网络安全接入技术【松柏书屋】

《网络安全接入技术【松柏书屋】》由会员分享，可在线阅读，更多相关《网络安全接入技术【松柏书屋】（112页珍藏版）》请在装配图网上搜索。

1、华为3Com培训中心华为3Com网络学院第六学期课程目标课程目标l掌握AAA原理与基本配置l掌握RADIUS协议原理与基本配置l掌握HWTACACS协议原理与基本配置l学会分析处理基本的AAA、RADIUS、HWTACACS故障问题 学习完本课程，您应该能够：学习完本课程，您应该能够：优选课讲课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍协议介绍第三节：第三节：HWTACACS协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节：第六节：HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置

2、举例及故障分析 优选课讲AAA概述概述l验证（Authentication）l授权（Authorization）l计费（Accounting）AAA 服务器本地实现AAA使用服务器实现AAA优选课讲AAA的认证功能的认证功能AAA 服务器服务器本地认证本地认证远端认证远端认证优选课讲AAA的授权功能的授权功能RADIUS 服务器服务器本地授权本地授权远端授权远端授权优选课讲AAA的计费功能的计费功能远端计费远端计费RADIUS 服务器服务器/TACACS服务器服务器优选课讲课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍协议介绍第三节：第三节：HWTACACS

3、协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节：第六节：HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置举例及故障分析 优选课讲RADIUS概述概述lRADIUS（Remote Authentication Dial-in User Service）是当前流行的安全服务器协议。l实现AAA（授权Authorization、验证Authentication和计费Accounting）功能。lRADIUS使用UDP作为传输协议，具有良好的实时性，同时也支持重传机制和备用服务器机制，从而有较好的可靠性。优选课讲RADIU

4、S 服务器组成服务器组成RADIUS服务器usersclientsDictionary优选课讲RADIUS 服务器实现服务器实现AAA流程流程用户上网验证请求验证授权通过计费开始请求计费开始应答计费结束请求计费结束应答授权并允许用户上网用户下网RADIUS服务器优选课讲RADIUS结构及基本原理结构及基本原理lRADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议。l 路由器或NAS 上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端，当用户上网时，路由器决定对用户采用哪种验证方法。下面介绍两种用户与路由器之间（本地验证、远端

5、验证）的验证方法CHAP和PAP。优选课讲本地认证本地认证PAPl 本地（NAS）验证PAP方式：PAP（Password Authentication Protocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。我查.我验Username Password用户 NAS（PPP）（Radius Client）验证结果优选课讲本地认证本地认证CHAP（1）l 本地（NAS）验证CHAP方式：CHAP（Challenge Handshake Authe

6、ntication Protocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。Secret Password=MD5（Chap ID+Password+challenge）我查.我算 我验用户 NAS（PPP）（Radius Client）验证结果CHAP ID、Username、Secret passwordChallenge、主机名、CHAP ID优选课讲本地认证本地认证CHAP（2）lSecret Password=MD5（Chap ID+Password+challenge）l当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号

7、，本地服务器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，如果相同表明验证通过，如果不相同表明验证失败。优选课讲远端认证远端认证PAPl远端（远端（Radius）验证）验证PAP方式：方式：Secret password=Password XOR MD5（Challenge Key）(Challenge就是Radius报文中的Authent

8、icator)我查.我算 我验用户 NAS（PPP）（Radius Client）验证结果 ChallengeUsername、Secret、Password 验证结果Username、PasswordKeyKeyRadiusServer优选课讲远端认证远端认证CHAPl远端（远端（Radius）验证）验证CHAP方式：方式：Secret password=MD5（Chap ID+Password+challenge）我查.我算 我验用户 NAS（PPP）（Radius Client）验证结果、授权CHAP ID、Username、Secret passwordUsername、Secret、

9、Password、Challenge、CHAP ID 验证结果、授权RadiusServerChallenge、主机名、主机名、CHAP ID优选课讲Radius协议在协议栈中的位置协议在协议栈中的位置l Radius是一种流行的AAA协议，同时其采用的是UDP协议传输模式，AAA协议在协议栈中位置如下：Radius协议优选课讲Radius协议包结构协议包结构l Attributes:属性优选课讲Radius协议包各个域解释协议包各个域解释l各个域的解释：各个域的解释：1、Code：包类型；1字节；指示RADIUS包的类型。2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一

