配置指導(dǎo)導(dǎo)讀手冊(cè)-09安全

通信技術(shù)的商標(biāo)。對(duì)于本手冊(cè)中出現(xiàn)的其它公司的商標(biāo)、產(chǎn)品標(biāo)識(shí)及商品名稱，由各自權(quán)H3C并不確保手冊(cè)內(nèi)容完全沒有錯(cuò)誤，本手冊(cè)中的所有陳述、信息和建議也不構(gòu)成任何AAA、802.1X、MAC地址認(rèn)證、Portal認(rèn)證等接入認(rèn)證特性，以及IPSourceGuard、ARP防御等安全防御特性。802.1X配802.1X支持EAD快速M(fèi)AC地址認(rèn)證SSH2.0配IPSourceGuardARP防御配URPF配格意粗命令行關(guān)鍵字（命令中保持不變、必須照輸?shù)牟糠郑┎捎眉哟肿煮w表斜命令行參數(shù)（命令中必須由實(shí)際值進(jìn)行替代的部分）采用斜體[[]{x|y|...[x|y|...{x|y|...}[x|y|...]&<1-#由“#”號(hào)開始的行表示為注釋行格意<<>[[]/H3CS7500E系列以太網(wǎng)交換機(jī)的配套資料包括如下部分單板H3CS7500EH3CN68機(jī)柜安裝及改制指導(dǎo)您如何安裝N68機(jī)柜及改制N68機(jī)H3C可插拔SFP[SFP+][XFP]模塊安裝幫助您掌握SFP/SFP+/XFP模塊的正確安裝方幫助您掌握PoE（LSBM1POEDIMMH）的安裝方（LSQM1POEDIMMS0）的安裝]冊(cè)幫助您了解PWR-SPA電源模塊適配器的功能、PSR650電源模塊使用您可以通過H3C ）獲取的產(chǎn)品資料 與產(chǎn)品資料相關(guān)的主要欄目介紹如下 ： 目AAA簡 1概 1 2 2 3 3 4 7 7 7 8 11 配置 1 1 2 2 6 AAA顯示和............................................................................................................................................2- 1 1 1 2 3 7 1 1 1 1 2802.1X配 1 1 1 1 2 3 4 4 5 8配置 配置Guest 配置Auth-Fail 802.1X顯示和.......................................................................................................................................5- 802.1X支持EAD快速部署配 1 1概 1 1 1 1 1 2 2 3 4 4 1 1 1 1 1 2 2下發(fā) 2下發(fā) 2 2 3 3 3 4 5 5 6 8 1 1 1 1 1 3 3 5 6 6配置 6 7 8 8 9 9 端口安全配 1 1概 1 1 1 3 4 4 4 4 5 5 5 6 7配置NeedToKnow特 7 7 8 9 9 9 UserProfile配 1 1 1創(chuàng)建User 1 1創(chuàng)建User 2配置User 2激活User 3公鑰管理配 1 1 1 1 1 2 2 3 3 3 5 5 7SSH2.0配 1SSH2.0簡 1概 1 1 4 4 4 5 5 6 7 9 1 1 1 1 1 1 2 2 2 3 4 5 5 5 9IPSourceGuard配 1IPSourceGuard簡 1 2 2IPSourceGuard顯示和....................................................................................................................14-IPSourceGuard典型配置舉 3 3 5 6 8 9 9ARP防御配 1 1 1 2 2 2 3 3 3 3 3 4 5 5 5 5 5 6 8 9配置 1 1 1 1 2AAA簡 S7500EIRF（InligentResilientFramework）特性，兩臺(tái)配置了IRF功能的S7500E交換機(jī)連接后即形成一臺(tái)分布式IRF設(shè)備。S7500E系列交換機(jī)未形成IRF時(shí)，適用本手冊(cè)中的“分布式設(shè)備”的情況；形成IRF后則適用本手冊(cè)中的“分布式IRF設(shè)備”的情況。有關(guān)IRF特性的詳細(xì)介紹，請(qǐng)參見“IRF配置指導(dǎo)”中的“IRF配置”。AAA是Authentication、Authorization、Accounting（認(rèn)證、、計(jì)費(fèi)）的簡稱，是的基本組網(wǎng)結(jié)構(gòu)如圖1-1。圖1-1AAA當(dāng)用戶想要通過某網(wǎng)絡(luò)與NAS建立連接，從而獲得其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí)，NAS起到了驗(yàn)證用戶或?qū)?yīng)連接的作用。NAS負(fù)責(zé)把用戶的認(rèn)證、、計(jì)費(fèi)信息透傳給（RADIUSHWTACACS服務(wù)器），RADIUS協(xié)議HWTACACS協(xié)議規(guī)定了NAS 員可以用戶對(duì)服務(wù)器中的文件進(jìn)行和打印操作；它不僅是一種計(jì)費(fèi)，也對(duì)起到了監(jiān)視作用。當(dāng)然，用戶可以只使用AAA提供的一種或兩種安全服務(wù)。例如，公司僅僅想讓員工在某些特定資源的時(shí)候進(jìn)行認(rèn)證，那么網(wǎng)絡(luò)管理員只要配置認(rèn)證服務(wù)器就可以了。但是若希望對(duì)員工使在實(shí)際應(yīng)用中，最常使用RADIUS協(xié)議。RADIUS性、又允許用戶的各種網(wǎng)絡(luò)環(huán)境中。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機(jī)制，并規(guī)定UDP端口1812、1813分別作為認(rèn)證、計(jì)費(fèi)端口。RADIUS最初僅是針對(duì)撥號(hào)用戶的AAA協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展，RADIUS也適應(yīng)多種用戶接入方式，如以太網(wǎng)接入、ADSL接入。它通過認(rèn)證來提供接入服務(wù)，通過計(jì)費(fèi)客戶端/服務(wù)器?？