SE800配置指南 - 图文(3)

如 ! context local 进入VR模式 ! interface local-to-rml12016 创建interface descript local connect to rml12016 1/2 描述性语句 ip address 125.40.250.114/30 指定接口地址 ! port ethernet 6/1 description to-rml12016-2/1 描述性语句 no shutdown 激活端口 encapsulation dot1q 封装成dot1q dot1q pvc 10 创建互联pvc vlan值为10 bind interface local-to-rml12016 local 将interface绑定到pvc 3.3 多VR（context）业务配臵 根据不同的业务需要，将不同业务放到单独的VR中，VR具有一个传统路由器应该具有的一切功能，例如路由表、路由协议、认证以及IP地址空间等。虚拟路由器支持一个传统路由器应该支持的一切网络业务，例如DNS、ssh、traceroute、syslog等。业务专网，如VOIP，可以设制到一个虚拟路由器上。 5种具体的业务如下：(说明context 就是VR) Context和Domain 命名规则 业务描述 Context domain 管理 Local admin 拨号 Dial adsl 专线 Leaseline leaseline IPTV Iptv iptv 拨号软件下载 Suppor supt supt1 ? 管理 context local 默认的VR,不能删除，local 是所有其他虚拟路由器的核心，其他虚拟路由器的底层消息都通过local来交互。 ? 拨号context dial 此context 处理所有的pppoe 拨号用户 ? 专线 context leaseline 此context 处理所有的专线用户。 专线用户就跟普通的以太网用户一样，不需要经过拨号认证。 ? IPTV context iptv Context iptv 处理所有的iptv拨号用户 ? Context support 预留给拨号用户下载客户端软件来使用，获的context support 地址池的用户将不能访问公网，只能访问客户端软件服务器。 配臵范例： 在全局模式下启用多VR功能： [local]xch-qyl-se800(config)#service multiple-contexts 在全局模式下创建VR: [local]xch-qyl-se800(config)#context support (创建名为support的VR) 3.4 RADIUS认证部分 3.4.1 RADIUS协议介绍 Radius是Remote Authentication Dial In User Service的简称，实现的功能可概括为AAA，是验证（Authentication）、授权（Authorization）和计费（Accounting）的简称。Radius实际上是对网络安全的一种管理。这里的安全主要指访问控制，包括哪种用户可以访问网络服务器；具有访问权的用户可以得到哪种服务；如何对正在使用网络资源的用户进行计费三方面内容。 网络接入服务器简称NAS（SE800在这里就作为NAS），当用户想通过某个接入网络（如连接用户的以太网）与NAS建立连接从而获得访问其他网络（如Internet）的权限时，NAS起到了管理用户的作用。NAS负责在用户和Radius 服务器之间传递验证、 授权、计费信息。Radius协议规定了NAS和Radius服务器之间如何传递用户的信息的规则，即二者之间的通信规程。 实际的工作中Radius 服务器接收用户的连接请求，完成验证返回给NAS，如果验证通过还需把用户所需的授权信息返回给NAS。用户获得授权后，在其正常上线和下线过程中，Radius 服务器还完成对用户帐号的计费功能。 3.4.2 RADIUS报文结构 图3-4-1 radius报文结构 其中Attribute结构如下： 图3-4-2 radius报文Attribute结构 Radius报文格式如上图所示，各域意义如下： Code取值有6个，代表不同的报文类型：Access- request（1）、Access- accept（2）、Access- reject（3）、Access-challenge（11）、Accounting-request（4）、Accounting-response（5） Identifier用于匹配请求包和回应包。 Length代表所有域的长度。 Authenticator 16字节长，用于对Radius报文进行加密。 Attribute中的Type域代表Radius属性，常用标准属性如下： 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 24 State 26 Vendor-Specific 27 Session-Timeout 29 Termination-Action 60 CHAP-Challenge VSA(Vendor-Specific attributes)属性，是由厂家开发的完成特定功能的属性，针对业务se800开发了多达151种VSA属性，现在已经在广泛应用中，详见产品光盘。 