【交换机在江湖】实战案例十一 HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导

digest [复制链接]
发表于 : 2014-12-24 10:59:34 最新回复:2018-09-07 14:49:05
26092 49
交换机在江湖
交换机在江湖 官方号

1 背景

交换机提供用户的接入功能,用户分为管理员用户和接入用户两大类。如1-1所示,管理员用户需要接入交换机对其进行管理,接入用户需要接入交换机使用视频、语音、上网等网络应用业务。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-1图1-1 交换机的用户

当用户接入交换机时,交换机需要对这些用户进行接入控制管理。如对用户进行身份认证(Authentication),授权(Authorization)给用户接入后可进行的业务以及根据用户使用的业务进行计费(Accounting),即AAA管理机制。AAA提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。

l   认证:验证用户是否可以获得网络访问权。

l   授权:授权用户可以使用哪些服务。

l   计费:记录用户使用网络资源的情况。

 

AAA常用在对安全性要求较高的网络环境中,例如金融、***和运营商等行业。交换机运用AAA管理机制时还需要在网络中部署AAA服务器,如1-2所示,通过各种方式接入交换机的用户的用户信息都由AAA服务器统一创建与维护,当用户输入的用户名和密码与AAA服务器上配置的一致时,才可以成功登录设备,再依据授权配置完成相应的授权,例如获取权限访问Internet

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-3图1-2 AAA服务器管理交换机的用户

目前S系列交换机支持基于RADIUS协议或HWTACACS协议与AAA服务器通信,在实际应用中,最常使用RADIUS协议。


2 Cisco Secure ACS介绍

简介

思科安全访问控制服务器Cisco Secure ACSCisco Secure Access Control System)是一个高度可扩展、高性能的AAA服务器,能提供AAA认证,授权,计费等全面的身份识别网络解决方案,这使企业网络能具有更高灵活性、移动性和安全性。

Cisco Secure ACS支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 VPN

Cisco Secure ACS服务器支持RADIUS协议与TACACS+协议实现AAA管理机制,其中RADIUS协议采用RFC标准,TACACS+协议为思科公司开发。

 

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-5ACS的使用

完成交换机与Cisco Secure ACS的物理连接后,还需要在PC上安装Cisco Secure ACS客户端软件。安装完成后,管理员可以通过WEB界面登录到Cisco Secure ACS对其进行配置。

 

Cisco Secure ACS的客户端软件和使用手册请登陆网站http://www.cisco.com/获取。本文有关Cisco Secure ACS的介绍仅供参考。

 

本文以ACS 5.2.0.26版本为例介绍相关界面和配置。

登录Cisco Secure ACS客户端要求浏览器为Microsoft Internet Explorer6.x版本或7.x版本和Mozilla Firefox3.x版本。登录客户端后,可以查看和管理ACS,同时也可以监控和输出日志,这些日志用来跟踪用户连接,可以显示哪些用户当前登录,列出失败的身份验证和授权尝试等等。

 

ACS客户端界面组成如2-1所示。其中各导航区介绍如2-1所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-6图2-1 客户端界面组成

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-8表2-1 客户端各导航区介绍

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-9

 

3 S系列交换机AAACisco Secure ACS对接方案

3.1 实现差异对比

S系列交换机和Cisco Secure ACS支持的RADIUS协议均采用标准协议(不包括“Downloadable ACLs”功能),无对接风险。其中“Downloadable ACLs”功能为思科私有字段下发,只有Cisco部分型号设备支持此功能,配置的过程中使用Cisco Secure ACS的标准属性下发ACL

 

S系列交换机支持的HWTACACS协议与思科支持的TACACS+协议都实现了认证、授权、计费的功能。HWTACACSTACACS+的认证流程与实现方式是一致的,即HWTACACSTACACS+在协议层面完全兼容,如设备使用HWTACACS协议时支持与思科服务器(如ACS)对接,但HWTACACS与思科的扩展属性不一定能够兼容,原因是不同厂商在扩展属性的字段定义和解释上存在区别。

 

3.2 适用形态及版本

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-10 

本文以ACS 5.2.0.26版本为例介绍Cisco Secure ACS相关界面和配置。

 

3.3 对接介绍

交换机与Cisco Secure ACS对接组网如3-1所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-11图3-1 交换机与Cisco Secure ACS对接组网

 

进行对接配置之前,请先确保:

l   交换机与ACS的物理连通性。

l   管理员可以通过WEB界面登录到ACSACS进行配置。

 

