AAA配置指导
AAA配置和管理
网络安全实验报告
实验名称:
实验三AAA配置和管理
班级:
实验地点:
日期:
评定等级:
学号:
姓名:
一、实验目的:
1.掌握使用本地数据库进行控制、VTY和AUX线路的登录认证
2.掌握使用AAA进行本地认证
3.掌握使用AAA和RADIUS进行集中认证
二、基本技能实验内容、要求和环境:
Router(config)#line vty 0 4
Router(config-line)#login authentication TELNET_LINESቤተ መጻሕፍቲ ባይዱ
四、实验结果与分析
使用本地数据库进行控制、VTY和AUX线路的登录认证
AAA本地认证
五:思考题:
AAA是指用使用Auth;Authentication(认证):对用户的身;我们一般使用TACASS+RADIUS协议来做;当用户的身份被认证服务器去人后,用户在能管理交换;在认证的时候。有以下这些方法:1在交换机本地进行用户名和密码的设定,也就是在用户登录交换机的时候,交换机会对比自己的本地数据库,查看要登录的用户所使用的用户名和密码的正确性;2使用一台或多台(组)外部RARIUS服务器认证;3使用一台或多台(组)外部TACASS+服务器认证用一个配置实例,说明交换机上操作。
R2(config-if)#ip address 192.168.2.2 255.255.255.252
R2(config-if)#end
2配置主机
(1)配置使用本地数据库进行控制线路的登录认证
Router(config)#username peter secret cisco
AAA认证和授权的配置
Page 8
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA-aaa]local-user huawei@huawei password cipher huawei [RTA-aaa]local-user huawei@huawei service-type telnet [RTA-aaa]local-user huawei@huawei privilege level 0
Page 7
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA]aaa [RTA-aaa]authentication-scheme auth1 [RTA-aaa-authen-auth1]authentication-mode local [RTA-aaa-authen-auth1]quit [RTA-aaa]authorization-scheme auth2 [RTA-aaa-author-auth2]authorization-mode local [RTA-aaa-author-auth2]quit [RTA-aaa]domain huawei [RTA-aaa-domain-huawei]authentication-scheme auth1 [RTA-aaa-domain-huawei]authorization-scheme auth2 [RTA-aaa-domain-huawei]quit
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa
Page 9
配置验证
[RTA]display domain name huawei Domain-name Domain-state Authentication-scheme-name Accounting-scheme-name Authorization-scheme-name Service-scheme-name RADIUS-server-template HWTACACS-server-template : huawei : Active : auth1 : default : auth2 : : : -
AAA基本配置
ACS配置的几个要点:1、在接口配置拦目中选择相应的项目,否则不会在其他拦目中显示出来2、在设备端的示例ACS认证(authentication):路由器方式和PIX不同Step1>在设备端定义tacacs+服务器地址以及keytacacs-server host 202.101.110.110tacacs-server directed-requesttacacs-server key testStep2>在ACS端定义设备的IP地址Step3>在ACS上面建立用户名和用户组Step4>在设备端配置AAA认证aaa new-modelaaa authentication login default group tacacs+ localaaa authentication enable default group tacacs+ enableline vty 0 4login authentication default授权、记帐:aaa new-modelaaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local line vty 0 4authorization commands 1 defaultauthorization commands 15 defaultaaa accounting exec default start-stop group tacacs+lin vty 0 4accounting exec default如果要记录用户所用的命令,设备端配置为:aaa new-modelaaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ line vty 0 4accounting commands 0 defaultaccounting commands 1 defaultaccounting commands 15 default一、AAA服务器配置:PIX/ASA方式Chicago(config)# username admin password ciscoChicago(config)# aaa-server mygroup protocol radiusChicago(config-aaa-server)# max-failed-attempts 4Chicago(config-aaa-server)# reactivation-mode depletion deadtime 5Chicago(config-aaa-server)# exitChicago(config)# aaa-server mygroup host 172.18.124.11Chicago(config-aaa-server)# retry-interval 3Chicago(config-aaa-server)# timeout 30Chicago(config-aaa-server)# key cisco123Chicago(config-aaa-server)# exitshow running-config aaa-server (显示配置的命令)show aaa-server(显示包括本地数据库在内的AAA服务器详细情况)clear aaa-server statistics [tag [host hostname]]clear aaa-server statistics protocol server-protocolclear configure aaa-server [server-tag]二、配置管理会话的认证:Chicago(config)# aaa authentication telnet console mygroup LOCALChicago(config)# aaa authentication ssh console mygroupChicago(config)# aaa authentication serial console mygroup(物理CONSOLE口)aaa authentication http console mygroupIf this command is not configured, Cisco ASDM users can gain access to the A SA by entering only the enable password, and no username, at the authentica tion prompt三、配置访问AAA:access-list 150 extended permit ip any anyaccess-list 150 extended deny ip host 172.18.124.20 anyaaa authentication match 150 inside mygrouptimeout uauth hh:mm:ss [absolute | inactivity]It is recommended to configure the absolute timeout command value for at le ast 2 minutes. Never configure the timeout uauth duration to 0auth-prompt [prompt | accept | reject] prompt textaccess-list 100 extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255. 