1、H3C S5560-SI 系列以H3C S5560-SI 系列以太網(wǎng)交換安全配置指資料版本：6W100-產(chǎn)品版本：ReleaseCopyright2014者形、H3Care、Copyright2014者形、H3Care、Netflow、cPath、ware、ITCMM、HUASAN、華由于產(chǎn)品版本升級(jí)或其他原因，本手冊(cè)內(nèi)容有可能變更。H3C 保留在沒有任何通知或者提示的情下對(duì)本手冊(cè)的內(nèi)容進(jìn)行修改的權(quán)利。本手冊(cè)僅作為使用指導(dǎo)，H3C 盡全力在本手冊(cè)中提供準(zhǔn)確的H3C 前 言H3C S5560-SI 系列以太網(wǎng)交換機(jī)配置指導(dǎo)共分為十一本手冊(cè)介紹了 S5560-SI 系列以太網(wǎng)交換各AAA、前 言H

2、3C S5560-SI 系列以太網(wǎng)交換機(jī)配置指導(dǎo)共分為十一本手冊(cè)介紹了 S5560-SI 系列以太網(wǎng)交換各AAA、PKI 認(rèn)證特性，802.1X、 IPSourceGuard、 1. 格 意 粗命令行關(guān)鍵字（命令中保持不變、必須照輸?shù)牟糠郑┎捎眉哟肿煮w表示斜命令行參數(shù)（命令中必須由實(shí)際值進(jìn)行替代的部分）采用斜體表示 表示用“ x |y |. x |y|. x |y |. x |y|. 表示符號(hào)&前面的參數(shù)可以重復(fù)輸入1n次#由“#”號(hào)開始的行表示為注釋行2. 3. 4. 該圖標(biāo)及其相關(guān)描述文字代表一般網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)等2. 3. 4. 該圖標(biāo)及其相關(guān)描述文字代表一般網(wǎng)絡(luò)設(shè)備，如路由器

3、、交換機(jī)等該圖標(biāo)及其相關(guān)描述文字代、UTM、多業(yè)務(wù)安全網(wǎng)關(guān)、負(fù)載均衡該標(biāo)志后的注釋需給予格外關(guān)注，不當(dāng)?shù)牟僮骺赡軙?huì)對(duì)人身造格 意 帶尖括號(hào)“”表示按鈕名，如“單擊 帶方括號(hào)“”表示窗口名、菜單名和數(shù)據(jù)表，如“彈出新建用戶/5. 您可以通過(guò)（）服務(wù)支持列出產(chǎn)品的兼容，并對(duì)兼容性和安全的細(xì)節(jié)進(jìn)行說(shuō)5. 您可以通過(guò)（）服務(wù)支持列出產(chǎn)品的兼容，并對(duì)兼容性和安全的細(xì)節(jié)進(jìn)行說(shuō)幫助您了解H3C交換機(jī)支持的可插拔模塊類型、外觀和規(guī)幫助您掌握設(shè)功能的配置方法及配置步MIB版本配套的MIB：（、固話均可撥打如果您在使用發(fā)現(xiàn)產(chǎn)品資料的任何問(wèn)題，可以通過(guò)以下方式反饋：（、固話均可撥打如果您在使用發(fā)現(xiàn)產(chǎn)品資料的任何問(wèn)題

4、，可以通過(guò)以下方式反饋：目 錄1 111.1.1概12目 錄1 111.1.1概12710121.1.6協(xié)議規(guī)141.1.7RADIUS屬14171818223237411.4.1配置準(zhǔn)414142421.4.5配置ISP域的方431.4.6配置ISP域的AAA計(jì)費(fèi)方441.5配置RADIUS451.645 461.8AAA1.9AAA典型配置舉47 47 481.9.3SSH用戶的RADIUS50 541.10AAA常見配置錯(cuò)誤舉601.10.1RADIUS認(rèn)證失60i606161611 1.1 AAA1.1.1 概AAA采用客戶端/服務(wù)器結(jié)構(gòu)，客戶端1 1.1 AAA1.1.1 概AAA采

5、用客戶端/服務(wù)器結(jié)構(gòu)，客戶端運(yùn)行于NAS（Network 與管理用戶接入服務(wù)器上則集中管理用戶信息AAA的基本組網(wǎng)結(jié)構(gòu)如 圖 1-1圖1-1 AAANAS服務(wù)器根據(jù)自身的配置對(duì)用戶進(jìn)行判斷并返回相應(yīng)的認(rèn)證 1-AAANAS支持 RADIUS（Remote Authentication Dial-In User 認(rèn)證撥號(hào)用戶服務(wù)）sControllersControlSystem，HW終系統(tǒng)協(xié)議）LDAP（Lightweight Directory s Protocol協(xié)議）圖 1-1 的AAA基本組網(wǎng)結(jié)構(gòu)中有兩臺(tái)服務(wù)AAANAS支持 RADIUS（Remote Authentication D

6、ial-In User 認(rèn)證撥號(hào)用戶服務(wù)）sControllersControlSystem，HW終系統(tǒng)協(xié)議）LDAP（Lightweight Directory s Protocol協(xié)議）圖 1-1 的AAA基本組網(wǎng)結(jié)構(gòu)中有兩臺(tái)服務(wù)器，用戶可以根據(jù)實(shí)際組網(wǎng)需求來(lái)決定認(rèn)證功能分別由使用哪種協(xié)議類型的服務(wù)器來(lái)承擔(dān)。例如，可以選擇HWTACACS服務(wù)器實(shí)現(xiàn)AAA RADIUS協(xié)議簡(jiǎn)RADIUS（Remote Authentication Dial-In User 認(rèn)證撥號(hào)用戶服務(wù)用的各種網(wǎng)絡(luò)環(huán)境中。RADIUS 協(xié)議合并了認(rèn)證RADIUS 的報(bào)文格式及其消息傳輸機(jī)制，并規(guī)定使用 UDP 作為封裝

