华为交换机 A配置与管理.docx

1、华为交换机 A配置与管理AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。在实际应用中，可以使用AAA的一种或两种服务。2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务

2、器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是、|、%等符号

3、，域，如果用户名不带，就属于系统缺省default域。自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端

4、与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。5、hwtacacs协议Hwtacacs是在tacacs（rfc1492）基础上进行了功能增强的安全协议，与radius协议类似，主要用于点对点PPP和VPDN（virtual private dial-up network，虚拟私有拨号网络）接入用户及终端用户的认证、授权、计费。与radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制。Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的，能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius

5、、 hwtacacs三种任意组合本地认证授权：优点是速度快，可降低运营成本；缺点是存储信息量受设备硬件条件限制RADIUS认证、计费：优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须与认证功能一起，使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费：认证、授权、计费室单独进行的，可以单独配置使用，在大型网络中可以部署多台hwtacacs服务器；还支持在一个方案中使用多协议模式，如本地认证常用于radius认证和hwtacacs认证的备用认证方案，本地授权作为hwtacacs授权的备用授权方案等二、本地方式认证和授权配置配置流程为：配置AAA方案配置本地用户配置业

6、务方案配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的认证、授权、计费，用于“域的aaa方案”中绑定这些方案使用（所配置的各种方案只有在域中绑定后才能得到应用）认证方案：1、进入AAA视图Huaweiaaa2、设置一个AAA认证方案名Huawei-aaaauthentication-scheme test13、设置认证模式为本地认证（缺省为本地认证）Huawei-aaa-authen-test1authentication-mode ? hwtacacs HWTACACS local Local none None radius RADIUS4、配置当前认证模板对用户提升级

7、别进行认证时采用的认证模式（可选，默认为本地认证）Huawei-aaa-authen-test1authentication-super ? hwtacacs HWTACACS none None radius RADIUS super Super（本地认证模式）5、配置用户名和域名解析的方向（可选，缺省从左向右） Huawei-aaadomainname-parse-direction ? left-to-right Configure the left to right direction of domainname parsing right-to-left Configure the

8、right to left direction of domainname parsing授权方案： 1、创建一个授权方案 Huawei-aaaauthorization-scheme tets12、配置本地授权模式Huawei-aaa-author-tets1authorization-mode ? hwtacacs Use HWTACACS authorization method if-authenticated Use authorization method which lets user(s) authorized if user(s) not authenticated by n

9、one authentication method local Use local authorization method none Use none authorization method3、设置授权服务器下发的用户授权信息的生效模式（可选，缺省为overlay模式） Huawei-aaaauthorization-modify ？ Modify 修改模式，新下发的授权信息覆盖上一次下发的所有属性类别的授权信息 Overlay 覆盖模式，新下发的授权信息覆盖前次下发的所有用户授权信息# 模拟器未能模拟二、配置本地用户采用本地方式进行认证授权时，需要在本地设备配置用户的认证和授权信息，如用

10、于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等1、设置本地用户名和密码Huawei-aaalocal-user test password simple 1472582、设置本地用户的级别Huawei-aaalocal-user test privilege level 153、设备本地用户加入用户组（可选，先配置好用户组Huawei-aaalocal-user test user-group teset #模拟器无法模拟4、设置本地用户断开超时时间Huawei-aaalocal-user test idle-timeout 6005、设备本地用

11、户用于何种类型的服务Huawei-aaalocal-user test service-type ? 8021x 802.1x user bind Bind authentication user ftp FTP user http Http user ppp PPP user ssh SSH user telnet Telnet user terminal Terminal user web Web authentication user x25-pad X25-pad user 6、本地用户作为FTP使用时设置访问目录 Huawei-aaalocal-user test ftp-direc

12、tory ？ STRING flash: flash:/ 7、设置本地用户状态 Huawei-aaalocal-user test state ? active Permit the user(s) to deal with the authen request block Forbid the user(s) to deal with the authen request （拒绝该用户认证请求） 8、设备本地用户访问时最大连接数（缺省不限制）Huawei-aaalocal-user test access-limit 10 9、设置本地账号锁定功能（连续登陆失败达到次数后锁定和解锁、重试等参

