接入网宝典第1期AAA原理及数据配置.docx
《接入网宝典第1期AAA原理及数据配置.docx》由会员分享,可在线阅读,更多相关《接入网宝典第1期AAA原理及数据配置.docx(11页珍藏版)》请在冰豆网上搜索。
接入网宝典第1期AAA原理及数据配置
前言:
本着“共同学习,共同提高”的宗旨,我们汇总整理了华为接入网设备日常维护中需要特别注意的事项和常见问题解答,发布在华为技术支持网站首页“华为资源-电子期刊-接入网宝典”栏目,希望对您的日常设备维护工作有所帮助。
让我们携起手来,共同打造可运营、可管理的精品网络!
接入网宝典
―AAA原理及数据配置
尊敬的客户:
随着Internet的广泛应用,IP(InternetProtocol)成为电信网的主导通信协议,构建良好的IP宽带业务系统,满足企业用户、集团用户的需求,推出个性化业务吸引更多个人用户,给运营商带来利润成为当务之急。
针对这一需求,华为技术有限公司推出ISN8850智能IP业务交换机(下文简称ISN8850)。
ISN8850提供了丰富的IP宽带业务,配合RADIUS服务器可以完成业务的触发、控制、执行、管理和生成,解决了一般路由器因不能提供用户管理和计费,而无法组建可运营、可管理网络的问题。
本期对ISN8850AAA专题进行介绍。
一、AAA概述
一个网络允许外部用户通过公用网对其进行访问,于是用户在地理上可以极为分散。
大量分散用户通过各种终端设备从不同的地方可以对这个网络进行随机的访问。
用户可以把自己的信息传递给这个网络,也可以从这个网络得到自己想要的信息。
由于存在内外的双向数据流动,网络安全就成为很重要的问题了。
AAA是验证、授权和计费(Authentication,AuthorizationandAccounting)的简称。
AAA的配置实际上是对网络安全的一种管理,这里的网络安全主要指访问控制,包括:
哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行计费等?
验证、授权和计费各自的作用:
验证(Authentication):
验证用户是否可以获得访问权。
授权(Authorization):
授权用户可以使用哪些服务。
计费(Accounting):
记录用户使用网络资源的情况。
网络接入服务器简称NAS(NetworkAccessServer)。
当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时,NAS起到了验证用户(或对应连接)的作用。
NAS负责把用户的验证、授权和计费信息传递给RADIUS服务器。
RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。
RADIUS服务器负责接收用户的连接请求,完成验证,并把用户所需的配置信息返回给NAS。
NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的。
用户的密码加密以后才在网络上传递,以避免用户的密码在不安全的网络上被窃取。
ISN8850适用于宽带城域网,位于边缘汇聚层,它可以提供多种业务支持。
主要完成接入层的业务汇聚与用户识别、用户管理、业务计费等BAS功能。
其中,ISN8850为识别用户提供了特殊用户名识别、不记名识别、本地用户识别及业界普遍采用的Radius识别等多种识别方式。
二、标准RADIUS用户上网流程
1、RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服务器通常运行于一台工作站上,一个RADIUS服务器可以同时支持多个RADIUS客户(NAS)。
2、RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须保存这些信息,而是通过RADUIS协议对这些信息进行访问。
这些信息的集中统一的保存,使得管理更加方便,而且更加安全。
3、RADIUS服务器可以作为一个代理,以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。
在上网的整个过程中,BAS与RADIUS服务器之间主要进行如下的交互过程(如图1),其中iSCP相当于RADIUS服务器:
终端用户提出上线请求;
BAS收到用户的请求后,向RADIUS发出Access-Request(code=1)的认证请求报文;
RADIUS向BAS发出相应的Access-Accept(code=2)或Access-Reject(code=3)响应报文;
BAS根据RADIUS发回的属性对用户进行配置;
同时BAS向RADIUS发出Accounting-Request(code=4/start)的计费开始请求报文;
RADIUS发回相应的计费响应报文;
用户上网过程中,BAS定时向RADIUS发出Accounting-Request(Interim-Update)实时计费请求;
RADIUS发回相应的计费响应报文;
用户提出下线请求;
BAS收到用户的请求后,向RADIUS发出Accounting-Request(stop)计费结束请求报文;
RADIUS发回相应的计费响应报文;
BAS收到RADIUS计费结束响应报文后,断开用户连接,此时用户下线。
三、AAA业务配置
1、使能AAA
ESR(config)#aaa-enable
只有使用了aaa-enable命令才能用AAA所提供的以下各种命令来对其进行配置,缺省为禁止AAA。
若使用了noaaa-enable命令,以前的AAA相关配置将全部不可见,不管保存与否,重启后AAA的配置都会全部丢失。
2、配置AAA的PPP验证方法表
在全局配置模式下,可以用此命令配置PPP的验证方法表。
ESR(config)#aaaauthenticationppp{default|list-name}[method1][method2...]
