M0000007中低端路由器AAA及Radius配置(中文版V1.1)定稿資料

課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.01.1驗(yàn)證、授權(quán)和記費(fèi)（ AAA）概述AAA·?é?ll

°D¤?￡¨Authentication ￡|úé¨?￡¨Authorization ￡|?D?¨￡Accounting￡|QuidwaySeriesRouter QuidwaySeriesRouterAAAServer?aμ?éμ?AAA é?ó??tí??μé?AAA驗(yàn)證(Authentication) ：驗(yàn)證用戶身份。授權(quán)(Authorization) ：授權(quán)用戶可以使用哪些服務(wù)。計(jì)費(fèi)(Accounting)：記錄用戶使用網(wǎng)絡(luò)資源的情況，對(duì)用戶進(jìn)行計(jì)費(fèi)。實(shí)現(xiàn)AAA功能可以在本地進(jìn)行，也可以由 AAA服務(wù)器在遠(yuǎn)程進(jìn)行。計(jì)費(fèi)功能由于占用系統(tǒng)資源大通常都使用 AAA服務(wù)器實(shí)現(xiàn)。對(duì)于用戶數(shù)量大的情況，驗(yàn)證和授權(quán)也應(yīng)該使用 AAA服務(wù)器。AAA服務(wù)器與網(wǎng)絡(luò)設(shè)備的通信有標(biāo)準(zhǔn)的協(xié)議， 目前比較流行的是 RADIUS 協(xié)議。1課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 提供AAA支持的服務(wù)??|AAA§??3μ??tí?PPP??3ˉèa·QuidwaySeriesRouterEXEC

Quidway SeriesRouter

FTPClient

QuidwaySeriesRouterPPP：PPP的PAP、CHAP驗(yàn)證的用戶。EXEC：指通過telnet登陸到路由器，以及通過各種方式(如console口，aux口等)進(jìn)入到路由器進(jìn)行配置的操作。FTP：通過ftp登陸到路由器的用戶。2課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 驗(yàn)證與授權(quán)°D¤ó??úé¨?D°?¤úé?¨?óo§??￠?ú?àD°?¤t??í?-?ìPPP?μCHAPD°?¤?o1ò?1?á???1?á??¤3ê?μéò?1、驗(yàn)證用戶名、口令驗(yàn)證：包括PPP的PAP驗(yàn)證、PPP的CHAP驗(yàn)證、EXEC用戶驗(yàn)證、FTP用戶驗(yàn)證。撥號(hào)的PPP用戶可以進(jìn)行主叫號(hào)碼驗(yàn)證。2、授權(quán)服務(wù)類型授權(quán)：對(duì)一個(gè)用戶授權(quán)提供的服務(wù)?？梢允?PPP、EXEC、FTP中的一種或幾種?；睾籼?hào)碼：對(duì) PPP回呼用戶可以設(shè)定回呼號(hào)碼。隧道屬性：配置 L2TP的隧道屬性。驗(yàn)證、授權(quán)可以在本地進(jìn)行，也可以在RADISU服務(wù)器進(jìn)行。但對(duì)一個(gè)用戶的驗(yàn)證和授權(quán)使用相同的方法，即或者驗(yàn)證、授權(quán)均在本地進(jìn)行，或者均使用RADIUS服務(wù)器。3課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 計(jì)費(fèi)及AAA使用特別提醒?D??AAAé?ó??ae??D?á?ó?§éo?ó?é?′?°??o?üé??ó?AAAt?í?????D??úó??êà°D¤μ??ó?§oa?é??§ò???D???o2￡?ì??D?