华为交换机AAA配置管理

AAA配置与管理
一、根底
1、AAA是指：authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称，是网络平安的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权；AAA是基于用户进展认证、授权、计费的，而NAC案是基于接入设备接口进展认证的。

在实际应用中，可以使用AAA的一种或两种效劳。

2、AAA根本架构：
C/S构造，AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕
3、AAA基于域的用户管理：
通过域来进展AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板，相当于对用户进展分类管理
缺省情况下，设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕，均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是、|、%等符号，如userhuawei.就表示属于huawei 域，如果用户名不带，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA效劳器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议
Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证〔授权〕、计费端口
Radius效劳器维护三个数据库：
Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕
Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕
Dictionary：存储radius协议中的属性和属性值含义
Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

5、hwtacacs协议
Hwtacacs是在tacacs〔rfc1492〕根底上进展了功能增强的平安协议，与radius协议类似，主要用于点对点PPP和VPDN〔virtual private dial-up network，虚拟私有拨号网络〕接入用户及终端用户的认证、授权、计费。

与radius相比，具有更加可靠的传输和加密特性，更加适合于平安控制。

Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现式是一致的，能够完全兼容tacacs+协议
6、华为设备对AAA特性的支持
支持本地、radius、hwtacacs三种任意组合
本地认证授权：
优点是速度快，可降低运营本钱；缺点是存储信息量受设备硬件条件限制
RADIUS认证、计费：
优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须与认证功能一起，使用了认证功能就使用了授权功能
Hwtacacs认证、授权、计费：
认证、授权、计费室单独进展的，可以单独配置使用，在大型网络中可以部署多台hwtacacs效劳器；还支持在一个案中使用多协议模式，如本地认证常用于radius认证和hwtacacs认证的备用认证案，本地授权作为hwtacacs授权的备用授权案等
二、本地式认证和授权配置
配置流程为：配置AAA案——配置本地用户——配置业务案——配置域的AAA案
一、配置AAA案
配置AAA案就是配置AAA中的认证、授权、计费，用于“域的aaa案〞中绑定这些案使用〔所配置的各种案只有在域中绑定后才能得到应用〕
认证案：
1、进入AAA视图
[Huawei]aaa
2、设置一个AAA认证案名
[Huawei-aaa]authentication-scheme test1
3、设置认证模式为本地认证〔缺省为本地认证〕
[Huawei-aaa-authen-test1]authentication-mode ?
hwtacacs HWTACACS
local Local
none None
radius RADIUS
4、配置当前认证模板对用户提升级别进展认证时采用的认证模式〔可选，默认为本地认证〕
[Huawei-aaa-authen-test1]authentication-super ?
hwtacacs HWTACACS
none None
radius RADIUS
super Super〔本地认证模式〕
5、配置用户名和域名解析的向〔可选，缺省从左向右〕
[Huawei-aaa]domainname-parse-direction ?
left-to-right Configure the left to right direction of domainname parsing
right-to-left Configure the right to left direction of domainname parsing
授权案：
1、创立一个授权案
[Huawei-aaa]authorization-scheme tets1
2、配置本地授权模式
[Huawei-aaa-author-tets1]authorization-mode ?
hwtacacs Use HWTACACS authorization method
if-authenticated Use authorization method which lets user(s) authorized if
user(s) not authenticated by none authentication method
local Use local authorization method
none Use none authorization method
3、设置授权效劳器下发的用户授权信息的生效模式〔可选，缺省为overlay模式〕
[Huawei-aaa]authorization-modify ？
Modify 修改模式，新下发的授权信息覆盖上一次下发的所有属性类别的授权信息
Overlay 覆盖模式，新下发的授权信息覆盖前次下发的所有用户授权信息# 模拟器未能模拟
二、配置本地用户
采用本地式进展认证授权时，需要在本地设备配置用户的认证和授权信息，如用于认证的用户名、密码、用于授权的优先级、用户组、允接入的效劳器类型、可建立连接数、访问目录等
1、设置本地用户名和密码
[Huawei-aaa]local-user test password simple 147258
2、设置本地用户的级别
[Huawei-aaa]local-user test privilege level 15
3、设备本地用户参加用户组〔可选，先配置好用户组
[Huawei-aaa]local-user test user-group teset #模拟器无法模拟
4、设置本地用户断开超时时间
[Huawei-aaa]local-user test idle-timeout 600
5、设备本地用户用于种类型的效劳
[Huawei-aaa]local-user test service-type ?
8021x 802.1x user
bind Bind authentication user
ftp FTP user
user
ppp PPP user
ssh SSH user
telnet Telnet user
terminal Terminal user
web Web authentication user
x25-pad X25-pad user
6、本地用户作为FTP使用时设置访问目录
[Huawei-aaa]local-user test ftp-directory ？
STRING<1-58>
flash:
flash:/
7、设置本地用户状态
[Huawei-aaa]local-user test state ?
active Permit the user(s) to deal with the authen request
block Forbid the user(s) to deal with the authen request 〔拒绝该用户认证请求〕
8、设备本地用户访问时最接数〔缺省不限制〕
[Huawei-aaa]local-user test access-limit 10
9、设置本地账号锁定功能〔连续登陆失败到达次数后锁定和解锁、重试等参数〕
[Huawei-aaa]local-aaa-user wrong-password retry-interval 5〔重试时间间隔〕retry-time 3 〔连续认证失败的最大次数block-time 10〔账号被锁定时间〕
10、修改账号密码
<Huawei>local-user change-password
三、配置业务案〔可选〕
“业务案〞也是一种授权案，它是专门针对一些IP业务〔如管理员权限、DHCP效劳、DNS效劳、策略路由〕所进展的授权，也称为“业务授权案〞。

