安全技术1:ACL(访问控制列表)

简介:

ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。

ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。

由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。

根据应用目的,可将ACL分为下面几种: 

基本ACL:只根据三层源IP地址制定规则。

高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

ACL在交换机上的应用方式

1. ACL直接下发到硬件中的情况

交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序,该匹配顺序也不起作用。ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、通过ACL过滤转发数据等。

2. ACL被上层模块引用的情况

交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条ACL中多个规则的匹配顺序。用户一旦指定某一条ACL的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。

    ACL被软件引用的情况包括:对登录用户进行控制时引用ACL等。

ACL的作用

ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。

ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。

ACL匹配顺序

ACL可能会包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文时就会出现匹配顺序的问题。

ACL支持两种匹配顺序:

配置顺序:根据配置顺序匹配ACL规则。

自动排序:根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下: 

IP ACL(基本和高级ACL)的深度优先以源IP地址掩码和目的IP地址掩码长度排序,掩码越长的规则位置越靠前。排序时先比较源IP地址掩码长度,若源IP地址掩码长度相等,则比较目的IP地址掩码长度。例如,源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前

S2000-HI支持的ACL

交换机支持的ACL如下:
基本ACL和高级ACL
S2000-HI交换机上定义的ACL只能用于被上层模块引用的情况,不能下发到硬件

ACL 3p原则

记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:

每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 

每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。 

每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。 

ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。

ACL的执行过程

一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。  数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制

说明:时间段配置在同一个名字下可以配置多个时间段,这些时间段之间是“或”的关系。 

如果一个时间段只定义了周期时间段,则只有在该周期时间段内,该时间段才进入激活状态。

如果一个时间段只定义了绝对时间段,则只有在该绝对时间段内,该时间段才进入激活状态。
如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。
如果不配置开始日期,时间段就是从当前时间起到结束日期为止。
如果不配置结束日期,时间段就是从配置的开始时间起到系统可以表示的最大时间为止。

定义基本ACL 

  基本ACL只根据三层源IP制定规则,对数据包进行相应的分析处理。

  基本ACL的序号取值范围为2000~2999。

在定义ACL规则时如果不指定编号,用户将创建并定义一个新规则,设备将自动为这个规则分配一个编号。

定义高级ACL

高级ACL可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP或UDP的源端口、目的端口,TCP标记,ICMP协议的类型、code等内容定义规则。

高级ACL序号取值范围3000~3999。

高级ACL支持对三种报文优先级的分析处理:ToS(Type Of Service,服务类型)优先级、IP优先级和DSCP(Differentiated Services Codepoint Priority,差分服务编码点优先级)。

用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则

案例:1:配置时间段,取值为周一到周五每天8:00到18:00。

<Quidway> system-view

[Quidway] time-range test 8:00 to 18:00 working-day

[Quidway] display time-range test

Current time is 00:32:52 Apr/2/2000 Sunday

Time-range : test ( Inactive )

08:00 to 18:00 working-day

2:配置ACL 2000,禁止源地址为1.1.1.1的报文通过。

<Quidway> system-view

[Quidway] acl number 2000

[Quidway-acl-basic-2000] rule deny source 1.1.1.1 0

[Quidway-acl-basic-2000] display acl 2000

Basic ACL 2000, 1 rule

Acl's step is 1

rule 0 deny source 1.1.1.1 0

3: 配置ACL 3000,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的端口号为80的报文通过。

<Quidway>system-view

[Quidway] acl number 3000

[Quidway-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

[Quidway-acl-adv-3000] display acl 3000

Advanced ACL 3000, 1 rule

Acl's step is 1

rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www

 

安全技术2:AAA(认证、授权和计费)

简介:

AAA 是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,它是对网络安全的一种管理。

AAA 可完成下列服务:

认证:验证用户是否可获得访问权。

授权:授权用户可使用哪些服务。

计费:记录用户使用网络资源的情况

AAA 的优点

(1) 灵活易控。

(2) 标准化的认证方法。

(3) 多重备用系统。

网络安全主要是指访问控制,包括:

    哪些用户可以访问网络服务器。

    具有访问权的用户可以得到哪些服务。

    如何对正在使用网络资源的用户进行计费。

针对以上问题,AAA必须提供认证功能、授权功能和计费功能。

1. 认证功能

AAA支持以下认证方式: 

不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。

本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。

2. 授权功能

AAA支持以下授权方式: 

直接授权:对用户非常信任,直接授权通过。

本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。

HWTACACS授权:由TACACS服务器对用户进行授权。

3. 计费功能

AAA支持以下计费方式: 

不计费:不对用户计费。

远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。

AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

RADIUS协议简介

AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境中。

RADIUS服务包括三个组成部分:
协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
客户端:位于拨号访问服务器设备侧,可以遍布整个网络。RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。
RADIUS服务器通常要维护三个数据库,如图所示。
第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。
第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。
第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。

  另外,RADIUS服务器还能够作为其他AAA服务器的客户端进行代理认证或计费。

 

