华为交换机AAA配置与管理教案.docxVIP

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。在实际应用中，可以使用AAA的一种或两种服务。2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。5、hwtacacs协议Hwtacacs是在tacacs（rfc1492）基础上进行了功能增强的安全协议，与radius协议类似，主要用于点对点PPP和VPDN（virtual private dial-up network，虚拟私有拨号网络）接入用户及终端用户的认证、授权、计费。与radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制。Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的，能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、 hwtacacs三种任意组合本地认证授权：优点是速度快，可降低运营成本；缺点是存储信息量受设备硬件条件限制RADIUS认证、计费：优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须与认证功能一起，使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费：认证、授权、计费室单独进行的，可以单独配置使用，在大型网络中可以部署多台hwtacacs服务器；还支持在一个方案中使用多协议模式，如本地认证常用于radius认证和hwtacacs认证的备用认证方案，本地授权作为hwtacacs授权的备用授权方案等二、本地方式认证和授权配置配置流程为：配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的认证、授权、计费，用于“域的aaa方案”中绑定这些方案使用（所配置的各种方案只有在域中绑定后才能得到应用）认证方案：1、进入AAA视图[Huawei]aaa2、设置一个AAA认证方案名[Huawei-aaa]authentication-scheme test13、设置认证模式为本地认证（缺省为本地认证）[Huawei-aaa-authen-test1]authentication-mode ? hwtacacs HWTACACS local Local none None radius RADIUS4、配置当前认证模板对用户提升级别进行认证时采用的认证模式（可选，默认为本地认证）[Huawei-aaa-authen-test1]authentication-super ?hwtacacs HWTACACS none None radius RADIUSsuper Super（本地认证模式）5、配置用户名和域名解析的方