《设备tacacs+配置方法》由会员分享,可在线阅读,更多相关《设备tacacs+配置方法(13页珍藏版)》请在金锄头文库上搜索。
1、1黑龙江综合网管系统网络设备配置方案黑龙江综合网管系统网络设备配置方案1:SE800 设备几种命令状态及设备配置介绍设备几种命令状态及设备配置介绍1.1 命令状态命令状态1. router 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但 不能看到和更改路由器的设置内容。 需要输入 enable 命令才能进入特权命令状态。 2. router# 在 router提示符下键入 enable,路由器进入特权命令状态 router#,这时不但可以执行所有的 用户命令,还可以看到和更改路由器的设置内容。 3. router(config)# 在 router#提示符下键入
2、 configure terminal,出现提示符 router(config)#,此时路由器处于全局 设置状态,这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#; 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5. 路由器处于 RXBOOT 状态,在开机后 60 秒内按 ctrl-break 可进入此状态,这时路由器不能 完成正常的功能,只能进行软件升级和手工引导。1.2:SE800 配置内容介绍:配置内容介绍:Contexts:实例,一个设备运行多个实例,每个
3、实例有自己独立的路由能力和域的管理,以及独立的路由协议,认证和记账等等。每个实例可用于相应的服务分类,实例之间也能通信。系统有一个默认的 context,名字为local,这个实例是不能被删除并常用于管理。Interfaces:一种逻辑接口,提供给高层协议(如 3 层 IP 地址)或服务信息,这个逻辑接口配置在相应的 context 下,并独立于物理端口/链路。高层协议要生效的一个前提是该逻辑接口要关联到相应的物理端口/链路上。Subscribers:终端用户,是 context 配置里面的一部分,用于描述终端用户的特性,包括使之能绑定到相应 interface接口或满足某些 context
4、或服务所需要的信息,以及其他一些配置信息,如认证,接入控制,限速,策略信息等。Ports,Channels,and Circuits:2这些是物理的端口/链路,上层协议的实现需要与相应的物理端口/链路做绑定,用专门的 bind 命令。Cross-connections:二层交叉互连,可以做到在任何板卡的任何端口/链路上的 Vlan 之间的二层交叉互联,同时支持Vlan/Svlan/ATM PVC 之间的任意的交叉互连。例如从一个端口/链路的 Vlan100 进,从另外一个口的Vlan199 出。Bindings:绑定。将物理端口/链路/链路与上层协议配置进行绑定,仅在做完绑定后端口/链路才有流
5、量进出。分为静态绑定和动态绑定。静态绑定中,物理端口/链路可以直接绑定到逻辑 interface 上,也可以绑定到特定的 subscriber 用户上,用户再映射到某个逻辑 interface 上。动态绑定是指基于会话信息的绑定,如PPPoE 会话,一个 PPP 封装形式的会话通过其特定的域名(如adsl、lan 等)绑定到相应的 context 的逻辑 interface 接口中。1.3:Redback Bras SE 800 常用命令常用命令一、查看用户和配置用户 show sub sum all/查看总的用户的数量,包括各个 context 的用户 show sub/查看当前所在 con
6、text 的用户 sh circuit counters sub/查看每个用户的流量 sh circuit counters 13/1 vlan-id 500 live /查看 13/1 端口 vlan 500 中每个用户的流量 show pppoe sub 2/4/查看 2/4 端口的用户(10K、SE800) sh pppoe sub 13/1 vlan-id 521 pppoe/查看 port 13/1 的 vlan-id 521 用户 sh pppoe up all | grep 521/查看 vlan-id 521 的用户 sh pppoe up all | grep 521 | c
7、ount /查看 vlan-id 521 的用户数量 show config qos /显示 se 800 的 qos 配置 show config acl /显示 se 800 的 acl 配置 show config port /显示 se 800 的 port 下的配置 show config context /显示 se 800 的 context adsl 的配置 show administrators 或 show user/显示登录 se 800 的用户 clear administrator bjgtilocal ttyp0/清楚用户 ttyp0 的 bjgtilocal 用户
8、二、OSPF、BGP 路由协议show ip route summ all/查看所有 context 的路由总体情况 show ospf nei/查看 ospf 的 neighbor show ospf route summ/查看 ospf 的路由简要情况 show bgp nei summ/查看 bgp 的 neighbor show bgp route ipv4 vpn summ /查看 bgp 协议交换的 ipv4 vpn 路由情况,一般用在 mpls vpn(2547bis)中32:3A 认证系统介绍和相关知识介绍认证系统介绍和相关知识介绍2.1: AAA 系统的简称:系统的简称:认证