255.255.0aaa authorization match 100 inside mygroupaaa authorization command {LOCAL | tacacs_server_tag [LOCAL]}access-group 100 in interface inside per-user-overrideChicago(config)# aaa accounting match 100 inside mygroupChicago(config)# aaa accounting command privilege 15 mygroup 对特权级别15的用户记帐Deploying Cut-Through Proxy Authenticationaccess-list 100 extended permit ip any anyaaa authentication match 100 inside LOCAL实验配置示例:pix525(config)# sh runPIX Version 7.2(1)!hostname pix525domain-name enable password 2KFQnbNIdI.2KYOU encryptednamesname 192.168.10.2 insidehostname 172.16.16.2 bastionhost!interface Ethernet0nameif insidesecurity-level 100ip address 192.168.10.1 255.255.255.0!interface Ethernet1nameif outsidesecurity-level 0ip address 192.1.1.1 255.255.255.0!interface Ethernet2nameif dmzsecurity-level 50ip address 172.16.16.1 255.255.255.0!passwd 5ya5JKHLgY0ZD3KU encrypted TELNET密码access-list 101 extended permit icmp any anyaccess-list 101 extended permit tcp any anyaccess-list aaaacl2 extended permit ip 192.168.10.0 255.255.255.0 any access-list dmzin extended permit ip any host bastionhostglobal (outside) 1 interfaceglobal (dmz) 1 172.16.16.10-172.16.16.20 netmask 255.255.255.0nat (inside) 1 192.168.10.0 255.255.255.0nat (inside) 1 192.168.20.0 255.255.255.0nat (dmz) 1 172.16.16.0 255.255.255.0access-group 101 in interface outsideaccess-group 101 in interface insideaccess-group 101 in interface dmzroute outside 0.0.0.0 0.0.0.0 192.1.1.2 1route inside 192.168.20.0 255.255.255.0 insidehost 1aaa-server配置完成两项:指定协议和AAA服务器地址、KEYaaa-server deng protocol radiusreactivation-mode timedmax-failed-attempts 4aaa-server deng host 192.168.20.206timeout 300key deng本地数据库username dengzhaopeng password nuvFZK3pqSfYnWqN encryptedusername dengyusu password 6SGxhdEZqnTFVjew encryptedaaa authentication telnet console LOCAL 用本地数据库对管理会话做认证aaa authentication match aaaacl2 inside deng 用AAA服务器对指定的网段访问做认证aaa authentication match dmzin inside deng 用AAA服务器对堡垒主机的访问做认证telnet insidehost 255.255.255.255 insidetelnet timeout 5ssh scopy enable 允许SSH访问类似FTP功能,但是进行加密文件传输ssh 192.1.1.2 255.255.255.255 outsidessh insidehost 255.255.255.255 insidessh timeout 5ssh version 2先产生密钥对(SHOW RUN中不显示?),调用域名console timeout 0pix525(config)# sh aaa-sServer Group: dengServer Protocol: radiusServer Address: 192.168.10.206Server port: 1645(authentication), 1646(accounting)Server status: ACTIVE, Last transaction at 13:45:25 UTC Sun Dec 16 2007 Number of pending requests 0Average round trip time 117msNumber of authentication requests 4Number of authorization requests 0Number of accounting requests 0Number of retransmissions 0Number of accepts 1Number of rejects 3Number of challenges 0Number of malformed responses 0Number of bad authenticators 0Number of timeouts 0Number of unrecognized responses 0pix525(config)# sh uauCurrent Most SeenAuthenticated Users 1 1Authen In Progress 0 1user 'dengyusu' at insidehost, authenticated (idle for 0:00:07)absolute timeout: 0:05:00inactivity timeout: 0:00:00pix525(config)# clear uaupix525(config)# sh uauCurrent Most SeenAuthenticated Users 0 1Authen In Progress 0 1重点:最小化配置ACS4.1上此例的配置:1、只需要指定NAS,不需要指定ACS-SERVER。
华为交换机AAA配置管理
AAA配置与管理一、根底1、AAA是指:authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称,是网络平安的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权;AAA是基于用户进展认证、授权、计费的,而NAC案是基于接入设备接口进展认证的。
在实际应用中,可以使用AAA的一种或两种效劳。
2、AAA根本架构:C/S构造,AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理:通过域来进展AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板,相当于对用户进展分类管理缺省情况下,设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,如userhuawei.就表示属于huawei 域,如果用户名不带,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA效劳器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库:Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
第24章 AAA配置
版权所有©2009, 迈普通信技术股份有限公司, 保留所有权利 .
2
修改当用户登录到交换机上时显示的欢迎信息。本命令的 no 形式恢复缺省欢迎信息。 aaa authentication banner banner no aaa authentication banner 语法 banner 描述 登录到交换机上时显示的欢迎信息。欢迎信息头 尾用相同的字符作为头尾表示符。如:希望输出 的欢迎信息显示为“welcome”,则输入的 banner 为“^welcome^”。“^”即是首尾标示符。
aaa authentication xauth
描述 *启动 AAA *配置 AAA 认证时显示的标题 *配置 AAA 认证失败时打印的信息 配置 AAA 认证时用户名提示符 配置 AAA 认证时密码提示符 *配置 AAA 登陆认证 *配置进入特权模式认证 *配置 PPP 协商认证
配置 XAUTH 协商认证
版权所有©2009, 迈普通信技术股份有限公司, 保留所有权利 .