10、组请求包和响应包的Identifier应相同。3、Length：包长度；2字节；整个包的长度。4、Authenticator：验证字；16字节；用于对包进行签名。优选课讲Radius协议包：协议包：code域域l 1）Code：包的类型：包的类型 包类型占1个字节，定义如下：1 Access-Request请求认证过程 2 Access-Accept认证响应过程 3 Access-Reject认证拒绝过程 4 Accounting-Request请求计费过程 5 Accounting-Response计费响应过程优选课讲Radius协议包：协议包：Identifier域域l 2）Identif

11、ier：包标识：包标识 包标识，用以匹配请求包和响应包。该字段的取值范围为0255；协议规定：1、在任何时间，发给同一个RADIUS服务器的不同包的 Identifier域不能相同，如果出现相同的情况，RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理。2、Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配（相同）。优选课讲Radius协议包：协议包：Length域域l 3）Length：包长度：包长度 整个包长度,包括Code，Identifier，Length，Authenticator，Attributes域的长度。优选课讲Radius协议包：协议包：A

12、uthenticator域域4）Authenticator：验证字：验证字 该验证字分为两种：1、请求验证字Request Authenticator 用在请求报文中，必须为全局唯一的随机值。2、响应验证字Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。响应验证字MD5(Code+ID+Length+请求验证字+Attributes+Key)优选课讲Radius协议包：协议包：Authenticator域域5）Attributes：属性：属性 010a62656e6c6164656eAttribute(1)属性长度为10字节b e n l a d e n

13、优选课讲Radius协议属性协议属性 1.User-Namel该属性指定了要进行认证的用户名优选课讲Radius协议属性协议属性 2.User-Passwordl该属性指定了要认证的用户的口令，用户口令加密后存放在该属性中优选课讲Radius协议属性协议属性3.NAS-IP-Addressl该属性指明了发起认证请求的设备的IP 地址优选课讲Radius协议属性协议属性4.Vendor-Specificl该属性用于携带各厂商自己扩展的属性优选课讲Radius协议属性协议属性5.Session-Timeout该属性指明允许用户使用的最大时长优选课讲Radius协议属性协议属性6.Acct-Stat

14、us-Typel该属性指明计费报文的类型l该属性出现在计费报文中不同的取值标志出不同的意义 1-表示计费开始报文 2-表示计费结束报文 3-表示计费更新报文 7-表示Accounting-On 报文优选课讲Radius协议属性协议属性（一）（一）属性值属性名称 意义1 User-Name 用户名2 User-Password 用户密码3 Chap-Password Chap认证方式中的用户密码4 Nas-IP-Address Nas的ip地址5 Nas-Port 用户接入端口号6 Service-Type 服务类型 7 Framed-Protocol 协议类型8 Framed-IP-Addre

15、ss 为用户提供的IP地址9 Framed-IP-NetMask 地址掩码10 Framed-Routing 为路由器用户设置的路由方式 11 Filter-Id 过滤表的名称12 Framed-MTU 为用户配置的最大传输单元认证报文的常用属性（认证报文的常用属性（1）：）：优选课讲Radius协议属性协议属性（二）（二）属性值 属性名称 意义13 Framed-Compression 该连接使用压缩协议14 Login-IP-Host 对login用户提供的可连接主机的ip地址15 Login-Service 对login用户可提供的服务 16 Login-TCP-Port TCP服务端口

16、18 Reply-Message 认证服务器返回用户的信息24 State 认证服务器发送challenge包时传送的需在接 下来的认证报文中回应的字符串（与Acess-Challenge相关的属性）25 Class 认证通过时认证服务器返回的字符串信息，要求在该用户的计费报文中送给计费服务器 认证报文的常用属性（认证报文的常用属性（2）：）：优选课讲Radius协议属性协议属性（三）（三）属性值 属性名称 意义26 Vendor-Specific 可扩展属性 27 Session-Timeout 在认证通过报文或Challenge报文中，通知 NAS该用户可用的会话时长（时长预付费）28 I

17、dle-Timeout 允许用户空闲在线的最大时长32 NAS-Identifier 标识NAS的字符串33 Proxy-State NAS通过代理服务器转发认证报文时服务 器添加在报文中的属性60 Chap-Challenge可以代替认证字字段传送challenge的属性61 Nas-Port-Type 接入端口的类型 62 Port-Limit服务器限制NAS为用户开放的端口数认证报文的常用属性（认证报文的常用属性（3）：）：优选课讲Radius协议属性协议属性（四）（四）属性值 属性名称 意义40 Acct-Status-Type 计费请求报文的类型41 Acct-Delay-Time

