RADIUS配置.doc

Quidway7 A8010 Expert多业务接入交换机 配置指导 第一分册目 录目 录第13章 RADIUS配置13-113.1 概述13-113.1.1 AAA及RADIUS协议介绍13-113.1.2 Expert多业务接入交换机的RADIUS功能13-113.1.3 Expert多业务接入交换机的RADIUS特性13-413.2 RADIUS服务器相关的配置13-413.2.1 RADIUS服务器配置13-413.2.2 各种数据包是否发送配置13-813.2.3 是否加密VPN隧道密码的配置13-1013.2.4 话单池长度配置13-1013.2.5 RADIUS会话标识（SessionID）配置13-1113.2.6 配置定时检查主服务器的时间间隔13-1213.3 本地用户的配置13-1213.3.1 配置本地用户IP地址分配来源13-1313.3.2 配置本地普通用户13-1313.3.3 配置本地Login用户13-1513.3.4 配置本地VPN用户13-1613.4 RADIUS IP地址池配置13-1713.5 主叫号码限制、接入码、接入域等的配置13-1913.5.1 将某主叫号码配置为黑户13-1913.5.2 配置主叫号码长度限制13-1913.5.3 接入域配置13-1913.5.4 接入码配置13-2013.5.5 域名分隔符配置13-2013.5.6 VPN域名分隔符配置13-2113.5.7 VPN特服号配置13-2113.6 配置话单统计时间段13-2213.7 维护和调试13-2313.7.1 查询RADIUS信息13-2313.7.2 终止用户上网13-2413.7.3 打开或关闭RADIUS包调试开关13-2413.8 配置举例13-2513.8.1 RADIUS用户配置举例13-2513.8.2 本地用户配置举例13-2713.8.3 本地VPN用户配置举例13-28iQuidway7 A8010 Expert多业务接入交换机 配置指导 第一分册第13章 RADIUS配置第13章 RADIUS配置13.1 概述13.1.1 AAA及RADIUS协议介绍AAA是Authentication，Authorization and Accounting（验证、授权和计费）的简称。它提供了一个用来对验证、授权和计费这三种功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制，它包括：l 哪些用户可以访问网络服务器？l 具有访问权的用户可以得到哪些服务？l 如何对正在使用网络资源的用户进行计费？下面简单介绍一下验证、授权和计费的作用：l 验证（Authentication）：验证用户是否可以获得访问权。l 授权（Authorization）：授权用户可以使用哪些服务。l 计费（Accounting）：记录用户使用网络资源的情况。AAA的实现可采用RADIUS 协议。RADIUS是Remote Authentication Dial In User Service的简称，用来管理使用串口、ISDN和调制解调器拨号的大量分散用户。当用户想要通过某个网络（如电话网）与NAS（Network Access Server，网络接入服务器）建立连接，从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时，RADIUS可以起到验证用户的作用。运行在NAS中的RADIUS客户端负责把用户的验证、授权和计费信息传递给RADIUS服务器。RADIUS协议规定了RADIUS客户端与RADIUS 服务器之间如何传递用户信息和计费信息。RADIUS服务器负责接收用户的连接请求，完成验证，并把用户所需的配置信息返回给RADIUS客户端。RADIUS客户端和RADIUS服务器之间的验证信息是通过共享密钥的参与来传递的。用户密码加密传递，避免在网络上被窃取。13.1.2 Expert多业务接入交换机的RADIUS功能Expert多业务接入交换机和RADIUS服务器在系统中的位置如图13-1所示。图13-1 Expert和RADIUS服务器在系统中的位置下面根据事件发生的顺序介绍Expert多业务接入交换机中RADIUS客户端部分的验证、授权、IP地址分配、上网用户注册管理、计费等功能。1. 验证和授权RADIUS客户端（运行在Expert多业务接入交换机中）从用户处得到用户名、口令和其他信息后，把这些信息组装成一个访问请求包（Access-Request），发送给验证服务器（auth-server）。若RADIUS客户端在一定时间内没收到响应，则重传访问请求包，多次重传仍未收到响应则可将访问请求包发至备用的验证服务器。RADIUS验证服务器发回的响应有三种：访问接受（Access-Accept）、访问拒绝（Access-Reject ）和访问盘问（Access-Challenge）。