蛻舳耍篟ADIUSNAS設(shè)備上，可以遍布整個(gè)網(wǎng)絡(luò)，負(fù)責(zé)傳輸用戶信息到指服務(wù)器：RADIUS服務(wù)器一般運(yùn)行在中算機(jī)或工作站上，相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)信息，負(fù)責(zé)接收用戶連接請(qǐng)求并認(rèn)證用戶，然后給客戶端返回所有需要的信息（如接RADIUS服務(wù)器通常要三個(gè)數(shù)據(jù)庫，如圖1-2所示圖1-2RADIUS“Users”：用于用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置信息）“Clients”：用于RADIUS客戶端的信息（如接入設(shè)備的共享密鑰、IP地址等）密鑰不能通過網(wǎng)絡(luò)來傳輸，增強(qiáng)了信息交互的安全性。另外，為防止用戶在不安全的網(wǎng)絡(luò)上傳RADIUS圖1-3RADIUS(1)用戶輸入用戶名認(rèn)證請(qǐng)求認(rèn)(1)用戶輸入用戶名認(rèn)證請(qǐng)求認(rèn)證接受 計(jì)費(fèi)開始請(qǐng)求計(jì)費(fèi)開始請(qǐng)求響應(yīng)(6)用 資計(jì)費(fèi)結(jié)束請(qǐng)求計(jì)費(fèi)結(jié)束請(qǐng)求響應(yīng)(9)通 結(jié)RADIUS客戶端根據(jù)獲取的用戶名和，向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求RADIUS服務(wù)器對(duì)用戶名和進(jìn)行認(rèn)證。如果認(rèn)證成功，RADIUS服務(wù)器向RADIUS客戶由于RADIUS協(xié)議合并了認(rèn)證和的過程，因此認(rèn)證接受包中也包含了用戶的信息。端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開始請(qǐng)求包（Accounting-Request）。用戶請(qǐng)求斷開連接，RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包（Accounting-Request）RADIUSRADIUS采用UDP報(bào)文來傳輸消通過定時(shí)器管理機(jī)制重傳機(jī)備用服務(wù)器圖1-4RADIUSCode表1-1Code1否接入該用戶。該報(bào)文中必須包含User-Name屬性，可選包含234方向Client->Server，Client將用戶信息傳輸?shù)絊erver，請(qǐng)求Server開始/停止計(jì)費(fèi)，由該報(bào)文中的Acct-Status-Type屬性區(qū)分計(jì)費(fèi)開始請(qǐng)求和計(jì)費(fèi)5求包和響應(yīng)包的Identifier值相同。長度為2個(gè)字節(jié)，表示RADIUS數(shù)據(jù)括CodeIdentifierLengthAuthenticator和Attribute）長度小于Length域的值時(shí)，則包會(huì)被丟棄。包括兩種類型：RequestAuthenticator和ResponseAuthenticator。Attribute長度（Length），表示該屬性（包括類型、長度和屬性）表1-2RADIUS1User-2User-3CHAP-4NAS-IP-5NAS-67Acct-Link-8Framed-IP-9Framed-IP-56-CHAP-Login-IP-NAS-Port-Login-Port-Login-TCP-Login-LAT-Reply-Callback-Tunnel-Client-Callback-ARAP-ARAP-ARAP-Zone-ARAP-ARAP-Security-Called-Station-Connect-Calling-Station-Configuration-NAS-Message-Login-LAT-Login-LAT-Login-LAT-Framed-AppleTalk-ARAP-Challenge-Framed-AppleTalk-NAS-Port-Acct-Delay-Tunnel-Client-Auth-1-2中所列的屬性由RFC2865、RFC2866、RFC2867和RFC2868常用RADIUS標(biāo)準(zhǔn)屬性的介紹請(qǐng)參見 常用RADIUS標(biāo)準(zhǔn)屬性”RADIUS于設(shè)備廠商對(duì)RADIUS進(jìn)行擴(kuò)展，以實(shí)現(xiàn)標(biāo)準(zhǔn)RADIUS沒有定義的功能。。如圖所示，26Vendor-ID4字節(jié)，表示廠商代號(hào)，最高字節(jié)0，其3字節(jié)的編碼見RFC1700。H3C公司的Vendor-ID2011。H3CRADIUS擴(kuò)展屬性的介紹請(qǐng)參見“1.6.2H3CRADIUS擴(kuò)展Vendor-Length，表示該子屬性長度Vendor-DataHWTACACS（HWTerminalAccessControllerAccessControlSystem，HW終端控制器控制系統(tǒng)協(xié)議）是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn)NAS與HWTACACS服務(wù)器之間的通信。Dial-upNetwork，虛擬私有撥號(hào)網(wǎng)絡(luò)）接入用戶及終端用戶的認(rèn)證、和計(jì)費(fèi)。其典型應(yīng)用是對(duì)需要登錄到設(shè)備上進(jìn)行操作的終端用戶進(jìn)行認(rèn)證、、計(jì)費(fèi)。設(shè)備作為HWTACACS的客戶端，HWTACACSRADIUSHWTACACS協(xié)議與RADIUS協(xié)議都實(shí)現(xiàn)了認(rèn)證、、計(jì)費(fèi)的功能，它們有很多相似點(diǎn)：結(jié)構(gòu)上展性。兩者之間存在的主要區(qū)別如表1-3所示。RADIUS協(xié)使用TCP使用UDP，網(wǎng)絡(luò)傳輸效率用一個(gè)HWTACACS服務(wù)器進(jìn)行認(rèn)證，另外一個(gè)HWTACACS令行受到用戶級(jí)別和AAA的雙重限制，某一級(jí)HWTACACS互流程圖如圖1-6所示。