òo¨?????á?üà??￡1aaaaccounting-schemeoptional首次使用AAA，經(jīng)常發(fā)生配置了用戶而驗(yàn)證不通過的情況。這實(shí)際上是由于沒有學(xué)會(huì)靈活使用aaaaccounting-schemeoptional的原因。其實(shí)這種情況不是驗(yàn)證不通過，而是計(jì)費(fèi)失敗，切斷了用戶。因?yàn)殚_始使用的時(shí)候啟用AAA，這時(shí)缺省使用本地驗(yàn)證。而本地驗(yàn)證也是需要計(jì)費(fèi)的，由于沒有配置RADIUS服務(wù)器，造成計(jì)費(fèi)失敗，而因?yàn)闆]有配置aaaaccounting-schemeoptional，在計(jì)費(fèi)失敗時(shí)的處理就是斷開用戶，因此用戶不能成功上網(wǎng)。aaaaccounting-schemeoptional的作用是在計(jì)費(fèi)失敗時(shí)允許用戶繼續(xù)使用網(wǎng)絡(luò)。因此在只驗(yàn)證不計(jì)費(fèi)的情況下，一定要注意配置aaaaccounting-schemeoptional命令。4課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0基本配置命令A(yù)AA·oa???ü?à???üà??aaa-enableaaaaccounting-schemeoptionalèaaaauthentication-schemelogin{default|methods-list}{method1[method2...]}èaaaauthentication-schemeppp{default|methods-list}{method1}[method2...]?¨?3a5?ó?§?°??1￡1radius￠?local￠?none￠?radiuslocal￠?radiusnoneaaa-enable：啟用AAA。aaaaccounting-schemeoptional：計(jì)費(fèi)處理選項(xiàng)。aaaauthentication-schemelogin{default|methods-list}{method1[method2...]}aaaauthentication-schemeppp{default|methods-list}{method1}[method2...]配置login的驗(yàn)證方法表和 ppp的驗(yàn)證方法表，方法表的名字可以是 default也可以自己取。缺省方法表的缺省方法為本地驗(yàn)證。驗(yàn)證方法有三種： radius、local、none。配置多種方法時(shí)，前面的方法失敗則使用后面的方法，這里說的失敗不是驗(yàn)證失敗，而是驗(yàn)證不能成功進(jìn)行，比如與RADIUS服務(wù)器通信失敗，因此只有RADIUS方法才可能有失敗的情況。所以只有 5種有意義的方法組合：后面的方法有 5種有效組合： radius、local、none、radiuslocal、radiusnone。方法表的概念：login只能配置一個(gè)方法表， 配置了方法表即自動(dòng)應(yīng)用到所有需要 AAA的FTP用戶、EXEC用戶?？梢耘渲枚鄠€(gè)方法表，特定的接口使用哪個(gè)方法表還需要將這個(gè)方法表應(yīng)用到接口上。即在接口上配置pppauthentication-mode{chap|pap}[callin][scheme{default|name-list}]，缺省使用default方法表。5課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 本地用戶數(shù)據(jù)庫a?μ?ó?§oéyY?a?a??μ?óo§éyY?a??ó?§?-??ü?àyêLocal-user Y?Displayaaauser

