数通入门基本业务配 置.docx
《数通入门基本业务配 置.docx》由会员分享,可在线阅读,更多相关《数通入门基本业务配 置.docx(93页珍藏版)》请在冰豆网上搜索。
![数通入门基本业务配 置.docx](https://file1.bdocx.com/fileroot1/2022-12/13/ca2d1af6-2059-43f1-b7ff-72149b6343b0/ca2d1af6-2059-43f1-b7ff-72149b6343b01.gif)
数通入门基本业务配置
英文缩写:
BRAS(BroadbandRemoteAccessServer)
中文译名:
宽带远程接入服务器
MA5200G系列:
MA5200G-16MA5200G-8
ME60系列:
ME60-16、ME60-8、ME60-X16、ME60-X8
AAA简介
本节介绍MA5200GAAA功能,具体内容包括:
● 认证功能
● 授权功能
● 计费功能
● RADIUS协议
● HWTACACS协议
● RADIUS下发ACL
● 参考信息
2.1.1认证功能
认证功能验证用户是否可以获得访问权。
用户接入网络时,MA5200G可通过用户名和密码对用户的身份进行认证。
MA5200G支持四种认证模式,如表2-1所示。
表2-1MA5200G的认证模式
认证模式
说明
不认证
表示运营商对用户非常信任,MA5200G对用户不进行合法性检查。
一般情况下不建议采用此模式。
本地认证
在MA5200G上配置用户信息(用户名、密码及其他属性等),由MA5200G完成对用户的认证。
本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
RADIUS认证
MA5200G作为客户端,与RADIUS服务器通信。
在RADIUS服务器上配置用户信息,MA5200G将用户名和密码通过RADIUS协议传送给RADIUS服务器,RADIUS服务器完成对用户的认证并将认证结果反馈给MA5200G。
HWTACACS认证
MA5200G作为客户端,与HWTACACS服务器通信。
在HWTACACS服务器上配置用户信息,MA5200G将用户名和密码通过HWTACACS协议传送给HWTACACS服务器,HWTACACS服务器完成对用户的认证并将认证结果反馈给MA5200G。
2.1.2授权功能
指定用户可以使用哪些服务。
MA5200G支持四种授权模式,如表2-2所示。
表2-2MA5200G的授权模式
授权模式
说明
直接授权
表示运营商对用户非常信任,直接授权。
本地授权
根据MA5200G配置的用户属性对用户进行授权。
RADIUS认证成功后授权
RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
HWTACACS授权
由HWTACACS服务器对用户进行授权。
2.1.3计费功能
计费模式
MA5200G支持三种计费模式,如表2-3所示。
表2-3MA5200G的计费模式
计费模式
说明
不计费
MA5200G不对用户进行计费。
RADIUS计费
MA5200G将计费报文送往RADIUS服务器,由RADIUS服务器完成对用户的计费。
HWTACACS计费
MA5200G将计费报文送往HWTACACS服务器,由HWTACACS服务器完成对用户的计费。
2.1.4RADIUS协议
AAA可用多种协议来实现,但最常用的是RADIUS(RemoteAuthenticationDialInUserService)协议。
RADIUS是MA5200G和RADIUS服务器之间的应用层通信协议,规定了MA5200G与RADIUS服务器之间传递用户信息和计费信息的过程和报文格式。
RADIUS协议具备如下特点:
● RADIUS使用UDP作为传输协议,具有良好的实时性。
● RADIUS支持重传机制和备用服务器机制,从而有较好的可靠性。
● RADIUS实现比较简单,适用于大用户量时服务器端的多线程结构。
RADIUS消息流程
RADIUS协议基于C/S架构,其认证的消息流程如图2-1所示。
计费流程和认证/授权流程与之类似。
图2-1RADIUS消息流程
1. 当用户接入MA5200G时,首先会将用户名和口令发送给MA5200G。
2. MA5200G作为RADIUS客户端,向RADIUS服务器发送认证请求。
3. RADIUS服务器接收到合法的请求后,对用户名和密码进行认证。
4. 完成认证后,RADIUS服务器把所需的用户授权信息返回给MA5200G。
MA5200G和RADIUS服务器之间认证信息的传递通过密钥的参与来完成,即加密以后才在网络上传递,以避免用户信息在不安全的网络上被窃取。
2.1.5HWTACACS协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。
该协议与RADIUS协议类似,主要是通过C/S模式与HWTACACS服务器通信,来实现多种用户的AAA功能。
