RADIUS協(xié)議配置是以RADIUS方案為單位進(jìn)行的,一個(gè)RADIUS方案在實(shí)際組網(wǎng)環(huán)境中既可以是一臺(tái)獨(dú)立的RADIUS服務(wù)器,也可以是兩臺(tái)配置相同、但I(xiàn)P地址不同的主、備RADIUS服務(wù)器。由于存在上述情況,因此每個(gè)RADIUS方案的屬性包括:主服務(wù)器的IP地址、備服務(wù)器的IP地址、共享密鑰以及RADIUS服務(wù)器類型等。
實(shí)際上,RADIUS協(xié)議配置僅僅定義了NAS和RADIUSServer之間進(jìn)行信息交互所必須的一些參數(shù)。為了使這些參數(shù)能夠生效,還必須在某個(gè)ISP域視圖下指定該域引用配置有上述參數(shù)的RADIUS方案。RADIUS協(xié)議的配置包括:
1創(chuàng)建RADIUS方案
2設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器
3設(shè)置RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)屬性
4設(shè)置RADIUS報(bào)文的共享密鑰
5設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)
6設(shè)置支持的RADIUS服務(wù)器的類型
7設(shè)置RADIUS服務(wù)器的狀態(tài)
8設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式
9設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位
10配置NAS發(fā)送RADIUS報(bào)文使用的源地址
11配置RADIUS服務(wù)器的定時(shí)器
12使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能
在以上的配置任務(wù)中,創(chuàng)建RADIUS方案、配置RADIUS認(rèn)證/授權(quán)服務(wù)器是必需的;其余任務(wù)則是可選的,用戶可以根據(jù)各自的具體需求決定是否進(jìn)行這些配置。
創(chuàng)建RADIUS方案
如前所述,RADIUS協(xié)議的配置是以RADIUS方案為單位進(jìn)行的。因此,在進(jìn)行其它RADIUS協(xié)議配置之前,必須先創(chuàng)建RADIUS方案并進(jìn)入其視圖。
可以使用下面命令創(chuàng)建/刪除RADIUS方案。
請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。
表2-14創(chuàng)建/刪除RADIUS方案
操作 | 命令 |
創(chuàng)建RADIUS方案并進(jìn)入其視圖 | radius scheme radius-scheme-name |
刪除RADIUS方案 | undo radius scheme radius-scheme-name |
一個(gè)RADIUS方案可以同時(shí)被多個(gè)ISP域引用。系統(tǒng)最多支持配置16個(gè)RADIUS方案。
缺省情況下,系統(tǒng)中已創(chuàng)建了一個(gè)名為“system”的RADIUS方案,其各項(xiàng)屬性均為缺省值。
注意:
FTP、Terminal、SSH不是RADIUS協(xié)議的標(biāo)準(zhǔn)屬性取值,需要修改RADIUS服務(wù)器的屬性,在屬性login-service(標(biāo)準(zhǔn)屬性15)中增加兩個(gè)取值的定義:
login-service(50) = SSH
login-service(51)=FTP
login-service(52) = Terminal
修改后再啟動(dòng)RADIUS服務(wù)器方可。
一、配置RADIUS認(rèn)證/授權(quán)服務(wù)器
可以使用下面命令設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-15設(shè)置RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)
操作 | 命令 |
設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào) | primary authenticaiton ip-address [port-number ] |
將主RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值 | undo primary authentication |
設(shè)置備RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào) | secondary authentication ip-address [port-number ] |
將備RADIUS認(rèn)證/授權(quán)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值 | undo secondary authentication |
