收藏
下载资源

H3C交换机AAA安全访问控制和管理

上传人:M****1 文档编号:496761733 上传时间:2022-12-27 格式:DOCX 页数:9 大小:26.58KB
返回 下载 相关 举报
H3C交换机AAA安全访问控制和管理_第1页
第1页 / 共9页
H3C交换机AAA安全访问控制和管理_第2页
第2页 / 共9页
H3C交换机AAA安全访问控制和管理_第3页
第3页 / 共9页
H3C交换机AAA安全访问控制和管理_第4页
第4页 / 共9页
H3C交换机AAA安全访问控制和管理_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《H3C交换机AAA安全访问控制和管理》由会员分享,可在线阅读,更多相关《H3C交换机AAA安全访问控制和管理(9页珍藏版)》请在金锄头文库上搜索。

1、H3C交换机AAA安全访问控制和管理18.1 H3C交换机 AAA基础AAA 是 Authentication , Authorization and Accounting (认证、授权和计费)的简称,是 对网络访问控制的一种管理模式。它提供了一个对认证、 授权和计费这三种功能进行统一配置的框架;“认证”确定哪些用户可以访问网络服务器;“授权”确定具有访问权限的用户最终可以获得哪些服务;“计费”确定如何对正在使用网络资源的用户进行计费。18.1.1 AAA 简介AAA一般采用C/S(客户端/服务器)结构:客户端运行于被管理的资源侧(这里指网络设备,如接入交换机),服务器上几种存放用户信息。因此

2、,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。1. AAA认证AAA支持以下认证方式:不认证:对接入用户信任,不进行合法性检查。这是默认认证方式。本地认证:采用本地存储的用户信息对用户进行认证。本地认证的优点是速度快, 可以降低运营成本;缺点是存储信息量受设备硬件条件(如闪存大小)限制。远程认证:在 H3C以太网交换机中,远程认证是指通过RADIUS服务器或 HWTACACS(Cisco IOS交换机中采用的是 TACACS协议)服务器对接入用户进行的认证。此时,H3C交换机作为RADIUS或者HWTACACS客户端,与RADIUS服务器或TACACS服务器通信。 远程认证的

3、有点是便于集中管理,并且提供丰富的业务特性;缺点是必须提供专门的 RADIUS或者HWTACACS服务器,并进行正确的服务器配置。2. AAA授权AAA支持以下授权方式:直接授权:对用户信任,直接授权通过。本地授权:根据交换机上为本地用户账号配置的相关属性进行授权。RADIUS认证成功后远程授权:由RADIUS服务器对用户进行远程授权。要注意:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS服务器进行授权。HWTACACS程授权:由HWTACACS服务器对用户进行远程授权(HWTACACS服务器的授权是独立于认证进行的)。3. AAA计费AAA支持以下计费方式:不计费:不对

4、用户计费。本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。 远程计费:支持通过 RADIUS服务器或HWTACACS服务器进行远程计费。18.1.2 ISP域简介ISP域即ISP用户群,通常是把经过同一个 ISP接入的用户划分到同一个ISP域中。这主要是应用于存在多个ISP的应用环境中,因为同一个接入设备接入的有可能是不同ISP的用户。如果只有一个ISP,则可以直接使用系统默认域system。在ISP域视图下,可以为每个 ISP域配置包括使用 AAA策略在内的一整套单独的 ISP域 属性。用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、授权、 计费

5、方案实现的。这个用户所属的ISP域,由其登录时提供的用户名决定:如果用户登录时输入useriddomain-name ”形式的用户名,则其所属的ISP域为“domain-name ”域。如果用户登录时输入“ userid ”形式的用户名,则其所属的ISP域为接入设备上配置的默认域system。为便于对不同接入方式的用户进行区分管理,AAA还可以将域用户划分为以下两个类型:Ian-access用户(局域网访问用户):通过LAN接入的用户,如直接接入 LAN中, 然后通过IEEE 802.1x认证、MAC地址认证的用户。login用户:通过远程网络登录的用户,女口SSH TeInet、FTP终端接

6、入用户。18.1.3 HWTACACS简介HWTACACS(华为终端访问控制器访问控制系统)是在TACACS协议基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,交换机设备也是用来担当客户端的,也是通过C/S模式与HWTACACS服务器通信来实现多种用户的AAA功能,可用于 PPP和VPDN接入用户及终端用户的认证、授权和计费。但是RADIUS服务器的认证和授权是捆绑在一起进行的,而TACACS和 HWTACACS的认证好授权是独立进行的。TACACS/HWTACAC主要用于远程登录用户(非直接LAN访问用户)的访问控制和计费, 交换机作为TACACS/HWTACAC的客户端,充当

7、中间代理的作用,将请求认证的用户的用户 名和密码发送给 TACACS/HWTACAC服务器进行验证,验证通过并得到授权之后,用户才可 以登录到交换机上进行操作。18.1.4 H3C交换机配置 AAA配置任务在H3C以太网交换机 AAA方案中,又可以区分 ISP域是采用认证、授权、计费捆绑方 式,还是采用认证、授权、计费分离方式。如果采用捆方式,则在配置ISP域的AAA方案时支持在同一个ISP域视图下,针对不同的用户接入方式配置不同的AAA方案;如果采用分离方式,则在配置ISP域的AAA方案时用户可以分别指定认证、授权、计费方案。如果采用 RADIUS HWTACACS认证方案,需要提前完成 R