Access-Accept表示允许用户访问网络，用户的类型、权限等配置值也会被包含在包中，在Access-Accept包中实现了对用户授权的功能。Access-Reject表示拒绝用户访问网络。Access-Challenge表示用户应该响应一个盘问，并重传访问请求。2. IP地址分配管理在Expert中，IP地址不但可以从本地IP地址池分配或者固定使用，而且也可以由ISP中心（IP地址分配服务器）分配。Expert的IP地址分配策略分本地用户和RADIUS用户两种情况：(1) 对于本地用户：根据命令radius ipalloc-origin配置的情况，判断是从IP地址分配服务器还是IP地址池分配。如果该命令配置为isp，则从IP服务器分配；如果配置为ippool，则从IP地址池分配。不管哪种情况，只要分配失败，就拒绝用户上网。(2) 对于RADIUS用户：如果配置了IP地址分配服务器，验证通过后，从IP地址分配服务器分配IP地址。如果分配失败，拒绝用户上网。如果没有配置IP地址分配服务器，并且在验证服务器上也没有为用户配置IP地址，就需要从本地IP地址池分配IP地址。分配失败则拒绝用户上网。下面介绍从IP地址分配服务器分配IP地址的情况。用户通过验证后，需要获得IP地址。IP地址分配管理功能可以使多个接入服务设备统一使用一个区间的地址，避免了地址浪费。用户验证鉴权通过后，RADIUS客户端负责收集用户帐号、接入码、主被叫号码等信息，使用计费包加密方式组成IP地址申请包，发向IP地址分配服务器（ip-server）。IP地址分配服务器发回的响应有两种：分配失败，返回失败原因码；分配成功，其中包括IP地址分配服务器分配给用户的IP地址。地址申请包具有与访问请求包相同的超时重发机制。在用户下网时，RADIUS客户端收集用户信息及分配到的IP地址组成地址释放包，发送到IP地址分配服务器，释放IP地址。IP地址分配服务器发回的包可以是释放成功响应或者释放失败响应包。地址释放包具有重发机制。另外，在Expert采用CMC（Call Management Center，呼叫管理中心）组网方式时，用户的IP地址还可以从CMC服务器分配。3. 上网用户注册管理用户申请到IP地址后将向注册服务器（ reg-server ）发送用户上网注册包，其中包含用户主被叫号码，IP地址等信息。下网时将发送用户下网注销包，其中包含的属性基本与注册包相同。同样，这两个包都具有重发机制。4. 计费在提供服务之前，RADIUS客户端将产生一个计费开始包描述提供的服务和用户信息，发送至RADIUS 计费服务器。RADIUS服务器回送一个收到包的确认。以后每隔一段时间，RADIUS客户端向RADIUS计费服务器送一个实时计费包，服务器收到后向客户端发一个确认信息。在结束服务时，RADIUS客户端将产生一个描述服务类型和统计信息（如时间、输入/出字节）的计费停止包 ，发送给RADIUS计费服务器，计费服务器回送一个收到包的确认。RADIUS客户端发出计费包后，如果在一定时间内没收到响应包，则重传计费包，多次重传之后还未收到响应则可将计费包发至备用的计费服务器。计费服务器有两种：一次计费服务器（acct-server）和二次计费服务器（bill-server）。一次计费服务器是ISP的计费服务器，二次计费服务器为接入设备运营商的计费服务器。二次计费服务器用于设备运营商和ISP之间的结算。13.1.3 Expert多业务接入交换机的RADIUS特性Expert多业务接入交换机提供以下RADIUS特性：l 安全服务协议：RADIUS是一种分布式客户/服务器系统，通过AAA实现网络访问安全，防止未授权的访问。l 支持服务器主备用配置：如果主用服务器故障，可利用备用服务器继续工作。本系统最多可支持两个备用服务器。l 验证服务器与计费服务器分离：验证与计费可在不同的服务器上进行。l RADIUS服务特性基于组：一个组对应一个ISP，不同的组RADIUS配置完全独立。系统支持300个组，即300个ISP接入。l 支持多个地址池：每一个组支持的地址池多达10个，同时还可配置其中任一个作为缺省地址池（如果验证服务器对此组中的用户未分配地址池，则用户IP地址从缺省地址池中分配）。l 支持二次计费：可同时与两个计费服务器配合工作，RADIUS计费信息可同时与两个计费服务器交互。13.2 RADIUS服务器相关的配置使用了某RADIUS服务器时，需要在Expert上对RADIUS客户端的相关参数进行配置。13.2.1 RADIUS服务器配置Expert要和RADIUS服务器之间传递验证、计费等信息，就必须先在Expert上配置关于该RADIUS服务器的参数。当然，也可以删除某台RADIUS服务器。在NAS板类型模式下使用如下命令可对各种RADIUS服务器的共享密钥、实时计费包发送时间间隔、最大重传次数、过滤器、主备用、IP地址、监听端口号、重传次数、重传时间间隔、服务器类型等参数进行配置。1. RADIUS验证服务器的配置可在NAS板类型模式下用radius auth-server命令配置RADIUS验证服务器。