18、Radius客户端发送计费报文耗费的时间42 Acct-Input-Octets 输入字节数43 Acct-Output-Octets 输出字节数 44 Acct-Session-Id 计费会话标识45 Acct-Authentic 在计费包中标识用户认证通过的方式 46 Acct-Session-Time 用户在线时长47 Acct-Input-Packets 输入包数 48 Acct-Output-Packets 输出包数 49 Acct-Terminate-Case 用户下线原因 50 Acct-Multi_Session-Id 相关计费会话标识 51 Acct-Link-Count 生

19、成计费记录时多连接会话的会话个数 认证报文的常用属性（认证报文的常用属性（4）：）：优选课讲RADIUS协议总结协议总结 特点特点描述描述UDP由于传输控制协议（TCP）的开销大，客户和服务器之间的通信使用用户数据协议（UDP）。通常，用户等待输入用户名和口令提示UDP目的端口RADIUS使用两个端口集，RFC定义之前常用端口为1645和1646。RFC2138定义的端口为1812和1813属性属性用于在NAS和客户端之间交换信息模型客户/服务器模型，数据交换单向传输加密方法采用MD5进行口令加密，用户名不加密。在客户发往服务器的访问请求分组中，RADIUS只加密口令，其他部分以明文方式传输。

20、第三方可以捕获这些相关的信息，如用户名、授权服务和记账信息多协议支持只支持IP协议，不支持Apple Talk，NetBIOS，IPX优选课讲Radius+简介简介标准标准Radius协议的不足之处协议的不足之处Radius1.1协议支持的特性协议支持的特性不能处理和保证用户对于服务质量的动态需求带宽动态下发支持动态改变服务质量动态带宽下发不支持服务器主动下发控制报文支持服务器主动激活端口；支持服务器主动中断连接；Radius与标准Radius共性：1）Radius+协议与Radius一样，通过UDP通讯；2）采用重传确认机制以确保接收；3）安全性：A）密码加密：使用客户端与服务器端的共享密钥

21、通过MD5算法对用户口令进行加密，使得口令和密钥不会在网上明文传送；B）包签名：有16字节的验证字用于对报文进行签名，以确定收到的报文为合法报文。优选课讲课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍协议介绍第三节：第三节：HWTACACS协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节：第六节：HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置举例及故障分析优选课讲HWTACACS 概述概述lHWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协

22、议。l该协议与RADIUS协议类似，主要是通过Server-Client模式与TACACS服务器通信来实现多种用户的AAA功能。l用于PPP和VPDN接入用户及login用户的认证、授权和计费。优选课讲HWTACACS协议和协议和RADIUS协议区别协议区别HWTACACS协议协议RADIUS协议协议使用TCP，网络传输更可靠。使用UDP。除了标准的HWTACACS报文头，对报文主体全部进行加密。只是对验证报文中的密码字段进行加密。认证和授权分离，例如，可以用一个TACACS服务器进行认证，另外一个TACACS服务器进行授权。认证和授权一起处理。适于进行安全控制。适于进行计费。支持对路由器上的

23、配置命令进行授权使用。不支持。优选课讲HWTACACS 组网应用组网应用拨号用户终端用户HWTACACS客户端TACACS服务器TACACS服务器Internet优选课讲HWTACACS 服务器实现服务器实现AAA流程流程用户登录认证开始报文认证回应报文，请求用户名用户输入用户名认证回应报文，向用户请求密码计费结束请求计费结束应答向用户申请用户名HWTACACS客户端HWTACACS 服务器用户认证持续报文，向服务器发送用户名向用户请求密码用户输入密码认证持续报文，向服务器发送密码计费开始报文认证回应报文，认证通过授权请求报文授权回应报文，授权通过计费开始回应报文，用户下线用户成功登录优选课讲

24、课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍协议介绍第三节：第三节：HWTACACS协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节：第六节：HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置举例及故障分析优选课讲AAA基本配置基本配置l创建ISP域并配置相关属性 创建创建ISP域域配置用户使用的配置用户使用的AAA方案方案配置配置ISP域的状态域的状态配置可接入用户数量的最大值配置可接入用户数量的最大值配置计费可选开关配置计费可选开关定义本地地址池并为定义本地地址池并为PPP用户

