AAA认证配置docx.docx

1、AAA认证配置docx44AAA配置访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权 和记账（AAA）是进行访问控制的一种主要的安全机制。44.1AAA基本原理AAA是Authentication Authorization and Accounting （认证、授权和记账）的简称，它提供了对认证、授权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用 AAA。AAA以模块方式提供以下服务：认证：验证用户是否可获得访问权， 可选择使用 RADIUS协议、TACACS+、议或Local（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份

2、进行识别的一种方法。授权：授权用户可使用哪些服务。 AAA授权通过定义一系列的属性对来实现，这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也 可以远程存放在安全服务器上。记账：记录用户使用网络资源的情况。 当AAA记账被启用时，网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是 以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行 读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。部分产品的AAA仅提供认证功能。所有涉及产品规格的问题，可以通过向福建星网锐捷网络有限公司市场人员或技术支援人员咨询得到。尽

3、管AAA是最主要的访问控制方法，锐捷产品同时也提供了在 AAA范围之外的简单控制访问，如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样， AAA提供更高级别的安全保护。使用AAA有以下优点:灵活性和可控制性强 可扩充性标准化认证多个备用系统44.1.1AAA基本原理AAA可以对单个用户（线路）或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来 定义身份认证、记账、授权类型，然后将这些方法列表应用于特定的服务或接口。44.1.2方法列表由于对用户进行认证、授权和记账可以使用不同的安全方法，您需要使用方法列表定义一个使用不同方法 对用户进行认证、授

4、权和记账的前后顺序。方法列表可以定义一个或多个安全协议，这样可以确保 在第一个方法失败时，有备用系统可用。锐捷产品使用方法列表中列出的第一个方法时，如果该方 法无应答，则选择方法列表中的下一个方法。这个过程一直持续下去，直到与列岀的某种安全方法 成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信，则该安全功能宣告失 败。只有在前一种方法没有应答的情况下， 锐捷产品才会尝试下一种方法。 例如在身注意 份认证过程中，某种方法拒绝了用户访问，则身份认证过程结束，不再尝试其他的身份认证方法。图11.典型的AAA网络配置图上图说明了一个典型的 AAA网络配置，它包含两台安全服务器： R1

5、和R2是RADIUS服务器。假设系统管理员已定义了一个方法列表，在这个列表中， R1首先被用来获取身份信息，然后是R2，最后是访问服务器上的本地用户名数据库。 如果一个远程PC用户试图拨号进入网络，网络访问服务器首先向 R1查询身份认证信息，假如用户通过了 R1的身份认证，R1将向网络访问服务器发出一个 ACCEPT应答，这样用户即获准访问网络。如果R1返回的是REJECT应答，则拒绝用户访问网络， 断开连接。如果R1无应答， 网络访问服务器就将它看作 TIMEOUT，并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去，直到用户通过身份认证、被拒绝或对话被中止。如 果所有的方法

6、返回 TIMEOUT，则认证失败，连接将被断开。注意在本文中，与AAA安全服务器相关的认证、 授权和记账配置，均以RADIUS为例, 而与TACACS有关的内容请另外参考“配置 TACACS”44.2AAA配置基本步骤首先您必须决定要采用哪种安全解决方案， 而且需要评估特定网络中的潜在安全风险， 并选择适当的手段来阻止XX的访问。我们建议，在可能的情况下，尽量使用 AAA确保网络安全。44.2.1AAA配置过程概述如果理解了 AAA运作的基本过程，配置 AAA就相对简单了。在锐捷网络设备上配置 AAA地步骤如下：启用AAA,使用全局配置层命令 aaa new-model。如果决定使用安全服务器

7、，请配置安全协议的参数，如 RADIUS定义身份认证方法列表，使用 aaa authentication命令。如有需要，可将该方法列表应用于特定的接口或线路。在应用特定方法列表时， 如果没有明确指定使用命名的方法列表， 则使用默认的注意 身份认证方法列表进行身份认证。因此，如果不准备使用默认的身份认证方法列表，则需要指定特定的方法列表。对于本章中使用的命令的完整描述，请参见安全配置命令参考中的相关章节。44.2.2启用 AAA要使用AAA安全特性，必须首先启用 AAA。要启用AAA，在全局配置模式下执行以下命令:命令作用aaa new-model启用AAAStep 144.2.3停用 AAA要