RADIUS服務(wù)器的授權(quán)信息是隨認(rèn)證應(yīng)答報(bào)文發(fā)給RADIUS客戶端的,故不需要指定單獨(dú)的授權(quán)服務(wù)器。
在實(shí)際組網(wǎng)環(huán)境中,可以指定2臺(tái)RADIUS服務(wù)器分別作為主、備認(rèn)證/授權(quán)服務(wù)器;也可以指定一臺(tái)服務(wù)器既作為主認(rèn)證/授權(quán)服務(wù)器,又作為備認(rèn)證/授權(quán)服務(wù)器。
二、配置RADIUS計(jì)費(fèi)服務(wù)器及相關(guān)屬性
1. 配置RADIUS計(jì)費(fèi)服務(wù)器
可以使用下面命令設(shè)置RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-16設(shè)置RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)
操作 | 命令 |
設(shè)置主RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào) | primary accounting ip-address [ port-number] |
將主RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值 | undo primary accounting |
設(shè)置備RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào) | secondary accounting ip-address [port-number ] |
將備RADIUS計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)恢復(fù)為缺省值 | undo secondary accounting |
在實(shí)際組網(wǎng)環(huán)境中,可以指定2臺(tái)RADIUS服務(wù)器分別作為主、備計(jì)費(fèi)服務(wù)器;也可以指定一臺(tái)服務(wù)器既作為主計(jì)費(fèi)服務(wù)器,又作為備計(jì)費(fèi)服務(wù)器。
為了保證NAS與RADIUS服務(wù)器能夠正常交互,在設(shè)置RADIUS服務(wù)器的IP地址和UDP端口之前,必須確保RADIUS服務(wù)器與NAS的路由連接正常。此外,由于RADIUS協(xié)議采用不同的UDP端口來收發(fā)認(rèn)證/授權(quán)和計(jì)費(fèi)報(bào)文,因此必須將認(rèn)證/授權(quán)端口號(hào)和計(jì)費(fèi)端口號(hào)設(shè)置得不同。RFC2138/2139中建議的認(rèn)證/授權(quán)端口號(hào)為1812、計(jì)費(fèi)端口號(hào)為1813,但是也可以不選用RFC建議值(尤其是比較早期的RADIUSServer,普遍采用1645作為認(rèn)證/授權(quán)端口號(hào)、1646作為計(jì)費(fèi)端口號(hào))。在使用中,請(qǐng)保證防火墻上的RADIUS服務(wù)端口設(shè)置與RADIUS服務(wù)器上的端口設(shè)置保持一致。
可以使用命令display radiusscheme來查看RADIUS方案中主、備計(jì)費(fèi)服務(wù)器的IP地址和端口號(hào)。
& 說明:
在計(jì)費(fèi)成功后,計(jì)費(fèi)更新以及計(jì)費(fèi)停止報(bào)文都會(huì)發(fā)往計(jì)費(fèi)成功時(shí)使用的服務(wù)器上,即使此服務(wù)器不可用,也不會(huì)發(fā)生主備切換。只有在最開始的認(rèn)證、授權(quán)、計(jì)費(fèi)過程中才會(huì)發(fā)生切換,成功后將不再切換。
2. 配置計(jì)費(fèi)可選開關(guān)
在對(duì)用戶實(shí)施計(jì)費(fèi)時(shí),當(dāng)發(fā)現(xiàn)沒有可用的計(jì)費(fèi)服務(wù)器或與計(jì)費(fèi)服務(wù)器通信失敗時(shí),只要配置了accountingoptional命令,即使無法實(shí)施計(jì)費(fèi),也不會(huì)掛斷用戶。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-17 配置計(jì)費(fèi)可選開關(guān)
操作 | 命令 |
打開計(jì)費(fèi)可選開關(guān) | accounting optional |
關(guān)閉計(jì)費(fèi)可選開關(guān) | undo accounting optional |
缺省情況下,當(dāng)一個(gè)RADIUS方案被創(chuàng)建以后,計(jì)費(fèi)可選開關(guān)關(guān)閉。
3. 使能停止計(jì)費(fèi)報(bào)文緩存及重傳功能