25、分配用户分配IP地址地址创建本地用户并配置相关属性（仅用于本地认证）创建本地用户并配置相关属性（仅用于本地认证）l创建本地用户并配置相关属性（仅用于本地认证）优选课讲创建创建ISP域并配置相关属性域并配置相关属性l创建ISP域操作操作命令命令创建ISP域或进入指定ISP域视图 domain isp-name|default disable|enable isp-name 删除指定的ISP域 undo domain isp-name 优选课讲创建创建ISP域并配置相关属性域并配置相关属性配置用户使用配置用户使用AAA方案方案操作操作命令命令配置域使用的AAA方案 scheme radius-sc

26、heme radius-scheme-name local|hwtacacs-scheme hwtacacs-scheme-name local|local|none 恢 复 域 使 用 的 缺 省 的AAA方案 undo scheme radius-scheme|hwtacacs-scheme|none 优选课讲创建创建ISP域并配置相关属性域并配置相关属性操作命令配置域使用的认证方案authentication radius-scheme radius-scheme-name local|hwtacacs-scheme hwtacacs-scheme-name local|local|no

27、ne 恢复域缺省的认证方案undo authentication配置域使用的授权方案authorization hwtacacs-scheme hwtacacs-scheme-name|none 恢复域缺省的授权方案undo authorization配置域使用的计费方案accounting radius-scheme radius-scheme-name|hwtacacs-scheme hwtacacs-scheme-name|none 删除域使用的计费方案undo accounting优选课讲创建创建ISP域并配置相关属性域并配置相关属性l配置ISP域的状态操作操作命令命令设置ISP域的状

28、态 state active|block 优选课讲创建创建ISP域并配置相关属性域并配置相关属性l配置可接入用户数量的最大值操作操作命令命令指定可接入用户数的最大值 access-limit disable|enable max-user-number 恢复可接入用户数到缺省设置 undo access-limit 优选课讲创建创建ISP域并配置相关属性域并配置相关属性l配置计费可选开关操作操作命令命令打开计费可选开关 accounting optional 关闭计费可选开关 undo accounting optional 优选课讲创建创建ISP域并配置相关属性域并配置相关属性l定义地址池并

29、为PPP用户分配IP地址操作操作命令命令定义为PPP用户分配IP地址的地址池 ip pool pool-number low-ip-address high-ip-address 删除指定的地址池 undo ip pool pool-number 优选课讲创建本地用户并配置相关属性创建本地用户并配置相关属性l创建本地用户操作操作命令命令添加本地用户 local-user user-name 删除本地用户或本地用户的服务类型 undo local-user user-name service-type 删除所有本地用户或指定类型的本地用户 undo local-user all service-

30、type ftp|ppp|ssh|telnet|terminal 优选课讲创建本地用户并配置相关属性创建本地用户并配置相关属性l设置本地用户属性操作操作命令命令设置所有本地用户密码的显示方式 local-user password-display-mode cipher-force|auto 取消已设置的本地用户密码的显示方式 undo local-user password-display-mode 删除所有本地用户或指定类型的本地用户 undo local-user all service-type ftp|ppp|ssh|telnet|terminal 优选课讲创建本地用户并配置相关属性

31、创建本地用户并配置相关属性l设置本地用户属性(续)操作操作命令命令设置用户的密码 password simple|cipher password 取消用户的密码设置 undo password 设置用户的状态 state active|block 取消用户的状态undo state active|block 设置用户可以使用的服务类型 service-type telnet|ssh|terminal*level level 取消用户可以使用的服务 undo service-type telnet|ssh|terminal 优选课讲创建本地用户并配置相关属性创建本地用户并配置相关属性l设置本地用

32、户属性(续)操作操作命令命令设置用户的优先级 level level 恢复缺省的优先级 undo level 授权用户可以使用DVPN服务 service-type dvpn 取消用户可以使用DVPN服务 undo service-type dvpn 授权FTP用户可以访问的目录 service-type ftp ftp-directory directory 恢复对FTP用户授权的缺省目录 undo service-type ftp ftp-directory 优选课讲创建本地用户并配置相关属性创建本地用户并配置相关属性l设置本地用户属性(续)操作操作命令命令设置PPP用户的回呼及主叫号码属

33、性 service-type ppp callback-nocheck|callback-number callback-number|call-number call-number :subcall-number 恢复PPP用户回呼及主叫号码属性的缺省设置 undo service-type ppp callback-nocheck|callback-number|call-number 优选课讲AAA基本配置基本配置lAAA协议的显示与调试操作操作命令命令显示所有或指定ISP域的配置信息 display domain isp-name 显示用户连接的相关信息 display connect

