MA5200F操作及维护.ppt

* AAA对用户的管理是通过域来实现的，域是用户管理的最小单位，域下面可以实现缺省授权配置，认证和计费方案的配置等。 域下配置的缺省授权信息较AAA服务器的授权信息优先级低，即当授权属性同时存在时，用户优先取用AAA服务器的授权属性内容。域下配置的缺省授权属性在AAA服务器无该项授权或不支持该项授权时生效。这样的好处是可以凭借AAA的域管理灵活增加业务，而不受限于AAA服务器。 * MA5200F的端口VLAN需要配置以下属性：端口VLAN接入用户类型、端口VLAN的默认域、端口VLAN的认证方式等 * 如果用户先发起DHCP，则像普通VLAN用户一样先在PORTVLAL下认证前默认域中认证，通过后获取IP，然后再进行EAP认证。如果用户先发起EAP认证，则直接在用户指定的域或是认证时默认域中认证，认证后用户获取上网权限。 MA5200F可以采用802.1X（IEEE Std 802.1X-2001）协议对WLAN（Wireless Local Area Network）用户和以太网用户进行接入认证。802.1X协议对用户完成端口级别的控制，即只有通过了802.1X认证，才会打开相应的端口，为用户分配IP地址并开放相应的权限。 * 须配置的主要步骤如下： 配置802.1X模板 配置IP地址池 配置认证策略 配置计费策略 配置RADIUS 配置域 配置用户 配置端口VLAN 配置路由 * 为了根据802.1X用户不同的域而提供不同的服务，根据域提供不同级别的安全探测机制，MA5200F添加了配置802.1X 模板的功能。在配置域信息时，需要绑定对应的802.1X模板，这样用户上线时就能够根据用户的域找到对应的802.1X模板，从而进行相应的处理。在模板下主要配置： 用户协商报文重传时间间隔和协商报文的重发次数 用户在上线后是否进行二层握手以及握手的时间间隔和握手超时次数 用户上线后是否进行重认证以及重认证的时间间隔 * MA5200F提供握手检测功能，是对用户在线情况进行实时检测。握手时间间隔缺省值为20秒，超时握手次缺省值数为3次。 配置协商报文重传时间间隔和重传次数。协商报文重传数据用于和用户进行802.1X协商时控制和用户的交互过程。 * 设置认证超时时间。认证超时时间是向Server发送认证请求的等待超时时间。默认值为30秒。 * MA5200F同时提供内置DHCP服务器和外置DHCP服务器的功能，无论使用内置DHCP服务器还是使用外置DHCP服务器都需要配置一个IP地址池，该地址池用于给VLAN用户分配、回收IP地址。 MA5200F最多可以有128个地址池（包括内置和外置），去除连续地址中的非法地址例如地址，一个地址池可以得到约8000个有效地址。 对于远端地址池，只有DHCP服务器组是必须配置的。 * AAA（Authentication、Authorization and Accounting）是认证、授权和计费的简称。它是运行于MA5200F上的客户端程序，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致的框架。 统缺省生成两个认证方案，名字分别为default0和default1，对应的认证方法分别为不认证和远端认证。其它认证方案可以增加、删除，但如果有某些域正在使用某一认证方案，则该认证方案可修改但不能删除。总共可以有16个认证方案。 * 系统缺省生成两个计费方案，名字分别为default0和default1，对应的计费方法分别为不计费和远端计费。其它计费方案可以增加、删除，但如果有某些域正在使用某一计费方案，则该计费方案可修改但不能删除。总共可以有128个计费方案 * RADIUS（Remote Authentication Dial In User Service）是AAA框架下的一种用于认证、授权和计费的协议框架。一般用来管理大量分散的上网用户。RADIUS服务器通过管理一个简单的用户数据库来对用户认证、授权和计费，并可以根据用户的服务类型和权限来调整用户的服务信息。 MA5200F中，以RADIUS配置项为单位，对RADIUS服务器进行配置。一个配置项可称为一个RADIUS逻辑主机，对应实际的两台有相同配置（IP地址不同）的主、备份RADIUS服务器或一台独立的RADIUS服务器。 RADIUS配置项定义了MA5200F和RADIUS服务器之间的一些参数，必须通过在域视图下指定域使用的RADIUS配置项，并指定域的认证、计费方法为RADIUS认证、计费，参数才能生效。 RAIDUS配置的主要内容有： 创建新的RADIUS服务器组：在系统视图下创建RADIUS服务器组并进入RADIUS服务器组视图。在该视图下配置认证、计费服务器等。 设置RADIUS服务器：在RADIUS服务