h3c s5560-si系列以太网交换机安全配置指导

1、H3C S5560-SI 系列以H3C S5560-SI 系列以太网交换安全配置指资料版本：6W100-产品版本：ReleaseCopyright2014者形、H3Care、Copyright2014者形、H3Care、Netflow、cPath、ware、ITCMM、HUASAN、华由于产品版本升级或其他原因，本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情下对本手册的内容进行修改的权利。本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的H3C 前 言H3C S5560-SI 系列以太网交换机配置指导共分为十一本手册介绍了 S5560-SI 系列以太网交换各AAA、前 言H

2、3C S5560-SI 系列以太网交换机配置指导共分为十一本手册介绍了 S5560-SI 系列以太网交换各AAA、PKI 认证特性，802.1X、 IPSourceGuard、 1. 格 意 粗命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示斜命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示 表示用“ x |y |. x |y|. x |y |. x |y|. 表示符号&前面的参数可以重复输入1n次#由“#”号开始的行表示为注释行2. 3. 4. 该图标及其相关描述文字代表一般网络设备，如路由器、交换机等2. 3. 4. 该图标及其相关描述文字代表一般网络设备，如路由器

3、、交换机等该图标及其相关描述文字代、UTM、多业务安全网关、负载均衡该标志后的注释需给予格外关注，不当的操作可能会对人身造格 意 带尖括号“”表示按钮名，如“单击 带方括号“”表示窗口名、菜单名和数据表，如“弹出新建用户/5. 您可以通过（）服务支持列出产品的兼容，并对兼容性和安全的细节进行说5. 您可以通过（）服务支持列出产品的兼容，并对兼容性和安全的细节进行说帮助您了解H3C交换机支持的可插拔模块类型、外观和规帮助您掌握设功能的配置方法及配置步MIB版本配套的MIB：（、固话均可拨打如果您在使用发现产品资料的任何问题，可以通过以下方式反馈：（、固话均可拨打如果您在使用发现产品资料的任何问题

4、，可以通过以下方式反馈：目 录1 111.1.1概12目 录1 111.1.1概12710121.1.6协议规141.1.7RADIUS属14171818223237411.4.1配置准414142421.4.5配置ISP域的方431.4.6配置ISP域的AAA计费方441.5配置RADIUS451.645 461.8AAA1.9AAA典型配置举47 47 481.9.3SSH用户的RADIUS50 541.10AAA常见配置错误举601.10.1RADIUS认证失60i606161611 1.1 AAA1.1.1 概AAA采用客户端/服务器结构，客户端1 1.1 AAA1.1.1 概AAA采

5、用客户端/服务器结构，客户端运行于NAS（Network 与管理用户接入服务器上则集中管理用户信息AAA的基本组网结构如 图 1-1图1-1 AAANAS服务器根据自身的配置对用户进行判断并返回相应的认证 1-AAANAS支持 RADIUS（Remote Authentication Dial-In User 认证拨号用户服务）sControllersControlSystem，HW终系统协议）LDAP（Lightweight Directory s Protocol协议）图 1-1 的AAA基本组网结构中有两台服务AAANAS支持 RADIUS（Remote Authentication D

6、ial-In User 认证拨号用户服务）sControllersControlSystem，HW终系统协议）LDAP（Lightweight Directory s Protocol协议）图 1-1 的AAA基本组网结构中有两台服务器，用户可以根据实际组网需求来决定认证功能分别由使用哪种协议类型的服务器来承担。例如，可以选择HWTACACS服务器实现AAA RADIUS协议简RADIUS（Remote Authentication Dial-In User 认证拨号用户服务用的各种网络环境中。RADIUS 协议合并了认证RADIUS 的报文格式及其消息传输机制，并规定使用 UDP 作为封装

7、RADIUS 报文的传输层协议UDP 端口1812、1813 分别作为认证RADIUS 最初仅是针对拨号用户的 AAA 协议，后来随着用户接入方式的多样化发展，RADIUS 适应多种用户接入方式，如以太网接入、ADSL 1. 客户端/ 用户接入 NAS 返回处理结果（如接受 ，RADIUS服务器通常 三个数据库，如1-2 所示图1-2 RADIUS“Users用户信息（如用户名、口令以及使用的协议、IP地址等配置信息1- RADIUS 协议中的属性和属性 RADIUS 协议中的属性和属性值含义的信息2. SSRAS6 5S报文的一方要验证该签名的正确性，如果报文的签名RADIUS RADIUS

