H3C交换机AAA安全访问控制与管理

18.H3C 交换机AAA 安全访问掌握与治理18.1H3C 交换机AAA 根底

AAA 是Authentication，Authorization and Accounting 〔认证、授权和计费〕的简称，是对网络访问掌握的一种治理模式。它供给了一个对认证、授权和计费这三种功能进展统一配置的框架；“认证”确定哪些用户可以访问网络效劳器；“授权”确定具有访问权限的用户最终可以获得哪些效劳；“计费”确定如何对正在使用网络资源的用户进展计费。

18.1.1AAA 简介

AAA 一般承受C/S〔客户端/效劳器〕构造：客户端运行于被治理的资源侧〔这里指网络设备，如接入交换机〕，效劳器上几种存放用户信息。因此，AAA 框架具有良好的可扩展性，并且简洁实现用户信息的集中治理。

1.AAA 认证

AAA 支持以下认证方式：

⏹不认证：对接入用户信任，不进展合法性检查。这是默认认证方式。

⏹本地认证：承受本地存储的用户信息对用户进展认证。本地认证的优点是速度快，可以降

低运营本钱；缺点是存储信息量受设备硬件条件〔如闪存大小〕限制。

⏹远程认证：在H3C 以太网交换机中，远程认证是指通过RADIUS 效劳器或HWTACACS

〔Cisco IOS 交换机中承受的是TACACS+协议〕效劳器对接入用户进展的认证。此时，H3C 交换机作为RADIUS 或者HWTACACS 客户端，与RADIUS 效劳器或TACACS 效劳器通信。

远程认证的有点是便于集中治理，并且供给丰富的业务特性；缺点是必需供给特地的RADIUS 或者HWTACACS 效劳器，并进展正确的效劳器配置。

2.AAA 授权

AAA 支持以下授权方式：

⏹直接授权：对用户信任，直接授权通过。

⏹本地授权：依据交换机上为本地用户账号配置的相关属性进展授权。

⏹RADIUS 认证成功后远程授权：由RADIUS 效劳器对用户进展远程授权。要留意：RADIUS

协议的认证和授权是绑定在一起的，不能单独使用RADIUS 效劳器进展授权。

⏹HWTACACS 远程授权：由HWTACACS 效劳器对用户进展远程授权〔HWTACACS 效劳器的

授权是独立于认证进展的〕。

3.AAA 计费

AAA 支持以下计费方式：

⏹不计费：不对用户计费。

⏹本地计费：实现了本地用户连接数的统计和限制，并没有实际的费用统计功能。

⏹远程计费：支持通过RADIUS 效劳器或HWTACACS 效劳器进展远程计费。

18.1.2ISP 域简介

ISP 域即ISP 用户群，通常是把经过同一个ISP 接入的用户划分到同一个ISP 域中。这主要是应用于存在多个ISP 的应用环境中，由于同一个接入设备接入的有可能是不同ISP 的用户。假设只有一个ISP，则可以直接使用系统默认域system。

在ISP 域视图下，可以为每个ISP 域配置包括使用AAA 策略在内的一整套单独的ISP 域属性。用户的认证、授权、计费都是在用户所属的ISP 域视图下应用预先配置的认证、授权、计费方案实现的。这个用户所属的ISP 域，由其登录时供给的用户名打算：

⏹假设用户登录时输入“userid@domain-name”形式的用户名，则其所属的ISP 域为

“domain-name”域。

⏹假设用户登录时输入“userid”形式的用户名，则其所属的ISP 域为接入设备上配

置的默认域system。

为便于对不同接入方式的用户进展区分治理，AAA还可以将域用户划分为以下两个类型：

⏹lan-access用户〔局域网访问用户〕：通过LAN接入的用户，如直接接入LAN中，

然后通过IEEE 802.1x 认证、MAC 地址认证的用户。

⏹login 用户：通过远程网络登录的用户，如SSH、Telnet、FTP、终端接入用户。

18.1.3HWTACACS 简介

HWTACACS〔华为终端访问掌握器访问掌握系统〕是在TACACS 协议根底上进展了功能增加的安全协议。该协议与RADIUS 协议类似，交换机设备也是用来担当客户端的，也是通过C/S 模式与HWTACACS 效劳器通信来实现多种用户的AAA 功能，可用于PPP 和VPDN 接入用户及终端用户的认证、授权和计费。但是RADIUS 效劳器的认证和授权是捆绑在一起进展的，而TACACS 和HWTACACS 的认证好授权是独立进展的。