由于停止計(jì)費(fèi)請(qǐng)求報(bào)文涉及到話單結(jié)算、并最終影響收費(fèi)多少,對(duì)用戶和ISP都有比較重要的影響,因此NAS應(yīng)該盡最大努力把它發(fā)送給RADIUS計(jì)費(fèi)服務(wù)器。所以,如果RADIUS計(jì)費(fèi)服務(wù)器對(duì)防火墻發(fā)出的停止計(jì)費(fèi)請(qǐng)求報(bào)文沒有響應(yīng),防火墻將其緩存在本機(jī)上,然后重新發(fā)送直到RADIUS計(jì)費(fèi)服務(wù)器產(chǎn)生響應(yīng),或者在重新發(fā)送的次數(shù)達(dá)到指定的次數(shù)限制后將其丟棄??梢允褂孟旅娴拿顏碓O(shè)置防火墻允許停止計(jì)費(fèi)報(bào)文緩存功能。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-18設(shè)置使能停止計(jì)費(fèi)報(bào)文緩存及重傳功能
操作 | 命令 |
使能停止計(jì)費(fèi)報(bào)文緩存功能 | stop-accounting-buffer enable |
關(guān)閉停止計(jì)費(fèi)報(bào)文緩存功能 | undo stop-accounting-buffer enable |
使能停止計(jì)費(fèi)報(bào)文重傳功能,并配置停止計(jì)費(fèi)報(bào)文可以傳送的最大次數(shù) | retry stop-accounting retry-times |
恢復(fù)停止計(jì)費(fèi)報(bào)文最大傳送次數(shù)為缺省值 | undo retry stop-accounting |
缺省情況下,使能停止計(jì)費(fèi)報(bào)文緩存功能,最多可以將緩存的停止計(jì)費(fèi)請(qǐng)求報(bào)文重發(fā)500次。
4. 設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)
RADIUS服務(wù)器通常通過連接超時(shí)定時(shí)器來判斷用戶是否在線。如果RADIUS服務(wù)器長(zhǎng)時(shí)間收不到NAS傳來的實(shí)時(shí)計(jì)費(fèi)報(bào)文,它會(huì)認(rèn)為線路或設(shè)備故障并停止對(duì)用戶計(jì)費(fèi)。為了配合RADIUS服務(wù)器的這種特性,有必要在不可預(yù)見的故障條件下在NAS端盡量與RADIUS服務(wù)器同步切斷用戶連接。SecPath系列防火墻提供對(duì)連續(xù)實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)次數(shù)限制的設(shè)置——在NAS向RADIUS服務(wù)器發(fā)出的實(shí)時(shí)計(jì)費(fèi)請(qǐng)求沒有得到響應(yīng)的次數(shù)超過所設(shè)定的限度時(shí),NAS將切斷用戶連接。
可以使用下面的命令設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-19設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)
操作 | 命令 |
設(shè)置允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù) | retry realtime-accounting retry-times |
恢復(fù)允許實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)的最大次數(shù)為缺省值 | undo retry realtime-accounting |
缺省情況下,最多允許5次實(shí)時(shí)計(jì)費(fèi)請(qǐng)求無響應(yīng)。
三、設(shè)置RADIUS報(bào)文的共享密鑰
RADIUS客戶端(即防火墻)與RADIUS服務(wù)器使用MD5算法來加密RADIUS報(bào)文,雙方通過設(shè)置共享密鑰來驗(yàn)證報(bào)文的合法性。只有在密鑰一致的情況下,雙方才能彼此接收對(duì)方發(fā)來的報(bào)文并作出響應(yīng)。
可以使用下面命令設(shè)置RADIUS報(bào)文的共享密鑰。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-20設(shè)置RADIUS報(bào)文的共享密鑰
操作 | 命令 |
設(shè)置RADIUS認(rèn)證/授權(quán)報(bào)文的共享密鑰 | key authentication string |
恢復(fù)RADIUS認(rèn)證/授權(quán)報(bào)文共享密鑰為缺省值 | undo key authentication |
設(shè)置RADIUS計(jì)費(fèi)報(bào)文的共享密鑰 | key accounting string |
恢復(fù)RADIUS計(jì)費(fèi)報(bào)文共享密鑰為缺省 | undo key accounting |
缺省情況下,RADIUS認(rèn)證/授權(quán)報(bào)文和RADIUS計(jì)費(fèi)報(bào)文均無共享密鑰。
四、設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)