34、ion domain isp-name|ip ip-address|mac mac-address|radius-scheme radius-scheme-name|ucibindex ucib-index|user-name user-name 显示本地用户的相关信息 display local-user domain isp-name|service-type pad|telnet|ssh|terminal|ftp|ppp|state active|block|user-name user-name 优选课讲课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍

35、协议介绍第三节：第三节：HWTACACS协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节：第六节：HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置举例及故障分析优选课讲RADIUS基本配置基本配置lRADIUS协议的配置包括：创建创建RADIUS方案方案设置设置RADIUS认证认证/授权服务器授权服务器设置设置RADIUS计费服务器及相关属性计费服务器及相关属性设置设置RADIUS报文的共享密钥报文的共享密钥设置设置RADIUS请求报文的最大传送次数请求报文的最大传送次数设置支持的设置支持的RADIUS服务器的类型服

36、务器的类型设置设置RADIUS服务器的状态服务器的状态设置发送给设置发送给RADIUS服务器的用户名格式服务器的用户名格式设置发送给设置发送给RADIUS服务器的数据流的单位服务器的数据流的单位配置配置NAS发送发送RADIUS报文使用的源地址报文使用的源地址配置配置RADIUS服务器的定时器服务器的定时器使能使能RADIUS 服务器状态变为服务器状态变为down时发送时发送trap报文的功能报文的功能 优选课讲RADIUS基本配置基本配置l创建RADIUs方案操作操作命令命令创建RADIUS方案并进入其视图 radius scheme radius-scheme-name 删除RADIUS方

37、案 undo radius scheme radius-scheme-name 优选课讲RADIUS基本配置基本配置l配置RADIUS授权/认证服务器操作操作命令命令设置主RADIUS认证/授权服务器的IP地址和端口号 primary authenticaiton ip-address port-number 将主RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值undo primary authentication设置从RADIUS认证/授权服务器的IP地址和端口号 secondary authentication ip-address port-number 将从RADIUS认证/

38、授权服务器的IP地址和端口号恢复为缺省值 undo secondary authentication 优选课讲RADIUS基本配置基本配置l配置RADIUS计费服务器操作操作命令命令设置主RADIUS计费服务器的IP地址和端口号 primary accountig ip-address port-number 将主RADIUS计费服务器的IP地址和端口号恢复为缺省值 undo primary accounting 设置从RADIUS计费服务器的IP地址和端口号 secondary accounting ip-address port-number 将从RADIUS计费服务器的IP地址和端口号恢

39、复为缺省值 undo secondary accounting 优选课讲RADIUS基本配置基本配置l使能停止计费报文缓存及重传功能操作操作命令命令使能停止计费报文缓存功能 stop-accounting-buffer enable 关闭停止计费报文缓存功能 undo stop-accounting-buffer enable 使能停止计费报文重传功能，并配置停止计费报文可以传送的最大次数 retry stop-accounting retry-times 恢复停止计费报文最大传送次数为缺省值 undo retry stop-accounting 优选课讲RADIUS基本配置基本配置l设置允许

40、实时计费请求无响应的最大次数操作操作命令命令设置允许实时计费请求无响应的最大次数 retry realtime-accounting retry-times 恢复允许实时计费请求无响应的最大次数为缺省值 undo retry realtime-accounting 优选课讲RADIUS基本配置基本配置l设置RADIUS报文的共享密钥操作操作命令命令设置RADIUS认证/授权报文的共享密钥 key authentication string 恢复RADIUS认证/授权报文共享密钥为缺省 undo key authentication 设置RADIUS计费报文的共享密钥 key accountin

41、g string 恢复RADIUS计费报文共享密钥为缺省 undo key accounting 优选课讲RADIUS基本配置基本配置l设置RADIUS请求报文的最大传送次数操作操作命令命令设置RADIUS请求报文的最大传送次数 retry retry-times 将RADIUS请求报文的最大传送次数恢复为缺省值 undo retry 优选课讲RADIUS基本配置基本配置l设备重启用户再认证功能配置过程配置步骤命令说明进入系统视图system-view-进入RADIUS方案视图radius scheme radius-scheme-name-启动设备重启用户再认证功能accounting-on

42、 enable send times interval interval 缺省情况下：设备重启用户再认证功能处于关闭状态；发送Accounting-On报文的最大次数（times）为15次、时间间隔（interval）为3秒优选课讲RADIUS基本配置基本配置l设置支持的RADIUS服务器的类型操作操作命令命令设置支持何种类型的RADIUS服务器 server-type huawei|standard 恢复RADIUS服务器类型为缺省设置 undo server-type 优选课讲RADIUS基本配置基本配置l设置RADIUS服务器的状态操作操作命令命令设置主RADIUS认证/授权服务器的状态