与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。
HWTACACS协议与RADIUS协议的主要区别如表2-5所示。
表2-5HWTACACS协议与RADIUS协议的比较
HWTACACS
RADIUS
使用TCP,网络传输更可靠
使用UDP
对报文主体全部进行加密
只是对认证报文中的密码字段进行加密
认证与授权分离
认证与授权一起处理
适于进行安全控制
适于进行计费
支持对MA5200G的配置命令进行授权使用
不支持
利用HWTACACS协议认证与授权分离的特性,可以使用RADIUS进行认证,而使用HWTACACS进行授权。
2.2配置AAA方案
2.2.1建立配置任务
应用环境
MA5200G中的AAA方案包括认证方案、授权方案、计费方案、记录方案。
AAA方案规定了MA5200G对用户进行认证、授权、计费、记录的模式(本地处理、远端处理或者不处理),以及相关的其他参数。
当配置了AAA方案后,可以在配置域时引用已配置的AAA方案(不包括记录方案),MA5200G根据AAA方案的配置对该域的用户进行认证、授权、计费。
对于记录方案,可以在AAA视图下配置对不同事件所使用的记录方案。
前置任务
在配置AAA方案之前,需完成以下任务。
● 如果使用RADIUS认证、计费模式,需要配置RADIUS服务器
● 如果使用HWTACACS认证、计费、授权或记录模式,需要配置HWTACACS服务器
数据准备
在配置AAA方案之前,请根据网络规划,准备好以下数据。
序号
数据
1
认证方案名称、认证模式、用户认证失败后的处理策略
2
计费方案名称、计费模式、实时计费的时间间隔
3
(可选)开始计费失败的处理策略、实时计费失败的处理策略
4
(可选)授权方案名称、授权模式
5
(可选)记录方案名称、HWTACACS服务器模板的名称
6
(可选)操作用户的管理级别认证方法
7
(可选)动态重授权的用户组名
配置步骤
要完成配置AAA方案的任务,需要执行如下的配置过程。
序号
过程
1
配置认证方案
2
配置计费方案
3
(可选)配置授权方案
4
(可选)配置记录方案
5
(可选)配置动态重授权
2.2.2配置认证方案
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令aaa,进入AAA视图。
步骤3 执行命令authentication-schemescheme-name,创建认证方案。
步骤4 执行命令authentication-mode{radius|hwtacacs|local|none}
配置认证模式。
----结束
认证模式
MA5200G支持的认证模式包括RADIUS认证、HWTACACS认证、本地认证和不认证。
另外,MA5200G支持二次认证,如果采用第一种认证模式进行认证时无响应(包括远端服务器无响应或者本地未配置该用户等),可以改用另外一种认证模式进行认证。
MA5200G中固定有一个default0认证方案和一个default1认证方案,不能删除,只能修改。
缺省情况下,default0认证方案的认证模式为不认证,default1的认证模式为RADIUS认证,自定义的认证方案的认证模式为RADIUS认证。
配置:
aaa进入AAA模式
authentication-schemehuawei配置认证方案名称huawei
authentication-moderadius配置认证模式为radius认证
authentication-modehwtacacs配置认证模式为hwtacacs认证
authentication-modelocal配置认证模式为本地认证
authentication-modenone配置认证模式为不认证
2.2.3配置计费方案
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令aaa,进入AAA视图。
步骤3 执行命令accounting-schemescheme-name,创建计费方案。
步骤4 执行命令accounting-mode{hwtacacs|none|radius},配置计费模式。
----结束
计费模式
MA5200G支持的计费模式包括RADIUS计费、HWTACACS计费和不计费。
MA5200G中固定有一个default0计费方案和一个default1计费方案,不能删除,只能修改。
缺省情况下,default0计费方案的计费模式为不计费,default1的计费模式为RADIUS计费,自定义计费方案的缺省计费模式为RADIUS计费。
配置:
aaa
accounting-schemehuawei配置计费方案名称huawei
accounting-moderadius配置计费模式为radius计费
accounting-modehwtacacs配置计费模式为hwtacacs计费