配置AAA 

需要为合法用户提供网络接入服务,同时对网络设备进行保护,防止非授权访问和抵赖行为,需要配置AAA。当需要通过ISP域来对接入用户进行AAA等管理时,需要配置ISP域。

配置ISP域的AAA方案

用户可以通过两种方式配置认证、授权、计费方案:
1. 认证、授权、计费捆绑方式
采用这种方式时,用户通过scheme命令指定具体的AAA方案。若采用RADIUS或HWTACACS方案,认证、授权、计费统一由RADIUS或HWTACACS方案中指定的RADIUS或TACACS服务器来完成,即认证、授权、计费不能分别指定不同的方案。

2. 认证、授权、计费分离方式

采用这种方式时,用户可以通过authentication、authorization、accounting这三条命令分别指定认证、授权、计费方案。认证、授权、计费分离方式中对于AAA支撑的各种业务的具体实现如下:
对于终端用户
认证采用:RADIUS,local,RADIUS-local或者none。
授权采用:none。
计费采用:RADIUS或者none。

对于FTP用户

对于FTP用户仅支持认证。
认证采用:RADIUS,local,RADIUS-local。
请在ISP域视图下进行下列配置

案例:在如图所示的环境中,需要通过配置交换机实现RADIUS服务器对登录交换机的Telnet用户进行认证。

要求:一台RADIUS服务器(担当认证RADIUS服务器的职责)与交换机相连,服务器IP地址为10.110.91.164;

设置交换机与认证RADIUS服务器交互报文时的共享密钥为“expert”。

RADIUS服务器可使用CAMS服务器。使用第三方RADIUS服务器时,RADIUS方案中的server-type可以选择standard类型或huawei类型。

在RADIUS服务器上设置与交换机交互报文时的共享密钥为“expert”;

设置验证的端口号;

添加Telnet用户名及登录密码。

如果RADIUS方案中设置交换机不从用户名中去除用户域名而是一起传给RADIUS服务器,RADIUS服务器上添加的Telnet用户名应为”形式。

配置步骤

# 配置Telnet用户采用AAA认证方式。<Quidway> system-view

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

# 配置domain。

[Quidway] domain cams

[Quidway-isp-cams] access-limit enable 10

[Quidway-isp-cams] quit

# 配置RADIUS方案。

[Quidway] radius scheme cams

[Quidway-radius-cams] accounting optional

[Quidway-radius-cams] primary authentication 10.110.91.164 1812

[Quidway-radius-cams] key authentication expert

[Quidway-radius-cams] server-type Huawei

[Quidway-radius-cams] user-name-format with-domain

[Quidway-radius-cams] quit

# 配置domain和RADIUS的关联。

[Quidway] domain cams

[Quidway-isp-cams] scheme radius-scheme cams

Telnet用户登录时输入用户名userid @cams,以使用cams域进行认证。

FTP/Telnet用户本地认证配置

如下图所示的环境中,现需要通过配置交换机实现对登录交换机的Telnet用户进行本地认证。

配置步骤:(使用本地认证方案)

# 进入系统视图。<Quidway> system-view

System View: return to User View with Ctrl+Z.

[Quidway]

# 配置Telnet用户采用AAA认证方式。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

[Quidway-ui-vty0-4] quit

# 创建本地用户telnet。

[Quidway] local-user telnet

[Quidway-luser-telnet] service-type telnet

[Quidway-luser-telnet] password simple huawei

[Quidway-luser-telnet] attribute idle-cut 300 access-limit 5

[Quidway] domain system

[Quidway-isp-system] scheme local

使用Telnet登录时输入用户名为telnet@system,以使用system域进行认证。

安全技术3:dot1X

dot1 X 是 IEEE 802.1 X的缩写,是基于Client/Server的访问控制和认证协议。

802.1x简介

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中,主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。

802.1x的体系结构

使用802.1x的系统为典型的Client/Server体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器),如下图所示。

  

客户端是位于局域网段一端的一个实体,由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端软件必须支持EAPOL(EAP over LANs,局域网上的EAP)协议。

设备端是位于局域网段一端的一个实体,用于对连接到该链接另一端的实体进行认证。设备端通常为支持802.1x协议的网络设备(如Quidway系列交换机),它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。

认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费,通常为RADIUS服务器。该服务器可以存储用户的相关信息,例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。

三个实体涉及如下四个基本概念:端口PAE、受控端口、受控方向和端口受控方式。

1. PAE(Port Access Entity,端口访问实体)

PAE是认证机制中负责执行算法和协议操作的实体。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。

2. 受控端口

设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。

非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接受认证。

受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何禁止从客户端接收报文。

受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。

3. 受控方向

在非授权状态下,受控端口可以被设置成单向受控:

实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。

默认情况下,受控端口实行单向受控。

4. 端口受控方式

Quidway系列交换机支持以下两种端口受控方式:

基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。

基于MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

802.1x的工作机制

IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。

在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。

在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS),承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。