7、RADIUS 報(bào)文的傳輸層協(xié)議UDP 端口1812、1813 分別作為認(rèn)證RADIUS 最初僅是針對(duì)撥號(hào)用戶的 AAA 協(xié)議，后來(lái)隨著用戶接入方式的多樣化發(fā)展，RADIUS 適應(yīng)多種用戶接入方式，如以太網(wǎng)接入、ADSL 1. 客戶端/ 用戶接入 NAS 返回處理結(jié)果（如接受 ，RADIUS服務(wù)器通常 三個(gè)數(shù)據(jù)庫(kù)，如1-2 所示圖1-2 RADIUS“Users用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置信息1- RADIUS 協(xié)議中的屬性和屬性 RADIUS 協(xié)議中的屬性和屬性值含義的信息2. SSRAS6 5S報(bào)文的一方要驗(yàn)證該簽名的正確性，如果報(bào)文的簽名RADIUS RADIUS

8、 3. RADIUS 服務(wù)器支持多種方法來(lái)認(rèn)證用戶，例如 PAP（Password Authentication 驗(yàn)證協(xié)議、CHAP（ChallengeHandshakeAuthenticationProtocol，質(zhì)詢握手驗(yàn)證協(xié)議） 4. RADIUS的基本消息交互流用戶、RADIUS客戶端和RADIUS服務(wù)器之間的交互流程如 圖 1-3 所示圖1-RADIUS 的基本消息交互流 。RADIUS 客戶端根據(jù)獲取的用戶名 s-Request），其中在共享密鑰的參與下利用 MD5 算法進(jìn)行1-RADIUS 服務(wù)器對(duì)用戶名 RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入 RADIUS 服務(wù)器對(duì)用戶名

9、 RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入 RADIUS 服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包（Accounting-Response），并開始計(jì)費(fèi)RADIUS 客戶端向 RADIUS 服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包（Accounting-Request）RADIUS 服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包（Accounting-Response），并停止計(jì)費(fèi) RADIUS采用UDP報(bào)文來(lái)傳輸消息，通過(guò)定時(shí)器機(jī)制、重用服務(wù)器機(jī)制，確保服務(wù)器和客戶端之間交互消息的正確收發(fā)。RADIUS報(bào)文結(jié)構(gòu)如 圖 1-4 所示圖1-4 RADIUSCode 表1-1 Code1-1方向C nt-Server，C nt將用戶信息傳輸?shù)絊e

10、rver，請(qǐng)求Server對(duì)用戶身assword、NAS-Port等屬2方向Server-C nt，如果Ac3方向Server-C nt，如果Ac4方向C nt-Server，C nt將用戶信息傳輸?shù)絊erver，請(qǐng)求Server開始/停止計(jì)費(fèi)。該報(bào)文中的Acct-S us-Type屬性用于區(qū)分計(jì)費(fèi)開始請(qǐng)求和計(jì)費(fèi)結(jié) Length 2RADIUS Length 長(zhǎng)度為16 個(gè)字節(jié)用于驗(yàn)證RADIUS 服務(wù)器的應(yīng)答報(bào)文還用于用 Attribute Length 2RADIUS Length 長(zhǎng)度為16 個(gè)字節(jié)用于驗(yàn)證RADIUS 服務(wù)器的應(yīng)答報(bào)文還用于用 Attribute 用（Type、Leng

11、th、Value）三元組的結(jié)構(gòu)來(lái)表示（ype（Length（alue表 1-2 列出了RADIUS認(rèn)證費(fèi)常用的屬性這些屬性由RFC 2865RFC 2866RFC 和RFC2868所定義。常用RADIUS標(biāo)準(zhǔn)屬性的介紹請(qǐng)參見“1.1.7 1常用RADIUS標(biāo)準(zhǔn)屬性表1-RADIUS 屬1-1User-23CHAP-45NAS-67Acct-Link-8956-CHAP-5方向Server-C nt，Server通知C nt已經(jīng)收到Accounting-Request報(bào)文， RADIUS RADIUS 沒有定義的功能。1-Login-IP-Login-Port-CP-Login-LAT-Repl

12、y-Callback-Tunnel-C nt-Callback-ARAP-S ARAP-ARAP-Security- RADIUS RADIUS 沒有定義的功能。1-Login-IP-Login-Port-CP-Login-LAT-Reply-Callback-Tunnel-C nt-Callback-ARAP-S ARAP-ARAP-Security-Called-S ion-Connect-Calling-S ion-Configuration-Message-Login-LAT-Login-LAT-Login-LAT-Framed-AppleTalk-ARAP-Challenge-Fra

13、med-AppleTalk-Acct- erim- Acct-S us-Acct-Delay-Tunnel-C nt-Auth-設(shè)備廠商可以在 26 號(hào)屬性中封裝多個(gè)自定義的（Type、Length、Value）子屬性，以提展功能。26 號(hào)屬性的格式如1-5 所示設(shè)備廠商可以在 26 號(hào)屬性中封裝多個(gè)自定義的（Type、Length、Value）子屬性，以提展功能。26 號(hào)屬性的格式如1-5 所示 Vendor-ID 25506Vendor-Data，表示子屬性的內(nèi)容關(guān)于H3CRADIUS擴(kuò)展屬性的介紹請(qǐng)參見“1.1.7 2H3CRADIUS擴(kuò)展屬性圖1-5 26HWTACACS協(xié)議簡(jiǎn)sCon

14、trollersControlSystem，HW系統(tǒng)協(xié)議）是在 TACACS（RFC 1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與 RADIUS 議類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn) NAS 與 HWTACACS 服務(wù)器之間的通信HWTACACS 協(xié)議主要用于Protocol，點(diǎn)對(duì)點(diǎn)協(xié)議）和 VPDN（Virtual Dial-up Network，虛 。設(shè)備作為 HWTACACS 的客戶端，將用戶名發(fā)給 HWTACACS 服務(wù)器進(jìn)行驗(yàn)證，用戶驗(yàn)證 1. HWTACACS協(xié)議與RADIUS協(xié)議的區(qū)HWTACACS協(xié)議與RADIUS協(xié)議都實(shí)現(xiàn)了認(rèn)證1-3 所示。表1-3 HWTACACSRA

