H3C交换机AAA安全访问控制与管理

H3C交换机AAA安全访问掌握与治理H3C交换机AAA根底AAA是AuthenticationAuthorizationandAccounting（认证、授权和计费）的简称，是对网络访问掌握的一种治理模式它供给了一个对认证、授权和计费这三种功能进展统一配置的框架；“认证”确定哪些用户可以访问网络效劳器；“授权”确定具有访问权限的用户最终可以获得哪些效劳；“计费”确定如何对正在使用网络资源的用户进展计费AAA简介AAA一般承受C/S（客户端/效劳器）构造客户端运行于被治理的资源侧〔这里指网络设备，如接入交换机），效劳器上几种存放用户信息因此，AAA框架具有良好的可扩展性，并且简洁实现用户信息的集中治理AAA认证AAA支持以下认证方式不认证对接入用户信任，不进展合法性检查这是默认认证方式本地认证承受本地存储的用户信息对用户进展认证本地认证的优点是速度快，可以降低运营本钱；缺点是存储信息量受设备硬件条件〔如闪存大小）限制远程认证在H3C以太网交换机中，远程认证是指通过RADIUS效劳器或HWTACACS〔CiscoIOS交换机中承受的是TACACS+协议）效劳器对接入用户进展的认证此时，H3C交换机作为RADIUS或者HWTACACS客户端，与RADIUS效劳器或TACACS效劳器通信远程认证的有点是便于集中治理，并且供给丰富的业务特性；缺点是必需供给特地的RADIUS或者HWTACACS效劳器，并进展正确的效劳器配置AAA授权AAA支持以下授权方式直接授权对用户信任，直接授权通过本地授权依据交换机上为本地用户账号配置的相关属性进展授权RADIUS认证成功后远程授权由RADIUS效劳器对用户进展远程授权要留意RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS效劳器进展授权HWTACACS远程授权由HWTACACS效劳器对用户进展远程授权（HWTACACS效劳器的授权是独立于认证进展的）AAA计费AAA支持以下计费方式不计费不对用户计费本地计费实现了本地用户连接数的统计和限制，并没有实际的费用统计功能远程计费支持通过RADIUS效劳器或HWTACACS效劳器进展远程计费ISP域简介ISP域即ISP用户群，通常是把经过同一个ISP接入的用户划分到同一个ISP域中这主要是应用于存在多个ISP的应用环境中，由于同一个接入设备接入的有可能是不同ISP的用户假设只有一个ISP则可以直接使用系统默认域system在ISP域视图下，可以为每个ISP域配置包括使用AAA策略在内的一整套单独的ISP域属性用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、授权、计费方案实现的这个用户所属的ISP域，由其登录时供给的用户名打算假设用户登录时输入“userid@domain-name”形式的用户名，则其所属的ISP域为“domain-name”域假设用户登录时输入“userid”形式的用户名，则其所属的ISP域为接入设备上配置的默认域systemo为便于对不同接入方式的用户进展区分治理AAA还可以将域用户划分为以下两个类型:lan・access用户［局域网访问用户）通过LAN接入的用户，如直接接入LAN中，然后通过IEEE

802.1X认证、MAC地址认证的用户login用户通过远程网络登录的用户，如SSH、Telnet.FTP、终端接入用户HWTACACS简介HWTACACS〔华为终端访问掌握器访问掌握系统）是在TACACS协议根底上进展了功能增加的安全协议该协议与RADIUS协议类似，交换机设备也是用来担当客户端的，也是通过C/S模式与HWTACACS效劳器通信来实现多种用户的AAA功能，可用于PPP和VPDN接入用户及终端用户的认证、授权和计费但是RADIUS效劳器的认证和授权是捆绑在一起进展的，而TACACS和HWTACACS的认证好授权是独立进展的TACACS/HWTACACS主要用于远程登录用户（非直接LAN访问用户）的访问掌握和计费，交换机作为TACACS/HWTACACS的客户端，充当中间代理的作用，将恳求认证的用户的用户名和密码发