M0000007中低端路由器AAA及Radius配置(中文版V1.1)定稿资料

课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.01.1验证、授权和记费（ AAA）概述AAA·?é?ll

°D¤?￡¨Authentication ￡|úé¨?￡¨Authorization ￡|?D?¨￡Accounting￡|QuidwaySeriesRouter QuidwaySeriesRouterAAAServer?aμ?éμ?AAA é?ó??tí??μé?AAA验证(Authentication) ：验证用户身份。授权(Authorization) ：授权用户可以使用哪些服务。计费(Accounting)：记录用户使用网络资源的情况，对用户进行计费。实现AAA功能可以在本地进行，也可以由 AAA服务器在远程进行。计费功能由于占用系统资源大通常都使用 AAA服务器实现。对于用户数量大的情况，验证和授权也应该使用 AAA服务器。AAA服务器与网络设备的通信有标准的协议， 目前比较流行的是 RADIUS 协议。1课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 提供AAA支持的服务??|AAA§??3μ??tí?PPP??3ˉèa·QuidwaySeriesRouterEXEC

Quidway SeriesRouter

FTPClient

QuidwaySeriesRouterPPP：PPP的PAP、CHAP验证的用户。EXEC：指通过telnet登陆到路由器，以及通过各种方式(如console口，aux口等)进入到路由器进行配置的操作。FTP：通过ftp登陆到路由器的用户。2课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 验证与授权°D¤ó??úé¨?D°?¤úé?¨?óo§??￠?ú?àD°?¤t??í?-?ìPPP?μCHAPD°?¤?o1ò?1?á???1?á??¤3ê?μéò?1、验证用户名、口令验证：包括PPP的PAP验证、PPP的CHAP验证、EXEC用户验证、FTP用户验证。拨号的PPP用户可以进行主叫号码验证。2、授权服务类型授权：对一个用户授权提供的服务。可以是 PPP、EXEC、FTP中的一种或几种。回呼号码：对 PPP回呼用户可以设定回呼号码。隧道属性：配置 L2TP的隧道属性。验证、授权可以在本地进行，也可以在RADISU服务器进行。但对一个用户的验证和授权使用相同的方法，即或者验证、授权均在本地进行，或者均使用RADIUS服务器。3课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 计费及AAA使用特别提醒?D??AAAé?ó??ae??D?á?ó?§éo?ó?é?′?°??o?üé??ó?AAAt?í?????D??úó??êà°D¤μ??ó?§oa?é??§ò???D???o2￡?ì??D?òo¨?????á?üà??￡1aaaaccounting-schemeoptional首次使用AAA，经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaaaccounting-schemeoptional的原因。其实这种情况不是验证不通过，而是计费失败，切断了用户。因为开始使用的时候启用AAA，这时缺省使用本地验证。而本地验证也是需要计费的，由于没有配置RADIUS服务器，造成计费失败，而因为没有配置aaaaccounting-schemeoptional，在计费失败时的处理就是断开用户，因此用户不能成功上网。aaaaccounting-schemeoptional的作用是在计费失败时允许用户继续使用网络。因此在只验证不计费的情况下，一定要注意配置aaaaccounting-schemeoptional命令。4课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0基本配置命令AAA·oa???ü?à???üà??aaa-enableaaaaccounting-schemeoptionalèaaaauthentication-schemelogin{default|methods-list}{method1[method2...]}èaaaauthentication-schemeppp{default|methods-list}{method1}[method2...]?¨?3a5?ó?§?°??1￡1radius￠?local￠?none￠?radiuslocal￠?radiusnoneaaa-enable：启用AAA。aaaaccounting-schemeoptional：计费处理选项。aaaauthentication-schemelogin{default|methods-list}{method1[method2...]}aaaauthentication-schemeppp{default|methods-list}{method1}[method2...]配置login的验证方法表和 ppp的验证方法表，方法表的名字可以是 default也可以自己取。缺省方法表的缺省方法为本地验证。验证方法有三种： radius、local、none。配置多种方法时，前面的方法失败则使用后面的方法，这里说的失败不是验证失败，而是验证不能成功进行，比如与RADIUS服务器通信失败，因此只有RADIUS方法才可能有失败的情况。所以只有 5种有意义的方法组合：后面的方法有 5种有效组合： radius、local、none、radiuslocal、radiusnone。方法表的概念：login只能配置一个方法表， 配置了方法表即自动应用到所有需要 AAA的FTP用户、EXEC用户。可以配置多个方法表，特定的接口使用哪个方法表还需要将这个方法表应用到接口上。即在接口上配置pppauthentication-mode{chap|pap}[callin][scheme{default|name-list}]，缺省使用default方法表。5课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 本地用户数据库a?μ?ó?§oéyY?a?a??μ?óo§éyY?a??ó?§?-??ü?àyêLocal-user Y?Displayaaauser

