华为交换机AAA配置管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AAA配置与管理
一、根底
1、AAA是指:authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称,是网络平安的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权;AAA是基于用户进展认证、授权、计费的,而NAC案是基于接入设备接口进展认证的。
在实际应用中,可以使用AAA的一种或两种效劳。
2、AAA根本架构:
C/S构造,AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕
3、AAA基于域的用户管理:
通过域来进展AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板,相当于对用户进展分类管理
缺省情况下,设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,如userhuawei.就表示属于huawei 域,如果用户名不带,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA效劳器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议
Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证〔授权〕、计费端口
Radius效劳器维护三个数据库:
Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕
Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕
Dictionary:存储radius协议中的属性和属性值含义
Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
5、hwtacacs协议
Hwtacacs是在tacacs〔rfc1492〕根底上进展了功能增强的平安协议,与radius协议类似,主要用于点对点PPP和VPDN〔virtual private dial-up network,虚拟私有拨号网络〕接入用户及终端用户的认证、授权、计费。与radius相比,具有更加可靠的传输和加密特性,更加适合于平安控制。
Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现式是一致的,能够完全兼容tacacs+协议
6、华为设备对AAA特性的支持
支持本地、radius、hwtacacs三种任意组合
本地认证授权:
优点是速度快,可降低运营本钱;缺点是存储信息量受设备硬件条件限制
RADIUS认证、计费:
优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能
Hwtacacs认证、授权、计费:
认证、授权、计费室单独进展的,可以单独配置使用,在大型网络中可以部署多台hwtacacs效劳器;还支持在一个案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证案,本地授权作为hwtacacs授权的备用授权案等
二、本地式认证和授权配置
配置流程为:配置AAA案——配置本地用户——配置业务案——配置域的AAA案
一、配置AAA案
配置AAA案就是配置AAA中的认证、授权、计费,用于“域的aaa案〞中绑定这些案使用〔所配置的各种案只有在域中绑定后才能得到应用〕
认证案:
1、进入AAA视图
[Huawei]aaa
2、设置一个AAA认证案名
[Huawei-aaa]authentication-scheme test1
3、设置认证模式为本地认证〔缺省为本地认证〕
[Huawei-aaa-authen-test1]authentication-mode ?
hwtacacs HWTACACS
local Local
none None
radius RADIUS
4、配置当前认证模板对用户提升级别进展认证时采用的认证模式〔可选,默认为本地认证〕
[Huawei-aaa-authen-test1]authentication-super ?
hwtacacs HWTACACS
none None
radius RADIUS
super Super〔本地认证模式〕
5、配置用户名和域名解析的向〔可选,缺省从左向右〕
[Huawei-aaa]domainname-parse-direction ?
left-to-right Configure the left to right direction of domainname parsing
right-to-left Configure the right to left direction of domainname parsing
授权案:
1、创立一个授权案
[Huawei-aaa]authorization-scheme tets1
2、配置本地授权模式
[Huawei-aaa-author-tets1]authorization-mode ?
hwtacacs Use HWTACACS authorization method
if-authenticated Use authorization method which lets user(s) authorized if