当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。

802.1x的认证过程

Quidway S2000-HI系列交换机支持EAP终结方式和EAP中继方式完成认证。
1. EAP中继方式
这种方式是IEEE 802.1x标准规定的,将EAP协议承载在其他高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message(值为79)和Message-Authenticator(值为80)。
EAP中继方式有三四种认证方法:EAP-MD5、EAP-TLS(Transport Layer Security,传输层安全)、EAP-TTLS和PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议):
EAP-MD5:验证客户端的身份,RADIUS服务器发送MD5加密字(EAP-Request/MD5 Challenge报文)给客户端,客户端用该加密字对口令部分进行加密处理。
EAP-TLS:验证客户端和RADIUS服务器端双方的身份,通过EAP-TLS认证方法检查彼此的安全证书,保证双方的正确性,防止网络数据被盗窃。
EAP-TTLS:是对EAP-TLS的一种扩展。在EAP TLS中,实现对客户端和认证服务器的双向认证。EAP-TTLS扩展了这种实现,它使用TLS建立起来的安全隧道传递信息。

PEAP:首先创建和使用TLS安全通道来进行完整性保护,然后进行新的EAP协商,从而完成对客户端的身份验证。

802.1x在S2000-HI交换机上的实现

S2000-HI交换机除了支持前面所述的802.1x特性外,还支持如下特性:
与CAMS服务器配合,实现检测客户端功能(检测代理、双网卡等)。
客户端版本检测功能。
Guest VLAN功能。

配置802.1x简介

802.1x提供了一个用户身份认证的实现方案,为了实现此方案,除了配置802.1x相关命令外,还需要在交换机上配置AAA方案,选择使用RADIUS或本地认证方案,以配合802.1x完成用户身份认证:

 

802.1x用户通过域名和交换机上配置的ISP域相关联。

配置ISP域使用的AAA方案,包括本地认证方案和RADIUS方案。
如果采用RADIUS方案,通过远端的RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在交换机上进行RADIUS客户端的相关设置。
如果是需要本地认证,则需要在交换机上手动添加认证的用户名和密码,当用户使用和交换机中记录相同的用户名和密码,启动802.1x客户端软件进行认证时,就可以通过认证。
也可以配置交换机先采用RADIUS方案,通过RADIUS服务器进行认证,如果RADIUS服务器无效,则使用本地认证。

配置802.1x基本功能

配置802.1x的应用特性

802.1x的应用特性的各项配置都是可选的,包括如下配置任务:
配置802.1x与CAMS配合应用的特性:检测客户端使用多网卡、代理等。
配置客户端版本检测功能。
配置允许DHCP触发认证。
配置Guest VLAN功能

案例: 802.1x典型配置举例

要求:

在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是基于MAC地址的接入控制。

所有接入用户都属于一个缺省的域:aabbcc.net,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线;此外,接入时在用户名后不添加域名,正常连接时如果用户有超过20分钟流量持续小于2000Bytes的情况则切断其连接。

由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”,设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。

 

配置步骤

# 开启全局802.1x特性。

<Quidway> system-view

[Quidway] dot1x

# 开启指定端口Ethernet 1/0/1的802.1x特性。

[Quidway] dot1x interface Ethernet 1/0/1

# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Quidway] dot1x port-method macbased interface Ethernet 1/0/1

# 创建RADIUS方案radius1并进入其视图。

[Quidway] radius scheme radius1

# 设置主认证/计费RADIUS服务器的IP地址。

[Quidway-radius-radius1] primary authentication 10.11.1.1

[Quidway-radius-radius1] primary accounting 10.11.1.2

# 设置备份认证/计费RADIUS服务器的IP地址。

[Quidway-radius-radius1] secondary authentication 10.11.1.2

[Quidway-radius-radius1] secondary accounting 10.11.1.1

# 设置系统与认证RADIUS服务器交互报文时的加密密码。

[Quidway -radius-radius1] key authentication name

# 设置系统与计费RADIUS服务器交互报文时的加密密码。

[Quidway-radius-radius1] key accounting money

# 设置系统向RADIUS服务器重发报文的时间间隔与次数。

[Quidway-radius-radius1] timer 5

[Quidway-radius-radius1] retry 5

# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。

[Quidway-radius-radius1] timer realtime-accounting 15

# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[Quidway-radius-radius1] user-name-format without-domain

[Quidway-radius-radius1] quit

# 创建域aabbcc.net并进入其视图。

[Quidway] domain default enable aabbcc.net

# 指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。

[Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local

# 设置该域最多可容纳30个用户。

[Quidway-isp-aabbcc.net] access-limit enable 30

# 启动闲置切断功能并设置相关参数。

[Quidway-isp-aabbcc.net] idle-cut enable 20 2000

[Quidway-isp-aabbcc.net] quit

# 配置域aabbcc.net为缺省用户域。

[Quidway] domain default enable aabbcc.net

# 添加本地接入用户。

[Quidway] local-user localuser

[Quidway-luser-localuser] service-type lan-access

[Quidway-luser-localuser] password simple localpass