accounting-modenone配置计费模式为不计费
2.2.4(可选)配置授权方案
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令aaa,进入AAA视图。
步骤3 执行命令authorization-schemescheme-name,创建授权方案。
步骤4 执行命令authorization-mode{hwtacacs|local|},配置授权模式。
----结束
RADIUS认证与授权是在一起的,因此,使用RADIUS服务器对用户授权时,不需配置授权方案;HWTACACS认证与授权分离,因此,使用HWTACACS服务器对用户授权时,必须配置授权方案,并将授权方案绑定在用户域下。
MA5200G中没有缺省的授权方案。
配置:
aaa
authorization-schemehuawei配置授权方案名称huawei
authorization-modehwtacacs配置授权模式为hwtacacs授权
authorization-modelocal配置授权模式为本地授权
authorization-modenone配置授权模式为直接授权
2.3配置RADIUS服务器
2.3.1建立配置任务
应用环境
当AAA使用RADIUS协议时,需要配置RADIUS服务器。
MA5200G中使用RADIUS服务器组对RADIUS服务器进行管理,RADIUS服务器组是一组具有相同属性(IP地址和端口号除外)、采用主备备份或负荷分担方式工作的RADIUS服务器的集合。
前置任务
无
数据准备
在配置RADIUS服务器之前,请根据网络规划,准备好以下数据。
序号
数据
1
RADIUS服务器组名称
2
(可选)RADIUS服务器的选择算法
3
RADIUS认证服务器的IP地址、端口号
4
RADIUS计费服务器的IP地址、端口号
5
(可选)RADIUS服务器的协议版本
6
(可选)RADIUS服务器的密钥
7
(可选)RADIUS服务器的用户名格式
8
(可选)RADIUS服务器的流量单位
9
(可选)RADIUS服务器应答超时时间、RADIUS报文的重传次数
10
(可选)是否启用RADIUS属性转换功能
11
(可选)是否在RADIUS报文中使用Class属性携带CAR值
12
(可选)NAS-IP-Address属性值
配置步骤
要完成配置RADIUS服务器的任务,需要执行如下的配置过程。
序号
过程
1
创建RADIUS服务器组
2
配置RADIUS认证/计费服务器
3
(可选)配置RADIUS服务器的选择算法
4
(可选)配置RADIUS服务器的协商参数
5
(可选)配置RADIUS属性禁用
6
(可选)配置使用Class属性携带CAR值
7
(可选)配置RADIUS服务器源接口
8
(可选)配置NAS-IP-Address属性值
9
(可选)配置RADIUS授权服务器
10
(可选)配置RADIUS服务器状态参数
2.3.2创建RADIUS服务器组
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令radius-servergroupgroup-name,创建RADIUS服务器组。
----结束
创建RADIUS服务器组后,系统进入RADIUS视图。
如果RADIUS服务器组已经存在,则执行上述步骤直接进入RADIUS视图。
MA5200G中一共可配置1024个RADIUS服务器组。
2.3.3配置RADIUS认证/计费服务器
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令radius-servergroupgroup-name,进入RADIUS视图。
步骤3 执行命令radius-serverauthentication{ip-address}port[weightweight-value],配置RADIUS认证服务器。
或执行命令radius-serveraccounting{ip-address}port[weightweight-value],配置RADIUS计费服务器。
如:
radius-serverauthentication202.101.224.2171645weight0
radius-serveraccounting202.101.224.2171646weight0
----结束
配置RADIUS认证/计费服务器需要指定以下参数:
● 认证/计费服务器的IP地址;
● 认证/计费服务器的端口号,缺省值为1812和1813;
● 认证/计费服务器的权重,只对负荷分担方式有效,缺省为0。
● 计费服务器的计费结束报文重传次数。
RADIUS认证服务器和计费服务器可以使用相同的IP地址,即同一台服务器既是认证服务器也是计费服务器。
2.3.4(可选)配置RADIUS服务器的选择算法