通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别，其它命令只有在业务案被其他特性〔如IPSEC〕调用时才需要配置。

具体配置：
1、创立一个业务案
[Huawei-aaa]service-scheme test
2、配置本地用户可作为管理员登陆设备并设置级别
[Huawei-aaa-service-test]admin-user privilege level 15
3、设置业务案下使用的DHCP效劳器组〔仅7700及以上支持〕
[Huawei-aaa-service-test]dhcp-server grpup test
4、设置可用的DHCP IP地址池或移动已配置的地址的位置〔仅7700及以上支持〕
[Huawei-aaa-service-test]ip-pool testpool move-to testpool2
5、设置业务案下的主用或备用DNS效劳器地址
Huawei-aaa-service-test]dns 10.1.1.1 ?
secondary Set secondary DNS server's IP address
<cr>
6、设置业务案下用户的策略路由功能〔仅7700及以上支持〕
[Huawei]policy route 20.1.1.1〔下一跳IP地址〕5〔源路由vlan ID〕
四、配置域的AAA案
认证、授权案、业务案只有绑定域的AAA案中才能得到应用
1、设置一个域的AAA案名〔缺省存在default和default_admin两个域〕
[Huawei-aaa]domain testdomain
2、绑定认证案
[Huawei-aaa-domain-testdomain]authentication-scheme test
3、绑定授权案
[Huawei-aaa-domain-testdomain]authorization-scheme test
4、绑定业务案
[Huawei-aaa-domain-testdomain]service-scheme tese
5、设置域的AAA案状态
[Huawei-aaa-domain-testdomain]state ?
active Active
block Block
6、设置域名分隔符〔缺省为〕
[Huawei-aaa]domain-name-delimiter
三、RADIUS式认证、授权、计费配置
配置流程为：配置AAA案——配置radius效劳器模板——配置业务案——配置域的AAA案
一、认证授权配置
Radius中的认证和授权时同步进展的，只要是能其认证功能，也就是能了授权功能。

配置法同本地认证配置
二、计费案配置
1、设置计费案名
[Huawei-aaa]accounting-scheme testaccounting
2、设置计费模式
[Huawei-aaa-accounting-testaccounting]accounting-mode ?〔默认为none〕
hwtacacs HWTACACS
none None
radius RADIUS
3、设置开场计费失败策略〔默认online〕
[Huawei-aaa-accounting-testaccounting]accounting start-fail ?
offline Offline#如果开场计费失败，允用户上线
online Online#如果开场计费失败，拒绝用户上线
4、设置实时计费功能和时间间隔〔缺省未使能〕
[Huawei-aaa-accounting-realtime]accounting realtime 60
5、设置实时计费允设备发送实时计费请求的最大次数〔默认为3〕或、和失败后采取的动作
[Huawei-aaa-accounting-realtime]accounting interim-fail max-times 10 ?
offline Offline
online Online
三、radius效劳器模板配置
Radius效劳器模板用来配置与radius效劳器进展通信的一样参数〔如radius效劳器IP地址、端口号、共享密钥等〕Radius效劳器模板下的用户名格式。

