01-第1章 AAA及用户管理配置

01-第1章 AAA及用户管理配置 通用路由平台VRP 操作手册 安全分册 目 录 目 录 第1章 AAA及用户管理配置 .................................................................................................... 1-1 1.1 简介 ............................................................................................................................... 1-1 1.1.1 AAA简介 ............................................................................................................. 1-1 1.1.2 RADIUS 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 简介 ................................................................................................ 1-5 1.1.3 HWTACACS协议简介 ......................................................................................... 1-7 1.1.4 基于域的用户管理简介 ......................................................................................... 1-7 1.1.5 本地用户管理简介 ................................................................................................ 1-9 1.2 配置AAA ....................................................................................................................... 1-9 1.2.1 建立配置任务 ....................................................................................................... 1-9 1.2.2 配置认证 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ..................................................................................................... 1-11 1.2.3 配置授权方案 ..................................................................................................... 1-12 1.2.4 配置计费方案 ..................................................................................................... 1-12 1.2.5 配置本地计费 ..................................................................................................... 1-12 1.2.6 配置 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 方案 ..................................................................................................... 1-13 1.2.7 配置为用户分配IP地址...................................................................................... 1-14 1.2.8 在用户端配置接口IP地址为可协商 .................................................................... 1-14 1.3 配置RADIUS服务器 .................................................................................................... 1-15 1.3.1 建立配置任务 ..................................................................................................... 1-15 1.3.2 创建RADIUS服务器模板 ................................................................................... 1-16 1.3.3 配置RADIUS认证服务器 ................................................................................... 1-16 1.3.4 配置RADIUS计费功能 ...................................................................................... 1-17 1.3.5 配置RADIUS服务器的协议版本 ........................................................................ 1-17 1.3.6 配置RADIUS服务器的密钥 ............................................................................... 1-17 1.3.7 配置RADIUS服务器的用户名格式 ..................................................................... 1-18 1.3.8 配置RADIUS服务器的流量单位 ........................................................................ 1-18 1.3.9 配置RADIUS服务器的重传参数 ........................................................................ 1-18 1.3.10 配置RADIUS服务器的NAS端口 .................................................................... 1-18 1.4 配置HWTACACS服务器 ............................................................................................. 1-19 1.4.1 建立配置任务 ..................................................................................................... 1-19 1.4.2 创建HWTACACS服务器模板 ............................................................................ 1-20 1.4.3 配置HWTACACS认证服务器 ............................................................................ 1-20 1.4.4 配置HWTACACS授权服务器 ............................................................................ 1-20 1.4.5 配置HWTACACS计费功能 ............................................................................... 1-21 1.4.6 配置HWTACACS服务器的源IP地址 ................................................................ 1-21 1.4.7 配置HWTACACS服务器的密钥 ........................................................................ 1-21 1.4.8 配置HWTACACS服务器的用户名格式 .............................................................. 1-22 i 通用路由平台VRP 操作手册 安全分册 目 录 1.4.9 配置HWTACACS服务器的流量单位 ................................................................. 1-22 1.4.10 配置HWTACACS服务器的定时器 ................................................................... 1-22 1.5 配置域 ......................................................................................................................... 1-22 1.5.1 建立配置任务 ..................................................................................................... 1-22 1.5.2 创建域 ............................................................................................................... 1-24 1.5.3 配置域的认证、授权和计费方案 ......................................................................... 1-24 1.5.4 配置域的RADIUS服务器模板 ............................................................................ 1-24 1.5.5 配置域的HWTACACS服务器模板 ..................................................................... 1-25 1.5.6 配置域的地址相关属性 ....................................................................................... 1-25 1.5.7 配置域的状态 ..................................................................................................... 1-25 1.5.8 配置域的流量控制级别 ....................................................................................... 1-25 1.5.9 配置域的接入用户优先级.................................................................................... 1-26 1.5.10 配置域允许的最大接入用户数 ........................................................................... 1-26 1.5.11 配置域的强制Web认证服务器地址 .................................................................. 1-26 1.5.12 配置对域用户应用ACL .................................................................................... 1-27 1.5.13 配置按域名转发的下一跳地址 ........................................................................... 