删除RADIUS验证服务器用no radius auth-server命令。表13-1 RADIUS服务器配置 操作命令配置RADIUS验证服务器radius auth-server group group-number key shared-secret | max-retransmit-times max-retries | filter filterid * id server-id host ip-address | port port-number | retransmit-times retries | retransmit-span retransmit-span * 删除RADIUS 服务器no radius auth-server | acct-server | bill-server | reg-server | ip-server group group-number id server-id 其参数说明如下：【验证服务器/auth-server】验证服务器用于用户的验证和授权。【组号/group】Expert最多可以支持300个组，一个组使用一套认证计费系统。每个组拥有各自的属性数据，如接入号码分组表，源地址路由表，RADIUS服务器数据表等。Expert只知道组和接入号码，而没有ISP的概念。一个组可以有一到多个接入号码。ISP可以申请一到多个接入号码，而这些接入号码既可以在一个组里，也可以在多个不同的组里。如果一个ISP申请了在不同组中的接入号码，那么它将有多个认证计费系统。取值范围是1300。【共享密钥/key】是RADIUS客户端和RADIUS服务器之间的共享密钥，用于加密用户口令以及生成包的验证字。每一组可配置3个相同类型的服务器，RADIUS客户端与这3个服务器之间的共享密匙是相同的。【最大重传次数/max-retransmit-times】RADIUS中包的发送具有超时重发机制，当RADIUS客户端向RADIUS服务器发请求包而RADIUS服务器没有响应时，RADIUS客户端会重发该请求包，直到收到RADIUS服务器的响应包或达到最大重发次数为止。范围 11000。系统缺省为9次。【缺省包过滤规则号/filter】对用户使用的缺省包过滤规则。用户验证通过后，如果验证服务器为用户指定了包过滤规则，使用该指定的包过滤规则，否则，不使用过滤规则。【服务器标识/id】取值范围是13，同一个组中，最多可以配置3个同种服务类型的RADIUS服务器，服务器标识设为1的为主用服务器，设为 2、3的为备用服务器。当一个服务器不能正常工作时，系统会自动选用下一个服务器，依次类推，直到最后一个服务器为止。选择某一服务类型RADIUS服务器的顺序依次为1、2、3， 如果1不能工作了选用2，如果2也不能工作了选用3。【服务器的IP地址/host】此服务器的IP地址。【服务器端口号/port】此服务器的服务端口号，范围065535。缺省值为1812。【重发次数/retransmit-times】当首选服务器不能正常工作时，在候选服务器启动之前，需重传AAA请求。重传AAA请求计数超出规定重传次数后，认为该服务器已不能正常工作了。取值范围是1100，缺省为3次。重发次数和上面的最大重传次数不同，重发次数是某一个服务器的重发次数，最大重发次数是所有主备服务器的重发次数。【重发时间间隔/retransmit-span】RADIUS客户端对发送出去的包（如验证请求包）设置一个超时定时器，超时后如果没收到服务器的响应包，则重发该包，这个超时定时器的时间长度要通过此命令进行配置。取值范围为11000秒。缺省为3秒。【服务器类型/server-type】有标准的RADIUS服务器和3Com的RADIUS服务器两种。标准的RADIUS服务器用default表示，3Com的RADIUS服务器用3Com表示。系统缺省配置为标准的RADIUS服务器。2. 其它类型服务器的配置可在NAS板类型模式下用radius acct-server | bill-server | reg-server | ip-server 命令配置计费、注册、IP地址分配服务器。删除某个服务器用no radius acct-server | bill-server | reg-server | ip-server 命令。表13-2 配置其它类型的服务器操作命令配置其他类型的RADIUS 服务器radius acct-server | bill-server | reg-server | ip-server group group-number key shared-secret | realtime-span realtime-span | max-retransmit-times max-retries * id server-id host ip-address | port port-number | retransmit-times retries | retransmit-span retransmit-span | server-type 3com | default * 删除RADIUS 服务器no radius auth-server | acct-server | bill-server | reg-server | ip-server group group-number id server-id 其参数说明如下：【一次计费服务器/acct-server】【二次计费服务器/bill-server】【注册服务器/reg-server】【 IP地址分配服务器/ip-server】说明服务器的类型。