8、 3. RADIUS 服务器支持多种方法来认证用户，例如 PAP（Password Authentication 验证协议、CHAP（ChallengeHandshakeAuthenticationProtocol，质询握手验证协议） 4. RADIUS的基本消息交互流用户、RADIUS客户端和RADIUS服务器之间的交互流程如 图 1-3 所示图1-RADIUS 的基本消息交互流 。RADIUS 客户端根据获取的用户名 s-Request），其中在共享密钥的参与下利用 MD5 算法进行1-RADIUS 服务器对用户名 RADIUS 客户端根据接收到的认证结果接入 RADIUS 服务器对用户名

9、 RADIUS 客户端根据接收到的认证结果接入 RADIUS 服务器返回计费开始响应包（Accounting-Response），并开始计费RADIUS 客户端向 RADIUS 服务器发送计费停止请求包（Accounting-Request）RADIUS 服务器返回计费结束响应包（Accounting-Response），并停止计费 RADIUS采用UDP报文来传输消息，通过定时器机制、重用服务器机制，确保服务器和客户端之间交互消息的正确收发。RADIUS报文结构如 图 1-4 所示图1-4 RADIUSCode 表1-1 Code1-1方向C nt-Server，C nt将用户信息传输到Se

10、rver，请求Server对用户身assword、NAS-Port等属2方向Server-C nt，如果Ac3方向Server-C nt，如果Ac4方向C nt-Server，C nt将用户信息传输到Server，请求Server开始/停止计费。该报文中的Acct-S us-Type属性用于区分计费开始请求和计费结 Length 2RADIUS Length 长度为16 个字节用于验证RADIUS 服务器的应答报文还用于用 Attribute Length 2RADIUS Length 长度为16 个字节用于验证RADIUS 服务器的应答报文还用于用 Attribute 用（Type、Leng

11、th、Value）三元组的结构来表示（ype（Length（alue表 1-2 列出了RADIUS认证费常用的属性这些属性由RFC 2865RFC 2866RFC 和RFC2868所定义。常用RADIUS标准属性的介绍请参见“1.1.7 1常用RADIUS标准属性表1-RADIUS 属1-1User-23CHAP-45NAS-67Acct-Link-8956-CHAP-5方向Server-C nt，Server通知C nt已经收到Accounting-Request报文， RADIUS RADIUS 没有定义的功能。1-Login-IP-Login-Port-CP-Login-LAT-Repl

12、y-Callback-Tunnel-C nt-Callback-ARAP-S ARAP-ARAP-Security- RADIUS RADIUS 没有定义的功能。1-Login-IP-Login-Port-CP-Login-LAT-Reply-Callback-Tunnel-C nt-Callback-ARAP-S ARAP-ARAP-Security-Called-S ion-Connect-Calling-S ion-Configuration-Message-Login-LAT-Login-LAT-Login-LAT-Framed-AppleTalk-ARAP-Challenge-Fra

13、med-AppleTalk-Acct- erim- Acct-S us-Acct-Delay-Tunnel-C nt-Auth-设备厂商可以在 26 号属性中封装多个自定义的（Type、Length、Value）子属性，以提展功能。26 号属性的格式如1-5 所示设备厂商可以在 26 号属性中封装多个自定义的（Type、Length、Value）子属性，以提展功能。26 号属性的格式如1-5 所示 Vendor-ID 25506Vendor-Data，表示子属性的内容关于H3CRADIUS扩展属性的介绍请参见“1.1.7 2H3CRADIUS扩展属性图1-5 26HWTACACS协议简sCon

14、trollersControlSystem，HW系统协议）是在 TACACS（RFC 1492）基础上进行了功能增强的安全协议。该协议与 RADIUS 议类似，采用客户端/服务器模式实现 NAS 与 HWTACACS 服务器之间的通信HWTACACS 协议主要用于Protocol，点对点协议）和 VPDN（Virtual Dial-up Network，虚 。设备作为 HWTACACS 的客户端，将用户名发给 HWTACACS 服务器进行验证，用户验证 1. HWTACACS协议与RADIUS协议的区HWTACACS协议与RADIUS协议都实现了认证1-3 所示。表1-3 HWTACACSRA