ó?§o?ó?§oú?à?é¨ú??tí???1?á??oò11?á?FTPé¨ú??á?使用本地驗(yàn)證、授權(quán)需要在路由器上維護(hù)用戶數(shù)據(jù)庫。由于路由器上資源有限，此數(shù)據(jù)庫不宜過大。最多只支持配置50個(gè)用戶。大量用戶應(yīng)該使用RADIUS服務(wù)器。local-useruser[password{simple|cipher}password]配置用戶口令local-useruser[service-type{exec-administrator|exec-guest|exec-operator|ftp|ppp}...]配置授權(quán)服務(wù)local-useruser[call-numbernumber][:sub-number]配置主叫號(hào)碼與子主叫號(hào)碼。local-useruser[callback-numbernumber]配置回呼號(hào)碼。local-useruser[ftp-directorydirectory]配置FTP目錄。undo local-user user 刪除用戶?？梢允褂胐isplayaaauser 命令或在 displaycurrent-configuration 中查看配置的用戶。6課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0配置舉例AAA??ù??yò?ˉ?AAAè [Quidway] aaa-enable??PPPó?§μo?a?é?°D¤??¨?3aè [Quidway] aaaauthentication-schemelogindefault local??o2?D?éa?o?é?3?ó?§o?éíè [Quidway] aaaaccounting-schemeoptional¨?a?é??￠?3a￥óó?μ?a??êàPPPμ?ó?ú?è [Quidway-Serial0] ppp authentication-mode pap schemedefault配置對(duì)連接到 Serial0上的PPP用戶使用本地驗(yàn)證。7課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 調(diào)試和監(jiān)控信息μ?é?ì1-???￠??é?ú??ó?§oè displayaaa usera?ó?μ?é??￠?￡??2AAA?μó????è debuggingradius primitiveáét?μ?é??￠?￡??2AAAy??3è debuggingradius event原語為各服務(wù) (PPP、EXEC、FTP)與AAA功能的接口，常見原語有 7種。請(qǐng)求原語三種：join(pap)：用戶名、口令驗(yàn)證請(qǐng)求。join(chap)：PPP的CHAP驗(yàn)證請(qǐng)求。leave：用戶下網(wǎng)請(qǐng)求。返回結(jié)果的原語三種：accept：驗(yàn)證通過。reject：驗(yàn)證不通過，拒絕用戶。bye：用戶下網(wǎng)的確認(rèn)。另外還有一種：cut：在計(jì)費(fèi)失敗時(shí)，如果沒有配置 aaaaccounting-schemeoptional 則要求相應(yīng)服務(wù)切斷用戶。用事件調(diào)試信息可以簡單觀察 AAA 過程。由于事件調(diào)試信息很短，在用戶驗(yàn)證活動(dòng)量大時(shí)可以只打開事件調(diào)試信息，這樣不會(huì)由于調(diào)試信息過多而無法觀察。8課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.01.2RADIUS概述RADIUS·?é?l RADIUS(Remote Authentication Dial-in UserService)é?μa?à??μ?2?¨??tí??a?°òl(fā) éμ? AAA￡¨éú¨?Authorization ￠?°D¤?Authentication ì1? ?DAccounting￡|￥?ü?RADIUS采用客戶機(jī)/服務(wù)器（Client/Server）結(jié)構(gòu)。驗(yàn)證、授權(quán)時(shí)客戶端的任務(wù)是將用戶（User）的信息發(fā)送到指定的服務(wù)器，然后根據(jù)服務(wù)器的不同響應(yīng)進(jìn)行處理。RADIUS服務(wù)器的任務(wù)是接收客戶端發(fā)來的用戶連接請(qǐng)求，驗(yàn)證用戶，并返回客戶端提供服務(wù)所需要的配置信息。RADIUS服務(wù)器的數(shù)據(jù)庫中集中存放了相關(guān)的安全信息，避免安全信息凌亂散布帶來的不安全性，同時(shí)更可靠且易于管理。實(shí)現(xiàn)計(jì)費(fèi)時(shí)，客戶端將用戶的上網(wǎng)時(shí)長、進(jìn)出字節(jié)數(shù)、進(jìn)出包數(shù)等原始數(shù)據(jù)送到RADIUS服務(wù)器上，以供RADIUS服務(wù)器計(jì)費(fèi)時(shí)使用。在路由器上運(yùn)行 RADIUS 客戶端程序。9課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0實(shí)現(xiàn)AAA的流程RADIUSμé?AAAμ?à??3QuidwaySeriesRouterAAAServeró?§oè?ì?éú¨?￠2é??3ó?§oè?ì?ó?§oáì??