8、停用AAA，在全局配置模式下执行以下命令:作用命令4424后续的配置过程启用AAA以后，便可以配置与安全方案相关的其他部分，下表说明了可能要完成的配置任 务以及相关内容所在的章节。AAA访问控制安全解决方案方法配置任务步骤所在章节配置RADIUS安全协议参数2配置RADIUS配置本地登录（Login）身份认证3配置认证定义认证方法列表4配置认证将方法列表应用于特定的接口或线路5配置认证启用RADIUS授权6配置授权启用RADIUS记账7配置记账如果使用AAA实现身份认证，请参考“配置认证”中的相关部分。44.3配置认证身份认证是在允许用户使用网络资源以前对其进行识别， 在大多数情况下，身份认证

9、是通过AAA安全特性来实现的。我们建议，在可能的情况下，最好使用 AAA来实现身份认证。44.3.1定义AAA认证方法列表要配置AAA身份认证，首先得定义一个身份认证方法的命名列表，然后各个应用使用已定 义列表进行认证。方法列表定义了身份认证的类型和执行顺序。对于已定义的身份认 证方法，必须有特定的应用才会被执行。默认方法列表是唯一的例外。所有应用在未 进行配置时使用默认方法列表。方法列表仅是定义将要被依次查询的、并用于认证用户身份的一系列安全方法。方法 列表使您能够指定一个或多个用于身份认证的安全协议，这样确保在第一种方法失败 的情况下，可以使用身份认证备份系统。我司产品使用第一种方法认证用

10、户的身份， 如果该方法无应答，将选择方法列表中的下一种方法。这个过程一直持续下去，直到 与列出的某种身份认证方法成功地实现通信或用完方法列表。如果用完方法列表而还 没有成功实现通信，则身份认证宣告失败。只有在前一种方法没有应答的情况下， 锐捷产品才会尝试下一种方法。如果在身注意 份认证过程中，某种方法拒绝了用户访问，则身份认证过程结束，不再尝试其他的身份认证方法。4432方法列表举例在典型AAA网络配置图中，它包含2个服务器：R1和R2是RADIUS服务器。假设系统管 理员已选定一个安全解决方案， NAS认证采用一个身份认证方法对 Telnet连接进行身份认证：首先使用 R1对用户进行认证，如

11、果无应答，则使用 R2进行认证；如果R1、R2都没有应答，则身份认证由访问服务器的本地数据库完成，要配置以上身份认证列表，执行以下命令：命令作用Step 1configure terminal进入全局配置模式Step 2aaa authentication login default group radius local配置一个默认身份认证方法列表，其中“ default ”是方法列表的名称。这个方法列表 中包含的协议，按照它们将被查询的顺序排列 在名称之后。为所有应用的默认方法列表。如果系统管理员希望该方法列表仅应用于一个特定的 Login连接，必须创建一个命名方法列表，然后将它应用于特定的

12、连接。下面的例子说明了如何将身份认证方法列表仅应用 于线路2 :命令作用Step 1configure terminal进入全局配置模式Step 2aaa new-model打开AAA开关Step 3aaa authentication login test group radius local在全局配置模式下，定义了一个名为“ test ”的方法列表。Step 4line vty 2进入线路2配置层Step 5login authentication test在line配置模式下，将名为“ test ”方法列表 应用于线路。当远程PC用户试图Tel net访问网络设备(NAS)，NAS首先向

13、R1查询身份认证信息，假如 用户通过了 R1的身份认证，R1将向NAS发出一个ACCEPT应答，这样用户即获准 访问网络。如果 R1返回的是REJECT应答，则拒绝用户访问网络，断开连接。如果 R1无应答，NAS就将它看作TIMEOUT，并向R2查询身份认证信息。 这个过程会一 直在余下的指定方法中持续下去，直到用户通过身份认证、被拒绝或对话被中止。如 果所有的服务器(R1、R2)返回TIMEOUT，则认证由NAS本地数据库完成。我司产品目前支持以下认证类型:Login （登录）认证Enable认证PPP认证D0T1X （IEEE802.1X 认证Web认证其中Login认证针对的是用户终端登

14、录到 NAS上的命令行界面（CLI）,在登录时进行身份认证；Enable认证针对的是用户终端登录到 NAS上的CLI界面以后，提升 CLI执行权限时进行认证；PPP认证针对 PPP拨号用户进行身份认证； DOT1X认证针对IEEE802.1X接入用户进行身份认证。 Web认证时针对内置 ePortal的情况下进行身份认证。4434配置AAA身份认证的通用步骤要配置AAA身份认证，都必须执行以下任务：使用aaa new-model全局配置命令启用 AAA。如果要使用安全服务器，必须配置安全协议参数，如 RADIUS和TACACS+具体的配置请参见“配置 RADIUS和“配置TACACS”。使用a

