目录
第1章配置AAA.....................................................................................................................3-1
1.1 AAA简介............................................................................................................................3-1
1.1.1 认证功能..................................................................................................................3-1
1.1.2 授权功能..................................................................................................................3-2
1.1.3 计费功能..................................................................................................................3-2
1.2 配置步骤.............................................................................................................................3-3
1.2.1 进入AAA视图.........................................................................................................3-3
1.2.2 配置认证方案...........................................................................................................3-3
1.2.3 配置授权方案...........................................................................................................3-5
1.2.4 配置计费方案...........................................................................................................3-6
1.2.5 配置CAR级别.........................................................................................................3-8
1.2.6 配置记录方案...........................................................................................................3-8
1.3 显示和调试.........................................................................................................................3-9第2章配置RADIUS............................................................................................................3-11
2.1 RADIUS简介...................................................................................................................3-11
2.2 配置步骤...........................................................................................................................3-11
2.2.1 创建RADIUS服务器组.........................................................................................3-12
2.2.2 配置RADIUS服务器运算法则..............................................................................3-12
2.2.3 配置RADIUS认证服务器......................................................................................3-13
2.2.4 配置RADIUS计费服务器......................................................................................3-13
2.2.5 设置RADIUS服务器的协议版本...........................................................................3-14
2.2.6 设置RADIUS服务器的密钥..................................................................................3-14
2.2.7 设置RADIUS服务器的用户名格式;......................................................................3-15
2.2.8 设置RADIUS服务器的流量单位...........................................................................3-15
2.2.9 设置RADIUS服务器的重传参数...........................................................................3-15
2.2.10 设置RADIUS属性解释功能................................................................................3-16
2.2.11 指定RADIUS属性携带CAR...............................................................................3-16
2.2.12 设置RADIUS的NAS-Port属性格式...................................................................3-17
2.2.13 配置RADIUS授权服务器....................................................................................3-17
2.2.14 配置RADIUS客户端...........................................................................................3-17
2.3 显示和调试.......................................................................................................................3-18
2.4 配置实例...........................................................................................................................3-18第3章配置HWTACACS.....................................................................................................3-19
3.1 HWTACACS简介............................................................................................................3-19
3.2 配置步骤...........................................................................................................................3-20
3.2.1 创建HWTACACS服务器模板...............................................................................3-20
3.2.2 配置HWTACACS认证服务器...............................................................................3-21
3.2.3 配置HWTACACS授权服务器...............................................................................3-21