TACACS/HWTACACS主要用于远程登录用户〔非直接LAN 访问用户〕的访问掌握和计费，交换机作为TACACS/HWTACACS的客户端，充当中间代理的作用，将恳求认证的用户的用户名和密码发送给TACACS/HWTACACS效劳器进展验证，验证通过并得到授权之后，用户才可以登录到交换机上进展操作。

18.1.4H3C 交换机配置AAA 配置任务

在H3C 以太网交换机AAA 方案中，又可以区分ISP 域是承受认证、授权、计费捆绑方式，还是承受认证、授权、计费分别方式。假设承受捆方式，则在配置ISP 域的AAA 方案时

支持在同一个ISP 域视图下，针对不同的用户接入方式配置不同的AAA 方案；假设承受分别方式，则在配置ISP 域的AAA 方案时用户可以分别指定认证、授权、计费方案。假设承受RADIUS、HWTACACS 认证方案，需要提前完成RADIUS 或HWTACACS 相关配置。

在作为AAA 客户端的接入设备〔如H3C 以太网交换机〕上，AAA 的根本配置思路如下：（1）配置AAA 方案：依据需要配置本地或远程认证方案。

⏹本地认证：需要配置本地用户，即local user 的相关属性，包括手动添加认

证的用户名和密码等。

⏹远程认证：需要配置RADIUS 或HWTACACS 方案，并在效劳器上配置相应

的胡勇属性。

（2）配置实现AAA 的方法：在用户所属的ISP 域中分别指定实现认证、授权、计费的方法，都可以选择none〔不〕、local〔本地〕和scheme〔远程〕方法。

18.2H3C 交换机本地用户配置与治理

中选择使用本地〔local〕认证方法对用户进展认证时，应在交换机上创立本地用户并配置相关属性。所谓本地用户，是指在本地交换机上设置的一组以用户名为唯一标识的用户。为使某个恳求网络效劳的用户可以通过本地认证，需要在设备上的本地用户数据库中添加相应的表项。

18.2.1本地用户属性

在H3C 以太网交换机上课配置的本地用户属性包括：

⏹效劳类型

用户接入设备时可使用的网络效劳类型。该属性是本地认证的检测项，假设没有用户可使用的效劳类型，则该用户无法接入设备。H3C 以太网交换机可支持的效劳类型包括：FTP、lan-access、Portal〔Web 认证〕、SSH、Telnet、Terminal。

⏹用户状态

用户指示是否允许该用户恳求网络效劳器，包括active〔活泼〕和block〔堵塞〕两种状态。active 表示允许该用户恳求网络效劳，block 表示制止该用户恳求网络效劳。

⏹最大用户数

指使用当前用户名接入设备的最大用户数目。假设当前该用户名的接入用户数已到达最大值，则使用该用户名的用户将被制止接入。

⏹有效期

指用户账户的有效的戒指日期。用户进展本地认证时，接入设备检查当前系统时间是否在用户的有效期内，假设在有效期内则允许该用户登录，否则拒绝。

⏹所属的用户组

每一个本地用户都属于一个本地用户组，并继承组中的全部属性〔密码治理属性和用户授权属性〕，相当于Window系统的工作组。

⏹密码治理属性

指用户密码的安全属性，可依据设置的密码策略对认证隐秘吗进展治理和掌握。可设置的密码策略包括：密码老化时间、密码最小长度、密码组合策略。

本地用户的密码治理属性在系统视图〔具有全局性〕、用户组视图和本地用户视图下都

可以配置，其生效的优先级挨次由高到低依次为本地用户、用户组、全局。全局配置对全部