第3章網(wǎng)絡(luò)安全接入技術(shù)華為3Com網(wǎng)絡(luò)學(xué)院第六學(xué)期ISSUE1.0課程目標(biāo)掌握AAA原理與基本配置掌握RADIUS協(xié)議原理與基本配置掌握HWTACACS協(xié)議原理與基本配置學(xué)會(huì)分析處理基本的AAA、RADIUS、

HWTACACS故障問題

學(xué)習(xí)完本課程，您應(yīng)該能夠：2課程內(nèi)容

第一節(jié)：AAA介紹第二節(jié)：RADIUS協(xié)議介紹第三節(jié)：HWTACACS協(xié)議介紹第四節(jié)：AAA基本配置第五節(jié)：RADIUS基本配置第六節(jié)：HWTACACS基本配置第七節(jié)：配置舉例及故障分析

3AAA概述驗(yàn)證（Authentication）授權(quán)（Authorization）計(jì)費(fèi)（Accounting）AAA服務(wù)器本地實(shí)現(xiàn)AAA使用服務(wù)器實(shí)現(xiàn)AAA4AAA的認(rèn)證功能AAA服務(wù)器本地認(rèn)證遠(yuǎn)端認(rèn)證5AAA的授權(quán)功能RADIUS服務(wù)器本地授權(quán)遠(yuǎn)端授權(quán)6AAA的計(jì)費(fèi)功能遠(yuǎn)端計(jì)費(fèi)RADIUS服務(wù)器/TACACS服務(wù)器7課程內(nèi)容

第一節(jié)：AAA介紹第二節(jié)：RADIUS協(xié)議介紹第三節(jié)：HWTACACS協(xié)議介紹第四節(jié)：AAA基本配置第五節(jié)：RADIUS基本配置第六節(jié)：HWTACACS基本配置第七節(jié)：配置舉例及故障分析

8RADIUS概述RADIUS（RemoteAuthenticationDial-inUserService）是當(dāng)前流行的安全服務(wù)器協(xié)議。實(shí)現(xiàn)AAA（授權(quán)Authorization、驗(yàn)證Authentication和計(jì)費(fèi)Accounting）功能。RADIUS使用UDP作為傳輸協(xié)議，具有良好的實(shí)時(shí)性，同時(shí)也支持重傳機(jī)制和備用服務(wù)器機(jī)制，從而有較好的可靠性。9RADIUS服務(wù)器組成RADIUS服務(wù)器usersclientsDictionary10RADIUS服務(wù)器實(shí)現(xiàn)AAA流程用戶上網(wǎng)驗(yàn)證請求驗(yàn)證授權(quán)通過計(jì)費(fèi)開始請求計(jì)費(fèi)開始應(yīng)答計(jì)費(fèi)結(jié)束請求計(jì)費(fèi)結(jié)束應(yīng)答授權(quán)并允許用戶上網(wǎng)用戶下網(wǎng)RADIUS服務(wù)器11RADIUS結(jié)構(gòu)及基本原理RADIUS協(xié)議采用客戶機(jī)/服務(wù)器（Client/Server）結(jié)構(gòu)，使用UDP協(xié)議作為傳輸協(xié)議。用戶server/client服務(wù)器NAS路由器或NAS上運(yùn)行的AAA程序?qū)τ脩魜碇v為服務(wù)器端，對RADIUS服務(wù)器來講是作為客戶端，當(dāng)用戶上網(wǎng)時(shí)，路由器決定對用戶采用哪種驗(yàn)證方法。下面介紹兩種用戶與路由器之間（本地驗(yàn)證、遠(yuǎn)端驗(yàn)證）的驗(yàn)證方法CHAP和PAP。 12本地認(rèn)證－PAP本地（NAS）驗(yàn)證——PAP方式：PAP（PasswordAuthenticationProtocol）是密碼驗(yàn)證協(xié)議的簡稱，是認(rèn)證協(xié)議的一種。用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫，如果存在相同的用戶名和密碼表明驗(yàn)證通過,否則表明驗(yàn)證未通過。

我查......我驗(yàn)……UsernamePassword用戶NAS（PPP）（RadiusClient）驗(yàn)證結(jié)果13本地認(rèn)證－CHAP（1）本地（NAS）驗(yàn)證——CHAP方式：CHAP（ChallengeHandshakeAuthenticationProtocol）是查詢握手驗(yàn)證協(xié)議的簡稱，是我們使用的另一種認(rèn)證協(xié)議。SecretPassword=MD5（ChapID+Password+challenge）

我查......我算……我驗(yàn)……用戶NAS（PPP）（RadiusClient）驗(yàn)證結(jié)果CHAPID、Username、SecretpasswordChallenge、主機(jī)名、CHAPID14本地認(rèn)證－CHAP（2）SecretPassword=MD5（ChapID+Password+challenge）當(dāng)用戶請求上網(wǎng)時(shí)，服務(wù)器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼（challenge）給用戶（同時(shí)還有一個(gè)ID號(hào)，本地服務(wù)器的hostname）。用戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個(gè)SecretPassword傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與SecretPassword作比較，如果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。15遠(yuǎn)端認(rèn)證－PAP遠(yuǎn)端（Radius）驗(yàn)證——PAP方式：Secretpassword=PasswordXORMD5（Challenge＋Key）(Challenge就是Radius報(bào)文中的Authenticator)