15、DIUS1-HWTACACS 協(xié)RADIUS 協(xié)使用UDP，網(wǎng)絡(luò)傳輸效率更除了HWTACACS報(bào)文頭，對(duì)報(bào)文主體全部進(jìn)行加只對(duì)認(rèn)證報(bào)文中字段進(jìn)行加2.HWTACACS2.HWTACACS流程圖如圖1-6 所示。1-HWTACACS 協(xié)RADIUS 協(xié)協(xié)議報(bào)文比較簡(jiǎn)單，認(rèn)證結(jié)合，難以分支持對(duì)設(shè)備的配置命令進(jìn)行 使用。用戶可使用令行受到用戶角色和AAA 的雙重限制，某角色的用權(quán)，如果 通過(guò)，命令就可以被執(zhí)行不支持對(duì)設(shè)備的配置命令進(jìn)使圖1-netnetHWTACACS 客戶端收到請(qǐng)求之后，向 HWTACACS 服務(wù)器發(fā)圖1-netnetHWTACACS 客戶端收到請(qǐng)求之后，向 HWTACACS 服務(wù)

16、器發(fā)送認(rèn)證開始報(bào)文HWTACACS服務(wù)器發(fā)送認(rèn)證回應(yīng)報(bào)文，請(qǐng)求用戶名。 HWTACACS 客戶端收到用戶名后，向 HWTACACS 服務(wù)器發(fā)送認(rèn)證持續(xù)報(bào)文，其中包括HWTACACS 服務(wù)器發(fā)送認(rèn)證回應(yīng)報(bào)文，請(qǐng)求登。1-HWTACACS 客戶端收到回應(yīng)報(bào)文，向用戶詢問(wèn)登。HWTACACS 客戶端收到登 。 HWTACACS 客戶端向HWTACACS 服務(wù)器 。HWTACACS 客戶端HWTACACS 客戶端向HWTACACS 服務(wù)器發(fā)送計(jì)HWTACACS 客戶端收到回應(yīng)報(bào)文，向用戶詢問(wèn)登。HWTACACS 客戶端收到登 。 HWTACACS 客戶端向HWTACACS 服務(wù)器 。HWTACACS

17、客戶端HWTACACS 客戶端向HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文。 HWTACACS 客戶端向 HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束報(bào)文HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束報(bào)文，指示計(jì)費(fèi)結(jié)束報(bào)文已經(jīng)收到LDAP協(xié)議簡(jiǎn)LDAP（Lightweight Directory 提供的、基于標(biāo)準(zhǔn)的目錄服務(wù)。它是在 X.500 協(xié)議的基礎(chǔ)上發(fā)展起來(lái)的，繼承了 X.500 的點(diǎn)，并對(duì)X.500 LDAP 協(xié)議的典型應(yīng)用是用來(lái)保存系統(tǒng)中的用戶信息，Active Directory Server（LDAP 服務(wù) 1.LDAP。LDAP 中使用目由多個(gè)條（Entry）組成的條目是具有 DN（Disting

18、uished Name，可區(qū)別名的屬LDAP 協(xié)議基于 LDAP 服務(wù)器Active Directory Server、IBMTivoli Directory ServerSunSun Directory Server 都是常LDAP 服務(wù)2.使用LDAPAAA 可以使用 LDAP 協(xié)議對(duì)用戶提供認(rèn)證。服務(wù)。LDAP 協(xié)議中定義了多種操作來(lái)實(shí)現(xiàn) 綁定操作的作用有兩個(gè)：一是與 LDAP 服務(wù)器建立連接并獲取 LDAP 服務(wù)器。查詢操作就是構(gòu)造查詢條件，并獲取 LDAP 服務(wù)器的目錄資源信息的過(guò)程使用 LDAP 協(xié)議進(jìn)行認(rèn)證時(shí)，其基本的工作流程如下LDAPLDAPDNLDAPLDAP服務(wù)器建立LD

19、AP 客戶端使用認(rèn)證信息中的用戶名構(gòu)造查詢條件 LDAP 服務(wù)器指定根目錄下查詢此戶，得到用戶的 DN1-LDAP 客戶端使用用戶DN 和用與 LDAP 服務(wù)器進(jìn)行綁定，檢查用使用LDAP 協(xié)議進(jìn)的過(guò)程與認(rèn)證過(guò)程相似，首先必須LDAP 客戶端使用用戶DN 和用與 LDAP 服務(wù)器進(jìn)行綁定，檢查用使用LDAP 協(xié)議進(jìn)的過(guò)程與認(rèn)證過(guò)程相似，首先必須通過(guò)與 LDAP 服務(wù)器進(jìn)行綁定，建立DNDN戶 DN 時(shí)便能夠獲得相應(yīng)過(guò)程與認(rèn)證過(guò)程相同；否則還需要再次以 LDAP 服LDAP3.LDAP程如圖1-7 所示。圖1-LDAP 認(rèn)證的基本消息交互流用戶發(fā)起連接請(qǐng)求，向 LDAP 客戶端發(fā)送用戶名。LDA

20、P 客戶端收到請(qǐng)求之后，與LDAP 服務(wù)器建立TCP LDAP 客戶端以管理員DN 和管理員為參數(shù)向 LDAP 服務(wù)器發(fā)送管理員綁定請(qǐng)求報(bào)（AdministratorBindRequest）Search Request）。LDAP服務(wù)器收到查詢請(qǐng)求報(bào)文后，根據(jù)報(bào)文中的查詢起始地址、查詢范圍、以及過(guò)濾條件，DN LDAP 客戶端發(fā)送查詢成功的回應(yīng)報(bào)文。查詢得 DN 可以是一或多個(gè)。1-LDAP 客戶端以查詢得到的用戶 DN 和用戶輸入為參數(shù)，向LDAP 服務(wù)器發(fā)送用戶綁定請(qǐng)求報(bào)文（UserDNBindRequest），LDAP 客戶端以查詢得到的用戶 DN 和用戶輸入為參數(shù)，向LDAP 服務(wù)器發(fā)

