vrp3 010x操作手册v3 1 5交换路由信息时安全认证

目录第1章配 1VRP提供的特性简 1 2基于RADIUS的 2滤和..............................................................................................................1-1.4.1的概 21.4.2的分 31.4.3 4 5 1简 1AAA概 1 2 6 8创建ISP域并配置相关属 9 创建RADIUS方 配置RADIUS认证/服务 配置RADIUS计费服务器及相关属 设置RADIUS报文的共享密 设置RADIUS请求报文的最大传送次 设置支持的RADIUS服务器的类 设置RADIUS服务器的状 设置发送给RADIUS服务器的用户名格 设置发送给RADIUS服务器的数据流的单 配置NAS发送RADIUS报文使用的源地 配置RADIUS服务器的定时 使能RADIUS服务器状态变为down时发送trap报文的功 配置本地RADIUS认证服务 创建HWTACACS方 配置HWTACACS认证服务 配置HWTACACS服务 配置TACACS计费服务器及相关属 配置NAS发送HWTACACS报文使用的源地 配置TACACS服务器的密 配置TACACS服务器的用户名格 配置TACACS服务器的流量单 配置TACACS服务器的定时 配置用户主动修改当前.......................................................................2-AAA及RADIUS/HWTACACS协议的显示和调 AAA及RADIUS/HWTACACS协议典型配置举 net/SSH用户通过RADIUS服务器认证、计费的应 PPP用户通过TACACS服务器认证、、计费的应 net用户通过TACACS+服务器认证（认证）、计费的应 AAA及RADIUS/HWTACACS协议故障的诊断与排 1 1 1 1 2 2 3 3 3 3 5 7 8Portal免认证用户及免费IP配置过 14.1控制列表简 14.1.1控制列表概 14.1.2控制列表的分 1 14.1.4控制列表的创 2 3 4 基于MAC地址的控制列 4.2控制列表配 配置基于MAC地址的控制列 15.1简 1 1 25.2滤配 5允许或................................................................................................5- 5 6 6滤显示与调 8滤典型配置举 8 允许........................................................................................................5- 1 1 1 2 4IPSecDPD简 5 6 6 7 8 9 配置取消对nextpayload域的检 配置IPSec VRP主体软件IPSec的显示与调 加密卡IPSec的显示与调 采用isakmp方式建立安全的配 1 1 1 3IKE的配 3 4定义IKE安全提 4配置IKE对等 7 IKE野蛮模式及NAT穿越的组网应 ADSL与IPSec/IKE相结合的组网应 第8章PKI配 1PKI简 1概 1 2 2 3 38.2.1申请概 3 3 4配置申请的服务 5 7 手工申请.....................................................................................................8-手工获取...................................................................................................8-导入..........................................................................................................8-删除..........................................................................................................8- 8.3.1验证配置任务列 获取 验证............................................................................................................8- 使用PKI方法进行IKE协商认 故障之一：获取CA的失 第1章配基于RADIUS（RemoteAuthenticationDial-InUserService）的（AuthenticationAuthorization,Accounting）RADIUS服务器配合实施的AAA服务，可以提供对接入用户的验证、和计费安全服务，防止滤（PacketFilter）：用控制列表实现，允许指定可以通过（或通过，ASPF（ApplicationSpecificPacketFilter）：也称为状态防层协议状态每接的状态信息，并动态地决定数据包是否被允许通，Internet上传输时的私有性、完整性和真实性。企业内部设备的IP地址，来自公共网络上的。本章中将详细介绍AAA及RADIUS配置、用户口令配置、和滤配置等，IPSec配置，IKE配置。PPPPPP配置，日志的配置请参见系统管理志配置地址转换请参见网络协议中的NAT配置部分内系统命令行采用分级保护方式，命令行划分为参观级、级、配置级、管理级基于RADIUS写，用来实现用户管理功能。AAA可以用多种协议来实现，这里AAA是基于RADIUS协议来实现的。IP地址。第二章将详细介绍RADIUSPPPPPPPPP配置。允许内部网络的用户对因特网进行Web或收发E-mail等。也可以作为一个因特网的权限控制关口，如允许组织内的特定的人可以因特网。 图1-1使内部网络和因特的数据。如FTP应用网关，对于连接的端来说是一个FTPServer，FTP应用网关。（iruieelawyTCP或UP发起（pen）接或电路之前，验证该会话的可靠性。