江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
Tacacs+ update 源地址设置建议采用路由器的loopback0地址。 配置规范:
#配置HWTACACS服务器模板tacacs,源地址为设备LOOPBACK0地址,密钥为cisco12416,用户名格式中不包括域名。
hwtacacs-server template tacacs
hwtacacs-server authentication 117.21.127.10 hwtacacs-server authentication X.X.X.X secondary hwtacacs-server authorization 117.21.127.10 hwtacacs-server authorization X.X.X.X secondary hwtacacs-server accounting 117.21.127.10 hwtacacs-server accounting X.X.X.X secondary hwtacacs-server source-ip X.X.X.X
hwtacacs-server shared-key cisco12416
undo hwtacacs-server user-name domain-included
aaa #进入AAA视图
#配置认证方案tacacs,认证模式为先本地认证,后HWTACACS认证。 authentication-scheme tacacs
authentication-mode local-hwtacacs
#配置计费方案tacacs,计费模式为不计费。 accounting-scheme tacacs accounting-mode none
#配置授权方案tacacs,由于采用先hwtacacs后local的方式只有hwtacacs失效的情况下本地账号才能登陆,所以暂时考虑用none模式,避免3A异常本地账号也无法登陆。 authorization-scheme tacacs authorization-mode none
#配置缺省的管理员域default_admin,域的认证方案、计费方案、授权方案名称都为tacacs,域的用户可以作为管理员登录BRAS,管理员级别为3。 domain default_admin
authentication-scheme tacacs accounting-scheme tacacs adminuser-priority 3 hwtacacs-servertacacs
authorization-scheme tacacs
配置验证:
display authentication-scheme tacacs display accounting-scheme tacacsc display authorization-scheme tacacs display hwtacacs-server template tacacsc display domain name default_admin dis current-configuration | inc tacacs 配置注意细节: 华为BRAS备选授权方式为authorization-mode none,即用户认证后直接授权通过。
此时AAA和本地帐号同时生效,但无法通过AAA为用户授权,用户认证通过后即具备最高管理员权限。
中盈优创资讯科技有限公司
第15页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
3.1.5.3 用户AAA配置 配置说明: 配置用户的认证方式 配置用户的计费方式
配置用户认证服务器地址及参数 配置用户计费服务器地址及参数 配置预付费用户COS认证 配置radius update 源地址 规范要求:
用户的认证方式采用radius 方式 用户计费方式采用radius 方式
认证及计费服务器的地址根据各地的实际情况设置 设置Radius 密钥时要与省后台相关人员协商确定
认证端口号根据各个地方的实际情况设置(一般为1645 或1812) 计费端口号根据各个地方的实际情况设置(一般为1646 或1813) radius update 源地址设置建议采用路由器的loopback 0 地址 要求配置Radius 服务器为负载分担算法
所有定义的Radius-server组中不允许配置命令undo radius-server user-name domain-included,即将用户帐号上送radius-server认证时不允许去掉用户域名后缀。
对于domain nc.jx,要求使用单独定义的radius-server group nc.jx,其它domain可以根据业务类型,同一类业务使用相同的一个radius-server group。如可以将l2tp的业务单独定义一个radius-server组,所有l2tp的domain都调用这一个radius-server组。
对于预付费用户,配置对COA服务器202.101.224.217 和61.180.1.21的信任。预付费用户domain使用的radius-server group nc.jx,COA使用的默认端口为3799,建议全省BRAS与COA服务器通信KEY统一为123456。
配置规范:
中盈优创资讯科技有限公司 第16页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
system-view interface Virtual-Template1 #建立ppp虚模版
ppp authentication-mode pap chap #定义ppp认证的模式,先pap再chap
ppp keepalive interval 30 retransmit 5 #定义二层检测时间间隔以及超时检测次数
radius-server source interface LoopBack0 #radius报文的源IP为loopback0地址 radius-server dead-count 40 dead-time 3 #radius报文重传和中断时延
aaa #进入AAA视图
#配置RADIUS服务器组nc.jx,配置radius-server ip,缺省情况下,若配置多个ip,ME60工作在主备模式,若配置server的权重weight,可以实现负载分担,认证/计费服务器的端口号,缺省值为1812和1813。
radius-server group nc.jx #该radius-server组只能被domain nc.jx调用
radius-server authentication 61.180.1.21 1812 weight 50 #两台server使用相同权重,负载均衡
radius-server authentication 61.180.1.21 1812 weight 50 radius-server accounting 61.180.1.21 1813 weight 50 radius-server accounting 61.180.1.21 1813 weight 50 radius-server shared-key *******
radius-server retransmit 2 timeout 3 #指定远程radius服务器报文重传时间 radius-server class-as-car #配置报文中携带CAR值
radius-server traffic-unit byte #设置RADIUS服务器使用字节作为流量单位 radius-server algorithm loading-share #radius-server使用负载均衡算法