°D¤??μ?°D¤?úé¨?¨ìy???D?§?é??μD?§?é?￥ó′eD??é??μ?D??é?￥ó′e首先由各種服務(wù)（ PPP、EXEC、FTP）得到用戶信息，然后將這些信息交給RADIUS 服務(wù)器進(jìn)行驗(yàn)證。如果通過驗(yàn)證， RADIUS 服務(wù)器將驗(yàn)證信息連同RADIUS用戶數(shù)據(jù)庫中包含的用戶授權(quán)信息一起送給路由器。 路由器根據(jù)這些信息向用戶提供相應(yīng)服務(wù)。通過驗(yàn)證的同時(shí)，通知 RADIUS 服務(wù)器會(huì)話開始。 于會(huì)話終止時(shí)再次通知RADIUS服務(wù)器。 這樣由RADIUS 服務(wù)器保存的記帳記錄可以用于計(jì)費(fèi)。10課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0結(jié)構(gòu)及基本原理RADIUSμé?AAAμ?à??3QuidwaySeriesRouterAAAServeró?§oè?ì?éú¨?￠2é??3ó?§oè?ì?ó?§oáì??

°D¤??μ?°D¤?úé¨?¨ìy???D?§?é??μD?§?é?￥ó′eD??é??μ?D??é?￥ó′eRADIUS協(xié)議采用客戶機(jī)/服務(wù)器（Client/Server）結(jié)構(gòu)，路由器作為客戶端與RADIUS服務(wù)器通信。UDP（UserDatagramProtocol）即用戶數(shù)據(jù)報(bào)協(xié)議，它是一種面向無連接的協(xié)議，傳輸層不保證報(bào)文的可靠性和順序性，這樣報(bào)文可能丟失或者是亂序。RADIUS 協(xié)議使用了兩個(gè) UDP端口分別用于驗(yàn)證（以及驗(yàn)證通過后對(duì)用戶的授權(quán)）和計(jì)費(fèi)。在 RADIUS的協(xié)議文本 RFC2138 和RFC2139 中，使用1812號(hào)端口作為驗(yàn)證端口， 1813號(hào)端口為計(jì)費(fèi)端口 。也可以使用其他端口。RADIUS協(xié)議采用了“請(qǐng)求 /響應(yīng)”的操作模式， 請(qǐng)求由客戶端發(fā)起，當(dāng) RADIUS服務(wù)器收到一個(gè)合法的請(qǐng)求后就要給予響應(yīng)。由于 UDP報(bào)文可能會(huì)丟失，網(wǎng)絡(luò)也可能臨時(shí)出現(xiàn)故障，因此路由器提供重傳機(jī)制，當(dāng)在一定時(shí)間內(nèi)沒有收到RADIUS服務(wù)器的響應(yīng)時(shí)，會(huì)重傳剛才的請(qǐng)求。如果多次重傳后仍然收不到響應(yīng)，那么路由器會(huì)向備用的 RADIUS服務(wù)器發(fā)送請(qǐng)求。作為安全協(xié)議，RADIUS自身的安全性也有一定考慮?？蛻舳伺c服務(wù)器端有共享密鑰。通訊時(shí)使用MD5算法通過共享密鑰對(duì)包進(jìn)行數(shù)字簽名，驗(yàn)證簽名的正確性可以防止網(wǎng)絡(luò)上的其他主機(jī)冒充路由器或者RADIUS服務(wù)器。用戶口令也需要進(jìn)行加密后再在網(wǎng)上傳送，使口令不會(huì)泄漏。每個(gè)RADIUS包有0到多個(gè)屬性，用戶的各種信息均寫在屬性中，一些屬性協(xié)議還規(guī)定了各屬性值的含義。性能的擴(kuò)展只需要增加包中所帶的屬性即可。使用中還可以定義私有的屬性類型和屬性值。這需要修改 RADIUS服務(wù)器的屬性字典。11課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0驗(yàn)證與授權(quán)RADIUS°D¤ó??éú¨?°D¤?￠?úé¨?y??3?á?￡1á?èó?¨μ??μ?μ?ó?§o?￠?′ü?′?RADIUSt?í??￠?ìêRADIUSt?í???ó?§o??°D¤?￡1?1?¨ó??§o——μ?o????¨ó??§o——μ?o??

