目录
第1章 AAA&Radius新增特性配置..........................................................................................1-1
1.1 认证、授权、计费分离特性................................................................................................1-1
1.1.1 配置认证、授权、计费分离方式..............................................................................1-1
1.1.2 认证、授权、计费分离方式配置举例.......................................................................1-2
1.2 设备重启用户再认证特性...................................................................................................1-3
1.2.1 配置设备重启用户再认证功能.................................................................................1-4
1.2.2 设备重启用户再认证功能配置举例..........................................................................1-4
1.3 80
2.1x认证支持Trunk和Hyprid端口Tag VLAN下发特性....................................................1-5
1.4 在RADIUS协议中增加标识认证方式属性...........................................................................1-5
1.5 动态VLAN下发特性............................................................................................................1-5
1.5.1 动态VLAN下发配置.................................................................................................1-6
1.5.2 动态VLAN下发配置举例..........................................................................................1-6第2章 AAA&Radius新增特性命令..........................................................................................2-1
2.1 AAA&Radius新增特性命令................................................................................................2-1
2.1.1 accounting...............................................................................................................2-1
2.1.2 accounting-on enable..............................................................................................2-2
2.1.3 authentication..........................................................................................................2-3
2.1.4 authorization............................................................................................................2-4
2.1.5 name.......................................................................................................................2-5
2.1.6 vlan-assignment-mode............................................................................................2-5
AAA 是一种网络接入访问控制的管理框架,它提供了以下3种服务:
orization 、accounting local ,RADIUS-local 或者none 。 或者none 。
机提供的方式任意组合配置认证、授权和计费的方案。
对于FTP 用户
对于FTP 用户仅支持认证。
RADIUS-local 。