21、送用戶綁定請(qǐng)求報(bào)文（UserDNBindRequest），LDAP 服務(wù)器進(jìn)行綁定請(qǐng)求報(bào)文的處理如果綁定成功，則向 LDAP 客戶端發(fā)送綁定成功的回應(yīng)報(bào)文LDAP客戶端發(fā)送綁定失敗的回應(yīng)報(bào)文。LDAP客戶端以下一個(gè)查詢到的DN（如果存在的話）DN 綁定成功，DNDNLDAP客戶端通知用戶登錄失敗并LDAP 客戶端與LDAP 服務(wù)器進(jìn)等）成功之后，LDAP 客戶端通知用戶登錄成功1. NAS對(duì)用戶的管理是基于ISP（ ernet Service Provider，互聯(lián)網(wǎng)服務(wù)提供者）域的，每個(gè)用戶都屬于一個(gè)ISP域。一般情況下，用戶所屬的ISP域是由用戶登錄時(shí)提供的用戶名決定的，如 圖 1-8圖1

22、-8 AAAlan-s 用戶：LAN 接入用戶，如 802.1X 認(rèn)證、MAC 地址認(rèn)證用戶 ISP 域可由該相應(yīng)的認(rèn)證模塊（802.1X）1-2.實(shí)現(xiàn)AAAISP AAA AAA本地認(rèn)證：認(rèn)證過(guò)程在接入設(shè)備上完成，用戶信息（和各種屬性）RADIUS、HWTACACS 或 LDAP 協(xié)議通信。優(yōu)點(diǎn)是用戶信息集中在服務(wù)器AAA：接入設(shè)備不請(qǐng) 網(wǎng)RBAC：2.實(shí)現(xiàn)AAAISP AAA AAA本地認(rèn)證：認(rèn)證過(guò)程在接入設(shè)備上完成，用戶信息（和各種屬性）RADIUS、HWTACACS 或 LDAP 協(xié)議通信。優(yōu)點(diǎn)是用戶信息集中在服務(wù)器AAA：接入設(shè)備不請(qǐng) 網(wǎng)RBAC： 是綁信息攜帶在認(rèn)證回應(yīng)報(bào)文中下發(fā)給

23、用戶。HWTACACS 協(xié)議成功后信息通。AAA 成令RBAC1-1.1.6 協(xié)議規(guī)與 AAA、RADIUS、HWTACACS、LDAP 相關(guān)的協(xié)議規(guī)范有RFC2865：RemoteAuthenticationDialInUserService(RADIUS) RFC 2866：RADIUS AccountingRFC2867：RADIUSAccountingModificationsforTunnel1.1.6 協(xié)議規(guī)與 AAA、RADIUS、HWTACACS、LDAP 相關(guān)的協(xié)議規(guī)范有RFC2865：RemoteAuthenticationDialInUserService(RADIUS)

24、 RFC 2866：RADIUS AccountingRFC2867：RADIUSAccountingModificationsforTunnelProtocolRFC2868：RADIUSAttributesforTunnelProtocolRFC2869：RADIUSsRFC1492：AnsControlProtocol,SometimesCalledRFC1777：LightweightDirectoryRFC2251：LightweightDirectorys sProtocolRADIUS屬 表1-1-1User-23CHAP-4Server通過(guò)不同的IP地址來(lái)標(biāo)識(shí)不同的C nt，通

25、常C nt采用本地一個(gè)接口請(qǐng)求的C nt的NAS-IP-Address。該字段僅出現(xiàn)在Ac s-Request報(bào)文中5NAS-678用戶與NAS之間數(shù)據(jù)鏈路的MTU（ umTransmis Unit，最大傳輸Login-IP-Login-Reply-2.H3CRADIUS表1-5 H3CRADIUS1-12Calling-S 2.H3CRADIUS表1-5 H3CRADIUS1-12Calling-S ion-NAS用于向Server告知標(biāo)識(shí)用戶的號(hào)碼，在 設(shè)備提供的lan-ac s業(yè)務(wù)NAS用來(lái)向Server標(biāo)識(shí)自己的名Acct-3： erim-4：Reset-7：Accounting-On

26、（3GPP 中有定義8：Accounting-Off（3GPP中有定義9-for CHAP-在CHAP認(rèn)證中，由NAS生成的用于MD5計(jì)算的隨機(jī)序NAS-Port-NAS認(rèn)證用戶的端口的物理類15：以太16：所有種類的 17：Cable（有線電視電纜19：WLAN-IEEE如果在ATM或以太網(wǎng)端口上還劃分VLAN，則該屬性值為EAP-1-345Output-Average-61-345Output-Average-6d1：Trigger-2：Terminate-Control_Identifier屬性，此時(shí)的Control_Identifier屬性無(wú)實(shí)際意表示Trigger-Request或S

27、etPolicy的結(jié)果，0表示成功，非0表示失EXEC用戶優(yōu)“A.B.C.Dhh:hh:hh:hh:hh:hh”，IP地址和MAC地址之間以空格分開該屬性僅出現(xiàn)在s-Accept和Accounting-Request報(bào)文用戶安全認(rèn)證之后下發(fā)的安全級(jí)Input- erval-Output- erval-Input- erval-兩次計(jì)費(fèi)間隔的輸入的包數(shù)由設(shè)備上的配置決AAA客戶端的接入設(shè)備（NAS功能的網(wǎng)絡(luò)設(shè)備）上，AAAAAAAAA localuserAAAHWTACACS LDAP 方案 已經(jīng)配置的RADIUS、HWTACACS 或AAA客戶端的接入設(shè)備（NAS功能的網(wǎng)絡(luò)設(shè)備）上，AAAAA