15、DIUS1-HWTACACS 协RADIUS 协使用UDP，网络传输效率更除了HWTACACS报文头，对报文主体全部进行加只对认证报文中字段进行加2.HWTACACS2.HWTACACS流程图如图1-6 所示。1-HWTACACS 协RADIUS 协协议报文比较简单，认证结合，难以分支持对设备的配置命令进行 使用。用户可使用令行受到用户角色和AAA 的双重限制，某角色的用权，如果 通过，命令就可以被执行不支持对设备的配置命令进使图1-netnetHWTACACS 客户端收到请求之后，向 HWTACACS 服务器发图1-netnetHWTACACS 客户端收到请求之后，向 HWTACACS 服务

16、器发送认证开始报文HWTACACS服务器发送认证回应报文，请求用户名。 HWTACACS 客户端收到用户名后，向 HWTACACS 服务器发送认证持续报文，其中包括HWTACACS 服务器发送认证回应报文，请求登。1-HWTACACS 客户端收到回应报文，向用户询问登。HWTACACS 客户端收到登 。 HWTACACS 客户端向HWTACACS 服务器 。HWTACACS 客户端HWTACACS 客户端向HWTACACS 服务器发送计HWTACACS 客户端收到回应报文，向用户询问登。HWTACACS 客户端收到登 。 HWTACACS 客户端向HWTACACS 服务器 。HWTACACS

17、客户端HWTACACS 客户端向HWTACACS 服务器发送计费开始报文。 HWTACACS 客户端向 HWTACACS 服务器发送计费结束报文HWTACACS 服务器发送计费结束报文，指示计费结束报文已经收到LDAP协议简LDAP（Lightweight Directory 提供的、基于标准的目录服务。它是在 X.500 协议的基础上发展起来的，继承了 X.500 的点，并对X.500 LDAP 协议的典型应用是用来保存系统中的用户信息，Active Directory Server（LDAP 服务 1.LDAP。LDAP 中使用目由多个条（Entry）组成的条目是具有 DN（Disting

18、uished Name，可区别名的属LDAP 协议基于 LDAP 服务器Active Directory Server、IBMTivoli Directory ServerSunSun Directory Server 都是常LDAP 服务2.使用LDAPAAA 可以使用 LDAP 协议对用户提供认证。服务。LDAP 协议中定义了多种操作来实现 绑定操作的作用有两个：一是与 LDAP 服务器建立连接并获取 LDAP 服务器。查询操作就是构造查询条件，并获取 LDAP 服务器的目录资源信息的过程使用 LDAP 协议进行认证时，其基本的工作流程如下LDAPLDAPDNLDAPLDAP服务器建立LD

19、AP 客户端使用认证信息中的用户名构造查询条件 LDAP 服务器指定根目录下查询此户，得到用户的 DN1-LDAP 客户端使用用户DN 和用与 LDAP 服务器进行绑定，检查用使用LDAP 协议进的过程与认证过程相似，首先必须LDAP 客户端使用用户DN 和用与 LDAP 服务器进行绑定，检查用使用LDAP 协议进的过程与认证过程相似，首先必须通过与 LDAP 服务器进行绑定，建立DNDN户 DN 时便能够获得相应过程与认证过程相同；否则还需要再次以 LDAP 服LDAP3.LDAP程如图1-7 所示。图1-LDAP 认证的基本消息交互流用户发起连接请求，向 LDAP 客户端发送用户名。LDA

20、P 客户端收到请求之后，与LDAP 服务器建立TCP LDAP 客户端以管理员DN 和管理员为参数向 LDAP 服务器发送管理员绑定请求报（AdministratorBindRequest）Search Request）。LDAP服务器收到查询请求报文后，根据报文中的查询起始地址、查询范围、以及过滤条件，DN LDAP 客户端发送查询成功的回应报文。查询得 DN 可以是一或多个。1-LDAP 客户端以查询得到的用户 DN 和用户输入为参数，向LDAP 服务器发送用户绑定请求报文（UserDNBindRequest），LDAP 客户端以查询得到的用户 DN 和用户输入为参数，向LDAP 服务器发

21、送用户绑定请求报文（UserDNBindRequest），LDAP 服务器进行绑定请求报文的处理如果绑定成功，则向 LDAP 客户端发送绑定成功的回应报文LDAP客户端发送绑定失败的回应报文。LDAP客户端以下一个查询到的DN（如果存在的话）DN 绑定成功，DNDNLDAP客户端通知用户登录失败并LDAP 客户端与LDAP 服务器进等）成功之后，LDAP 客户端通知用户登录成功1. NAS对用户的管理是基于ISP（ ernet Service Provider，互联网服务提供者）域的，每个用户都属于一个ISP域。一般情况下，用户所属的ISP域是由用户登录时提供的用户名决定的，如 图 1-8图1

