【接入网宝典】第1期-AAA原理及数据配置

前言：本着“共同学习，共同提高”的宗旨，我们汇总整理了华为接入网设备日常维护中需要特别注意的事项和常见问题解答，发布在华为技术支持网站首页“华为资源－电子期刊－接入网宝典”栏目，希望对您的日常设备维护工作有所帮助。让我们携起手来，共同打造可运营、可管理的精品网络！接入网宝典―AAA原理及数据配置尊敬的客户：随着Internet的广泛应用，IP（InternetProtocol）成为电信网的主导通信协议，构建良好的IP宽带业务系统，满足企业用户、集团用户的需求，推出个性化业务吸引更多个人用户，给运营商带来利润成为当务之急。针对这一需求，华为技术有限公司推出ISN8850智能IP业务交换机（下文简称ISN8850）。ISN8850提供了丰富的IP宽带业务，配合RADIUS服务器可以完成业务的触发、控制、执行、管理和生成，解决了一般路由器因不能提供用户管理和计费，而无法组建可运营、可管理网络的问题。本期对ISN8850AAA专题进行介绍。一、AAA概述一个网络允许外部用户通过公用网对其进行访问，于是用户在地理上可以极为分散。大量分散用户通过各种终端设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成为很重要的问题了。AAA是验证、授权和计费（Authentication,AuthorizationandAccounting）的简称。AAA的配置实际上是对网络安全的一种管理，这里的网络安全主要指访问控制，包括：哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行计费等？验证、授权和计费各自的作用：验证（Authentication）：验证用户是否可以获得访问权。授权（Authorization）：授权用户可以使用哪些服务。计费（Accounting）：记录用户使用网络资源的情况。网络接入服务器简称NAS（NetworkAccessServer）。当用户想要通过某个网络（如电话网）与NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时，NAS起到了验证用户（或对应连接）的作用。NAS负责把用户的验证、授权和计费信息传递给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。RADIUS服务器负责接收用户的连接请求，完成验证，并把用户所需的配置信息返回给NAS。NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的。用户的密码加密以后才在网络上传递，以避免用户的密码在不安全的网络上被窃取。ISN8850适用于宽带城域网，位于边缘汇聚层，它可以提供多种业务支持。主要完成接入层的业务汇聚与用户识别、用户管理、业务计费等BAS功能。其中，ISN8850为识别用户提供了特殊用户名识别、不记名识别、本地用户识别及业界普遍采用的Radius识别等多种识别方式。二、标准RADIUS用户上网流程1、RADIUS的客户端通常运行于接入服务器（NAS）上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户（NAS）。2、RADIUS的服务器上存放着大量的信息，接入服务器（NAS）无须保存这些信息，而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。3、RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。在上网的整个过程中，BAS与RADIUS服务器之间主要进行如下的交互过程（如图1），其中iSCP相当于RADIUS服务器：终端用户提出上线请求；BAS收到用户的请求后，向RADIUS发出Access-Request(code=1)的认证请求报文；RADIUS向BAS发出相应的Access-Accept(code=2)或Access-Reject(code=3)响应报文；BAS根据RADIUS发回的属性对用户进行配置；同时BAS向RADIUS发出Accounting-Request(code=4/start)的计费开始请求报文；发回相应的计费响应报文；用户上网过程中，BAS定时向RADIUS发出Accounting-Request(Interim-Update)实时计费请求；RADIUS发回相应的计费响应报文；用户提出下线请求；BAS收到用户的请求后，向RADIUS发出Accounting-Request(stop)计费结束请求报文；RADIUS发回相应的计费响应报文；BAS收到RADIUS计费结束响应报文后，断开用户连接，此时用户下线。三、AAA业务配置1、使能AAAESR(config)#aaa-enable只有使用了aaa-enable命令才能用AAA所提供的以下各种命令来对其进行配置，缺省为禁止AAA。若使用了noaaa-enable命令，以前的AAA相关配置将全部不可见，不管保存与否，重启后AAA的配置都会全部丢失。2、配置AAA的PPP验证方法表在全局配置模式下，可以用此命令配置PPP的验证方法表。ESR(config)#aaaauthenticationppp{default|list-name}[method1][method2...]method：为验证方法，有以下四种验证方法：group——使用group服务器验证radius——用RADIUS服务器进行验证local——在本地进行验证none——所有用户不需进行验证便可得到访问权在配置验证方法表时，至少需要指定一种验证方法，如果指定多种验证方法，则在进行PPP验证时，首先采用method1，如果发生验证错误（如无法与RADIUS服务器建立通信连接等错误），再采用method2，依次类推；但如果在采用某种方法验证失败后（即为非法访问），则不再采用其后方法而终止验证。