只有在握手被验证接表数据只有它所含的话信息合该有效连接表中的某一条目（nry）时，才被允许通过。会话结束时，该会话FTPFTPTCP层对此会话进行验证。如果验证通过，则所有的数滤（PacketFilter）：对每个数据包按照用户所定义的项目进行过滤，如比较211024的数据包通过，则只IP地址和端口替换为路由IP地IP地址。因特IP地址被保留用作私有地址：滤1.滤的功IPIP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的滤（IP数据包）1-2所示（IP所承载的上TCP/UDP）。图1-2滤元素示意2.控制列据包不能通过。这些规则就是通过控制列表（AccessControlList）体现的。认证的实现有两种方式：明文认证和MD5认证。明文认证以明文形式发送口令字，MD5认证是发送加密后的口令字，MD5认证方式安全性较高。第2AAARADIUS/HWTACACS、AAA是Authentication，AuthorizationandAccounting（认证、和计费）的简称，它提供了一个用来对认证和计费这三种安全功能进行配置的一致性框架，实际上是对的一种管理。、这里的主要是指控制，包括针对以上问题，AAA必须提供下列服务：RADIUSHWTACACS协议进行远端认证，由宽于RADIUS协议，可以采用标准RADIUS协议或3COM公司的扩展RADIUSiLIN/CAMS等设备配合完成认证。则对用户通过。单独使用RADIUS进行。远端计费：支持通过RADIUSTACACS用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。AAA是一种管理框架，因此，它可以用多种协议来实现，VRPAAA是基于RADIUSHWTACACS协议来实现的。RADIUS是RemoteAuthenticationDial-InUserService（认证拨号用户服务）户）。RADIUSNAS（NetworkAccessServer）系统的重要辅助部分。 协议基于UDP/IP层定义了RADIUS帧格式及消息传输机制，并定义了1812作为认证端口，1813作为计费端口。客户端：位于拨号服务器NAS（NetworkAccessServer）侧，可以遍布用户信息到指定的RADIUS（如于RADIUS客户端的信息（如共享密钥），第三个数据库“Dictionary”s图2-1RADIUSRADIUSPPPPAP、CHAP认证、基UNIX的Login等。RADIUS服务器对用户的认证过程通常需要利用NAS等设备的认证功能，RADIUS客户端和RADIUS服务器之间通过共享密钥认证相互间交互的消息，用户采用密文方式在网络上传输，增强了安全性。RADIUS协议合并了认证和过程，即响应报文中携带了

RADIUS

认证接受包Access-Accept 图2-2RADIUSRADIUSRADIUS服务器发送认证请求Access-Reject响应包。RADIUS客户端根据接收到的认证结果接入/用户。如果可以接入用户，则RADIUS客户端向RADIUSRADIUS客户端向RADIUSRADIUS服务器和客户端之间交互消息正确收发。RADIUS报文结构如下：图2-3RADIUSAuthenticator（16字节用于验证RADIUSResponseAuthenticator。ResponseAuthenticatorCode、Identifier、RequestAuthenticatorLength、Attribute和共享密钥进行MD5表2-1Code1方向->Server，将用户信息传输到Server以判断含NAS-IP-Address、User-Password、NAS-Port等属性。2Access-Accept认方向Server->，如果Access-Request报文中所3Access-Reject认方向Server->，如果Access-Request报文中存在任4est计费请求包方向->Server，将用户信息传输到Server，请求费开始请求和计费结束请求。该报文包含属性和Access-Request报文大致相同。5方向Server->，Server通知侧已经收到Accounting-Request报文并且已经正确记录计费信息。该报文Attribute域大致包括：表2-2Attribute1User-2User-345Session-6Idle-789-40-(forspecifiedattribute图2-4包括扩展属性的RADIUS全协议。该协议与RADIUS协议类似，主要是通过Server-模式与TACACSAAAPPPVPDNlogin控制。HWTACACSRADIUS协议的主要区别如下表：表2-3HWTACACS协议和RADIUSHWTACACSRADIUS使用TCP除了标准的HWTACACS报文头，对报文主体全部进进行认证，另外一个TACACS服务器进行。HWTACACS的典型应用是拨号用户或终端用户需要登录到路由器上进行操作，路由器作为HWTACACS的客户端，将用户名和发给TACACS服务器进行验证，TACACS

HWTACACS

TACACS图2-5HWTACACSTACACSTACACS客户端收到回应TACACS服务器发送认证回应报文，请求登录；TACACS客户端收到回TACACS客户端收到登录后，向TACACS服务器发送认证持续报文，其TACACS Server回应报文 通图2-6net用户认证、和计费流程VRP3.4软件兼容了LANSwitch的配置，实际上路由什么是ISP（InternetServiceProvider）域？简单点说，ISP域即ISP用户群，一个ISP域即是由同属于一个ISP的用户构成的用户群。一般说来，在“userid@isp-name”形（例如gw “@”后的“isp-name”（如例中的“163.net”）即为ISP域的。在路由器对用户进行接入控制时，对于用户名为“userid@isp-name”形式的ISP用户，系ISP域属性。配置16个ISP域。如果某个用户在登录时没有上报ISP，则系统将把它归于ISP域。