22、-8 AAAlan-s 用户：LAN 接入用户，如 802.1X 认证、MAC 地址认证用户 ISP 域可由该相应的认证模块（802.1X）1-2.实现AAAISP AAA AAA本地认证：认证过程在接入设备上完成，用户信息（和各种属性）RADIUS、HWTACACS 或 LDAP 协议通信。优点是用户信息集中在服务器AAA：接入设备不请 网RBAC：2.实现AAAISP AAA AAA本地认证：认证过程在接入设备上完成，用户信息（和各种属性）RADIUS、HWTACACS 或 LDAP 协议通信。优点是用户信息集中在服务器AAA：接入设备不请 网RBAC： 是绑信息携带在认证回应报文中下发给

23、用户。HWTACACS 协议成功后信息通。AAA 成令RBAC1-1.1.6 协议规与 AAA、RADIUS、HWTACACS、LDAP 相关的协议规范有RFC2865：RemoteAuthenticationDialInUserService(RADIUS) RFC 2866：RADIUS AccountingRFC2867：RADIUSAccountingModificationsforTunnel1.1.6 协议规与 AAA、RADIUS、HWTACACS、LDAP 相关的协议规范有RFC2865：RemoteAuthenticationDialInUserService(RADIUS)

24、 RFC 2866：RADIUS AccountingRFC2867：RADIUSAccountingModificationsforTunnelProtocolRFC2868：RADIUSAttributesforTunnelProtocolRFC2869：RADIUSsRFC1492：AnsControlProtocol,SometimesCalledRFC1777：LightweightDirectoryRFC2251：LightweightDirectorys sProtocolRADIUS属 表1-1-1User-23CHAP-4Server通过不同的IP地址来标识不同的C nt，通

25、常C nt采用本地一个接口请求的C nt的NAS-IP-Address。该字段仅出现在Ac s-Request报文中5NAS-678用户与NAS之间数据链路的MTU（ umTransmis Unit，最大传输Login-IP-Login-Reply-2.H3CRADIUS表1-5 H3CRADIUS1-12Calling-S 2.H3CRADIUS表1-5 H3CRADIUS1-12Calling-S ion-NAS用于向Server告知标识用户的号码，在 设备提供的lan-ac s业务NAS用来向Server标识自己的名Acct-3： erim-4：Reset-7：Accounting-On

26、（3GPP 中有定义8：Accounting-Off（3GPP中有定义9-for CHAP-在CHAP认证中，由NAS生成的用于MD5计算的随机序NAS-Port-NAS认证用户的端口的物理类15：以太16：所有种类的 17：Cable（有线电视电缆19：WLAN-IEEE如果在ATM或以太网端口上还划分VLAN，则该属性值为EAP-1-345Output-Average-61-345Output-Average-6d1：Trigger-2：Terminate-Control_Identifier属性，此时的Control_Identifier属性无实际意表示Trigger-Request或S

27、etPolicy的结果，0表示成功，非0表示失EXEC用户优“A.B.C.Dhh:hh:hh:hh:hh:hh”，IP地址和MAC地址之间以空格分开该属性仅出现在s-Accept和Accounting-Request报文用户安全认证之后下发的安全级Input- erval-Output- erval-Input- erval-两次计费间隔的输入的包数由设备上的配置决AAA客户端的接入设备（NAS功能的网络设备）上，AAAAAAAAA localuserAAAHWTACACS LDAP 方案 已经配置的RADIUS、HWTACACS 或AAA客户端的接入设备（NAS功能的网络设备）上，AAAAA

28、AAAA localuserAAAHWTACACS LDAP 方案 已经配置的RADIUS、HWTACACS 或LDAP 方案（none认证（schem；（scheme（none（none图1-AAA1-Output- erval-两次计费间隔的输出的包数由设备上的配置决Input- erval-Output- erval-Gigawor NAS发送RADIUS报文的备份源IP地表1-AAA1.3 配置AAA1.3.1 配置本地用行新的认证、计费请求，但是可以接收已经成功计费用户的停止计费请求表1-AAA1.3 配置AAA1.3.1 配置本地用行新的认证、计费请求，但是可以接收已经成功计费用户