由于RADIUS協(xié)議采用UDP報(bào)文來承載數(shù)據(jù),因此其通信過程是不可靠的。如果RADIUS服務(wù)器在響應(yīng)超時(shí)定時(shí)器規(guī)定的時(shí)長(zhǎng)內(nèi)沒有響應(yīng)NAS,則NAS有必要向RADIUS服務(wù)器重傳RADIUS請(qǐng)求報(bào)文。如果累計(jì)的傳送次數(shù)超過最大傳送次數(shù)而RADIUS服務(wù)器仍舊沒有響應(yīng),則NAS將認(rèn)為其與當(dāng)前RADIUS服務(wù)器的通信已經(jīng)中斷,并將轉(zhuǎn)而向其它的RADIUS服務(wù)器發(fā)送請(qǐng)求報(bào)文。
可以使用下面命令設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-21設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)
操作 | 命令 |
設(shè)置RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù) | retry retry-times |
將RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)恢復(fù)為缺省值 | undo retry |
缺省情況下,RADIUS請(qǐng)求報(bào)文的最大傳送次數(shù)為3次。
五、設(shè)置支持的RADIUS服務(wù)器的類型
可以使用下面的命令來選擇支持何種RADIUS服務(wù)器類型。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-22設(shè)置支持何種類型的RADIUS服務(wù)器

操作 | 命令 |
設(shè)置支持何種類型的RADIUS服務(wù)器 | server-type { extended | standard } |
恢復(fù)RADIUS服務(wù)器類型為standard | undo server-type |
缺省情況下,system方案中的RADIUS服務(wù)器的類型為extended,新創(chuàng)建的RADIUS方案中的RADIUS服務(wù)器的類型為standard。
& 說明:
當(dāng)使用CAMS服務(wù)器時(shí),只有將service-type配置為extended后,部分參數(shù)才能生效,如服務(wù)類型、EXEC優(yōu)先級(jí)、FTP目錄等。
六、設(shè)置RADIUS服務(wù)器的狀態(tài)
對(duì)于某個(gè)RADIUS方案中的主、備服務(wù)器(無論是認(rèn)證/授權(quán)服務(wù)器還是計(jì)費(fèi)服務(wù)器),當(dāng)主服務(wù)器因故障與NAS的通信中斷時(shí),NAS會(huì)主動(dòng)地轉(zhuǎn)而與備服務(wù)器交互報(bào)文。當(dāng)主服務(wù)器恢復(fù)正常后,NAS卻不會(huì)立即恢復(fù)與其通信,而是繼續(xù)與備服務(wù)器通信;直到備服務(wù)器也出現(xiàn)故障后,NAS才能再轉(zhuǎn)而恢復(fù)與主服務(wù)器交互報(bào)文。為了使NAS在主服務(wù)器故障排除后迅速恢復(fù)與其通信,需要通過下面的命令手工將主服務(wù)器的狀態(tài)設(shè)為active。
當(dāng)主服務(wù)器與備服務(wù)器的狀態(tài)都為active或都為block時(shí),NAS將只把報(bào)文發(fā)送到主服務(wù)器上。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-23設(shè)置RADIUS服務(wù)器的狀態(tài)
操作 | 命令 |
設(shè)置主RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài) | state primary authentication { block| active } |
設(shè)置主RADIUS計(jì)費(fèi)服務(wù)器的狀態(tài) | state primary accounting { block |active } |
設(shè)置備RADIUS認(rèn)證/授權(quán)服務(wù)器的狀態(tài) | state secondary authentication {block | active } |
設(shè)置備RADIUS計(jì)費(fèi)服務(wù)器的狀態(tài) | state secondary accounting { block |active } |
可以使用命令display radius scheme來確定RADIUS方案中的服務(wù)器的狀態(tài)。
七、設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式
如前所述,接入用戶通常以“userid@isp-name”的格式命名,“@”后面的部分為ISP域名,防火墻就是通過該域名來決定將用戶歸于哪個(gè)ISP域的。但是,有些較早期的RADIUS服務(wù)器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除后再傳送給RADIUS服務(wù)器。因此,防火墻提供下面的命令以指定發(fā)送給RADIUS服務(wù)器的用戶名是否攜帶有ISP域名。