1.1.1 配置认证、授权、计费分离方式
第1章 AAA&Radius 新增特性配置
1.1 认证、授权、计费分离特性
z 认证(Authentication ):验证用户是否可以获得访问权 z 授权(Authorization ):授权用户可以使用的服务 z
计费(Accounting ):记录用户使用网络资源的情况采用AAA 管理方式时,用户可以通过authentication 、auth 这三条命令分别指定认证、授权、计费方案,很大程度地提高了配置使用的灵活性。认证、授权、计费分离方式中对于AAA 支撑的各种业务的具体实现如下:
z
对于终端用户
认证方式:RADIUS ,授权方式:none 。
计费方式:RADIUS 用户可以根据实际需求,按照交换z
认证方式:RADIUS ,local ,认证、授权、计费分离方式
表1-1 配置操作
命令
说明
进入系统视图
- system-view 创建一个IS 者进入已图
domain isp-name
必选 P 域或创建ISP 域的视配置域使用的认证方案
dius-scheme e [ local ] | local | none }
可选
缺省情况下,没有配
authentication { ra radius-scheme-nam 置分离的认证方案
配置域不需要授权authorization none 可选
缺省情况下,没有配置分离的授权方案
配置域使用的计费方案accounting { none | radius-scheme
radius-scheme-name }
可选
缺省情况下,没有配
置分离的计费方案
说明:
z如果在配置了认证、授权、计费分离方案的同时还配置了认证、授权、计费捆绑方案(即认证、授权、计费不能分别指定不同的方案),优先使用认证、授权、
计费分离方案。
z由于RADIUS方案与local方案不支持认证和授权的分离,在配置认证、授权时应注意:当域中配置了scheme radius-scheme命令或者scheme local命令,
且没有同时配置authentication命令时,此时如果配置了authorization none,
RADIUS方案和local方案返回的授权信息仍然有效。
1.1.2 认证、授权、计费分离方式配置举例
1. 组网需求
一台RADIUS服务器(担当认证RADIUS服务器的职责)与交换机相连,服务器IP
地址为10.110.91.1;
设置交换机与认证RADIUS服务器交互报文时的共享密钥为“expert”;
配置域cams使用的认证RADIUS方案,并且不需要授权。
2. 组网图
方案和计费方案都为
图1-1认证、授权、计费分离方案组网示意图
# 进入系统视图。 # 配置domain [Quidway] domain cams # 退出到系统视图。# 配置RADIUS [Quidway-radius-radius] primary accounting 10.110.91.1 1813 [Quidway-radius-radius] primary authentication 10.110.91.1 1812 [Quidway-radius-radius] key authentication expert ius-radius] user-name-format with-domain # 进入cams 域。 配置域使用的认证方案和计费方案都为RADIUS 方案,并且不需要授权。 ccounting radius-scheme radius ization none 1.2 设备 说明:3. 配置步骤 ,并指定域名为cams 。 [Quidway-isp-cams] quit 方案。 [Quidway] radius scheme radius [Quidway-rad [Quidway-radius-radius] quit [Quidway] domain cams # cams [Quidway-isp-cams] authentication radius-scheme radius [Quidway-isp-cams] a [Quidway-isp-cams] author 重启用户再认证特性 本功能适用于RADIUS 认证/计费服务器为CAMS 的情况。 在交换机与CAMS 配合实现认证/授权/计费的AAA 方案中,唯一性用户(指在量”为1的用户)通过认证/授权、开始计费后,如果源。只有在网络管理。 重启用户再认证功能。启动设备重启用户再认证功能后,交换机每次发生重启时: z 交换机生成Accounting-On 报文,该报文主要包括NAS-ID 、NAS-IP (源IP )和会话ID 信息。 CAMS 上设置了“在线数交换机发生重启,则在CAMS 进行用户在线检查前,当用户再次登录交换机时,交换机会提示该用户已经在线,导致该用户无法正常访问网络资员手工删除该用户的在线信息后,该用户才可以再次登录解决上述问题的方法是在交换机上启动设备 向CAMS 发送Accounting-On 报文。 z CAMS 收到Accounting-On 报文后,立即向交换机发送一个响应报文,并根据Accounting-On 报文中的NAS-ID 、NAS-IP 和会话ID ,找到并删除通过交换机接入的原用户在线信息,并按照最后一次计费更新报文来结束计费过程。 z 当交换机收到CAMS 的响应报文后,即停止发送Accounting-On 报文。 如果交换机发送Accounting-On 报文的次数已达到设定的最大发送次数,但是z 交换机每隔设定的时间间隔z 仍没有收到CAMS 的响应报文,则交换机停止发送Accounting-On 报文。 