3.2.4 配置HWTACACS计费服务器...............................................................................3-21
3.2.5 配置HWTACACS服务器的密钥...........................................................................3-22
3.2.6 配置HWTACACS服务器的用户名格式................................................................3-22
3.2.7 配置HWTACACS服务器的流量单位....................................................................3-22
3.2.8 配置HWTACACS服务器的源IP地址..................................................................3-23
3.2.9 配置HWTACACS服务器的定时器.......................................................................3-23
3.3 显示和调试.......................................................................................................................3-24
3.4 配置实例...........................................................................................................................3-24第4章配置地址池................................................................................................................3-25
4.1 地址池简介.......................................................................................................................3-25
4.2 配置步骤...........................................................................................................................3-25
4.2.1 创建地址池............................................................................................................3-26
4.2.2 设置地址池属性.....................................................................................................3-26
4.2.3 设置地址池保护.....................................................................................................3-27
4.2.4 设置地址池租期.....................................................................................................3-28
4.2.5 配置DHCP服务器组.............................................................................................3-28
4.2.6 关联远端地址池和DHCP服务器组.......................................................................3-29
4.2.7 设置DHCP选项....................................................................................................3-29
4.2.8 设置VPN实例.......................................................................................................3-30
4.3 显示和调试.......................................................................................................................3-30第5章配置域.......................................................................................................................3-31
5.1 域简介..............................................................................................................................3-31
5.1.1 域概述....................................................................................................................3-31
5.1.2 域类型....................................................................................................................3-32
5.1.3 域类型应用举例.....................................................................................................3-33
5.2 配置步骤...........................................................................................................................3-34
5.2.1 创建域....................................................................................................................3-34
5.2.2 指定域的认证、授权和计费方案............................................................................3-35
5.2.3 指定域的RADIUS服务器组..................................................................................3-35
5.2.4 设置域的状态.........................................................................................................3-36
5.2.5 指定域的CAR级别...............................................................................................3-36
5.2.6 设置域的用户优先级..............................................................................................3-36
5.2.7 设置域的接入限制策略..........................................................................................3-37
5.2.8 设置域的强制Web认证服务器.............................................................................3-37
5.2.9 指定域的用户组.....................................................................................................3-38
5.2.10 设置域的闲置切断参数........................................................................................3-38
5.2.11 指定域的地址池...................................................................................................3-38
5.2.12 设置域的IP地址使用告警阈值............................................................................3-39