Attribute中的Length域代表该属性的长度，value域为该属性的值。 3.4.3 工作流程 1. NAS向AAA Server发出Access Request包，其中包含用户的帐号、密码等。 2. AAA Server向NAS回送Access Response包，其中包含用户是否合法，以及合法用户的一些设臵。 3. 如果认证通过，NAS向AAA Server发送计费开始请求包Accounting Request(start)，这些消息包可以反映出上网开始时间。 4. AAA Server向NAS回送Accounting Response包，确认计费开始。 5. NAS向AAA Server发送计费终止请求包Accounting Request（stop），这些消息包可以反映出上网结束时间，包括上网时长、上网流量信息等。 6. AAA Server向NAS回送Accounting Response包,确认已经停止计费 图3-4-3 RADIUS工作流程 1. PPPOE用户拨入后，接入管理器将用户的信息，包括用户名、口令等打包向Radius 服务器发送。（access request） 2. 如果该用户合法，则Radius 服务器告诉接入管理器该用户允许接入，同时传回该用户的配臵信息；否则Radius 反馈给接入管理器该用户非法信息。(access accept/reject) 3. 如果该用户合法，接入管理器就根据从Radius 服务器传回的属性配臵用户；如果该用户非法，接入管理器反馈给用户出错信息，并断开该用户的连接。 4. 如果该用户可以访问网络，则接入管理器向Radius 服务器发送一个计费请求包表明对该用户已经开始计费。Radius 服务器收到并成功记录该请求包，同时给予响应。(Accounting request; accounting response) 5. 当用户断开连接时，接入管理器向Radius 服务器发送一个计费停止请求包，其中包括用户上网所使用网络资源的统计信息。Radius服务器收到并成功记录该请求包，同时给予响应。（当然Radius 服务器也可以主动断开连接，处理方式类同）(Accounting request; accounting response) 3.4.4 SE800 RADIU认证配臵 SE800 认证方式可以分为两种： 一 全局认证方式 ，所有的context 用户认证都通过全局认证方式来获的认证通过。 二 分context 认证，每个context的拨号认证用户都将通过各自的context进行认证 本项目将使用分context的认证方式，分context认证方式跟全局认证方式相比较有如下优势，如果全局认证方式的任何一句认证配臵出现问题，将导致整台机器的拨号用户认证失败，而分context认证方式只会影响到单个的context。 SE800具备丰富的RADIU属性，通过与radius服务器的联调，让radius针对用户返回特定属性值，可以完成丰富的用户行为控制，主要应用如下： ? 用户认证 对用户名及口令进行认证； ? 计费记录 通过对用户在线时间或流量等进行计费； ? 用户授权 给用户授权，如授权成为l2tp用户； ? 用户带宽指定 给特定用户指定特定的带宽，是通过RADIU来设定QOS属性名称来完成； ? 预付费实时断线 根据时长或流量对用户进行下线操作； ? 用户vlan 绑定 通过RADIUS给用户绑定vlan来防止盗号和漫游； ? 指定用户 ACL 通过RADIUS返回ACL字符串对用户进行访问控制； ? 异常断线信息传递 通过接受SE800发出的PPPOE错误码来判断用户的下线原因。 以下是这次实施中radius的配臵参数： radius服务器地址 221.13.223.140 认证端口号 1641 计费端口号 1642 SE800与radius通讯字符串：henancnc 以下是配臵范例： ! context dial ! radius server 221.13.223.140 key henancnc port 1641 指定radius认证服务器地址，KEY及认证端口号 radius attribute nas-ip-address interface dial-loopback 指定连接radius时的本地源； aaa authentication subscriber radius local 指定用户认证的方式首选radius; aaa accounting subscriber radius 指定用户讲费方式为radius radius accounting server 221.13.223.140 key henancnc port 1642 指定radius计费服务器地址，KEY及认证端口号