一次计费服务器， 即ISP的计费服务器（acct-server），二次计费服务器，即出租端口的设备运营商的管理计费服务器（bill-server），一次计费和二次计费可用于对帐。注册服务器，用户上网、下网时要向注册服务器注册用户主被叫号码，IP地址等信息。IP地址分配服务器，用于为用户分配IP地址。 【组号/group】请参照认证服务器。【共享密钥/key】请参照认证服务器。【实时重发时间间隔/realtime-span】RADIUS客户端每隔一定时间向计费服务器发送一个实时计费包，这个时间就是实时重发时间间隔，范围 03000，单位为“分钟”。当配置为0 时，表示不发实时包。【最大重传次数/max-retransmit-times】请参照认证服务器。【服务器标识/id】请参照认证服务器。【服务器的IP地址/host】请参照认证服务器。【服务器端口号/port】此服务器的服务端口号，范围065535，缺省为1813。【重发次数/retransmit-times】请参照认证服务器。【重发时间间隔/retransmit-span】请参照认证服务器。【服务器类型/server-type】请参照认证服务器。& 说明：进入NAS板类型配置模式：Expert(config)#boardtype nasExpert(config-nas-all)#进入NAS板配置模式：Expert(config)#board nas 3Expert(config-nas3)#进入HSP板配置模式：Expert(config)#board hsp 3Expert(config-hsp3)#举例：！配置第一组的ID为1的验证服务器，共享密钥为“hello”，最大重发次数为9，缺省过滤器规则为1，服务器的IP地址为26，端口号为1812，重发次数为3，重发时间间隔为10秒，服务器类型为缺省。Expert(config-nas-all)#radius auth-server group 1 key hello max-retransmit-times 9 filter 1 id 1 host 26 port 1812 retransmit-times 3 retransmit-span 10 server-type default！删除第1组的ID为1的验证服务器。Expert(config-nas-all)#no radius auth-server group 1 id 113.2.2 各种数据包是否发送配置有时需要实现一些特殊功能，如用户不验证而直接上网、不从IP地址分配服务器而从IP地址池分配IP地址、不发注册包、只发计费开始请求包、只发计费结束请求包、不计费等。不发送某种包意味着Expert不向RADIUS服务器发起某类请求。比如，不发送验证包（authpkt）意味着用户不通过验证而直接上网。通过下面的命令可以实现这些功能。此命令是针对各个组的，对于不同的组，可以配置不同的值，以实现不同的功能。在NAS板类型模式下用radius packet-ifsend命令配置各种数据包是否发送。表13-3 各种数据包是否发送配置操作命令配置各种数据包是否发送radius packet-ifsend group group-number if-sendpkt true | false | if-send-authpkt true | false | if-send-registerpkt true | false | if-send-ipallocpkt true | false | if-send-acctstartpkt true | false | if-send-acctstoppkt true | false | if-send-billstartpkt true | false | if-send-billstoppkt true | false * 参数说明如下：【组号/group-number】范围1300。【是否发送所有包/if-sendpkt】取值有两个：true或false。这是一个总开关，当值为true时，表示RADIUS Client将向Server发送所有类型的请求包，当值为false时，各种包的发送与否由各自对应的开关量的值决定，值为true时表示发送，为false时表示不发送。【是否发送验证请求包/if-send-authpkt】取值有两个：true或 false。为true 时表示RADIUS Client将向验证服务器发送验证请求包，为false时表示不发送验证请求包。 