《设备tacacs配置方法》由会员分享,可在线阅读,更多相关《设备tacacs配置方法(13页珍藏版)》请在金锄头文库上搜索。
1、黑龙江综合网管系统网络设备配置方案1:SE800 设备几种命令状态及设备配置介绍1.1 命令状态1. router路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 需要输入enable命令才能进入特权命令状态。2. router#在router提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。3. router(config)#在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设
2、置状态,这时可以设置路由器的全局参数。4. router(config-if)#; router(config-line)#; router(config-router)#;路由器处于局部设置状态,这时可以设置路由器某个局部的参数。5. 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。1.2:SE800 配置内容介绍:Contexts:实例,一个设备运行多个实例,每个实例有自己独立的路由能力和域的管理,以及独立的路由协议,认证和记账等等。每个实例可用于相应的服务分类,实例之间也能通信。系统有一个默认的co
3、ntext,名字为local,这个实例是不能被删除并常用于管理。Interfaces:一种逻辑接口,提供给高层协议(如3层IP地址)或服务信息,这个逻辑接口配置在相应的context下,并独立于物理端口/链路。高层协议要生效的一个前提是该逻辑接口要关联到相应的物理端口/链路上。Subscribers:终端用户,是context配置里面的一部分,用于描述终端用户的特性,包括使之能绑定到相应interface接口或满足某些context或服务所需要的信息,以及其他一些配置信息,如认证,接入控制,限速,策略信息等。Ports,Channels,and Circuits:这些是物理的端口/链路,上层协
4、议的实现需要与相应的物理端口/链路做绑定,用专门的bind命令。Cross-connections:二层交叉互连,可以做到在任何板卡的任何端口/链路上的Vlan之间的二层交叉互联,同时支持Vlan/Svlan/ATM PVC 之间的任意的交叉互连。例如从一个端口/链路的Vlan100进,从另外一个口的Vlan199出。Bindings:绑定。将物理端口/链路/链路与上层协议配置进行绑定,仅在做完绑定后端口/链路才有流量进出。分为静态绑定和动态绑定。静态绑定中,物理端口/链路可以直接绑定到逻辑interface上,也可以绑定到特定的subscriber用户上,用户再映射到某个逻辑interfac
5、e上。动态绑定是指基于会话信息的绑定,如PPPoE会话,一个PPP封装形式的会话通过其特定的域名(如adsl、lan等)绑定到相应的context的逻辑 interface接口中。1.3:Redback Bras SE 800常用命令一、查看用户和配置用户show sub sum all/查看总的用户的数量,包括各个context的用户show sub/查看当前所在context的用户sh circuit counters sub/查看每个用户的流量sh circuit counters 13/1 vlan-id 500 live /查看13/1端口vlan 500中每个用户的流量show p
6、ppoe sub 2/4/查看2/4端口的用户(10K、SE800)sh pppoe sub 13/1 vlan-id 521 pppoe/查看port 13/1 的vlan-id 521用户sh pppoe up all | grep 521/查看vlan-id 521的用户sh pppoe up all | grep 521 | count /查看vlan-id 521的用户数量show config qos /显示 se 800的qos配置show config acl /显示 se 800的acl配置show config port /显示 se 800的port下的配置show co
7、nfig context /显示 se 800的context adsl的配置show administrators或show user/显示登录se 800的用户clear administrator bjgtilocal ttyp0/清楚用户ttyp0的bjgtilocal用户二、OSPF、BGP路由协议show ip route summ all/查看所有context的路由总体情况show ospf nei/查看ospf的neighborshow ospf route summ/查看ospf的路由简要情况show bgp nei summ/查看bgp的neighborshow bgp
8、route ipv4 vpn summ /查看bgp协议交换的ipv4 vpn路由情况,一般用在mpls vpn(2547bis)中2:3A认证系统介绍和相关知识介绍2.1: AAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。常用的AAA协议是Radius,参见RFC 2865,RFC 2866。另外还有 HWTACACS协议(Huawei Terminal Access Controller Access C
9、ontrol System)协议。HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。2.2:TACACS + 和RADIUS比较RADIUS背景RADIUS是使用AAA协议的接入服务器。 它是获取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件:一 个协议带有使用用户数据协议的帧格式(UDP)/IP一个服务器一个客户端网络接入服务器(NAS)运行作为RAD
10、IUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器,然后操作在返回的回应。 RADIUS服务器负责对收到用户连接请求,验证用户,然后返回所有配置信息必要为客户端提供服务到用户。RADIUS服务器能作为代理客户端到其他认证服务器。灵活的认 证机制RADIUS服务器支持各种各样的方法验证用户。当它带有用户时和原始密码产生的用户名,可以支持PPP、密码验证协议(PAP) 或者质询握手验证协议(CHAP)、UNIX登录和其他认证机制。以 下部分比较TACACS+和RADIUS几个功能。UDP和 TCP当TACACS+使用TCP时 ,RADIUS使用UDP。 TCP提供几个优点胜过UDP
11、。而UDP 提供最佳效果发送,TCP提供面向连接的传输。 RADIUS要求另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏 TCP传输提供内置支持的级别:使用 TCP如何提供单独确认请求收到了,在(近似)网络往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。TCP提供一失败或者不的立即指示,服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到服务时如果使用长寿命的TCP连接。UDP不能说出发生故障的服务器,一个慢速服务器和一个不存在的服务器的之间差别。使用TCP Keepalive,服务器失败可以被发现带外带有实际请求。与多个服务器的连接可以同时被维
12、护,并且您只需要寄发消息到那个被知道是正在运行的。TCP是更加可升级的并且适应生长,并且拥塞,网络 。信息包加 密RADIUS在访问请求信息包加密仅密码,从客户端到服务器。信息包的剩下的事末加密。其他信息,例如用户名,核准的服务和认为,能由第三方捕获。TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。在头之内指示的字段机体不论是否被加密。为调试目的,它是有用的有信息包的机体末加密。然而,在正常运行期间,信息包的机体为安全通信充分地被加密。认证和授权RADIUS结合认证和授权。RADIUS服务器发送的访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。TACACS+使
13、用AAA体系结构,分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如,带有TACACS+,使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。HWTACACS与RADIUS的不同在于:l RADIUS基于UDP协议,而HWTACACS基于TCP协议。2 RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。3 RADIUS只对用
14、户的密码进行加密,HWTACACS可以对整个报文进行加密。4 路由器管理:RADIUS不允许用户控制哪些命令在路由器可以被执行并且哪些不能。所以, RADIUS不是如有用为路由器管理或如灵活为终端服务。TACACS+提供二个方法控制router命令的授权根据一个单个用户或单个组的基本类型。第一个方法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是否被认证在指定的权限级别。第二个方法是指定在TACACS+服务器,在一个单个用户或单个组的基本类型,明确命令允许。2.3 :AAA认证、授权、记账模式介绍AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并
15、允许组合使用。组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。授权方案与授权模式AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。RADIUS的认证和授