圖1- 用戶登認(rèn)證開始報(bào)用戶登認(rèn)證開始報(bào)認(rèn)證回應(yīng)報(bào)文，請(qǐng)求向用戶申請(qǐng)用戶用戶輸入用戶認(rèn)證持續(xù)報(bào)文，向服務(wù)器端發(fā)用戶認(rèn)證回應(yīng)報(bào)文，請(qǐng)向用戶申用戶輸認(rèn)證持續(xù)報(bào)文，向服務(wù)器端認(rèn)證回應(yīng)報(bào)文，認(rèn)證通回應(yīng)報(bào)文 通用戶登錄成計(jì)費(fèi)開始報(bào)計(jì)費(fèi)開始報(bào)文回用戶退計(jì)費(fèi)結(jié)束報(bào)計(jì)費(fèi)結(jié)束報(bào)文回 HWTACACSHWTACACS服務(wù)器發(fā)送認(rèn)證持續(xù)報(bào)文，其中包括了用戶輸入HWTACACS客戶端收到登錄后，向HWTACACS服務(wù)器發(fā)送認(rèn)證持續(xù)報(bào)文，其中包括ISP（InternetServiceProvider，Internet服務(wù)提供者）ISP的用戶構(gòu)成的戶登錄時(shí)提供的用戶名決定的，如圖1-7所示。圖1-7的ISP域下未應(yīng)用任何認(rèn)證、、計(jì)費(fèi)方案，系統(tǒng)將使用缺省的認(rèn)證、、計(jì)費(fèi)方案。lan-access用戶：LAN接入用戶，如802.1X認(rèn)證、MAC命令行：用戶執(zhí)行的每一條命令都需要接受服務(wù)器的檢查，只有成功令才被允許執(zhí)行。關(guān)于命令行的詳細(xì)介紹請(qǐng)參考“基礎(chǔ)配置指導(dǎo)”中的“配置用戶通過CLI命令行計(jì)費(fèi)：用戶執(zhí)行過的所有命令或被成功執(zhí)行令，會(huì)被計(jì)費(fèi)服務(wù)器進(jìn)行記錄。CLI登錄設(shè)備”。細(xì)介紹請(qǐng)參考“基礎(chǔ)配置指導(dǎo)”中的“CLI配置”。AAA支持在ISP域視圖下針對(duì)不同的接入方式配置不同的認(rèn)證、、計(jì)費(fèi)的方法（一組不同的認(rèn)證//計(jì)費(fèi)方案），具體的配置步驟請(qǐng)參見“2.3在ISP域中配置實(shí)現(xiàn)AAA的方法”。RFC2865：RemoteAuthenticationDialInUserServiceRFC2866：RADIUSRFC2867：RADIUSAccountingModificationsforTunnelProtocolRFC2868：RADIUSAttributesforTunnelProtocolRFC2869：RADIUSRFC1492：AnAccessControlProtocol,SometimesCalledRADIUSRADIUS表1-4RADIUS1User-2User-Access-Request3CHAP-屬性出現(xiàn)在Access-Request報(bào)文中4NAS-IP-Server通過不同的IP地址來標(biāo)識(shí)不同的Client，通常Client采用本地一個(gè)接口的Client的NAS-IP-Address。該字段僅出現(xiàn)在Access-Request報(bào)文中5NAS-67用戶Frame8為用戶所配置的IPNAS之間數(shù)據(jù)鏈路的MTU802.1X的EAP方式認(rèn)證中，NAS通過Framed-MTUServerEAPEAP報(bào)文大于數(shù)據(jù)鏈路MTU導(dǎo)致的報(bào)文丟失Login-IP-用戶登錄設(shè)備的接口IPLogin-Reply-Calling-Station-NAS用于向Server告知標(biāo)識(shí)用戶的號(hào)碼，在設(shè)備提供的lan-access業(yè)務(wù)中，該字段填充的是用戶的MAC地址，采用的“HHHH-HHHH-HHHH”格式封裝NAS-NAS用來向Server標(biāo)識(shí)自己的名3：Interium-4：Reset-8：Accounting-Off（3GPP中有定義9-14：forTunnel15：forCHAP-NAS-Port-NAS認(rèn)證用戶的端口的物理15：以16：所有種類的17：Cable（有線電視電纜如果在ATM或以太網(wǎng)端口上還劃分VLAN，則該屬性值為持EAP認(rèn)證方式被使用NAS-Port-表1-5H3CRADIUS12345Output-Average-61：Trigger-2：Terminate-對(duì)于FTPRADIUS客戶端作為FTP服務(wù)器的時(shí)候，該屬性用于設(shè)置RADIUS客戶端上的FTPEXEC用戶優(yōu)NAS系統(tǒng)啟動(dòng)時(shí)刻，以秒為單位，表示從197011UTC認(rèn)證請(qǐng)求和計(jì)費(fèi)請(qǐng)求報(bào)文中攜帶的用戶IP地址和MAC地址，格式為設(shè)備的用戶列表中，用于校驗(yàn)802.1X客戶端的握手報(bào)文SSL用戶認(rèn)證成功后下發(fā)的用戶組，一個(gè)用戶可以屬于多個(gè)用戶組，多個(gè)用戶組之間使用分號(hào)格開。本屬性用于SSL設(shè)備的配合SSL用戶安全認(rèn)證之后下發(fā)的安全級(jí)兩次實(shí)時(shí)計(jì)費(fèi)間隔的輸入的字節(jié)差，以Byte兩次實(shí)時(shí)計(jì)費(fèi)間隔的輸出的字節(jié)差，以ByteBackup-NAS-RADIUS報(bào)文的備份源IP圖2-1AAA表2-1AAA在ISP域中配置實(shí)現(xiàn)AAA創(chuàng)建ISP配置ISP方 至少選其配置NAS-ID與VLAN界面認(rèn)證方式的詳細(xì)介紹請(qǐng)參見“基礎(chǔ)配置指導(dǎo)/配置用戶通過CLI登錄設(shè)備”。配置AAA當(dāng)選擇使用本地認(rèn)證方ocal）對(duì)用戶進(jìn)行認(rèn)證時(shí)，應(yīng)在設(shè)備上創(chuàng)建本地用戶并配置相關(guān)屬性。請(qǐng)求網(wǎng)絡(luò)服務(wù)，block表示該用戶請(qǐng)求網(wǎng)絡(luò)服務(wù)。 3.配置用戶組屬性”。戶MAC地址、用戶所屬VLAN。各屬性的使用及支持情況請(qǐng)見表2-3。用戶屬用戶認(rèn)證通過后，接入設(shè)備下發(fā)給用戶的權(quán)限。可支持的屬性包括：ACL、PPP回呼號(hào)碼、閑置切換功能、用戶級(jí)別、UserProfile、VLAN、FTP/SFTP工作。各屬性的使用及支持情況請(qǐng)見表2-3。