AAA配置与管理一、根底1、AAA是指:authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称,是网络平安的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权;AAA是基于用户进展认证、授权、计费的,而NAC案是基于:接入设备接口进展认证的在实际应用中,可以使用AAA的一种或两种效劳2、AAA根本架构:C/S构造,AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理:通过域来进展AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板,相当于对用户进展分类管理缺省情况下,设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,如userhuawei.就表示属于huawei域,如果用户名不带,就属于系统缺省default域自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA效劳器的授权信息优先级低,通常是两者配置的授权信息一致4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用定义UDP1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库:Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输5、hwtacacs协议Hwtacacs是在tacacs〔rfc1492〕根底上进展了功能增强的平安协议,与radius协议类似,主要用于点对点PPP和VPDN〔virtualprivatedial-upnetwork,虚拟私有拨号网络〕接入用户及终端用户的认证、授权、计费。
与radius相比,具有更加可靠的传输和加密特性,更加适合于平安控制Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现式是一致的,能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、hwtacacs三种任意组合本地认证授权:优点是速度快,可降低运营本钱;缺点是存储信息量受设备硬件条件限制RADIUS认证、计费:优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费:认证、授权、计费室单独进展的,可以单独配置使用,在大型网络中可以部署多台hwtacacs效劳器;还支持在一个案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证案,本地授权作为hwtacacs授权的备用授权案等二、本地式认证和授权配置配置流程为:配置AAA案——配置本地用户——配置业务案——配置域的AAA案一、配置AAA案配置AAA案就是配置AAA中的认证、授权、计费,用于“域的aaa案〞中绑定这些案使用〔所配置的各种案只有在域中绑定后才能得到应用〕认证案:1、进入AAA视图[Huawei]aaa2、设置一个AAA认证案名[Huawei-aaa]authentication-schemetest13、设置认证模式为本地认证〔缺省为本地认证〕[Huawei-aaa-authen-test1]authentication-mode?hwtacacsHWTACACSlocalLocalnoneNoneradiusRADIUS4、配置当前认证模板对用户提升级别进展认证时采用的认证模式〔可选,默认为本地认证〕[Huawei-aaa-authen-test1]authentication-super?hwtacacsHWTACACSnoneNoneradiusRADIUSsuperSuper〔本地认证模式〕5、配置用户名和域名解析的向〔可选,缺省从左向右〕[Huawei-aaa]domainname-parse-direction?left-to-rightConfigurethelefttorightdirectionofdomainnameparsingright-to-leftConfiguretherighttoleftdirectionofdomainnameparsing授权案:1、创立一个授权案[Huawei-aaa]authorization-schemetets12、配置本地授权模式[Huawei-aaa-author-tets1]authorization-mode?hwtacacsUseHWTACACSauthorizationmethodif-authenticatedUseauthorizationmethodwhichletsuser(s)authorizedifuser(s)notauthenticatedbynoneauthenticationmethodlocalUselocalauthorizationmethodnoneUsenoneauthorizationmethod3、设置授权效劳器下发的用户授权信息的生效模式〔可选,缺省为overlay模式〕[Huawei-aaa]authorization-modify?Modify修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息Overlay覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息#模拟器未能模拟二、配置本地用户采用本地式进展认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允接入的效劳器类型、可建立连接数、访问目录等1、设置本地用户名和密码[Huawei-aaa]local-usertestpasswordsimple1472582、设置本地用户的级别[Huawei-aaa]local-usertestprivilegelevel153、设备本地用户参加用户组〔可选,先配置好用户组[Huawei-aaa]local-usertestuser-groupteset#模拟器无法模拟4、设置本地用户断开超时时间[Huawei-aaa]local-usertestidle-timeout6005、设备本地用户用于种类型的效劳[Huawei-aaa]local-usertestservice-type?8021x802.1xuserbindBindauthenticationuserftpFTPuseruserpppPPPusersshSSHusertelnetTelnetuserterminalTerminaluserwebWebauthenticationuserx25-padX25-paduser6、本地用户作为FTP使用时设置访问目录[Huawei-aaa]local-usertestftp-directory?STRING<1-58>flash:flash:/7、设置本地用户状态[Huawei-aaa]local-userteststate?activePermittheuser(s)todealwiththeauthenrequestblockForbidtheuser(s)todealwiththeauthenrequest〔拒绝该用户认证请求〕8、设备本地用户访问时最接数〔缺省不限制〕[Huawei-aaa]local-usertestaccess-limit109、设置本地账号锁定功能〔连续登陆失败到达次数后锁定和解锁、重试等参数〕[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5〔重试时间间隔〕retry-time3〔连续认证失败的最大次数block-time10〔账号被锁定时间〕10、修改账号密码local-userchange-password三、配置业务案〔可选〕“业务案"也是一种授权案,它是专门针对一些IP业务〔如管理员权限、DHCP效劳、DNS效劳、策略路由〕所进展的授权,也称为“业务授权案〞。
通常只需要使用admin-userprivilegelevel命令配置管理员用户的用户级别,其它命令只有在业务案被其他特性〔如IPSEC〕调用时才需要配置具体配置:1、创立一个业务案[Huawei-aaa]service-schemetest2、配置本地用户可作为管理员登陆设备并设置级别[Huawei-aaa-service-test]admin-userprivilegelevel153、设置业务案下使用的DHCP效劳器组〔仅7700及以上支持〕[Huawei-aaa-service-test]dhcp-servergrpuptest4、设置可用的DHCPIP地址池或移动已配置的地址的位置〔仅7700及以上支持〕[Huawei-aaa-service-test]ip-pooltestpoolmove-totestpool25、设置业务案下的主用或备用DNS效劳器地址Huawei-aaa-service-test]dns10.1.1.1?secondarySetsecondaryDNSserver'sIPaddress6、设置业务案下用户的策略路由功能〔仅7700及以上支持〕[Huawei]policyroute20.1.1.1〔下一跳IP地址〕5〔源路由vlanID〕四、配置域的AAA案认证、授权案、业务案只有绑定域的AAA案中才能得到应用1、设置一个域的AAA案名〔缺省存在default和default_admin两个域〕[Huawei-aaa]domaintestdomain2、绑定认证案[Huawei-aaa-domain-testdomain]authentication-schemetest3、绑定授权案[Huawei-aaa-domain-testdomain]authorization-schemetest4、绑定业务案[Huawei-aaa-domain-testdomain]service-schemetese5、设置域的AAA案状态[Huawei-aaa-domain-testdomain]state?activeActiveblockBlock6、设置域名分隔符〔缺省为〕[Huawei-aaa]domain-name-delimiter三、RADIUS式认证、授权、计费配置配置流程为:配置AAA案——配置radius效劳器模板——配置业务案——配置域的AAA案一、认证授权配置Radius中的认证和授权时同步进展的,只要是能其认证功能,也就是能了授权功能。
配置法同本地认证配置二、计费案配置1、设置计费案名[。