5.2.13 设置PPP用户强制认证方式...............................................................................3-39
5.2.14 设置域的时间段控制功能.....................................................................................3-39
5.2.15 设置域的时间段CAR功能...................................................................................3-40
5.2.16 设置域的基本增值业务........................................................................................3-40
5.2.17 指定域的HWTACACS服务器组.........................................................................3-41
5.2.18 指定域的COPS服务器组....................................................................................3-41
5.2.19 设置域的组播组模板............................................................................................3-41
5.2.20 设置域名解析方向...............................................................................................3-41
5.2.21 设置域的DNS服务器..........................................................................................3-42
5.2.22 设置域的IPTV流量整形模板..............................................................................3-42
5.3 显示和调试.......................................................................................................................3-42
5.4 配置实例...........................................................................................................................3-43
5.4.1 使用RADIUS服务器举例......................................................................................3-43
5.4.2 使用HWTACACS服务器举例...............................................................................3-44
5.5 故障排除...........................................................................................................................3-46
5.5.1 用户本地认证被拒绝..............................................................................................3-46
5.5.2 用户RADIUS认证被拒绝......................................................................................3-47
5.5.3 未配置认证但仍要对用户进行认证........................................................................3-47第6章配置BAS接口...........................................................................................................3-48
6.1 BAS接口简介...................................................................................................................3-48
6.2 配置步骤...........................................................................................................................3-48
6.2.1 进入接口的BAS视图............................................................................................3-49
6.2.2 设置BAS接口的接入用户类型..............................................................................3-49
6.2.3 设置BAS接口的名字............................................................................................3-51
6.2.4 设置BAS接口的接入设备类型..............................................................................3-51
6.2.5 设置BAS接口的阻塞状态.....................................................................................3-52
6.2.6 设置BAS接口的接入限制.....................................................................................3-52
6.2.7 设置BAS接口的ARP代理功能............................................................................3-53
6.2.8 设置BAS接口的DHCP广播功能.........................................................................3-53
6.2.9 设置BAS接口的认证方法.....................................................................................3-54
6.2.10 设置BAS接口的缺省域.......................................................................................3-55
6.2.11 设置BAS接口的漫游域.......................................................................................3-56
6.2.12 设置BAS接口的计费报文抄送功能....................................................................3-56
6.2.13 指定BAS接口的主机CAR级别..........................................................................3-57
6.2.14 设置BAS接口的用户CAR级别..........................................................................3-57
6.2.15 设置BAS接口的用户探测参数............................................................................3-57
6.2.16 设置BAS接口允许接入域...................................................................................3-58
6.2.17 设置信任客户端Option82信息...........................................................................3-58
6.2.18 设置BAS接口的VPN实例.................................................................................3-59
6.2.19 设置BAS接口的组播组模板...............................................................................3-60