表2-.12.2.1表2-3-{auto|cipher-force缺省情況下，所有接入用戶的顯password{cipher|simplestate{active|blockservice-type{ftp|lan-access{ssh|net|terminal}*|portalbind-attribute{call-call-number[:subcall-number]|ip-address|locationport-number|macmac-addressvlanvlan-id}location、mac和vlan；authorization-attribute{acl-number|callback-callback-number|idle-cutminutelevellevel|user-profileprofile-|vlanvlan-id|work-directory-name}ppp用戶支持屬性acl、性acl、idle-cut、user-profile和level；用戶組systemlocal-userpassword-display-modecipher-forcepassword命令指定明文顯示（即simple方式），也會(huì)顯示為密文。同樣，若強(qiáng)制用戶密文顯示并使用save命令保存當(dāng)前配置，重啟設(shè)備后，即使恢復(fù)為auto方式，原來配置為明文顯如果配置登錄交換機(jī)的認(rèn)證方式需要用戶名和（包括本地認(rèn)證、RADIUS認(rèn)證、HWTACACS認(rèn)證），則用戶登錄系統(tǒng)后所能令級(jí)別由用戶被的級(jí)別確定，其它認(rèn)證方式下則由用戶界面所能令級(jí)別確定。對(duì)于SSH用戶，使用公鑰認(rèn)證時(shí)，其所能使用令以用戶界面上設(shè)置的級(jí)別為準(zhǔn)。關(guān)于登錄交換機(jī)的認(rèn)證方式與用戶界面所能CLI登錄設(shè)備”和“CLI戶屬性的集合，某些需要集中管理的屬性可在用戶組中配置和管理，用戶組內(nèi)的所有本地用戶用戶所屬的用戶組可以通過使用本地用戶視圖下的group命令來修改。表2-4-authorization-attribute{acl-number|callback-callback-number|idle-cutminutelevellevel|user-profileprofile-|vlanvlan-id|work-directory-name}表2-5（分布式設(shè)備displaylocal-user[idle-cut{disable|enable}|service-type{ftp|lan-access|portal|ssh|net|terminal}|state{active|block}|user-nameuser-name|vlanvlan-id][slotslot-number]displaylocal-user[idle-cut{disable|enable}|service-type{ftp|lan-access|portal|ssh|net|terminal}|state{active|block}|user-nameuser-name|vlanvlan-id][chassischassis-numberslotslot-number]displayuser-group[group-nameRADIUSRADIUS方案中定義了設(shè)備和RADIUS服務(wù)器之間進(jìn)行信息交互所必須的一些參當(dāng)創(chuàng)建一個(gè)新的RADIUS方案之后，需要對(duì)屬于此方案的RADIUS服務(wù)器的IP地址、UDP端進(jìn)行設(shè)置，這些服務(wù)器包括認(rèn)證/和計(jì)費(fèi)服務(wù)器，而每種服務(wù)器又有主服務(wù)器和從服務(wù)器的區(qū)別。每個(gè)RADIUS方案的屬性包括：主服務(wù)器的IP地址、從服務(wù)器IP地址、共享密鑰以及RADIUS服務(wù)RADIUS配置任務(wù)簡表2-6RADIUS..22.2.2RADIUS2.2.2配置RADIUS2.2.2配置發(fā)送給RADIUS..22.2.2 2.2.2配置RADIUSAttribute25CAR2.2.2RADIUS2.2.2RADIUS表2-7RADIUS-radius配置RADIUS認(rèn)證/服務(wù)表2-8配置RADIUS認(rèn)證/服務(wù)--配置主RADIUS認(rèn)證 uthentication{ip-addressipv6ipv6-address}[port-number配置從RADIUS認(rèn)證secondaryauthentication{ip-addressipv6ipv6-address}[port-number在實(shí)際組網(wǎng)環(huán)境中，可以指定兩臺(tái)RADIUS服務(wù)器分別作為主、從認(rèn)證/服務(wù)器；也可以主服務(wù)器和從服務(wù)器的IP地址版本必須保持一致；認(rèn)證/服務(wù)器和計(jì)費(fèi)服務(wù)器的IP地址版RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)參--配置主RADIUS計(jì)費(fèi)服 ccounting{ip-addressipv6ipv6-address}[port-number配置從RADIUS計(jì)費(fèi)服secondaryaccounting{ip-addressipv6ipv6-address}[port-numberretrystop-accountingretry-的最大次數(shù)為500和計(jì)費(fèi)端配置得不同。設(shè)備提供對(duì)連續(xù)實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)次數(shù)限制的設(shè)置——在設(shè)備向RADIUS服務(wù)器發(fā)出的實(shí)時(shí)主服務(wù)器和從服務(wù)器的IP地址版本必須保持一致；計(jì)費(fèi)服務(wù)器和認(rèn)證/服務(wù)器的IP地址版RADIUS報(bào)文的共享密RADIUS客戶端與RADIUS服務(wù)器使用MD5算法來加密RADIUS報(bào)文雙方通過設(shè)置共享密鑰來驗(yàn)證報(bào)文的。只有在密鑰一致的情況下，彼此才能接收對(duì)方發(fā)來的報(bào)文并作出響應(yīng)。--key{accounting|authentication}配置發(fā)送RADIUS報(bào)文的最大嘗試次由于S協(xié)議采用DP報(bào)文來承載數(shù)據(jù)，因此其通信過程是不可靠的。