1.4.9 配置本地RADIUS認證服務器
注意:
採用本地RADIUS認證服務器功能時,其認證/授權服務的UDP端口號必須爲1645,計費服務的UDP端口號爲1646;服務器的IP地址都設置爲本地服務器的地址。
local-server命令配置的報文加密密鑰(key password參數)必須與在RADIUS方案視圖下用key authentication命令配置的認證/授權報文加密密鑰一致。
包括系統缺省創建的本地RADIUS認證服務器在內,設備最多支持16個本地RADIUS認證服務器。
1.4.10 配置RADIUS服務器的定時器
如果在RADIUS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶確實能夠得到RADIUS服務,這段時間被稱爲RADIUS服務器響應超時時長。交換機系統中用於控制這個時長的定時器就被稱爲RADIUS服務器響應超時定時器。
對於某個RADIUS方案中的主、從服務器(無論是認證/授權服務器還是計費服務器),當主服務器因故障而導致其與設備的通信中斷時,設備會主動地與從服務器交互報文。
當主服務器變爲block的狀態超過timer quiet命令設定的時間後,當有RADIUS請求時,設備會嘗試與主服務器通信,如果主服務器恢復正常,設備會立即恢復與其通信,而不繼續與從服務器通信。同時,主服務器的狀態恢復爲active,從服務器的狀態不變。
爲了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,交換機會向RADIUS服務器發送一次在線用戶的計費信息。
1.4.11 配置系統發送RADIUS 服務器狀態變爲Down的Trap
說明:
該配置對所有的RADIUS方案都生效。
在設備向RADIUS服務器發送報文而未收到響應的次數超過配置的重試次數後,設備就認爲相應的服務器狀態變爲Down
1.4.12 配置設備重啓用戶再認證功能
說明:
本功能適用於RADIUS認證/計費服務器爲CAMS的情況
在交換機與CAMS配合實現認證/授權/計費的AAA方案中,限制唯一性用戶(指在CAMS上設置了“在線數量限制”爲1的用戶)通過認證/授權、開始計費時,如果交換機發生重啓,在CAMS進行用戶在線檢查前,當用戶再次登錄交換機時,交換機會提示該用戶已經在線,導致該用戶無法正常訪問網絡資源。只有在網絡管理員手工刪除該用戶的在線信息後,該用戶纔可以再次登錄。
解決上述問題的方法是在交換機上啓動設備重啓用戶再認證功能。啓動設備重啓用戶再認證功能後,交換機每次發生重啓時:
交換機生成Accounting-On報文,該報文主要包括NAS-ID、NAS-IP(源IP)和會話ID信息。
交換機每隔設定的時間間隔向CAMS發送Accouting-On報文。
CAMS收到Accounting-On報文後,立即向交換機發送一個響應報文,並根據Accouting-On報文中的NAS-ID、NAS-IP和會話ID,找到並刪除通過交換機接入的原用戶在線信息,並按照最後一次計費更新報文結束計費。
當交換機收到CAMS的響應報文後,即停止發送Accounting-On報文。
如果交換機發送Accounting-On報文的次數已達到設定的最大發送次數,但是仍沒有收到CAMS的響應報文,則交換機停止發送Accounting-On報文。
說明:
Accounting-On報文中的主要屬性:NAS-ID、NAS-IP和會話ID由交換機自動生成,其中NAS-IP還可以通過命令(nas-ip)手工配置,如果手工配置,請注意配置正確、合法的IP地址;如果不配置,交換機會自動選擇VLAN虛接口的IP地址作爲NAS-IP地址。
1.5 配置HWTACACS協議
1.5.1 創建HWTACACS方案
HWTACACS協議的配置是以HWTACACS方案爲單位進行的。在進行其它HWTACACS協議配置之前,必須先創建HWTACACS方案並進入其視圖。
注意:
系統最多支持配置16個HWTACACS方案。只有當方案沒有用戶使用時,才能刪除該方案。
如果設備已經使能Fabric功能,將不能創建HWTACACS方案,二者互斥。
1.5.2 配置HWTACACS認證服務器
注意:
主認證服務器和從認證服務器的IP地址不能相同,否則將提示配置不成功。
只有當沒有活躍的用於發送認證報文的TCP連接使用該認證服務器時,才允許刪除該服務器。
