关键词不能为空

当前您在: 主页 > 英语 >

华为交换机AAA配置与管理

作者:高考题库网
来源:https://www.bjmy2z.cn/gaokao
2021-02-07 13:32
tags:

-

2021年2月7日发(作者:amidst)


A


一、基础



A


A




< p>




1



AAA


是指:


authen tication


(认证)



auth orization


(授权)



acc ounting


(计费)


的简称,


是网 络安全的一种管理机制;


Authentication


是本地 认证


/


授权,


authorizati on



accounting


是由远处


radius



远程拨号认证系统)< /p>


服务或


hwtacacs


(华为终端访问 控制系统)


服务器完成认证


/


授权;< /p>


AAA


是基于用户


进行认证、

< p>
授权、


计费的,而


NAC


方案是基于接入设备接口进行认证的。



在实际应用中,可以使 用


AAA


的一种或两种服务。



2



AAA


基本架构 :



C/S


结构,

AAA


客户端(也叫


NAS-


网络 接入服务器)是使能了


aaa


功能的网络


设备(可以是一台或多台、不一定是接入设备)



3



AAA


基于域的用户管理:

< br>


通过域来进行


AAA


用户管理 ,每个域下可以应用不同的认证、授权、计费以及


radius



hwtacacs


服务器模板,相当于对用户进行分类管理< /p>



缺省情况下,设备存在配置名为


def ault


(全局缺省普通域)和


default_admin< /p>


(全局缺省管理域)


,均不能删除,只能修改,都属于本地认证;


default


为接入用


户的缺省域,


default_admin


为管理员账号域(如


http



ssh



telnet



terminal

< p>


ftp


用户)的缺省域。



用户所属域是由域分隔符后的字符串来决定的,


域分隔符可 以是


@



|



%


等符号,


域,如果用户名不带


@


,就属于系统缺省


default


域。



自定义域可以被配置为全局缺省普通域或 全局缺省管理域,但域下配置的授权


信息较


AAA


服务器的授权信息优先级低,通常是两者配置的授权信息一致。


< p>
4



radius


协议< /p>



Radius


通过认证授权来提供接入 服务、通过计费来收集、记录用户对网络资源


的使用。



定义


UDP 1812



1813


作为认证(授权)


、计费端口



Radius


服务器维护三个数据库:



Users:


存储用户信息(用户名、口令、使用的协议、


IP


地址等)



C lients:


存储


radius


客户 端信息(接入设备的共享密钥、


IP


地址)


Dictionary


:存储


r adius


协议中的属性和属性值含义



Radius


客户端与


radius


服务器之间通过共享密钥来对传输数据加密,但共享


密钥不通过网络来传输。

< p>


5



hwtacacs


协议



Hwtacacs


是在


tacacs



rfc 1492



基础上进行了功能增强的安全协议,



radius


协议类似,主要用于点对点

< p>
PPP



VPDN



virtual private dial-up network


,虚


拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与

< br>radius


相比,具有


更加可靠的传输和加密特性,更 加适合于安全控制。



Hwtacacs


协议与其他厂商支持的


tacacs+


协议的认证流程和实现 方式是一致的,


能够完全兼容


tacacs+

< br>协议



6


、华为设备对


AAA


特性的支持



支 持本地、


radius



hwtacacs


三种任意组合



本地认证授权:



优点是速度快,可降 低运营成本;缺点是存储信息量受设备硬件条件限制



RADIUS


认证、计费:



优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须

与认证功能一起,使用了认证功能就使用了授权功能



Hwtacacs


认证、授权、计费:



认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署

< p>
多台


hwtacacs


服务器;还支持在一个方案 中使用多协议模式,如本地认证常用于


radius


认证和


hwtacacs


认证的备用认证方案,本地授权作为


hwtacacs


授权的备用


授权方案等

< p>


二、本地方式认证和授权配置



配置流程为:配置


AAA


方案——配置本地用户——配 置业务方案——配置域的


AAA


方案



一、配置


AAA


方案

< br>


配置


AAA


方案就是配置


AAA


中的认证、授权、计费,用于“域的


aaa


方案”中绑


定这些方案使用(所配置的各种方案只有在域 中绑定后才能得到应用)



认证方案:



1


、进入


AAA


视图



[Huawei]aaa


2


、设置一个


AAA


认证方案名



[Huawei-aaa]authentication- scheme test1


3


、设置认证模式为本地认证(缺 省为本地认证)



[Huawei-aaa-authen- test1]authentication-mode ?


hwtacacs HWTACACS


local Local


none None


radius RADIUS


4


、配置当前认证模板对用户提升级别进行认证 时采用的认证模式(可选,默认


为本地认证)



[Huawei-aaa-authen- test1]authentication-super ?