9、(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。常用的 AAA 协议是 Radius,参见 RFC 2865,RFC 2866。 另外还有 HWTACACS 协议(Huawei Terminal Access Controller Access Control System)协 议。HWTACACS 是华为对 TACACS 进行了扩展的协议 HWTACACS 是在 TACACS(RFC1492)基础上进行了功能增强的一种安全协
10、议。该协议 与 RADIUS 协议类似,主要是通过“客户端服务器”模式与 HWTACACS 服务器通信来 实现多种用户的 AAA 功能。2.2:TACACS + 和和 RADIUS 比较比较RADIUS 背景背景RADIUS 是使用 AAA 协议的接入服务器。 它是获取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件:一 个协议带有使用用户数据协议的帧格式个协议带有使用用户数据协议的帧格式(UDP)/IP一个服务器一个服务器一个客户端一个客户端网络接入服务器(NAS)运行作为 RADIUS 的客户端。客户端负责通过用户信息对指定的 RADIUS 服务器,然
11、后操作在返回的回应。 RADIUS 服务器负责对收到用户连接请求,验证用户,然后返回所有配置信息必要为客户端提供服务到用户。RADIUS 服务器能作为代理客户端到其他认证服务器。灵活的认 证机制RADIUS 服务器支持各种各样的方法验证用户。当它带有用户时和原始密码产生的用户名,可以支持PPP、密码验证协议(PAP) 或者质询握手验证协议(CHAP)、UNIX 登录和其他认证机制。以以 下部分比较下部分比较 TACACS+和和 RADIUS 几个功能。几个功能。UDP 和和 TCP当 TACACS+使用 TCP 时 ,RADIUS 使用 UDP。 TCP 提供几个优点胜过 UDP。而 UDP
12、提供最佳效果发送,TCP 提供面向连接的传输。 RADIUS 要求另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏 TCP 传输提供内置支持的级别:使用 TCP 如何提供单独确认请求收到了,在(近似)网络往返时间(RTT 之内 )不管装载并且减慢后端验证机制(TCP 应答)也许是。TCP 提供一失败或者不的立即指示,服务器由重置 (RST 负责操行)。您能确定当服务器失效并且回4到服务时如果使用长寿命的 TCP 连接。UDP 不能说出发生故障的服务器,一个慢速服务器和一个不存在的服务器的之间差别。使用 TCP Keepalive,服务器失败可以被发现带外带有实际请求。与多个服务器的连
13、接可以同时被维护,并且您只需要寄发消息到那个被知道是正在运行的。TCP 是更加可升级的并且适应生长,并且拥塞,网络 。信息包加信息包加 密密RADIUS 在访问请求信息包加密仅密码,从客户端到服务器。信息包的剩下的事末加密。其他信息,例如用户名,核准的服务和认为,能由第三方捕获。TACACS+加密信息包但分支的整个机体一个标准的 TACACS+头。在头之内指示的字段机体不论是否被加密。为调试目的,它是有用的有信息包的机体末加密。然而,在正常运行期间,信息包的机体为安全通信充分地被加密。认证和授权认证和授权RADIUS 结合认证和授权。RADIUS 服务器发送的访问接受信息包到客户端包含授权信息
14、。这使它难分离认证 和授权。TACACS+使用 AAA 体系结构,分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如,带有 TACACS+,使用 Kerberos 认证和 TACACS+ 授权和记帐是可能的。在 NAS 在 Kerberos 服务器之后验证,请求授权信息从 TACACS+服务器没有必须重新鉴别。NAS 通知 TACACS+服务器在 Kerberos 服务器成功验证,并且服务器然后提供授权信息。HWTACACS 与与 RADIUS 的不同在于:的不同在于:l RADIUS 基于 UDP 协议,而 HWTACACS 基于 TCP 协议
15、。2 RADIUS 的认证和授权绑定在一起,而 HWTACACS 的认证和授权是独立的。3 RADIUS 只对用户的密码进行加密,HWTACACS 可以对整个报文进行加密。 4 路由器管理: RADIUS 不允许用户控制哪些命令在路由器可以被执行并且哪些不能。所以, RADIUS 不是如有用为路由器管理或如灵活为终端服务。TACACS+提供二个方法控制 router 命令的授权根据一个单个用户或单个组的基本类型。第一个方法将指定权限级别到命令和安排路由器用 TACACS+服务器验证用户是否被认证在指定的权限级别。第二个方法是指定在 TACACS+服务器,在一个单个用户或单个组的基本类型,明确命
16、令允许。2.3 :AAA 认证、授权、记账模式介绍认证、授权、记账模式介绍AAA 支持本地认证、不认证、RADIUS 认证和 HWTACACS 认证四种认证模式,并允许组 合使用。组合认证模式是有先后顺序的。例如,authentication-mode radius local 表示先使用 RADIUS 认证,RADIUS 认证没有响应再使用本地认证。5当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。授权方案与授权模式AAA 支持本地授权、直接授权、if-authenticated 授权和 HWTACACS 授权四种授权模式, 并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local 表示先使用 HWTACACS 授权,HWTACACS 授权没有响应再使用本地授权。 当组合
