华为交换机 A配置与管理Word文档格式.docx
《华为交换机 A配置与管理Word文档格式.docx》由会员分享,可在线阅读,更多相关《华为交换机 A配置与管理Word文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
5、hwtacacs协议
Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDN(virtualprivatedial-upnetwork,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。
与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制。
Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议
6、华为设备对AAA特性的支持
支持本地、radius、hwtacacs三种任意组合
本地认证授权:
优点是速度快,可降低运营成本;
缺点是存储信息量受设备硬件条件限制
RADIUS认证、计费:
优点防止非法用户对网络的攻击相对较高;
缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能
Hwtacacs认证、授权、计费:
认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署多台hwtacacs服务器;
还支持在一个方案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证方案,本地授权作为hwtacacs授权的备用授权方案等
二、本地方式认证和授权配置
配置流程为:
配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案
一、配置AAA方案
配置AAA方案就是配置AAA中的认证、授权、计费,用于“域的aaa方案”中绑定这些方案使用(所配置的各种方案只有在域中绑定后才能得到应用)
认证方案:
1、进入AAA视图
[Huawei]aaa
2、设置一个AAA认证方案名
[Huawei-aaa]authentication-schemetest1
3、设置认证模式为本地认证(缺省为本地认证)
[Huawei-aaa-authen-test1]authentication-mode?
hwtacacsHWTACACS
localLocal
noneNone
radiusRADIUS
4、配置当前认证模板对用户提升级别进行认证时采用的认证模式(可选,默认为本地认证)
[Huawei-aaa-authen-test1]authentication-super?
hwtacacsHWTACACS
noneNone
superSuper(本地认证模式)
5、配置用户名和域名解析的方向(可选,缺省从左向右)
[Huawei-aaa]domainname-parse-direction?
left-to-rightConfigurethelefttorightdirectionofdomainnameparsing
right-to-leftConfiguretherighttoleftdirectionofdomainnameparsing
授权方案:
1、创建一个授权方案
[Huawei-aaa]authorization-schemetets1
2、配置本地授权模式
[Huawei-aaa-author-tets1]authorization-mode?
hwtacacsUseHWTACACSauthorizationmethod
if-authenticatedUseauthorizationmethodwhichletsuser(s)authorizedif
user(s)notauthenticatedbynoneauthenticationmethod
localUselocalauthorizationmethod
noneUsenoneauthorizationmethod
3、设置授权服务器下发的用户授权信息的生效模式(可选,缺省为overlay模式)
[Huawei-aaa]authorization-modify?
Modify修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息
Overlay覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息
#模拟器未能模拟
二、配置本地用户
采用本地方式进行认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等
1、设置本地用户名和密码
[Huawei-aaa]local-usertestpasswordsimple147258
2、设置本地用户的级别
[Huawei-aaa]local-usertestprivilegelevel15
3、设备本地用户加入用户组(可选,先配置好用户组
[Huawei-aaa]local-usertestuser-groupteset#模拟器无法模拟
4、设置本地用户断开超时时间
[Huawei-aaa]local-usertestidle-timeout600
5、设备本地用户用于何种类型的服务
[Huawei-aaa]local-usertestservice-type?
8021x802.1xuser
bindBindauthenticationuser
ftpFTPuser
httpHttpuser
pppPPPuser
sshSSHuser
telnetTelnetuser
terminalTerminaluser
webWebauthenticationuser
x25-padX25-paduser
6、本地用户作为FTP使用时设置访问目录
[Huawei-aaa]local-usertestftp-directory?