表2-4创建/删除ISP创建ISP域或进入指定ISP[isp-name|default{disable|enableisp-name删除指定的ISPundoisp-认证、、计费方schemeAAA如果配置了schemeradius-schemeradius-scheme-namelocal或schemehwtacacs-schemehwtacacs-scheme-namelocallocalRADIUS服务器或HWTACACS服务器没有正常响应后的备选认证方案。即当RADIUS服务器或如果local作为第一方案，那么只能采用本地认证，不能再同时采用RADIUS、HWTACACS或nonenoneRADIUS、HWTACACS或local方案。表2-5配置ISP配置域使用的AAAscheme{radius-schemeradius-scheme-name[local]案hwtacacs-schemehwtacacs-scheme-name[local]|local|noneAAAundoscheme[radius-scheme|hwtacacs-scheme|none采用这种方式时，用户可以通过authentication、authorization、accounting这HWTACACS方案进行计费且计费可选，这样可以为用户提供更加灵活多样的组合方案认证计费分离方式中对于AAA支撑的各种业务的具体实现如下：认证采用：RADIUS，HWTACACS，local，RADIUS-local，HWTACACS-local或none。采用：HWTACACS或者none计费采用：RADIUS，HWTACACS或者noneFTP认证采用：RADIUS，HWTACACS，local，RADIUS-local，HWTACACS-local或none。采用：HWTACACS或者none计费采用：RADIUS，HWTACACS或者none仅支持采用RADIUS对于D业当前仅支持RADIUS、local或者RADIUS-local认证、；支持RADIUS计费。ISP域视图下进行下列配置。表2-6配置ISPauthentication{radius-schemeradius-scheme-name[local]|hwtacacs-schemehwtacacs-scheme-name[local]|local|none}undononeundoaccounting{radius-schemeradius-scheme- hwtacacs-schemehwtacacs-scheme-name|noneundo时配置authentication命令时，此时如果配置了authorizationnone，RADIUS方案和local方案返回的信息仍然有效；如果配置了authorizationhwtacacs，表示使用HWTACACS方案进行。schemeradius-schemeschemelocal命令，且同时配置了ISPblock状态时，不允许该域active状态的，即在这个时候，允许任何属于该域的用户请求网络服务。表2-7配置ISP设置ISPstate{active|blockISP域最多可容纳多少个接入用户。缺省情ISP域，没有任何可容纳接入用户数的限制。表2-8access-limit{disable|enablemax-user-numberundoaccess-accountingoptional，即使无法实施计费，也不会挂断用户。accountingoptionalschemenone方案的区别在于，使用此命none方案时，系统就不会向计费服务器发HWTACACS方案，但没有配置此命令，系统就会向计费服务器发送计费信息，如表2-9accountingundoaccountingPPPIP地址：IP地址池，然后在接口视图下指定该接口给对端分配地址IP地址池（只能指定一个）。IP地址。前两种地址分配方式适用于不对PPP用户进行认证的情况，配置方法请参见《VRP3.4PPPPPP用表2-10PPP域用户的IPPPP用户分配IP [high-ip-addressundoippoolpool-对于域的用户（useriduserid＠isp-name两种用户）分配地址的优先如果采用Radius或Tacacs认证和，并且服务器给用户下发了地址，则AAA方案选择了本地认证方案（local）时，应在路由器上创建本地用户并配置当用户配置了radius-scheme或hwtacacs-schemeradius或tacacs服务器端进行类似的配置（是否能配置及如何配置取决于采用服务器），此所谓本地用户，是指在NAS（即路由器）上设置的一组用户的集合。该集合以用户NAS的本地用户数据库中添加相应的表项。表2-11创建/local-useruser-undolocal-user{user-name|all表2-12设置本地用户显示方local-userpassword-disy-mode{cipher-|autoundolocal-userpassword-disy-其中，auto表示按照用户配置的显示方式（参考下面表格中password命令）显示，cipher-表示所有接入用户的显示必须采用密文方式。表2-13设置/password{simple|cipher}undostate{active|blockundostate{active|blockservice-type{d|net|ssh|terminal|padundoservice-type{d|net|ssh|terminalpadlevelundoservice-typeftp[ftp-directory恢复对FTP用户的缺undoservice-typeftp[ftp-directoryPPP用户的回呼及主叫号码service-typeppp[callback-nocheck|callback-numbercallback-number|call-numbercall-number[:subcall-number]] |callback-number|call-number如果配置的认证方式需要用户名和口令（包括本地认证、radius认证及hwtacacs认证方式为不认证或采用password认证，则用户登录到系统后所能令级环境中既可以是一立的RADIUS服务器也可以是两台配置相同但IP地址不实际上，RADIUSNASRADIUSServer之间进行信息交互ISP域视图下指定该域配置有上述参数的RADIUS方案具体配置命令的细节请参见前述“AAA设置支持的RADIUS设置发送给RADIUS设置发送给RADIUSRADIUS服务器状态变为downtrap在以上的配置任务中，创建RADIUS方案、配置RADIUS认证/服务器是必需如前所述，RADIUS协议的配置是以RADIUS方案为单位进行的。