请注意，如果if-sendpkt被配置为false，同时if-send-authpkt配置为false，表示不向AAA发送请求认证报文，这时的用户将不需要认证即可以得到上网服务。请结合实际情况慎用此配置。【是否发送注册请求包/if-send-registerpkt】取值有两个：true或 false。为true时表示RADIUS Client将向注册服务器发送注册请求包，为false时表示不发送注册请求包。【是否发送IP地址分配请求包if-send-ipallocpkt】取值有两个：true或 false。为true时表示RADIUS Client将向IP地址分配服务器发送IP地址分配请求包，为false时表示不发送IP地址分配请求包。【是否发送一次计费开始请求包/if-send-acctstartpkt】取值有两个：true或 false。为true时表示RADIUS Client将向一次计费服务器发送一次计费开始请求包，为false时表示不发送一次计费开始请求包。【是否发送一次计费结束请求包/if-send-acctstoppkt】取值有两个：true或 false。为true时表示RADIUS Client将向一次计费服务器发送一次计费结束请求包，为false时表示不发送一次计费结束请求包。 请注意，如果if-sendpkt被配置为false，同时if-send-acctstoppkt配置为false，表示不向一次计费服务器发送一次请求计费结束报文，这时一次计费服务器将无法得到用户的计费信息。 请结合实际情况慎用此配置。【是否发送二次计费开始请求包/if-send-billstartpkt】取值有两个：true或 false。为true时表示RADIUS Client将向二次计费服务器发送二次计费开始请求包，为false时表示不发送二次计费开始请求包。 【是否发送二次计费结束请求包/if-send-billstoppkt】取值有两个：true或 false。为true 时表示RADIUS Client将向二次计费服务器发送二次计费结束请求包，为false时表示不发送二次计费结束请求包。 请注意，如果if-sendpkt被配置为false，同时if-send-billstoppkt配置为false，表示不向二次计费服务器发送二次请求计费结束报文，这时二次计费服务器将无法得到用户的计费信息。 请结合实际情况慎用此配置。以上所有项目的值都为true或false，true表示发包，false表示不发包。除if-sendpkt缺省为false外，其他项的缺省值都是true。if-sendpkt是主开关，当if-sendpkt值为true时，不管其他参数为true还是false，都发送所有包。以是否发送一次计费开始包为例，当if-sendpkt值为false，if-send-acctstartpkt值为true时，发送一次计费开始包。当if-sendpkt值为true，if-send-acctstartpkt值不管是true还是false时，都发送一次计费开始包。只有当if-sendpkt值为false，if-send-acctstartpkt值也为false时，才不发送一次计费开始包。 注意：(1) 如果if-sendpkt被配置为false，同时if-send-authpkt配置为false，表示不向AAA发送请求认证报文，这时的用户将不需要认证即可以得到上网服务。(2) 如果if-sendpkt被配置为false，同时if-send-acctstoppkt配置为false，表示不向一次计费服务器发送一次请求计费结束报文，这时一次计费服务器将无法得到用户的计费信息。(3) 如果if-sendpkt被配置为false，同时if-send-billstoppkt配置为false，表示不向二次计费服务器发送二次请求计费结束报文，这时二次计费服务器将无法得到用户的计费信息。举例：！对于第1组，发送所有种类的包。Expert(config-nas-all)#radius packet-ifsend group 1 if-sendpkt true13.2.3 是否加密VPN隧道密码的配置对于VPN用户，当验证通过后，RADIUS服务器把用户信息组成包传递给RADIUS客户端。这些信息包括LNS IP地址、隧道类型、隧道密码等。按照协议，隧道密码应以密文方式传递，RADIUS客户端收到包后，应先解密再传递给下层模块。但是，有些厂商的RADIUS 服务器不是严格按照协议来做，会以明文方式传递隧道密码，这样，RADIUS客户端收到包后，对于隧道密码就不用解密而直接传给下层，否则会发生错误。因此，要根据不同厂商的RADIUS 服务器进行不同的配置。在NAS板类型模式下对以下命令操作。