28、AAAA localuserAAAHWTACACS LDAP 方案 已經(jīng)配置的RADIUS、HWTACACS 或LDAP 方案（none認(rèn)證（schem；（scheme（none（none圖1-AAA1-Output- erval-兩次計(jì)費(fèi)間隔的輸出的包數(shù)由設(shè)備上的配置決Input- erval-Output- erval-Gigawor NAS發(fā)送RADIUS報(bào)文的備份源IP地表1-AAA1.3 配置AAA1.3.1 配置本地用行新的認(rèn)證、計(jì)費(fèi)請(qǐng)求，但是可以接收已經(jīng)成功計(jì)費(fèi)用戶的停止計(jì)費(fèi)請(qǐng)求表1-AAA1.3 配置AAA1.3.1 配置本地用行新的認(rèn)證、計(jì)費(fèi)請(qǐng)求，但是可以接收已經(jīng)成功計(jì)費(fèi)用戶

29、的停止計(jì)費(fèi)請(qǐng)求1-配置HWTACACS方配置LDAP方方配置RADIUS限制同的最大用戶連接配置NAS-ID與VLAN的綁每一個(gè)本地用戶都屬于一個(gè)本地用戶組并繼承組中的所有屬管理屬性和用關(guān)于本地用戶組的介紹和配置請(qǐng)參見“1.3.1 3配置用戶組屬性屬性包括：用戶IP地址、用戶接入端口、用戶MAC地址、用戶所屬VLAN。各屬性的使用及支持情況1-8每一個(gè)本地用戶都屬于一個(gè)本地用戶組并繼承組中的所有屬管理屬性和用關(guān)于本地用戶組的介紹和配置請(qǐng)參見“1.3.1 3配置用戶組屬性屬性包括：用戶IP地址、用戶接入端口、用戶MAC地址、用戶所屬VLAN。各屬性的使用及支持情況1-8屬性包括：ACL、閑置切斷

30、功能、用表 管理屬性在系統(tǒng)視圖（具有全局性置指導(dǎo)”中的“Password Control表1-7 2. 。表1-8 1-1.3.1 1.3.1 1.3.1 1-local-useruser-namemanage |network1-local-useruser-namemanage |networkpasswordcipher |simple網(wǎng)絡(luò)接入類用戶的 將在加密運(yùn)算設(shè)備管理類用戶的 將在哈希計(jì)算若不設(shè)置 ，則本地用戶認(rèn)證時(shí)無(wú)需輸入 ，只要用戶名有效且其它passwordhash |simplepassword service-typelan-s|portal service-typeft

31、p|http|https|net |terminal*FIPSservice-typehttps|ssh|terminal*（可選）eactive |block bind-attributeipip-address erface-number|macmac-address|vlanvlan-id綁定屬性ip僅適用于lan-類型中的802.1X 用戶 s類型的用3. group 命令來(lái)修改。表1-9 1-authorization-attributeacl-number3. group 命令來(lái)修改。表1-9 1-authorization-attributeacl-number|idle-cut

32、minuterofileprofile-name|user-role-name|vlanvlan-idwork-directorydirectory-name對(duì)于lan-acs用戶，僅性acl、usrofile 和vlan 有對(duì)于Portal 用戶，僅vlan有效；對(duì)于httphttps屬性u(píng)ser-role 有ssh、ftp用戶，僅 屬性 user-rolework-directory有password-controlagingaging-password-controllengthpassword-control comtype-number type-numbertype-lengtht

33、ype-lengthpassword-controlsame-character|user-namepassword-controllogin-imesexceed lock lock-timetime |unlockgroupgroup-4. 表1-10 1.3.2 配置RADIUS方RADIUS 方案中定義了設(shè)備和 RADIUS 服務(wù)器之間進(jìn)行信息交互所必需的一4. 表1-10 1.3.2 配置RADIUS方RADIUS 方案中定義了設(shè)備和 RADIUS 服務(wù)器之間進(jìn)行信息交互所必需的一些參數(shù)，主要RADIUS 服務(wù)器的IP 地址、UDP 1. RADIUS配置任務(wù)簡(jiǎn)表1-11 RADIU

34、S1-1.3.2 displaylocal-userclassmanage|network|idle-cutdisableenable|service-typeftp|http|https|lan-s|portal|ssh|terminal|eactive|block|user-nameuser-name|vlanvlan-iddisplayuser-groupgroup-nameuser-groupgroup-設(shè)置用戶組屬authorization-attribute acl acl-number | idle-cut minute | rofileprofile-name|vlan vla

35、n-id | work-directory directory-name *缺省情況下未設(shè)置用戶組屬間password-controlagingaging-缺省情況下，采用全管理策度password-controllength略password-control comtype-number type-numbertype-lengthtype-lengthpassword-controlsame-character|user-namepassword-controllogin-imesexceed lock lock-timetime |unlock 表1-12 RADIUS。3. 配置RAD

36、IUS認(rèn)證服務(wù)RADIUSRADIUS客戶端的，RADIUS RADIUSRADIUS認(rèn)證 1- 表1-12 RADIUS。3. 配置RADIUS認(rèn)證服務(wù)RADIUSRADIUS客戶端的，RADIUS RADIUSRADIUS認(rèn)證 1-RADIUS方案radiussystem 的RADIUS 方案。1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 配置RADIUSAttribute151.3.2 1.3.2 RADIUS顯示1.3.2 一個(gè)S方案中最多允許配置一個(gè)主認(rèn)證服務(wù)器和6eS認(rèn)證服務(wù)器即可。RADIUS 方案的從認(rèn)證

37、一個(gè)S方案中最多允許配置一個(gè)主認(rèn)證服務(wù)器和6eS認(rèn)證服務(wù)器即可。RADIUS 方案的從認(rèn)證服務(wù)器表1-13 RADIUS4. 配置RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)參通過(guò)在 RADIUS 方案中配置 RADIUS 計(jì)費(fèi)服務(wù)器，指定設(shè)備對(duì)用戶進(jìn)行 RADIUS 計(jì)費(fèi)時(shí)與哪些服一個(gè)S方案中最多允許配置一個(gè)主計(jì)費(fèi)服務(wù)器和6eS計(jì)費(fèi)服務(wù)器即可。RADIUS 方案的從計(jì)費(fèi)服務(wù)器SS的實(shí)時(shí)計(jì)費(fèi)請(qǐng)求沒有得到響應(yīng)的次數(shù)超過(guò)指定的最大值時(shí)切斷用戶連接。 表1-14 RADIUS1-radiusschemeradius-scheme-ccountinghost-nameipv4-address|ipv6ipv6-add

