-
A
一、基础
A
A
配
置
与
管
理
1
、
AAA
是指:
authen
tication
(认证)
、
auth
orization
(授权)
、
acc
ounting
(计费)
的简称,
是网
络安全的一种管理机制;
Authentication
是本地
认证
/
授权,
authorizati
on
和
accounting
是由远处
radius
(
远程拨号认证系统)<
/p>
服务或
hwtacacs
(华为终端访问
控制系统)
服务器完成认证
/
授权;<
/p>
AAA
是基于用户
进行认证、
授权、
计费的,而
NAC
方案是基于接入设备接口进行认证的。
在实际应用中,可以使
用
AAA
的一种或两种服务。
2
、
AAA
基本架构
:
C/S
结构,
AAA
客户端(也叫
NAS-
网络
接入服务器)是使能了
aaa
功能的网络
设备(可以是一台或多台、不一定是接入设备)
3
、
AAA
基于域的用户管理:
< br>
通过域来进行
AAA
用户管理
,每个域下可以应用不同的认证、授权、计费以及
radius
或
hwtacacs
服务器模板,相当于对用户进行分类管理<
/p>
缺省情况下,设备存在配置名为
def
ault
(全局缺省普通域)和
default_admin<
/p>
(全局缺省管理域)
,均不能删除,只能修改,都属于本地认证;
default
为接入用
户的缺省域,
default_admin
为管理员账号域(如
http
、
ssh
、
telnet
、
terminal
、
ftp
用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,
域分隔符可
以是
@
、
|
、
%
等符号,
域,如果用户名不带
@
,就属于系统缺省
default
域。
自定义域可以被配置为全局缺省普通域或
全局缺省管理域,但域下配置的授权
信息较
AAA
服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4
、
radius
协议<
/p>
Radius
通过认证授权来提供接入
服务、通过计费来收集、记录用户对网络资源
的使用。
定义
UDP 1812
、
1813
作为认证(授权)
、计费端口
Radius
服务器维护三个数据库:
Users:
存储用户信息(用户名、口令、使用的协议、
p>
IP
地址等)
C
lients:
存储
radius
客户
端信息(接入设备的共享密钥、
IP
地址)
Dictionary
:存储
r
adius
协议中的属性和属性值含义
Radius
客户端与
radius
服务器之间通过共享密钥来对传输数据加密,但共享
密钥不通过网络来传输。
5
、
hwtacacs
协议
Hwtacacs
是在
tacacs
(
rfc
1492
)
基础上进行了功能增强的安全协议,
与
radius
协议类似,主要用于点对点
PPP
和
VPDN
(
p>
virtual private dial-up network
,虚
拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与
< br>radius
相比,具有
更加可靠的传输和加密特性,更
加适合于安全控制。
Hwtacacs
协议与其他厂商支持的
tacacs+
协议的认证流程和实现
方式是一致的,
能够完全兼容
tacacs+
< br>协议
6
、华为设备对
AAA
特性的支持
支
持本地、
radius
、
hwtacacs
三种任意组合
本地认证授权:
优点是速度快,可降
低运营成本;缺点是存储信息量受设备硬件条件限制
RADIUS
认证、计费:
优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须
与认证功能一起,使用了认证功能就使用了授权功能
Hwtacacs
认证、授权、计费:
认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署
多台
hwtacacs
服务器;还支持在一个方案
中使用多协议模式,如本地认证常用于
radius
认证和
p>
hwtacacs
认证的备用认证方案,本地授权作为
hwtacacs
授权的备用
授权方案等
二、本地方式认证和授权配置
配置流程为:配置
AAA
方案——配置本地用户——配
置业务方案——配置域的
AAA
方案
一、配置
AAA
方案
< br>
配置
AAA
方案就是配置
p>
AAA
中的认证、授权、计费,用于“域的
aaa
方案”中绑
定这些方案使用(所配置的各种方案只有在域
中绑定后才能得到应用)
认证方案:
1
、进入
AAA
视图
[Huawei]aaa
2
、设置一个
AAA
认证方案名
[Huawei-aaa]authentication-
scheme test1
3
、设置认证模式为本地认证(缺
省为本地认证)
[Huawei-aaa-authen-
test1]authentication-mode ?
hwtacacs
HWTACACS
local Local
none None
radius
RADIUS
4
、配置当前认证模板对用户提升级别进行认证
时采用的认证模式(可选,默认
为本地认证)
[Huawei-aaa-authen-
test1]authentication-super ?