表13-4 是否加密VPN隧道密码的配置操作命令传送VPN隧道密码时加密radius tunnelpasswd-encrypt group group-number传送VPN隧道密码时不加密no radius tunnelpasswd-encrypt group group-number13.2.4 话单池长度配置RADIUS客户端采用话单方式向RADIUS服务器发送IP释放请求包、注册请求包、一次计费请求包和二次计费请求包。第一次发送话单后，把话单放到缓冲区中。如果RADIUS服务器有响应，则从缓冲区中删除该话单。如果没有响应，就不断向RADIUS服务器发话单，直到RADIUS服务器有响应或重发次数达到配置的最大重发次数为止。用户也可以不配置此项而使用缺省值，在特权用户模式使用show radius default命令可以显示RADIUS部分的一些参数的缺省值，其中包括话单池长度的缺省值。用户在NAS板类型配置模式下通过命令radius cache-length来配置服务器信息。表13-5 话单池长度配置操作命令话单池长度配置radius cache-length ipal ipalloc-cache-length | regi register-cache-length | acct acct-cache-length | bill bill-cache-length *命令参数的含义如下：【一次计费缓冲区长度/acct】【二次计费缓冲区长度/bill】【 IP缓冲区长度/ipal】【注册缓冲区长度/regi】表示各缓存区的长度，单位是报文的个数。取值范围是010000。系统缺省配置是2000。 注意：如果RADIUS 服务器长时间没有响应，缓冲区内的话单数量会迅速增加，当超过所配置的长度时，就要从缓冲区中删除话单，产生丢话单现象。缓冲区的长度越大，可保存的话单越多，越不容易产生丢话单现象，但占用内存也越大，所以要根据系统实际处理能力和内存容量确定合适的长度。13.2.5 RADIUS会话标识（SessionID）配置会话标识用于唯一标识一次会话，同时用于匹配计费开始话单和计费结束话单。当有多个相同会话标识的话单存在时，会引起RADIUS计费出错。用户在NAS板类型配置模式下通过命令radius sessionid来配置RADIUS会话标识。表13-6 RADIUS会话标识（SessionID）配置操作命令配置 RADIUS会话标识（SessionID）radius sessionid group group-number method default | ip | index id-value type dec | hex length length value value 命令参数的含义如下：【组号/group】分组的编号，有关分组的定义请参照认证服务器。【会话标识的生成方法/method】Expert支持三种方法：缺省方法、IP地址方法、索引方法，分别用default、ip、index表示。系统默认为“default”。【设备索引值】当选择使用索引方法时，必须输入一个索引值，用于区分不同的Expert设备。【会话标识的类型/type】Expert支持两种会话标识的进制类型，十进制和十六进制，dec表示十进制，hex表示十六进制。【会话标识的长度/length】范围822。【起始值/value】是该组会话标识的起始值。每个组有一个起始值，当有该组的用户上网时，这个值就加1，表示对应于该用户的会话标识。13.2.6 配置定时检查主服务器的时间间隔在主备服务器处理能力有差异时，优先使用主服务器，如果主服务器因意外情况不能使用，改为使用备用服务器，同时会定时检查主服务器是否恢复正常，如果恢复，再切换到使用主服务器。在各服务器处理能力相同时，可把时间间隔配置为0，表示不进行定时检查。表13-7 定时切换为主服务器定时器的时间间隔配置操作命令配置定时检查主服务器的时间间隔radius check-master-server-span check-span【时间间隔/check-span】缺省值为0，表示不进行定时检查。13.3 本地用户的配置有两种方式可以对上网用户的验证和授权进行管理，一种是在RADIUS服务器上添加用户及其属性，另一种是在Expert设备上（本地）设置用户及其属性。这两种方式可以只用其中一种，也可以两种同时使用。但是RADIUS和本地两种用户的计费都需要RADIUS服务器。当只使用本地用户时，可以不配RADIUS验证服务器。13.3.1 配置本地用户IP地址分配来源用户拨号上网时需要从网上分配IP地址，分配IP地址的方式有两种：从接入服务器的本地地址池中分配或者从专用的IP地址分配服务器上分配。对于本地普通拨号用户需要分配一个有效的IP地址，这个地址可从地址池中分配，也可从ISP中心分配，还可以从CMC服务器分配。本命令的配置结果对指定的组有效。比如用radius ipalloc-origin配置了组1的IP地址从IP地址分配服务器上分配，组2的IP地址从接入服务器的本地地址池中分配。如果用户属于组1，则IP地址将从IP地址分配服务器上分配，如果用户属于组2，则IP地址将从接入服务器的本地地址池中分配。用户可在NAS板类型配置模式下通过命令radius ipalloc-origin来配置本地普通用户IP地址获取途径。