8、ADIUS或 HWTACACS相关配置。在作为AAA客户端的接入设备(如H3C以太网交换机)上,AAA的基本配置思路如下:(1)配置AAA方案:根据需要配置本地或远程认证方案。本地认证:需要配置本地用户,即local user的相关属性,包括手动添加认证的用户名和密码等。远程认证:需要配置 RADIUS或HWTACACS方案,并在服务器上配置相应 的胡勇属性。(2) 配置实现AAA的方法:在用户所属的ISP域中分别指定实现认证、授权、计费 的方法,都可以选择 none (不八local (本地)和scheme (远程)方法。18.2 H3C交换机本地用户配置与管理当选择使用本地(local)认

9、证方法对用户进行认证时,应在交换机上创建本地用户并配 置相关属性。所谓本地用户,是指在本地交换机上设置的一组以用户名为唯一标识的用户。 为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。18.2.1本地用户属性在H3C以太网交换机上课配置的本地用户属性包括:服务类型用户接入设备时可使用的网络服务类型。 该属性是本地认证的检测项, 如果没有用户可 使用的服务类型,则该用户无法接入设备。H3C以太网交换机可支持的服务类型包括: FTP、 Ian-access、Portal ( Web 认证)、SSH Tel net、Termi nal。用户状态用户指示是否允

10、许该用户请求网络服务器,包括active (活跃)和block (阻塞)两种状态。active表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。最大用户数指使用当前用户名接入设备的最大用户数目。如果当前该用户名的接入用户数已达到最大值,则使用该用户名的新用户将被禁止接入。有效期指用户账户的有效的戒指日期。用户进行本地认证时, 接入设备检查当前系统时间是否在用户的有效期内,如果在有效期内则允许该用户登录,否则拒绝。所属的用户组每一个本地用户都属于一个本地用户组,并继承组中的所有属性 (密码管理属性和用户授权属性),相当于 Window系统的工作组。密码管理属性指用户密码的安全属性

11、,可根据设置的密码策略对认证秘密吗进行管理和控制。可设置的密码策略包括:密码老化时间、密码最小长度、密码组合策略。本地用户的密码管理属性在系统视图(具有全局性)、用户组视图和本地用户视图下都可以配置,其生效的优先级顺序由高到低依次为本地用户、用户组、全局。全局配置对所有 本地用户生效,用户组的配置对组内所有本地用户生效。绑定属性指定用户认证时需要检测的属性, 用于限制接入用户的范围。 如果用户的实际属性与设 置的绑定属性不匹配,则不能通过认证。可绑定的属性包括:ISDN用户的主叫号码、用户IP地址、用户接入端口、用户 MAC地址、用户所属 VLAN。用户授权属性本地用户的授权属性在用户组和本地

12、用户视图下都可以配置,且本地用户试图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。1822本地用户属性配置表18-3本地用户属性配置步骤步骤命令说明1sysname-view例如:system-view进入系统视图2local-user password-displaymode auto | cipher-force 例 女口 : Sysnamelocal-user password-display-mode auto(可选)设置本地用户密码的显示方式。二选一选项 cipher-force表示强制cipher方式,即所有本地用户的密码显示 方式必须采用密文方式;au

13、to为自动方式,即本地用户的密码 显示方式可以由用户自己通过password命令来设置。3local-user user-name例如:Sysnamelocal-userwinda添加本地用户,并进入本地用户视图4password cipher | simple password例如:Sysname-luser-windapassword cipher 123456(可选)设置本地用户的密码,命令中的参数和选项说明如下:simple:表示密码为明文cipher :表示密码为密文password :指定密码5state active | block 例如:Sysname-luser-windas

14、tate active(可选)设置本地用户的状态。active用来指定当前本地用户处于活动状态;block用来指定当前本地用户处于挂起”状 态,即系统不允许当前本地用户请求网络服务6access-limit max-user-number 例如:Sysname-luser-winda access-limit 10(可选)设置当前用户名可容纳的最大本地接入用户数 默认情况下,不限制当前本地用户名可容纳的接入用户数。7service-type ftp | lan-access| ssh | telnet | terminal *| portal 例如:Sysname-luser-windaser

15、vice type ftp lan-access portal设置本地用户可以使用的服务类型,对应不同的用户类型。lan-access:可多选选项,指定用户可以使用 lan-access服 务,主要指以太网接入用户,比如802.1X用户terminal :可多选选项,指定用户可以使用terminal服务(即从 Console 口、AUX 口登录)8bind-attribute call-number call-number : subcall-num ber | ip ip-address | location portslot-nambersubslot-number port-number | macmac-address | vlan vlan-id (可选)设置本地用户的绑定属性。 当对本地用户进行认证时, 如果配置了绑定属性, 则会检查用户的实际属性与配置的绑定 属性是否一致,如果不一致则认证失败。location :设置用户的端口绑定属性。该

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 活动策划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号