我查......我算……我驗(yàn)……用戶NAS（PPP）（RadiusClient）驗(yàn)證結(jié)果ChallengeUsername、Secret、Password驗(yàn)證結(jié)果Username、PasswordKeyKeyRadiusServer16遠(yuǎn)端認(rèn)證－CHAP遠(yuǎn)端（Radius）驗(yàn)證——CHAP方式：Secretpassword=MD5（ChapID+Password+challenge）

我查......我算……我驗(yàn)……用戶NAS（PPP）（RadiusClient）驗(yàn)證結(jié)果、授權(quán)CHAPID、Username、SecretpasswordUsername、Secret、Password、Challenge、CHAPID驗(yàn)證結(jié)果、授權(quán)RadiusServerChallenge、主機(jī)名、CHAPID17Radius協(xié)議在協(xié)議棧中的位置Radius是一種流行的AAA協(xié)議，同時(shí)其采用的是UDP協(xié)議傳輸模式，AAA協(xié)議在協(xié)議棧中位置如下：Radius協(xié)議18Radius協(xié)議包結(jié)構(gòu)

Attributes:屬性19Radius協(xié)議包各個(gè)域解釋各個(gè)域的解釋：1、Code：包類型；1字節(jié)；指示RADIUS包的類型。

2、Identifier：包標(biāo)識(shí)；1字節(jié)；用于匹配請求包和響應(yīng)包，同一組請求包和響應(yīng)包的Identifier應(yīng)相同。3、Length：包長度；2字節(jié)；整個(gè)包的長度。4、Authenticator：驗(yàn)證字；16字節(jié)；用于對包進(jìn)行簽名。20Radius協(xié)議包：code域

1）Code：包的類型包類型占1個(gè)字節(jié)，定義如下：1Access-Request——請求認(rèn)證過程2Access-Accept——認(rèn)證響應(yīng)過程3Access-Reject——認(rèn)證拒絕過程4Accounting-Request——請求計(jì)費(fèi)過程5Accounting-Response——計(jì)費(fèi)響應(yīng)過程21Radius協(xié)議包：Identifier域

2）Identifier：包標(biāo)識(shí)包標(biāo)識(shí)，用以匹配請求包和響應(yīng)包。該字段的取值范圍為0～255；協(xié)議規(guī)定：1、在任何時(shí)間，發(fā)給同一個(gè)RADIUS服務(wù)器的不同包的Identifier域不能相同，如果出現(xiàn)相同的情況，RADIUS將認(rèn)為后一個(gè)包是前一個(gè)包的拷貝而不對其進(jìn)行處理。2、Radius針對某個(gè)請求包的響應(yīng)包應(yīng)與該請求包在Identifier上相匹配（相同）。22Radius協(xié)議包：Length域

3）Length：包長度

整個(gè)包長度,包括Code，Identifier，Length，Authenticator，Attributes域的長度。23Radius協(xié)議包：Authenticator域4）Authenticator：驗(yàn)證字該驗(yàn)證字分為兩種：1、請求驗(yàn)證字——RequestAuthenticator用在請求報(bào)文中，必須為全局唯一的隨機(jī)值。2、響應(yīng)驗(yàn)證字——ResponseAuthenticator用在響應(yīng)報(bào)文中，用于鑒別響應(yīng)報(bào)文的合法性。

響應(yīng)驗(yàn)證字＝MD5(Code+ID+Length+請求驗(yàn)證字+Attributes+Key)24Radius協(xié)議包：Authenticator域5）Attributes：屬性