如果IS服務(wù)器在應(yīng)答超時(shí)定時(shí)器規(guī)定的時(shí)長內(nèi)沒有響應(yīng)設(shè)備，則設(shè)備有必要向S服務(wù)器重傳AS請(qǐng)求報(bào)文如果累計(jì)的傳送次數(shù)超過最大嘗試次數(shù)而S服務(wù)器仍舊沒有響應(yīng)則認(rèn)為本次認(rèn)證失敗關(guān)于S服務(wù)器狀態(tài)的相關(guān)內(nèi)容，請(qǐng)參見2 .配置IS服務(wù)器的狀態(tài)”。-radius-設(shè)置發(fā)送RADIUS的最大嘗retryretry-試次數(shù)為3次配置支持的RADIUS服務(wù)器的類-radius-server-type{extendedstandardstandardRADIUSRADIUS服務(wù)器的數(shù)據(jù)流的單務(wù)器時(shí)，RADIUS服務(wù)器類型可以選擇standard類型或extended類型。RADIUS服務(wù)器的RADIUS方案中各服務(wù)器的狀態(tài)（active、block）決定了設(shè)備向哪個(gè)服務(wù)器發(fā)送請(qǐng)求報(bào)文，以及blockactivetimerquiet設(shè)定的時(shí)間達(dá)到后主服務(wù)器狀態(tài)自動(dòng)恢復(fù)為active，從服務(wù)器狀態(tài)不變，設(shè)備與主服務(wù)器進(jìn)行通信。后續(xù)當(dāng)主/block時(shí)，設(shè)備僅與主服務(wù)器通信，若主服務(wù)器可達(dá)，則主服務(wù)器狀態(tài)變?yōu)閍ctive，否則保持不變。表2-13RADIUS--服statepriblock}uthentication{activestatepriblock}ccounting{active缺省情況下，RADIUS方案中配置了IPRADIUS服務(wù)器的狀態(tài)均為active服statesecondaryauthentication{activeblockstatesecondaryaccounting{activeblockstate命令設(shè)置的服務(wù)器狀態(tài)屬于動(dòng)態(tài)信息，不能被保存在配置文件中，設(shè)備重啟后，服務(wù)器狀態(tài)恢復(fù)為缺省狀態(tài)active。配置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)相關(guān)屬--設(shè)置發(fā)送給RADIUS服務(wù)器user-name-format{keep-originalwith-|without-務(wù)器的用戶名攜帶有ISP設(shè)置發(fā)送給RADIUS服務(wù)器data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*據(jù)包的單位為one-packet由于有些較早期的RADIUS服務(wù)器不能接受攜帶有ISP的用戶名因此必需將用戶名的域名去除后再傳送給RADIUS服務(wù)器?？梢酝ㄟ^命令user-name-formatwithout-來指定發(fā)送給RADIUS服務(wù)器的用戶名不攜帶ISP。如果指定某個(gè)RADIUS方案不允許用戶名中攜帶有ISP那么請(qǐng)不要在兩個(gè)乃至兩個(gè)以上的ISPRADIUS方案，否則，會(huì)出現(xiàn)雖然實(shí)際用戶不同（ISP域中）、但RADIUS服務(wù)器認(rèn)為用戶相同（因?yàn)閭魉偷剿挠脩裘嗤┑腻e(cuò)誤。對(duì)于級(jí)別切換認(rèn)證，命令user-name-formatkeep-original與user-name-formatwithout-的執(zhí)行效果一樣，發(fā)送給RADIUS服務(wù)器的用戶名都不攜帶ISP。RADIUSRADIUS服務(wù)器上的流量統(tǒng)計(jì)單位保持一致，RADIUS方案視圖下令nas-ip只對(duì)本RADIUS方案有效，系統(tǒng)視圖下令radiusnas-ip對(duì)所有RADIUS方案有效。RADIUS方案視圖下的設(shè)置具有更高的優(yōu)先級(jí)。-radiusnas-ip{ip-address|--nas-ip{ip-address|ipv6ipv6-address計(jì)費(fèi)請(qǐng)求）傳送出去一段時(shí)間后，設(shè)備還沒有得到RADIUS服務(wù)器的響應(yīng)，則有必要重傳主服務(wù)器恢復(fù)激活狀態(tài)定時(shí)器（quiet）：block，設(shè)備會(huì)與斷與從服務(wù)器通信。這段時(shí)間被稱為RADIUS主服務(wù)器恢復(fù)激活狀態(tài)時(shí)長。RADIUS服務(wù)器發(fā)送一-radius-timerresponse-timeout定時(shí)器為3秒timerquiet要等待5分鐘timerrealtime-accountingRADIUS服務(wù)器發(fā)送一次用戶的RADIUSRADIUS服務(wù)器應(yīng)答超時(shí)時(shí)間的乘積上限由各接入模塊的客戶端連接超時(shí)時(shí)間上限決定，且該乘積過75秒。不同接入模塊配置的RADIUS服務(wù)器應(yīng)答超時(shí)時(shí)間與發(fā)送請(qǐng)求報(bào)文的最大嘗試次數(shù)乘積不能大RADIUS報(bào)文的應(yīng)答超時(shí)時(shí)間與發(fā)送請(qǐng)求報(bào)文的最大嘗試次數(shù)的乘積不能大于等于10秒；對(duì)于net接入，其客戶端連接超時(shí)時(shí)間為30秒，所以此乘積不能大于等于30秒。EAD方案的是整合與聯(lián)動(dòng)，其中的安全策略服務(wù)器是EAD方案中的管理與控制中心，它作為一個(gè)的集合，兼具用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)iMCIP地址相同時(shí)，本特性可不配置，除此之外，當(dāng)設(shè)備收到服務(wù)器的控制報(bào)文時(shí)，若該控制報(bào)文的源IP地址不是本特性指定的地址，則設(shè)備認(rèn)為其。