ó?§o?ó?§oú?à?é¨ú??tí???1?á??oò11?á?FTPé¨ú??á?使用本地验证、授权需要在路由器上维护用户数据库。由于路由器上资源有限，此数据库不宜过大。最多只支持配置50个用户。大量用户应该使用RADIUS服务器。local-useruser[password{simple|cipher}password]配置用户口令local-useruser[service-type{exec-administrator|exec-guest|exec-operator|ftp|ppp}...]配置授权服务local-useruser[call-numbernumber][:sub-number]配置主叫号码与子主叫号码。local-useruser[callback-numbernumber]配置回呼号码。local-useruser[ftp-directorydirectory]配置FTP目录。undo local-user user 删除用户。可以使用displayaaauser 命令或在 displaycurrent-configuration 中查看配置的用户。6课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0配置举例AAA??ù??yò?ˉ?AAAè [Quidway] aaa-enable??PPPó?§μo?a?é?°D¤??¨?3aè [Quidway] aaaauthentication-schemelogindefault local??o2?D?éa?o?é?3?ó?§o?éíè [Quidway] aaaaccounting-schemeoptional¨?a?é??￠?3a￥óó?μ?a??êàPPPμ?ó?ú?è [Quidway-Serial0] ppp authentication-mode pap schemedefault配置对连接到 Serial0上的PPP用户使用本地验证。7课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0 调试和监控信息μ?é?ì1-???￠??é?ú??ó?§oè displayaaa usera?ó?μ?é??￠?￡??2AAA?μó????è debuggingradius primitiveáét?μ?é??￠?￡??2AAAy??3è debuggingradius event原语为各服务 (PPP、EXEC、FTP)与AAA功能的接口，常见原语有 7种。请求原语三种：join(pap)：用户名、口令验证请求。join(chap)：PPP的CHAP验证请求。leave：用户下网请求。返回结果的原语三种：accept：验证通过。reject：验证不通过，拒绝用户。bye：用户下网的确认。另外还有一种：cut：在计费失败时，如果没有配置 aaaaccounting-schemeoptional 则要求相应服务切断用户。用事件调试信息可以简单观察 AAA 过程。由于事件调试信息很短，在用户验证活动量大时可以只打开事件调试信息，这样不会由于调试信息过多而无法观察。8课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.01.2RADIUS概述RADIUS·?é?l RADIUS(Remote Authentication Dial-in UserService)é?μa?à??μ?2?¨??tí??a?°òl éμ? AAA￡¨éú¨?Authorization ￠?°D¤?Authentication ì1? ?DAccounting￡|￥?ü?RADIUS采用客户机/服务器（Client/Server）结构。验证、授权时客户端的任务是将用户（User）的信息发送到指定的服务器，然后根据服务器的不同响应进行处理。RADIUS服务器的任务是接收客户端发来的用户连接请求，验证用户，并返回客户端提供服务所需要的配置信息。RADIUS服务器的数据库中集中存放了相关的安全信息，避免安全信息凌乱散布带来的不安全性，同时更可靠且易于管理。实现计费时，客户端将用户的上网时长、进出字节数、进出包数等原始数据送到RADIUS服务器上，以供RADIUS服务器计费时使用。在路由器上运行 RADIUS 客户端程序。9课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0实现AAA的流程RADIUSμé?AAAμ?à??3QuidwaySeriesRouterAAAServeró?§oè?ì?éú¨?￠2é??3ó?§oè?ì?ó?§oáì??

°D¤??μ?°D¤?úé¨?¨ìy???D?§?é??μD?§?é?￥ó′eD??é??μ?D??é?￥ó′e首先由各种服务（ PPP、EXEC、FTP）得到用户信息，然后将这些信息交给RADIUS 服务器进行验证。如果通过验证， RADIUS 服务器将验证信息连同RADIUS用户数据库中包含的用户授权信息一起送给路由器。 路由器根据这些信息向用户提供相应服务。通过验证的同时，通知 RADIUS 服务器会话开始。 于会话终止时再次通知RADIUS服务器。 这样由RADIUS 服务器保存的记帐记录可以用于计费。10课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0结构及基本原理RADIUSμé?AAAμ?à??3QuidwaySeriesRouterAAAServeró?§oè?ì?éú¨?￠2é??3ó?§oè?ì?ó?§oáì??