15、aa authentication命令定义身份认证方法列表。如果可能，将方法列表应用于某个特定的接口或线路。注意 我司产品DOT1X认证目前不支持 TACACS+44.3.5 配置 AAA Log in 认证本节将具体介绍如何配置锐捷产品所支持的 AAA Login （登录）身份认证方法：注意 只有在全局配置模式下执行 aaa new-model命令启用AAA,AAA安全特性才能进注意 行配置使用（下同）。关于更详细的内容，请参见“ AAA概述”。在很多情况下，用户需要通过Telnet访问网络访问服务器（NAS），一旦建立了这种连接，就 可以远程配置 NAS，为了防止网络XX的访问，要对用户进

16、行身份认证。AAA安全服务使网络设备对各种基于线路的 Login （登录）身份认证变得容易。不论您要决定使用哪种 Login认证方法，只要使用 aaa authentication login 命令定义一个或多个身份认证方法列表，并应用于您需要进行 Login认证的特定线路就可以了。要配置AAA Login认证，在全局配置模式下执行以下命令:命令作用configuretermi nalStep 1Step 2aaa new-model启用AAAoStep 3aaa authentication login default | list-name method1 method2.疋义一个认证方法

17、列表，如果需要疋义多个方 法列表，重复执行该命令。Step 4line vty line-num进入您需要应用 AAA身份认证的线路。Step 5login authentication default | list- name将方法列表应用线路。关键字list-name用来命名创建身份认证方法列表，可以是任何字符串；关键字 method指的是认证实际算法。仅当前面的方法返回 ERROR （无应答），才使用后面的其他认证方法；如果前面的方法返回 FAIL（失败），则不使用其他认证方法。为了使认证最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将 none指定为最后一个认证方法。例如，

18、在下例中，即使 RADIUS服务器超时（TIMEOUT），仍然能够通过身份认证： aaaauthe nticati on logi n default group radius none由于关键字none使得拨号的任何用户在安全服务器没有应答情况下都能通过身份认证，所以仅将它作为备用的身份认证方法。我们建议：一般情况下，不要使注意 用none身份认证，在特殊情况下，如所有可能的拨号用户都是可信任的，而且注意 用户的工作不允许有由于系统故障造成的耽搁， 可以在安全服务器无应答的情况下，将none作为最后一种可选的身份认证方法，建议在 none认证方法前加上本地身份认证方法。关键字描述Step 1

19、local使用本地用户名数据库进行身份认证Step 2none不进行身份认证Step 3group radius使用RADIUS服务器组进行身份认证Step 4group tacacs+使用TACACS服务器组进行身份认证上表列出了锐捷产品支持的 AAA Login认证方法。44.3.5.1使用本地数据库进行Login认证要配置使用本地数据库进行 Login认证时，首先需要配置本地数据库， 锐捷产品支持基于本地数据库的身份认证，建立用户名身份认证，请在全局配置模式下，根据具体需求执行以下命令：命令作用Step 1configure terminal进入全局配置模式Step 2username

20、n ame password password建立本地用户，设置口令Step 3end退出到特权模式Step 4show running-config确认配置定义本地Login认证方法列表并应用认证方法列表，可使用以下命令:命令作用Step 1configure terminal进入全局配置模式Step 2aaa new-model打开AAA开关Step 3aaa authentication login default | list-name local定义使用本地认证方法Step 4end退出到特权模式Step 5show aaa method-list确认配置的方法列表Step 6con

21、figure terminal进入全局配置模式Step 7line vty line-num进入线路配置模式Step 8login authentication default | list -n ame应用方法列表Step 9end退出到特权模式Step10show running-config确认配置44.3.5.2 使用 RADIUS 进行 Login 认证要配置用RADIUS服务器进行Login认证，首先要配置 RADIUS服务器。配置 RADIUS服 务器，请在全局配置模式下，根据具体需求执行以下命令：命令作用Step 1configure terminal进入全局配置模式Step

22、2aaa new-model打开AAA开关Step 3radius-server hostp-address auth-port port acct-port port 配置RADIUS服务器Step 4end退出到特权模式Step 5show radius server显示RADIUS服务器配置好RADIUS服务器后，在配置 RADIUS进行身份认证以前，请确保与 RADIUS安全服务器之间已经成功进行了通信，有关 RADIUS服务器配置的信息，请参见“配置RADIUS ”。现在就可以配置基于 RADIUS服务器的方法列表了，在全局配置模式下执行以下命令:命令作用Step 1configur

23、e terminal进入全局配置模式Step 2aaa new-model打开AAA开关Step 3aaa authentication login default | list-name group radius定义使用RADIUS认证方法Step 4end退出到特权模式Step 5show aaa method-list确认配置的方法列表Step 6configure terminal进入全局配置模式Step 7line vtyli ne-num进入线路配置模式Step 8login authentication default | list -n ame应用方法列表Step 9end退出

