采用HWTACACS协议对用户进行认证、授权和计费

采用HWTACACS协议对用户进行认证、授权和计费

应用环境

当用户需要通过网络与NAS建立连接从而取得访问其他网络的权利或取得使用某些网络资源的权利时，运营商需要对这些用户的接入请求进行恰当的处理。在允许合法用户上线，并对其上线时间进行统计的同时，拒绝非法的用户的上线请求。

运营商可以通过HWTACACS服务器对上线用户进行有效的控制，保证安全性和和统计上线时间。

配置思路

在部署采用HWTACACS协议对用户进行认证和计费时，采用如下的配置思路：

在路由器中进行下列配置：

1.         在AAA中配置认证方案，认证方式为HWTACACS。

2.         在AAA中配置认证方案，认证方式为HWTACACS。

3.         在AAA中配置计费方案，计费方式为HWTACACS。

4.         配置HWTACACS服务器模板，确定HWTACACS服务器的IP地址、端口号以及共享密钥等。

5.         配置域，在域下引用HWTACACS服务器模板、认证方案和计费方案。

在HWTACACS服务器端进行如下配置：

1.         配置用户名和密码。

2.         配置NAS地址和共享密钥。

配置注意事项

路由器端和服务器端的端口号和共享密钥必须相同。

配置实例

组网需求

• 用HWTACACS服务器对接入用户进行认证、计费。

• 用户所属的域为huawei。

• HWTACACS服务器192.168.1.1/24作为主认证服务器、主授权服务器和主计费服务器，HWTACACS服务器192.168.1.2/24作为备用认证服务器、备用授权服务器和备用计费服务器，认证、授权和计费端口号都默认为49。

采用HWTACACS协议对用户进行认证和计费

适用产品和版本

• 路由器端可以使用任意一款NE产品。版本为(VRP5.10)及后续版本

• HWTACACS服务器端可以适用于任意一款服务器软件，如：ACS等。

配置步骤

路由器端的配置。

步骤 1     在AAA中配置认证方案1，认证方式为HWTACACS。

<Quidway> system-view
[Quidway] aaa
[Quidway–aaa] authentication-scheme 1
[Quidway-aaa-authen-1] authentication-mode  hwtacacs
[Quidway-aaa-authen-1] quit

步骤 2     在AAA中配置授权方案1，授权方为HWTACACS。

[Quidway–aaa] authorization-scheme 1
[Quidway-aaa-author-1] authorization-mode  hwtacacs
[Quidway-aaa-author-1] quit

步骤 3     在AAA中配置计费方案1，计费方式为HWTACACS。

[Quidway–aaa] accounting-scheme 1
[Quidway–aaa-accounting-1] accounting-mode  hwtacacs
[Quidway–aaa-accounting-1] quit

步骤 4     配置HWTACACS服务器模板acs。

[Quidway] hwtacacs-server template acs

# 配置HWTACACS主认证、授权、计费服务器IP地址和端口。

[Quidway-hwtacacs-acs] hwtacacs-server  authentication 192.168.1.1 49
[Quidway-hwtacacs-acs] hwtacacs-server authorization  192.168.1.1 49
[Quidway-hwtacacs-acs] hwtacacs-server accounting  192.168.1.1 49

# 配置HWTACACS备认证、授权、计费服务器IP地址和端口。

[Quidway-hwtacacs-acs] hwtacacs-server  authentication 192.168.1.2 49 secondary
[Quidway-hwtacacs-acs] hwtacacs-server authorization  192.168.1.2 49 secondary
[Quidway-hwtacacs-acs] hwtacacs-server accounting  192.168.1.2 49 secondary

# 配置HWTACACS服务器密钥。

[Quidway-hwtacacs-acs] hwtacacs-server shared-key huawei

[Quidway-hwtacacs-acs] quit

步骤 5     配置huawei域，在域下应用认证方案1、授权方案1、计费方案1、acs的HWTACACS模板。

[Quidway] aaa
[Quidway-aaa] domain huawei.com
[Quidway-aaa-domain-huawei.com] authentication-scheme 1
[Quidway-aaa-domain-huawei.com] authorization-scheme  1
[Quidway-aaa-domain-huawei.com] accounting-scheme  1
[Quidway-aaa-domain-huawei.com] hwtacacs-server  acs

HWTACACS服务器端的配置。

步骤 1     配置用户名和密码。

在HWTACACS服务器端配置用户名USER_ACS@huawei..com。该用户的密码为huawei。

步骤 2     配置NAS地址和共享密钥。

在HWTACACS服务器端配置NAS地址为192.168.1.20，共享密钥为huawei。

检查配置结果。

如果配置成功，则：

1.         在路由器的VTY接口上要求所有的接入用户都必须使用AAA验证后，用一台PC进行登录试验。在输入用户名USER_ACS@huawei..com，密码为huawei后，验证通过。

2.         在路由器上执行display hwtacacs-server template acs命令后，可以观察到该radius服务器模板的配置与要求一致。

<Quidway> display hwtacacs-server template acs

-------------------------------------------------------------------------

HWTACACS-server template name   : acs

Primary-authentication-server   : 192.168.1.1:49

Primary-authorization-server    : 192.168.1.1:49

Primary-accounting-server       : 192.168.1.1:49

Secondary-authentication-server : 192.168.1.2:49

Secondary-authorization-server  : 192.168.1.2:49

Secondary-accounting-server     : 192.168.1.2:49

Current-authentication-server   : 192.168.1.1:49

Current-authorization-server    : 192.168.1.1:49

Current-accounting-server       : 192.168.1.1:49

Source-IP-address               : 0.0.0.0

Shared-key                      : huawei

Quiet-interval(min)             : 5

Response-timeout-Interval(sec)  : 5

Domain-included                 : Yes

Traffic-unit                    : B

-------------------------------------------------------------------------

配置文件

路由器上的配置文件如下。

#
hwtacacs-server template acs
hwtacacs-server authentication 192.168.1.1
hwtacacs-server authentication 192.168.1.2  secondary
hwtacacs-server authorization 192.168.1.1
hwtacacs-server authorization 192.168.1.2  secondary
hwtacacs-server accounting 192.168.1.1
hwtacacs-server accounting 192.168.1.2 secondary
hwtacacs-server shared-key huawei
#
aaa
authentication-scheme default
authentication-scheme 1
authentication-mode  hwtacacs
#
authorization-scheme default
authorization-scheme 1
authorization-mode  hwtacacs
#
accounting-scheme default
accounting-scheme 1
accounting-mode hwtacacs
#
domain default
domain huawei.com
authentication-scheme  1
authorization-scheme 1
accounting-scheme 1
hwtacacs-server acs
#
user-interface vty 0 4
authentication-mode aaa
#
retur