因此，在进行其RADIUSRADIUS方案并进入其视图。可以使用下面命令创建/RADIUS方案。表2-14创建/删除RADIUS创建RADIUSradiusschemeradius-scheme-删除RADIUSundoradiusschemeradius-scheme-注意：login-service（15）中增加两个取值的定义：login-service(50)=SSHlogin-service(52)=Terminal可以使用下面命令设置RADIUS认证/服务器的IP地址和端。RADIUS视图下进行下列配置。表2-15设置RADIUS认证/服务器的IP地址和设置主RADIUS认证/服务器的IP地址和 [port-number将主RADIUS认证/服务器的IP地址和端口undoprimary设置从RADIUS认证/服务器的IP地址和 [port-number将从RADIUS认证/服务器的IP地址和端口undosecondary在实际组网环境中可以指定2台RADIUS服务器分别作为主备认证/服务器；可以使用下面命令设置RADIUS计费服务器的IP地址和端。RADIUS视图下进行下列配置。表2-16设置RADIUS计费服务器的IP设置主RADIUS计费服务器的IP[port-number将主RADIUS计费服务器的IP地址和端恢undoprimary设置从RADIUS计费服务器的IP[port-number将从RADIUS计费服务器的IP地址和端恢undosecondary2台RADIUS服务器分别作为主、备计费服务器；也、计费端为，但是也可以不选用RFC建议值（尤其是比较早期的RADIUSServer，普遍采用1645作为认证/端、1646作为计费端）。QuidwayRADIUSRADIUS服由于停止计费请求报文涉及到话单结算、并最终影响多少，对用户和ISP都有NASRADIUS计费服务器。所表2-17设置使能停止计费报文缓存及重undostop-accounting-bufferretrystop-accountingretry-undoretrystop-500次。RADIUS服务器通常通过连接超时定时器来判断用户是否。如果RADIUS服务计费。为了配合RADIUS服务器的这种特性，有必要在不可预见的故障条件下在NASRADIUS服务器同步切断用户连接。QuidwayNASRADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时，NAS将切断用户连接。RADIUS视图下进行下列配置。undoretryrealtime-RADIUS服务器的连接超时时长为T，NAS的实时计tNAScount应取为Tt后取整的数值。因此，在实际应用中，应尽量将Tt整除的数。RADIUS视图下进行下列配置。表2-19设置RADIUS设置RADIUS认证/报文的共享密keyauthentication恢复RADIUS认证/报文共享密钥为缺undokey设置RADIUSkeyaccounting恢复RADIUSundokey缺省情况下，RADIUS认证/报文和RADIUS计费报文的共享密钥均为RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUSNASRADIUS服务器的通信已经中断，并将转而向其它的RADIUS服务器发送请求报文。RADIUS视图下进行下列配置。表2-20设置RADIUS设置RADIUSretryretry-将RADIUSundo费时，如果路由器发生重启，在CAMS进行用户检查前，当用户再次登录路由ID信息；路由器每隔设定的时间间隔向CAMSAccounting-On仍没有收到CAMSAccounting-On报文。其中NAS-IP还可以通过命令（nas-ip）手工配置，如果手工配置，请注意配置正IPIP地址作为NAS-IPRADIUS方案，配置该方案中的RADIUS认证/CAMSsystem--进入RADIUS -accounting-onenable[sendtimes][intervalinterval]Accounting-On报文的最大次数（times）15可以使用下面令来选择支持何种RADIUS服务器类型。RADIUS视图下进行下列配置。表2-22设置支持何种类型的RADIUS设置支持何种类型的RADIUSserver-type{|standard恢复RADIUSundoserver-对于某个RADIUS方案中的主、备服务器（无论是认证/服务器还是计费服务器），当主服务器因故障与NAS的通信中断时，NAS会主动地转而与从服务器交互报文。当主服务器恢复正常后，NAS却不会立即恢复与其通信，而是继续与从服为了使NAS在主服务器故障排除后迅速恢复与其通信需要通过下面令手工将active。activeblock时，NAS将只把报文发送表2-23设置RADIUS设置主RADIUS认证/服务器的状stateprimaryauthentication{block|active设置主RADIUSstateprimaryaccounting{block|active设置从RADIUS认证/服务器的状statesecondaryauthentication{blockactive设置从RADIUSstatesecondaryaccounting{block|active如前所述，接入用户通常以“user@ipnme@”后面的部分为Piwy系列由器就通过该决定将用归于个P域的。但是有些较期的RDUS服器不接受携有P的用名在这种情况下，有必要将用户名中携带的去除后再传送给RDUS服务器。因此，uday系列由器供下面令以定发给DUS服务器的户名否携带有P。