undo radius-server user-name domain-included #用户名格式中不包括域名。该命令不再使用,如现网有该配置,须删除,因为在每个子接口已经使用默认域可以让用户不带域名拨号认证。
分类radius-server组,建立多个radius-server组,实现不同业务类型domain调用不同的radius-server组.避免修改radius-server组属性时出现错误修改。
radius-server authorization 202.101.224.233 shared-key jxcoa123 server-group nc.jx
注:针对预付费用户配置对COA服务器和202.101.224.217的信任,预付费用户domain使用的radius-server group nc.jx,COA使用的默认端口为3799,建议全省BRAS与COA服务器通信KEY统一为123456。
#配置认证方案radius,缺省情况下,认证方案的认证模式为RADIUS认证。 authentication-scheme radius
#配置计费方案radius,缺省情况下,计费方法为RADIUS计费,设置实施计费间隔为120分钟。
accounting-scheme radius
accounting interim interval 120
accounting start-fail online #用户计费中断后依然在线
#配置nc.jx域,域的认证方案、计费方案名称都为radius,域使用的RADIUS服务器组为nc.jx。 domain nc.jx
authentication-scheme radius accounting-scheme radius
中盈优创资讯科技有限公司
第17页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
radius-server group nc.jx #其它domain一定不能调用该radius-server group l2tp-group 6 #设置域使用的L2TP组的组名
l2tp-user radius-force #设置L2TP用户由RADIUS通道类型属性决定
ip-pool internet -01 #设置域的IP地址池,每个域最多可以设置128个地址池 ip-pool ******
IP-Warning-Threshold 90 #设置域的IP地址使用告警阈值 return
system-view
l2tp enable #启用L2TP功能,缺省情况下,L2TP功能被禁止。 l2tp-group 6 #配置上面domain调用的l2tp-group 6 undo tunnel authentication #取消L2TP隧道验证功能
tunnel name ZQ-GN-BAS-1 #指定隧道本端的名称,缺省情况下,系统的本端名称为设备名称。 start l2tp ip 1.1.1.1
tunnel source LoopBack0 #配置LAC端向LNS发起隧道建立请求时使用的隧道源接口,只能是LoopBack接口。 quit
配置验证:
display authentication-scheme radius display authentication-scheme radius display radius-server configuration group nc.jx display domain name nc.jx 配置注意细节: 对于华为BRAS,domain nc.jx调用的radius-server group需要单独定义,其它domain可以根据业务类型,每一类业务定义一个radius-server group。注意添加预付费平台授权配置。
3.1.5.4 本地用户帐号 配置说明:
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。 规范要求:
全省BRAS配置相同本地用户帐号noc189,设置最高权限,使用省公司统一指定的密码,根据实际情况可保留地市本地管理帐号。
配置规范:
local-aaa-server #进入本地AAA服务器视图 user noc189 password cipher ******** level 3 idle-cut authentication-type A 配置验证: display user name noc189 dis current-configuration configuration local-aaa-server 中盈优创资讯科技有限公司
第18页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
配置注意细节: 保留地市本地帐号。 3.1.5.5 配置范例
1、管理AAA:
#配置HWTACACS服务器模板tacacs,源地址为设备LOOPBACK0地址,密钥为cisco12416,用户名格式中不包括域名。
hwtacacs-server template tacacs
hwtacacs-server authentication 117.21.127.10 hwtacacs-server authentication X.X.X.X secondary hwtacacs-server authorization 117.21.127.10 hwtacacs-server authorization X.X.X.X secondary hwtacacs-server accounting 117.21.127.10 hwtacacs-server accounting X.X.X.X secondary hwtacacs-server source-ip X.X.X.X
hwtacacs-server shared-key cisco12416
undo hwtacacs-server user-name domain-included
aaa #进入AAA视图
#配置认证方案tacacs,认证模式为先本地认证,后HWTACACS认证。 authentication-scheme tacacs
authentication-mode local-hwtacacs
#配置计费方案tacacs,计费模式为不计费。 accounting-scheme tacacs accounting-mode none
#配置授权方案tacacs,由于采用先hwtacacs后local的方式只有hwtacacs失效的情况下本地账号才能登陆,所以暂时考虑用none模式,避免3A异常本地账号也无法登陆。 authorization-scheme tacacs authorization-mode none
#配置缺省的管理员域default_admin,域的认证方案、计费方案、授权方案名称都为tacacs,域的用户可以作为管理员登录BRAS,管理员级别为3。 domain default_admin
authentication-scheme tacacs accounting-scheme tacacs adminuser-priority 3 hwtacacs-server tacacs
authorization-scheme tacacs
2、用户AAA:
system-view
interface Virtual-Template1 #建立ppp虚模版
ppp authentication-mode pap chap #定义ppp论证的模式,先pap再chap
ppp keepalive interval 30 retransmit 5 #定义二层检测时间间隔以及超时检测次数
radius-server source interface LoopBack0 #radius报文的源IP为loopback0地址
中盈优创资讯科技有限公司
第19页