29、的停止计费请求1-配置HWTACACS方配置LDAP方方配置RADIUS限制同的最大用户连接配置NAS-ID与VLAN的绑每一个本地用户都属于一个本地用户组并继承组中的所有属管理属性和用关于本地用户组的介绍和配置请参见“1.3.1 3配置用户组属性属性包括：用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。各属性的使用及支持情况1-8每一个本地用户都属于一个本地用户组并继承组中的所有属管理属性和用关于本地用户组的介绍和配置请参见“1.3.1 3配置用户组属性属性包括：用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。各属性的使用及支持情况1-8属性包括：ACL、闲置切断

30、功能、用表 管理属性在系统视图（具有全局性置指导”中的“Password Control表1-7 2. 。表1-8 1-1.3.1 1.3.1 1.3.1 1-local-useruser-namemanage |network1-local-useruser-namemanage |networkpasswordcipher |simple网络接入类用户的 将在加密运算设备管理类用户的 将在哈希计算若不设置 ，则本地用户认证时无需输入 ，只要用户名有效且其它passwordhash |simplepassword service-typelan-s|portal service-typeft

31、p|http|https|net |terminal*FIPSservice-typehttps|ssh|terminal*（可选）eactive |block bind-attributeipip-address erface-number|macmac-address|vlanvlan-id绑定属性ip仅适用于lan-类型中的802.1X 用户 s类型的用3. group 命令来修改。表1-9 1-authorization-attributeacl-number3. group 命令来修改。表1-9 1-authorization-attributeacl-number|idle-cut

32、minuterofileprofile-name|user-role-name|vlanvlan-idwork-directorydirectory-name对于lan-acs用户，仅性acl、usrofile 和vlan 有对于Portal 用户，仅vlan有效；对于httphttps属性user-role 有ssh、ftp用户，仅 属性 user-rolework-directory有password-controlagingaging-password-controllengthpassword-control comtype-number type-numbertype-lengtht

33、ype-lengthpassword-controlsame-character|user-namepassword-controllogin-imesexceed lock lock-timetime |unlockgroupgroup-4. 表1-10 1.3.2 配置RADIUS方RADIUS 方案中定义了设备和 RADIUS 服务器之间进行信息交互所必需的一4. 表1-10 1.3.2 配置RADIUS方RADIUS 方案中定义了设备和 RADIUS 服务器之间进行信息交互所必需的一些参数，主要RADIUS 服务器的IP 地址、UDP 1. RADIUS配置任务简表1-11 RADIU

34、S1-1.3.2 displaylocal-userclassmanage|network|idle-cutdisableenable|service-typeftp|http|https|lan-s|portal|ssh|terminal|eactive|block|user-nameuser-name|vlanvlan-iddisplayuser-groupgroup-nameuser-groupgroup-设置用户组属authorization-attribute acl acl-number | idle-cut minute | rofileprofile-name|vlan vla

35、n-id | work-directory directory-name *缺省情况下未设置用户组属间password-controlagingaging-缺省情况下，采用全管理策度password-controllength略password-control comtype-number type-numbertype-lengthtype-lengthpassword-controlsame-character|user-namepassword-controllogin-imesexceed lock lock-timetime |unlock 表1-12 RADIUS。3. 配置RAD

36、IUS认证服务RADIUSRADIUS客户端的，RADIUS RADIUSRADIUS认证 1- 表1-12 RADIUS。3. 配置RADIUS认证服务RADIUSRADIUS客户端的，RADIUS RADIUSRADIUS认证 1-RADIUS方案radiussystem 的RADIUS 方案。1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 1.3.2 配置RADIUSAttribute151.3.2 1.3.2 RADIUS显示1.3.2 一个S方案中最多允许配置一个主认证服务器和6eS认证服务器即可。RADIUS 方案的从认证

37、一个S方案中最多允许配置一个主认证服务器和6eS认证服务器即可。RADIUS 方案的从认证服务器表1-13 RADIUS4. 配置RADIUS计费服务器及相关参通过在 RADIUS 方案中配置 RADIUS 计费服务器，指定设备对用户进行 RADIUS 计费时与哪些服一个S方案中最多允许配置一个主计费服务器和6eS计费服务器即可。RADIUS 方案的从计费服务器SS的实时计费请求没有得到响应的次数超过指定的最大值时切断用户连接。 表1-14 RADIUS1-radiusschemeradius-scheme-ccountinghost-nameipv4-address|ipv6ipv6-add