表13-8 配置本地用户IP地址分配来源 操作命令配置用户IP地址分配来源radius ipalloc-origin group group-number isp | ippool | cmc 命令参数的含义如下： 【组号/group】配置IP地址来源的组的编码。【IP地址池/ippool】【ISP管理中心/isp】【CMC服务器/cmc】选ISP管理中心，则IP地址从ISP专用的IP地址分配服务器上分配；选IP地址池，则IP地址从接入服务器的本地地址池中分配。选CMC服务器，则IP地址从CMC服务器上获取。系统缺省配置为从IP地址池获取IP地址。13.3.2 配置本地普通用户本地用户是在Expert上直接进行验证和授权的用户（而不是通过RADIUS服务器进行验证和授权），其计费仍在RADIUS服务器上进行。用户上网时，Expert发现是本地用户，就在本地验证。如果用户属于组1，则判断组1的IP地址是从IP地址分配服务器上分配还是从接入服务器的本地地址池中分配（用radius ipalloc-origin命令配置）。如果是从接入服务器的本地地址池中分配，则判断ip-pool-index指向哪一个IP地址池，从该地址池中分配。在NAS板类型配置模式下，可以用此命令配置用户的属性。filterid参数是包过滤规则号，范围0199。取值为0表示无防火墙过滤规则生效，取值为199时是标准访问控制列表，取值为100199时是扩展访问控制列表。用户在NAS板类型配置模式下通过命令radius local-normal-user来配置本地普通用户的相关信息。表13-9 本地普通用户配置 操作命令配置本地普通用户radius local-normal-user group group-number username username password password | callingnumber callingnumber | idletime idletime | ip-pool-index ip-pool-index | filter filterid *删除用户no radius local-normal-user group group-number username username命令参数的含义如下：【组号/group】本地用户隶属的组的编号。【用户名/username】【用户密码/password】本地用户的用户名和密码。用户拨号后，系统对用户输入的用户名和密码和系统保留的用户名和密码进行比较，如果一致，则通过验证。【主叫号码/callingnumber】上网用户的主叫号码。此参数是选配项，如果配置了主叫号码，并且系统可获得上网用户的主叫号码，则如果主叫号码一致时，用户才能通过验证。【空闲时间/idletime】用户验证通过后，Expert对用户进行流量监控。如果在一段时间内一直没有数据传输，Expert就会挂断该用户，这个时间称为空闲时间（idletime），单位是分钟。系统中idletime缺省为0，表示不进行流量监控。即使用户长时间没有数据传输，也认为用户在正常上网，也照常收费，不做挂断处理。 RADIUS的每个接入码对应一个idletime，如果对用户配置了idletime，对用户的接入码也配置了idletime，则用户的idletime取决于两者中的最大值。 【IP地址池索引/ip-pool-index】用户的IP地址所在的地址池的索引。范围为010。【过滤规则/filter】对用户使用的包过滤规则。用户验证通过后，Expert允许用户进行数据传输，同时进行流量监控。如果在一段时间内一直没有数据传输，Expert就会挂断该用户，这个时间称为idletime（空闲时间），单位是分钟。本命令中idletime缺省为0，表示不进行流量监控，即使用户长时间没有数据传输，也认为用户在正常上网，也照常收费，不做挂断处理。 注意：RADIUS的每个接入码对应一个idletime，如果对用户配置了idletime，对用户的接入码也配置了idletime，则用户的idletime取决于两者之间的最大值。举例：！增加名为huawei的本地普通用户，组号为2，密码mypwd，主叫号码为8912726，链路空闲时间 15分钟，IP地址从2号地址池分配，防火墙过滤规则序号为3。Expert(config-nas-all)#radius local-normal-user group 2 username huawei password mypwd callingnumber 8912726 idletime 15 ip-pool-index 2 filter 3！删除第1组中名为huawei的本地普通用户Expert(config-nas-all)#no radius local-normal-user group 1 username huawei13.3.3 配置本地Login用户Expert支持远程登录业务，包括Rlogin、TCP-Clear和Telnet。