43、 state primary authentication block|active 设置主RADIUS计费服务器的状态 state primary accounting block|active 设置从RADIUS认证/授权服务器的状态 state secondary authentication block|active 设置从RADIUS计费服务器的状态 state secondary accounting block|active 优选课讲RADIUS基本配置基本配置l设置发送给RADIUS服务器的用户名格式操作操作命令命令设置发送给RADIUS服务器的用户名格式 user-name-

44、format with-domain|without-domain 优选课讲RADIUS基本配置基本配置l设置发送给RADIUS服务器的数据流单位操作操作命令命令设置发送给RADIUS服务器的数据流的单位data-flow-format data byte|giga-byte|kilo-byte|mega-byte packet giga-packet|kilo-packet|mega-packet|one-packet 恢复发送到RADIUS服务器的数据流的单位为缺省设置 undo data-flow-format 优选课讲RADIUS基本配置基本配置l配置NAS发送RADIUS报文使用的源

45、地址操作操作命令命令配置NAS发送RADIUS报文使用的源地址(RADIUS视图)nas-ip ip-address 取消NAS发送RADIUS报文使用的源地址(RADIUS视图)undo nas-ip 配置NAS发送RADIUS报文使用的源地址(系统视图)radius nas-ip ip-address 取消NAS发送RADIUS报文使用的源地址(系统视图)undo radius nas-ip 优选课讲RADIUS基本配置基本配置l配置RADIUS服务器应答超时定时器操作操作命令命令设置RADIUS服务器应答超时定时器 timer response-timeout seconds 将RADI

46、US服务器应答超时定时器恢复为缺省值 undo timer response-timeout 优选课讲RADIUS基本配置基本配置l配置RADIUS服务器的主服务器恢复激活状态时间操作操作命令命令配置恢复激活时间 timer quiet minutes 恢复缺省配置 undo timer quiet 优选课讲RADIUS基本配置基本配置l配置RADIUS服务器实时计费时间操作操作命令命令设置实时计费间隔 timer realtime-accounting minutes 将实时计费间隔恢复为缺省值 undo timer realtime-accounting 优选课讲l实时计费时间间隔与用户量

47、之间的推荐比例关系用户数用户数实时计费间隔（分钟）实时计费间隔（分钟）199 3 100499 6500999 121000 15RADIUS基本配置基本配置-定时器基本配置定时器基本配置优选课讲RADIUS基本配置基本配置l使能RADIUS服务器状态变为down时发送trap报文的功能操作操作命令命令使能RADIUS 服务器状态变为down时发送trap报文的功能 radius trap authentication-server-down|accounting-server-down 关闭RADIUS 服务器状态变为down时发送trap报文的功能 undo radius trap aut

48、hentication-server-down|accounting-server-down 优选课讲RADIUS基本配置基本配置l配置本地RADIUS认证服务器 操作命令配置本地RADIUS认证服务器local-server nas-ip ip-address key password取消本地RADIUS认证服务器的配置undo local-server nas-ip ip-address优选课讲RADIUS基本配置基本配置lRADIUS协议的显示与调试操作操作命令命令显示所有或指定RADIUS方案的配置信息或统计信息 display radius radius-server-name|st

49、atistics 显示RADIUS报文的统计信息 display radius statistics 显示缓存的没有得到响应的停止计费请求报文 display stop-accounting-buffer radius-scheme radius-server-name|session-id session-id|time-range start-time stop-time|user-name user-name 优选课讲RADIUS基本配置基本配置lRADIUS协议的显示与调试(续)操作操作命令命令打开RADIUS报文调试开关 debugging radius packet 关闭RADIU

50、S报文调试开关 undo debugging radius packet 删除那些缓存的、没有得到响应的停止计费请求报文 reset stop-accounting-buffer radius-scheme radius-server-name|session-id session-id|time-range start-time stop-time|user-name user-name 清除RADIUS服务器的统计信息 reset radius statistics 优选课讲课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍协议介绍第三节：第三节：HWTAC

51、ACS协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节：第六节：HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置举例及故障分析优选课讲HWTACACS基本配置基本配置lHWTACACS的配置包括：创建创建HWTACACS方案方案配置配置TACACS认证服务器认证服务器配置配置TACACS授权服务器授权服务器配置配置TACACS计费功能计费功能配置配置TACACS服务器的密钥服务器的密钥配置配置TACACS服务器的用户名格式服务器的用户名格式配置配置TACACS服务器的流量单位服务器的流量单位配置配置NAS发送发送HW