010a62656e6c6164656eAttribute(1)屬性長度為10字節(jié)benladen25Radius協(xié)議屬性1.User-Name該屬性指定了要進(jìn)行認(rèn)證的用戶名26Radius協(xié)議屬性2.User-Password該屬性指定了要認(rèn)證的用戶的口令，用戶口令加密后存放在該屬性中27Radius協(xié)議屬性3.NAS-IP-Address該屬性指明了發(fā)起認(rèn)證請求的設(shè)備的IP地址28Radius協(xié)議屬性4.Vendor-Specific該屬性用于攜帶各廠商自己擴(kuò)展的屬性29Radius協(xié)議屬性5.Session-Timeout該屬性指明允許用戶使用的最大時(shí)長30Radius協(xié)議屬性6.Acct-Status-Type該屬性指明計(jì)費(fèi)報(bào)文的類型該屬性出現(xiàn)在計(jì)費(fèi)報(bào)文中不同的取值標(biāo)志出不同的意義1---表示計(jì)費(fèi)開始報(bào)文2---表示計(jì)費(fèi)結(jié)束報(bào)文3---表示計(jì)費(fèi)更新報(bào)文7---表示Accounting-On報(bào)文31Radius協(xié)議屬性（一）屬性值屬性名稱 意義1 User-Name 用戶名2User-Password 用戶密碼3Chap-Password Chap認(rèn)證方式中的用戶密碼4Nas-IP-Address Nas的ip地址5Nas-Port 用戶接入端口號(hào)6 Service-Type 服務(wù)類型7 Framed-Protocol協(xié)議類型8Framed-IP-Address為用戶提供的IP地址9 Framed-IP-NetMask地址掩碼10Framed-Routing為路由器用戶設(shè)置的路由方式11Filter-Id過濾表的名稱12Framed-MTU 為用戶配置的最大傳輸單元認(rèn)證報(bào)文的常用屬性（1）：32Radius協(xié)議屬性（二）屬性值屬性名稱意義13 Framed-Compression該連接使用壓縮協(xié)議14 Login-IP-Host對login用戶提供的可連接主機(jī)的ip地址15 Login-Service對login用戶可提供的服務(wù)16Login-TCP-PortTCP服務(wù)端口18 Reply-Message認(rèn)證服務(wù)器返回用戶的信息24 State 認(rèn)證服務(wù)器發(fā)送challenge包時(shí)傳送的需在接下來的認(rèn)證報(bào)文中回應(yīng)的字符串（與Acess-Challenge相關(guān)的屬性）Class 認(rèn)證通過時(shí)認(rèn)證服務(wù)器返回的字符串信息，要求在該用戶的計(jì)費(fèi)報(bào)文中送給計(jì)費(fèi)服務(wù)器認(rèn)證報(bào)文的常用屬性（2）：33Radius協(xié)議屬性（三）屬性值屬性名稱意義26Vendor-Specific可擴(kuò)展屬性

Session-Timeout在認(rèn)證通過報(bào)文或Challenge報(bào)文中，通知

NAS該用戶可用的會(huì)話時(shí)長（時(shí)長預(yù)付費(fèi)）28 Idle-Timeout允許用戶空閑在線的最大時(shí)長32NAS-Identifier標(biāo)識(shí)NAS的字符串

Proxy-StateNAS通過代理服務(wù)器轉(zhuǎn)發(fā)認(rèn)證報(bào)文時(shí)服務(wù)器添加在報(bào)文中的屬性60Chap-Challenge 可以代替認(rèn)證字字段傳送challenge的屬性61 Nas-Port-Type 接入端口的類型62 Port-Limit 服務(wù)器限制NAS為用戶開放的端口數(shù)認(rèn)證報(bào)文的常用屬性（3）：34Radius協(xié)議屬性（四）屬性值屬性名稱 意義40 Acct-Status-Type計(jì)費(fèi)請求報(bào)文的類型41 Acct-Delay-TimeRadius客戶端發(fā)送計(jì)費(fèi)報(bào)文耗費(fèi)的時(shí)間42 Acct-Input-Octets輸入字節(jié)數(shù)43Acct-Output-Octets輸出字節(jié)數(shù)

44Acct-Session-Id計(jì)費(fèi)會(huì)話標(biāo)識(shí)45 Acct-Authentic在計(jì)費(fèi)包中標(biāo)識(shí)用戶認(rèn)證通過的方式46 Acct-Session-Time用戶在線時(shí)長47Acct-Input-Packets輸入包數(shù)48 Acct-Output-Packets 輸出包數(shù)49Acct-Terminate-Case用戶下線原因

50 Acct-Multi_Session-Id 相關(guān)計(jì)費(fèi)會(huì)話標(biāo)識(shí)51 Acct-Link-Count生成計(jì)費(fèi)記錄時(shí)多連接會(huì)話的會(huì)話個(gè)數(shù)認(rèn)證報(bào)文的常用屬性（4）：35RADIUS協(xié)議總結(jié)