3.4 对接案例

3.4.1 组网需求及配置思路

组网需求

管理员和802.1x接入用户分别通过管理网络和接入网络接入交换机,企业使用ACS统一创建与维护用户信息。其中管理员可以通过WEB界面登录到ACSACS进行配置。

 

为加强安全性,要求管理员和802.1x接入用户采用不同的账号,并且权限不一样。

具体需求:

1.         管理员输入正确的用户名和密码才能通过Telnet登录设备,并且登录设备成功后可以操作命令级别为015的所有命令行。

 

2.         802.1x用户在终端上启动802.1x客户端,输入用户名和密码,认证通过后可以接入交换机。

802.1x用户接入交换机后,

?       只能操作命令级别为02的所有命令行。

?       ACS为其下发属性VLAN 100ACL 3000

 

3.         管理员登录设备时使用默认域认证,802.1x用户使用huawei.com域认证。

图3-2 接入用户通过802.1x接入交换机

配置准备

进行配置之前,请按照3-2准备数据,表中数据仅供参考。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-13表3-2 交换机与ACS对接的数据准备

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-14

 

3.4.2 配置S系列交换机

配置思路

1.         使能Telnet服务。

2.         创建VLANACL,用于ACS下发时匹配。

3.         配置管理员用户通过Telnet登录的认证方式为AAA

4.         配置RADIUS认证:创建RADIUS服务器模板和AAA认证方案并分别在默认管理域default_admin和普通huawei.com下引用。

5.         802.1x用户接入的接口下使能802.1x认证。

 

操作步骤

1.         配置接口和IP地址,使SwitchACS网络互通。

<Quidway> system-view
[Quidway] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface vlanif 10
[Switch-Vlanif20] ip address 10.1.6.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.10 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.1.3.10 24
[Switch-Vlanif30] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 20
[Switch-GigabitEthernet0/0/2] quit

 

当需要ACS为接入用户下发VLAN属性或者ACL属性时,交换机的用户上线接口(使能认证的端口)必须为hybrid类型接口。

[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type hybrid
[Switch-GigabitEthernet0/0/3] port hybrid untagged vlan 30
[Switch-GigabitEthernet0/0/3] quit

 

2.         创建用户的VLANACL,用于ACS为用户下发时匹配。

设备上存在的VLANACS下发的VLAN相同时,VLAN才能成功下发。ACL下发时亦是。

[Switch] vlan 100
[Switch-vlan100] quit
[Switch] acl 3000
[Switch-acl-adv-3000] quit

 

3.         使能Telnet服务器功能。

[Switch] telnet server enable

 

4.         配置VTY用户界面的验证方式为AAA

[Switch] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),缺省情况下Telnet用户最大数目为5
[Switch] user-interface vty 0 14  //
进入014VTY用户界面视图
[Switch-ui-vty0-14] authentication-mode aaa  //
配置VTY用户界面的验证方式为AAA
[Switch-ui-vty0-14] protocol inbound telnet  //
配置VTY用户界面所支持的协议为TelnetV200R006及之前版本,默认配置为telnet,可以不配置该项;V200R007及之后版本,必须配置) 
[Switch-ui-vty0-14] quit

 

5.         配置RADIUS认证,实现用户通过RADIUS认证接入交换机。

# 配置RADIUS服务器模板,实现交换机与ACS采用RADIUS方式通信。

[Switch] radius-server template 1
[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //
指定ACSIP
地址和端口号
[Switch-radius-1] radius-server shared-key cipher Hello@1234  //
指定ACS的共享密钥,需要与ACS上配置一致
[Switch-radius-1] quit

如果ACS上保存的用户名不包含域名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

 

# 配置AAA认证方案,指定认证方式为RADIUS

[Switch] aaa
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode radius
[Switch-aaa-authen-sch1] quit

 

# 在默认管理域下引用AAA认证方案和RADIUS服务器模板。

管理员用户(通过TelnetSSHFTPHTTPTerminal等方式的接入用户)使用默认管理域认证。

缺省情况下,默认管理域为default_admin

[Switch-aaa] domain default_admin
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

 

# huawei.com域下引用AAA认证方案和RADIUS服务器模板。

[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] radius-server 1
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

 

# V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。

[Switch] authentication unified-mode

传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。

 

# 在接口上使能802.1x认证。

[Switch] interface gigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3] authentication dot1x
[Switch-GigabitEthernet0/0/3] dot1x authentication-method eap  //
由于大部分802.1x客户端采用EAP
中继认证,建议配置
[Switch-GigabitEthernet0/0/3] quit