通常，若要支持完整EAD功能，建議在接入設(shè)備上分別iMC安全策略服務(wù)器的IP地址和iMC-radius-器發(fā)送計(jì)費(fèi)或認(rèn)證請(qǐng)求沒有響應(yīng)時(shí)，NAS認(rèn)為服務(wù)器不可達(dá)并輸出Trap信息具體情況NAS向Trap報(bào)文。另外，當(dāng)RADIUS服務(wù)器在不可達(dá)狀態(tài)下收到服務(wù)器發(fā)送的報(bào)文時(shí)，NAS認(rèn)為服務(wù)器可達(dá)，也會(huì)輸出Trap信息。表2-19RADIUSTrap-RADIUSTrap功radius{accounting-server-downRADIUS報(bào)文表2-20使能RADIUS客戶端的端-radiusclientRADIUS25號(hào)屬性為class屬性，該屬性RADIUS服務(wù)器下發(fā)但RFC中并未定義具體的用途，RADIUSclassCAR參數(shù)的下發(fā)，為了支持這種應(yīng)用，可以通過本特性來控制設(shè)備是否將RADIUS25號(hào)屬性解析為CAR參數(shù)。表2-21RADIUSAttribute-radius-attribute25缺省情況下，RADIUSAttribute25表2-22RADIUSdisplayradiusscheme[radius-scheme-name][slotslot-number置信息（分布式IRF設(shè)備）displayradiusscheme[radius-scheme-name][chassis-numberslotslot-numberdisplayradiusstatistics[slotslot-number布式IRF設(shè)備）displayradiusstatistics[chassischassis-numberslotslot-number|session-idsession-id|time-rangestart-timestop-time|user-user-name}[slotslot-number費(fèi)請(qǐng)求報(bào)文（分布式IRF設(shè)備）|session-idsession-id|time-rangestart-timestop-time|user-user-name}[chassischassis-numberslotslot-numberresetradiusstatistics[slotslot-number布式IRF設(shè)備）resetradiusstatistics[chassischassis-numberslotslot-numberresetstop-accounting-buffer{radius-schemeradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[slotslot-number]resetstop-accounting-buffer{radius-schemeradius-server-name|session-idsession-id|time-rangestart-timestop-time|user-nameuser-name}[chassischassis-numberslotslot-number]HWTACACS..32.2.3配置發(fā)送給 服務(wù)器的數(shù)據(jù)相關(guān)屬2.2.3配置發(fā)送HWTACACS報(bào)文使用的源.32.2.3前，必須先創(chuàng)建HWTACACS方案并進(jìn)入其視圖。表2-24HWTACACS-hwtacacs表2-25HWTACACS-hwtacacs- ip-address[port-numbersecondaryip-address[port-number表2-26配置HWTACACS服務(wù)-hwtacacs- uthorizationip-[port-numberip-address[port-number表2-27HWTACACS-hwtacacs- ccountingip-[port-numbersecondaryip-address[port-numberretrystop-retry-使用HWTACACS服務(wù)器作為AAA服務(wù)器時(shí)，可設(shè)置密鑰以提高設(shè)備與HWTACACS服務(wù)器通信HWTACACS客戶端（即設(shè)備系統(tǒng)）HWTACACS服務(wù)器使用MD5算法來加密交互的HWTACACS報(bào)文，雙方通過設(shè)置共享密鑰來驗(yàn)證報(bào)文的。只有在密鑰一致的情況下，雙方-hwtacacs-key{accounting|-hwtacacs-設(shè)置發(fā)送給HWTACACS服務(wù)器的user-name-format{keep-original | 設(shè)置發(fā)送給HWTACACS服務(wù)器的data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*如果HWTACACS服務(wù)器不接受帶的用戶名，可以配置將用戶名的去除后再傳送HWTACACS服務(wù)器 對(duì)于級(jí)別切換認(rèn)證，命令user-name-formatkeep-original與user-name-formatwithout-的效果一樣，發(fā)送給HWTACACS服務(wù)器的用戶名都不攜帶ISP。nas-ip對(duì)所有HWTACACS方案有效。HWTACACS方案視圖下的設(shè)置具有更高的優(yōu)先級(jí)。-hwtacacsnas-ipip--hwtacacs-nas-ipip--hwtacacs-timerresponse-timeouttimerquiet態(tài)前需要等待5分鐘timerrealtime-accounting設(shè)備和HWTACACS服務(wù)器的性能要求越高。表2-33HWTACACS協(xié)議顯示displayhwtacacs[hwtacacs-server-name[statistics]][displayhwtacacs[hwtacacs-server-name[statistics]][chassis-numberslotslot-numberdisplaystop-accounting-bufferhwtacacs-hwtacacs-scheme-name[slotslot-number求報(bào)文（分布式IRF設(shè)備）displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name[chassischassis-numberslotslot-number]resethwtacacsstatistics{accounting|all|authenticationauthorization}[slotslot-numberhwtacacs-scheme-name[slotslot-numberISP域中配置實(shí)現(xiàn)AAA通過在ISP域視圖下預(yù)先配置的認(rèn)證、、計(jì)費(fèi)方案來實(shí)現(xiàn)對(duì)用戶的認(rèn)證、和計(jì)費(fèi)。