特點(diǎn)描述UDP由于傳輸控制協(xié)議（TCP）的開銷大，客戶和服務(wù)器之間的通信使用用戶數(shù)據(jù)協(xié)議（UDP）。通常，用戶等待輸入用戶名和口令提示UDP目的端口RADIUS使用兩個(gè)端口集，RFC定義之前常用端口為1645和1646。RFC2138定義的端口為1812和1813屬性屬性用于在NAS和客戶端之間交換信息模型客戶/服務(wù)器模型，數(shù)據(jù)交換單向傳輸加密方法采用MD5進(jìn)行口令加密，用戶名不加密。在客戶發(fā)往服務(wù)器的訪問請求分組中，RADIUS只加密口令，其他部分以明文方式傳輸。第三方可以捕獲這些相關(guān)的信息，如用戶名、授權(quán)服務(wù)和記賬信息多協(xié)議支持只支持IP協(xié)議，不支持AppleTalk，NetBIOS，IPX36Radius+簡介標(biāo)準(zhǔn)Radius協(xié)議的不足之處Radius＋1.1協(xié)議支持的特性不能處理和保證用戶對于服務(wù)質(zhì)量的動(dòng)態(tài)需求——帶寬動(dòng)態(tài)下發(fā)支持動(dòng)態(tài)改變服務(wù)質(zhì)量——?jiǎng)討B(tài)帶寬下發(fā)不支持服務(wù)器主動(dòng)下發(fā)控制報(bào)文支持服務(wù)器主動(dòng)激活端口；支持服務(wù)器主動(dòng)中斷連接；Radius＋與標(biāo)準(zhǔn)Radius共性：1）Radius+協(xié)議與Radius一樣，通過UDP通訊；2）采用重傳確認(rèn)機(jī)制以確保接收；3）安全性：A）密碼加密：使用客戶端與服務(wù)器端的共享密鑰通過MD5算法對用戶口令進(jìn)行加密，使得口令和密鑰不會(huì)在網(wǎng)上明文傳送；B）包簽名：有16字節(jié)的驗(yàn)證字用于對報(bào)文進(jìn)行簽名，以確定收到的報(bào)文為合法報(bào)文。37課程內(nèi)容

第一節(jié)：AAA介紹第二節(jié)：RADIUS協(xié)議介紹第三節(jié)：HWTACACS協(xié)議介紹第四節(jié)：AAA基本配置第五節(jié)：RADIUS基本配置第六節(jié)：HWTACACS基本配置第七節(jié)：配置舉例及故障分析38

HWTACACS概述HWTACACS安全協(xié)議是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，主要是通過Server-Client模式與TACACS服務(wù)器通信來實(shí)現(xiàn)多種用戶的AAA功能。用于PPP和VPDN接入用戶及l(fā)ogin用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。39HWTACACS協(xié)議和RADIUS協(xié)議區(qū)別HWTACACS協(xié)議RADIUS協(xié)議使用TCP，網(wǎng)絡(luò)傳輸更可靠。使用UDP。除了標(biāo)準(zhǔn)的HWTACACS報(bào)文頭，對報(bào)文主體全部進(jìn)行加密。只是對驗(yàn)證報(bào)文中的密碼字段進(jìn)行加密。認(rèn)證和授權(quán)分離，例如，可以用一個(gè)TACACS服務(wù)器進(jìn)行認(rèn)證，另外一個(gè)TACACS服務(wù)器進(jìn)行授權(quán)。認(rèn)證和授權(quán)一起處理。適于進(jìn)行安全控制。適于進(jìn)行計(jì)費(fèi)。支持對路由器上的配置命令進(jìn)行授權(quán)使用。不支持。40

HWTACACS組網(wǎng)應(yīng)用撥號(hào)用戶終端用戶HWTACACS客戶端TACACS服務(wù)器TACACS服務(wù)器Internet41HWTACACS服務(wù)器實(shí)現(xiàn)AAA流程用戶登錄認(rèn)證開始報(bào)文認(rèn)證回應(yīng)報(bào)文，請求用戶名用戶輸入用戶名認(rèn)證回應(yīng)報(bào)文，向用戶請求密碼計(jì)費(fèi)結(jié)束請求計(jì)費(fèi)結(jié)束應(yīng)答向用戶申請用戶名HWTACACS客戶端HWTACACS服務(wù)器用戶認(rèn)證持續(xù)報(bào)文，向服務(wù)器發(fā)送用戶名向用戶請求密碼用戶輸入密碼認(rèn)證持續(xù)報(bào)文，向服務(wù)器發(fā)送密碼計(jì)費(fèi)開始報(bào)文認(rèn)證回應(yīng)報(bào)文，認(rèn)證通過授權(quán)請求報(bào)文授權(quán)回應(yīng)報(bào)文，授權(quán)通過計(jì)費(fèi)開始回應(yīng)報(bào)文，用戶下線用戶成功登錄42課程內(nèi)容

第一節(jié)：AAA介紹第二節(jié)：RADIUS協(xié)議介紹第三節(jié)：HWTACACS協(xié)議介紹第四節(jié)：AAA基本配置第五節(jié)：RADIUS基本配置第六節(jié)：HWTACACS基本配置第七節(jié)：配置舉例及故障分析43AAA基本配置創(chuàng)建ISP域并配置相關(guān)屬性創(chuàng)建ISP域配置用戶使用的AAA方案配置ISP域的狀態(tài)配置可接入用戶數(shù)量的最大值配置計(jì)費(fèi)可選開關(guān)定義本地地址池并為PPP用戶分配IP地址創(chuàng)建本地用戶并配置相關(guān)屬性（僅用于本地認(rèn)證）

創(chuàng)建本地用戶并配置相關(guān)屬性（僅用于本地認(rèn)證）44創(chuàng)建ISP域并配置相關(guān)屬性創(chuàng)建ISP域