13、数）Huawei-aaalocal-aaa-user wrong-password retry-interval 5（重试时间间隔） retry-time 3 （连续认证失败的最大次数block-time 10（账号被锁定时间）10、修改账号密码local-user change-password三、配置业务方案（可选）“业务方案”也是一种授权方案，它是专门针对一些IP业务（如管理员权限、DHCP服务、DNS服务、策略路由）所进行的授权，也称为“业务授权方案”。通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别，其它命令只有在业务方案被其他特性（如

14、IPSEC）调用时才需要配置。具体配置：1、创建一个业务方案Huawei-aaaservice-scheme test2、配置本地用户可作为管理员登陆设备并设置级别Huawei-aaa-service-testadmin-user privilege level 153、设置业务方案下使用的DHCP服务器组（仅7700及以上支持）Huawei-aaa-service-testdhcp-server grpup test4、设置可用的DHCP IP地址池或移动已配置的地址的位置（仅7700及以上支持）Huawei-aaa-service-testip-pool testpool move-to

15、testpool25、设置业务方案下的主用或备用DNS服务器地址 secondary Set secondary DNS servers IP address 6、设置业务方案下用户的策略路由功能（仅7700及以上支持）（下一跳IP地址） 5（源路由vlan ID）四、配置域的AAA方案认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用1、设置一个域的AAA方案名（缺省存在default和default_admin两个域）Huawei-aaadomain testdomain2、绑定认证方案Huawei-aaa-domain-testdomainauthentication-sche

16、me test3、绑定授权方案Huawei-aaa-domain-testdomainauthorization-scheme test4、绑定业务方案Huawei-aaa-domain-testdomainservice-scheme tese5、设置域的AAA方案状态Huawei-aaa-domain-testdomainstate ? active Active block Block6、设置域名分隔符（缺省为）Huawei-aaadomain-name-delimiter 三、RADIUS方式认证、授权、计费配置配置流程为：配置AAA方案配置radius服务器模板配置业务方案配置域的A

17、AA方案一、认证授权配置Radius中的认证和授权时同步进行的，只要是能其认证功能，也就是能了授权功能。配置方法同本地认证配置二、计费方案配置1、设置计费方案名Huawei-aaaaccounting-scheme testaccounting2、设置计费模式Huawei-aaa-accounting-testaccountingaccounting-mode ?（默认为none） hwtacacs HWTACACS none None radius RADIUS3、设置开始计费失败策略（默认online）Huawei-aaa-accounting-testaccountingaccounti

18、ng start-fail ? offline Offline#如果开始计费失败，允许用户上线 online Online#如果开始计费失败，拒绝用户上线4、设置实时计费功能和时间间隔（缺省未使能）Huawei-aaa-accounting-realtimeaccounting realtime 605、设置实时计费允许设备发送实时计费请求的最大次数（默认为3）或、和失败后采取的动作Huawei-aaa-accounting-realtimeaccounting interim-fail max-times 10 ? offline Offline online Online三、radius服

19、务器模板配置Radius服务器模板用来配置与radius服务器进行通信的相同参数（如radius服务器IP地址、端口号、共享密钥等）Radius服务器模板下的用户名格式。共享密钥等要与radius服务器上配置对应一致1、设置radius授权服务器IP地址、授权服务器模板名称、通信密钥 server-group Configure RADIUS-client corresponding server-group shared-key Configure server shared-key vpn-instance VPN instance2、配置radius服务器模板名Huaweiradius-

20、server template test3、设置模板下radius主用认证服务器地址、端口号 源接口loopback编号或、及IP地址 ip-address IP address loopback LoopBack interface4、设置模板下radius备用认证服务器地址、端口号 源接口loopback编号或、及IP地址5、设置模板下主用计费服务器地址、端号 源接口loopback编号或、及IP地址 secondary Secondary server source Source LoopBack interface vpn-instance VPN instance 6、设置模板下备用