表2-24设置发送给RADIUS设置发送给RADIUSuser-name-format{with-without-不同（ISP域中）、但RADIUS服务器认为用户相同（因为传送到它的用Quidway系列路由器提供下面令以指定发送给RADIUS服务器的数据流的单表2-25设置发送给RADIUS设置发送给RADIUS服务器的data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}恢复发送到RADIUS服务器的undodata-flow-缺省情况下，RADIUS方案默认的发送数据单位为byte，数据包的单位为one表2-26配置NAS发送RADIUS配置NAS发送RADIUS报文使用的源地址(RADIUS视图nas-ipip-取消NAS发送RADIUS报文使用的源地址(RADIUS视图undonas-配置NAS发送RADIUS报文使用的源地址(系统视图radiusnas-ipip-取消NAS发送RADIUS报文使用的源地址(系统视图undoradiusnas-RADIUS服务。RADIUS服务器应答超时定时器。RADIUS视图下进行下列配置。表2-27设置RADIUS设置RADIUStimerresponse-timeout将RADIUSundotimerresponse-表2-28配置RADIUStimerquietundotimer每隔设定的时间，NAS会向RADIUS服务器发送一次用户的计费信息。RADIUS视图下进行下列配置。表2-29timerrealtime-accountingundotimerrealtime-其中，minutes3的整数倍。NASRADIUS服务器的性能有一定的相关性要求——取NS和RDUS（0）36RADIUS服务器状态变为down时发送trap表2-31使能RADIUS服务器状态变为down时发送trap使能RADIUS服务器状态变为时发送trap 关闭RADIUS服务器状态变为时发送trapundoradiustrap{authentication-server-down路由器提供了本地简单RADIUS服务器端功能（包括认证和），称之为本表2-32配置本地RADIUS配置本地RADIUSlocal-servernas-ipip-addresskey取消本地RADIUSundolocal-servernas-ipip-缺省情况下系统创建了一个NAS-IP为密钥为的本地采用本地RADIUS认证服务器功能时，其认证/服务的UDP端必须1645，计费服务的UDP端为1646用此命令配置的报文加密密钥（keypassword）必须和在RADIUS方案视图下用命令keyauthentication配置的认证/报文加密密钥一致。包括系统缺省创建的本地RADIUS认证服务器在内，设备最多支持16表2-33创建HWTACACS创建HWTACACSHWTACACShwtacacsschemehwtacacs-scheme-删除HWTACACSundohwtacacsschemehwtacacs-scheme-表2-34配置TACACS配置TACACSprimaryauthenticationip-address[port删除TACACSundoprimary配置TACACSsecondaryauthenticationip-address[port删除TACACSundosecondary49。TCP表2-35配置TACACS服务配置TACACS主服务primaryauthorizationip-address[port删除TACACS主服务undoprimary配置TACACS从服务secondaryauthorizationip-address[port删除TACACS从服务undosecondary对于所有类型的用户，如果配置了TACACS认证，但没有配置TACACS服务49。只有当没有活跃的用于发送报文的TCP连接使用该服务器才允许删除该配置TACACS表2-36配置HWTACACS配置TACACSprimaryaccountingip-address[port删除配置的TACACSundoprimary配置TACACSsecondaryaccountingip-address[port删除配置的TACACSundosecondary49。缺省情况下，HWTACACSIP地址为全零。表2-37配置停止计费报文重retrystop-accountingretry-undoretrystop-表2-38配置NAS发送HWTACACS配置NAS发送HWTACACS报文使用的源地址nas-ipip-取消NAS发送HWTACACS报文使用的源地址undonas-配置NAS发送HWTACACS报文使用的源地址(系统视图hwtacacsnas-ipip-取消NAS发送HWTACACS报文使用的源地址(系统视图undohwtacacsnas-配置TACACSTACACSAAATACACS服、表2-39配置TACACS、配置TACACS计费及key{accounting|authorization|authentication}undokey{accounting|authorization|authentication配置TACACS如果TACACS服务器不接受带的用户名时可以配置将用户名的去除后再TACACS服务器。表2-40配置TACACSuser-name-formatuser-name-format配置TACACS表2-41配置TACACSdata-flow-formatdata[byte|giga-byte|kilo-byteTACACSmega-bytedata-flow-formatpacket[giga-packet|kilo-packetmega-packet|one-packetTACACS服务器undodata-flow-format[data|packet配置TACACSHWTACACSTCPTCP超时都可能TACACS服务器的连接断开。表2-42配置TACACStimerresponse-timeoutundotimerresponse-表2-43配置TACACStimerquietundotimer每隔设定的时间，NAS会向TACACS服务器发送一次用户的计费信息。HWTACACS视图下进行下列配置。表2-44timerrealtime-accountingundotimerrealtime-其中，minutes3的整数倍。NASTACACS服务器的性能有一定的相关性要求——取NS和TCCS（0）36配置用户主动修改当表2-46配置用户主动修改当hwtacacschange-passwordServer会自动退出修改操作；如修改成功，TACACSServer会给出提示。TACACSTerninal用户（console、aux、tty、vty）AAA及RADIUS/HWTACACS完成上述配置后，在所有视图下执行disy命令可以显示配置后AAA、RADIUS/HWTACACS的运行情况，通过查看显示信息验证配置的效果。