3
【命令模式】全局配置模式。 n aaa authentication password-prompt 修改提示用户输入口令时显示的文本。本命令的 no 形式恢复缺省显示文本。 aaa authentication password-prompt password-prompt no aaa authentication password-prompt 语法 password-prompt 【缺省情况】缺省显示文本为“password:”。 【命令模式】全局配置模式。 n aaa authentication login 配置登录身份认证方法列表。本命令的 no 形式删除方法列表。 aaa authentication login {default | list-name} method1[method2…] no aaa authentication login {default | list-name} 语法 default list-name method 定义缺省方法列表 方法列表名 认证方法 none:不进行身份认证,直接通过 enable:使用有效口令进行身份认证(全局 enable 口令) local:使用本地用户数据库进行身份认证 line:使用线路口令进行身份认证 radius:使用 RADIUS 进行身份认证 tacacs:使用 TACACS 进行身份认证 WORD:使用 TACACS 或 RADIUS 服务器组进行认证, WORD 为服务器组名称 最多可以配置 4 种方法 描述 描述 提示用户输入口令时显示的文本。
华为交换机AAA配置与管理系统
AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC 方案是基于接入设备接口进行认证的。
在实际应用中,可以使用AAA的一种或两种服务。
2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如user@就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
AAA配置实例+注解
AAA配置实例+注解cisco上配置AAA,AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。
Authentication(认证):对用户的身份进行认证,决定是否允许此用户访问网络设备。
Authorization(授权):针对用户的不同身份,分配不同的权限,限制每个用户的操作Accounting(计费):对每个用户的操作进行审计和计费我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。
RADIUS是标准的协议,很多厂商都支持。
TACACS+是cisco私有的协议,私有意味只有cisco可以使用,TACACS+增加了一些额外的功能。
当用户的身份被认证服务器确认后,用户在能管理交换机或者才能访问网络;在访问设备的时候,我们可以针对这个用户授权,限制用户的行为;最后我们将记录用在设备的进行的操作。
在认证的时候,有一下这些方法:1.在交换机本地进行用户名和密码的设定,也就是在用户登录交换机的收,交换机会对比自己的本地数据库,查看要登录的用户所使用的用户名和密码的正确性。
2.使用一台或多台(组)外部RADIUS服务器认证3.使用一台或多台(组)外部TACACS+服务器认证用一个配置实例,说明交换机上操作username root secret cisco#在交换机本地设置一个用户,用户名是root,密码是cisco。
aaa new-model#在交换机上激活AAAaaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序,先到tacacs+服务器认证,如果tacacs+服务器出现了故障,不能使用tacacs+认证,我们可以使用交换机的本地数据库认证,也就是用户名root密码ciscoaaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证,那么用户就能获得服务器的允许,运行交换机的EXEC对话aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可,如果tacacs+出现故障,则要通过本地数据库许可aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间,记录的过程是从开始到结束aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+!tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为ciscoline vty04login authentication defaultauthorization exec defaultaccounting exec default最近在搭建公司的ACS,总结了一些经验写在这里。
H3C交换机AAA配置
H3C交换机AAA配置一、RADIUS相关配置【必要命令】系统视图[H3C] dot1x注:启用dot1x认证[H3C] dot1x authentication-method eap注:设置dot1x认证方式为EAP[H3C] MAC-authentication注:启用MAC认证[H3C] radius scheme skylark注:新建RADIUS方案[H3C-radius-skylark] primary authentication 10.18.10.223 1812注:设置RADIUS认证服务器地址,默认端口1812[H3C-radius-skylark] primary accounting 10.18.10.223 1813 注:设置RADIUS审计服务器地址,默认端口1812[H3C-radius-skylark] key authentication skylark注:设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark] key accounting skylark注:设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark] user-name-format without-domain注:交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark] nas-ip 10.18.10.254注:当交换机有多个IP时,指定与RADIUS服务器通讯所使用的IP地址[H3C] domain /doc/b65985264.html, 注:在交换机新建ISP域[/doc/b65985264.html,] scheme radius-scheme skylark local注:给ISP域指定验证的RADIUS方案[/doc/b65985264.html,] vlan-assignment-mode string注:设置RADIUS服务器发送的vlan数为字符串型[H3C] domain default enable /doc/b65985264.html,注:设置新建的ISP域为默认域,默认接入终端都通过RADIUS 服务器进行认证[H3C] MAC-authentication domain /doc/b65985264.html,注:指定MAC地址认证的ISP域[H3C] undo dot1x handshake enable注:关闭dot1x的认证握手,防止已认证端口失败端口视图-dot1x认证[H3C] interface Ethernet1/0/10注:进入端口视图(配置所有接入端口)[H3C-Ethernet1/0/10] port link-type access注:设置端口模式为access[H3C-Ethernet1/0/10] dot1x注:在端口上启用dot1x认证[H3C-Ethernet1/0/10] dot1x port-control auto注:自动识别端口的授权情况[H3C-Ethernet1/0/10] dot1x port-method portbased注:设置端口基于端口认证,当第一个用户认证成功后,其他用户无须认证;若该用户下线后,其他用户也会被拒绝访问[H3C-Ethernet1/0/10] dot1x guest-vlan 3注:设置guestvlan,只有该端口为基于端口认证时支持,基于端口认证时不支持端口视图-MAC认证[H3C] interface Ethernet1/0/11注:进入端口视图(配置所有接入端口)[H3C-Ethernet1/0/11] port link-type access注:设置端口模式为access[H3C-Ethernet1/0/11] MAC-authentication注:在端口上启用MAC认证[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3注:设置guestvlan,guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C] dot1x retry 2注:交换机向RADIUS服务器发送报文的重传次数[H3C] dot1x timer tx-period 2注:交换机向dot1x端口定期多长时间重发报文[H3C] dot1x timer supp-timeout 10注:交换机向客户端发送报文,客户端未回应,多长时间后重发[H3C] dot1x timer server-timeout 100注:交换机向RADIUS服务器发送报文,服务器未回应,多长时间后重发[H3C] dot1x timer reauth-period 7200注:设置重认证间隔检测时间[H3C-Ethernet1/0/10] dot1x re-authenticate注:开启端口重认证功能MAC认证[H3C] mac-authentication timer