38、ressport-number|keycipher|simplestring-radiusschemeradius-scheme-uthenticationhost-nameipv4-address|ipv6ipv6-addressport-number |keycipher|simplestring名、IP地址、端 不能完全主機(jī)名、IP地址、端 也不secondaryauthenticationhost-nameipv4-address|ipv6ipv6-addressport-number |keycipher|simplestring5. 配置RADIUS報(bào)文的共享密RADIUS 客戶端

39、與 RADIUS 服務(wù)器使用 MD5 算法并在共享密鑰的參與下生成驗(yàn)證字，接受方根RADIUS 認(rèn)證/RADIUS 報(bào)文共享密鑰僅在配置5. 配置RADIUS報(bào)文的共享密RADIUS 客戶端與 RADIUS 服務(wù)器使用 MD5 算法并在共享密鑰的參與下生成驗(yàn)證字，接受方根RADIUS 認(rèn)證/RADIUS 報(bào)文共享密鑰僅在配置 RADIUS 認(rèn)證/計(jì)費(fèi)服務(wù)器時(shí)未指定相應(yīng)密鑰的情況下使用表1-15 RADIUS6. 配置發(fā)送給RADIUS服務(wù)器的用戶名格式和數(shù)據(jù)統(tǒng)”后面的部分為 RADIUS RADIUS RADIUSRADIUS 需要注意的是，如果要在兩個(gè)乃至兩個(gè)以上的 ISP 相同的 RADI

40、US RADIUS 方案允許用戶名中攜帶 表1-16 RADIUS1-radiusschemeradius-scheme-radiusschemeradius-scheme-keyaccounting|authenticationcipher|simplesecondaryaccountinghost-nameipv4-address|ipv6ipv6-addressport-number|keycipher|simplestringretryrealtime-accountingretry-7. 配置發(fā)送RADIUS報(bào)文的最大嘗試次時(shí)器規(guī)定的時(shí)長(zhǎng)內(nèi)（由timerresponse-timeou

41、t命令配置）沒有收到RADIUS服務(wù)器的響應(yīng)，則設(shè)7. 配置發(fā)送RADIUS報(bào)文的最大嘗試次時(shí)器規(guī)定的時(shí)長(zhǎng)內(nèi)（由timerresponse-timeout命令配置）沒有收到RADIUS服務(wù)器的響應(yīng)，則設(shè)見“1.3.2 8. 配置RADIUS服務(wù)器的狀態(tài)表1-17 RADIUS8. 配置RADIUS服務(wù)器的狀RADIUS 方案中各服務(wù)器的狀態(tài)（active、block）決定了設(shè)備向哪個(gè)服務(wù)器發(fā)送請(qǐng)求報(bào)文，以及可指定一個(gè)主RADIUS 服務(wù)器和多個(gè)從RADIUS 服務(wù)器，由從服務(wù)器作為主服務(wù)器的備份。通常active時(shí)，設(shè)備首先嘗試與主服務(wù)器通信，若主服務(wù)器不可達(dá)，設(shè)備更改主服務(wù)器的狀態(tài)為 blo

42、ck，并啟動(dòng)該服務(wù)器的 quiet 定時(shí)器，然后按照從服務(wù)器的配置先后順序依次查找狀態(tài)為 active 的從服務(wù)器進(jìn)行認(rèn)證或者計(jì)費(fèi)。如果狀態(tài)為 active 的從服務(wù)器也不 activequietactive1-radius-retryretry-user-name-formatkeep-original|值，設(shè)備發(fā)送給RADIUS 服務(wù)器的用戶名攜帶有ISP廠值，存在一個(gè)名稱為system的 給RADIUS 服務(wù)器的用戶名不攜帶有ISPdata-flow-format data byte | giga-byte|kilo-byte|mega-byte| packetgiga-packet|k

43、ilo-packet| mega-packet | one-packet *當(dāng)主/block 時(shí)，設(shè)備嘗試與主服務(wù)器進(jìn)行通信。block 的服務(wù)器通信。 當(dāng)主/block 時(shí)，設(shè)備嘗試與主服務(wù)器進(jìn)行通信。block 的服務(wù)器通信。 IPS，認(rèn)為所有的服務(wù)器Sebloc。表1-18 RADIUS9. 配置發(fā)送RADIUS報(bào)文使用的源地RADIUS 服務(wù)器上通過(guò) IP 地址來(lái)標(biāo)識(shí)接入設(shè)備，并根據(jù)收到的 RADIUS 報(bào)文的源 IP 地址是否與服務(wù)器所管理的接入設(shè)備的 IP 地址匹配，來(lái)決定是否處理來(lái)自該接入設(shè)備的認(rèn)證或計(jì)費(fèi)請(qǐng)求。若 RADIUSRADIUSIP地址范圍內(nèi)，則RADIUSRADIUS

44、服務(wù)器上指定的接入IP 地址保持一致。RADIUSIP radiusnas-ip1-radiusschemeradius-scheme-e uthenticationactiveblockradiusscheme命令查看。設(shè)備eccountingactive blockesecondaryhost-name|ipv4-address |ipv6-addressport-numberactiveblockesecondaryaccountinghost-|ipv4-address|ipv6ipv6-address port-number active | block RADIUS RADIUS

45、表1- 表1-10配置RADIUStimeoutRADIUS RADIUS 表1- 表1-10配置RADIUStimeoutRADIUS RADIUS 服務(wù)器響應(yīng)超時(shí)時(shí)間。（quietactive。這段RADIUS 服務(wù)器恢復(fù)激活狀態(tài)時(shí)長(zhǎng)。accountingRADIUS 服務(wù)器發(fā)送一 接入模塊（例net模塊）的客戶端連接已超時(shí)的現(xiàn)象。但是，有些接 1-radiusschemeradius-scheme-nas-ipipv4-address| -radiusnas-ipipv4-address| activeSS性。因此要結(jié)合網(wǎng)絡(luò)的實(shí)際情況合理設(shè)置計(jì)費(fèi)間隔的大小，一般情況下，建議當(dāng)用戶量比較大