method:
为验证方法,有以下四种验证方法:
group——使用group服务器验证
radius——用RADIUS服务器进行验证
local——在本地进行验证
none——所有用户不需进行验证便可得到访问权
在配置验证方法表时,至少需要指定一种验证方法,如果指定多种验证方法,则在进行PPP验证时,首先采用method1,如果发生验证错误(如无法与RADIUS服务器建立通信连接等错误),再采用method2,依次类推;但如果在采用某种方法验证失败后(即为非法访问),则不再采用其后方法而终止验证。
另外none方法只有放在最后才有意义。
下面是被允许的5种组合:
aaaauthenticationpppdefaultnone
aaaauthenticationpppdefaultlocal
aaaauthenticationpppdefaultradius
aaaauthenticationpppdefaultradiusnone
aaaauthenticationpppdefaultradiuslocal
3、AAA的PPP计费方法表配置
ESR(config)#aaaaccountingppp{default|list-name}[wait-start]{groupserver-group-name|radius}
对于PPP用户如果指定的计费方法表名不存在,则使用缺省计费方法表进行计费。
缺省计费方法表的缺省方法是使用全局下的RADIUS服务器计费。
4、AAA的本地优先验证配置
缺省为不使用本地优先验证。
使用本地优先验证时,对用户首先进行本地验证,如果验证失败,再使用所配置的验证方法表中的方法进行验证。
配置了本地优先验证,对所有使用了AAA的应用均起作用。
ESR(config)#aaaauthenticationlocal-first
5、AAA的计费选择(accountingoption)配置
ESR(config)#aaaaccountingoptional//打开或关闭AAA计费选择开关。
在ISN8850的V500R002版本中,该开关具体含义为:
1)当用户登录,设备发送计费开始请求失败,配置该选项后,并不切断用户将用户踢下线,而是允许用户成功登录上线,此时对端RADIUS服务器有可能无法接收到设备对该用户发送的计费开始请求。
2)当用户发送实时计费请求时,如果配置了该选项,即使群组工作在扩展协议RADIUS+1.1模式下,被协议要求如果设备收不到来自RADIUS服务器对该用户的实时计费响应必须强制用户下线,设备也不会强制切断用户,而是允许用户继续在线。
3)当用户发送计费停止请求时,如果配置了该选项,设备如果收不到RADIUS服务器对该用户的计费停止响应,在重传几次失败之后,将会强行清除用户信息,这可能会导致RADIUS服务器丢失该用户的本次上网纪录。
在ISN8850的V500R005版本中,该开关的具体含义只包括上面的1)和2)。
对于3)功能,除了该命令外还需要加开关aaaaccountingno-wait-stop进行另行控制,才能达到上述3)所描述的功能,如果没有加aaaaccountingno-wait-stop,则ISN8850会持续重发计费结束请求报文,直到radius服务器有响应为止。
6、AAA强制停止计费
发送停止计费报文,不论对端是否响应,立刻停止计费。
ESR(config)#aaaaccountingno-wait-stop
7、配置本地IP地址池
在全局配置模式、ISP域名配置模式下,配置IP地址池,主要用于为PPP用户分配IP地址。
系统缺省没有本地IP地址池,如果在定义IP地址池时,没有指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
ESR(config)#iplocalpool0129.102.0.1129.102.0.10
8、建立本地用户数据库(本地认证使用)
ESR(config)#userusernamepassword{0|7}password[service-type{execprivilegeexeclevel]|igmpprivilegeigmplevel|ppp}]
service-type:
指定用户类型,用户类型缺省为PPP用户
四、RADIUS协议相关配置
1、RADIUSServer配置
ESR(config)#radius-serverhost{hostname|ip-address}[auth-portport-number][acct-portport-number][pri-auth][pri-acct]
在全局配置模式下进行如上操作可指定RADIUS服务器的地址和监听端口号。
用户可以多次执行该命令,配置多个RADIUS服务器,全局配置模式最多可以配置15个RADIUS服务器,在一个radiusgroup中最多可以配置5个RADIUS服务器。
全局配置模式下及每个radiusgroup各自只能配置一个主RADIUS验证服务器、一个主RADIUS计费服务器。
配置RADIUS主服务器时如果此模式下已经有主RADIUS服务器,则将用新配置的RADIUS服务器作为主服务器,原有主服务器不再作为主服务器。
在没有指定主RADIUS服务器时,系统将根据配置时间的先后选择使用的RADIUS服务器,当一个服务器失效后,系统会自动选择下一个服务器,直到最后一个服务器失效为止。
在配置了主RADIUS服务器后,将首选主RADIUS服务器实现AAA。
当主RADIUS服务器不能正常工作后,使用其他RADIUS服务器工作,每隔一定时间,尝试主RADIUS服务器是否可以正常工作,如果发现其可以正常工作则马上恢复使用主RADIUS服务器。
此间隔时间由命令radius-serverdead-time配置(后面将会有介绍)。
2、配置RADIUS服务器组
ESR(config)#aaagroupserverradiusgroup_163
该命令用于进入radiusgroup配置模式,增加一个RADIUS服务器群组。
如果指定的RADIUS服务器组名系统中不存在,则同时增加一个新的RADIUS服务器组。
在radiusgroup配置模式下可以对此RADIUS服务器组进行具体配置。