hwtacacs HWTACACS
none None
radius RADIUS
super Super
(本地认证模式)
5
、配置用户名和域名解析的方向(可选,缺省从左向右)
[Huawei-aaa]domainname-parse-
direction ?
left-to-right
Configure
the
left
to
right
direction of domainname parsing
right-to-left
Configure
the
right
to
left direction of domainname parsing
授权方案:
1
、创建一个授权方案
[Huawei-aaa]authorization-scheme tets1
2
、配置本地授权模式
[Huawei-aaa-author-tets1]authorization-
mode ?
hwtacacs Use HWTACACS
authorization
method
if-
authenticated
Use
authorization
method
which lets user(s) authorized if
user(s)
not
authenticated
by
none authentication
method
local
Use
local
authorization
method
none
Use
none
authorization
method
3
、设置授权服务器下
发的用户授权信息的生效模式(可选,缺省为
overlay
模
式)
[Huawei-
aaa]authorization-modify
?
Modify
修改模式,新下发的授权信息覆盖上一次
下发的所有属性类别的授权信息
p>
Overlay
覆盖模式,新下发的授权信息覆盖前次下
发的
所有用户授权信息
#
模拟器未能模拟
二、配置本地用户
采用本地方式进行
认证授权时,需要在本地设备配置用户的认证和授权信息,
如用于认证的用户名、
密码、
用于授权的优先级、
用户组、
允许接入的服务器类型、
可建立连接数、访问目录等
1
、设置本地用户名和密码
[Huawei-aaa]local-user test password
simple 147258
2
、设置本地用户的级别
[Huawei-aaa]local-user test privilege
level 15
3
、设备本地用户加入用户组(可选,先配
置好用户组
[Huawei-aaa]local-user
test user-group teset
#
模拟器无法模拟
4
、
设置本地用户断开超时时间
[Huawei-aaa]local-user test idle-
timeout 600
5
、设备本地用户用于何种类型的服务
[Huawei-aaa]local-user test service-
type ?
8021x 802.1x user
bind Bind authentication user
ftp FTP user
http Http user
ppp PPP
user
ssh
SSH user
telnet Telnet user
terminal Terminal user
web Web authentication user
x25-pad X25-pad user
6
、本地用户作为
FTP
使用时设置访问目录
[Huawei-aaa]local-user test
ftp-directory
?
STRING<1-58>
flash:
flash:/
7
、设置本地用户状态
[Huawei-aaa]local-user test state ?
active Permit
the
user(s)
to
deal
with
the
authen
request
block Forbid
the
user(s)
to
deal
with
the
authen
request
(拒绝该用户认证请求)
8
、设备本地用户访问时最大连接数(缺省不限制)
[Huawei-aaa]local-user test access-
limit 10
9
、
< br>设置本地账号锁定功能
(连续登陆失败达到次数后锁定和解锁、
< br>重试等参数)
[Huawei-aaa]local-
aaa-user wrong-password retry-interval
5
(重试时间
间隔)
retry-
time 3
(连续认证失败的最大次数
block-
time 10
(账号被锁定时间)
10
、修改账号密码
三、配置业务方案(可选)
“业务方
案”也是一种授权方案,它是专门针对一些
IP
业务(如管理员
权限、
DHCP
服务、
DNS
服务、策略路由)所进行的授权,也称为“业务授权方案”
。
通常只需要使用
admin-user
privilege
level
命
令配置管理员用户的用户级别,
其它命令只有在业务方案被其他特性(如
IPSEC
)调用时才需要配置。
具体配置:
1
、创建一个业务方案
[Huawei-aaa]service-scheme test
2
、配置本地用户可作为管理员登陆设备并设置级别
[Huawei-aaa-service-test]admin-user
privilege level 15
3
、设置业务方案下
使用的
DHCP
服务器组(仅
7700
及以上支持)
[Huawei-
aaa-service-test]dhcp-server grpup test
4
、
设置可用的
DHCP
IP
地址池或移动已配置的地址的位置
(仅
p>
7700
及以上支持)
[Huawei-aaa-service-test]ip-pool
testpool move-to testpool2
5
、设置业务方案下的主用或备用
DNS
服务器地址
secondary
Set
secondary
DNS
server's
IP
address
6
、设置业务方案下用户的策略路由功能(仅<
/p>
7700
及以上支持)
(下一跳
IP
地址)
5
(源路由
vlan
ID
)
四、配置域的
AAA
方案
-
-
-
-
-
-
-
-
-
上一篇:法语名词阴阳性规律总结
下一篇:爆炸物探测与识别技术