1-27 1.5.14 配置域所绑定的VT接口 .................................................................................. 1-27 1.6 配置单独本地用户管理 ................................................................................................. 1-27 1.6.1 建立配置任务 ..................................................................................................... 1-27 1.6.2 创建本地用户帐号 .............................................................................................. 1-29 1.6.3 配置本地用户的服务类型.................................................................................... 1-29 1.6.4 配置本地用户的回呼号码.................................................................................... 1-29 1.6.5 配置本地用户的回呼校验.................................................................................... 1-30 1.6.6 配置本地用户的主叫号码.................................................................................... 1-30 1.6.7 配置本地用户的FTP目录权限 ........................................................................... 1-30 1.6.8 配置本地用户的状态 .......................................................................................... 1-31 1.6.9 配置本地用户的流量控制级别............................................................................. 1-31 1.6.10 配置本地用户的优先级 ..................................................................................... 1-31 1.6.11 配置本地用户的接入限制.................................................................................. 1-31 1.6.12 配置本地用户的MAC地址绑定 ........................................................................ 1-32 1.6.13 配置对本地用户应用ACL ................................................................................. 1-32 1.7 配置PVC本地用户管理 ............................................................................................... 1-32 1.7.1 建立配置任务 ..................................................................................................... 1-32 1.7.2 创建PVC本地用户帐号 ..................................................................................... 1-33 1.7.3 配置PVC本地用户的服务类型 ........................................................................... 1-33 1.7.4 配置PVC本地用户的状态 .................................................................................. 1-34 1.7.5 配置PVC本地用户的流量控制级别 .................................................................... 1-34 1.7.6 配置PVC本地用户的接入限制 ........................................................................... 1-34 1.8 配置VLAN本地用户管理 ............................................................................................. 1-35 1.8.1 建立配置任务 ..................................................................................................... 1-35 1.8.2 创建VLAN本地用户帐号 ................................................................................... 1-35 ii 通用路由平台VRP 操作手册 安全分册 目 录 1.8.3 配置VLAN本地用户的服务类型 ......................................................................... 1-36 1.8.4 配置VLAN本地用户的状态 ................................................................................ 1-36 1.8.5 配置VLAN本地用户的流量控制级别 .................................................................. 1-36 1.8.6 配置VLAN本地用户的接入限制 ......................................................................... 1-37 1.9 维护 ............................................................................................................................. 1-37 1.9.1 清除 ................................................................................................................... 1-37 1.9.2 显示 ................................................................................................................... 1-37 1.9.3 调试 ................................................................................................................... 1-38 1.10 AAA及用户管理典型配置举例 .................................................................................... 1-39 1.10.1 采用RADIUS协议认证和计费 .......................................................................... 1-39 1.10.2 采用本地和HWTACACS协议认证并授权和计费 .............................................. 1-40 1.10.3 采用RADIUS协议对Telnet用户的认证 ........................................................... 1-42 1.10.4 对PPPoE接入用户配置按域名转发 ................................................................. 1-43 1.11 AAA及用户管理故障诊断与排除................................................................................. 1-45 1.11.1 用户本地认证总被拒绝 ..................................................................................... 1-45 1.11.2 用户RADIUS认证总被拒绝 ............................................................................. 1-45 1.11.3 未配置认证却对用户进行认证 ........................................................................... 1-46 1.11.4 Telnet用户通过RADIUS认证后不能进入系统视图 .......................................... 1-46 1.11.5 配置按域名转发后报文没有按照指定的下一跳发送 ........................................... 1-47 1.11.6 预连接用户配置按域名转发后无法建立连接 ...................................................... 1-47 1.11.7 与某友商的tacacs服务器互通问题 ................................................................. 1-48 iii 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1 AAA 1.1 简介 1.1.1 AAA简介 AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下： , 认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以 访问网络。 , 授权（Authorization）：授权用户可以使用哪些服务。 , 计费（Accounting）：记录用户使用网络资源的情况。 AAA一般采用“客户端—服务器”结构，客户端运行于被管理的资源侧，服务器上 则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管 理。 1. 认证功能 AAA支持以下认证方式： , 不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 , 本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在宽 带接入服务器上。本地认证的优点是速度快，可以为运营降低成本；缺点是存 储信息量受设备硬件条件限制。 , 远端认证：支持通过RADIUS（Remote Authentication Dial In User Service） 协议或HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进行远端认证，由宽带接入服务器BAS（Broadband Access Server）做为客户端，与RADIUS服务器或HWTACACS服务器通信。对于 RADIUS协议，可以采用 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 RADIUS协议或华为公司的扩展RADIUS协议， 与iTELLIN/CAMS（Comprehensive Access Management Server）等设备配 合完成认证。 2. 授权功能 AAA支持以下授权方式： 1-1 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , 直接授权：对用户非常信任，直接授权通过。 , 本地授权：根据宽带接入服务器上为本地用户帐号配置的相关属性进行授权。 , HWTACACS授权：由HWTACACS服务器对用户进行授权。 , if-authenticated授权：如果用户通过了认证，并且使用的认证方法不是none， 则对用户授权通过。 , RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能 单独使用RADIUS进行授权。 3. 计费功能 AAA支持以下计费方式： , 不计费：不对用户计费。 , 本地计费：本地计费主要实现对用户话单的备份和管理，是对远端计费的一种 保护性措施，也可以代替远端服务器在本地实现对用户的计费功能。 , 远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费。 , 本地和远端同时计费：支持同时向本地和RADIUS服务器发送计费报文；或 同时向本地和HWTACACS服务器发送计费报文。采用本地和远端同时计费可 以提高计费的可靠性。 4. 本地计费 本地计费主要实现对用户话单的备份和管理，是对远端计费（RADIUS计费或HWTACACS计费）的一种保护性措施，也可以代替远端服务器在本地实现对用户 的计费功能。 本地计费将用户的计费信息保存在路由器内存的话单池中，然后定期备份到路由器 的硬盘上。硬盘中的数据可以查询，也可以通过FTP（File Transfer Protocol）上传到计费服务器做进一步的处理。 实现本地计费之后，可以根据配置只使用本地计费或只使用远端计费，也可以同时 使用本地计费和远端计费。本地计费模块只对用户的话单作备份和管理，真正的计 算费用是将本地话单导出到后台数据库，然后根据计费方案在后台服务器上进行的。 以下具体介绍本地计费提供的功能： (1) 保存上网用户的话单到本地话单池 系统分配固定的内存空间作为话单池，用来缓存话单，每张话单占用18 0字 个人自传范文3000字为中华之崛起而读书的故事100字新时代好少年事迹1500字绑架的故事5000字个人自传范文2000字 节，话单池可以保存10000张话单，话单池中的话单按域和话单类型分类存放，使话单便 于管理。当话单池使用率达到或超过设定比率时，将启动备份到硬盘过程将话单写 入到硬盘，写入成功后，话单恢复成初始空闲状态供继续使用。 1-2 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 (2) 按域和话单类型将话单池中的话单分类保存到本地硬盘 用户的话单首先放入话单池，然后可以通过三种方式备份到硬盘： , 定时备份：通过定时器定时备份； , 手工备份：通过执行命令行立即备份； , 触发备份：当话单池使用率达到设定的阈值时自动进行备份。 话单在硬盘上按域分类存放，每个域对应一个目录，目录名为域的名称，对于不带 域名的用户，对应目录default。每个域的目录又分三个子目录，分别存放没有远端 计费服务器期间的离线话单（对应子目录offldw）、有远端计费服务器期间的离线 话单（对应子目录offlup）和中间话单（对应子目录online）。各类话单均按天存放，每类话单每天一个文件，文件使用二进制格式，文件名为“YYYYMMDD-话单类型.bil”。对于起始时间和产生时间跨越一天的话单，此时话单日期以话单的产生时 间为准。 整个目录结构如图1-1所示。 图1-1 话单目录结构图 (3) 接入流水号和话单流水号重启连续 1-3 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 对每个连接分配一个递增的接入流水号，对每张话单分配一个递增的话单流水号， 同一个连接产生的所有话单其接入流水号相同。系统在具有断电保护功能的 NVRAM（NonVolatile Random Access Memory）中同步保存接入流水号和话单流 水号，重启时，流水号从上次最后使用的值开始，从而保证连续性。流水号为32位整数，取值范围从0～0xFFFFFFFF，达到最大值后重新从0开始，可以保证在相当长的时间内不会重复。有了这两个流水号，后台计费系统对话单的分拣和合并 将更加方便，同时还使话单具有可追溯性，可以判断是否发生话单丢失。 (4) 话单池使用率告警 在一些异常情况下，如接入用户过多使话单产生的速度过快、话单文件正被别的任 务使用如管理员正在使用FTP导出话单、本地硬盘已满、本地硬盘故障、文件系统 故障等，有可能话单不能及时写入硬盘，话单池的使用率可能超过75%并达到100%，这时系统会产生告警消息，提请管理员处理。当话单池使用率达到75%时将产生“话单池将满”告警消息；当话单池使用率达到100%时，将产生“话单池已满”告警消息；当话单池的使用率降到100%以下或者75%以下时，又会产生相应的告警取消消息。 (5) 话单丢弃告警和日志 如果话单池已满，但还是有话单不断产生，这时将采取如下策略进行话单丢弃：如 果新来的是在线话单，则直接丢弃；如果新来的是离线话单，则判断话单池中是否 有在线话单，如果有则丢弃已有的在线话单，写入新来的离线话单，如果话单池中 没有在线话单，则丢弃新来的离线话单。 丢弃话单时，会产生“丢弃话单”告警消息，同时会根据话单的详细内容生成日志 消息。所以，只要配置了日志主机，即使因话单池满而产生话单丢失，也能通过日 志找到丢失的话单。 (6) 对话单进行CRC校验 给每张话单都加上CRC（Cyclic Redundancy Check）校验码，保证话单不被非法 篡改。在话单池从AAA模块提交进入本地话单池时，计算其校验码存放在话单的校 验码字段中，以后再对话单进行读写操作时，首先对校验码进行判断，一旦发现校 验码错误立即产生“CRC错误”告警消息，并将话单标记为CRC错误话单。 (7) 在双主控系统中对离线话单进行热备份 鉴于离线话单的重要性，在双主控系统中，对离线话单进行实时备份，当主板收到 离线话单时，同时会复制一份发送到备板，这样在主板和备板各保留了一份离线话 单，即使发生主备倒换也能不丢失话单。 (8) 通过FTP导出话单 , 管理员可以通过FTP将本地保存的话单以文本格式或二进制格式手工导出到 外部主机； 1-4 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , 通过FTP在每天的指定时间自动将前一天的话单导出到外部主机。 1.1.2 RADIUS协议简介 AAA可以用多种协议来实现，但最常用的是RADIUS协议。RADIUS最初用来管理使用串口和调制解调器的大量分散用户，后来广泛应用于网络接入服务器NAS（Network Access Server）系统。 当用户想要通过某个网络（如电话网）与NAS建立连接从而取得访问其他网络的权 利或取得使用某些网络资源的权利时，NAS起到了认证用户或对应连接的作用。 NAS负责把用户的认证、授权和计费信息传递给RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息。RADIUS服务器负责接收用户的连接请求，完成认证，并把用户所需的配置信息返回给NAS。NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的，以避免用户的密码 在不安全的网络上传输时被窃取。 1. RADIUS的消息流程 RADIUS协议规定了客户端与服务器间消息交互的消息流程和消息结构，采用 RADIUS协议时的服务器就叫RADIUS服务器。RADIUS协议规定的简单消息流程 如图1-2所示。 Request用户名,口令Router /用户RADIUS服务器Access Server Response 图1-2 RADIUS客户端与服务器间的消息流程 当用户登录路由器或接入服务器等网络设备时，首先会将用户名和口令发送给该网 络设备；该网络设备中的RADIUS客户端接收用户名和口令，并向RADIUS服务器发送认证请求；RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户 授权信息返回给客户端。客户端和RADIUS服务器之间认证信息的传递通过密钥的 参与来完成，即加密以后才在网络上传递，以避免用户信息在不安全的网络上被窃 取。计费流程和认证/授权流程类似。 登录的用户可以是使用网络资源的PPP（Point-to-Point Protocol）用户，也可以是对网络设备进行配置、维护的管理用户。用户的用户名、口令等信息也可以存放在 网络设备上，此时的认证为本地认证。 1-5 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 2. RADIUS的消息结构 RADIUS的消息结构如图1-3所示。 Code：指示消息类型，如接入请求、接入允许、计费请求等。 Identifier：一般是顺序递增的数字，用于匹配请求包和回应包。 Length：所有域的总长度。 Authenticator：验证字，用于验证RADIUS的合法性。 Attribute：消息的内容主体，主要是用户相关的各种属性。 图1-3 RADIUS消息结构 3. RADIUS的特点 RADIUS使用UDP（User Datagram Protocol）作为传输协议，具有良好的实时性； 同时也支持重传机制和备用服务器机制，从而具有较好的可靠性。RADIUS的实现比较简单，适用于大用户量时服务器端的多线程结构。正因为如此，RADIUS协议得到了广泛的应用。 宽带接入服务器作为RADIUS的协议客户端，实现以下功能： , 标准RADIUS协议及扩充属性，包括RFC2865、RFC2866。 , 华为扩展的RADIUS+1.1协议。 , 对RADIUS服务器状态的主动探测功能：收到AAA的认证或计费消息后，如 果当前服务器的状态为DOWN，启动服务器探测处理，将消息转换为报文后 向当前服务器发送，该报文作为服务器的探测报文，如果收到RADIUS服务 器的回应，则认为该服务器重新可用。 , 计费结束报文的本地缓存重传功能：计费结束报文在重传发送失败次数超过配 置次数后，将计费结束报文保存到计费结束报文缓存队列；系统定时器周期扫 描该队列，如果存在计费结束缓存报文，则取出报文内容，向指定的服务器发 送并启动定时器等待，如果发送失败或在超时时间内没有收到服务器回应，则 重新入缓存队列。 1-6 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , RADIUS服务器的自动切换功能：报文等待定时器超时，如果当前发送的服务 器的状态为不可发送，或者发送次数超过当前服务器的最大重传次数，则需要 在配置的服务器组中选择另外的服务器发送报文。 1.1.3 HWTACACS协议简介 HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。 该协议与RADIUS协议类似，主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能，可用于PPP和VPDN（Virtual Private Dial Network）接入用户及login用户的认证、授权和计费。 与RADIUS相比，HWTACACS具有更加可靠的传输和加密特性，更加适合于安全 控制。HWTACACS协议与RADIUS协议的主要区别如表1-1所示。 表1-1 HWTACACS协议与RADIUS协议的比较 HWTACACS RADIUS 使用TCP，网络传输更可靠 使用UDP 除了标准的HWTACACS报文头，对报文主体只是对认证报文中的密码字段进行加密 全部进行加密 认证与授权分离 认证与授权一起处理 适于进行安全控制 适于进行计费 支持对路由器上的配置命令进行授权使用 不支持 利用HWTACACS协议认证与授权分离的特性，可以使用RADIUS进行认证，而使用HWTACACS进行授权。 1.1.4 基于域的用户管理简介 宽带接入服务器对用户的管理包括两个层次：一是通过域来进行管理，域下可以进 行缺省授权配置、RADIUS/HWTACACS模板配置、认证和计费方案的配置等；二 是通过用户帐号进行管理。在目前AAA的实现中，所有用户都属于某个域，用户属 于哪个域是由用户名中带的“@”后的字符串来决定的，比如“user@hua”，就属于“hua”域；如果用户名中没有带“@”，就属于系统缺省的default域。 所有对于用户的认证、授权、计费都是在域视图下应用认证方案、授权方案、计费 方案来实现的，在AAA视图下分别预先配置相应的认证方法、计费方法、授权方法。 AAA有缺省的认证方案、授权方案、计费方案，分别采用本地认证、本地授权、不 计费。如果新创建一个域，不在域下应用认证方案、授权方案、计费方案，AAA对 1-7 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 该域将采用缺省的认证方案、授权方案和计费方案。此外，如果要对用户采用 RADIUS/HWTACACS方案，必须预先在系统视图下配置RADIUS/HWTACACS服务器模板，然后在用户所属域的视图下应用该服务器模板。具体配置步骤请参见后 面的举例。 当域和域下的用户同时配置了某一属性时，基于用户的配置优先级高于域的配置优 先级。 域下配置的授权信息较AAA服务器的授权信息优先级低，即，优先使用AAA服务器下发的授权属性，在AAA服务器无该项授权或不支持该项授权时，域的授权属性 生效。这样处理的优点是：可以凭借域管理灵活增加业务，而不必受限于AAA服务器提供的属性。 VRP支持按域名转发特性。VRP（Versatile Routing Platform）支持配置多个域。当作为宽带接入服务器使用时，VRP根据接入用户的域名判断他们所属的服务提供 商ISP（Internet Service Provider），并将接入用户的流量导入所属的服务提供商 网络。 