表2-24設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式
操作 | 命令 |
設(shè)置發(fā)送給RADIUS服務(wù)器的用戶名格式 | user-name-format { with-domain |without-domain } |
& 說明:
如果指定某個(gè)RADIUS方案不允許用戶名中攜帶有ISP域名,那么請(qǐng)不要在兩個(gè)乃至兩個(gè)以上的ISP域中同時(shí)設(shè)置使用該RADIUS方案,否則,會(huì)出現(xiàn)雖然實(shí)際用戶不同(在不同的ISP域中)、但RADIUS服務(wù)器認(rèn)為用戶相同(因?yàn)閭魉偷剿挠脩裘嗤┑腻e(cuò)誤。
缺省情況下,在system方案中,NAS發(fā)送給RADIUS服務(wù)器的用戶名不攜帶ISP域名;在新創(chuàng)建的RADIUS方案中,NAS發(fā)送給RADIUS服務(wù)器的用戶名攜帶ISP域名。
八、設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位
防火墻提供下面的命令以指定發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位。
表2-25設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位
操作 | 命令 |
設(shè)置發(fā)送給RADIUS服務(wù)器的數(shù)據(jù)流的單位 | data-flow-format data { byte | giga-byte |kilo-byte | mega-byte } packet {giga-packet | kilo-packet | mega- packet |one-packet } |
恢復(fù)發(fā)送到RADIUS服務(wù)器的數(shù)據(jù)流的單位為缺省設(shè)置 | undo data-flow-format |
缺省情況下,RADIUS方案默認(rèn)的發(fā)送數(shù)據(jù)單位為byte,數(shù)據(jù)包的單位為one packet。
九、配置NAS發(fā)送RADIUS報(bào)文使用的源地址
請(qǐng)?jiān)谙鄳?yīng)視圖下進(jìn)行下列配置。
表2-26配置NAS發(fā)送RADIUS報(bào)文使用的源地址
操作 | 命令 |
配置NAS發(fā)送RADIUS報(bào)文使用的源地址(RADIUS視圖) | nas-ip ip-address |
取消NAS發(fā)送RADIUS報(bào)文使用的源地址(RADIUS視圖) | undo nas-ip |
配置NAS發(fā)送RADIUS報(bào)文使用的源地址(系統(tǒng)視圖) | radius nas-ip ip-address |
取消NAS發(fā)送RADIUS報(bào)文使用的源地址(系統(tǒng)視圖) | undo radius nas-ip |
這兩條命令的作用相同。缺省情況下,不指定源地址,即以發(fā)送報(bào)文的接口地址作為源地址。
十、配置RADIUS服務(wù)器的定時(shí)器
1. 設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器
如果在RADIUS請(qǐng)求報(bào)文(認(rèn)證/授權(quán)請(qǐng)求或計(jì)費(fèi)請(qǐng)求)傳送出去一段時(shí)間后,NAS還沒有得到RADIUS服務(wù)器的響應(yīng),則有必要重傳RADIUS請(qǐng)求報(bào)文,以保證用戶確實(shí)能夠得到RADIUS服務(wù)。
可以使用下面命令設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-27設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器
操作 | 命令 |
設(shè)置RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器 | timer seconds timer response-timeout seconds |
將RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器恢復(fù)為缺省值 | undo timer undo timer response-timeout |
缺省情況下,RADIUS服務(wù)器應(yīng)答超時(shí)定時(shí)器為3秒。timer命令與timerresponse-timeout命令的功能一樣。
2. 配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時(shí)間
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-28 配置RADIUS服務(wù)器的主服務(wù)器恢復(fù)激活狀態(tài)時(shí)間