server-timeout 100注:设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用:收集交换机信息,进行交换机管理[H3C] snmp-agent community write skylark注:设置community密码,用于管理交换机,接收交换机相关信息[H3C] snmp-agent sys-info version all注:设置SNMP支持版本DHCP中继代理(在网关交换机上配置)作用:根据指定IP查找DHCP服务器位置(方法一)[H3C] dhcp-server 0 ip 10.18.10.223注:新建DHCP组,设置DHCP服务器地址[H3C] interface vlan 2注:进入vlan接口[H3C-interface-vlan2] dhcp-server 0注:配置DHCP中继代理,指向DHCP组(方法二)[H3C] dhcp enable注:开启DHCP功能[H3C] dhcp relay server-group 0 ip 10.18.10.223注:新建DHCP组,设置DHCP服务器地址[H3C] interface vlan 2注:进入vlan接口[H3C-interface-vlan2] dhcp select relay注:设置接口为中继模式[H3C-interface-vlan2] dhcp relay server-select 0注:配置DHCP中继代理,指向DHCP组【可选命令】DHCP SNOOPING作用:保证DHCP服务器合法性,并记录客户端IP和MAC对应关系[H3C] dhcp-snooping注:开启DHCP-SNOOPING安全特性[H3C] interface G1/0/1(某些支持vlan接口)注:进入端口模式(配置级联端口和连接DHCP服务器的端口为信任端口)[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust 注:设置该端口为信任端口,默认其它未设置端口则为不信任端口,丢弃不信任的DHCP报文IP SOURCE GUARD(配合DHCP-SNOOPING使用)作用:在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C] interface E1/0/10(某些支持vlan接口)注:进入接口[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address注:动态绑定DHCP-SNOOPING表项,过滤掉其它非DHCP分配的终端数据相关命令display dhcp-snoopingdisplay ip check source注意:S3100SI不支持IP SOURCE GUARD绑定。
华为交换机aaa配置命令是什么
华为交换机aaa配置命令是什么交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。
所以,以太网技术已成为当今最重要的一种局域网组网技术,网络交换机也就成为了最普及的交换机。
下面是店铺给大家整理的一些有关华为交换机aaa配置命令,希望对大家有帮助!华为交换机aaa配置命令[Huawei]aaa[Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng[Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius,如无响应则本地认证[Huawei-aaa-authen-aaa]quit[Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei[Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费[Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时,将用户离线[Huawei-aaa-accounting-ji_fei]quit二、配置Radius模板[Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use[Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口[Huawei-radius-huawei_use]radius-server authentication 192.168.1.253 1812 secondary 备用认证服务器[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1812 主radius计费服务地址和端口[Huawei-radius-huawei_use]radius-server accounting192.168.1.253 1813 secondary 备用计费服务器[Huawei-radius-huawei_use]radius-server shared-key cipher hello 配置设备与Radius通信的共享秘钥为hello[Huawei-radius-huawei_use]radius-server retransmit 2 timeout 5 配置设备向Radius服务器发送请求报文的超时重传次数为2s,间隔为5s[Huawei-radius-huawei_use]quit三、在AAA用户域绑定要使用的AAA认证和Radius模板[Huawei]aaa[Huawei-aaa]domain huawei 配置AAA域,名称huawei[Huawei-aaa-domain-huawei]authentication-schemeren_zheng 在域中绑定AAA认证方案[Huawei-aaa-domain-huawei]accounting-scheme ji_fei 在域中绑定AAA计费方案[Huawei-aaa-domain-huawei]radius-server huawei_use 在域中绑定Radius模板[Huawei-aaa-domain-huawei]quit检查命令:[Huawei]display radius-server configuration template huawei_use------------------------------------------------------------------------------Server-template-name : huawei_useProtocol-version : standardTraffic-unit : BShared-secret-key : aaYOZ$V^P35NZPO3JBXBHA!!Timeout-interval(in second) : 5Primary-authentication-server : 192.168.1.254 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Primary-accounting-server : 192.168.1.254 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-authentication-server : 192.168.1.253 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-accounting-server : 192.168.1.253 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Retransmission : 2Domain-included : YESNAS-IP-Address : 0.0.0.0Calling-station-id MAC-format : xxxx-xxxx-xxxx------------------------------------------------------------------------------[Huawei][Huawei]display domain name huaweiDomain-name : huaweiDomain-state : ActiveAuthentication-scheme-name : ren_zhengAccounting-scheme-name : ji_feiAuthorization-scheme-name : -Service-scheme-name : -RADIUS-server-template : huawei_useHWTACACS-server-template : -[Huawei]session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49)拓扑不变HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。
华为交换机AAA配置与管理
AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs (华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。
在实际应用中,可以使用AAA的一种或两种服务。
2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如***************就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
H3C华为01-AAA命令详解精编版