3、RADIUSServer认证协议的配置
可以给每个组或者全局下的RADIUSServer配置它的认证协议,其中radius+1.0协议对应参数为iphotel,radius+1.1协议对应参数为itellin。
缺省为radius协议。
ESR(config)#radius-serverprotocol-type{radius|{radius+[iTellin|IPHOTEL]}}
4、RADIUS密钥(sharedsecret)配置
密钥用于加密用户口令以及生成回应验证符(ResponseAuthenticator),所配密钥要与RADIUS服务器中设定的密钥相同。
ESR(config)#Radius-serverkeykey
5、RADIUS服务器宕机后恢复时间配置
ESR(config)#radius-serverdead-timeminutes
Dead-time:
配置每间隔多少时间自动检测所有Radius服务器的状态,缺省为5分钟,取值范围1-255分钟。
6、RADIUS实时计费包发送间隔时间配置
ESR(config)#radius-serverrealtime-acct-timeoutminutes
Realtime-acct-timeout:
ISN8850以配置的间隔时间向RadiusServer发送用户的实时计费信息。
缺省为0,即不使用实时计费。
配置间隔时间必须为5分钟的整数倍,取值范围1-32767。
7、RADIUS空闲时间(idle-timeout)配置
ESR(config)#radius-serveridle-timeoutdefaultidle-time
空闲超时时长。
该值需要与lowestflow一起使用,用于控制当用户在指定的时长内上网流量过小,强制切断用户连接并向RadiusServer发Accounting-Request(stop)。
如果该属性未出现则不处理该功能。
取值范围为1~65535,必须为5分钟的整倍数。
8、RADIUS最小流量(lowestflow)配置
ESR(config)#radius-serverlowestflowlowestflow
Lowestflow:
某时间段内用户的最低流量阈值。
该值需要与idle-timeout一起使用,用于控制当用户上网流量过小,强制切断用户连接。
取值范围为1~65535。
9、用户名截断(usernamemangle)配置
ESR(config-radius-group-groupname)#radius-serverusernamemangle
如果用户名后面跟了@符号,在配置usernamemangle后,送给RADIUSServer认证的用户名将截断@符号后面的内容,否则将全部用户名送给RADIUSServer认证。
10、向RADIUS服务器并发协议报文的个数配置
为了使BAS能够根据RADIUS服务器的处理性能进行合理的调节,避免发送无效的报文,导致网络堵塞或RADIUS服务器CPU占用过高,可使用本命令限制发送到RADIUS服务器的并发报文的个数:
ESR(config)#radius-serverparallel-numnum
num:
可并发发送的报文个数,范围是1到255,缺省值是20。
五、AAA和RADIUS配置实例
?
接入用户配置实例---使用RADIUS验证(带域)
1.组网说明
图2AAA和RADIUS示例组网图
要求:
采用RADIUS服务器进行验证。
RADIUS服务器129.7.66.66作为主验证和计费服务器,129.7.66.67作为备用验证服务器和计费服务器,端口号默认为1812,1813。
2.配置步骤
(1)启动AAA
BRAS(config)#aaa-enable
//全局radius配置(用于无域名用户)
(2)配置PPP用户的缺省验证方法表
BRAS(config)#aaaauthenticationpppdefaultradius
(3)配置RADIUS服务器IP地址和端口
BRAS(config)#radius-serverhost129.7.66.66pri-authpri-acct
BRAS(config)#radius-serverhost129.7.66.67
(4)配置RADIUS服务器密钥、超时定时器时间长度、计费选项及地址池
BRAS(config)#radius-serverkeysecret
BRAS(config)#aaaaccountingpppdefaultwait-startradius
BRAS(config)#radius-serverdead-time1
ESR(config)#iplocalpool110.11.10.10010.11.10.150
//配置Radius组(一般用于有域名用户)
(5)建立并进入radius认证群组
ESR(config)#aaagroupserverradiusgroup1
(6)指定RadiusServer的IP地址,并指定为主认证和主计费
ESR(config-radius-group-group1)#Radius-serverhost192.168.1.2pri-authpri-acct
(7)配置RADIUS服务器密钥、超时定时器时间长度及认证计费选项
ESR(config-radius-group-group1)#Radius-serverkeysecret
ESR(config-radius-group-group1)#Radius-serverdead-time1
ESR(config)#aaaauthenticationpppauth1groupgroup1
ESR(config)#aaaaccountingpppacc1wait-startgroupgroup1
ESR(config)#ispdomainhuawei
ESR(config-isp-huawei)#ispauthenticationauth1
ESR(config-isp-huawei)#ispaccountingacc1
ESR(config-isp-huawei)#iplocalpool210.11.10.15110.11.10.200(注意ISP域地址池与全局地址池不要冲突)
?