说明: Accounting-On 报文中的主要属性:NAS-ID 、NAS-IP 和会话ID 由交换机自动生成,其中NAS-IP 还可以通过命令(nas-ip )手工配置,如果手工配置,请注意配置正确、合法的IP 地址;如果不配置,交换机会自动选择VLAN 虚接口的IP 地址作为NAS-IP 地址。 1.2.1 配置设备重启用户再认证功能 表1-2 配置设备重启用户再认证功能 操作 命令 说明 进入系统视图 system-view - 进RADIUS 方案视图 radius-scheme-name - 入radius scheme 启动设备重启用户再认证功[ send times | interval interval ] 认证功能处于关闭状态;发送Accounting-On 报文的最大次数(tim )为15次、时间间能 accounting-on enable 可选 缺省情况下,设备重启用户再es 隔(interval )为3秒 1.2.2 设备重启用户再认证功能配置举例 1. 组网需求 2. 配置步骤 # 进入系统视图。 # 进入名为CAMS 的RADIUS 方案(假设此方案已经存在)。 启动设备重启用户再认证功能。 [Quid dius sc eme CA # 启动设备重启用户再认证功[Quidway-radius-CAMS] accounting-on enable 1.3 80 2.1认证支持Trunk 和rid 端口Tag 前802.1x 认证模块只支持Access 端口Tag VLAN 下发,但有些应用(比如:Switch —IP phone —PC 的连接模式)需要在Trunk 和Hyprid 端口进行802.1x 认证,因此g VLAN 下发特性。 z MAC 地址认证成功后,下发的地址数据在Fabric 中同步。 线时,系统对Trunk 和Hyprid 端口VLAN 信息进行还原,并将相关 1.4 在R 议中增加标识认证方式属性 在RADIUS 协议的认证报文中增加标识认证方式属性是用来区分不同的接入方式,比如Portal 、802.1x 或者PPPoE 。对于“屏蔽非华为客户端”功能,可以仅 rotocol 属性的。 1.5 动态VLAN 下发特性 动态VLAN 下发是指以太网交换机根据RADIUS 服务器下发的属性值,将已经通过的VLAN ID : 加入相应VLAN z 字符串型:交换机根据RADIUS 认证服务器下发的字符串型ID ,与交换机上已存在VLAN 的名称进行比对,如果找到匹配项,则将该端口加入相应VLAN 中,否则VLAN 下发失败,用户无法通过认证。 way] ra h MS 能。 x Hyp VLAN 下发特性 目增加了支持Trunk 和Hyprid 端口Ta z 当用户下的地址数据在Fabric 中同步删除。ADIUS 协802.1x 认证,即当标识认证方式属性为802.1x 认证时,此功能才会生效。在RADIUS 协议的认证报文中增加标识认证方式属性是根据用户的接入方式来填充RADIUS 认证请求报文的Framed P 身份认证的用户所在的端口动态地加入到不同的VLAN 中,从而对用户所能访问的网络资源进行控制。 目前交换机支持RADIUS 认证服务器下发整型和字符串型z 整型:交换机根据RADIUS 认证服务器下发的整型ID 将端口中,如果该VLAN 不存在,则首先创建VLAN ,而后将端口加入到新创建的VLAN 中。 的方式,则每个端口下面只能连接一个用户。 1.5.1 动态在实际应用中,为了与Guest VLAN 配合使用,一般将端口控制方式设置为基于端口的方式;如果将端口控制方式设置为基于MAC 地址VLAN 下发配置 表1-3 动态VLAN 下发配置过程 配置步骤 命令 说明 进入系统视图 system-view - 创建ISP 域,并进入其视图 domain isp-name - 配置下发模vlan-assignment-mo 缺省情况下,VLAN 下发模式为整型VLAN 式为整型 de integer (integer ) 配置VLAN 下发模式为字符串型 vlan-assignment-mode string 与上一步骤必选其一 创建VLAN ,并进入其视图 vlan vlan_id - 配置下发VLAN 的 string 当配置VLAN 下发模式为字符串型时,必须配置此任务 名称name 注意: z 对如果RADIUS 服务器下发的VLAN 名称是全数字的字符串,如字符串“1024”,并且。 z 同时启用了MSTP 多实例和802.1x 的端口,如果需要实现动态VLAN 下发功能,设置为边缘端口。 于字符串型VLAN 下发模式,交换机在处理过程中遵循整型优先的原则:转换成整型的数值在合法的VLAN 范围之内,则交换机会将全数字型的字符串转换为整型处理,将认证端口加入转换后的整型数值VLAN 中,即该端口会被加入到VLAN 1024中则要将MSTP 端口 1.5.2 动态VLA 置举例 1z DIUS 认证服务器Windows IAS 服务器为例)下发字符串型的VLAN ID :z 交换机上与之对应的VLAN 的名称为vlan 100; z 务器下口 N 下发配. 组网需求 RA (以test ; 要求当服发test 时,交换机能够将端加入vlan 100中。 2. 组网图 下发配置组网图 配置步骤 e [Quidway] radius scheme ias ius-ias] primary accounting 1.11.1.1 [Quidway-radius-ias] key accounting hello [Quidway-radius-ias] quit sp-ias] radius-scheme ias # 配置vlan 下发模式为字符串型。 (3) # 为下发 图1-2 动态VLAN 3. (1) 创建Radius schem [Quidway-radius-ias] primary authentication 1.11.1.1 [Quidway-rad [Quidway-radius-ias] key authentication hello (2)创建ISP 域 [Quidway] domain ias [Quidway-i [Quidway-isp-ias] vlan-assignment-mode string [Quidway-isp-ias] quit 创建VLAN 并指定该VLAN 的名称 [Quidway] vlan 100 VLAN 设置名称。 [Quidway-vlan100] name test 第Radius 新增特性命令 2.1 AAA 2.1.1 acco 【命令】 dius-scheme-name } 【视图】 域视图【参数】 none :不进行用户认证、计费。 name :RADIUS 方案名,为不超过32个字符的字符串。 【描述】 accounting 命令用来配置当前ISP 域使用的计费方案。undo accounting 命令用来删除ISP 域使用的计费方案。 缺省情况下,没有配置分离的计费方案。 accounting 命令为当前ISP 域指定引用的RADIUS 方案时,所引用的RADIUS 方案必须是已经设置好的。 在域视图下,如果配置了accounting 命令,则采用该命令中引用的计费方案进行计费;否则使用scheme 命令中引用的方案进行计费。 相关配置可参考《Quidway S5600系列以太网交换机 命令手册》中安全模块的命令scheme ,radius scheme 。 【举例】 # 进入系统视图。 # 创建ISP 域aabbcc.net 。 [Quidway] domain aabbcc.net New Domain added. 2章 AAA&&Radius 新增特性命令 unting accounting { none | radius-scheme ra undo accounting ISP radius-scheme- # 指定当前ISP 域aabbcc.net 引用的RADIUS 计费方案为radius 。 [Quidway-isp-aabbcc.net] accounting radius-scheme radius 2.1.2 accounting-on enable es | interval interval ] undo accounting-on { enable | send | interval } RADIUS 方案视图 【参数】 报文的最大次数,取值范围1~256次,缺省值为15interval :发送Accounting-On 报文的时间间隔,取值范围1~30秒,缺省值为3秒。 【描述】 accounting-on enable 命令用来启动设备重启用户再认证功能。undo accounting-on enable 命令用来关闭该功能,并恢复发送Accounting-On 报文的时数为缺省值。 undo accounting-on interval 命令用来恢复发送Accounting-On 报文的时间间隔功能处于关闭状态。 启后,在线用户无法再次登录的问题。启动设备重启用户再认证功能后,交换机每次发生重启时: 和会话ID 信息。 z 并根据并按照最后一次计费更新报文来结束计费过程。 z 当交换机收到CAMS 的响应报文后,即停止发送Accounting-On 报文。 z 如果交换机发送Accounting-On 报文的次数已达到设定的最大发送次数,但是AMS 的响应报文,则交换机停止发送Accounting-On 报文。 【命令】 accounting-on enable [ send tim 【视图】 times :发送Accounting-On 次。 间间隔和最大次数为缺省值。 undo accounting-on send 命令用来恢复发送Accounting-On 报文的最大次为缺省值。 缺省情况下,设备重启用户再认证设备重启用户再认证功能能够解决交换机重z 交换机生成Accounting-On 报文,该报文主要包括NAS-ID 、NAS-IP (源IP )z 交换机每隔设定的时间间隔向CAMS 发送Accounting-On 报文。 CAMS 收到Accounting-On 报文后,立即向交换机发送一个响应报文,Accounting-On 报文中的NAS-ID 、NAS-IP 和会话ID ,找到并删除通过交换机接入的原用户在线信息,仍没有收到C 说明: Accounting-On 报文中的主要属性:NAS-ID 、NAS-IP 和会话ID 由交换机自动生成,nas-ip )手工配置,如果手工配置,请注意配置正如果不配置,交换机会自动选择VLAN 虚接口的IP 地址作为其中NAS-IP 还可以通过命令(确、合法的IP 地址;NAS-IP 地址。 相关配置可参考《Quidway S5600系列以太网交换机 命令手册》中安全模块的命令nas-ip 。 # 进入名为CAMS 的RADIUS 方案。 [Quidway] radius scheme CAMS 再认证功能。 [Quidway-radius-CAMS] accounting-on enable 2.1.3 authentication 【命令】 undo authentication 【视图】 【参数】 定认证使用本地认证方案。 【描述】 undo authentication RAD 设置好的。 【举例】 # 进入系统视图。 # 启动设备重启用户authentication { radius-scheme radius-scheme-name [ local ] | local | none } ISP 域视图 radius-scheme radius-scheme-name :指定认证使用的RADIUS 方案。 