STRING<
1-58>
flash:
flash:
/
7、设置本地用户状态
[Huawei-aaa]local-userteststate?
activePermittheuser(s)todealwiththeauthenrequest
blockForbidtheuser(s)todealwiththeauthenrequest(拒绝该用户认证请求)
8、设备本地用户访问时最大连接数(缺省不限制)
[Huawei-aaa]local-usertestaccess-limit10
9、设置本地账号锁定功能(连续登陆失败达到次数后锁定和解锁、重试等参数)
[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5(重试时间间隔)retry-time3(连续认证失败的最大次数block-time10(账号被锁定时间)
10、修改账号密码
<
Huawei>
local-userchange-password
三、配置业务方案(可选)
“业务方案”也是一种授权方案,它是专门针对一些IP业务(如管理员权限、DHCP服务、DNS服务、策略路由)所进行的授权,也称为“业务授权方案”。
通常只需要使用admin-userprivilegelevel命令配置管理员用户的用户级别,其它命令只有在业务方案被其他特性(如IPSEC)调用时才需要配置。
具体配置:
1、创建一个业务方案
[Huawei-aaa]service-schemetest
2、配置本地用户可作为管理员登陆设备并设置级别
[Huawei-aaa-service-test]admin-userprivilegelevel15
3、设置业务方案下使用的DHCP服务器组(仅7700及以上支持)
[Huawei-aaa-service-test]dhcp-servergrpuptest
4、设置可用的DHCPIP地址池或移动已配置的地址的位置(仅7700及以上支持)
[Huawei-aaa-service-test]ip-pooltestpoolmove-totestpool2
5、设置业务方案下的主用或备用DNS服务器地址
secondarySetsecondaryDNSserver'
sIPaddress
<
cr>
6、设置业务方案下用户的策略路由功能(仅7700及以上支持)
(下一跳IP地址)5(源路由vlanID)
四、配置域的AAA方案
认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用
1、设置一个域的AAA方案名(缺省存在default和default_admin两个域)
[Huawei-aaa]domaintestdomain
2、绑定认证方案
[Huawei-aaa-domain-testdomain]authentication-schemetest
3、绑定授权方案
[Huawei-aaa-domain-testdomain]authorization-schemetest
4、绑定业务方案
[Huawei-aaa-domain-testdomain]service-schemetese
5、设置域的AAA方案状态
[Huawei-aaa-domain-testdomain]state?
activeActive
blockBlock
6、设置域名分隔符(缺省为@)
[Huawei-aaa]domain-name-delimiter@
三、RADIUS方式认证、授权、计费配置
配置AAA方案——配置radius服务器模板——配置业务方案——配置域的AAA方案
一、认证授权配置
Radius中的认证和授权时同步进行的,只要是能其认证功能,也就是能了授权功能。
配置方法同本地认证配置
二、计费方案配置
1、设置计费方案名
[Huawei-aaa]accounting-schemetestaccounting
2、设置计费模式
[Huawei-aaa-accounting-testaccounting]accounting-mode?
(默认为none)
hwtacacsHWTACACS
3、设置开始计费失败策略(默认online)
[Huawei-aaa-accounting-testaccounting]accountingstart-fail?
offlineOffline#如果开始计费失败,允许用户上线
onlineOnline#如果开始计费失败,拒绝用户上线
4、设置实时计费功能和时间间隔(缺省未使能)
[Huawei-aaa-accounting-realtime]accountingrealtime60
5、设置实时计费允许设备发送实时计费请求的最大次数(默认为3)或、和失败后采取的动作
[Huawei-aaa-accounting-realtime]accountinginterim-failmax-times10?
offlineOffline
onlineOnline
三、radius服务器模板配置
Radius服务器模板用来配置与radius服务器进行通信的相同参数(如radius服务器IP地址、端口号、共享密钥等)
Radius服务器模板下的用户名格式。
共享密钥等要与radius服务器上配置对应一致
1、设置radius授权服务器IP地址、授权服务器模板名称、通信密钥
server-groupConfigureRADIUS-clientcorrespondingserver-group
shared-keyConfigureservershared-key
vpn-instanceVPNinstance
2、配置radius服务器模板名
[Huawei]radius-servertemplatetest
3、设置模板下radius主用认证服务器地址、端口号源接口loopback编号或、及IP地址
ip-addressIPaddress
loopbackLoopBackinterface
4、设置模板下radius备用认证服务器地址、端口号源接口loopback编号或、及IP地址
5、设置模板下主用计费服务器地址、端号源接口loopback编号或、及IP地址
secondarySecondaryserver
sourceSourceLoopBackinterface
6、设置模板下备用计费服务器地址、端号源接口loopback编号或、及IP地址(参考上面配置)
7、设置域radius服务器通信的共享密钥(MD5加密,缺省密码为huawei)
[Huawei-radius-test]radius-servershared-keycipherhuawei1
8、设置设备向radius服务器发送的报文中的用户名包含域名(可选,缺省包含)
[Huawei-radius-test]radius-serveruser-namedomain-included
9、设置radius计费服务器计费时采用的流量统计单位(可选,缺省为byte)
Huawei-radius-test]radius-servertraffic-unit?