24、到特权模式Step10show running-config确认配置44.3.6 配置 AAA Enable 认证本节将具体介绍如何配置锐捷产品所支持的 AAA Enable认证方法：在很多情况下，用户需要通过Telnet等方法访问网络访问服务器（NAS），在进行了身份认证 以后，就可以进入命令行界面（ CLI），此时会被赋予一个初始的执行 CLI命令的权限（015级）。不同的级别，可以执行的命令是不同的，可以使用 showprivilege命令查看当前的级别。关于更详细的内容，请参见使用命令行界面”。如果登录到命令行界面后，由于初始权限过低，不能执行某些命令，则可以使用 enable命令来提

25、升权限。为了防止网络XX的访问，在提升权限的时候，需要进行身份认 证，即卩 Enable 认证。要配置AAA Enable认证，在全局配置模式下执行以下命令:命令作用Step 1configure terminal进入全局配置模式Step 2aaa new-model启用AAA。Step 3aaa authentication enable default method1method2 .定义一个Enable认证方法列表，可以指定米用 的认证方法，例如 RADIUSEnable认证方法列表全局只能定义一个， 因此不需要定义方法列表的名称； 关键字method指的是认证实际方法。仅当前面的方法返

26、回 ERROR （无应答），才使用后面的其他身份方法；如果前面的方法返回 FAIL（失败），则不使用其他认证方法。为了使认证最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将 none指定为最后一个认证方法。Enable认证方法配置以后立即自动生效。 此后，在特权模式下执行 enable命令的时候，女口果要切换的级别比当前级别要高，则会提示进行认证。如果要切换的级别小于或等于 当前级别，则直接切换，不需要进行认证。如果进入CLI界面的时候经过了 Login身份认证（none方法除外），将记录当前 使用的用户名。此时，进行 En able认证的时候，将不再提示输入用户名，直接、亠 使用

27、与Login认证相同的用户名进行认证，注意输入的口令要与之匹配。y注 如果进入CLI界面的时候没有进行 Login认证，或在Login认证的时候使用了 none方法，将不会记录用户名信息。此时，如果进行 Enable认证，将会要求重新输入用户名。这个用户名信息不会被记录，每次进行 Enable认证都要重新输入。一些认证方法，在认证时可以绑定安全级别。这样，在认证过程中，除了根据安全协议返回的成功或失败的应答外， 还需要检查绑定的安全级别。 如果服务协议能绑定安全级别，贝懦要在认证时校验绑定的级另阮如果绑定的级别大于或等于要切换的目的级别，贝UEnable认证成功，并切换到目的级别； 而如果绑定

28、的级别小于要切换的目的级别， 则Enable认证失败，提示失败信息，维持当前的级别不变。如果服务协议不能绑定安全 级别，则不校验绑定的级别，就可以切换到目的级别。何选）表示需读者留心关注的重要信息，用“注意栏”的形式提醒读者认真对待此部分内容，严格遵照其中的要求操作或使用。若读者忽略此内容，可能会因误 注意 操作而导致不良后果或无法成功操作。 如产品限制信息，包括芯片差异导致的功能缺陷、功能之间的互斥信息、实现上的缺陷等等都需用“注意栏”的形式来描述。目前能够绑定安全级别的认证方法只有 RADIUS和本地认证，因此只对这两种方法进行检查，如果采用其他认证方法则不进行检查。44.361使用本地数

29、据库进行 Enable认证使用本地数据库进行 Enable认证时，可以在设置本地用户时，为用户设置权限级别。如果没有设置，则默认的用户级别为 1级。要配置使用本地数据库进行 Enable身份认证时，首先需要配置本地数据库，并为用户设置权限级别，请在全局配置模式下，根据具体需求执行以下命令：命令作用Step 1configure terminal进入全局配置模式Step 2username name passwordpassword建立本地用户，设置口令Step 3username n ame privilege level为用户设置权限级别（可选）Step 4end退出到特权模式Step 5s

30、how running-config确认配置定义本地Enable认证方法列表，可使用以下命令：命令作用Step 1configure terminal进入全局配置模式Step 2aaa new-model打开AAA开关Step 3aaa authentication enable default local定义使用本地认证方法Step 4end退出到特权模式Step 5show aaa method-list确认配置的方法列表Step 6show running-config确认配置44.3.6.2 使用 RADIUS 进行 Enable 认证标准的RADIUS服务器可以通过 Service-Type 属性（标准属性号为 6）绑定权限，