38、ressport-number|keycipher|simplestring-radiusschemeradius-scheme-uthenticationhost-nameipv4-address|ipv6ipv6-addressport-number |keycipher|simplestring名、IP地址、端 不能完全主机名、IP地址、端 也不secondaryauthenticationhost-nameipv4-address|ipv6ipv6-addressport-number |keycipher|simplestring5. 配置RADIUS报文的共享密RADIUS 客户端

39、与 RADIUS 服务器使用 MD5 算法并在共享密钥的参与下生成验证字，接受方根RADIUS 认证/RADIUS 报文共享密钥仅在配置5. 配置RADIUS报文的共享密RADIUS 客户端与 RADIUS 服务器使用 MD5 算法并在共享密钥的参与下生成验证字，接受方根RADIUS 认证/RADIUS 报文共享密钥仅在配置 RADIUS 认证/计费服务器时未指定相应密钥的情况下使用表1-15 RADIUS6. 配置发送给RADIUS服务器的用户名格式和数据统”后面的部分为 RADIUS RADIUS RADIUSRADIUS 需要注意的是，如果要在两个乃至两个以上的 ISP 相同的 RADI

40、US RADIUS 方案允许用户名中携带 表1-16 RADIUS1-radiusschemeradius-scheme-radiusschemeradius-scheme-keyaccounting|authenticationcipher|simplesecondaryaccountinghost-nameipv4-address|ipv6ipv6-addressport-number|keycipher|simplestringretryrealtime-accountingretry-7. 配置发送RADIUS报文的最大尝试次时器规定的时长内（由timerresponse-timeou

41、t命令配置）没有收到RADIUS服务器的响应，则设7. 配置发送RADIUS报文的最大尝试次时器规定的时长内（由timerresponse-timeout命令配置）没有收到RADIUS服务器的响应，则设见“1.3.2 8. 配置RADIUS服务器的状态表1-17 RADIUS8. 配置RADIUS服务器的状RADIUS 方案中各服务器的状态（active、block）决定了设备向哪个服务器发送请求报文，以及可指定一个主RADIUS 服务器和多个从RADIUS 服务器，由从服务器作为主服务器的备份。通常active时，设备首先尝试与主服务器通信，若主服务器不可达，设备更改主服务器的状态为 blo

42、ck，并启动该服务器的 quiet 定时器，然后按照从服务器的配置先后顺序依次查找状态为 active 的从服务器进行认证或者计费。如果状态为 active 的从服务器也不 activequietactive1-radius-retryretry-user-name-formatkeep-original|值，设备发送给RADIUS 服务器的用户名携带有ISP厂值，存在一个名称为system的 给RADIUS 服务器的用户名不携带有ISPdata-flow-format data byte | giga-byte|kilo-byte|mega-byte| packetgiga-packet|k

43、ilo-packet| mega-packet | one-packet *当主/block 时，设备尝试与主服务器进行通信。block 的服务器通信。 当主/block 时，设备尝试与主服务器进行通信。block 的服务器通信。 IPS，认为所有的服务器Sebloc。表1-18 RADIUS9. 配置发送RADIUS报文使用的源地RADIUS 服务器上通过 IP 地址来标识接入设备，并根据收到的 RADIUS 报文的源 IP 地址是否与服务器所管理的接入设备的 IP 地址匹配，来决定是否处理来自该接入设备的认证或计费请求。若 RADIUSRADIUSIP地址范围内，则RADIUSRADIUS

44、服务器上指定的接入IP 地址保持一致。RADIUSIP radiusnas-ip1-radiusschemeradius-scheme-e uthenticationactiveblockradiusscheme命令查看。设备eccountingactive blockesecondaryhost-name|ipv4-address |ipv6-addressport-numberactiveblockesecondaryaccountinghost-|ipv4-address|ipv6ipv6-address port-number active | block RADIUS RADIUS

45、表1- 表1-10配置RADIUStimeoutRADIUS RADIUS 表1- 表1-10配置RADIUStimeoutRADIUS RADIUS 服务器响应超时时间。（quietactive。这段RADIUS 服务器恢复激活状态时长。accountingRADIUS 服务器发送一 接入模块（例net模块）的客户端连接已超时的现象。但是，有些接 1-radiusschemeradius-scheme-nas-ipipv4-address| -radiusnas-ipipv4-address| activeSS性。因此要结合网络的实际情况合理设置计费间隔的大小，一般情况下，建议当用户量比较大