6.2.20 设置IPTV流量整形开关......................................................................................3-60
6.3 显示和调试.......................................................................................................................3-61第7章配置ACL...................................................................................................................3-62
7.1 ACL简介..........................................................................................................................3-62
7.1.1 ACL概述...............................................................................................................3-62
7.1.2 ACL的分类............................................................................................................3-62
7.1.3 ACL的配置规则.....................................................................................................3-62
7.1.4 ACL的创建............................................................................................................3-64
7.1.5 ACL的步长设定.....................................................................................................3-64
7.1.6 基于接口的访问控制列表.......................................................................................3-64
7.1.7 基本访问控制列表..................................................................................................3-65
7.1.8 高级访问控制列表..................................................................................................3-65
7.1.9 Simple访问控制列表.............................................................................................3-65
7.1.10 ACL对分片报文的支持........................................................................................3-65
7.1.11 ACL生效时间段...................................................................................................3-66
7.2 配置内容...........................................................................................................................3-66
7.2.1 配置基于接口的访问控制列表...............................................................................3-66
7.2.2 配置基本访问控制列表..........................................................................................3-66
7.2.3 配置高级访问控制列表..........................................................................................3-67
7.2.4 配置Simple访问控制列表.....................................................................................3-67
7.2.5 删除访问控制列表..................................................................................................3-68
7.2.6 清除访问规则计数器..............................................................................................3-68
7.2.7 配置ACL步长.......................................................................................................3-68
7.2.8 配置ACL规则组的注释.........................................................................................3-68
7.2.9 创建时间段............................................................................................................3-68
7.3 显示和调试.......................................................................................................................3-69
7.4 配置实例...........................................................................................................................3-69第8章配置Web认证..........................................................................................................3-70
8.1 Web认证简介..................................................................................................................3-70
8.1.1 Web认证基本概念.................................................................................................3-70
8.1.2 Web认证组网........................................................................................................3-70
8.1.3 Web认证流程........................................................................................................3-71
8.2 配置步骤...........................................................................................................................3-72
8.2.1 配置Web认证服务器............................................................................................3-72
8.2.2 配置认证前域.........................................................................................................3-74
8.2.3 配置认证域............................................................................................................3-74
8.2.4 配置BAS接口.......................................................................................................3-74