如图1-4所示，有两个服务提供商ISP1和ISP2，用户user1@isp1是ISP1的用户，user2@isp2是ISP2的用户。要求宽带接入服务器BAS设备必须把user1@isp1的所有流量导入到ISP1，不能让这些流量经过ISP2；同样，user2@isp2的流量必须被导入到ISP2，不能经过ISP1。 internet ISP1ISP2 Path1Path2 Broadband AccessServer User1User2 图1-4 按域名转发的应用示意图 1-8 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 如果用户只访问ISP内部网络，则BAS上不需要进行特别配置，普通的路由和IP （Internet Protocol）转发就可以满足这种需求。但如果用户希望访问Internet，在 上述组网中，BAS就可能会找到两条路径Path1和Path2，并在两条路径上进行负 载分担。假设user1@isp1访问Internet，它的一部分流量将会进入ISP2。 由于接入用户的地址通常是由BAS设备分配的，如果两个ISP的用户共享一个地址 池，则BAS无法通过五元组区分用户属于哪个ISP。 为解决上述问题，VRP提供了按域名转发的实现方式，可以为某个域所有用户的上 行数据指定下一跳地址。指定的下一跳地址可以是直连地址，也可以是非直连地址。 与普通IP转发相比，按域名转发方式根据配置的下一跳查找路由，而不是根据报文 的目的地址查找路由。 VRP支持多种转发方式，包括普通IP转发、源路由转发、策略路由等，按域名转 发的优先级低于策略路由，高于其它转发方式。 每个域（包括default域）都可以配置按域名转发，但每个域只能配置一个下一跳地 址。 注意： 按域名转发特性只在NE16E/08E/05系列路由器上提供。 1.1.5 本地用户管理简介 本地用户管理是指在本路由器上建立本地用户数据库，维护用户信息，并对用户进 行管理。除了可以建立本地用户帐号外，还可以进行本地认证、本地计费等功能。 在VRP目前的实现中，可以配置单独的本地用户，也可以按PVC（Permanent Virtual Circuit）绑定格式或VLAN（Virtual Local Area Network）绑定格式对本地用户进行 批量配置。系统最多可以配置1000个本地用户帐号。 1.2 配置AAA 1.2.1 建立配置任务 1. 应用环境 在需要为合法用户提供网络接入服务，同时，对敏感的网络设备进行保护，防止非 授权访问和抵赖行为的环境下，可以配置AAA。 1-9 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , 说明： AAA在宽带接入服务器上始终处于使能状态。 采用PPP方式接入的用户，可以利用PPP地址协商功能从宽带接入服务器获得本 端接口的IP地址。在宽带接入服务器上，AAA对PPP用户的地址分配原则如下： (1) 对于default域的用户（包括两种：不加＠的，像“aaa”等；用户名＠default， 像“aaa@default”）分配地址的优先级如下： , 如果采用RADIUS或HWTACACS认证和授权，并且服务器给用户下发了地 址，则采用服务器下发的地址。 , 如果服务器没有下发地址，而是下发地址池，则优先在AAA视图下相应的地 址池中查找地址给用户。 , 如果上述两种方式没有分配到地址，或是采用本地认证，则采用相应接口下配 置的命令给用户分配地址，如果配置的是分配地址，则直接将地址分配给用户， 但此地址只能被分配一次；如果是配置的地址池，则在AAA视图下相应的地 址池中给用户分配地址，分配不到地址则返回失败。 (2) 对于不认证用户，采用接口下的配置给用户分配地址。分配方式和default域 的相同。 (3) 对于域用户，如果采用服务器的认证，并且服务器给用户下发了地址，则采用 服务器下发的地址；如果服务器没有下发地址，而是下发地址池，则优先在相 应域下的地址池中查找地址给用户；如果上述两种方式没有分配到地址，或是 采用本地认证，则直接在相应的域下按配置的地址池一个一个地找，找到后即 分配给用户，找不到则返回失败 。 , 说明： IP地址协商的配置需要在客户端与服务器端分别进行。 2. 前置任务 无。 3. 数据准备 在配置之前，需准备以下数据： 1-10 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 序号 数据 1 确定认证方案名称、认证方法 2 确定授权方案名称、授权方法（可选） 3 确定计费方案名称、计费方法、实时计费的时间间隔 4 确定开始计费失败策略、实时计费失败策略、实时计费失败次数（可选） 5 如果采用本地计费或同时使用本地计费和其它计费方式，则需要确定本地计费的各种 参数，具体参考“1.2.5 配置本地计费” （可选） 6 确定记录方案名称、与记录方法关联的HWTACACS服务器模板的名称、需要记录的 事件（可选） 7 确定服务器端/用户端的接口类型和编号 8 在采用地址池时需要确定地址池编号、IP地址范围，不采用地址池时需要确定为用户 分配的IP地址 4. 配置过程 序号 过程 1 配置认证方案 2 配置授权方案（可选） 3 配置计费方案 4 配置本地计费（可选） 5 配置记录方案（可选） 6 配置为用户分配IP地址 7 在用户端配置接口IP地址为可协商 1.2.2 配置认证方案 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 authentication-scheme 创建认证方案，并进入认证方authentication-scheme-name 案视图 4 authentication-mode { [ hwtacacs | radius | 配置认证方法 local ]* [ none ] } 1-11 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.2.3 配置授权方案 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 authorization-scheme 创建授权方案，并进入授权方authorization-scheme-name 案视图 4 authorization-mode { [ hwtacacs | 配置授权方法 if-authenticated | local ]* [ none ] } 1.2.4 配置计费方案 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 accounting-scheme accounting-scheme-name 创建计费方案，并进入计费方 案视图 4 accounting-mode { hwtacacs | radius | local | 配置计费方法 none | local-radius | local-hwtacacs } 5 accounting realtime interval 使能实时计费并设置计费间隔 6 accounting start-fail { online | offline } 配置开始计费失败策略（可选） 7 accounting interim-fail [ max-times times ] 配置实时计费失败策略（可选） { online | offline } 1.2.5 配置本地计费 步骤 操作 命令 1 system-view 进入系统视图 2 lam ftp-setting { ascii | binary } user-name 配置FTP导出话单参数 user-name password password ftp-server-ip [ ftp-server-port [ main-filename main-filename ] ] 3 lam auto-ftp-bills time hour [ retry-times 配置自动导出话单参数 retry-times ] [ retry-delay retry-delay ] 4 lam backup-percent percent 配置话单池使用率，当超过此比率 时将自动备份话单到硬盘 5 lam backup-timeout minutes 配置定时备份话单到硬盘的时间 间隔 6 quit 退出系统视图 1-12 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 步骤 操作 命令 7 lam reset { access-no | bill-no } * 复位接入流水号和话单流水号 8 lam backup-now 将话单池中的最新话单立即备份 到硬盘 9 lam ftp-bills { all | domain domain-name } [ date 通过FTP导出话单 date-start [ date-end ] ] [ type { online | offline-with-remote-server | offline-without-remote-server } ] , 说明： 话单池中的话单有三种备份到硬盘的方式：定时备份、使用率触发备份和手工备份。 1.2.6 配置记录方案 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 recording-scheme recording-scheme-name 创建记录方案，并进入记录方 案视图 4 recording-mode hwtacacs template-name 配置记录方法 5 quit 从记录方案视图返回到AAA视 图 6 cmd recording-scheme recording-scheme-name 记录用户在路由器上执行过的 命令（可选） 7 outbound recording-scheme 记录连接信息（可选） recording-scheme-name 8 system recording-scheme 记录系统级事件（可选） recording-scheme-name , 说明： 只有在使用HWTACACS协议时，才可以配置记录功能。 1-13 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.2.7 配置为用户分配IP地址 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 配置本地系统IP地址池 ip pool pool-number first-address [ last-address ] 4 退出AAA视图 quit 5 interface interface-type interface-number 进入接口视图 6 remote address { ip-address | pool 配置为用户分配IP地址 [ pool-number ] } , 说明： 在只有一个用户的情况下，可以不必配置地址池，直接为其分配指定的IP地址，这时可以省略上述步骤2、3、4。第六步的命令应运行于POS或CPOS等支持PPP协议的接口 1.2.8 在用户端配置接口IP地址为可协商 步骤 操作 命令 1 system-view 进入系统视图 2 interface interface-type interface-number 进入接口视图 3 ip address ppp-negotiate 在用户端配置接口IP地址为可协 商 1-14 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , 说明： 若接口封装了PPP，本端接口还未配置IP地址而对端已有IP地址时，可为本端接口配置IP地址可协商属性，使本端接口接受PPP协商产生的由对端分配的IP地址。在配置IP地址协商时，有以下几点需要注意： , 因PPP支持IP地址的协商，所以只有当接口封装了PPP时，才能设置接口IP地址的协商，当PPP协议DOWN 时，协商产生的IP地址将被删除。 , 配置接口IP地址协商后，不需再给该接口配IP地址，IP地址由协商获得。若接口原来配有地址，原IP地址将被删除。 , 配置接口IP地址协商后，再次配置该接口协商，原协商产生的IP地址将被删除，接口再次协商获得IP地址。 , 在协商地址被删除后，接口将处于无地址状态。 , 第三步的命令应运行于POS或CPOS等支持PPP协议的接口 1.3 配置RADIUS服务器 1.3.1 建立配置任务 1. 应用环境 在AAA采用RADIUS协议时需要配置RADIUS服务器。 , 说明： 在RADIUS的配置中，大部分项目都有缺省配置，用户也可以根据实际组网需求进 行配置。 只有当该RADIUS服务器模板没有用户使用时，才能改变RADIUS配置。 2. 前置任务 无。 3. 数据准备 在配置之前，需准备以下数据： 序号 数据 1 确定RADIUS服务器模板名称 2 确定RADIUS主认证、计费服务器的IP地址和端口号、源接口编号（可选） 1-15 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 序号 数据 3 确定RADIUS备份认证、计费服务器的IP地址和端口号、源接口编号（可选） 4 确定RADIUS服务器的协议版本（可选） 5 确定RADIUS服务器的密钥（可选） 6 确定RADIUS服务器的用户名格式是否带域名（可选） 7 确定RADIUS服务器的流量单位（可选） 8 确定RADIUS服务器应答超时时间、重传次数（可选） 9 确定RADIUS服务器的NAS端口形式、NAS端口ID形式（可选） 4. 