hwtacacs HWTACACS


none None


radius RADIUS


super Super


(本地认证模式)



5


、配置用户名和域名解析的方向(可选,缺省从左向右)



[Huawei-aaa]domainname-parse- direction ?


left-to-right



Configure


the


left


to


right direction of domainname parsing


right-to-left



Configure


the


right


to


left direction of domainname parsing


授权方案:



1


、创建一个授权方案



[Huawei-aaa]authorization-scheme tets1


2


、配置本地授权模式



[Huawei-aaa-author-tets1]authorization- mode ?


hwtacacs Use HWTACACS authorization


method


if- authenticated



Use


authorization


method


which lets user(s) authorized if


user(s)


not


authenticated


by


none authentication method


local




Use


local


authorization


method


none















Use


none


authorization


method


3


、设置授权服务器下 发的用户授权信息的生效模式(可选,缺省为


overlay



式)



[Huawei- aaa]authorization-modify




Modify


修改模式,新下发的授权信息覆盖上一次


下发的所有属性类别的授权信息



Overlay


覆盖模式,新下发的授权信息覆盖前次下


发的 所有用户授权信息



#


模拟器未能模拟



二、配置本地用户



采用本地方式进行 认证授权时,需要在本地设备配置用户的认证和授权信息,


如用于认证的用户名、


密码、


用于授权的优先级、


用户组、


允许接入的服务器类型、


可建立连接数、访问目录等


1


、设置本地用户名和密码



[Huawei-aaa]local-user test password simple 147258


2


、设置本地用户的级别



[Huawei-aaa]local-user test privilege level 15


3


、设备本地用户加入用户组(可选,先配 置好用户组



[Huawei-aaa]local-user test user-group teset #


模拟器无法模拟



4



设置本地用户断开超时时间



[Huawei-aaa]local-user test idle- timeout 600


5


、设备本地用户用于何种类型的服务



[Huawei-aaa]local-user test service- type ?


8021x 802.1x user


bind Bind authentication user


ftp FTP user


http Http user


ppp PPP user


ssh SSH user


telnet Telnet user


terminal Terminal user


web Web authentication user


x25-pad X25-pad user


6


、本地用户作为


FTP


使用时设置访问目录


[Huawei-aaa]local-user test ftp-directory




STRING<1-58>


flash:


flash:/


7


、设置本地用户状态



[Huawei-aaa]local-user test state ?


active Permit


the


user(s)


to


deal


with


the


authen request


block Forbid


the


user(s)


to


deal


with


the


authen request


(拒绝该用户认证请求)



8


、设备本地用户访问时最大连接数(缺省不限制)



[Huawei-aaa]local-user test access- limit 10


9


< br>设置本地账号锁定功能


(连续登陆失败达到次数后锁定和解锁、

< br>重试等参数)



[Huawei-aaa]local- aaa-user wrong-password retry-interval 5


(重试时间


间隔)


retry- time 3


(连续认证失败的最大次数


block- time 10


(账号被锁定时间)



10


、修改账号密码



local-user change-password


三、配置业务方案(可选)



“业务方 案”也是一种授权方案,它是专门针对一些


IP


业务(如管理员 权限、


DHCP


服务、


DNS


服务、策略路由)所进行的授权,也称为“业务授权方案”


< p>


通常只需要使用


admin-user


privilege


level


命 令配置管理员用户的用户级别,


其它命令只有在业务方案被其他特性(如


IPSEC


)调用时才需要配置。



具体配置:



1


、创建一个业务方案



[Huawei-aaa]service-scheme test


2


、配置本地用户可作为管理员登陆设备并设置级别



[Huawei-aaa-service-test]admin-user privilege level 15


3


、设置业务方案下 使用的


DHCP


服务器组(仅


7700


及以上支持)



[Huawei- aaa-service-test]dhcp-server grpup test


4



设置可用的


DHCP


IP


地址池或移动已配置的地址的位置


(仅


7700


及以上支持)



[Huawei-aaa-service-test]ip-pool testpool move-to testpool2


5


、设置业务方案下的主用或备用


DNS


服务器地址



secondary



Set


secondary


DNS


server's


IP


address



6


、设置业务方案下用户的策略路由功能(仅< /p>


7700


及以上支持)



(下一跳


IP


地址)


5


(源路由


vlan ID




四、配置域的


AAA


方案


-


-


-


-


-


-


-


-



本文更新与2021-02-07 13:32,由作者提供,不代表本网站立场,转载请注明出处:https://www.bjmy2z.cn/gaokao/608513.html

返回列表:英语

华为交换机AAA配置与管理的相关文章

华为交换机AAA配置与管理随机文章
华为交换机AAA配置与管理热门标签