8.2.5 配置ACL...............................................................................................................3-75
8.2.6 配置强制Web认证................................................................................................3-75
8.3 显示和调试.......................................................................................................................3-76
8.4 配置实例...........................................................................................................................3-76
8.4.1 二层Web认证举例................................................................................................3-76
8.4.2 三层Web认证举例................................................................................................3-79第9章配置强制Portal.........................................................................................................3-82
9.1 强制Portal简介...............................................................................................................3-82
9.2 配置步骤...........................................................................................................................3-82
9.2.1 设置强制Portal服务器的IP地址..........................................................................3-83
9.2.2 设置强制重定向次数限制.......................................................................................3-83
9.2.3 设置强制Portal服务器的URL..............................................................................3-83
9.3 显示和调试.......................................................................................................................3-84第10章配置二次地址分配...................................................................................................3-85
10.1 二次地址分配简介..........................................................................................................3-85
10.1.1 二次地址分配概述...............................................................................................3-85
10.1.2 二次地址分配实现...............................................................................................3-85
10.2 配置步骤.........................................................................................................................3-86
10.2.1 设置短租期二次地址分配功能.............................................................................3-86
10.2.2 打开域的二次地址分配功能开关..........................................................................3-87
10.3 显示和调试.....................................................................................................................3-87第11章配置多业务选择.......................................................................................................3-88
11.1 多业务选择简介..............................................................................................................3-88
11.1.1 SSG简介.............................................................................................................3-88
11.1.2 SIG简介..............................................................................................................3-89
11.1.3 COPS简介..........................................................................................................3-90
11.2 配置业务策略.................................................................................................................3-91
11.2.1 配置业务策略名称...............................................................................................3-91
11.2.2 配置业务策略的计费方案.....................................................................................3-91
11.2.3 配置业务策略的流量管理策略.............................................................................3-92
11.2.4 配置业务策略的闲置切断参数.............................................................................3-92
11.2.5 配置流量查询时长...............................................................................................3-92
11.3 配置COPS服务器.........................................................................................................3-92
11.3.1 创建COPS服务器组...........................................................................................3-92
11.3.2 配置COPS服务器..............................................................................................3-93
11.3.3 配置COPS服务器流保持时间............................................................................3-93
11.3.4 配置COPS服务器组报文密钥............................................................................3-94
11.3.5 配置COPS服务器组状态....................................................................................3-94