46、（）時(shí)，盡量把該間隔的值設(shè)置得大一些。表1-21 RADIUS. RADIUS 服務(wù)器發(fā)送 accounting-on 報(bào)文activeSS性。因此要結(jié)合網(wǎng)絡(luò)的實(shí)際情況合理設(shè)置計(jì)費(fèi)間隔的大小，一般情況下，建議當(dāng)用戶量比較大（）時(shí)，盡量把該間隔的值設(shè)置得大一些。表1-21 RADIUS. RADIUS 服務(wù)器發(fā)送 accounting-on 報(bào)文用于解決設(shè)備重啟后重啟前的 times表1-22 RADIUSaccounting-on12配置RADIUS安全策略服務(wù)器的IPRADIUS IP IMC（ elligent Center，智能管理中心）服務(wù)器發(fā)送給設(shè)備的控制報(bào)文IPIP1-radius

47、-accounting-onenableseconds|sendsend-times-radius-timerresponse-timeouttimerquiettimerrealtime-accounting缺省情況下，實(shí)時(shí)計(jì)費(fèi)間隔為12分iMCIP安全策略服務(wù)器是H3C Defense，端點(diǎn)準(zhǔn)入防御）方案中的管理與控EADiMCIP安全策略服務(wù)器是H3C Defense，端點(diǎn)準(zhǔn)入防御）方案中的管理與控EADRADIUSIPIMCIPIMC表1-23 RADIUSIP13配置RADIUSAttribute15 0 H3C為L(zhǎng)ogin-Service1-24 所示的擴(kuò)展取值。表1-24 Log

48、in-Service TerminalRADIUSLogin-Service屬性值為對(duì)應(yīng)的擴(kuò)展取值時(shí)才能夠通松散檢查方式：設(shè)備使用標(biāo)準(zhǔn)屬性值對(duì)用戶業(yè)務(wù)類型進(jìn)行檢查，對(duì)于 SSH、FTP、 1-用戶的業(yè)務(wù)類型為用戶的業(yè)務(wù)類型為用戶的業(yè)務(wù)類型為-radius-ipv4-address|ipv6ipv6-address表1-25 RADIUSAttribute1514配置RADIUS的Trap SASSS服務(wù)器不可達(dá)的告警信息。表1-25 RADIUSAttribute1514配置RADIUS的Trap SASSS服務(wù)器不可達(dá)的告警信息。timerquiet定時(shí)器設(shè)定的時(shí)間到達(dá)后，NASRADIUS

49、 服務(wù)器可達(dá)的告警信息S過(guò)閾值的告警信息。SNMPSNMPSNMP表1-26 RADIUSTrap15RADIUSreset表1-27 RADIUS1-displayradiusschemeradius-scheme-namedisplayradiusresetradius-snmp-agent trnable radius accounting-server-down | authentication-error-threshold| authentication-server-down | accounting-server-up | authentication-server-up *-

50、radius-配置RADIUSAttribute15的檢查attribute15check-modeloosestrict缺省情況下，RADIUSAttribute的檢查方式為strict1.3.3 配置HWTACACS1.HWTACACS表1-28 HWTACACS2.創(chuàng)建HWTACACS在進(jìn)行 HWTACACS 的其它相關(guān)配置之前，必須先創(chuàng)建 HWTACACS 方案并進(jìn)入其視圖。系統(tǒng)最支持配置16 1.3.3 配置HWTACACS1.HWTACACS表1-28 HWTACACS2.創(chuàng)建HWTACACS在進(jìn)行 HWTACACS 的其它相關(guān)配置之前，必須先創(chuàng)建 HWTACACS 方案并進(jìn)入其視

51、圖。系統(tǒng)最支持配置16 HWTACACS 方案。一個(gè)HWTACACS 方案可以同時(shí)被多個(gè)ISP 表1-29 HWTACACS。3.配置HWTACACS通過(guò)在 HWTACACS 方案中配置 HWTACACS 認(rèn)證服務(wù)器指定設(shè)備對(duì)用戶進(jìn)行 HWTACACS 認(rèn)證AS6個(gè)從認(rèn)證服務(wù)器。當(dāng)主服務(wù)器不可teAS認(rèn)證服務(wù)器即可。ASAS表1-30 HWTACACS1-創(chuàng)建HWTACACS方案并進(jìn)入其視hwtacacsHWTACACS方創(chuàng)建HWTACACS方1.3.3 配置HWTACACS認(rèn)證服務(wù)1.3.3 配置服務(wù)1.3.3 配置HWTACACS計(jì)費(fèi)服務(wù)1.3.3 配置HWTACACS報(bào)文的共享密1.3.

52、3 配置發(fā)送給HWTACACS服務(wù)器的用戶名格式和數(shù)據(jù)統(tǒng)1.3.3 1.3.3 配置HWTACACS服務(wù)器的定時(shí)1.3.3 HWTACACS顯示1.3.3 4. 配置通過(guò)在HWTACACS 方案中配置 16在實(shí)際組網(wǎng)環(huán)境中，可以指定一臺(tái)4. 配置通過(guò)在HWTACACS 方案中配置 16在實(shí)際組網(wǎng)環(huán)境中，可以指定一臺(tái)服務(wù)器既作為某個(gè) HWTACACS 方案的一個(gè)HWTACACS 方案表1-31 5.配置HWTACACS HWTACACS 計(jì)費(fèi)服務(wù)器即可。1-進(jìn)入HWTACACS方案視hwtacacs-設(shè)置主服務(wù)uthorizationhost-nameipv4-address|ipv6ipv6-