每所屬的ISP域下未應(yīng)用任何認(rèn)證、、計(jì)費(fèi)方法，系統(tǒng)將使用缺省的認(rèn)證、、計(jì)費(fèi)方法。方案，則請(qǐng)?zhí)崆皠?chuàng)建RADIUS方案或HWTACACS方案。 ISP并為每個(gè)ISP域單獨(dú)配置包括AAA方法（一組不同的認(rèn)證//計(jì)費(fèi)方案）在內(nèi)的屬性集。對(duì)于設(shè)備來說，每個(gè)接入用戶都屬于一個(gè)ISP域。系統(tǒng)中最多可以配置16ISP域，包括一個(gè)系統(tǒng)缺省存在的名稱為system的ISP域。如果某個(gè)用戶在登錄時(shí)沒有提供ISP，系統(tǒng)將把它歸于缺省的ISP域。表2-34ISP-創(chuàng)建ISP-手工配置缺省的ISPdefaultenableisp-缺省ISP域。表2-35ISP-進(jìn)入ISPname-設(shè)置ISPstate{active|block缺省情況下，當(dāng)一個(gè)ISP域被創(chuàng)建以后，其狀態(tài)為active，即允許任何屬設(shè)置當(dāng)前ISP域可容納接入用戶缺省情況下，不對(duì)當(dāng)前ISP域可容納idle-cutenableminute[flowself-service-urlenableurl-配置當(dāng)前ISP域的缺省User缺省情況下，當(dāng)前ISPUser的服務(wù)器即自助服務(wù)器。通過使用自助服務(wù)，用戶可以對(duì)自己的帳號(hào)或進(jìn)行管理和控制。在AAA中，認(rèn)證、和計(jì)費(fèi)是三個(gè)獨(dú)立的業(yè)務(wù)流程。認(rèn)證的職責(zé)是完成各接入或服務(wù)請(qǐng)求的用AAA支持以下認(rèn)證方法：配置在接入設(shè)備上。優(yōu)點(diǎn)是速度快，可以降低運(yùn)營成本；缺點(diǎn)是信息量受設(shè)備硬件條件器之間通過RADIUS或HWTACACS協(xié)議通信。對(duì)于RADIUS協(xié)議，可以采用標(biāo)準(zhǔn)或擴(kuò)展的RADIUS協(xié)議，與iMC等系統(tǒng)配合完成認(rèn)證。優(yōu)點(diǎn)是用戶信息集中在服務(wù)器上管理，可實(shí)現(xiàn)大容量、高可靠性、支持多設(shè)備的集中式認(rèn)證。當(dāng)遠(yuǎn)端服務(wù)器無效時(shí)，可配置本地省認(rèn)證方法為local。如果用戶使用RADIUS或HWTACACS認(rèn)證，則需要先配置要的RADIUS或確定要配置的接入方式或者服務(wù)類型。AAA可以對(duì)不同的接入方式和服務(wù)類型配置不同的認(rèn)-進(jìn)入ISP-authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]戶采用local認(rèn)證方法為lan-access用戶配置認(rèn)證authenticationlan-access{local|noneradius-schemeradius-scheme-name[local]authenticationlogin{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]authenticationportal{local|noneradius-schemeradius-scheme-name[local]hwtacacs-scheme-name|radius-schemeradius-scheme-name}如果配置AAA認(rèn)證方法時(shí)指定了參數(shù)radius-schemeradius-scheme-namelocal或hwtacacs-schemehwtacacs-scheme-namelocallocal為遠(yuǎn)端服務(wù)器沒有正常響應(yīng)后的要求攜帶認(rèn)證的情況下，系統(tǒng)使用用戶名“$enab3@_name$”進(jìn)行用戶級(jí)別切換在AAA中，是一個(gè)和認(rèn)證、計(jì)費(fèi)同級(jí)別的獨(dú)立流程，其職責(zé)是發(fā)送請(qǐng)求給所配置的服務(wù)器，通過后向用戶下發(fā)信息。在ISP域的AAA配置中，方法為可選配置。AAA支持以下方法：是綁定在一起的，不能單獨(dú)使用RADIUS進(jìn)行。RADIUS認(rèn)證成功后，才能進(jìn)行授權(quán)，RADIUS信息攜帶在認(rèn)證回應(yīng)報(bào)文中下發(fā)給用戶。HWTACACS協(xié)議的與認(rèn)證戶、SSH用戶）的默認(rèn)級(jí)別為最低權(quán)限的級(jí)。FTP用戶被默認(rèn)使用設(shè)備的根。如果用戶要使用HWTACACS，則需要先配置要的HWTACACS方案；如果RADIUS，只有在認(rèn)證和方法中相同的RADIUS方案，才起作用表2-37配置ISP域的AAA方-進(jìn)入ISPname-{hwtacacs-hwtacacs-scheme-name[local]||none|radius-radius-scheme-name[local]用local方法{hwtacacs-hwtacacs-scheme-name[localnone]|local|noneauthorizationlan-access{localnone|radius-radius-scheme-name[local]authorization{hwtacacs-hwtacacs-scheme-name[local]||none|radius-radius-scheme-name[local]authorizationportal{local|none|[local]}authorizationdefault命令配置的方法不區(qū)分用戶類型，即對(duì)所有類型的用戶都起作用。RADIUS是特殊的流程，只有在認(rèn)證和方法中的RADIUS方案相同的條件下，RADIUS才起作用。