H3C华为01-AAA命令详解精编版01-AAA命令目录1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile1.1.2 access-limit1.1.3 access-limit enable1.1.4 accounting default1.1.5 accounting login1.1.6 accounting optional1.1.7 authentication default1.1.8 authentication login1.1.9 authorization command1.1.10 authorization default1.1.11 authorization login1.1.12 authorization-attribute1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute1.1.15 cut connection1.1.16 display connection1.1.17 display domain1.1.18 display local-user1.1.19 display user-group1.1.20 domain1.1.21 domain default enable1.1.22 expiration-date1.1.23 group1.1.24 idle-cut enable1.1.25 local-user1.1.26 local-user password-display-mode1.1.27 nas-id bind vlan1.1.28 password1.1.29 self-service-url enable1.1.30 service-type1.1.31 state1.1.32 user-group2 RADIUS配置命令2.1 RADIUS配置命令2.1.1 accounting-on enable2.1.2 accounting-on enable interval2.1.3 accounting-on enable send2.1.4 attribute 25 car2.1.5 data-flow-format (RADIUS scheme view)2.1.6 display radius scheme2.1.7 display radius statistics2.1.8 display stop-accounting-buffer2.1.9 key (RADIUS scheme view)2.1.10 nas-ip (RADIUS scheme view)2.1.11 primary accounting (RADIUS scheme view) 2.1.12 primary authentication (RADIUS scheme view) 2.1.13 radius client2.1.14 radius nas-ip2.1.15 radius scheme2.1.16 radius trap2.1.17 reset radius statistics2.1.18 reset stop-accounting-buffer2.1.19 retry2.1.20 retry realtime-accounting2.1.21 retry stop-accounting (RADIUS scheme view)2.1.22 secondary accounting (RADIUS scheme view)2.1.23 secondary authentication (RADIUS scheme view)2.1.24 security-policy-server2.1.25 server-type2.1.26 state2.1.27 stop-accounting-buffer enable (RADIUS scheme view) 2.1.28 timer quiet (RADIUS scheme view)2.1.29 timer realtime-accounting (RADIUS scheme view)2.1.30 timer response-timeout (RADIUS scheme view)2.1.31 user-name-format (RADIUS scheme view)1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile【命令】aaa nas-id profile profile-nameundo aaa nas-id profile profile-name【视图】系统视图【缺省级别】2:系统级【参数】profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。
AAA认证和授权的配置
企业总部
服务器B
AAA 服务器
AAA提供对用户进行认证、授权和计费三种安全功能。
Page 3
认证
服务器A RTA 用户名和密码 NAS
主机A
认证成功/失败
用户名 主机A
AAA服务器
密码 Huawei123 Pass123
服务器B
主机X
…
…
认证:验证用户是否可以获得网络访问的权限。 AAA支持的认证方式
授权:授权用户可以访问或使用网络上的哪些服务。 AAA支持的授权方式有:不授权,本地授权,远端授权。
Page 5
计费
RTA NAS
服务器A
主机A
AAA服务器
登录时间
2013.5.1 03:20:55 2013.4.16 12:40:51
用户名
主机A 主机X
上线时长
01:22:15 00:30:12
流量 上行/下行
496.2KB / 21MB 123KB / 1MB
服务器B
计费:记录用户使用网络资源的情况。 AAA支持的计费方式有:不计费,远端计费。
Page 6
AAA域
服务器A
@partner
NAS
目的网络
@huawei
服务器B AAA服务器
AAA可以通过域来对用户进行管理,不同的域可以关联不同的认证、授 权和计费方案。
Page 7
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA]aaa [RTA-aaa]authentication-scheme auth1 [RTA-aaa-authen-auth1]authentication-mode local [RTA-aaa-authen-auth1]quit [RTA-aaa]authorization-scheme auth2 [RTA-aaa-author-auth2]authorization-mode local [RTA-aaa-author-auth2]quit [RTA-aaa]domain huawei [RTA-aaa-domain-huawei]authentication-scheme auth1 [RTA-aaa-domain-huawei]authorization-scheme auth2 [RTA-aaa-domain-huawei]quit
资深网络工程师 AAA 实例配置
资深网络工程师AAA 实例配置实验拓扑图PC ********************SWITCH**************ROUTER***SERVER(192.168.1.200)一,实验要求:1,在ROUTER上开启,配置AAA服务。
2,在SERVER上安装AAA服务器软件ACS,建立相关用户,寻找可改变用户登记的选项。
3,测试AAA4,通过ACS查看拥护登陆信息二,配置过程1,路由器配置Router>enRouter#conf tRouter(config)#hostname R1R1(config)#line vty 0 4R1(config-line)#exec-time 0 0R1(config-line)#loggin sysR1(config-line)#no domain-lookupR1(config-line)#exitR1(config)#int e0R1(config)#ip add 192.168.1.1 255.255.255.0R1(config)#no shutR1(config)#aaa new-modelR1(config)#tacacs-server host 192.168.1.200R1(config)#tacacs-server key spotoR1(config)#aaa authentication banner ’welcome’R1(config)#aaa authentication login default group tacacs+ local noneR1(config)#aaa authentication enable nopass noneR1(config)#aaa accounting exec start-stop tacacs+2, ACS安装要点(1)选择256M内存的PC(2)点击开始-程序,查看是否已经安装CISCO ACS(3)下载Cisco Secure ACS,开始安装,如果有错误显示,需要先安装JAVA平台支持JAVA(4)在BEFORE YOU BEGIN对话框中勾上所有选项(5)在AUTHENTICATION DATABASE CONFIGURETION对话框中使用默认C HECK THE CISCOSECURE ACS DATABASE ONLY(6)在Cisco Secure ACS NETWORK ACCESS SERVER DETAILS对话框中,AUTHENTTICATE USERS USING使用默认TACACS+ {CISCO IOS} ACCESS SERVER NAME填写任意名字如SPOTO。
CISCO交换机AAA配置