1.5.3 配置HWTACACS授權服務器
注意:
主授權服務器和從授權服務器的IP地址不能相同,否則將提示配置不成功。
只有當沒有活躍的用於發送授權報文的TCP連接使用該授權服務器時,才允許刪除該服務器。
1.5.4 配置HWTACACS計費服務器
注意:
主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
只有當沒有活躍、用於發送計費報文的TCP連接使用該計費服務器時,才允許刪除該服務器。
目前HWTACACS協議不支持對FTP用戶進行計費。
1.5.5 配置HWTACACS報文的共享密鑰
使用TACACS服務器作爲AAA服務器時,可設置密鑰以提高設備與TACACS服務器通信的安全性。
TACACS客戶端(即設備系統)與TACACS服務器使用MD5算法來加密交互的HWTACACS報文,雙方通過設置共享密鑰來驗證報文的合法性。只有在密鑰一致的情況下,雙方纔能彼此接收對方發來的報文並作出響應。因此,必須保證設備上設置的共享密鑰與TACACS服務器上的完全一樣。
1.5.6 配置發送給TACACS服務器的數據相關屬性
注意:
用戶名通常採用“userid@isp-name”格式,“@”後面的部分爲域名。如果TACACS服務器不接受帶域名的用戶名時,可以配置將用戶名的域名去除後再傳送給TACACS服務器。
1.5.7 配置TACACS服務器的定時器
注意:
爲了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向TACACS服務器發送一次在線用戶的計費信息。按照協議,如果服務器對實時計費報文沒有正常響應,設備也不會強制切斷在線用戶。
實時計費間隔時間取值必須爲3的整數倍。
實時計費間隔的取值對設備和TACACS服務器的性能有一定的相關性要求—取值越小,對設備和TACACS服務器的性能要求越高。
1.6 AAA&RADIUS&HWTACACS協議顯示和維護
完成上述配置後,在任意視圖下執行display命令可以顯示配置後AAA、RADIUS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
1.7 AAA&RADIUS協議典型配置舉例
1.7.1 Telnet/SSH用戶通過RADIUS服務器認證的應用配置
說明:
SSH用戶和Telnet用戶通過RADIUS服務器進行認證的配置方法類似,下面的描述以Telnet用戶的遠端認證爲例。
1. 組網需求
在圖1-7所示的環境中,需要通過配置交換機實現RADIUS服務器對登錄交換機的Telnet用戶進行認證。
一臺RADIUS服務器(擔當認證RADIUS服務器的職責)與交換機相連,服務器IP地址爲10.110.91.164;
設置交換機與認證RADIUS服務器交互報文時的共享密鑰爲“expert”。
RADIUS服務器可使用CAMS服務器。使用第三方RADIUS服務器時,RADIUS方案中的server-type可以選擇standard類型或huawei類型。
在RADIUS服務器上設置與交換機交互報文時的共享密鑰爲“expert”;
設置驗證的端口號;
添加Telnet用戶名及登錄密碼。
如果RADIUS方案中設置交換機不從用戶名中去除用戶域名而是一起傳給RADIUS服務器,RADIUS服務器上添加的Telnet用戶名應爲“userid@isp-name”形式。
2. 組網圖
3. 配置步驟
# 配置Telnet用戶採用AAA認證方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS的關聯。
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme cams
Telnet用戶登錄時輸入用戶名userid @cams,以使用cams域進行認證。
1.7.2 FTP/Telnet用戶本地認證配置
說明:
FTP用戶與Telnet用戶通過本地認證的配置方法類似,下面描述僅以Telnet用戶爲例。
1. 組網需求
如下圖所示的環境中,現需要通過配置交換機實現對登錄交換機的Telnet用戶進行本地認證。
2. 組網圖
3. 配置步驟
(1) 方法一:使用本地認證方案。
# 進入系統視圖。
<Quidway> system-view
System View: return to User View with Ctrl+Z.