操作命令創(chuàng)建ISP域或進(jìn)入指定ISP域視圖domain{isp-name|default

{disable|enableisp-name}}

刪除指定的ISP域undodomainisp-name

45創(chuàng)建ISP域并配置相關(guān)屬性配置用戶使用AAA方案

操作命令配置域使用的AAA方案scheme{radius-scheme

radius-scheme-name[local]|hwtacacs-scheme

hwtacacs-scheme-name[local]|local|none}恢復(fù)域使用的缺省的AAA方案undoscheme{radius-scheme|hwtacacs-scheme|none}46創(chuàng)建ISP域并配置相關(guān)屬性操作命令配置域使用的認(rèn)證方案authentication{radius-schemeradius-scheme-name[local]|hwtacacs-schemehwtacacs-scheme-name[local]|local|none}恢復(fù)域缺省的認(rèn)證方案undoauthentication配置域使用的授權(quán)方案authorization{hwtacacs-schemehwtacacs-scheme-name|none}恢復(fù)域缺省的授權(quán)方案undoauthorization配置域使用的計(jì)費(fèi)方案accounting{radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name|none}刪除域使用的計(jì)費(fèi)方案undoaccounting47創(chuàng)建ISP域并配置相關(guān)屬性配置ISP域的狀態(tài)

操作命令設(shè)置ISP域的狀態(tài)state{active|block}48創(chuàng)建ISP域并配置相關(guān)屬性配置可接入用戶數(shù)量的最大值

操作命令指定可接入用戶數(shù)的最大值access-limit{disable|enablemax-user-number}恢復(fù)可接入用戶數(shù)到缺省設(shè)置undoaccess-limit

49創(chuàng)建ISP域并配置相關(guān)屬性配置計(jì)費(fèi)可選開關(guān)

操作命令打開計(jì)費(fèi)可選開關(guān)accountingoptional

關(guān)閉計(jì)費(fèi)可選開關(guān)undoaccountingoptional

50創(chuàng)建ISP域并配置相關(guān)屬性定義地址池并為PPP用戶分配IP地址

操作命令定義為PPP用戶分配IP地址的地址池ippoolpool-numberlow-ip-address[high-ip-address]

刪除指定的地址池undoippoolpool-number

51創(chuàng)建本地用戶并配置相關(guān)屬性創(chuàng)建本地用戶 操作命令添加本地用戶local-useruser-name

刪除本地用戶或本地用戶的服務(wù)類型undolocal-useruser-name[service-type]刪除所有本地用戶或指定類型的本地用戶undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]52創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性 操作命令設(shè)置所有本地用戶密碼的顯示方式local-userpassword-display-mode{cipher-force|auto}取消已設(shè)置的本地用戶密碼的顯示方式undolocal-userpassword-display-mode

刪除所有本地用戶或指定類型的本地用戶undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]53創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置用戶的密碼password{simple|cipher}

password

取消用戶的密碼設(shè)置undopassword

設(shè)置用戶的狀態(tài)state{active|block}取消用戶的狀態(tài)undostate{active|block}設(shè)置用戶可以使用的服務(wù)類型service-type{telnet|ssh|terminal}*[level

level]取消用戶可以使用的服務(wù)undoservice-type{telnet|ssh|terminal}54創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置用戶的優(yōu)先級(jí)level

level

恢復(fù)缺省的優(yōu)先級(jí)undolevel

授權(quán)用戶可以使用DVPN服務(wù)service-typedvpn

取消用戶可以使用DVPN服務(wù)undoservice-typedvpn

授權(quán)FTP用戶可以訪問的目錄service-typeftp[ftp-directory

directory]恢復(fù)對FTP用戶授權(quán)的缺省目錄undoservice-typeftp[ftp-directory]55創(chuàng)建本地用戶并配置相關(guān)屬性設(shè)置本地用戶屬性(續(xù)) 操作命令設(shè)置PPP用戶的回呼及主叫號(hào)碼屬性service-typeppp[callback-nocheck|callback-numbercallback-number|call-numbercall-number[:subcall-number]]恢復(fù)PPP用戶回呼及主叫號(hào)碼屬性的缺省設(shè)置undoservice-typeppp[callback-nocheck|callback-number|call-number]56AAA基本配置AAA協(xié)議的顯示與調(diào)試 操作命令顯示所有或指定ISP域的配置信息displaydomain[isp-name]顯示用戶連接的相關(guān)信息displayconnection[domainisp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name]

顯示本地用戶的相關(guān)信息displaylocal-user[domain

isp-name|service-type{pad|telnet|ssh|terminal|ftp|ppp}

|state{active|block}|user-name

user-name]57課程內(nèi)容

第一節(jié)：AAA介紹第二節(jié)：RADIUS協(xié)議介紹第三節(jié)：HWTACACS協(xié)議介紹第四節(jié)：AAA基本配置第五節(jié)：RADIUS基本配置第六節(jié)：HWTACACS基本配置第七節(jié)：配置舉例及故障分析58RADIUS基本配置RADIUS協(xié)議的配置包括：創(chuàng)建RADIUS方案設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器設(shè)置RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)屬性設(shè)置RADIUS報(bào)文的共享密鑰設(shè)置RADIUS請求報(bào)文的最大傳送次數(shù)設(shè)置支持的RADIUS服務(wù)器的類型設(shè)置RADIUS服務(wù)器的狀態(tài)設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位配置NAS發(fā)送RADIUS報(bào)文使用的源地址配置RADIUS服務(wù)器的定時(shí)器使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能

