华为交换机AAA配置与管理

《华为交换机AAA配置与管理》由会员分享，可在线阅读，更多相关《华为交换机AAA配置与管理（22页珍藏版）》请在金锄头文库上搜索。

1、，s*H理1、AAA 是指：authentication （认证）、authorization （授权）、accounting （计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权， authorization和accounting是由远处radius （远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权;AAA是基于用户进行认证、授权、 计费的，而NAC方案是基于接入设备接口进行认证的。在实际应用中，可以使用AAA的一种或两种服务。2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了 aaa功能

2、的网络 设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及 radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default （全局缺省普通域）和default_admin （全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用 户的缺省域，default_admin 为管理员账号域（如 http、ssh、telnet、terminalftp用户）的缺省域。用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是、|、等符号，域，如果用

3、户名不带，就属于系统缺省default域。自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权 信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。4、radius 协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源 的使用。定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary:存储radius协议中的属性和属性值含义Radius客户端与ra

4、dius服务器之间通过共享密钥来对传输数据加密，但共享 密钥不通过网络来传输。5、hwtacacs 协议Hwtacacs是在tacacs （rfc1492）基础上进行了功能增强的安全协议，与radius 协议类似，主要用于点对点PPP和VPDN （virtual private dial-up network，虚 拟私有拨号网络）接入用户及终端用户的认证、授权、计费。与radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制。Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的， 能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、ra

5、dius、hwtacacs三种任意组合本地认证授权：优点是速度快，可降低运营成本；缺点是存储信息量受设备硬件条件限制RADIUS认证、计费：优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须 与认证功能一起，使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费：认证、授权、计费室单独进行的，可以单独配置使用，在大型网络中可以部署 多台hwtacacs服务器；还支持在一个方案中使用多协议模式，如本地认证常用于 radius认证和hwtacacs认证的备用认证方案，本地授权作为hwtacacs授权的备用 授权方案等二、本地方式认证和授权配置配置流程为：配置AAA方案配置

6、本地用户配置业务方案配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的认证、授权、计费，用于“域的aaa方案”中绑定这些方案使用（所配置的各种方案只有在域中绑定后才能得到应用）认证方案：1、进入AAA视图Huaweiaaa2、设置一个AAA认证方案名Huawei-aaaauthentication-scheme test13、设置认证模式为本地认证（缺省为本地认证）Huawei-aaa-authen-test1authentication-mode ?hwtacacsHWTACACSlocalLocalnoneNoneradius RADIUS4、配置当前认证模板对用户提升级

7、别进行认证时采用的认证模式（可选，默认 为本地认证）Huawei-aaa-authen-test1authentication-super ?hwtacacs HWTACACSnoneNoneradius RADIUSsuperSuper （本地认证模式）5、配置用户名和域名解析的方向（可选，缺省从左向右）Huawei-aaadomainname-parse-direction ?left-to-right Configure the left to right direction of domainname parsingright-to-left Configure the right t

8、o left direction of domainname parsing授权方案：1、创建一个授权方案Huawei-aaaauthorization-scheme tetsl2、配置本地授权模式Huawei-aaa-author-tets1authorization-modehwtacacsUse HWTACACS authorizationmethod if-authenticated Use authorization method which lets user(s) authorized ifuser(s) not authenticated by none authenticat

9、ion methodlocalUse local authorizationmethodnoneUse none authorizationmethod3、设置授权服务器下发的用户授权信息的生效模式(可选，缺省为overlay模 式)Huawei-aaaauthorization-modify ？Modify修改模式，新下发的授权信息覆盖上一次 下发的所有属性类别的授权信息Overlay覆盖模式，新下发的授权信息覆盖前次下 发的所有用户授权信息#模拟器未能模拟二、配置本地用户采用本地方式进行认证授权时，需要在本地设备配置用户的认证和授权信息， 如用于认证的用户名、密码、用于授权的优先级、用户组

10、、允许接入的服务器类型、 可建立连接数、访问目录等1、设置本地用户名和密码Huawei-aaalocal-user test password simple 1472582、设置本地用户的级别Huawei-aaalocal-user test privilege level 153、设备本地用户加入用户组（可选，先配置好用户组Huawei-aaalocal-user test user-group teset #模拟器无法模拟4、设置本地用户断开超时时间Huawei-aaalocal-user test idle-timeout 6005、设备本地用户用于何种类型的服务Huawei-aaalo

11、cal-user test service-type ?8021x802.1x userbind Bind authentication userftpFTPuserhttpHttpuserpppPPPusersshSSHusertelnetTelnet userterminal Terminal userwebWeb authentication userx25-pad X25-pad user6、本地用户作为FTP使用时设置访问目录Huawei-aaalocal-user test ftp-directory ？STRINGflash:flash:/7、设置本地用户状态Huawei-aaa

12、local-user test stateactive Permit the user(s) to deal with theauthen requestblock Forbid the user（s） to deal with the authen request （拒绝该用户认证请求）8、设备本地用户访问时最大连接数（缺省不限制）Huawei-aaalocal-user test access-limit 109、设置本地账号锁定功能（连续登陆失败达到次数后锁定和解锁、重试等参数）Huawei-aaalocal-aaa-user wrong-password retry-interval

13、5 （重试时间 间隔）retry-time 3 （连续认证失败的最大次数block-time 10 （账号被锁定时间）10、修改账号密码local-user change-password三、配置业务方案（可选）“业务方案”也是一种授权方案，它是专门针对一些IP业务（如管理员权限、 DHCP服务、DNS服务、策略路由）所进行的授权，也称为“业务授权方案”。通常只需要使用admin-user privilege level命令配置管理员用户的用户级别， 其它命令只有在业务方案被其他特性（如IPSEC）调用时才需要配置。具体配置:1、创建一个业务方案Huawei-aaaservice-scheme

14、 test2、配置本地用户可作为管理员登陆设备并设置级别Huawei-aaa-service-testadmin-user privilege level 153、设置业务方案下使用的DHCP服务器组（仅7700及以上支持）Huawei-aaa-service-testdhcp-server grpup test4、设置可用的DHCP IP地址池或移动已配置的地址的位置（仅7700及以上支持）Huawei-aaa-service-testip-pool testpool move-to testpool25、设置业务方案下的主用或备用DNS服务器地址secondary Set secondar

15、y DNS servers IP address6、设置业务方案下用户的策略路由功能（仅7700及以上支持）（下一跳IP地址）5 （源路由vlan ID）四、配置域的AAA方案认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用1、设置一个域的AAA方案名（缺省存在default和default_admin两个域）Huawei-aaadomain testdomain2、绑定认证方案Huawei-aaa-domain-testdomainauthentication-scheme test3、绑定授权方案Huawei-aaa-domain-testdomainauthorization-scheme test4、绑定业务方案Huawei-aaa-domain-testdomainservice-scheme tese5、设置域的