 

配置文件

#
sysname Switch
#
vlan batch 10 20 30 100
#
acl number 3000
#
radius-server template 1                                             
 radius-server shared-key cipher %#%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%#%#
 radius-server authentication 10.1.6.6 1812 weight 80                
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 domain default_admin            
  authentication-scheme sch1     
  radius-server 1      
 domain huawei.com            
  authentication-scheme sch1     
  radius-server 1      
# 
interface Vlanif10 
 ip address 10.1.6.10 255.255.255.0     
# 
interface Vlanif20 
 ip address 10.1.2.10 255.255.255.0     
# 
interface Vlanif30 
 ip address 10.1.3.10 255.255.255.0     
# 
interface GigabitEthernet0/0/1         
 port link-type access           
 port default vlan 10 
#
interface GigabitEthernet0/0/2         
 port link-type access           
 port default vlan 20 
#
interface GigabitEthernet0/0/3  
 port link-type hybrid           
 port hybrid untagged vlan 30    
 authentication dot1x 
 dot1x authentication-method eap
#
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa     
 protocol inbound telnet      
#
return

 

3.4.3 配置Cisco Secure ACS

1.         登录ACS客户端,输入用户名和密码,进入系统的主页面。

a.         在浏览器的地址栏输入ACSURLUniversal Resource Locator)地址,并按“Enter”键,进入ACS登录页面,输入用户名和密码,单击“登录”,如3-3所示。

 

ACSURL地址格式:“http:// IP /”或者“https:// IP /”。例如:“http://10.13.1.1/”或者“https://10.13.1.1/”。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-15图3-3 ACS登录页面

b.     成功登录ACS后,会显示系统的主页面,如3-4所示。主页面的介绍可以参考“客户界面组成”。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-17图3-4 系统的主页面

 

2.         添加接入设备。

a.         单击导航树中的“Network Resources > Network Devices and AAA clients > Creat”菜单,如3-5所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-19图3-5 网络设备与AAA客户端配置页面

b.         进入新增网络设备与AAA客户端页面后,输入交换机名称、交换机IP地址,并选择交换机与ACS通信方式为RADIUS,输入交换机与ACS的共享密钥、端口号,并单击“Submit”,如3-6所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-21图3-6 添加网络设备与AAA客户端

 

3.         添加接入用户。

a.         单击导航树中的“Users and Identity Stores > Internal Identity Stores > Users”菜单,如3-7所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-23图3-7 接入用户配置页面

 

b.         输入接入用户的用户名、密码,再次输入密码,并单击“Submit”,如3-8所示。

3-8为添加802.1x用户参数的配置页面,请根据管理员用户参数再自行添加管理用户。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-25图3-8 添加接入用户

 

4.         添加认证授权模板。

a.         单击导航树中的“Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Creat”菜单,添加认证授权模板,如3-9所示。

当使用RADIUS协议时,建议选择““Policy Elements > Authorization and Permissions > Network Access”。

当使用TACACS+协议时,建议选择“Policy Elements > Authorization and Permissions > Authorization Profiles”。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-27图3-9 添加认证授权模板

b.         添加对应于管理员用户的认证授权模板,指定用户只能通过Telnet登录,用户成功上线后的用户级别为15

配置“Genernal”页签如3-10所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-29图3-10 管理员用户认证授权模板的“Genernal”页签

 

配置“RADIUS Attributes”页签如3-113-12所示。配置完成后,单击“Submit”,提交新建的认证授权模板。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-31图3-11 管理员用户认证授权模板的“RADIUS Attributes”页签

 

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-33图3-12 “RADIUS Attributes”页签添加完成后提交

 

c.         添加对应于802.1x用户的认证授权模板,指定用户只能通过802.1x方式登录,用户成功上线后的用户级别为2,并且ACS下发ACL 3000VLAN 100属性,如3-133-143-15所示。配置完成后,单击“Submit”,提交新建的认证授权模板。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-35图3-13 802.1x用户认证授权模板的“Genernal”页签

 

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-37图3-14 802.1x用户认证授权模板的“Common Tasks”页签

 

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-39图3-15 802.1x用户认证授权模板的“RADIUS Attributes”页签

 

5.         添加接入策略,将用户和认证授权模板绑定。

a.         新建接入业务,单击导航树中的“Access Policies > Access Services > Creat”菜单,如3-16所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-41图3-16 新建接入业务