59RADIUS基本配置創(chuàng)建RADIUs方案 操作命令創(chuàng)建RADIUS方案并進(jìn)入其視圖radiusscheme

radius-scheme-name

刪除RADIUS方案undoradiusscheme

radius-scheme-name

60RADIUS基本配置配置RADIUS授權(quán)/認(rèn)證服務(wù)器 操作命令設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)primaryauthenticaiton

ip-address[port-number]將主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值undoprimary

authentication設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)secondary

authentication

ip-address[port-number]將從RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值undosecondary

authentication

61RADIUS基本配置配置RADIUS計(jì)費(fèi)服務(wù)器 操作命令設(shè)置主RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)primaryaccountig

ip-address[port-number]將主RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值undoprimaryaccounting

設(shè)置從RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)secondary

accounting

ip-address[port-number]將從RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值undosecondary

accounting

62RADIUS基本配置使能停止計(jì)費(fèi)報(bào)文緩存及重傳功能 操作命令使能停止計(jì)費(fèi)報(bào)文緩存功能stop-accounting-bufferenable

關(guān)閉停止計(jì)費(fèi)報(bào)文緩存功能undostop-accounting-bufferenable

使能停止計(jì)費(fèi)報(bào)文重傳功能，并配置停止計(jì)費(fèi)報(bào)文可以傳送的最大次數(shù)retrystop-accountingretry-times

恢復(fù)停止計(jì)費(fèi)報(bào)文最大傳送次數(shù)為缺省值undoretrystop-accounting

63RADIUS基本配置設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請求無響應(yīng)的最大次數(shù) 操作命令設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請求無響應(yīng)的最大次數(shù)retryrealtime-accountingretry-times

恢復(fù)允許實(shí)時(shí)計(jì)費(fèi)請求無響應(yīng)的最大次數(shù)為缺省值undoretryrealtime-accounting

64RADIUS基本配置設(shè)置RADIUS報(bào)文的共享密鑰 操作命令設(shè)置RADIUS認(rèn)證/授權(quán)報(bào)文的共享密鑰key

authentication

string

恢復(fù)RADIUS認(rèn)證/授權(quán)報(bào)文共享密鑰為缺省undokey

authentication

設(shè)置RADIUS計(jì)費(fèi)報(bào)文的共享密鑰key

accounting

string

恢復(fù)RADIUS計(jì)費(fèi)報(bào)文共享密鑰為缺省undokeyaccounting

65RADIUS基本配置設(shè)置RADIUS請求報(bào)文的最大傳送次數(shù) 操作命令設(shè)置RADIUS請求報(bào)文的最大傳送次數(shù)retry

retry-times

將RADIUS請求報(bào)文的最大傳送次數(shù)恢復(fù)為缺省值undoretry

缺省情況下，RADIUS請求報(bào)文的最大傳送次數(shù)為3次。66RADIUS基本配置設(shè)備重啟用戶再認(rèn)證功能配置過程 配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入RADIUS方案視圖radiusschemeradius-scheme-name-啟動(dòng)設(shè)備重啟用戶再認(rèn)證功能accounting-onenable[sendtimes][intervalinterval]缺省情況下：設(shè)備重啟用戶再認(rèn)證功能處于關(guān)閉狀態(tài)；發(fā)送Accounting-On報(bào)文的最大次數(shù)（times）為15次、時(shí)間間隔（interval）為3秒67RADIUS基本配置設(shè)置支持的RADIUS服務(wù)器的類型 操作命令設(shè)置支持何種類型的RADIUS服務(wù)器server-type{huawei|standard}恢復(fù)RADIUS服務(wù)器類型為缺省設(shè)置undoserver-type

68RADIUS基本配置設(shè)置RADIUS服務(wù)器的狀態(tài) 操作命令設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)state

primary

authentication{block|active}設(shè)置主RADIUS計(jì)費(fèi)服務(wù)器的狀態(tài)state

primary

accounting{block|active}設(shè)置從RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài)state

secondary

authentication{block|active}設(shè)置從RADIUS計(jì)費(fèi)服務(wù)器的狀態(tài)state

secondaryaccounting{block|active}69RADIUS基本配置設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式 操作命令設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式user-name-format{with-domain|without-domain}70RADIUS基本配置設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流單位 操作命令設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}恢復(fù)發(fā)送到RADIUS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置undodata-flow-format