操作 | 命令 |
配置恢復(fù)激活時(shí)間 | timer quiet minutes |
恢復(fù)缺省配置 | undo timer quiet |
缺省情況下,主服務(wù)器恢復(fù)激活狀態(tài)前需要等待5分鐘。
3. 設(shè)置實(shí)時(shí)計(jì)費(fèi)時(shí)間間隔
為了對(duì)用戶實(shí)施實(shí)時(shí)計(jì)費(fèi),有必要設(shè)置實(shí)時(shí)計(jì)費(fèi)的時(shí)間間隔。在設(shè)置了該屬性以后,每隔設(shè)定的時(shí)間,NAS會(huì)向RADIUS服務(wù)器發(fā)送一次在線用戶的計(jì)費(fèi)信息。
可以使用下面命令設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔。
請(qǐng)?jiān)赗ADIUS視圖下進(jìn)行下列配置。
表2-29 設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔
操作 | 命令 |
設(shè)置實(shí)時(shí)計(jì)費(fèi)間隔 | timer realtime-accounting minutes |
將實(shí)時(shí)計(jì)費(fèi)間隔恢復(fù)為缺省值 | undo timer realtime-accounting |
其中,minutes為實(shí)時(shí)計(jì)費(fèi)間隔時(shí)間,單位為分鐘,其取值必須為3的整數(shù)倍。
實(shí)時(shí)計(jì)費(fèi)間隔的取值對(duì)NAS和RADIUS服務(wù)器的性能有一定的相關(guān)性要求——取值越小,對(duì)NAS和RADIUS服務(wù)器的性能要求越高。建議當(dāng)用戶量比較大(¦1000)時(shí),盡量把該間隔的值設(shè)置得大一些。以下是實(shí)時(shí)計(jì)費(fèi)間隔與用戶量之間的推薦比例關(guān)系:
表2-30實(shí)時(shí)計(jì)費(fèi)間隔與用戶量之間的推薦比例關(guān)系
用戶數(shù) | 實(shí)時(shí)計(jì)費(fèi)間隔(分鐘) |
1~99 | 3 |
100~499 | 6 |
500~999 | 12 |
¦1000 | ¦15 |
缺省情況下,實(shí)時(shí)計(jì)費(fèi)間隔為12分鐘。
十一、使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能
請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。
表2-31使能RADIUS服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能
操作 | 命令 |
使能RADIUS 服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能 | radius trap { authentication-server-down |accounting-server-down } |
關(guān)閉RADIUS 服務(wù)器狀態(tài)變?yōu)閐own時(shí)發(fā)送trap報(bào)文的功能 | undo radius trap { authentication-server-down |accounting-server-down } |
缺省情況下,關(guān)閉該功能。
十二、配置本地RADIUS認(rèn)證服務(wù)器
防火墻提供了本地簡(jiǎn)單RADIUS服務(wù)器端功能(包括認(rèn)證和授權(quán)),稱之為本地RADIUS認(rèn)證服務(wù)器功能。
請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。
表2-32 配置本地RADIUS認(rèn)證服務(wù)器
操作 | 命令 |
配置本地RADIUS認(rèn)證服務(wù)器 | local-server nas-ip ip-address keypassword |
取消本地RADIUS認(rèn)證服務(wù)器的配置 | undo local-server nas-ip ip-address |
缺省情況下,系統(tǒng)創(chuàng)建了一個(gè)NAS-IP為127.0.0.1、無缺省密鑰的本地RADIUS認(rèn)證服務(wù)器。
& 說明:
采用本地RADIUS認(rèn)證服務(wù)器功能時(shí),其認(rèn)證/授權(quán)服務(wù)的UDP端口號(hào)必須為1645,計(jì)費(fèi)服務(wù)的UDP端口號(hào)為1646。
用此命令配置的報(bào)文加密密鑰(key password)必須和在RADIUS方案視圖下用命令keyauthentication配置的認(rèn)證/授權(quán)報(bào)文加密密鑰一致。
包括系統(tǒng)缺省創(chuàng)建的本地RADIUS認(rèn)證服務(wù)器在內(nèi),設(shè)備最多支持16個(gè)本地RADIUS認(rèn)證服務(wù)器。
愛華網(wǎng)