11.3.6 配置Open超时时间............................................................................................3-94
11.3.7 配置COPS报文发送源接口................................................................................3-94
11.3.8 配置设备的COPS客户端标识............................................................................3-95
11.4 配置BOD业务...............................................................................................................3-95
11.4.1 创建接入业务.......................................................................................................3-96
11.4.2 配置接入业务的属性............................................................................................3-96
11.5 显示和调试.....................................................................................................................3-97
11.6 配置实例.........................................................................................................................3-97第12章配置用户定位........................................................................................................3-100
12.1 用户定位简介...............................................................................................................3-100
12.1.1 DHCP Option82简介........................................................................................3-100
12.1.2 PPPoE+简介.....................................................................................................3-101
12.1.3 VBAS简介.........................................................................................................3-101
12.1.4 SVLAN简介.......................................................................................................3-101
12.2 配置RADIUS上报NAS-port-id属性的格式................................................................3-101
12.3 配置PPPoE+...............................................................................................................3-102
12.4 配置DHCP Option82...................................................................................................3-102
12.5 配置VBAS...................................................................................................................3-102
12.6 配置SVLAN.................................................................................................................3-102
12.7 配置实例.......................................................................................................................3-103
插图目录
图5-1 域示意图............................................................................................................3-31图5-2 用户接入配置实例1组网图................................................................................3-43图5-3 用户接入配置实例2组网图................................................................................3-45图8-1 Web认证的典型组网..........................................................................................3-71图8-2 二层Web认证组网图.........................................................................................3-76图8-3 三层Web认证组网图.........................................................................................3-80图11-1 多业务选择组网图............................................................................................3-88图11-2 安全定制网关--运营商组网图............................................................................3-89图11-3 多业务选择配置组网图.....................................................................................3-98
表格目录
表1-1 MA5200G的认证模式..........................................................................................3-1表1-2 MA5200G的授权模式..........................................................................................3-2表1-3 MA5200G的计费模式..........................................................................................3-2表3-1 HWTACACS协议与RADIUS协议.....................................................................3-19表4-1 地址池保护方法..................................................................................................3-27表6-1 认证方法说明.....................................................................................................3-54表7-1 访问控制列表.....................................................................................................3-62
第1章配置AAA
本章包括以下内容:
z AAA简介
z配置步骤
z显示和调试
1.1 AAA简介
AAA(Authentication、Authorization and Accounting)是MA5200G提供的对用户
进行认证、授权、计费的功能。
z认证:验证用户是否可以获得访问权。
z授权:指定用户可以使用哪些服务。
z计费:记录用户使用网络资源的情况。
1.1.1 认证功能
用户上线时,MA5200G可以通过用户名和密码对用户的身份进行认证。MA5200G
支持认证模式如表1-1所示。
表1-1MA5200G的认证模式
认证模式说明
不认证表示运营商对用户非常信任,MA5200G对用户不进行合法性检查。一般情况下不建议采用此方式。