CISCO交换机AAA配置一、RADIUS相关配置【必要命令】全局模式switch(config)# aaa new-model注:启用AAA认证switch(config)# aaa authentication dot1x default group radius local注:启用AAA通过RADIUS服务器做认证switch(config)# aaa authorization network default group radius local注:启用AAA通过RADIUS服务器做授权switch(config)# dot1x system-auth-control注:开启全局dot1x控制switch(config)# dot1x guest-vlan supplicant注:允许dot1x验证失败后加入guestvlanswitch(config)# radius-server host 10.134.1.207 auth-port 1812 acct-port 1813 key 123456注:指定NPS服务器的ip地址、认证和授权端口、以及通信密码switch(config)# radius-server vsa send authentication注:允许交换机识别和使用IETF规定的VSA值,用于接受NPS 分配vlanswitch(config)# ip radius source-interface vlan 2注:当交换机有多个IP时,只允许该vlan段的IP作为发送给RADIUS服务器的IP地址端口模式switch(config)# interface FastEthernet0/10注:进入端口模式(批量端口配置命令:interface range FastEthernet0/1 - 48)switch(config-if)# switchport mode access注:端口配置dot1x前必须设置为access模式switch(config-if)# mab(IOS 12.2之前的版本命令:dot1x mac-auth-bypass)注:当dot1x验证超时后会以mac为用户名密码发起验证switch(config-if)# dot1x pae authenticator注:设置交换机的pae模式switch(config-if)# authentication port-control auto(IOS 12.2之前的版本命令:dot1x port-control auto)注:设置dot1x端口控制方式,auto为验证授权switch(config-if)# authentication event no-response action authorize vlan 3(IOS 12.2之前的版本命令:dot1x guest-vlan 3)注:NPS验证失败时放置的vlan【可选命令】全局模式switch(config)# radius-server retransmit 2注:交换机向RADIUS服务器发送报文的重传次数switch(config)# radius-server timeout 2注:交换机向RADIUS服务器发送报文的超时时间端口模式switch(config-if)# dot1x timeout tx-period 2注:交换机向dot1x端口定期多长时间发报文switch(config-if)# dot1x timeout supp-timeout 2注:交换机向客户端发送报文,客户端未回应,多长时间后重发switch(config-if)# dot1x timeout server-timeout 2注:交换机向RADIUS服务器发送报文,服务器未回应,多长时间后重发二、其他【必要命令】SNMP设置switch(config)# snmp-server community skylark RW注:用于管理交换机,接收交换机相关信息DHCP中继代理(在网关交换机上配置)switch(config)# interface vlan 2注:进入vlan接口switch(config-if)# ip helper-address 10.134.1.207注:设置DHCP地址,使不同vlan的客户端可以获取IP地址【可选命令】DHCP SNOOPINGswitch(config)# ip dhcp snooping注:开启全局DHCP SNOOPYING功能switch(config)# ip dhcp snooping vlan 2注:指定DHCP SNOOPYING范围switch(config)# interface g0/1注:进入接口(配置级联端口和连接DHCP服务器的端口为信任端口)switch(config-if)# ip dhcp snooping trust注:设置该端口为信任端口,默认其它未设置端口则为不信任端口,丢弃不信任的DHCP报文IP SOURCE GUARDswitch(config)# interface vlan 2注:进入vlan接口switch(config-if)# ip verify source port-security注:动态绑定DHCP-SNOOPING表项,过滤掉其它数据(无port-security则只绑定ip,有port-security则是绑定ip+mac)相关命令show ip dhcp snooping bindingSTP生成树Switch(config-if)# spanning-tree portfast注:生成树的端口快速转发,更加快速从DHCP获取IP地址端口错误检测switch(config)# errdisable recovery cause all注:防止交换机端口因异常被关闭,恢复其正常状态switch(config)# errdisable recovery interval 30注:设置交换机端口故障关闭时间,过后关闭的端口自动打开。
AAA配置教案
AAA认证配置、广域网链路引入:通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。
新授:一、AAA认证配置AAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
奏见authentication。
authorization和accounting 常用的AAA协议是Radius另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。
HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。
该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
组合认证模式是有先后顺序的。
例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。
AAA认证设置
AAA认证一、准备条件1.1windows 虚拟机一台1.2路由器一台(我采用的是CISCO3600)1.3要求windows虚拟机与真机进行连通1.4拓扑如下二、基本配置2.1 WinRadius服务器基本配置第一步、登陆windows 虚拟机,配置IP地址为:192.168.1.7第二步、打开“WinRadius”软件,并解压缩第三步、在解压缩的文件里,打开“”服务,出现如下图所示:“加载账户数据失败”第四步、点击《设置——数据库》出现下图,在点击图中的《自动配置ODBC》第五步、根据上图日志提示:重新启动“WinRadius”服务,服务器启动正常第六步、点击《设置——系统》出现下图,确定认证端口:1812,计费端口:1813第七步、点击《设置——多重密钥》出现下图,其中对于IP[NAS]填写:AAA路由器与交换机的管理地址,采用密钥填写:交换机、路由器与WinRadius服务器之间的认证密钥。
在此,我以路由器192.168.1.1,密钥为123 为例。
最后点击“添加”。
第八步、点击《操作——添加账号》。
此处以用户名:wang ,口令为:wang第九步、查看新增加的账号:wang 《操作——查询——查用户信息》2.2 路由器基本配置首先、对路由器的接口F0/0配置IP地址并激活该端口Router#sh run inter f0/0Building configuration...Current configuration : 96 bytes!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed autoendRouter#其次、测试路由器与WinRadius服务器之间的网络是否正常通讯Router#ping 192.168.1.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/36 ms Router#最后、测试路由器与客户机(telnet该路由器的客户端)能否正常通讯Router#ping 192.168.1.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/12/48 msRouter#三、AAA认证配置Router(config)#aaa new-model (启用AAA认证)Router(config)#username xiong password xiong (创建本地用户与口令)aaa authentication login haha group radius local (先进行radius服务器认证,在radius 服务器不可达时,采用本地认证)aaa authentication login hehe none (登陆不进行认证)no radius-server host 192.168.1.7 auth-port 1645 acct-port 1646 (关闭默认的认证、授权端口与审计端口)radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 (改写通用的认证、授权端口与审计端口,同时配置路由器与radius服务器之间的口令123)Router(config)#line vty 0 4Router(config-line)#login authentication haha (当用户telnet该路由器时,调用认证haha进行认证)Router(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication hehe (当用户con该路由器时,调用认证heh 进行认证)Router(config-line)#end路由器具体配置如下:Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!aaa new-model!