reset命令可清除相关配置。debugging命令可进行调试。表2-47AAAISP域的disy[isp-namedisyconnection[isp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name] ylocal-user[isp-name|service-type{padnet|ssh|terminal|ftp|ppp}|state{active|block}user-nameuser-name表2-48RADIUSRADIUS方案的配置disyradius[radius-server-name|statistics显示RADIUSyradiusdisystop-accounting-buffer{radius-radius-server-name|session-idsession-idtime-rangestart-timestop-time|user-user-name打开RADIUSdebuggingradius关闭RADIUSundodebuggingradiusresetstop-accounting-buffer{radius-radius-server-name|session-idsession-idtime-rangestart-timestop-time|user-user-name清除RADIUSresetradius表2-49HWTACACS显示所有或指定HWTACACS方案的dis [statistics]显示缓存的没有得到响应的停止计费 hwtacacs-schemehwtacacs-scheme-name显示使用指定HWTACACS方案进行dis 打开HWTACACSdebugginghwtacacs{all|error|eventmessage|receive-packet|send-packet关闭HWTACACSundodebugginghwtacacs{all|error|eventmessage|receive-packet|send-packet {hwtacacs-schemehwtacacs-scheme-name清除TACACS statistics｛ authentication|authorization|allAAA及RADIUS/HWTACACSSSH/net用户通过RADIUS服务器认证、计费的配置方法类似，下面的描述RADIUS服务器（其担当认证RADIUSRADIUS服务器的职责）IP46RADIUS服务器交互报文时的共享密钥为“expert”、与计费RADIUS服务器交互报文时的共享RADIUS服务器可使用3COM的CAMS服务器。使用第RADIUS服务器时，RADIUS方案中的server-type可以选择standard类型或类型；使用华为3COM的CAMS服务器时，RADIUS方案中的server-type应选择类型。在RADIUS服务器上设置与路由器交互报文时的共享密钥为“expert”；设置验证及计费的端；添加net用户名及登录。如果RADIUS方案中设置路由器不从用户名中去除用户而是一起传给RADIUS服务器，RADIUS服务器上添加的net用户名应为“userid@isp-name”形式。(IPaddress:46)net图2-7配置net用户的远端RADIUS认#配置net用户采用AAA认证方式#配置[Quidway][Quidway-isp-cams]access-limitenable[Quidway-isp-cams]accounting配置RADIUS[Quidway]radiusscheme[Quidway-radius-cams]primaryauthentication46[Quidway-radius-cams]primaryaccounting46[Quidway-radius-cams]keyauthenticationexpert[Quidway-radius-cams]keyaccountingexpert[Quidway-radius-cams]server-type[Quidway-radius-cams]user-name-formatwith-[Quidway-radius-cams]quit#配置和RADIUS的关联[Quidway][Quidway-isp-cams]schemeradius-schemeFTP用户与net用户通过本地认证的配置方法类似下面描述仅以net用户为net图2-8配置net用户的本地认#配置net用户采用AAA认证方式#创建本地用户net[Quidway]local-user[Quidway-luser-net]service-typenet[Quidway-luser-net]passwordsimple[Quidway]system[Quidway-isp-system]schemePPP用户通过TACACS服务器认证、、计费的应、TACACS服务器。、用户名及AccountingServers(IP

PPP

图2-9PPP用户的远端HWTACACS配置HWTACACS[Quidway]hwtacacsscheme[Quidway-hwtacacs-hwtac]primaryauthentication46[Quidway-hwtacacs-hwtac]primaryauthorization46[Quidway-hwtacacs-hwtac]primaryaccounting46[Quidway-hwtacacs-hwtac]keyauthenticationexpert[Quidway-hwtacacs-hwtac]keyauthorizationexpert[Quidway-hwtacacs-hwtac]keyaccountingexpert[Quidway-hwtacacs-hwtac]user-name-formatwith-[Quidway-hwtacacs-hwtac]quit#配 和hwtacacs的关联 [Quidway-isp-hwtacacs]schemehwtacacs-schemehwtac[Quidway-isp-hwtacacs]ippool19[Quidway-isp-hwtacacs]quit[Quidway]interfaceserial[Quidway-Serial0/0/0]pppauthentication-modepap [Quidway-Serial0/0/0]ipaddress[Quidway-Serial0/0/0]remoteaddresspool1[Quidway-Serial0/0/0]interfaceethernet[Quidway-ethernet1/0/0]ipaddress60PPP用户认证、、计费分离方案典型配置举RADIUSPPP用户分配IP地址并进行认证、，再由TACACS服务器进行计费。TACACSIP46TACACS服务器交互报文时的共享密钥均为“expert”，设置路由器除去用户名中的后再将之传给TACACS服务器。

