RADIUS協(xié)議配置是以RADIUS方案為單位進(jìn)行的，一個(gè)RADIUS方案在實(shí)際組網(wǎng)環(huán)境中既可以是一臺(tái)獨(dú)立的RADIUS服務(wù)器，也可以是兩臺(tái)配置相同、但I(xiàn)P地址不同的主、備RADIUS服務(wù)器。由于存在上述情況，因此每個(gè)RADIUS方案的屬性包括：主服務(wù)器的IP地址、備服務(wù)器的IP地址、共享密鑰以及RADIUS服務(wù)器類型等。

實(shí)際上，RADIUS協(xié)議配置僅僅定義了NAS和RADIUSServer之間進(jìn)行信息交互所必須的一些參數(shù)。為了使這些參數(shù)能夠生效，還必須在某個(gè)ISP域視圖下指定該域引用配置有上述參數(shù)的RADIUS方案。RADIUS協(xié)議的配置包括：

1創(chuàng)建RADIUS方案

2設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器

3設(shè)置RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)屬性

4設(shè)置RADIUS報(bào)文的共享密鑰

5設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)

6設(shè)置支持的RADIUS服務(wù)器的類型

7設(shè)置RADIUS服務(wù)器的狀態(tài)

8設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式

9設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位

10配置NAS發(fā)送RADIUS報(bào)文使用的源地址

11配置RADIUS服務(wù)器的定時(shí)器

12使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能

在以上的配置任務(wù)中，創(chuàng)建RADIUS方案、配置RADIUS認(rèn)證/授權(quán)服務(wù)器是必需的；其余任務(wù)則是可選的，用戶可以根據(jù)各自的具體需求決定是否進(jìn)行這些配置。

創(chuàng)建RADIUS方案

如前所述，RADIUS協(xié)議的配置是以RADIUS方案為單位進(jìn)行的。因此，在進(jìn)行其它RADIUS協(xié)議配置之前，必須先創(chuàng)建RADIUS方案并進(jìn)入其視圖。

可以使用下面命令創(chuàng)建/刪除RADIUS方案。

請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。

表2-14創(chuàng)建/刪除RADIUS方案

一個(gè)RADIUS方案可以同時(shí)被多個(gè)ISP域引用。系統(tǒng)最多支持配置16個(gè)RADIUS方案。

缺省情況下，系統(tǒng)中已創(chuàng)建了一個(gè)名為“system”的RADIUS方案，其各項(xiàng)屬性均為缺省值。

注意：

FTP、Terminal、SSH不是RADIUS協(xié)議的標(biāo)準(zhǔn)屬性取值，需要修改RADIUS服務(wù)器的屬性，在屬性login-service（標(biāo)準(zhǔn)屬性15）中增加兩個(gè)取值的定義：

login-service(50) = SSH

login-service（51）＝FTP

login-service(52) = Terminal

修改后再啟動(dòng)RADIUS服務(wù)器方可。

一、配置RADIUS認(rèn)證/授權(quán)服務(wù)器

可以使用下面命令設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-15設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)

RADIUS服務(wù)器的授權(quán)信息是隨認(rèn)證應(yīng)答報(bào)文發(fā)給RADIUS客戶端的，故不需要指定單獨(dú)的授權(quán)服務(wù)器。

在實(shí)際組網(wǎng)環(huán)境中，可以指定2臺(tái)RADIUS服務(wù)器分別作為主、備認(rèn)證/授權(quán)服務(wù)器；也可以指定一臺(tái)服務(wù)器既作為主認(rèn)證/授權(quán)服務(wù)器，又作為備認(rèn)證/授權(quán)服務(wù)器。

二、配置RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)屬性

1. 配置RADIUS計(jì)費(fèi)服務(wù)器

可以使用下面命令設(shè)置RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-16設(shè)置RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)

在實(shí)際組網(wǎng)環(huán)境中，可以指定2臺(tái)RADIUS服務(wù)器分別作為主、備計(jì)費(fèi)服務(wù)器；也可以指定一臺(tái)服務(wù)器既作為主計(jì)費(fèi)服務(wù)器，又作為備計(jì)費(fèi)服務(wù)器。