71RADIUS基本配置配置NAS發(fā)送RADIUS報(bào)文使用的源地址 操作命令配置NAS發(fā)送RADIUS報(bào)文使用的源地址(RADIUS視圖)nas-ipip-address

取消NAS發(fā)送RADIUS報(bào)文使用的源地址(RADIUS視圖)undonas-ip

配置NAS發(fā)送RADIUS報(bào)文使用的源地址(系統(tǒng)視圖)radiusnas-ipip-address

取消NAS發(fā)送RADIUS報(bào)文使用的源地址(系統(tǒng)視圖)undoradiusnas-ip

72RADIUS基本配置配置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器 操作命令設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器timerresponse-timeoutseconds

將RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器恢復(fù)為缺省值undotimerresponse-timeout

73RADIUS基本配置配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時(shí)間 操作命令配置恢復(fù)激活時(shí)間timerquietminutes

恢復(fù)缺省配置undotimerquiet

74RADIUS基本配置配置RADIUS服務(wù)器實(shí)時(shí)計(jì)費(fèi)時(shí)間操作命令設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔timerrealtime-accounting

minutes

將實(shí)時(shí)計(jì)費(fèi)間隔恢復(fù)為缺省值undotimerrealtime-accounting

75實(shí)時(shí)計(jì)費(fèi)時(shí)間間隔與用戶量之間的推薦比例關(guān)系 用戶數(shù)實(shí)時(shí)計(jì)費(fèi)間隔（分鐘）1~993100~4996500~999121000

15RADIUS基本配置-定時(shí)器基本配置76RADIUS基本配置使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能 操作命令使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能radiustrap{authentication-server-down|accounting-server-down}關(guān)閉RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能undoradiustrap{authentication-server-down|accounting-server-down}

77RADIUS基本配置配置本地RADIUS認(rèn)證服務(wù)器 操作命令配置本地RADIUS認(rèn)證服務(wù)器local-servernas-ipip-addresskeypassword取消本地RADIUS認(rèn)證服務(wù)器的配置undolocal-servernas-ipip-address78RADIUS基本配置RADIUS協(xié)議的顯示與調(diào)試操作命令顯示所有或指定RADIUS方案的配置信息或統(tǒng)計(jì)信息displayradius[radius-server-name|statistics]顯示RADIUS報(bào)文的統(tǒng)計(jì)信息displayradiusstatistics

顯示緩存的沒有得到響應(yīng)的停止計(jì)費(fèi)請求報(bào)文displaystop-accounting-buffer{radius-scheme

radius-server-name|session-id

session-id|time-range

start-time

stop-time|user-name

user-name}79RADIUS基本配置RADIUS協(xié)議的顯示與調(diào)試(續(xù)) 操作命令打開RADIUS報(bào)文調(diào)試開關(guān)debuggingradiuspacket

關(guān)閉RADIUS報(bào)文調(diào)試開關(guān)undodebuggingradiuspacket

刪除那些緩存的、沒有得到響應(yīng)的停止計(jì)費(fèi)請求報(bào)文resetstop-accounting-buffer{radius-scheme

radius-server-name|session-id

session-id|time-range

start-time

stop-time|user-name

user-name}清除RADIUS服務(wù)器的統(tǒng)計(jì)信息resetradiusstatistics

80課程內(nèi)容

第一節(jié)：AAA介紹第二節(jié)：RADIUS協(xié)議介紹第三節(jié)：HWTACACS協(xié)議介紹第四節(jié)：AAA基本配置第五節(jié)：RADIUS基本配置第六節(jié)：HWTACACS基本配置第七節(jié)：配置舉例及故障分析81HWTACACS基本配置HWTACACS的配置包括：創(chuàng)建HWTACACS方案配置TACACS認(rèn)證服務(wù)器配置TACACS授權(quán)服務(wù)器配置TACACS計(jì)費(fèi)功能配置TACACS服務(wù)器的密鑰配置TACACS服務(wù)器的用戶名格式配置TACACS服務(wù)器的流量單位配置NAS發(fā)送HWTACACS報(bào)文使用的源地址配置TACACS服務(wù)器的定時(shí)器

82HWTACACS基本配置創(chuàng)建HWTACACS方案 操作命令創(chuàng)建HWTACACS方案，并進(jìn)入HWTACACS視圖hwtacacsscheme

hwtacacs-scheme-name

刪除HWTACACS方案undohwtacacsschemehwtacacs-scheme-name

83HWTACACS認(rèn)證服務(wù)器基本配置配置HWTACACS認(rèn)證服務(wù)器 操作命令配置TACACS主認(rèn)證服務(wù)器primaryauthentication

ip-address[port]刪除TACACS主認(rèn)證服務(wù)器undoprimaryauthentication

配置TACACS從認(rèn)證服務(wù)器secondaryauthentication

ip-address[port]刪除TACACS從認(rèn)證服務(wù)器undosecondaryauthentication

84HWTACACS授權(quán)服務(wù)器基本配置配置HWTACACS授權(quán)服務(wù)器 操作命令配置TACACS主授權(quán)服務(wù)器primaryauthorizationip-address[port]刪除TACACS主授權(quán)服務(wù)器undoprimaryauthorization