另外none方法只有放在最后才有意义。下面是被允许的5种组合：aaaauthenticationpppdefaultnoneaaaauthenticationpppdefaultlocalaaaauthenticationpppdefaultradiusaaaauthenticationpppdefaultradiusnoneaaaauthenticationpppdefaultradiuslocal3、AAA的PPP计费方法表配置ESR(config)#aaaaccountingppp{default|list-name}[wait-start]{groupserver-group-name|radius}对于PPP用户如果指定的计费方法表名不存在，则使用缺省计费方法表进行计费。缺省计费方法表的缺省方法是使用全局下的RADIUS服务器计费。4、AAA的本地优先验证配置缺省为不使用本地优先验证。使用本地优先验证时，对用户首先进行本地验证，如果验证失败，再使用所配置的验证方法表中的方法进行验证。配置了本地优先验证，对所有使用了AAA的应用均起作用。ESR(config)#aaaauthenticationlocal-first5、AAA的计费选择（accountingoption）配置ESR(config)#aaaaccountingoptional//打开或关闭AAA计费选择开关。在ISN8850的V500R002版本中，该开关具体含义为：1）当用户登录，设备发送计费开始请求失败，配置该选项后，并不切断用户将用户踢下线，而是允许用户成功登录上线，此时对端RADIUS服务器有可能无法接收到设备对该用户发送的计费开始请求。2）当用户发送实时计费请求时，如果配置了该选项，即使群组工作在扩展协议RADIUS+1.1模式下，被协议要求如果设备收不到来自RADIUS服务器对该用户的实时计费响应必须强制用户下线，设备也不会强制切断用户，而是允许用户继续在线。3）当用户发送计费停止请求时，如果配置了该选项，设备如果收不到RADIUS服务器对该用户的计费停止响应，在重传几次失败之后，将会强行清除用户信息，这可能会导致RADIUS服务器丢失该用户的本次上网纪录。在ISN8850的V500R005版本中，该开关的具体含义只包括上面的1）和2）。对于3）功能，除了该命令外还需要加开关aaaaccountingno-wait-stop进行另行控制，才能达到上述3）所描述的功能，如果没有加aaaaccountingno-wait-stop，则ISN8850会持续重发计费结束请求报文，直到radius服务器有响应为止。6、AAA强制停止计费发送停止计费报文，不论对端是否响应，立刻停止计费。ESR(config)#aaaaccountingno-wait-stop7、配置本地IP地址池在全局配置模式、ISP域名配置模式下，配置IP地址池，主要用于为PPP用户分配IP地址。系统缺省没有本地IP地址池，如果在定义IP地址池时，没有指定结束IP地址，则该地址池中只有一个IP地址，即起始IP地址。ESR(config)#iplocalpool0129.102.0.1129.102.0.108、建立本地用户数据库（本地认证使用）ESR(config)#userusernamepassword{0|7}password[service-type{execprivilegeexeclevel]|igmpprivilegeigmplevel|ppp}]service-type：指定用户类型，用户类型缺省为PPP用户四、RADIUS协议相关配置1、RADIUSServer配置ESR(config)#radius-serverhost{hostname|ip-address}[auth-portport-number][acct-portport-number][pri-auth][pri-acct]在全局配置模式下进行如上操作可指定RADIUS服务器的地址和监听端口号。用户可以多次执行该命令，配置多个RADIUS服务器，全局配置模式最多可以配置15个RADIUS服务器，在一个radiusgroup中最多可以配置5个RADIUS服务器。全局配置模式下及每个radiusgroup各自只能配置一个主RADIUS验证服务器、一个主RADIUS计费服务器。配置RADIUS主服务器时如果此模式下已经有主RADIUS服务器，则将用新配置的RADIUS服务器作为主服务器，原有主服务器不再作为主服务器。在没有指定主RADIUS服务器时，系统将根据配置时间的先后选择使用的RADIUS服务器，当一个服务器失效后，系统会自动选择下一个服务器，直到最后一个服务器失效为止。在配置了主RADIUS服务器后，将首选主RADIUS服务器实现AAA。当主RADIUS服务器不能正常工作后，使用其他RADIUS服务器工作，每隔一定时间，尝试主RADIUS服务器是否可以正常工作，如果发现其可以正常工作则马上恢复使用主RADIUS服务器。此间隔时间由命令radius-serverdead-time配置（后面将会有介绍）。2、配置RADIUS服务器组ESR(config)#aaagroupserverradiusgroup_163该命令用于进入radiusgroup配置模式，增加一个RADIUS服务器群组。如果指定的RADIUS服务器组名系统中不存在，则同时增加一个新的RADIUS服务器组。在radiusgroup配置模式下可以对此RADIUS服务器组进行具体配置。3、RADIUSServer认证协议的配置可以给每个组或者全局下的RADIUSServer配置它的认证协议，其中radius+1.0协议对应参数为iphotel，radius+1.1协议对应参数为itellin。缺省为radius协议。ESR(config)#radius-serverprotocol-type{radius|{radius+[iTellin|IPHOT