PPP

图2-10PPP用户认证、、计费分离方案配置应配置RADIUS[Quidway]radiusscheme[Quidway-radius-radius]primaryauthentication45[Quidway-radius-radius]keyauthenticationrouter[Quidway-radius-radius]user-name-formatwithout-[Quidway-radius-radius]quit配置HWTACACS[Quidway]hwtacacsscheme[Quidway-hwtacacs-hwtac]primaryaccounting46[Quidway-hwtacacs-hwtac]keyaccountingexpert[Quidway-hwtacacs-hwtac]user-name-formatwithout-[Quidway-hwtacacs-hwtac]quit#配置1下的认证、、计费方案[Quidway][Quidway-isp-1]authenticationradius-schemeradius[Quidway-isp-1]ippool19[Quidway-isp-1]accountinghwtacacs-schemehwtac[Quidway-isp-1]quit[Quidway]interfaceserial[Quidway-Serial0/0/0]pppauthentication-modepap[Quidway-Serial0/0/0]ipaddress[Quidway-Serial0/0/0]remoteaddresspool[Quidway-Serial0/0/0]interfaceethernet[Quidway-ethernet1/0/0]ipaddress60加PPP用户名及。（此处略）2.6.5net用户通过TACACS+服务器认证（认证）、计费的应TACACS+服务器对登录路由器的net用户进行认证、计费。net用户名应为“test@tacacsAuthentication/AccountingAuthentication/AccountingServers(IPaddress:46)图2-11配置net用户的远端TACACS+认#配置net用户采用AAA认证方式[Quidway]user-interfacevty0#配置 [Quidway-isp-tacacs]access-limitenable10[Quidway-isp-tacacs]accountingoptional[Quidway-isp-tacacs]quitTACACS[Quidway]hwtacacsscheme[Quidway-hwtacacs-system]primaryauthentication46[Quidway-hwtacacs-system]primaryaccounting46[Quidway-hwtacacs-system]keyauthenticationexpert[Quidway-hwtacacs-system]keyaccountingexpert[Quidway-hwtacacs-system]user-name-formatwith-[Quidway-hwtacacs-system]quit#配置和TACACS方案的关联 [Quidway-isp-tacacs]schemehwtacacs-scheme添加net用户名test@启动认net认证用户登录过程如下图2- test@第二步：根据登录界面上的提示信息“s/key89gf55236”，利用winkey.exe计算 图2-13Challenge：框输入服务器返回的提示信息“89gf55236”；Password：输入用户的私有，例如“test”；Response：输出的计算结果，也就是要在登录界面上输入的。AAA及RADIUS/HWTACACSRADIUSRADIUS服务器的数据RADIUS服务器和NAS的报文共享密钥不同——请仔细比较两端的共享密钥，服务器来检查）——请保证NASRADIUS故障之二：RADIUS报文无法传送到RADIUS服务器NAS上没有设置相应的RADIUSIP地址——请保证正确设置认证/和计费服务的UDP端口设置得不正确——请保证与RADIUS服务器提供的端一致。故障之三：用户认证通过并获得，但是不能向RADIUS服务器传送计费第3章PortalPortalPortal又称为门户，Portal认证通常也称为Web认证，主要分为快速认证与非Portal认证的门户功能，运营商可以将信息查询、Portal上。Portal的基本原理是：未认证用户只能特定的站点服务器，任何其它都被无条件地重定向到Portal服务器；只有在认证通过后，用户才能Internet。Portal