íéóéü?ü?￡¨ó?§éúo¨??￠?￡|íéü??ü?á?èó?óéü?t?í??μ?2?￥óü?￡1?éíóéü?ü?——é?3?è?ì?￡?é?ó??úé¨??￠??ó?§o??￥′3??éíü??ü?——ü??ó?§èo?ì??μ?1、首先發(fā)送驗(yàn)證請(qǐng)求包。在用戶名、口令驗(yàn)證時(shí)驗(yàn)證請(qǐng)求包包含用戶名和加密后的口令；CHAP 驗(yàn)證中包含用戶名， CHAP 驗(yàn)證過程中的各項(xiàng)（ Challenge、CHAPIdentifier 、Response）；主叫號(hào)碼驗(yàn)證還需要有主叫號(hào)碼。2、RADIUS服務(wù)器收到驗(yàn)證請(qǐng)求包后，首先檢查包的合法性，然后根據(jù)包中用戶信息驗(yàn)證用戶是否合法。如果用戶非法，則向路由器發(fā)送訪問拒絕包；如果用戶合法，那么RADIUS 服務(wù)器會(huì)將用戶的授權(quán)信息 （如用戶類型、回呼號(hào)碼等等）打包發(fā)送到路由器，該包稱為訪問接受包。3、路由器收到訪問接受/拒絕包時(shí)，首先要判斷包中的簽名是否正確，如果不正確將認(rèn)為收到了一個(gè)非法的包。如果簽名正確，且收到的是訪問接受包那么路由器會(huì)判斷授權(quán)服務(wù)類型是否與此用戶相符，如果不符則拒絕該用戶的上網(wǎng)請(qǐng)求，如果符合則接受用戶的上網(wǎng)請(qǐng)求，并使用其他用戶授權(quán)信息對(duì)用戶進(jìn)行處理（如回呼、L2TP 隧道屬性的設(shè)置）。如果簽名正確且收到的是訪問拒絕包，則拒絕該用戶的上網(wǎng)請(qǐng)求。12課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0計(jì)費(fèi)RADIUS?D??í′?D?y??3ü?¨??D??μ?￠??D?￥ó′e?òo·?ó?§oμ??D?y??3ó?￡1??D§?é? μééa?D? ??D?é??D??￠?￡1?o?oéa¤3é???ú?éy é?3??ú?éyé??ü?éy é?3?ü?éy?D?§éü?￥′3?路由器負(fù)責(zé)收集可能同用戶上網(wǎng)費(fèi)用有關(guān)的信息， 并將這些信息發(fā)送到 RADIUS服務(wù)器。RADIUS 服務(wù)器通常是網(wǎng)上的一臺(tái)工作站，使用這些信息進(jìn)行計(jì)費(fèi)。每次計(jì)費(fèi)交互過程包括路由器發(fā)到 RADIUS 服務(wù)器的計(jì)費(fèi)請(qǐng)求包，和 RADIUS服務(wù)器返回的應(yīng)答包。對(duì)于需要計(jì)費(fèi)的用戶，在一個(gè)會(huì)話過程中至少需要兩次這樣的交互過程，分別在驗(yàn)證通過后和用戶下網(wǎng)時(shí)。如果配置了實(shí)時(shí)計(jì)費(fèi)，還會(huì)每隔一段時(shí)間進(jìn)行一次實(shí)時(shí)計(jì)費(fèi)。計(jì)費(fèi)信息包括會(huì)話時(shí)間、輸入輸出包數(shù)、輸入輸出字節(jié)數(shù)。當(dāng)?shù)貌坏秸_計(jì)費(fèi)應(yīng)答包時(shí)認(rèn)為計(jì)費(fèi)失敗。此時(shí)如果配置了 aaaaccounting-schemeoptional 命令則繼續(xù)允許用戶訪問網(wǎng)絡(luò)， 否則將切斷用戶。13課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0用戶管理RADIUSó?§oü??3RADIUSa?°ò§í±a?a?°ò￡??aDRADIUSa?°òμ?·êó?t?í??è?ò?¤ì¨oó?§oü?3???ú?RADIUSt?í??ê???￡?ó?-?￥óμ?ü?3?3?t?ó?§oè?ò?°à?o?Dó?RUDIUSt?í???ó?§oü?3?3?t?RADIUS 協(xié)議只規(guī)定了 RADIUS服務(wù)器同 RADIUS 客戶端（路由器）的信息交互的格式。由于 RADIUS 協(xié)議是標(biāo)準(zhǔn)的，所以路由器能與不同的 RADIUS服務(wù)器互通。而在RADIUS服務(wù)器上，使用者可以任意根據(jù)自己的需要對(duì)得到的信息進(jìn)行處理，滿足不同的需求。14課程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0基本配置RADIUS·oa?????RADIUSt?í??radiusserver{hostname|ip-address}[authentication-portport-number ][accouting-port port-number ]è radiusshared-key string???¨′íé2yè radiusretry timesè radiustimerresponse-timeout seconds??μééa?D?è radiustimerrealtime-accounting minutesRADIUS服務(wù)器配置radius server {hostname |ip-address }[authentication-port port-number ][accouting-port port-number ]配置服務(wù)器地址和端口號(hào)，最多可以配置 3個(gè)RADIUS服務(wù)器。radiusshared-key string 配置共享密鑰。重傳機(jī)制radiusretrytimes配置最大重傳次數(shù)，如果達(dá)到這