為了保證NAS與RADIUS服務(wù)器能夠正常交互，在設(shè)置RADIUS服務(wù)器的IP地址和UDP端口之前，必須確保RADIUS服務(wù)器與NAS的路由連接正常。此外，由于RADIUS協(xié)議采用不同的UDP端口來收發(fā)認(rèn)證/授權(quán)和計(jì)費(fèi)報(bào)文，因此必須將認(rèn)證/授權(quán)端口號(hào)和計(jì)費(fèi)端口號(hào)設(shè)置得不同。RFC2138/2139中建議的認(rèn)證/授權(quán)端口號(hào)為1812、計(jì)費(fèi)端口號(hào)為1813，但是也可以不選用RFC建議值（尤其是比較早期的RADIUSServer，普遍采用1645作為認(rèn)證/授權(quán)端口號(hào)、1646作為計(jì)費(fèi)端口號(hào)）。在使用中，請(qǐng)保證防火墻上的RADIUS服務(wù)端口設(shè)置與RADIUS服務(wù)器上的端口設(shè)置保持一致。

可以使用命令display radiusscheme來查看RADIUS方案中主、備計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)。

& 說明：

在計(jì)費(fèi)成功后，計(jì)費(fèi)更新以及計(jì)費(fèi)停止報(bào)文都會(huì)發(fā)往計(jì)費(fèi)成功時(shí)使用的服務(wù)器上，即使此服務(wù)器不可用，也不會(huì)發(fā)生主備切換。只有在最開始的認(rèn)證、授權(quán)、計(jì)費(fèi)過程中才會(huì)發(fā)生切換，成功后將不再切換。

2. 配置計(jì)費(fèi)可選開關(guān)

在對(duì)用戶實(shí)施計(jì)費(fèi)時(shí)，當(dāng)發(fā)現(xiàn)沒有可用的計(jì)費(fèi)服務(wù)器或與計(jì)費(fèi)服務(wù)器通信失敗時(shí)，只要配置了accountingoptional命令，即使無法實(shí)施計(jì)費(fèi)，也不會(huì)掛斷用戶。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-17 配置計(jì)費(fèi)可選開關(guān)

缺省情況下，當(dāng)一個(gè)RADIUS方案被創(chuàng)建以后，計(jì)費(fèi)可選開關(guān)關(guān)閉。

3. 使能停止計(jì)費(fèi)報(bào)文緩存及重傳功能

由于停止計(jì)費(fèi)請(qǐng)求報(bào)文涉及到話單結(jié)算、并最終影響收費(fèi)多少，對(duì)用戶和ISP都有比較重要的影響，因此NAS應(yīng)該盡最大努力把它發(fā)送給RADIUS計(jì)費(fèi)服務(wù)器。所以，如果RADIUS計(jì)費(fèi)服務(wù)器對(duì)防火墻發(fā)出的停止計(jì)費(fèi)請(qǐng)求報(bào)文沒有響應(yīng)，防火墻將其緩存在本機(jī)上，然后重新發(fā)送直到RADIUS計(jì)費(fèi)服務(wù)器產(chǎn)生響應(yīng)，或者在重新發(fā)送的次數(shù)達(dá)到指定的次數(shù)限制后將其丟棄?？梢允褂孟旅娴拿顏碓O(shè)置防火墻允許停止計(jì)費(fèi)報(bào)文緩存功能。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-18設(shè)置使能停止計(jì)費(fèi)報(bào)文緩存及重傳功能

缺省情況下，使能停止計(jì)費(fèi)報(bào)文緩存功能，最多可以將緩存的停止計(jì)費(fèi)請(qǐng)求報(bào)文重發(fā)500次。

4. 設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)

RADIUS服務(wù)器通常通過連接超時(shí)定時(shí)器來判斷用戶是否在線。如果RADIUS服務(wù)器長(zhǎng)時(shí)間收不到NAS傳來的實(shí)時(shí)計(jì)費(fèi)報(bào)文，它會(huì)認(rèn)為線路或設(shè)備故障并停止對(duì)用戶計(jì)費(fèi)。為了配合RADIUS服務(wù)器的這種特性，有必要在不可預(yù)見的故障條件下在NAS端盡量與RADIUS服務(wù)器同步切斷用戶連接。SecPath系列防火墻提供對(duì)連續(xù)實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)次數(shù)限制的設(shè)置——在NAS向RADIUS服務(wù)器發(fā)出的實(shí)時(shí)計(jì)費(fèi)請(qǐng)求沒有得到響應(yīng)的次數(shù)超過所設(shè)定的限度時(shí)，NAS將切斷用戶連接。

可以使用下面的命令設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-19設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)

缺省情況下，最多允許5次實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)。

三、設(shè)置RADIUS報(bào)文的共享密鑰

RADIUS客戶端（即防火墻）與RADIUS服務(wù)器使用MD5算法來加密RADIUS報(bào)文，雙方通過設(shè)置共享密鑰來驗(yàn)證報(bào)文的合法性。只有在密鑰一致的情況下，雙方才能彼此接收對(duì)方發(fā)來的報(bào)文并作出響應(yīng)。