共享密钥等要与radius效劳器上配置对应一致
1、设置radius授权效劳器IP地址、授权效劳器模板名称、通信密钥
Huawei]radius-server authorization 10.1.1.1 ?
server-group Configure RADIUS-client corresponding server-group
shared-key Configure server shared-key
vpn-instance VPN instance
2、配置radius效劳器模板名
[Huawei]radius-server template test
3、设置模板下radius主用认证效劳器地址、端口号源接口loopback编号或、及IP地址
[Huawei-radius-test]radius-server authentication 10.1.1.1 9098 source ?
ip-address IP address
loopback LoopBack interface
4、设置模板下radius备用认证效劳器地址、端口号源接口loopback编号或、及IP地址
[Huawei-radius-test]radius-server authentication 10.1.1.2 9098 source loopback 2 secondary
5、设置模板下主用计费效劳器地址、端号源接口loopback编号或、及IP地址
[Huawei-radius-test]radius-server accounting 10.1.1.1 9099 ?
secondary Secondary server
source Source LoopBack interface
vpn-instance VPN instance
<cr>
6、设置模板下备用计费效劳器地址、端号源接口loopback编号或、及IP地址〔参考上面配置〕
7、设置域radius效劳器通信的共享密钥〔MD5加密，缺省密码为huawei〕
[Huawei-radius-test]radius-server shared-key cipher huawei 1
8、设置设备向radius效劳器发送的报文中的用户名包含域名〔可选，缺省包含〕
[Huawei-radius-test]radius-server user-name domain-included
9、设置radius计费效劳器计费时采用的流量统计单位〔可选，缺省为byte〕
Huawei-radius-test]radius-server traffic-unit ?
byte Byte
gbyte Gbyte
kbyte Kbyte
mbyte Mbyte
10、设置radius请求报文允的超时重传次数和超时时间〔可选，缺省5 3〕
[Huawei-radius-test]radius-server retransmit 3 timeout 3
11、设置NAS〔AAA客户端〕端口形式〔可选，缺省为新〕
[Huawei-radius-test]radius-server nas-port-format ?
new New NAS-Port format〔新的〕
old Old NAS-Port format〔旧的〕
12、设置NAS端口ID 形式〔可选867页〕
[Huawei-radius-test]radius-server nas-port-id-format ?
new New NAS-Port-Id format
old Old NAS-Port-Id format
13、设置NAS发送radius报文使用的NAS-IP-address属性〔可选。

默认使用指定的loopback接的IP地址〕[Huawei-radius-test]radius-attribute nas-ip 10.1.1.20
14、设置计费完毕报文的重传功能和可重发的计费停顿报文个数〔可选。

默认都为0〕
[Huawei-radius-template]radius-server accounting-stop-packet resend 3 #无法模拟
15、设置与radius主用效劳器恢复重新连接时间间隔〔可选，默认为5分钟〕
[Huawei-radius-template]radius-server detect-server interval 10
16、测试用户能否通过radius认证
[Huawei-radius-template]test-aaa test1 123456 radius-template test1 ?
chap CHAP method #采用CHAP认证
pap PAP method #采用PAP认证
<cr>
四、业务式配置和域的aaa案配置同上
四、HWTACACS式认证、授权、计费配置
与radius相比，具有更加可靠的传输和加密特性，更加适合于平安控制，可以防止非法用户对网络攻击，还支持对命令行授权等
配置流程：AAA案——hwtacacs效劳器模板——业务案——域的AAA案
一、设置AAA认证案
同上
可以增加的地
1、设置认证旁路时间〔默认未使能，单位分钟〕
[Huawei]aaa-authen-bypass enable time 2 #未能模拟
二、设置AAA授权案
同上
可以增加的地
1、为指定级别的用户设置为按命令行授权〔可选，默认都没设置〕
[Huawei-aaa-author-testauthoriz]authorization-cmd 3 hwtacacs ?
local Use local authorization method
<cr>
2、设置授权旁路时间
[Huawei]aaa-authen-bypass enable time 2
3、设置命令行授权旁路时间
[Huawei]aaa-authen-cmd-bypass enable time 2
三、设置AAA计费案
同上
四、hwtacacs效劳器模板配置
与radius效劳器模板配置根本一样
1、使能hwtacacs功能
[Huawei]hwtacacs enable
2、创立hwtacacs模板名
[Huawei]hwtacacs-server template templatehwtacacs
以下同上
3、设置hwtacacs主用授权效劳器
4、设置hwtacacs备用授权效劳器
5、设置hwtacacs主用计费效劳器
6、设置hwtacacs备用授权效劳器
7、设置设备向hwtacacs效劳器发送hwtacacs报文的源IP地址
8、设置客户端与hwtacacs效劳器通信的共享密钥
9、设置客户端向hwtacacs效劳器发送的报文包含域名
10、设置计费hwtacacs流量的单位
11、设置hwtacacs效劳器应答超时时间〔可选，缺省5S〕
[Huawei-hwtacacs-test]hwtacacs-server timer response-timeout 20
12、设置主用效劳器恢复激活状态的静默时间〔缺省5min〕
[Huawei-hwtacacs-test]hwtacacs-server timer quiet 10
13、设置允停顿重发计费报文及重发计费报文的个数
14、设置可在设备上修改hwtacacs效劳器上保持的用户密码〔必须未过期〕<Huawei>hwtacacs-user change-password hwtacacs-server test〔模板名〕。