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令radius-servergroupgroup-name,进入RADIUS视图。
步骤3 执行命令radius-serveralgorithm{loading-share|master-backup},配置RADIUS服务器的选择算法。
----结束
当RADIUS服务器组中的认证/计费服务器多于一个时,可配置选择服务器的算法,包括负荷分担和主备备份两种。
● 负荷分担:
MA5200G根据各服务器的权重,按比例进行负荷分配。
● 主备备份:
配置的第一个服务器为主用服务器,其余的为备用服务器。
缺省情况下,RADIUS服务器的选择算法为主备备份。
2.3.5(可选)配置RADIUS服务器的协商参数
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令radius-servergroupgroup-name,进入RADIUS视图。
步骤3 执行命令radius-servertype{standard|plus10|plus11},配置RADIUS服务器的协议版本。
或执行命令radius-servershared-keykey-string,配置RADIUS服务器的密钥。
或执行命令radius-serveruser-name{domain-included|original},配置RADIUS报文用户名格式。
或执行命令radius-servertraffic-unit{byte|kbyte|mbyte|gbyte},配置RADIUS报文流量单位。
或执行命令radius-server{timeoutseconds|retransmittimes}*,配置RADIUS报文重传参数。
----结束
RADIUS服务器的协商参数是指RADIUS服务器和MA5200G通信时,双方对RADIUS协议以及消息格式的参数约定,主要包括RADIUS协议版本、密钥、用户名格式、流量单位、重传参数等。
协议版本
MA5200G支持标准RADIUS、RADIUS+1.0、RADIUS+1.1协议。
● IPHotel型服务器支持RADIUS+1.0协议。
● Portal型服务器支持RADIUS+1.1协议。
● 缺省情况下,RADIUS服务器的协议版本为标准RADIUS。
密钥
密钥用于加密用户口令和生成回应认证符(ResponseAuthenticator)。
RADIUS发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。
为了确保认证双方的身份合法性,要求MA5200G上的密钥与RADIUS服务器上的密钥相同。
密钥对大小写敏感。
MA5200G可以对每个RADIUS服务器的密钥进行设置。
缺省情况下,RADIUS服务器的密钥为huawei。
用户名格式
MA5200G中的用户名格式为“user@domain”。
某些RADIUS服务器只支持纯用户名格式,而有的服务器支持包含域名的格式。
根据RADIUS服务器的不同,需设置MA5200G传送给RADIUS服务器的用户名中是否包含域名。
缺省情况下,RADIUS服务器的用户名格式中包含域名。
流量单位
各种RADIUS服务器使用的流量单位不尽相同,MA5200G支持多种流量单位,以保证能和各种RADIUS服务器的设置相同。
MA5200G中支持字节、千字节、兆字节、吉字节四种流量单位。
缺省情况下,RADIUS服务器的流量单位为字节。
本配置对非字节的流量单位以及使用标准RADIUS协议的服务器无效。
重传参数
当MA5200G向RADIUS服务器发送报文后,如果在指定时间内未收到服务器的响应,MA5200G会重传报文,以避免因短暂的网络拥塞导致认证/计费信息丢失。
RADIUS服务器的重传参数包括超时等待时间和重传次数。
缺省情况下,超时等待时间为5秒,重传次数为3。
2.3.6(可选)配置RADIUS属性禁用
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令radius-servergroupgroup-name,进入RADIUS视图。
步骤3 执行命令radius-attributedisableattr-description{receive|send}*,配置RADIUS属性禁用。
----结束
RADIUS属性禁用功能配置在RADIUS服务器组下,因此只对该RADIUS服务器组下的RADIUS服务器生效。
每个组下最多可以配置64个属性禁用。
MA5200G支持同时配置发送和接收方的属性禁用。
2.3.7(可选)配置RADIUS属性转换功能
请在MA5200G上进行以下配置。
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令radius-servergroupgroup-name,进入RADIUS视图。
步骤3 执行命令