配置过程 序号 过程 1 创建RADIUS服务器模板 2 配置RADIUS认证服务器 3 配置RADIUS计费功能 4 配置RADIUS服务器的协议版本（可选） 5 配置RADIUS服务器的密钥（可选） 6 配置RADIUS服务器的用户名格式（可选） 7 配置RADIUS服务器的流量单位（可选） 8 配置RADIUS服务器的NAS端口（可选） 1.3.2 创建RADIUS服务器模板 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 创建RADIUS服务器模板，并 进入RADIUS视图 1.3.3 配置RADIUS认证服务器 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 1-16 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 步骤 操作 命令 3 radius-server authentication ip-address port 配置RADIUS主认证服务器 [ source loopback interface-number ] 4 radius-server authentication ip-address port 配置RADIUS备份认证服务器 [ source loopback interface-number ] secondary 1.3.4 配置RADIUS计费功能 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server accounting ip-address port 配置RADIUS主计费服务器 [ source loopback interface-number ] 4 radius-server accounting ip-address port [ source loopback interface-number ] 配置RADIUS备份计费服务器 secondary 1.3.5 配置RADIUS服务器的协议版本 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server type { standard | portal } 配置RADIUS服务器的协议版本 1.3.6 配置RADIUS服务器的密钥 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server shared-key key-string 配置RADIUS服务器的密钥 1-17 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.3.7 配置RADIUS服务器的用户名格式 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server user-name domain-included 配置RADIUS服务器的用户名格 式 1.3.8 配置RADIUS服务器的流量单位 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server traffic-unit { byte | kbyte | mbyte 配置RADIUS服务器的流量单位 | gbyte } 1.3.9 配置RADIUS服务器的重传参数 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server timeout seconds 配置RADIUS服务器应答超时时 间 4 radius-server retransmit retry-times 配置RADIUS服务器重传次数 1.3.10 配置RADIUS服务器的NAS端口 步骤 操作 命令 1 system-view 进入系统视图 2 radius-server template template-name 进入RADIUS视图 3 radius-server nas-port-format { new | old } 配置RADIUS服务器的NAS端口 形式 4 radius-server nas-port-id-format { new | old } 配置RADIUS服务器的NAS端口 ID形式 1-18 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.4 配置HWTACACS服务器 1.4.1 建立配置任务 1. 应用环境 在AAA采用HWTACACS协议时需要配置HWTACACS服务器。 , 说明： 与RADIUS服务器的配置相比，配置HWTACACS服务器时需要注意以下几点： 除删除服务器外，HWTACACS的大部分属性在改变配置时都不检查当前是否有用 户在使用此模板。 HWTACACS服务器缺省没有密钥。 在对计费停止报文的处理上，HWTACACS不受设备是集中式或分布式的限制。 2. 前置任务 无。 3. 数据准备 在配置之前，需准备以下数据： 序号 数据 1 确定HWTACACS服务器模板名称 2 确定HWTACACS主认证、授权、计费服务器的IP地址和端口号 3 确定HWTACACS备份认证、授权、计费服务器的IP地址和端口号（可选） 4 确定计费结束报文重传次数或禁止重传（可选） 5 确定HWTACACS服务器的源IP地址（可选） 6 确定HWTACACS服务器的密钥（可选） 7 确定HWTACACS服务器的用户名格式是否带域名（可选） 8 确定HWTACACS服务器的流量单位（可选） 9 确定HWTACACS服务器应答超时时间、HWTACACS主服务器恢复激活时间（可选） 1-19 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 4. 配置过程 序号 过程 1 创建HWTACACS服务器模板 2 配置HWTACACS认证服务器 3 配置HWTACACS授权服务器 4 配置HWTACACS计费功能 5 配置HWTACACS服务器的源IP地址（可选） 6 配置HWTACACS服务器的密钥（可选） 7 配置HWTACACS服务器的用户名格式（可选） 8 配置HWTACACS服务器的流量单位（可选） 9 配置HWTACACS服务器的定时器（可选） 1.4.2 创建HWTACACS服务器模板 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 创建HWTACACS服务器模板， 并进入HWTACACS视图 1.4.3 配置HWTACACS认证服务器 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server authentication ip-address 配置HWTACACS主认证服务器 [ port ] 4 hwtacacs-server authentication ip-address 配置HWTACACS备份认证服务[ port ] secondary 器 1.4.4 配置HWTACACS授权服务器 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 1-20 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 步骤 操作 命令 3 hwtacacs-server authorization ip-address 配置HWTACACS主授权服务器 [ port ] 4 hwtacacs-server authorization ip-address 配置HWTACACS备份授权服务[ port ] secondary 器 1.4.5 配置HWTACACS计费功能 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server accounting ip-address [ port ] 配置HWTACACS主计费服务器 4 配置HWTACACS备份计费服务hwtacacs-server accounting ip-address [ port ] secondary 器 5 quit 退出HWTACACS视图 6 hwtacacs-server accounting-stop-packet 配置计费结束报文重传 resend { disable | enable number } 1.4.6 配置HWTACACS服务器的源IP地址 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server source-ip ip-address 配置HWTACACS服务器的源IP 地址 1.4.7 配置HWTACACS服务器的密钥 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server shared-key key-string 配置HWTACACS服务器的密钥 1-21 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.4.8 配置HWTACACS服务器的用户名格式 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server user-name domain-included 配置HWTACACS服务器的用户 名格式 1.4.9 配置HWTACACS服务器的流量单位 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server traffic-unit { byte | kbyte | 配置HWTACACS服务器的流量mbyte | gbyte } 单位 1.4.10 配置HWTACACS服务器的定时器 步骤 操作 命令 1 system-view 进入系统视图 2 hwtacacs-server template template-name 进入HWTACACS视图 3 hwtacacs-server timer response-timeout 配置HWTACACS服务器应答超value 时时间 4 hwtacacs-server timer quiet value 配置HWTACACS主服务器恢复 激活时间 1.5 配置域 1.5.1 建立配置任务 1. 应用环境 当需要通过域来对接入用户进行AAA等管理时需要配置域。 通过域还可以为接入用户分配IP地址，或统一下发接入用户使用的DNS（Domain Name System）服务器地址、NBNS（NetBIOS Name Service）服务器地址等属性。 1-22 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 2. 前置任务 , 如果采用远端认证、授权或计费方案时，需要已经创建RADIUS或 HWTACACS服务器模板。 , 如果配置对域用户应用ACL，需要创建ACL并配置规则。 3. 数据准备 在配置之前，需准备以下数据： 序号 数据 1 确定域的名称 2 确定域的认证方案、授权方案、计费方案名称 3 确定域的RADIUS模板或HWTACACS模板名称 4 确定域使用的地址池的编号、地址池起始IP地址、地址池结束IP地址 5 确定域使用的主、从DNS服务器IP地址 6 确定域使用的主、从NBNS服务器IP地址 7 确定域的CAR级别及参数 8 确定域的接入用户优先级 9 确定域允许的最大接入用户数 10 确定域的强制Web认证服务器IP地址 11 确定对域用户应用的ACL编号 12 确定按域名转发的下一跳IP地址 13 确定域所绑定的VT接口编号 4. 配置过程 序号 过程 1 创建域 2 配置域的认证、授权和计费方案 3 配置域的RADIUS服务器模板 4 配置域的HWTACACS服务器模板 5 配置域的地址相关属性 6 配置域的状态 7 配置域的流量控制级别 8 配置域的接入用户优先级 9 配置域允许的最大接入用户数 1-23 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 序号 过程 10 配置域的强制Web认证服务器地址 11 配置对域用户应用ACL 12 配置按域名转发的下一跳地址 13 配置域所绑定的VT接口 1.5.2 创建域 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 创建域，并进入域视图 1.5.3 配置域的认证、授权和计费方案 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 authentication-scheme 配置域的认证方案 authentication-scheme-name 5 authorization-scheme 配置当前域的授权方案 authorization-scheme-name 6 accounting-scheme accounting-scheme-name 配置当前域的计费方案 1.5.4 配置域的RADIUS服务器模板 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 radius-server template-name 配置域的RADIUS服务器模板 1-24 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.5.5 配置域的HWTACACS服务器模板 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 hwtacacs-server template-name 配置域的HWTACACS服务器模 板 1.5.6 配置域的地址相关属性 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 ip pool pool-number first-address [ last-address ] 配置域地址池 5 dns primary-ip ip-address 配置主DNS服务器 6 dns second-ip ip-address 配置从DNS服务器 7 nbns primary-ip ip-address 配置主NBNS服务器IP地址 8 nbns second-ip ip-address 配置从NBNS服务器IP地址 1.5.7 配置域的状态 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 state { active | block } 配置域的状态 1.5.8 配置域的流量控制级别 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 1-25 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 步骤 操作 命令 3 user-car level-number input target-rate 配置CAR级别的参数 burst-size excess-burst-size output target-rate burst-size excess-burst-size 4 domain domain-name 进入域视图 5 user-car level-number 配置域的流量控制级别 1.5.9 配置域的接入用户优先级 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 user-priority level 配置域的接入用户优先级 1.5.10 配置域允许的最大接入用户数 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 access-limit max-number 配置域允许的最大接入用户数 1.5.11 配置域的强制Web认证服务器地址 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 web-server ip-address 配置域的强制Web认证服务器地 址 1-26 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.5.12 配置对域用户应用ACL 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 acl-number acl-number 配置对域用户应用ACL 1.5.13 配置按域名转发的下一跳地址 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 next-hop ip-address 配置按域名转发的下一跳地址 1.5.14 配置域所绑定的VT接口 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 domain domain-name 进入域视图 4 binding virtual-tempale interface-number 配置域所绑定的VT接口 1.6 配置单独本地用户管理 1.6.1 建立配置任务 1. 应用环境 可以在宽带接入服务器上创建单独的本地用户，并进行管理。 1-27 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 2. 前置任务 如果配置对本地用户应用ACL，需要创建ACL并配置规则。 3. 数据准备 在配置之前，需准备以下数据： 序号 数据 1 确定用户名、口令 2 确定本地用户的服务类型 3 确定本地用户的回呼号码 4 确定本地用户的主叫号码 5 确定本地用户的FTP目录名 6 确定本地用户的状态 7 确定本地用户的流量控制级别及CAR参数 8 确定本地用户的优先级别 9 确定本地用户的接入限制数量 10 确定本地用户的MAC地址 11 确定对本地用户应用的ACL编号 4. 配置过程 序号 过程 1 创建本地用户帐号 2 配置本地用户的服务类型 3 配置本地用户的回呼号码 4 配置本地用户的回呼校验 5 配置本地用户的主叫号码 6 配置本地用户的FTP目录权限 7 配置本地用户的状态 8 配置本地用户的流量控制级别 9 配置本地用户的优先级 10 配置本地用户的接入限制 11 配置本地用户的MAC地址绑定 12 配置对本地用户应用ACL 1-28 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.6.2 创建本地用户帐号 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name [ password { simple | 创建本地用户帐号 cipher } password ] 1.6.3 配置本地用户的服务类型 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name service-type { bind | ftp | 配置本地用户的服务类型 ppp | ssh | telnet | terminal | web | x25-pad } * , 说明： 通过对本地用户的服务类型进行配置，可以实现按业务类型管理用户。 1.6.4 配置本地用户的回呼号码 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name callback-number 配置本地用户的回呼号码 telephone-number 1-29 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , 说明： , RADIUS服务器端也可以配置callback-number。 , 如果对PPP用户启用RADIUS认证，则发送给PPP的回呼号码由RADIUS服 务器配置的callback-number决定。 , 如果对PPP用户启用本地认证，则发送给PPP的回呼号码由local-user callback-number命令的配置决定。 , 如果PPP没有告知AAA此用户是否是回呼用户，AAA根据用户是否配置了 callback-number来判断。 1.6.5 配置本地用户的回呼校验 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name callback-nocheck 配置本地用户的回呼校验 1.6.6 配置本地用户的主叫号码 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name call-number 配置本地用户的主叫号码 telephone-number [ : sub-number ] 1.6.7 配置本地用户的FTP目录权限 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name ftp-directory directory 配置本地用户的FTP目录权限 1-30 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.6.8 配置本地用户的状态 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name state { active | block } 配置本地用户的状态 1.6.9 配置本地用户的流量控制级别 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 user-car level-number input target-rate 配置CAR级别的参数 burst-size excess-burst-size output target-rate burst-size excess-burst-size 4 local-user user-name user-car level-number 配置本地用户的流量控制级别 1.6.10 配置本地用户的优先级 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name level level 配置本地用户的优先级 1.6.11 配置本地用户的接入限制 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name access-limit access-limit 配置本地用户的接入限制 1-31 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.6.12 配置本地用户的MAC地址绑定 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name mac-address 配置本地用户的MAC地址绑定 mac-address 1.6.13 配置对本地用户应用ACL 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 local-user user-name acl-number acl-number 配置对本地用户应用ACL 1.7 配置PVC本地用户管理 1.7.1 建立配置任务 1. 应用环境 可以在具有ATM接口的宽带接入服务器上采用PVC绑定格式批量创建本地用户， 并进行管理。 2. 前置任务 无。 3. 数据准备 在配置之前，需准备以下数据： 序号 数据 1 确定PVC本地用户的接口类型、接口编号、VPI的值、起始VCI的值、结束VCI的值、 域名/密码 2 确定PVC本地用户的服务类型 3 确定PVC本地用户的状态 1-32 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 序号 数据 4 确定PVC本地用户的流量控制级别及CAR参数 5 确定PVC本地用户的接入限制数量 4. 配置过程 序号 过程 1 创建PVC本地用户帐号 2 配置PVC本地用户的服务类型 3 配置PVC本地用户的状态 4 配置PVC本地用户的流量控制级别 5 配置PVC本地用户的接入限制 1.7.2 创建PVC本地用户帐号 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 pvc-batch user interface interface-type 创建PVC本地用户帐号 interface-number vpi start-vci end-vci-number [ domain domain-name | password password ] * 1.7.3 配置PVC本地用户的服务类型 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 pvc-batch user service-type { bind | ftp | ppp | 配置PVC本地用户的服务类型 ssh | telnet | terminal | web | x25-pad } * interface interface-type interface-number vpi start-vci end-vci-number [ domain domain-name ] , 说明： 通过对本地用户的服务类型进行配置，可以实现按业务类型管理用户。 1-33 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.7.4 配置PVC本地用户的状态 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 pvc-batch user state { active | block } interface 配置PVC本地用户的状态 interface-type interface-number vpi start-vci end-vci-number [ domain domain-name ] 1.7.5 配置PVC本地用户的流量控制级别 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 user-car level-number input target-rate 配置CAR级别的参数 burst-size excess-burst-size output target-rate burst-size excess-burst-size 4 pvc-batch user user-car level-number 配置PVC本地用户的流量控制级interface interface-type interface-number vpi 别 start-vci end-vci-number [ domain domain-name ] 1.7.6 配置PVC本地用户的接入限制 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 pvc-batch user access-limit max-number 配置PVC本地用户的接入限制 interface interface-type interface-number vpi start-vci end-vci-number [ domain domain-name ] 1-34 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.8 配置VLAN本地用户管理 1.8.1 建立配置任务 1. 应用环境 可以在宽带接入服务器上采用VLAN绑定格式批量创建本地用户，并进行管理。 2. 前置任务 无。 3. 