52、TACACS报文使用的源地址报文使用的源地址配置配置TACACS服务器的定时器服务器的定时器 优选课讲HWTACACS基本配置基本配置l创建HWTACACS方案操作操作命令命令创建HWTACACS方案，并进入HWTACACS视图 hwtacacs scheme hwtacacs-scheme-name 删除HWTACACS方案 undo hwtacacs scheme hwtacacs-scheme-name 优选课讲HWTACACS认证服务器基本配置认证服务器基本配置l配置HWTACACS认证服务器操作操作命令命令配置TACACS主认证服务器 primary authentication i

53、p-address port 删除TACACS主认证服务器 undo primary authentication 配置TACACS从认证服务器 secondary authentication ip-address port 删除TACACS从认证服务器 undo secondary authentication 优选课讲HWTACACS授权服务器基本配置授权服务器基本配置l配置HWTACACS授权服务器操作操作命令命令配置TACACS主授权服务器 primary authorization ip-address port 删除TACACS主授权服务器 undo primary author

54、ization 配置TACACS从授权服务器 secondary authorization ip-address port 删除TACACS从授权服务器 undo secondary authorization 优选课讲HWTACACS计费服务器基本配置计费服务器基本配置l配置HWTACACS计费服务器操作操作命令命令配置TACACS主计费服务器 primary accounting ip-address port 删除配置的TACACS主计费服务器 undo primary accounting 配置TACACS从计费服务器 secondary accounting ip-address

55、port 删除配置的TACACS从计费服务器 undo secondary accounting 优选课讲HWTACACS计费服务器基本配置计费服务器基本配置l使能停止计费报文的重传功能操作操作命令命令使能停止计费报文重传，并配置传送的最大次数 retry stop-accounting retry-times 关闭停止计费报文重传功能 undo retry stop-accounting 优选课讲HWTACACS基本配置基本配置l配置NAS发送HWTACACS报文使用的源地址操作操作命令命令配置NAS发送HWTACACS报文使用的源地址(HWTACACS视图)nas-ip ip-addres

56、s 取消NAS发送HWTACACS报文使用的源地址HWTACACS视图)undo nas-ip 配置NAS发送HWTACACS报文使用的源地址(系统视图)hwtacacs nas-ip ip-address 取消NAS发送HWTACACS报文使用的源地址(系统视图)undo hwtacacs nas-ip 优选课讲HWTACACS基本配置基本配置l配置HWTACACS服务器密钥操作操作命令命令配置TACACS计费、授权及认证服务器的密钥 k e y a c c o u n t i n g|a u t h o r i z a t i o n|authentication string 删除配置

57、undo key accounting|authorization|authentication 优选课讲HWTACACS基本配置基本配置l配置HWTACACS服务器的用户名格式操作操作命令命令配置用户名带域名 user-name-format with-domain 配置用户名不带域名 user-name-format without-domain 优选课讲HWTACACS基本配置基本配置l配置HWTACACS服务器的流量单位操作操作命令命令配置TACACS服务器的流量单位 data-flow-format data byte|giga-byte|kilo-byte|mega-byte da

58、ta-flow-format packet giga-packet|kilo-packet|mega-packet|one-packet 恢复发送到TACACS服务器的数据流的单位为缺省设置 undo data-flow-format data|packet 优选课讲HWTACACS服务器定时器基本配置服务器定时器基本配置l配置HWTACACS服务器的应答超时时间操作操作命令命令配置应答超时时间 timer response-timeout seconds 恢复缺省配置 undo timer response-timeout 优选课讲HWTACACS服务器定时器基本配置服务器定时器基本配置l配

59、置HWTACACS服务器的主服务器恢复激活状态时间操作操作命令命令配置恢复激活时间 timer quiet minutes 恢复缺省配置 undo timer quiet 优选课讲HWTACACS服务器定时器基本配置服务器定时器基本配置l配置实时计费时间间隔操作操作命令命令设置实时计费间隔 timer realtime-accounting minutes 将实时计费间隔恢复为缺省值 undo timer realtime-accounting 优选课讲HWTACACS服务器定时器基本配置服务器定时器基本配置l实时计费时间间隔与用户量之间的推荐比例关系用户数用户数实时计费间隔（分钟）实时计费间