46、（）时，尽量把该间隔的值设置得大一些。表1-21 RADIUS. RADIUS 服务器发送 accounting-on 报文activeSS性。因此要结合网络的实际情况合理设置计费间隔的大小，一般情况下，建议当用户量比较大（）时，尽量把该间隔的值设置得大一些。表1-21 RADIUS. RADIUS 服务器发送 accounting-on 报文用于解决设备重启后重启前的 times表1-22 RADIUSaccounting-on12配置RADIUS安全策略服务器的IPRADIUS IP IMC（ elligent Center，智能管理中心）服务器发送给设备的控制报文IPIP1-radius

47、-accounting-onenableseconds|sendsend-times-radius-timerresponse-timeouttimerquiettimerrealtime-accounting缺省情况下，实时计费间隔为12分iMCIP安全策略服务器是H3C Defense，端点准入防御）方案中的管理与控EADiMCIP安全策略服务器是H3C Defense，端点准入防御）方案中的管理与控EADRADIUSIPIMCIPIMC表1-23 RADIUSIP13配置RADIUSAttribute15 0 H3C为Login-Service1-24 所示的扩展取值。表1-24 Log

48、in-Service TerminalRADIUSLogin-Service属性值为对应的扩展取值时才能够通松散检查方式：设备使用标准属性值对用户业务类型进行检查，对于 SSH、FTP、 1-用户的业务类型为用户的业务类型为用户的业务类型为-radius-ipv4-address|ipv6ipv6-address表1-25 RADIUSAttribute1514配置RADIUS的Trap SASSS服务器不可达的告警信息。表1-25 RADIUSAttribute1514配置RADIUS的Trap SASSS服务器不可达的告警信息。timerquiet定时器设定的时间到达后，NASRADIUS

49、 服务器可达的告警信息S过阈值的告警信息。SNMPSNMPSNMP表1-26 RADIUSTrap15RADIUSreset表1-27 RADIUS1-displayradiusschemeradius-scheme-namedisplayradiusresetradius-snmp-agent trnable radius accounting-server-down | authentication-error-threshold| authentication-server-down | accounting-server-up | authentication-server-up *-

50、radius-配置RADIUSAttribute15的检查attribute15check-modeloosestrict缺省情况下，RADIUSAttribute的检查方式为strict1.3.3 配置HWTACACS1.HWTACACS表1-28 HWTACACS2.创建HWTACACS在进行 HWTACACS 的其它相关配置之前，必须先创建 HWTACACS 方案并进入其视图。系统最支持配置16 1.3.3 配置HWTACACS1.HWTACACS表1-28 HWTACACS2.创建HWTACACS在进行 HWTACACS 的其它相关配置之前，必须先创建 HWTACACS 方案并进入其视

51、图。系统最支持配置16 HWTACACS 方案。一个HWTACACS 方案可以同时被多个ISP 表1-29 HWTACACS。3.配置HWTACACS通过在 HWTACACS 方案中配置 HWTACACS 认证服务器指定设备对用户进行 HWTACACS 认证AS6个从认证服务器。当主服务器不可teAS认证服务器即可。ASAS表1-30 HWTACACS1-创建HWTACACS方案并进入其视hwtacacsHWTACACS方创建HWTACACS方1.3.3 配置HWTACACS认证服务1.3.3 配置服务1.3.3 配置HWTACACS计费服务1.3.3 配置HWTACACS报文的共享密1.3.

52、3 配置发送给HWTACACS服务器的用户名格式和数据统1.3.3 1.3.3 配置HWTACACS服务器的定时1.3.3 HWTACACS显示1.3.3 4. 配置通过在HWTACACS 方案中配置 16在实际组网环境中，可以指定一台4. 配置通过在HWTACACS 方案中配置 16在实际组网环境中，可以指定一台服务器既作为某个 HWTACACS 方案的一个HWTACACS 方案表1-31 5.配置HWTACACS HWTACACS 计费服务器即可。1-进入HWTACACS方案视hwtacacs-设置主服务uthorizationhost-nameipv4-address|ipv6ipv6-