對(duì)于所有RADIUS失敗的情況，失敗返回給NAS的原因?yàn)槿绻渲肁AA方法時(shí)指定了參數(shù)radius-schemeradius-scheme-namelocal或hwtacacs-schemehwtacacs-scheme-namelocal|none]localnone為遠(yuǎn)端服務(wù)器local或者none作為第一方法時(shí)，只能采用本地或者不進(jìn)行，不能再同時(shí)采RADIUS、HWTACACS方案務(wù)器。因此，如果使用RADIUS認(rèn)證和RADIUS，必須保證認(rèn)證和方法中的RADIUS方案相同，否則系統(tǒng)會(huì)給出錯(cuò)誤提示。在AAA中，計(jì)費(fèi)是一個(gè)和認(rèn)證、同級(jí)別的獨(dú)立流程，其職責(zé)為發(fā)送計(jì)費(fèi)開始／更新／結(jié)束請(qǐng)如果不配置計(jì)費(fèi)方法，則ISP域的缺省計(jì)費(fèi)方法為local。如果用戶要使用RADIUS或HWTACACS計(jì)費(fèi)，則需要先配置要的RADIUS方案HWTACACS方案；如果要使用localnone計(jì)費(fèi)，則不需要配置方案確定要配置的接入方式或者服務(wù)類型，AAA-進(jìn)入ISP-accountingaccountingdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]采用local計(jì)費(fèi)方法accountingcommandaccountinglan-access{local|none[local]accountinglogin{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]accountingportal{local|none|[local]}本地計(jì)費(fèi)方法并不用于對(duì)用戶實(shí)施實(shí)際的計(jì)費(fèi)功能只是用來配合本地用戶視圖下的access-limit命令來實(shí)現(xiàn)本地用戶連接數(shù)的限制功能。在計(jì)費(fèi)可選開關(guān)打開的情況下，本地用accountingdefault命令配置的計(jì)費(fèi)方法不區(qū)分用戶類型，即對(duì)所有類型的用戶都起作用。此如果配置AAA計(jì)費(fèi)方法時(shí)指定了參數(shù)radius-schemeradius-scheme-namelocal或hwtacacs-schemehwtacacs-scheme-namelocallocal為遠(yuǎn)端服務(wù)器沒有正常響應(yīng)后的localnone作為第一計(jì)費(fèi)方法，那么只能采用本地認(rèn)證或者不進(jìn)行計(jì)費(fèi)，不能同時(shí)表2-39-cutconnection{access-type{dot1xmac-authentication|portal}|allisp-name|interfaceip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id}[slotslot-number]連接（分布式IRF設(shè)備cutconnection{access-type{dot1x|mac-authentication|portal}|all|isp-name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id}[chassischassis-numberslotslot-number]NAS-IDVLAN在某些應(yīng)用環(huán)境中，依靠VLAN來確定用戶的接入位置，而網(wǎng)絡(luò)運(yùn)營商需要使用接入設(shè)備發(fā)送給RADIUS服務(wù)器的NAS-Identifier屬性值來標(biāo)識(shí)用戶的接入位置，因此接入設(shè)備上需要將NAS-ID的“Portal配置”。表2-40NAS-IDVLAN-NAS-ID-Profile視圖aaanas-idprofileprofile-設(shè)置NAS-ID與VLAN的綁定關(guān)nas-idnas-identifierbindvlanvlan-AAA顯示和displayAAA的運(yùn)行情況，通過查看顯表2-41AAA顯示所有或指定ISP [isp-name（分布式設(shè)備displayconnection[access-type{dot1x|mac-authentication|portal}|isp-name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id][slotslot-number]displayconnection[access-type{dot1x|mac-authentication|portal}|isp-name|interfaceinterface-typeinterface-number|ipip-address|macmac-address|ucibindexucib-index|user-nameuser-name|vlanvlan-id][chassischassis-numberslotslot-number]AAASwitch與認(rèn)證、、計(jì)費(fèi)HWTACACS服務(wù)器交互報(bào)文時(shí)的共享密鑰均為expert，向HWTACACS服務(wù)器發(fā)送的用戶名中不帶。圖3-1net用戶遠(yuǎn)端HWTACACS認(rèn)證、和計(jì)費(fèi)配置組網(wǎng)HWTACACSHWTACACSnet#IP地址（略）#開啟Switch的net服務(wù)器功能 netserver[Switch]user-interfacevty0[Switch-ui-vty0-4]authentication-modescheme[Switch-ui-vty0-4]quit#[Switch]hwtacacsscheme#配置主認(rèn)證服務(wù)器的IP地址為，認(rèn)證端為49。[Switch-hwtacacs-hwtac]pri uthentication49#配置主服務(wù)器的IP地址為，認(rèn)證端為49。[Switch-hwtacacs-hwtac]pri uthorization49#配置主計(jì)費(fèi)服務(wù)器的IP地址為，認(rèn)證端為49。[Switch-hwtacacs-hwtac]pri ccounting49[Switch-hwtacacs-hwtac]keyauthorizationexpert[Switch-hwtacacs-