 

b.         配置接入业务:指定通信方式为“Network Access”和指定用户接入使用的协议,如3-173-18所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-43图3-17 指定通信方式为“Network Access”

 

对于S系列交换机来说,接入用户的协议一般为图中前五种。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-45图3-18 用户接入使用的协议

 

c.         新建规则,单击导航树中的“Access Policies > Access Services > Service Selection Rules”,如3-19所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-47图3-19 新建规则

 

d.         配置规则:指定用户认证时使用RADIUS协议,并添加属性如3-20示。

涉及属性添加时,请单击导航“Access Policies > Access Services > Service Selection Rules ”预先添加好需要的属性。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-49图3-20 配置规则

 

单击OK后自动返回页面,单击“Save Changes”保存配置。

e.         选择刚才新建的接入业务,并单击“Identity”,新建“Identity”的规则,如3-21所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-51图3-21 新建“Identity”的规则

 

f.          配置其规则如3-22所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-53图3-22 配置“Identity”的规则

单击OK后自动返回页面,单击“Save Changes”保存配置。

g.         选择刚新建的接入业务,并单击“Authorization”,配置管理员对应的认证规则如3-23所示,配置802.1x用户对应的认证规则如3-24所示。

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-55图3-23 管理员对应的认证规则

 

【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1312141-57图3-24 802.1x用户对应的认证规则

h.         单击OK后自动返回页面,单击“Save Changes”保存配置。

6.         完成配置。

 

3.4.4 检查配置结果

l   管理员通过RADIUS认证后成功Telnet交换机。

# 管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符界面,执行telnet命令,并输入用户名user1和密码Huawei@1234,通过Telnet方式登录交换机成功。

C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:admin1
Password:**********
<Switch>//
管理员登录设备成功

 

# 通过Telnet方式登录交换机成功后,执行命令display access-user username admin1查看管理用户获取的授权。

l   802.1x用户通过RADIUS认证后成功通过802.1x方式接入交换机。

 

# 在设备上执行命令test-aaa,测试该802.1x用户能否通过认证。

[Switch] test-aaa user1@huawei.com Huawei@1234 radius-template 1

 

# 802.1x用户在终端上启动802.1x客户端,输入用户名user1@huawei.com和密码Huawei@1234,开始认证。如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。

 

# 802.1x用户上线后,管理员可在交换机上执行命令display access-user access-type dot1x查看在线的802.1x用户,同时通过查看“Dynamic VLAN”和“Dynamic ACL number(Effective)”字段可以看到802.1x用户成功获取RADIUS服务器下发的VLANACL属性。

 

想要了解更多精彩内容,请猛戳我:交换机在江湖汇总贴


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
SRDWFO
SRDWFO  导师 发表于 2014-12-24 13:44:21 已赞(0) 赞(0)

好文!非常好!
  • x
  • 常规:

点评 回复

dota
dota  版主 发表于 2014-12-24 14:00:39 已赞(0) 赞(0)

非常详细,图文并茂!

  • x
  • 常规:

点评 回复

lgliang
lgliang   发表于 2014-12-25 17:12:01 已赞(0) 赞(0)

非常详细,图文并茂!正好有用做。
  • x
  • 常规:

点评 回复

Colorful
Colorful  新锐 发表于 2014-12-29 09:57:18 已赞(0) 赞(0)

好文章,感谢分享
  • x
  • 常规:

点评 回复

kargay
kargay   发表于 2015-1-3 18:48:37 已赞(0) 赞(0)

很详细,多谢提供!
  • x
  • 常规:

点评 回复

jmdhhy
jmdhhy  新锐 发表于 2015-1-8 07:56:39 已赞(0) 赞(0)

楼主能否讲一下通过windows radius服务器认证的文章,毕竟思科的Cisco Secure ACS需要付费的。

  • x
  • 常规:

点评 回复

kuningkok
kuningkok   发表于 2015-1-8 10:37:08 已赞(0) 赞(0)

支持LZ分享~~           
  • x
  • 常规:

点评 回复

niemingzhu
niemingzhu   发表于 2015-9-11 23:44:50 已赞(0) 赞(0)

ACS 5.6找不到华为radius属性,如图【交换机在江湖】实战案例十一  HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导-1666005-1

  • x
  • 常规:

点评 回复

唯美
唯美   发表于 2015-8-15 17:13:33 已赞(0) 赞(0)

和 ACS 5.4 或者5.6 是否可以对接?

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录