53、addressport-number|keycipher|simplestring|single-connection缺省情况下，未配置主/从 服务在同一个方案中指定的主 服务器和从 服务器的主机名、IP地址、端 不能完全相同，并且各从 服务器的主机名、IP地址、端 也不能完全相同设置从服务secondaryhost-name|ipv4-address|ipv6-addressport-number|cipher|simplestring single-connection进入HWTACACS方案视hwtacacs-配置主HWTACACS认证服务uthenticationhost-nameip

54、v4-address|ipv6ipv6-addressport-number|keycipher|simplestring|single-connection配置从HWTACACS认证服务secondaryhost-name|ipv4-address|ipv6-addressport-number|cipher|simplestring single-connectionHWTACACS 方案的从计费服务器。目前 HWTACACS 不支持对 FTP/SFTP/SCP 用户进行计费表1-32 HWTACACS6.配置HWTACACSHWTACACS 客户端与HWTACACS 服务器使用MD5 算

55、法并在共HWTACACS 方案的从计费服务器。目前 HWTACACS 不支持对 FTP/SFTP/SCP 用户进行计费表1-32 HWTACACS6.配置HWTACACSHWTACACS 客户端与HWTACACS 服务器使用MD5 算法并在共享密钥的参与下加密表1-33 HWTACACS7.配置发送给HWTACACS”后面的部分为 名决定将用户归于哪个ISP 域的于有些 HWTACACS 服务器不能接受携带有去除后再传送给该类 HWTACACS 服务器通过置发送给 HWTACACS 服务器的用户名格式就可以选择发送 HWTACACS 服务器的用户名中是。设备通过发送计费报文HWTACACS 服

56、务为保证 HWTACACS 服务器计费的准确性设备上设置的发送给 HWTACACS 服务器的数据流或应与 HWTACACS 服务器上的流量统1-进入HWTACACS方案视hwtacacs-keyaccountingauthentication|authorizationcipher|simple-进入HWTACACS方案视hwtacacs-设置HWTACACS主计费服务host-name|ipv4-address|ipv6 ipv6-address port-number | key cipher | simple string | single-connection *IP地址、端 不能完全

57、相同，IP地址、端 设置HWTACACS从计费服务secondaryhost-name|ipv4-address|ipv6 ipv6-address port-number | key cipher | simple string | single-connection *相同的 HWTACACS 方案，建议设置HWTACACS 方案允许用户名中携带 ，使得HWTACACS 服务器端可以根据相同的 HWTACACS 方案，建议设置HWTACACS 方案允许用户名中携带 ，使得HWTACACS 服务器端可以根据表1-34 HWTACACS8.配置发送HWTACACSHWTACACS 服务器上通过

58、 IP 地址来标识接入设备，并根据收到的 HWTACACS 报文的源 IP 地IP费请求 HWTACACS 服务器收到的 HWTACACS 认证或计费报文的源地址在所管理的接入设 和计费报文可被服务器正常接收并处理，接入设备上发送 HWTACACS HWTACACS 服务器上指定的接入设备的 IP 地址保持一致HWTACACS 报文时，根据以下顺序查找使用的源地址：hwtacacsnas-ip此配置可以在系统视图和 HWTACACS 方案视图下进行，系统视图下的配置将对所有 方案生效，HWTACACS 方案视图下的配置仅对本方案有效，并且具有高于前者的优先级表1-35 HWTACACSHWTA

59、CACS1-hwtacacsnas-ipipv4-addressipv6ipv6-address-进入HWTACACS方案视hwtacacs-user-name-formatkeep-original|data-flow-format data byte | giga-byte|kilo-byte|mega-byte| packetgiga-packet|kilo-packet| mega-packet | one-packet *缺省情况下，数据流表1-36 HWTACACSHWTACACS9.配置HWTACACS在与 HWTACACS 服务器交互的timeout表1-36 HWTACACS

60、HWTACACS9.配置HWTACACS在与 HWTACACS 服务器交互的timeoutHWTACACS 服务器响应超时时长。accountingHWTACACS 服务器发送一（quiet关于 HWTACACS 服务器的状态中，可指定一个主 HWTACACS 服务器和多个从 HWTACACS 服务器，由从服务器作为主服务器的active时，设备首先尝试与主服务器通信，若主服务器不可达，设备更改主服务器的状态为 block，并启动该服务器的 quiet 定时器，然后按照从服务器的配置先后顺序依次查找状态为 active 的从服务器进行认证或者计费。如果状态为 active 的从服务器也不 ac