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!!username xiong password 0 xiong!!!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!aaa new-model!!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!username xiong password 0 xiong!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#四、测试4.1 用客户机telnet该路由器成功(用radius服务器的用户wang进行验证)同时在WinRadius服务器上查看相应的日志4.2 当WinRadius服务器出现异常,我们在用“wang”登陆时,就失败了,同时,只能采用本地账户“xiong”登陆来进行管理该路由器路由器PING不同WinRadius服务器客户机用wang登陆失败采用本地xiong登陆成功五、用密文进行认证Router(config)#enable secret 123456用sh run 查看刚配置的口令enable secret 5 $1$cGdg$Um3fHK8td9KRSKAG.5Lst.把上面记录好的密钥口令保存好,同时要记住它所对应的明文口令在路由器上修改与服务器之间的认证:Router(config)#radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key $1$cGdg$Um3fHK8td9KRSKAG.5Lst.最后,一样正常登陆采用同样的方式对服务器上用户wang的密码进行更换成密文的口令(只要确定在20个字符以内)。
AAA典型配置指导
目录第1章 AAA典型配置指导 .......................................................................................................... 1-11.1 AAA简介............................................................................................................................. 1-11.2 Telnet用户通过HWTACACS服务器认证、授权、计费典型配置指导 ................................ 1-21.2.1 组网图...................................................................................................................... 1-21.2.2 应用要求.................................................................................................................. 1-21.2.3 适用产品、版本....................................................................................................... 1-21.2.4 配置过程和解释....................................................................................................... 1-31.2.5 完整配置.................................................................................................................. 1-31.2.6 配置注意事项........................................................................................................... 1-41.3 Telnet用户通过local认证、HWTACACS授权、RADIUS计费的应用配置.......................... 1-41.3.1 组网图...................................................................................................................... 1-41.3.2 应用要求.................................................................................................................. 1-41.3.3 配置过程和解释....................................................................................................... 1-51.3.4 完整配置.................................................................................................................. 1-61.3.5 配置注意事项........................................................................................................... 1-7第1章 AAA典型配置指导1.1 AAA简介AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
轻松运行AAA游戏的电脑配置推荐
轻松运行AAA游戏的电脑配置推荐随着科技的不断进步和游戏行业的飞速发展,越来越多的人开始热衷于在电脑上玩AAA游戏。
然而,要想顺畅地运行这些高画质、大容量的游戏,一个合适的电脑配置是至关重要的。
在本文中,我将为大家推荐一些轻松运行AAA游戏的电脑配置,帮助大家选购适合自己的电脑。
1. 处理器(CPU)作为电脑的“大脑”,处理器的性能对游戏的流畅度起着至关重要的作用。
对于AAA游戏,我们推荐选择一款速度较快的多核处理器。
例如,英特尔的i7或i9系列处理器,或者AMD的Ryzen 7或Ryzen 9系列处理器,它们性能强劲,能够满足大部分AAA游戏的需求。
2. 显卡(GPU)显卡是决定游戏画质的关键因素之一。
对于AAA游戏,我们建议选择一款性能强大的独立显卡。
NVIDIA的GeForce RTX系列和AMD 的Radeon RX系列都是不错的选择。
根据自己的预算和需求,可以选择适合的型号和显存大小。
3. 内存(RAM)内存对于游戏来说也是非常重要的。
对于大型的AAA游戏,我们推荐至少8GB的内存,以确保游戏的顺畅运行。
如果预算充足,可以考虑升级到16GB或32GB的内存,这样能够更好地处理游戏中的大量数据。
4. 存储设备为了快速加载游戏和减少卡顿,选择适合的存储设备也是必要的。
固态硬盘(SSD)是目前较为流行的选择。
它们具有较快的读写速度,可以大大提高游戏的加载速度和响应速度。
对于存储容量,我们建议选择至少500GB的SSD,以容纳较多的游戏文件。
5. 电源供应在选择电脑配置时,很多人往往忽视了电源供应的重要性。
一款质量稳定、功率适当的电源供应能够为你的电脑提供稳定的电能,保证电脑的正常运行和游戏的稳定性。
对于AAA游戏电脑配置,建议选择500W到750W的电源供应。
6. 散热系统运行AAA游戏会使电脑发热,因此良好的散热系统也是不可忽视的。
选择高效的散热器和风扇,能够有效地降低电脑温度,保持电脑的稳定工作状态,减少游戏卡顿的情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.2 AAA配置思路及配置任务简介
在作为 AAA 客户端的接入设备(实现 NAS 功能的网络设备)上,AAA 的基本配置思路如下: (1) 配置 AAA 方案:根据不同的组网环境,配置相应的 AAA 方案。 本地认证:由 NAS 自身对用户进行认证、授权和计费。需要配置本地用户,即 local user 的相关属 性,包括手动添加用户的用户名和密码等。 (2) 配置实现 AAA 的方法:在用户所属的 ISP 域中分别指定实现认证、授权、计费的方法。 • 认证方法:可选择不认证(none)、本地认证(local); • 授权方法:可选择不授权(none)、本地授权; • 计费方法:可选择不计费(none)、本地计费(local)。 图1-3 AAA 基本配置思路流程图
的方法
配置ISP域的AAA认证方法
1-3
说明 四者至少选其一 可选 三者至少选其一
详细配置 1.3.1 1.4.2 1.4.3
配置任务 配置ISP域的AAA授权方法 配置ISP域的AAA计费方法
限制同时在线的最大用户连接数
可选
说明
详细配置 1.4.4 1.4.5 1.5
1.3 配置AAA方案
1.3.1 配置本地用户