本地认证在MA5200G上配置用户信息(用户名、密码及其他属性等),由MA5200G 完成对用户的认证。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。本地认证只适用于对本地管理用户进行认证,终端用户不涉及本地认证。
远端认证支持通过RADIUS协议或HWTACACS协议进行远端认证。
由MA5200G作为客户端,与远端服务器(RADIUS或HWTACACS)通信。在远端服务器上配置用户信息,MA5200G将用户名和密码通过RADIUS协议或HWTACACS协议传送给远端服务器,由服务器完成对用户的认证并将认证结果反馈给MA5200G。
说明:
RADIUS:Remote Authentication Dial In User Service
HWTACACS:HUAWEI Terminal Access Controller Access Control System
1.1.2 授权功能
MA5200G根据认证的结果为用户进行授权。MA5200G支持授权模式如表1-2所示。
表1-2MA5200G的授权模式
授权模式说明
直接授权表示运营商对用户非常信任,直接授权通过。
本地授权根据MA5200G配置的用户属性对用户进行授权。
RADIUS认证成功后授权RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
HWTACACS
授权
由HWTACACS服务器对用户进行授权。
说明:
本地授权模式只能用于对本地管理用户授权认证。终端用户只能使用直接授权模式
或者RADIUS、HWTACACS授权模式。
1.1.3 计费功能
MA5200G支持计费模式如表1-3所示。
表1-3MA5200G的计费模式
计费模式说明
不计费 MA5200G不对用户进行计费。
远端计费 MA5200G支持通过RADIUS服务器或HWTACACS服务器进行远端计费。
在远端计费模式中,正常情况下MA5200G在用户上线和下线时各生成一份计费报
文传送给远端服务器,远端服务器根据计费报文中的信息(上下线时间、使用流量
等)对用户进行计费。
在用户在线过程中,如果MA5200G和远端服务器的通信中断,则远端服务器接收
不到用户下线时的计费报文,导致用户在线期间计费异常。
MA5200G支持实时计费功能。实时计费功能是指用户在线过程中,MA5200G定时
生成计费报文传送给远端服务器。通过实时计费功能,MA5200G可以在其和远端
服务器通信中断时,最大程度的减少计费异常的时间。
1.2 配置步骤
配置AAA包括以下内容:
z进入AAA视图
z配置认证方案
z配置计费方案
z配置CAR级别
z配置记录方案
1.2.1 进入AAA视图
关于AAA的配置均在AAA视图下进行。
请在系统视图下进行下列配置。
操作命令
进入AAA视图aaa
1.2.2 配置认证方案
AAA使用认证方案来管理认证功能。在使用认证功能时,您首先需要创建认证方案,
然后配置该认证方案的认证模式,最后在配置域或者用户时引用该认证方案即可。
1. 创建认证方案
本任务用于创建一个认证方案并进入该认证方案视图,如果该认证方案已经存在,
则直接进入该认证方案视图。
请在AAA视图下进行下列配置。
操作命令
创建认证方案authentication-scheme scheme-name
删除认证方案undo authentication-scheme scheme-name
删除认证方案时,它必须已经存在且没有被使用。
系统固定有一个default0认证方案和一个default1认证方案,不能删除,只能修改。
2. 配置认证模式
创建了认证方案后,需要配置它的认证模式。
MA5200G支持两次认证,即如果首次认证时没有响应,可以改用另外一种认证模式进行认证。因此认证方案的认证模式可以有以下几种:
z本地认证
z先本地认证后RADIUS认证
z先本地认证后HWTACACS认证
z不认证
z RADIUS认证
z先RADIUS认证后本地认证
z先RADIUS认证后不认证
z HWTACACS认证
z先HWTACACS认证后本地认证
z先HWTACACS认证后不认证
说明:
本地认证只能用于对本地管理用户进行认证,对于终端用户认证,则不要涉及本地认证。
请在认证方案视图下进行下列配置。
操作命令
设置认证模式authentication-mode { hwtacacs | hwtacacs-local | hwtacacs-none | local | local-hwtacacs |
local-radius | none | radius | radius-local |
radius-none }
缺省情况下,自定义的认证方案的认证模式为RADIUS认证,default0认证方案的认证模式为不认证,default1的认证模式为RADIUS认证。
只有在首次认证没有响应时,MA5200G才会尝试另一种认证模式;如果首次认证失败(即认证不通过时),则MA5200G不会再次尝试,用户不能使用网络资源。
3. 配置认证失败的处理策略
本任务通常在有PPP认证用户的域中使用,主要目的是为了使用户在PPP认证失败后,可以再次通过Web认证等方式进行认证。此时可将用户认证失败后的处理策略配置为online,同时配置域名为Web认证的认证前缺省域(默认为default0),一般该域通过ACL配置用户只允许访问Web认证服务器。如此PPP认证用户就可以再次访问Web认证服务器进行认证。
请在认证方案视图下进行下列配置。
操作命令
配置用户认证失败后的处理策略authening authen-fail { offline | online authen-domain domain-name }
缺省情况下,用户认证失败后,系统使用户直接下线。
1.2.3 配置授权方案
AAA使用授权方案来管理授权功能。在使用授权功能时,您首先需要创建授权方案,
然后配置该授权方案的授权模式,最后在配置域时引用该授权方案即可。
1. 创建授权方案
本任务用于创建一个授权方案并进入该授权方案视图,如果该授权方案已经存在,
则直接进入该授权方案视图。
不同的域用户可对应不同的授权方案。系统最多可以配置32个授权方案。
请在AAA视图下进行下列配置。
操作命令
创建授权方案authorization-scheme scheme-name
删除授权方案undo authorization-scheme scheme-name
删除授权方案时,它必须已经存在且没有被使用。
系统固定有一个default授权方案,不能删除,只能修改。
2. 配置授权模式
创建了授权方案后,需要配置它的授权模式。
授权模式有四种:HWTACACS授权、本地授权、if-authenticated授权、直接授权。
当选择了HWTACACS授权模式后,可以在其余三种授权模式中选择一种作为第二
授权模式,即如果HWTACACS服务器无响应时,MA5200G可使用第二授权模式
进行授权。
请在授权方案视图下进行下列配置。
操作命令
设置授权模式authorization-mode { hwtacacs [ if-authenticated | local | none ] | if-authenticated | local | none }
授权模式必须配置,没有缺省设置。
1.2.4 配置计费方案
AAA使用计费方案来管理计费功能。在使用计费功能时,您首先需要创建计费方案,
然后配置该计费方案的计费模式、实际计费功能以及各种失败处理策略,最后在配
置域时引用该计费方案即可。
1. 创建计费方案
本任务用于创建一个计费方案并进入该计费方案视图,如果该计费方案已经存在,
则直接进入该计费方案视图。
请在AAA视图下进行下列配置。
操作命令
创建计费方案accounting-scheme scheme-name
删除计费方案undo accounting-scheme scheme-name
删除计费方案时,它必须已经存在且没有被使用。
系统固定有一个default0计费方案和一个default1计费方案,不能删除,只能修改。
缺省情况下,域的计费方案为default1,但是default0域的缺省计费方案为default0。
2. 配置计费模式
创建了计费方案后,需要配置它的计费模式。
MA5200G支持以下几种计费模式:
z HWTACACS计费
z不计费
z RADIUS计费
请在计费方案视图下进行下列配置。
操作命令
设置计费模式accounting-mode { hwtacacs | none | radius }
缺省情况下,自定义的计费方案的计费模式为RADIUS计费。
缺省情况下,default0计费方案的计费模式为不计费,default1计费方案的计费模式
为RADIUS计费。
3. 配置实时计费功能
如“1.1.3 计费功能”中所述,通过实时计费功能,MA5200G可以在其和远端服务
器通信中断时,最大程度的减少计费异常的时间。
本任务用于启用认证方案的实时计费功能,并配置实时计费的时间间隔。
请在计费方案视图下进行下列配置。
操作命令
启用实时计费功能并配置实时计费
accounting interim interval interval [ second ]
的时间间隔
恢复缺省值undo accounting interim interval
缺省情况下,实时计费功能关闭。启用实时计费功能后,实时计费的时间间隔缺省为5分钟。
4. 配置开始计费失败的处理策略
在远端计费中,如果用户上线时,由于网络异常等原因,MA5200G向远端服务器发送的开始计费报文得不到远端服务器的响应,则MA5200G认为开始计费失败,此时MA5200G将按操作员配置的处理策略进行处理。
本任务用于配置开始计费失败时的处理策略,可以有以下几种:
z online:保持用户的在线状态。
z offline:切断用户连接,使用户下线。
请在计费方案视图下进行下列配置。
操作命令
配置开始计费失败的处理策略accounting start-fail { offline | online }
恢复缺省值undo accounting start-fail
缺省情况下,开始计费失败后,MA5200G切断用户连接,使用户下线。
5. 配置实时计费失败的处理策略
在远端计费中,如果用户在线时,由于网络异常等原因,MA5200G向远端服务器发送的实时计费报文得不到远端服务器的响应,则MA5200G认为实时计费失败,此时将按配置的处理策略进行处理。