°D¤??μ?°D¤?úé¨?¨ìy???D?§?é??μD?§?é?￥ó′eD??é??μ?D??é?￥ó′eRADIUS协议采用客户机/服务器（Client/Server）结构，路由器作为客户端与RADIUS服务器通信。UDP（UserDatagramProtocol）即用户数据报协议，它是一种面向无连接的协议，传输层不保证报文的可靠性和顺序性，这样报文可能丢失或者是乱序。RADIUS 协议使用了两个 UDP端口分别用于验证（以及验证通过后对用户的授权）和计费。在 RADIUS的协议文本 RFC2138 和RFC2139 中，使用1812号端口作为验证端口， 1813号端口为计费端口 。也可以使用其他端口。RADIUS协议采用了“请求 /响应”的操作模式， 请求由客户端发起，当 RADIUS服务器收到一个合法的请求后就要给予响应。由于 UDP报文可能会丢失，网络也可能临时出现故障，因此路由器提供重传机制，当在一定时间内没有收到RADIUS服务器的响应时，会重传刚才的请求。如果多次重传后仍然收不到响应，那么路由器会向备用的 RADIUS服务器发送请求。作为安全协议，RADIUS自身的安全性也有一定考虑。客户端与服务器端有共享密钥。通讯时使用MD5算法通过共享密钥对包进行数字签名，验证签名的正确性可以防止网络上的其他主机冒充路由器或者RADIUS服务器。用户口令也需要进行加密后再在网上传送，使口令不会泄漏。每个RADIUS包有0到多个属性，用户的各种信息均写在属性中，一些属性协议还规定了各属性值的含义。性能的扩展只需要增加包中所带的属性即可。使用中还可以定义私有的属性类型和属性值。这需要修改 RADIUS服务器的属性字典。11课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0验证与授权RADIUS°D¤ó??éú¨?°D¤?￠?úé¨?y??3?á?￡1á?èó?¨μ??μ?μ?ó?§o?￠?′ü?′?RADIUSt?í??￠?ìêRADIUSt?í???ó?§o??°D¤?￡1?1?¨ó??§o——μ?o????¨ó??§o——μ?o??

íéóéü?ü?￡¨ó?§éúo¨??￠?￡|íéü??ü?á?èó?óéü?t?í??μ?2?￥óü?￡1?éíóéü?ü?——é?3?è?ì?￡?é?ó??úé¨??￠??ó?§o??￥′3??éíü??ü?——ü??ó?§èo?ì??μ?1、首先发送验证请求包。在用户名、口令验证时验证请求包包含用户名和加密后的口令；CHAP 验证中包含用户名， CHAP 验证过程中的各项（ Challenge、CHAPIdentifier 、Response）；主叫号码验证还需要有主叫号码。2、RADIUS服务器收到验证请求包后，首先检查包的合法性，然后根据包中用户信息验证用户是否合法。如果用户非法，则向路由器发送访问拒绝包；如果用户合法，那么RADIUS 服务器会将用户的授权信息 （如用户类型、回呼号码等等）打包发送到路由器，该包称为访问接受包。3、路由器收到访问接受/拒绝包时，首先要判断包中的签名是否正确，如果不正确将认为收到了一个非法的包。如果签名正确，且收到的是访问接受包那么路由器会判断授权服务类型是否与此用户相符，如果不符则拒绝该用户的上网请求，如果符合则接受用户的上网请求，并使用其他用户授权信息对用户进行处理（如回呼、L2TP 隧道属性的设置）。如果签名正确且收到的是访问拒绝包，则拒绝该用户的上网请求。12课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0计费RADIUS?D??í′?D?y??3ü?¨??D??μ?￠??D?￥ó′e?òo·?ó?§oμ??D?y??3ó?￡1??D§?é? μééa?D? ??D?é??D??￠?￡1?o?oéa¤3é???ú?éy é?3??ú?éyé??ü?éy é?3?ü?éy?D?§éü?￥′3?路由器负责收集可能同用户上网费用有关的信息， 并将这些信息发送到 RADIUS服务器。RADIUS 服务器通常是网上的一台工作站，使用这些信息进行计费。每次计费交互过程包括路由器发到 RADIUS 服务器的计费请求包，和 RADIUS服务器返回的应答包。对于需要计费的用户，在一个会话过程中至少需要两次这样的交互过程，分别在验证通过后和用户下网时。如果配置了实时计费，还会每隔一段时间进行一次实时计费。计费信息包括会话时间、输入输出包数、输入输出字节数。当得不到正确计费应答包时认为计费失败。此时如果配置了 aaaaccounting-schemeoptional 命令则继续允许用户访问网络， 否则将切断用户。13课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0用户管理RADIUSó?§oü??3RADIUSa?°ò§í±a?a?°ò￡??aDRADIUSa?°òμ?·êó?t?í??è?ò?¤ì¨oó?§oü?3???ú?RADIUSt?í??ê???￡?ó?-?￥óμ?ü?3?3?t?ó?§oè?ò?°à?o?Dó?RUDIUSt?í???ó?§oü?3?3?t?RADIUS 协议只规定了 RADIUS服务器同 RADIUS 客户端（路由器）的信息交互的格式。由于 RADIUS 协议是标准的，所以路由器能与不同的 RADIUS服务器互通。而在RADIUS服务器上，使用者可以任意根据自己的需要对得到的信息进行处理，满足不同的需求。14课程 XXXX 中低端路由器 AAA及Radius配置（M0000007） Issue1.0基本配置RADIUS·oa?????RADIUSt?í??radiusserver{hostname|ip-address}[authentication-portport-number ][accouting-port port-number ]è radiusshared-key string???¨′íé2yè radiusretry timesè radiustimerresponse-timeout seconds??μééa?D?è radiustimerrealtime-accounting minutesRADIUS服务器配置radius server {hostname |ip-address }[authentication-port port-number ][accouting-port port-number ]配置服务器地址和端口号，最多可以配置 3个RADIUS服务器。radiusshared-key string 配置共享密钥。重传机制radiusretrytimes配置最大重传次数，如果达到这