网络设备配置与调试案例教程 课件 第五章 网络设备全配置 .pptx

第五章网络设备安全配置网络设备配置与调试案例教程

CONTENTS教学目标本章主要介绍主流网络安全设备的基本配置方法、路由器点到点的VPN、防火墙的主要配置方法。【知识目标】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墙【技能目标】?掌握和AAA的认证、授权的配置。?了解华为系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相关配置。?掌握USG防火墙安全策略及相关配置命令

CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墙

5.1路由器AAA安全网络设备配置与调试案例教程5.1.1项目背景1.需求分析某公司为了实现对内部员工的上网行为进行管理，在公司内部架设一台华为安全访问控制服务器。该服务器可以在用户访问Internet时对用户进行认证和授权，并控制员工访问Internet。目前，ARG3系列路由器只支持配置认证和授权。图5-1是AAA的应用场景。

5.1路由器AAA安全网络设备配置与调试案例教程2.环境准备(1)硬件环境见下表设备类型设备型号设备数量备注路由器华为路由器设备1台含电源线、配置线三层交换机S57001台含电源线、配置线计算机双核CPU、内存4GB、硬盘80GB以上4台巳安装WindowsXPSP3双绞线超5类5条1条交叉线，4条直通线(2)软件环境见下表软件名称数量备注WindowsXPProSP2（中文版）1系统平台VMwareWorkstation7.1.41虚拟机MicrosoftOffice2007(中文版)1文档编辑WindowsServer2003R2(中文版)1服务器平台CiscoSecureACS4.2forWindows1安全访问控制服务jre-6u2-Windows-i586或更高版本1Java运行环境硬件环境一览表软件环境一览表

5.1路由器AAA安全网络设备配置与调试案例教程3.技能准备AAA是一种提供认证、授权和计费的安全技术。该技术可以用于验证用户帐户是否合法，授权用户可以访问的服务，并记录用户使用网络资源的情况。例如，企业总部需要对服务器的资源访问进行控制，只有通过认证的用户才能访问特定的资源，并对用户使用资源的情况进行记录。在这种场景下，可以按照如图所示的方案进行AAA部署，NAS为网络接入服务器，负责集中收集和管理用户的访问请求。AAA服务器表示远端的Radius或HWTACACS服务器，负责制定认证、授权和计费方案。如果企业分支的员工希望访问总部的服务器，远端的Radius或HWTACACS服务器会要求员工发送正确的用户名和密码，之后会进行验证，通过后则执行相关的授权策略，接下来，该员工就可以访问特定的服务器了。如果还需要记录员工访问网络资源的行为，网络管理员还可以在Radius或HWTACACS服务器上配置计费方案。

5.1路由器AAA安全网络设备配置与调试案例教程AAA的含义如下。①Athentication(认证):对用户的身份进行验证，决定是否允许该用户访问网络。②Authorization(授权):给不同的用户分配不同的权限，限制每个用户可使用的网络服务。③Accounting(审计)：对用户的行为进行审计和计费。认证方法解释与命令示例enable使用enable口令进行身份验证aaaauthenticationloginnameenablelocal使用本地数据库进行身份验证aaaauthenticationloginnamelocal定义本地数据库的命令为：UsernameusernamepasswordpasswordTACACS+使用TACACS+服务器进行身份验证aaaauthenticationloginnamegrouptacacs+RADIUS使用RADIUS服务器进行身份验证aaaauthenticationloginnamegroupradiusnone不进行身份验证aaaauthenticationloginnamenone常见的认证方法

5.1路由器AAA安全网络设备配置与调试案例教程ACS包含多种身份验证方法，可以确保在第一种方法失效时，设备可以使用备用的身份验证系统，例如：aaaauthenticationloginexamplegrouptacacs+groupradius5.1.2项目设计客户单位需要对用户上网行为进行安全访问控制，用户连接Internet必须经过认证、授权和审计过程