21、计费服务器地址、端号 源接口loopback编号或、及IP地址 （参考上面配置）7、设置域radius服务器通信的共享密钥（MD5加密，缺省密码为huawei）Huawei-radius-testradius-server shared-key cipher huawei 1 8、设置设备向radius服务器发送的报文中的用户名包含域名（可选，缺省包含）Huawei-radius-testradius-server user-name domain-included9、设置radius计费服务器计费时采用的流量统计单位（可选，缺省为byte）Huawei-radius-testradius-s

22、erver traffic-unit ? byte Byte gbyte Gbyte kbyte Kbyte mbyte Mbyte10、设置radius请求报文允许的超时重传次数和超时时间（可选，缺省5 3）Huawei-radius-testradius-server retransmit 3 timeout 311、设置NAS（AAA客户端）端口形式（可选，缺省为新）Huawei-radius-testradius-server nas-port-format ? new New NAS-Port format（新的） old Old NAS-Port format（旧的）12、设置NA

23、S端口ID 形式（可选 867页）Huawei-radius-testradius-server nas-port-id-format ? new New NAS-Port-Id format old Old NAS-Port-Id format13、设置NAS发送radius报文使用的NAS-IP-address属性（可选。默认使用指定的loopback接的IP地址）14、设置计费结束报文的重传功能和可重发的计费停止报文个数（可选。默认都为0）Huawei-radius-templateradius-server accounting-stop-packet resend 3 #无法模拟15

24、、设置与radius主用服务器恢复重新连接时间间隔（可选，默认为5分钟）Huawei-radius-templateradius-server detect-server interval 1016、测试用户能否通过radius认证Huawei-radius-templatetest-aaa test1 123456 radius-template test1 ? chap CHAP method #采用CHAP认证 pap PAP method #采用PAP认证 四、业务方式配置和域的aaa方案配置同上四、HWTACACS方式认证、授权、计费配置与radius相比，具有更加可靠的传输和加密特

25、性，更加适合于安全控制，可以防止非法用户对网络攻击，还支持对命令行授权等配置流程：AAA方案hwtacacs服务器模板业务方案域的AAA方案一、设置AAA认证方案同上可以增加的地方1、设置认证旁路时间（默认未使能，单位分钟）Huaweiaaa-authen-bypass enable time 2 #未能模拟二、设置AAA授权方案同上可以增加的地方1、为指定级别的用户设置为按命令行授权（可选，默认都没设置）Huawei-aaa-author-testauthorizauthorization-cmd 3 hwtacacs ? local Use local authorization meth

26、od 2、设置授权旁路时间 Huaweiaaa-authen-bypass enable time 2 3、设置命令行授权旁路时间 Huaweiaaa-authen-cmd-bypass enable time 2 三、设置AAA计费方案 同上 四、hwtacacs服务器模板配置与radius服务器模板配置基本一样1、使能hwtacacs功能Huaweihwtacacs enable2、创建hwtacacs模板名Huaweihwtacacs-server template templatehwtacacs以下同上3、设置hwtacacs主用授权服务器4、设置hwtacacs备用授权服务器5、设

27、置hwtacacs主用计费服务器6、设置hwtacacs备用授权服务器7、设置设备向hwtacacs服务器发送hwtacacs报文的源IP地址8、设置客户端与hwtacacs服务器通信的共享密钥9、设置客户端向hwtacacs服务器发送的报文包含域名10、设置计费hwtacacs流量的单位11、设置hwtacacs服务器应答超时时间（可选，缺省5S）Huawei-hwtacacs-testhwtacacs-server timer response-timeout 2012、设置主用服务器恢复激活状态的静默时间（缺省5min）Huawei-hwtacacs-testhwtacacs-server timer quiet 1013、设置允许停止重发计费报文及重发计费报文的个数14、设置可在设备上修改hwtacacs服务器上保持的用户密码（必须未过期）hwtacacs-user change-password hwtacacs-server test（模板名）