可以使用下面命令設(shè)置RADIUS報(bào)文的共享密鑰。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-20設(shè)置RADIUS報(bào)文的共享密鑰

缺省情況下，RADIUS認(rèn)證/授權(quán)報(bào)文和RADIUS計(jì)費(fèi)報(bào)文均無共享密鑰。

四、設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)

由于RADIUS協(xié)議采用UDP報(bào)文來承載數(shù)據(jù)，因此其通信過程是不可靠的。如果RADIUS服務(wù)器在響應(yīng)超時(shí)定時(shí)器規(guī)定的時(shí)長(zhǎng)內(nèi)沒有響應(yīng)NAS，則NAS有必要向RADIUS服務(wù)器重傳RADIUS請(qǐng)求報(bào)文。如果累計(jì)的傳送次數(shù)超過最大傳送次數(shù)而RADIUS服務(wù)器仍舊沒有響應(yīng)，則NAS將認(rèn)為其與當(dāng)前RADIUS服務(wù)器的通信已經(jīng)中斷，并將轉(zhuǎn)而向其它的RADIUS服務(wù)器發(fā)送請(qǐng)求報(bào)文。

可以使用下面命令設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-21設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)

缺省情況下，RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)為3次。

五、設(shè)置支持的RADIUS服務(wù)器的類型

可以使用下面的命令來選擇支持何種RADIUS服務(wù)器類型。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-22設(shè)置支持何種類型的RADIUS服務(wù)器

缺省情況下，system方案中的RADIUS服務(wù)器的類型為extended，新創(chuàng)建的RADIUS方案中的RADIUS服務(wù)器的類型為standard。

& 說明：

當(dāng)使用CAMS服務(wù)器時(shí)，只有將service-type配置為extended后，部分參數(shù)才能生效，如服務(wù)類型、EXEC優(yōu)先級(jí)、FTP目錄等。

六、設(shè)置RADIUS服務(wù)器的狀態(tài)

對(duì)于某個(gè)RADIUS方案中的主、備服務(wù)器（無論是認(rèn)證/授權(quán)服務(wù)器還是計(jì)費(fèi)服務(wù)器），當(dāng)主服務(wù)器因故障與NAS的通信中斷時(shí)，NAS會(huì)主動(dòng)地轉(zhuǎn)而與備服務(wù)器交互報(bào)文。當(dāng)主服務(wù)器恢復(fù)正常后，NAS卻不會(huì)立即恢復(fù)與其通信，而是繼續(xù)與備服務(wù)器通信；直到備服務(wù)器也出現(xiàn)故障后，NAS才能再轉(zhuǎn)而恢復(fù)與主服務(wù)器交互報(bào)文。為了使NAS在主服務(wù)器故障排除后迅速恢復(fù)與其通信，需要通過下面的命令手工將主服務(wù)器的狀態(tài)設(shè)為active。

當(dāng)主服務(wù)器與備服務(wù)器的狀態(tài)都為active或都為block時(shí)，NAS將只把報(bào)文發(fā)送到主服務(wù)器上。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-23設(shè)置RADIUS服務(wù)器的狀態(tài)

可以使用命令display radius scheme來確定RADIUS方案中的服務(wù)器的狀態(tài)。

七、設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式

如前所述，接入用戶通常以“userid@isp-name”的格式命名，“@”后面的部分為ISP域名，防火墻就是通過該域名來決定將用戶歸于哪個(gè)ISP域的。但是，有些較早期的RADIUS服務(wù)器不能接受攜帶有ISP域名的用戶名，在這種情況下，有必要將用戶名中攜帶的域名去除后再傳送給RADIUS服務(wù)器。因此，防火墻提供下面的命令以指定發(fā)送給RADIUS服務(wù)器的用戶名是否攜帶有ISP域名。

表2-24設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式

& 說明：

如果指定某個(gè)RADIUS方案不允許用戶名中攜帶有ISP域名，那么請(qǐng)不要在兩個(gè)乃至兩個(gè)以上的ISP域中同時(shí)設(shè)置使用該RADIUS方案，否則，會(huì)出現(xiàn)雖然實(shí)際用戶不同（在不同的ISP域中）、但RADIUS服務(wù)器認(rèn)為用戶相同（因?yàn)閭魉偷剿挠脩裘嗤┑腻e(cuò)誤。