通过Expert用户可以远程登录到某一主机，并进行数据的传输。Login用户指使用Rlogin、TCP-Clear和Telnet服务的用户。在NAS板类型配置模式下，可以用radius local-login-user命令配置本地Login用户。表13-10 本地Login用户配置操作命令配置本地Login用户radius local-login-user group group-number rlogin | telnet | tcp-clear username username password password | serverip ip-address | serverport port-number *取消本地Login用户no radius local-login-user group group-number username username其参数说明如下：【组号/group-number】本地用户的分组号，范围1300。【服务器IP地址/ip-address】用户要登录的服务器的IP地址，为点分十进制格式。【服务器端口号/port-number】用户要登录的服务器的端口号。 范围165535。对于Rlogin用户，服务器端口号缺省配置为513，对于Telnet用户，服务器端口号缺省配置为23。这种类型的用户上网时，Expert在本地验证，验证通过后，根据所配置的Rlogin、TCP-Clear或Telnet服务器IP地址和端口号把用户和主机相连，实现远程登录业务。举例：！配置一个第1组的本地Telnet用户，用户名huawei，密码12345，服务器IP地址，服务器端口号518。Expert(config-nas-all)#radius local-login-user group 1 telnet username huawei password 12345 serverip serverport 51813.3.4 配置本地VPN用户Expert支持四种VPN接入方式：VPN服务号码接入、VPN专用帐号接入、VPN用户的代理验证和根据用户域名接入。不管采用那种接入方式，必须在Expert中或者RADIUS服务器中设置相应的VPN用户才能完成VPN用户的接入。在Expert中配置的VPN用户称为本地VPN用户。根据所提供的接入方式， VPN用户有着相对应的以下三种：VPN服务号用户，如16333；VPN域名用户，如；VPN用户名用户，如vpnuser。对于每个VPN用户还需设置其相应的VPN服务器、L2TP隧道口令等信息。如果是VPN服务号用户，其服务号必须是配置的VPN特服号中的一个。在NAS板类型配置模式下，可以用radius local-vpn-user命令配置本地VPN用户。表13-11 本地VPN用户配置 操作命令配置本地VPN用户radius local-vpn-user group group-number username username password password | callednumber callednumber | domain domainname master-lns-ip master-lns-ip-address | slave-lns-ip slave-lns-ip-address | master-tunnelpwd master-tunnel-password | slave-tunnelpwd slave-tunnel-password *取消本地VPN用户no radius local-vpn-user group group-number username username | callednumber callednumber | domain domainname 【组号/group-number】本地用户的分组号，范围1300。【用户名/username】VPN用户名。【用户密码/password】VPN用户的登录密码。【被叫号码/callednumber】VPN用户呼叫的被叫号码，长度124。【域名/domainname】用户域名。【主LNSIP地址/master-lns-ip-address】主LNS的IP地址，为点分十进制格式。【备用LNSIP地址/slave-lns-ip-address】备用LNS的IP地址，为点分十进制格式。 【主LNS的隧道密码/master-tunnel-password】主用LNS的隧道密码。【备用LNS的隧道密码slave-tunnel-password】备用LNS的隧道密码。 注意：在配置基于被叫号码的VPN用户时，要检查该被叫号码是否已经使用radius vpnnumber vpn-service-number 命令配置为VPN特服号，如果没有，不能把该用户配置为VPN用户。13.4 RADIUS IP地址池配置当用户的IP地址需要从本地的IP地址池分配时，需要配置该用户所在组的IP地址池。Expert可配置21个组的IP地址池，组号为：020。其中第0组为其