当用户想要通过 NAS 获得访问其它网络的权利或取得某些网络资源的权利时,首先需要通过 AAA 认证,而 NAS 就起到了验证用户的作用。NAS 负责把用户的认证、授权、计费信息透传给服务器。 服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS 根据服务 器返回的结果,决定是否允许用户访问外部网络、获取网络资源。 当然,用户也可以只使用 AAA 提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些 特定资源时进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用 网络的情况进行记录,那么还需要配置计费服务器。 目前,设备支持动态口令认证机制。
接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。 AAA 支持以下授权方法: • 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务
进行授权。此时,认证通过的 login 用户只有系统所给予的缺省用户角色,其中 FTP/SFTP/SCP 用户的工作目录是设备的根目录,但并无访问权限;认证通过的非 login 用 户,可直接访问网络。关于缺省用户角色的详细介绍请参见“基础配置指导”中的 “RBAC”。 • 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授 权。 AAA 支持以下计费方法: • 不计费:不对用户计费。 • 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际 的费用统计功能。 除此之外,对于 login 用户,AAA 还可以对其提供以下服务,用于提高对设备操作的安全性:
本地 AAA
配置本地用户及相关属性
不进行 AAA
进入ISP域视图
配置实现AAA的方法 认证方法 授权方法
none/ local ( ) none/ local ( )
计费方法
none/ local ( )
表1-1 AAA 配置任务简介
配置任务
配置AAA方案
配置本地用户
在ISP域中配置实现AAA 配置ISP域的属性
i
1 AAA
1.1 AAA简介
1.1.1 概述
AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机 制,提供了认证、授权、计费三种安全功能。 • 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。 • 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建 本地用户并配置相关属性。 所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名和用户类别为用户 的唯一标识。本地用户分为两类,一类是设备管理用户;另一类是网络接入用户。设备管理用户供 设备管理员登录设备使用,网络接入用户供通过设备访问网络服务的用户使用。网络接入用户中还 存在一种来宾用户,供临时接入网络的访客使用。来宾用户可以支持的服务类型为 lan-access 和 Portal。 为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表 项。具体步骤是,创建一个本地用户并进入本地用户视图,然后在本地用户视图下配置相应的用户 属性,可配置的用户属性包括: • 服务类型 用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则 该用户无法通过认证。 支持的服务类型包括:FTP、lan-access、Telnet、Terminal。 • 用户状态 用于指示是否允许该用户请求网络服务器,包括 active 和 block 两种状态。active 表示允许该用户 请求网络服务,block 表示禁止该用户请求网络服务。 • 最大用户数 使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用 户名的新用户将被禁止接入。 • 所属的用户组 每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性)。 关于本地用户组的介绍和配置请参见“1.3.1 2. 配置用户组属性”。 • 绑定属性 用户认证时需要检测的属性,用于限制接入用户的范围。若用户的实际属性与设置的绑定属性不匹 配,则不能通过认证,因此在配置绑定属性时要考虑该用户是否需要绑定某些属性。可绑定的属性 包括:用户IP地址、用户接入端口、用户MAC地址。各属性的使用及支持情况请见 表 1-3。 • 用户授权属性 用户认证通过后,接入设备给用户下发授权属性。支持的授权属性请见 表 1-3。由于可配置的授权 属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性。
1-2
• 命令行授权:用户执行的 被允许执行。关于命令行授权的详细介绍请参考“基础配置指导”中的“配置用户通过 CLI 登录设备”。
• 命令行计费:若未开启命令行授权功能,则计费服务器对用户执行过的所有有效命令进行记 录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。关于命令行计 费的详细介绍请参考“基础配置指导”中的“配置用户通过 CLI 登录设备”。
目录
1 AAA ··················································································································································· 1-1 1.1 AAA简介············································································································································1-1 1.1.1 概述 ········································································································································1-1 1.1.2 设备的AAA实现 ······················································································································1-2 1.2 AAA配置思路及配置任务简介 ···········································································································1-3 1.3 配置AAA方案·····································································································································1-4 1.3.1 配置本地用户 ··························································································································1-4 1.4 在ISP域中配置实现AAA的方法 ·········································································································1-9 1.4.1 配置准备 ·································································································································1-9 1.4.2 配置ISP域的属性 ····················································································································1-9 1.4.3 配置ISP域的AAA认证方法····································································································1-10 1.4.4 配置ISP域的AAA授权方法····································································································1-11 1.4.5 配置ISP域的AAA计费方法····································································································1-11 1.5 限制同时在线的最大用户连接数······································································································1-12 1.6 AAA显示和维护 ·······························································································································1-12