配置TACACS從授權(quán)服務(wù)器secondaryauthorizationip-address[port]刪除TACACS從授權(quán)服務(wù)器undosecondaryauthorization

85HWTACACS計(jì)費(fèi)服務(wù)器基本配置配置HWTACACS計(jì)費(fèi)服務(wù)器 操作命令配置TACACS主計(jì)費(fèi)服務(wù)器primaryaccounting

ip-address[port]刪除配置的TACACS主計(jì)費(fèi)服務(wù)器undoprimaryaccounting

配置TACACS從計(jì)費(fèi)服務(wù)器secondaryaccounting

ip-address[port]刪除配置的TACACS從計(jì)費(fèi)服務(wù)器undosecondaryaccounting

86HWTACACS計(jì)費(fèi)服務(wù)器基本配置使能停止計(jì)費(fèi)報(bào)文的重傳功能 操作命令使能停止計(jì)費(fèi)報(bào)文重傳，并配置傳送的最大次數(shù)retrystop-accountingretry-times

關(guān)閉停止計(jì)費(fèi)報(bào)文重傳功能undoretrystop-accounting

87HWTACACS基本配置配置NAS發(fā)送HWTACACS報(bào)文使用的源地址 操作命令配置NAS發(fā)送HWTACACS報(bào)文使用的源地址(HWTACACS視圖)nas-ipip-address

取消NAS發(fā)送HWTACACS報(bào)文使用的源地址HWTACACS視圖)undonas-ip

配置NAS發(fā)送HWTACACS報(bào)文使用的源地址(系統(tǒng)視圖)hwtacacsnas-ipip-address

取消NAS發(fā)送HWTACACS報(bào)文使用的源地址(系統(tǒng)視圖)undohwtacacsnas-ip

88HWTACACS基本配置配置HWTACACS服務(wù)器密鑰 操作命令配置TACACS計(jì)費(fèi)、授權(quán)及認(rèn)證服務(wù)器的密鑰key{accounting|authorization|authentication}string

刪除配置undokey{accounting|authorization|authentication}89HWTACACS基本配置配置HWTACACS服務(wù)器的用戶名格式 操作命令配置用戶名帶域名user-name-format

with-domain

配置用戶名不帶域名user-name-format

without-domain

90HWTACACS基本配置配置HWTACACS服務(wù)器的流量單位 操作命令配置TACACS服務(wù)器的流量單位data-flow-formatdata[byte|giga-byte|kilo-byte|mega-byte]

data-flow-formatpacket[giga-packet|kilo-packet|mega-packet|one-packet]恢復(fù)發(fā)送到TACACS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置undodata-flow-format{data|packet}91HWTACACS服務(wù)器定時(shí)器基本配置配置HWTACACS服務(wù)器的應(yīng)答超時(shí)時(shí)間 操作命令配置應(yīng)答超時(shí)時(shí)間timerresponse-timeoutseconds

恢復(fù)缺省配置undotimerresponse-timeout

缺省情況下，應(yīng)答超時(shí)時(shí)間為5秒。92HWTACACS服務(wù)器定時(shí)器基本配置配置HWTACACS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時(shí)間 操作命令配置恢復(fù)激活時(shí)間timerquietminutes

恢復(fù)缺省配置undotimerquiet

93HWTACACS服務(wù)器定時(shí)器基本配置配置實(shí)時(shí)計(jì)費(fèi)時(shí)間間隔 操作命令設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔timerrealtime-accounting

minutes

將實(shí)時(shí)計(jì)費(fèi)間隔恢復(fù)為缺省值undotimerrealtime-accounting

94HWTACACS服務(wù)器定時(shí)器基本配置實(shí)時(shí)計(jì)費(fèi)時(shí)間間隔與用戶量之間的推薦比例關(guān)系 用戶數(shù)實(shí)時(shí)計(jì)費(fèi)間隔（分鐘）1~993100~4996500~999121000

1595HWTACACS基本配置配置在線用戶主動(dòng)修改當(dāng)前密碼 操作命令配置在線用戶主動(dòng)修改當(dāng)前密碼hwtacacschange-passwordself96HWTACACS基本配置HWTACACS協(xié)議的顯示與調(diào)試 操作命令顯示所有或指定HWTACACS方案的配置信息displayhwtacacs[hwtacacs-server-name[statistics]]顯示緩存的沒有得到響應(yīng)的停止計(jì)費(fèi)請求報(bào)文displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name

打開HWTACACS協(xié)議調(diào)試開關(guān)debugginghwtacacs{all|error|event|message|receive-packet|send-packet}97HWTACACS基本配置HWTACACS協(xié)議的顯示與調(diào)試(續(xù)) 操作命令關(guān)閉HWTACACS協(xié)議調(diào)試開關(guān)undodebugginghwta