本任务用于配置实时计费失败时的处理策略以及确认为实时计费失败的报文重传次数,处理策略可以有以下几种:
z online:保持用户的在线状态。
z offline:切断用户连接,使用户下线。
请在计费方案视图下进行下列配置。
操作命令
配置实时计费失败的处理策略accounting interim-fail { max-times times | offline | online }
恢复缺省值undo accounting interim-fail
缺省情况下,实时计费功能关闭。启用实时计费后,实时计费失败的报文重传次数
缺省为3。实时计费失败后,MA5200G切断用户连接,使用户下线。
说明:
如果MA5200G向RADIUS服务器发送停止计费报文失败,则MA5200G向本地AAA
模块发送停止计费报文。
1.2.5 配置CAR级别
CAR(Committed Access Rate)用于限制用户访问网络时的速率。MA5200G支持
32个CAR级别,您可以针对每个级别定制其上下行的平均速率和峰值速率,然后
在配置域或者用户时引用某个CAR级别即可。
请在系统视图下进行下列配置。
操作命令
配置CAR级别user-car car-level{ up { disable | up-average-rate [ up-peak-rate ] } | down { disable | down-average-rate [ down-peak-rate ] } } *
恢复缺省值undo user-car [ level ]
缺省情况下,每个CAR级别的上下行CAR限制均使能,平均速率为10240kbps,
峰值速率为51200kbps。若设置了平均速率,则缺省峰值速率为平均速率的5倍。
1.2.6 配置记录方案
MA5200G支持将系统操作、连接记录、命令输入等事件上报HWTACACS服务器
的功能。系统根据事件中记录编号查找全局记录方案集,找到对应的记录方案后,
向其中定义的合法HWTACACS组发送记录。
1. 创建记录方案
本任务用于创建记录方案并进入该记录方案视图。
请在AAA视图下进行下列配置。
操作命令
创建记录方案recording-scheme record-name
删除记录方案undo recording-scheme record-name
2. 设置记录方案中的HWTACACS组
本任务用于设置记录方案中的HWTACACS组。配置该操作前,必须先在系统视图
下使用hwtacacs-server template命令配置HWTACACS服务器模板。
请在记录方案视图下进行下列配置。
操作命令
设置记录方案的HWTACACS组recording-mode hwtacacs tacgroup-name
删除相应方案下的HWTACACS组undo recording-mode
3. 设置事件发送的记录方案
本任务用于设置事件发送的记录方案。
请在AAA视图下进行下列配置。
操作命令
设置系统事件记录方案system recording-scheme record-name
删除系统事件记录方案undo system recording-scheme
设置连接事件记录方案outbound recording-scheme record-name
删除连接事件记录方案undo outbound recording-scheme
设置命令事件记录方案cmd recording-scheme record-name
删除命令事件记录方案undo cmd recording-scheme
1.3 显示和调试
在完成上述配置后,在任意视图下执行display命令可以显示配置后AAA的运行情
况,验证配置的效果。
请在任意视图下进行下列配置。
操作命令
显示用户异常下线记录display aaa abnormal-offline-record [ domain_name domain-name | offline-reason offline-reason | slot
slot-number | [ interface [ vlan-id vlan-id | pvc vci/vpi ] | mac-address mac-address | time begin-time end-time [ date begin-date end-date ] | username user-name | user-type user-type] * ]
显示AAA的全局配置信息display aaa configuration
显示用户下线记录display aaa offline-record [ domain_name
domain-name | offline-reason { arp_detect_fail |
flow_limit | idle_cut | ppp_echo_fail |
ppp_user_request | realtime_acct_fail |
session_timeout | stop_acct_fail | user_request } | [ interface interface-type interface-number[ vlan-id vlan-id | pvc vci/vpi ] | mac-address mac-address | slot slot | time begin-time end-time[ date begin-date
end-date ] | user-type type | username user-name] *
显示用户上线失败记录display aaa online-fail-record [ domain_name domain-name | interface interface-type interface-number [ vlan-id vlan-id | pvc vci/vpi ] | mac-address
mac-address | slot slot | time begin-time end-time[ date begin-date end-date ] | user-type type | username
user-name] *
显示用户下线原因的统计信息display statistics offline-reason
显示认证方案display authentication-scheme [ scheme-name ]显示授权方案display authorization-scheme [ scheme-name ]显示计费方案display accounting-scheme [ scheme-name ]
显示CAR级别display user-car [ level ]
显示记录方案display recording-scheme record-name
请在系统视图下进行下列配置。
操作命令
显示历史最大在线用户数display most-onlineuser
更多显示和调试命令请参见相应的命令手册。
第2章配置RADIUS
本章包括以下内容:
z RADIUS简介
z配置步骤
z显示和调试
z配置实例
2.1 RADIUS简介
AAA可以用多种协议来实现,但最常用的是RADIUS协议。RADIUS(Remote
Authentication Dial In User Service)最初用来管理使用串口和调制解调器的大量分
散用户,后来广泛应用于网络接入服务器系统。RADIUS使用UDP作为传输协议,
具有良好的实时性;同时也支持重传机制和备用服务器机制,从而有较好的可靠性。
RADIUS的实现比较简单,适用于大用户量时服务器端的多线程结构。
RADIUS是MA5200G和RADIUS服务器之间的应用层通信协议,规定了MA5200G
与RADIUS服务器之间传递用户信息和计费信息的过程和报文格式。MA5200G通
过RADIUS协议与RADIUS服务器进行交互,完成用户的RADIUS认证、授权和
计费过程。
RADIUS协议基于C/S架构,其中MA5200G属于客户端,而RADIUS服务器则属
于服务器端。
MA5200G的RADIUS功能具有以下特点。
z支持标准RADIUS、RADIUS+1.0、RADIUS+1.1协议。
z可以主动探测RADIUS服务器状态。
z可以自动切换主备RADIUS服务器。
2.2 配置步骤
配置RADIUS包括以下内容:
z创建RADIUS服务器组
z配置RADIUS服务器运算法则
z配置RADIUS认证服务器
z配置RADIUS计费服务器
z设置RADIUS服务器的协议版本
z设置RADIUS服务器的密钥
z设置RADIUS服务器的用户名格式
z设置RADIUS服务器的流量单位
z设置RADIUS服务器的重传参数
z设置RADIUS属性解释功能
z指定RADIUS属性携带CAR
z设置RADIUS的NAS-Port属性格式
z配置RADIUS授权服务器
z配置RADIUS客户端
2.2.1 创建RADIUS服务器组
MA5200G使用RADIUS服务器组来管理RADIUS服务器。在配置RADIUS服务器
之前,首先需要创建RADIUS服务器组。
本任务用于创建RADIUS服务器组并使CLI进入RADIUS服务器组视图,如果
RADIUS服务器组已经存在则CLI直接进入RADIUS服务器组视图。
请在系统视图下进行下列配置。
操作命令
创建RADIUS服务器组并进入
radius-server group groupname
RADIUS服务器组视图
删除RADIUS服务器组undo radius-server group groupname
删除RADIUS服务器组时,必须保证该RADIUS服务器组没有被任何域引用,否则
删除操作将失败。
系统最多可配置1024个RADIUS服务器组。
在进行RADIUS服务器组的各种配置修改时,必须保证该组未被使用。
2.2.2 配置RADIUS服务器运算法则
RADIUS服务器运算法则有两种:负载均衡(loading-share)、主备服务器
(master-backup)。若配置了运算法则为loading-share,配置RADIUS认证服务器
或计费服务器时的权重weight参数才起作用,否则不起作用;若配置成
master-backup,则配置RADIUS认证服务器或计费服务器时,第一个配置的服务
器为主服务器,其余均为备服务器。
请在RADIUS服务器组视图下进行下列配置。