接入用户配置实例---使用本地验证,验证失败时使用RADIUS验证
1.组网说明
组网图2所示,要求:
先用本地数据库进行验证,如果验证失败,再使用RADIUS服务器进行验证。
所有用户都需要计费。
RADIUS服务器129.7.66.66为主服务器,端口号为1000和1001。
RADIUS服务器129.7.66.67为辅服务器,端口号为默认值1812和1813。
对用户进行实时计费,间隔为5min。
2.配置步骤
(1)启动AAA
BRAS(config)#aaa-enable
(2)配置本地优先验证
BRAS(config)#aaaauthenticationlocal-first
(3)配置PPP用户的缺省方法表
BRAS(config)#aaaauthenticationpppdefaultradius
(4)配置RADIUS服务器IP地址和端口,主服务器使用指定端口号,从服务器使用默认端口号。
BRAS(config)#radius-serverhost129.7.66.66auth-port1000acct-port1001pri-authpri-acct
BRAS(config)#radius-serverhost129.7.66.67
(5)配置RADIUS服务器密钥、重传次数、超时定时器时间长度
BRAS(config)#radius-serverkeysecret
BRAS(config)#radius-serverretransmit5
BRAS(config)#radius-serverdead-time1
(6)配置实时计费,间隔为5min
BRAS(config)#radiusrealtime-acct-timeout5
六、常见FAQ
?
RADIUS计费报文(code=4)中Acct-Status-Type属性值的含义
在Code=4的计费报文中:
Acct-Status-Type=1,表示计费开始。
Acct-Status-Type=2,表示计费结束。
Acct-Status-Type=3,表示实时计费。
?
ISN8850AAA全局下配置的地址池和域下配置的地址池顺序说明
1、V500R002B03系列版本地址分配原则:
1)、对于属于某个ISP用户的地址池具体分配策略为:
设RadiusServer下发的地址池号为n,首先在该用户所属ISP下的地址池n中分配地址,如果该ISP下无此地址池或分配失败,则以该用户所在接口(应为VT)下所配的缺省地址池号从该ISP下的相应地址池中分配地址,如果再分配失败,则依次从该用户所属的ISP下的所有地址池中分配地址,直到成功为止。
2)、对于不属于任何ISP的用户的地址池具体分配策略为:
设RadiusServer下发的地址池号为n,首先在全局下的地址池n中分配地址,如果全局下无此地址池或分配失败,则以该用户所在接口(应为VT)下所配的缺省地址池号从全局下的相应地址池中分配地址,如果再分配失败,则依次从全局下的所有地址池中分配地址,直到成功为止。
2、V500R005B01系列版本地址分配原则:
1)、从用户所在的ISP(如果没有ISP,就是全局地址池,下同)下的地址池,根据radius报文中指定的地址池索引或地址池名分配地址,如果没有下发地址池索引和地址池名,或者在指定的地址池中分配不到地址,则按照2)分配地址。
2)、从接入用户所在的虚模板下配置的地址池分配地址,如果没有配置地址池,或分配不到地址,则按照3)分配地址。
3)、从用户所在的ISP下的地址池,从当前正在分配地址的地址池开始(注意:
当前正在分配地址的地址池,并不一定是第一个地址池),依次分配地址,如果仍然分配不到,则按照4)分配地址。
4)、从用户所在的ISP下的地址池,按照pool索引的顺序,从第一个地址池开始,依次分配地址。
如果分配不到地址,按照5)分配地址。
5)、如果在ISP下没有配置地址池,并且是917及其之后版本则在全局地址池中分配地址,否则地址分配失败。
?
如何查询RADIUS报文中的Timeout时间
查询RADIUS报文中的Timeout值有以下两种情况:
(1)如果使用了默认值,可以使用showaaaconfigall命令查询,系统默认值为15s。
(2)如果更改了默认值(可选范围为5s~60s),可使用showrunning-config命令查询。
?
存在多个备用RADIUSServer时查找的顺序是怎样的
(1)8850按配置中的顺序查找备用RADIUSServer,即查找主用服务器之后的第一个备用服务器。
升级会员 