图3-1PortalHTTP/HTTPS协议的浏览器（InternetWebBrower）HTTPPortal服务器。Portal服务器。接入设备与认证/计费服务器交互，完成认证、计费Quidway系列路由器。Portal服务器：PortalWebWWW浏览器来，Portal服务器提供免费门户服务和基于Web认证的界面，接PortalICPRADIUS协议进行交互。注意：Portal业务时，在认证客户机、接入设备、Portal服务器、认证/计费服务器之间不能有NAT（NetworkAddressTranslation，网络地址转换）设备。目前认证/计费服务器只能是RADIUS服务器（要求支持Portal认证），TACACS认证/计费服务器及本地认证还不支持Portal服务。Portal当路由器首次接收到登录用户的HTTP报文时，首先判断该登录用户是否Portal用户。对Portal用户，路由器只允许用户特定站点服务器（PortalPortal服务器；Portal服务器提供Web页面供用户输入用户名和，用户输入的用户名和Portal服务器转发到路由器；RADIUSRADIUS认证后，路由器允许用户Internet，之后不再对该用户的HTTP报文进行重定向。Portal非快速认证需输入用户名及信息，直接点击连接按钮，即可快速认证上PortalQuidway系列路由器中，Portal直接认证方式：用户直接获取一个公网IP地址后，在认证前只能能Portal服务器，以及设定的免费地址；用户认证通过后，用户会申请到一个公网IP地址，即可Internet。Portal免认证用户与免费免认证用户即不需要进行Portal认证即可Internet的用户。在实际组网中，可可Internet。可以不需要通过认证即可以Internet。免费IP即用户可以不受限制地IP地址。免费IP可以设置为DNS服务器IP地DHCP服务器。请参见《CAMS综合管理服务器用户手册》。Portal表3-1Portal1system--2配置Portal服务portalserverserver-name{ipip-address|keykey-string|portport|urlurl-string}*Portalurl-string缺省为ip-address3配置Portal的运portalmethod{direct|redhcp运行方式为直接认证方式direct方式。4 5配置Portal认证portalfast-authenticationserverserver-nameuser-namenamepasswordpassword6 7在接口上使能portalserver-8显示Portal的配disyportal[acmstatistics|auth-network[auth-interfaceinterface-typeinterface-num]-user|-ip|interface[interface-typeinterface-num]|server[server-name]||serverstatistics|tcp-cheapstatistics]9清除Portal的相resetportal{acm|servertcp-cheat}如果已经在接口上使能了PortalPortal服务器后，才能修改Portal服务器的参数。有用户时（无论用户处于何种状态）undoportal（可以在RADIUS服务器上配置强制用户下线的操作）。PortalPortalPortal运行方式为直接认证方式，Portal服务器名为newp；路由器使用RADIUS用户在未通过Portal认证前，只能Portal服务器；用户通过Portal认证

网关地址图3-2Portal#[Quidway]radiusscheme配置RADIUSPortal（注意：必须配置为portal）配置RADIUS[Quidway-radius-portal]primaryauthentication00[Quidway-radius-portal]primaryaccounting00[Quidway-radius-portal]keyaccountingo[Quidway-radius-portal]keyauthenticationo[Quidway-radius-portal]user-name-formatwithout-[Quidway-radius-portal]quitportalISP[Quidway]#创建ISP域RADIUS方案portal#[Quidway]defaultenable#配置Portal服务器：名称为newp；IP地址为00；密钥为 端口为50100；URL为。[Quidway]portalservernewpip00 port50100#[Quidway]portalmethod[Quidway]portalauth-networkethernet#[Quidway]interface[Quidway-ethernet0/0/0]ipaddress[Quidway]interfaceethernet[Quidway-ethernet1/0/0]ipaddress60名、口令，通过Portal认证后即可网络。#跨三层设备支持PortalRou服务器名为newp；Rou使用RADIUS服务器完成认证和计费PC在未通过Portal认证前只能Portal服务器用户通过Portal认证后，可以外部网络。EthernetEthernetRADIUS认证/地址:图3-3跨三层设备支持PortalPortalRADIUS方案、ISP域的配置请参见3.2.3节。 Portal服务器：名称为newp；IP00；密钥为；端口为50100；URL为。[Quidway]portalservernewpip00keyport50100#[Quidway]portalmethod[Quidway]portalauth-network在ethernet1/0/0Portal[Quidway]interfaceethernet[Quidway-Ethernet1/0/0]ipaddress[Quidway-Ethernet1/0/0]portal[Quidway-Ethernet1/0/0]#[Quidway]iproute-static16RouterB/16，具PortalPortal服务器名为路由器使用RADIUS用户通过DHCPServerIP地址，Portal网关地址

图3-4Portal以下仅列出与PortalRADIUSISP域的配置请参见3.2.3节。PortalDHCPRelay（不能配（IP）#[Quidway]portalmethod#配置Portal服务器：名称为newp；IP地址为00；密钥为；端口为50100；URL为。[Quidway]portalservernewpip00 port50100[Quidway]portalauth-networkethernet#[Quidway]interface[Quidway-ethernet0/0/0]dhcpselect[Quidway-ethernet0/0/0]iprelayaddress[Quidway-etherne