byteByte
gbyteGbyte
kbyteKbyte
mbyteMbyte
10、设置radius请求报文允许的超时重传次数和超时时间(可选,缺省53)
[Huawei-radius-test]radius-serverretransmit3timeout3
11、设置NAS(AAA客户端)端口形式(可选,缺省为新)
[Huawei-radius-test]radius-servernas-port-format?
newNewNAS-Portformat(新的)
oldOldNAS-Portformat(旧的)
12、设置NAS端口ID形式(可选867页)
[Huawei-radius-test]radius-servernas-port-id-format?
newNewNAS-Port-Idformat
oldOldNAS-Port-Idformat
13、设置NAS发送radius报文使用的NAS-IP-address属性(可选。
默认使用指定的loopback接的IP地址)
14、设置计费结束报文的重传功能和可重发的计费停止报文个数(可选。
默认都为0)
[Huawei-radius-template]radius-serveraccounting-stop-packetresend3#无法模拟
15、设置与radius主用服务器恢复重新连接时间间隔(可选,默认为5分钟)
[Huawei-radius-template]radius-serverdetect-serverinterval10
16、测试用户能否通过radius认证
[Huawei-radius-template]test-aaatest1123456radius-templatetest1?
chapCHAPmethod#采用CHAP认证
papPAPmethod#采用PAP认证
<
四、业务方式配置和域的aaa方案配置同上
四、HWTACACS方式认证、授权、计费配置
与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制,可以防止非法用户对网络攻击,还支持对命令行授权等
配置流程:
AAA方案——hwtacacs服务器模板——业务方案——域的AAA方案
一、设置AAA认证方案
同上
可以增加的地方
1、设置认证旁路时间(默认未使能,单位分钟)
[Huawei]aaa-authen-bypassenabletime2#未能模拟
二、设置AAA授权方案
1、为指定级别的用户设置为按命令行授权(可选,默认都没设置)
[Huawei-aaa-author-testauthoriz]authorization-cmd3hwtacacs?
localUselocalauthorizationmethod
2、设置授权旁路时间
[Huawei]aaa-authen-bypassenabletime2
3、设置命令行授权旁路时间
[Huawei]aaa-authen-cmd-bypassenabletime2
三、设置AAA计费方案
同上
四、hwtacacs服务器模板配置
与radius服务器模板配置基本一样
1、使能hwtacacs功能
[Huawei]hwtacacsenable
2、创建hwtacacs模板名
[Huawei]hwtacacs-servertemplatetemplatehwtacacs
以下同上
3、设置hwtacacs主用授权服务器
4、设置hwtacacs备用授权服务器
5、设置hwtacacs主用计费服务器
6、设置hwtacacs备用授权服务器
7、设置设备向hwtacacs服务器发送hwtacacs报文的源IP地址
8、设置客户端与hwtacacs服务器通信的共享密钥
9、设置客户端向hwtacacs服务器发送的报文包含域名
10、设置计费hwtacacs流量的单位
11、设置hwtacacs服务器应答超时时间(可选,缺省5S)
[Huawei-hwtacacs-test]hwtacacs-servertimerresponse-timeout20
12、设置主用服务器恢复激活状态的静默时间(缺省5min)
[Huawei-hwtacacs-test]hwtacacs-servertimerquiet10
13、设置允许停止重发计费报文及重发计费报文的个数
14、设置可在设备上修改hwtacacs服务器上保持的用户密码(必须未过期)
hwtacacs-userchange-passwordhwtacacs-servertest(模板名)
升级会员 