[Quidway]
# 配置Telnet用戶採用AAA認證方式。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
[Quidway-ui-vty0-4] quit
# 創建本地用戶telnet。
[Quidway] local-user telnet
[Quidway-luser-telnet] service-type telnet
[Quidway-luser-telnet] password simple huawei
[Quidway-luser-telnet] attribute idle-cut 300 access-limit 5
[Quidway] domain system
[Quidway-isp-system] scheme local
使用Telnet登錄時輸入用戶名爲telnet@system,以使用system域進行認證。
(2) 方法二:使用本地RADIUS服務器
這種方法與1.7.1 節中的遠端RADIUS認證方法類似,只需要將1.7.1 節中“配置RADIUS方案”中的服務器IP地址修改爲127.0.0.1,認證密碼修改爲huawei,認證服務的UDP端口號修改爲1645,並配置本地用戶即可(本地用戶名是否帶域名的設置需要與RADIUS方案中的設置一致)。
1.7.3 配置Telnet用戶通過TACACS服務器進行認證和授權
1. 組網需求
通過配置交換機實現TACACS服務器對登錄交換機的Telnet用戶進行認證、授權。
一臺TACACS服務器(其擔當認證、授權、計費服務器的職責)與交換機相連,服務器IP地址爲10.110.91.164,設置交換機與認證、授權、計費TACACS服務器交互報文時的共享密鑰均爲“expert”,設置交換機除去用戶名中的域名後再將之傳給TACACS服務器。
在TACACS服務器上設置與交換機交互報文時的共享密鑰爲“expert”。
2. 組網圖
3. 配置步驟
# 添加Telnet用戶。
此處略。
# 配置HWTACACS方案。
<Quidway> system-view
[Quidway] hwtacacs scheme hwtac
[Quidway-hwtacacs-hwtac] primary authentication 10.110.91.164 49
[Quidway-hwtacacs-hwtac] primary authorization 10.110.91.164 49
[Quidway-hwtacacs-hwtac] key authentication expert
[Quidway-hwtacacs-hwtac] key authorization expert
[Quidway-hwtacacs-hwtac] user-name-format without-domain
[Quidway-hwtacacs-hwtac] quit
# 配置domain引用名爲hwtac的HWTACACS方案。
[Quidway] domain hwtacacs
[Quidway-isp-hwtacacs] scheme hwtacacs-scheme hwtac
1.8 AAA&RADIUS&HWTACACS常見配置錯誤舉例
1.8.1 RADIUS常見配置錯誤舉例
RADIUS協議在TCP/IP協議族中處於應用層,它主要規定交換機與ISP的RADIUS服務器間如何交互用戶信息,因此它失效的可能性比較大。
錯誤之一:用戶認證/授權總是失敗
錯誤排除:
(1) 用戶名不是“userid@isp-name”的形式,或設備沒有指定缺省的ISP域——請使用正確形式的用戶名或在設備中設定缺省的ISP域。
(2) RADIUS服務器的數據庫中沒有配置該用戶——檢查RADIUS服務器的數據庫以保證該用戶的配置信息確實存在。
(3) 用戶側輸入的密碼不正確——請保證接入用戶輸入正確的密碼。
(4) RADIUS服務器和設備的報文共享密鑰不同——請仔細比較兩端的共享密鑰,確保它們相同。
(5) 設備與RADIUS服務器之間存在通信故障(可以通過在設備上ping RADIUS服務器來檢查)——請保證設備與RADIUS服務器之間能夠正常通信。
錯誤之二:RADIUS報文無法傳送到RADIUS服務器
錯誤排除:
(1) 設備與RADIUS服務器之間的通信線路不通(物理層/鏈路層)——請保證線路通暢。
(2) 設備上沒有設置相應的RADIUS服務器IP地址——請保證正確設置RADIUS服務器的IP地址。
(3) 認證/授權和計費服務的UDP端口設置得不正確——請保證與RADIUS服務器提供的端口號一致。
錯誤之三:用戶認證通過並獲得授權,但是不能向RADIUS服務器傳送計費話單。
錯誤排除:
(1) 計費端口號設置得不正確——請正確設置RADIUS計費端口號。
(2) 計費服務器和認證/授權服務器不是同一臺機器,設備卻要求認證/授權和計費在同一個服務器(IP地址相同)——請保證設備的認證/授權和計費服務器的設置與實際情況相同。
1.8.2 HWTACACS常見配置錯誤舉例
HWTACACS的常見配置錯誤舉例與RADIUS基本相似,可以參考上面內容。
案例配置:ACS+AAA+RADIUS:
配置步驟:
AAA服務器配置:
交換機配置:
創建radius
[Quidway] radius scheme system
[Quidway-radius-system] primary authentication 192.168.100.100 1812
[Quidway-radius-system] primary accounting 192.168.100.100 1813
[Quidway-radius-system] key authentication test@123
[Quidway-radius-system] key accounting test@123
[Quidway-radius-system] user-name-format with-domain
[Quidway-radius-system] quit
# 創建domain,配置domain和RADIUS的關聯。
[Quidway] domain wj
[Quidway-isp-system] scheme radius-scheme wj
[Quidway-isp-system] accounting optional
#在全局模式下,指定domain system 爲默認的缺省域。
[Quidway] domain default enable wj
# 配置Terminal用戶採用AAA認證方式。
[Quidway-ui-con]user-interface vty 0 4
[Quidway-ui-con] authentication-mode scheme
配置信息查看:
在pc機上telnet驗證:
![clip_image002[6]](http://4459021.blog.51cto.com/attachment/201203/12/4449021_1331564130hZtH.jpg "clip_image002[6]")