缺省情況下，在system方案中，NAS發(fā)送給RADIUS服務(wù)器的用戶名不攜帶ISP域名；在新創(chuàng)建的RADIUS方案中，NAS發(fā)送給RADIUS服務(wù)器的用戶名攜帶ISP域名。

八、設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位

防火墻提供下面的命令以指定發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位。

表2-25設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位

缺省情況下，RADIUS方案默認(rèn)的發(fā)送數(shù)據(jù)單位為byte，數(shù)據(jù)包的單位為one packet。

九、配置NAS發(fā)送RADIUS報(bào)文使用的源地址

請(qǐng)?jiān)谙鄳?yīng)視圖下進(jìn)行下列配置。

表2-26配置NAS發(fā)送RADIUS報(bào)文使用的源地址

這兩條命令的作用相同。缺省情況下，不指定源地址，即以發(fā)送報(bào)文的接口地址作為源地址。

十、配置RADIUS服務(wù)器的定時(shí)器

1. 設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器

如果在RADIUS請(qǐng)求報(bào)文（認(rèn)證/授權(quán)請(qǐng)求或計(jì)費(fèi)請(qǐng)求）傳送出去一段時(shí)間后，NAS還沒有得到RADIUS服務(wù)器的響應(yīng)，則有必要重傳RADIUS請(qǐng)求報(bào)文，以保證用戶確實(shí)能夠得到RADIUS服務(wù)。

可以使用下面命令設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-27設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器

缺省情況下，RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器為3秒。timer命令與timerresponse-timeout命令的功能一樣。

2. 配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時(shí)間

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-28 配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時(shí)間

缺省情況下，主服務(wù)器恢復(fù)激活狀態(tài)前需要等待5分鐘。

3. 設(shè)置實(shí)時(shí)計(jì)費(fèi)時(shí)間間隔

為了對(duì)用戶實(shí)施實(shí)時(shí)計(jì)費(fèi)，有必要設(shè)置實(shí)時(shí)計(jì)費(fèi)的時(shí)間間隔。在設(shè)置了該屬性以后，每隔設(shè)定的時(shí)間，NAS會(huì)向RADIUS服務(wù)器發(fā)送一次在線用戶的計(jì)費(fèi)信息。

可以使用下面命令設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔。

請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。

表2-29 設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔

其中，minutes為實(shí)時(shí)計(jì)費(fèi)間隔時(shí)間，單位為分鐘，其取值必須為3的整數(shù)倍。

實(shí)時(shí)計(jì)費(fèi)間隔的取值對(duì)NAS和RADIUS服務(wù)器的性能有一定的相關(guān)性要求——取值越小，對(duì)NAS和RADIUS服務(wù)器的性能要求越高。建議當(dāng)用戶量比較大（¦1000）時(shí)，盡量把該間隔的值設(shè)置得大一些。以下是實(shí)時(shí)計(jì)費(fèi)間隔與用戶量之間的推薦比例關(guān)系：

表2-30實(shí)時(shí)計(jì)費(fèi)間隔與用戶量之間的推薦比例關(guān)系

缺省情況下，實(shí)時(shí)計(jì)費(fèi)間隔為12分鐘。

十一、使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能

請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。

表2-31使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能

缺省情況下，關(guān)閉該功能。

十二、配置本地RADIUS認(rèn)證服務(wù)器

防火墻提供了本地簡(jiǎn)單RADIUS服務(wù)器端功能（包括認(rèn)證和授權(quán)），稱之為本地RADIUS認(rèn)證服務(wù)器功能。

請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。

表2-32 配置本地RADIUS認(rèn)證服務(wù)器

缺省情況下，系統(tǒng)創(chuàng)建了一個(gè)NAS-IP為127.0.0.1、無缺省密鑰的本地RADIUS認(rèn)證服務(wù)器。

& 說明：

采用本地RADIUS認(rèn)證服務(wù)器功能時(shí)，其認(rèn)證/授權(quán)服務(wù)的UDP端口號(hào)必須為1645，計(jì)費(fèi)服務(wù)的UDP端口號(hào)為1646。

用此命令配置的報(bào)文加密密鑰（key password）必須和在RADIUS方案視圖下用命令keyauthentication配置的認(rèn)證/授權(quán)報(bào)文加密密鑰一致。

包括系統(tǒng)缺省創(chuàng)建的本地RADIUS認(rèn)證服務(wù)器在內(nèi)，設(shè)備最多支持16個(gè)本地RADIUS認(rèn)證服務(wù)器。

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101014/227632.html