数据准备 在配置之前，需准备以下数据： 序号 数据 1 确定VLAN本地用户的接口类型、接口编号、起始VLAN ID、用户数、域名/密码 2 确定VLAN本地用户的服务类型 3 确定VLAN本地用户的状态 4 确定VLAN本地用户的流量控制级别及CAR参数 5 确定VLAN本地用户的接入限制数量 4. 配置过程 序号 过程 1 创建VLAN本地用户帐号 2 配置VLAN本地用户的服务类型 3 配置VLAN本地用户的状态 4 配置VLAN本地用户的流量控制级别 5 配置VLAN本地用户的接入限制 1.8.2 创建VLAN本地用户帐号 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 1-35 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 步骤 操作 命令 3 vlan-batch user interface interface-type 创建VLAN本地用户帐号 interface-number start-vlan-id number [ domain domain-name | password password ] * 1.8.3 配置VLAN本地用户的服务类型 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 vlan-batch user service-type { bind | ftp | ppp | 配置VLAN本地用户的服务类型 ssh | telnet | terminal | web | x25-pad } * interface interface-type interface-number start-vlan-id number [ domain domain-name ] , 说明： 通过对本地用户的服务类型进行配置，可以实现按业务类型管理用户。 1.8.4 配置VLAN本地用户的状态 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 vlan-batch user state { active | block } 配置VLAN本地用户的状态 interface interface-type interface-number start-vlan-id number [ domain domain-name ] 1.8.5 配置VLAN本地用户的流量控制级别 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 user-car level-number input target-rate 配置CAR级别的参数 burst-size excess-burst-size output target-rate burst-size excess-burst-size 4 vlan-batch user user-car level-number 配置VLAN本地用户的流量控制interface interface-type interface-number 级别 start-vlan-id number [ domain domain-name ] 1-36 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.8.6 配置VLAN本地用户的接入限制 步骤 操作 命令 1 system-view 进入系统视图 2 aaa 进入AAA视图 3 vlan-batch user access-limit max-number 配置VLAN本地用户的接入限制 interface interface-type interface-number start-vlan-id number [ domain domain-name ] 1.9 维护 1.9.1 清除 请在用户视图下执行下面命令。 表1-2 清除 操作 命令 reset hwtacacs-server statistics { all | 清除HWTACACS服务器的统计信息 accounting | authentication | authorization } reset hwtacacs-server 清除HWTACACS服务器计费停止报文的accounting-stop-packet { all | ip ip-address } 统计信息 1.9.2 显示 可在所有视图下执行下面命令。 表1-3 显示 操作 命令 display aaa configuration 查看AAA的概要信息 display accounting-scheme 查看计费方案的配置情况 [ accounting-scheme-name ] display authentication-scheme 查看认证方案的配置情况 [ authentication-scheme-name ] display authorization-scheme 查看授权方案的配置情况 [ authorization-scheme-name ] display recording-scheme 查看记录方案的配置情况 [ recording-scheme-name ] 1-37 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 操作 命令 display radius-server configuration [ template 查看RADIUS服务器信息 template-name ] display ip pool { global | domain 查看地址池使用情况 domain-name } display hwtacacs-server template 查看HWTACACS服务器信息 [ template-name [ verbose ] ] display hwtacacs-server 查看HWTACACS服务器的计费停止报文accounting-stop-packet { all | number | ip 情况 ip-address } display domain [ domain-name ] 查看域的配置信息 display local-user [ domain domain-name | 查看本地用户的属性 user-name user-name ] display lam bills stat { all | domain 查看话单的统计信息 domain-name } display lam bills file-tree 查看话单文件的树结构 display lam bills hd { all | domain 查看硬盘上话单的详细内容 domain-name } [ [ date date-start [ date-end ] ] [ type { online | offline-with-remote-server | offline-without-remote-server } ] display lam bills pool { all | domain 查看话单池中话单的详细内容 domain-name } [ type { online | offline-with-remote-server | offline-without-remote-server } ] display user-car [ level ] 查看用户CAR表 1.9.3 调试 请在用户视图下执行下面命令。 表1-4 调试 操作 命令 debugging radius packet 使能RADIUS的报文调试功能 undo debugging radius packet 禁止RADIUS的报文调试功能 debugging hwtacacs { all | error | event | 使能HWTACACS服务器的调试功能 message | receive-packet | send-packet } undo debugging hwtacacs { all | error | event | 禁止HWTACACS服务器的调试功能 message | receive-packet | send-packet } 1-38 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.10 AAA及用户管理典型配置举例 1.10.1 采用RADIUS协议认证和计费 1. 组网需求 , 用RADIUS服务器对接入用户进行认证、计费。 , 用户所属的域为huawei。 , RADIUS服务器129.7.66.66作为主认证服务器和计费服务器，RADIUS服务 器129.7.66.67作为备用认证服务器和计费服务器，认证端口号默认为1812， 计费端口号默认为1813。 2. 组网图 129.7.66.66NASEthernet 129.7.66.67 PSTN modelmodel 被访问网络 图1-5 AAA示例组网图 3. 配置步骤 # 配置RADIUS服务器模板shiva。 [Quidway] radius-server template shiva # 配置RADIUS主认证、计费服务器IP地址和端口。 [Quidway-radius-shiva] radius-server authentication 129.7.66.66 1812 [Quidway-radius-shiva] radius-server accounting 129.7.66.66 1813 # 配置RADIUS备认证、计费服务器IP地址和端口。 1-39 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 [Quidway-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary [Quidway-radius-shiva] radius-server accounting 129.7.66.67 1813 secondary # 配置RADIUS服务器密钥、重传次数。 [Quidway-radius-shiva] radius-server shared-key it-is-my-secret [Quidway-radius-shiva] radius-server retransmit 2 [Quidway-radius-shiva] quit # 进入AAA视图。 [Quidway]aaa # 配置认证方案1，认证方法为RADIUS。 [Quidway–aaa] authentication-scheme 1 [Quidway-aaa-authen-1] authentication-mode radius [Quidway-aaa-authen-1] quit # 配置计费方案1，计费方法为RADIUS。 [Quidway–aaa] accounting-scheme 1 [Quidway–aaa-accounting-1] accounting-mode radius [Quidway–aaa-accounting-1] quit # 配置huawei域，在域下应用认证方案1、计费方案1、shiva的RADIUS模板。 [Quidway-aaa] domain huawei [Quidway-aaa-domain-huawei] authentication-scheme 1 [Quidway-aaa-domain-huawei] accounting-scheme 1 [Quidway-aaa-domain-huawei] radius-server shiva 1.10.2 采用本地和HWTACACS协议认证并授权和计费 1. 组网需求 , 对接入用户先用本地数据库进行认证，如果认证失败，再使用HWTACACS 服务器进行认证。 , 对接入用户采用HWTACACS授权。 , 对所有用户都需要计费。 , 对用户进行实时计费，间隔为3分钟。 , HWTACACS服务器129.7.66.66为主服务器，认证端口号为1000，授权端口 号为1001，计费端口号为1002；HWTACACS服务器129.7.66.67为备服务 器，认证端口号默认为1812，授权端口号默认为1813，计费端口号默认为 1814。 1-40 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 2. 组网图 参见图1-5。 3. 配置步骤 # 配置HWTACACS服务器模板ht。 [Quidway] hwtacacs-server template ht # 配置HWTACACS主认证、授权、计费服务器IP地址和端口。 [Quidway-hwtacacs-ht] hwtacacs-server authentication 129.7.66.66 1000 [Quidway-hwtacacs-ht] hwtacacs-server authorization 129.7.66.66 1001 [Quidway-hwtacacs-ht] hwtacacs-server accounting 129.7.66.66 1002 # 配置HWTACACS备认证、授权、计费服务器IP地址和端口。 [Quidway-hwtacacs-ht] hwtacacs-server authentication 129.7.66.67 1812 secondary [Quidway-hwtacacs-ht] hwtacacs-server authorization 129.7.66.67 1813 secondary [Quidway-hwtacacs-ht] hwtacacs-server accounting 129.7.66.67 1814 secondary # 配置HWTACACS服务器密钥。 [Quidway-hwtacacs-ht] hwtacacs-server shared-key it-is-my-secret [Quidway-hwtacacs-ht] quit # 进入AAA视图。 [Quidway] aaa # 配置认证方案l-h，认证方法为先本地认证，后HWTACACS认证。 [Quidway–aaa] authentication-scheme l-h [Quidway-aaa-authen-l-h] authentication-mode local hwtacacs [Quidway-aaa-authen-l-h] quit # 配置授权方案hwtacacs，授权方法为HWTACACS。 [Quidway–aaa] authorization-scheme hwtacacs [Quidway–aaa-author-hwtacacs] authorization-mode hwtacacs [Quidway–aaa-author-hwtacacs] quit # 配置计费方案hwtacacs，计费方法为HWTACACS。 [Quidway–aaa] accounting-scheme hwtacacs [Quidway–aaa-accounting-hwtacacs] accounting-mode hwtacacs # 配置实时计费间隔为3分钟。 [Quidway–aaa-accounting-hwtacacs] accounting realtime 3 [Quidway–aaa-accounting-hwtacacs] quit 1-41 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 # 配置huawei域，在域下采用l-h认证方案、hwtacacs授权方案、hwtacacs计费方案、ht的HWTACACS模板。 [Quidway-aaa] domain huawei [Quidway-aaa-domain-huawei] authentication-scheme l-h [Quidway-aaa-domain-huawei] authorization-scheme hwtacacs [Quidway-aaa-domain-huawei] accounting-scheme hwtacacs [Quidway-aaa-domain-huawei] hwtacacs-server ht 1.10.3 采用RADIUS协议对Telnet用户的认证 1. 组网需求 , 对Telnet用户先用RADIUS服务器进行认证，如果没有响应，则不认证。 , 认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812。 2. 组网图 参见图1-5。 3. 配置步骤 # 配置RADIUS服务器模板。 [Quidway] radius-server template shiva # 配置RADIUS认证服务器IP地址和端口。 [Quidway-radius-shiva] radius-server authentication 129.7.66.66 1812 # 配置RADIUS服务器密钥、重传次数。 [Quidway-radius-shiva] radius-server shared-key it-is-my-secret [Quidway-radius-shiva] radius-server retransmit 2 [Quidway-radius-shiva] quit # 进入AAA视图。 [Quidway] aaa # 配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。 [Quidway–aaa] authentication-scheme r-n [Quidway-aaa-authen-r-n] authentication-mode radius none [Quidway-aaa-authen-r-n] quit # 配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。 [Quidway-aaa] domain default [Quidway-aaa-domain-default] authentication-scheme r-n [Quidway-aaa-domain-default] radius-server shiva 1-42 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.10.4 对PPPoE接入用户配置按域名转发 1. 组网需求 用户User1以PPPoE方式接入，RouterA做为宽带接入服务器，ISP1和ISP2有 路由去往RouterB连接的Internet。 要求用户User1在访问Internet时，流量只能通过ISP1到达RouterB，不能进入ISP2。 2. 组网图 ISP1 Ethernet1/0/0Ethernet2/0/0130.1.1.1/16150.1.1.0/16 Ethernet2/0/0Ethernet1/0/0150.1.1.1/16130.1.1.2/16 Ethernet1/0/0internetRouter ARouter B Ethernet2/0/0Ethernet3/0/0130.1.1.3/16140.1.1.1/16 Ethernet1/0/0Ethernet2/0/0130.1.1.4/16140.1.1.2/16 ISP2 图1-6 按域名转发组网图 3. 配置步骤 , 说明： 在开始下面的配置之前，假设RouterA、RouterB，以及做为ISP的两台路由器已经配置完毕，各接口IP地址如上图所示。并且，在RouterA上有两条去往130.1.0.0/16网段的路由，下一跳地址分别为150.1.1.2和140.1.1.2。 (1) 在RouterA上配置普通的PPPoE接入 # 配置PPPoE。 [RouterA] interface ethernet 1/0/0 [RouterA-Ethernet1/0/0] pppoe-server bind Virtual-Template 1 [RouterA-Ethernet1/0/0] quit 1-43 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 # 创建并配置VT。 [RouterA] interface virtual-template 1 [RouterA-Virtual-Template1] ppp authentication-mode pap [RouterA-Virtual-Template1] ip address 180.1.1.1 255.255.0.0 [RouterA-Virtual-Template1] quit # 增加一个PPPoE用户User1，使用的域名为huawei。 [RouterA] aaa [RouterA-aaa] local-user user1@huawei password simple hello # 配置huawei域的地址池，为User1分配地址。 [RouterA-aaa] domain huawei [RouterA-aaa-domain-huawei] ip pool 1 180.1.1.2 180.1.1.100 [RouterA-aaa-domain-huawei] quit [RouterA-aaa] quit [RouterA] interface ethernet 1/0/0 [RouterA-Virtual-Template0] remote address pool 1 (2) 完成上述配置后的测试 在User1的主机上增加到130.1.0.0/16网段的路由，指定下一跳为180.1.1.1。 在User1的主机上使用PPPoE拨号软件拨入，使用的用户名为user1@huawei，密码为hello。用户可以正常上线，并分配到180.1.1.2到180.1.1.100范围内的一个IP地址。 在ISP1和ISP2上分别使用debugging ip packet命令打开IP报文调试开关。 在User1的主机上对地址130.1.1.2进行ping操作，可以ping通，ISP1和ISP2上都能够看到ping报文。 (3) 配置按域名转发 # 在RouterA上增加以下配置，指定属于huawei域的用户上行数据下一跳地址为 150.1.1.2。 [RouterA] aaa [RouterA-aaa] domain huawei [RouterA-aaa-domain-huawei] next-hop 150.1.1.2 在User1的主机上对地址130.1.1.2进行ping操作，可以ping通，ISP1上能够看到ping报文，ISP2上没有ping报文。 1-44 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.11 AAA及用户管理故障诊断与排除 1.11.1 用户本地认证总被拒绝 1. 故障现象 用户本地认证总被拒绝。 2. 分析 AAA配置不正确或未配置。 3. 处理过程 步骤 操作 1 检查是否配置了相应的域，域配置的认证方案中是否采用的是本地认证，如果要采用 本地认证，最好采用默认值。 2 检查local-user命令是否配置了正确的口令。 3 检查配置的授权服务类型（service-type）是否正确。 1.11.2 用户RADIUS认证总被拒绝 1. 故障现象 用户RADIUS认证总被拒绝。 2. 分析 AAA配置不正确或未配置。 3. 处理过程 步骤 操作 1 检查相应的域下的RADIUS服务器模板是否配置正确。 2 检查RADIUS服务器是否在属性字典中加入了华为公司的特有属性。 3 检查RADIUS服务器对该用户设置的用户名、口令、使用服务是否正确。 4 检查RADIUS服务器是否能够ping通，路由器配置的RADIUS服务器地址、端口号、 口令是否与使用的RADIUS服务器一致。 1-45 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 1.11.3 未配置认证却对用户进行认证 1. 故障现象 未配置认证却对用户进行认证。 2. 分析 AAA默认都是本地认证，如果要对用户不认证，必须创建一个认证方案，在该方案 下配置认证方法为不认证，然后在用户相应的域下应用此认证方案。 3. 处理过程 步骤 操作 1 检查是否确实没有配置域的认证方案。 2 创建一个认证方案，在该方案下配置认证方法为不认证，然后在用户所属的域下应用 此认证方案。 1.11.4 Telnet用户通过RADIUS认证后不能进入系统视图 1. 故障现象 对Telnet用户采用RADIUS认证，认证通过，但是上线后却不能进入设备的系统视 图。 2. 分析 原因之一是因为在RADIUS服务器上没有配置此用户的权限。 3. 处理过程 步骤 操作 1 如果是采用shiva作为RADIUS服务器，配置exec-privilege这个属性。 2 如果是其他类型的服务器，我们采用自己的扩展属性exec-privilege，是标准属性26 下的扩展属性（29），请在相应的属性字典中加入该属性，并进行配置。 3 检查用户是否正常上线及正常计费，可以使用命令display access-user。 1-46 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 , 说明： 对于FTP用户也是一样，如果是采用shiva作为RADIUS服务器，请配置ftp-directory属性；如果是其他类型的服务器，我们采用自己的扩展属性ftp-directory，是标准属性26下的扩展属性（28），请在相应的属性字典中加入该属性，并进行配置。 如果是PPP用户，并且要求AAA给分配地址，可以使用display ip pool来查看是否给用户正确分配了地址。 1.11.5 配置按域名转发后报文没有按照指定的下一跳发送 1. 故障现象 配置按域名转发后，报文没有发送到指定的下一跳路由器。 2. 分析 由于策略路由的优先级高于按域名转发，如果配置了策略路由，按域名转发的配置 将不会生效。 3. 处理过程 步骤 操作 1 使用display current-configuration命令查看是否配置了策略路由。 2 如果配置了策略路由，要使按域名转发生效，则应删除配置的策略路由。 1.11.6 预连接用户配置按域名转发后无法建立连接 1. 故障现象 对于采用VLAN＋Web方式的二层接入用户，配置按域名转发后，连接无法建立。 2. 分析 对于采用Web认证的接入用户，正常情况下，用户开机后即处于预连接状态，宽带 接入服务器上将保留这个用户的一部分信息，主要用于安全防范的目的。 当处于预连接状态的用户有访问网络资源的需求时，会发出DHCP报文（DHCP用户）或ARP报文（静态用户），这类报文将触发Web认证过程，用户通过Web认证后才能正常访问网络资源。 1-47 通用路由平台VRP 操作手册 安全分册 第1章 AAA及用户管理配置 3. 处理过程 步骤 操作 1 请确认预连接用户所配置的下一跳是否能访问Web服务器。如果配置的下一跳不能访 问Web服务器，则用户无法通过Web认证，不能建立连接。 2 对于预连接用户，建议配置的下一跳指向Web服务器，或者不配置按域名转发。 1.11.7 与某友商的tacacs服务器互通问题 1. 故障现象 本公司的设备和某友商的设备共用一个tacacs服务器时，出现认证不能通过。 2. 分析 友商设定的用户级别范围和本公司的范围不同，本公司的范围是0－3，并且认为其值超过3就属于错误配置，从而导致认证不能通过。 3. 处理过程 步骤 操作 1 配置两个用户，为本公司的设备配置一个用户，为友商的设备配置一个用户 1-48