60、隔（分钟）199 3 100499 6500999 121000 15优选课讲HWTACACS基本配置基本配置l配置在线用户主动修改当前密码 操作命令配置在线用户主动修改当前密码hwtacacs change-password self优选课讲HWTACACS基本配置基本配置lHWTACACS协议的显示与调试操作操作命令命令显示所有或指定HWTACACS方案的配置信息 display hwtacacs hwtacacs-server-name statistics 显示缓存的没有得到响应的停止计费请求报文 display stop-accounting-buffer hwtacacs-sche

61、me hwtacacs-scheme-name 打开HWTACACS协议调试开关 debugging hwtacacs all|error|event|message|receive-packet|send-packet 优选课讲HWTACACS基本配置基本配置lHWTACACS协议的显示与调试(续)操作操作命令命令关闭HWTACACS协议调试开关 undo debugging hwtacacs all|error|event|message|receive-packet|send-packet 删除那些在安全网关上缓存的、没有得到响应的停止计费请求报文 reset stop-accounti

62、ng-buffer hwtacacs-scheme hwtacacs-scheme-name 清除TACACS服务器的统计信息 reset hwtacacs statisticsaccounting|authentication|authorization|all 优选课讲课程内容课程内容第一节：第一节：AAA介绍介绍第二节：第二节：RADIUS协议介绍协议介绍第三节：第三节：HWTACACS协议介绍协议介绍第四节：第四节：AAA基本配置基本配置第五节：第五节：RADIUS基本配置基本配置第六节第六节HWTACACS基本配置基本配置第七节：配置举例及故障分析第七节：配置举例及故障分析优选课讲配

63、置举例配置举例l AAA及RADIUS/HWTACACS协议典型配置举例 例1：Telnet/SSH用户通过RADIUS服务器认证、计费的应用 例2：FTP/Telnet用户本地认证配置 例3：PPP用户通过TACACS服务器认证、授权、计费的应用 例4：PPP用户认证、授权、计费分离方案典型配置举例例5：Telnet用户通过TACACS+服务器认证（一次性认证）、计 费的应用 优选课讲配置举例（一）配置举例（一）lTelnet/SSH用户通过RADIUS服务器认证、计费的应用配置配置Telnet用户的远端用户的远端RADIUS认证认证Authentication/Accounting ser

64、vers (IP address:10.110.91.146)telnet user优选课讲配置举例（二）配置举例（二）lFTP/Telnet用户本地认证配置配置配置Telnet用户的本地认证用户的本地认证telnet user优选课讲配置举例（三）配置举例（三）lPPP用户通过TACACS服务器认证、授权、计费的应用配置配置PPP用户的远端用户的远端HWTACACS认证认证Authentication/Authorization/Accounting servers (IP address:10.110.91.146)e1/0/0:10.110.91.160S0/0/0:188.188.18

65、8.2PPP user优选课讲配置举例（四）配置举例（四）lPPP用户认证、授权、计费分离方案典型配置举例PPP用户认证、授权、计费分离方案配置应用用户认证、授权、计费分离方案配置应用RADIUS:10.110.91.145/16TACACS:10.110.91.146/16e1/0/0:10.110.91.160S0/0/0:188.188.188.2PPP user优选课讲配置举例（五）配置举例（五）lTelnet用户通过TACACS+服务器认证（一次性认证）、计 费的应用配置配置Telnet用户的远端用户的远端TACACS+认证认证Authentication/Accounting se

66、rvers (IP address:10.110.91.146)telnet user优选课讲故障分析故障分析l RADIUS协议故障诊断与排除l HWTACACS协议故障诊断与排除 优选课讲RADIUS协议故障诊断与排除协议故障诊断与排除lRADIUS协议故障诊断与排除RADIUS协议在TCP/IP协议族中处于应用层，它主要规定NAS与ISP的RADIUS服务器间如何交互用户信息，因此它失效的可能性比较大。用户认证/授权总是失败 RADIUS报文无法传送到RADIUS服务器 用户认证通过并获得授权，但是不能向RADIUS服务器传送计费话单。优选课讲RADIUS协议故障排除（一）协议故障排除（一）l用户认证/授权总是失败（1）用户名不是“useridisp-name”的形式，或NAS没有指定缺省的ISP域请 使用正确形式的用户名或在NAS中设定缺省的ISP域。（2）RADIUS服务器的数据库中没有配置该用户检查RADIUS服务器的数据库以保证该用户的配置信息确实存在。（3）用户侧输入的密码不正确请保证接入用户输入正确的密码。（4）RADIUS服务器和NAS的报文共享密钥不同请仔细比较两