53、addressport-number|keycipher|simplestring|single-connection缺省情況下，未配置主/從 服務(wù)在同一個(gè)方案中指定的主 服務(wù)器和從 服務(wù)器的主機(jī)名、IP地址、端 不能完全相同，并且各從 服務(wù)器的主機(jī)名、IP地址、端 也不能完全相同設(shè)置從服務(wù)secondaryhost-name|ipv4-address|ipv6-addressport-number|cipher|simplestring single-connection進(jìn)入HWTACACS方案視hwtacacs-配置主HWTACACS認(rèn)證服務(wù)uthenticationhost-nameip

54、v4-address|ipv6ipv6-addressport-number|keycipher|simplestring|single-connection配置從HWTACACS認(rèn)證服務(wù)secondaryhost-name|ipv4-address|ipv6-addressport-number|cipher|simplestring single-connectionHWTACACS 方案的從計(jì)費(fèi)服務(wù)器。目前 HWTACACS 不支持對(duì) FTP/SFTP/SCP 用戶進(jìn)行計(jì)費(fèi)表1-32 HWTACACS6.配置HWTACACSHWTACACS 客戶端與HWTACACS 服務(wù)器使用MD5 算

55、法并在共HWTACACS 方案的從計(jì)費(fèi)服務(wù)器。目前 HWTACACS 不支持對(duì) FTP/SFTP/SCP 用戶進(jìn)行計(jì)費(fèi)表1-32 HWTACACS6.配置HWTACACSHWTACACS 客戶端與HWTACACS 服務(wù)器使用MD5 算法并在共享密鑰的參與下加密表1-33 HWTACACS7.配置發(fā)送給HWTACACS”后面的部分為 名決定將用戶歸于哪個(gè)ISP 域的于有些 HWTACACS 服務(wù)器不能接受攜帶有去除后再傳送給該類 HWTACACS 服務(wù)器通過(guò)置發(fā)送給 HWTACACS 服務(wù)器的用戶名格式就可以選擇發(fā)送 HWTACACS 服務(wù)器的用戶名中是。設(shè)備通過(guò)發(fā)送計(jì)費(fèi)報(bào)文HWTACACS 服

56、務(wù)為保證 HWTACACS 服務(wù)器計(jì)費(fèi)的準(zhǔn)確性設(shè)備上設(shè)置的發(fā)送給 HWTACACS 服務(wù)器的數(shù)據(jù)流或應(yīng)與 HWTACACS 服務(wù)器上的流量統(tǒng)1-進(jìn)入HWTACACS方案視hwtacacs-keyaccountingauthentication|authorizationcipher|simple-進(jìn)入HWTACACS方案視hwtacacs-設(shè)置HWTACACS主計(jì)費(fèi)服務(wù)host-name|ipv4-address|ipv6 ipv6-address port-number | key cipher | simple string | single-connection *IP地址、端 不能完全

57、相同，IP地址、端 設(shè)置HWTACACS從計(jì)費(fèi)服務(wù)secondaryhost-name|ipv4-address|ipv6 ipv6-address port-number | key cipher | simple string | single-connection *相同的 HWTACACS 方案，建議設(shè)置HWTACACS 方案允許用戶名中攜帶 ，使得HWTACACS 服務(wù)器端可以根據(jù)相同的 HWTACACS 方案，建議設(shè)置HWTACACS 方案允許用戶名中攜帶 ，使得HWTACACS 服務(wù)器端可以根據(jù)表1-34 HWTACACS8.配置發(fā)送HWTACACSHWTACACS 服務(wù)器上通過(guò)

58、 IP 地址來(lái)標(biāo)識(shí)接入設(shè)備，并根據(jù)收到的 HWTACACS 報(bào)文的源 IP 地IP費(fèi)請(qǐng)求 HWTACACS 服務(wù)器收到的 HWTACACS 認(rèn)證或計(jì)費(fèi)報(bào)文的源地址在所管理的接入設(shè) 和計(jì)費(fèi)報(bào)文可被服務(wù)器正常接收并處理，接入設(shè)備上發(fā)送 HWTACACS HWTACACS 服務(wù)器上指定的接入設(shè)備的 IP 地址保持一致HWTACACS 報(bào)文時(shí)，根據(jù)以下順序查找使用的源地址：hwtacacsnas-ip此配置可以在系統(tǒng)視圖和 HWTACACS 方案視圖下進(jìn)行，系統(tǒng)視圖下的配置將對(duì)所有 方案生效，HWTACACS 方案視圖下的配置僅對(duì)本方案有效，并且具有高于前者的優(yōu)先級(jí)表1-35 HWTACACSHWTA

59、CACS1-hwtacacsnas-ipipv4-addressipv6ipv6-address-進(jìn)入HWTACACS方案視hwtacacs-user-name-formatkeep-original|data-flow-format data byte | giga-byte|kilo-byte|mega-byte| packetgiga-packet|kilo-packet| mega-packet | one-packet *缺省情況下，數(shù)據(jù)流表1-36 HWTACACSHWTACACS9.配置HWTACACS在與 HWTACACS 服務(wù)器交互的timeout表1-36 HWTACACS

60、HWTACACS9.配置HWTACACS在與 HWTACACS 服務(wù)器交互的timeoutHWTACACS 服務(wù)器響應(yīng)超時(shí)時(shí)長(zhǎng)。accountingHWTACACS 服務(wù)器發(fā)送一（quiet關(guān)于 HWTACACS 服務(wù)器的狀態(tài)中，可指定一個(gè)主 HWTACACS 服務(wù)器和多個(gè)從 HWTACACS 服務(wù)器，由從服務(wù)器作為主服務(wù)器的active時(shí)，設(shè)備首先嘗試與主服務(wù)器通信，若主服務(wù)器不可達(dá)，設(shè)備更改主服務(wù)器的狀態(tài)為 block，并啟動(dòng)該服務(wù)器的 quiet 定時(shí)器，然后按照從服務(wù)器的配置先后順序依次查找狀態(tài)為 active 的從服務(wù)器進(jìn)行認(rèn)證或者計(jì)費(fèi)。如果狀態(tài)為 active 的從服務(wù)器也不 ac