local :指none :不认证。 authentication 命令用来配置当前ISP 域使用的认证方案。命令用来恢复域缺省的认证方案。 缺省情况下,没有配置分离的认证方案。 当使用authentication 命令为当前ISP 域指定引用的RADIUS 方案时,所引用的IUS 方案必须是已经 local ,则z 考《Quidway S5600系列以太网交换机 命令手册》中安全模块的命【举例】 Quidway> system-view # 创建ISP 域aabbcc.net 。 [Quidway] domain aabbcc.net New Domain added. # 指定当前ISP 域aabbcc.net 引用的RADIUS 认证方案为radius 。 2.1.4 auth 【命令】 authorization none 【视图】 【描述】 authorization none 命令用来配置当前ISP 域不需要授权也可以提供服务。undo authorization 命令用来恢复域缺省的授权方案。 没有配置分离的授权方案。 相关配置可参考《Quidway S5600系列以太网交换机 命令手册》中安全模块的命令scheme ,radius scheme 。 z 如果配置了authentication radius-scheme radius-scheme-name local 为RADIUS 服务器没有正常响应后的备选认证方案。即当RADIUS 服务器有效时,不使用本地认证;当RADIUS 服务器无效时,使用本地认证。 如果local 作为第一方案,那么只能采用本地认证。none 与local 的使用情况相同。 z 如果在域视图下,如果配置了authentication 命令,则采用该命令中引用的认证方案进行认证;否则使用scheme 命令中引用的方案进行认证。 相关配置可参令scheme ,radius scheme 。 # 进入系统视图。<[Quidway-isp-aabbcc.net] authentication radius-scheme radius orization undo authorization ISP 域视图 【参数】 无 缺省情况下, 【举例】 # 创建ISP 域aabbcc.net 。 [Quidway] domain aabbcc.net [Quidway-isp-aabbcc.net] authorization none 2.1.5 name 【命令】 undo 【视图】 VLAN 视图 【参数】 string 【描述】 name 用来配置下发VLAN 的名称,undo name 用来删除该下发VLAN 的名称。 缺省情况下,下发VLAN 的名称为该VLAN 的VLAN ID ,如“VLAN 0001”。 VLAN 下发功能使用。动态VLAN 下发的相关介绍请参见命令。 uest-vlan ,vlan-assignment-mode 。 【举例】 test 。 nt-mode { integer | string } 【视图】 # 进入系统视图。 New Domain added. # 设置ISP 域aabbcc.net 不需要授权也可以提供服务。name string name :为下发的VLAN 指定名称,为不超过32个字符的字符串。 此命令用来配合动态vlan-assignment-mode 相关配置可参考命令dot1x g # 为VLAN 100设置名称为[Quidway] vlan 100 [Quidway-vlan100] name test 2.1.6 vlan-assignme 【命令】 vlan-assignment-mode VLAN 下发模式为整型。 string :配置VLAN 下发模式为字符串型。 【描述】 ment-mode 命令用来配置VLAN 下发模式(整型或者字符串型)。 缺省情况下,VLAN 下发模式为integer ,即交换机支持RADIUS 认证服务器下发整型的VLAN ID 。 发的属性值,将已经通过VLAN 中,从而对用户所能访问的网络资源LAN 配合使用,一般将端口控制方式设目前交换机支持RADIUS 认证服务器下发整型和字符串型的VLAN ID : z 整型:交换机根据RADIUS 认证服务器下发的整型ID 将端口加入相应VLAN LAN 不存在,则首先创建VLAN ,而后将端口加入到新创建的RADIUS 认证服务器下发的字符串型ID ,与交换机上 如果找到匹配项,则将该端口加入相应VLAN 下发失败,用户无法通过认证。 ISP 域视图 【参数】 integer :配置vlan-assign 动态VLAN 下发是指以太网交换机根据RADIUS 服务器下身份认证的用户所在端口加入到不同的进行控制。在实际应用中,为了与Guest V 置为基于端口的方式;如果将端口控制方式设置为基于MAC 地址的方式,则每个端口下面只能连接一个用户。 中,如果该V VLAN 中。 z 字符串型:交换机根据已存在VLAN 的名称进行比对,中,否则VLAN 说明: 对于字符串型VLAN 下发模式,交换机在处理过程中遵循整型优先的原则:如果服务器下发的VLAN 名称是全数字的字符串,如字符串“1024”,并且转整型的数值在合法的VLAN 范围之内,则交换机会将全数字型的字符串转换为整型处理,将认证端口加入转换后的整型数值VLAN 中,即该端口会被加入到VLAN 1024中。 RADIUS 换成 相关配置可参考命令name ,dot1x guest-vlan 。 下发模式为字符串型。 [Quidway-isp-huawei163.net] vlan-assignment-mode string 【举例】 # 配置VLAN下载本文