送给TACACS/HWTACACS效劳器进展验证，验证通过并得到授权之后，用户才可以登录到交换机上进展操作4H3C交换机配置AAA配置任务在H3C以太网交换机AAA方案中，又可以区分ISP域是承受认证、授权、计费捆绑方式，还是承受认证、授权、计费分别方式假设承受捆方式，则在配置ISP域的AAA方案时支持在同一个ISP域视图下，针对不同的用户接入方式配置不同的AAA方案；假设承受分别方式，则在配置ISP域的AAA方案时用户可以分别指定认证、授权、计费方案假设承受RADIUS、HWTACACS认证方案，需要提前完成RADIUS或HWTACACS相关配置在作为AAA客户端的接入设备〔如H3C以太网交换机）上，AAA的根本配置思路如下配置AAA方案依据需要配置本地或远程认证方案本地认证需要配置本地用户，即localuser的相关属性，包括手动添加认证的用户名和密码等远程认证需要配置RADIUS或HWTACACS方案，并在效劳器上配置相应的胡勇属性配置实现AAA的方法在用户所属的ISP域中分别指定实现认证、授权、计费的方法，都可以选择none〔不〕、local（本地）和scheme（远程）方法H3C交换机本地用户配置与治理中选择使用本地（local）认证方法对用户进展认证时，应在交换机上创立本地用户并配置相关属性所谓本地用户，是指在本地交换机上设置的一组以用户名为唯一标识的用户为使某个恳求网络效劳的用户可以通过本地认证，需要在设备上的本地用户数据库中添加相应的表项本地用户属性在H3C以太网交换机上课配置的本地用户属性包括效劳类型用户接入设备时可使用的网络效劳类型该属性是本地认证的检测项，假设没有用户可使用的效劳类型，则该用户无法接入设备H3C以太网交换机可支持的效劳类型包括FTP.lan-accessPortal（Web认证）、SSH、TelnetTerminaL用户状态用户指示是否允许该用户恳求网络效劳器，包括active（活泼〕和block〔堵塞）两种状态active表示允许该用户恳求网络效劳，block表示制止该用户恳求网络效劳最大用户数指使用当前用户名接入设备的最大用户数目假设当前该用户名的接入用户数已到达最大值，则使用该用户名的用户将被制止接入有效期指用户账户的有效的戒指日期用户进展本地认证时，接入设备检查当前系统时间是否在用户的有效期内，假设在有效期内则允许该用户登录，否则拒绝所属的用户组每一个本地用户都属于一个本地用户组，并继承组中的全部属性〔密码治理属性和用户授权属性），相当于Window系统的工作组密码治理属性指用户密码的安全属性，可依据设置的密码策略对认证隐秘吗进展治理和掌握可设置的密码策略包括密码老化时间、密码最小长度、密码组合策略本地用户的密码治理属性在系统视图（具有全局性）、用户组视图和本地用户视图下都可以配置，其生效的优先级挨次由高到低依次为本地用户、用户组、全局全局配置对全部本地用户生效，用户组的配置对组内全部本地用户生效绑定属性指定用户认证时需要检测的属性，用于限制接入用户的范围假设用户的实际属性与设置的绑定属性不匹配，则不能通过认证可绑定的属性包括ISDN用户的主叫号码、用户IP地址、用户接入端口、用户MAC地址、用户所属VLANo用户授权属性本地用户的授权属性在用户组和本地用户视图下都可以配置，旦本地用户试图下的配置优先级高于用户组视图下的配置用户组的配置对组内全部本地用户生效本地用户属性配置表18-3本地用户属性配置步骤H3C交换机RADIUS方案配置与治理AAA方案假设使用RADIUS效劳器进展认证、授权和计费，则需要先配置RADIUS方案其中的主要配置包括指定各种RADIUS效劳器的IP地址、UDP端口号和报文共享密钥，以及其他一些必要的参数设置创立RADIUS方案在进展RADIUS的其他配置之前，必需首先创立一个所需的RADIUS方案只需再系统视图下使用radiusschemeradius-scheme-name命令一个RADIUS方案可以同时被多个ISP域引用每个RADIUS方案至少须指明RADIUS认证/授权/计费效劳器的IP地址、UDP端口号以及RADIUS客户端与之交换所需的一些参数以下示例是创建名为radiusI的RADIUS方窠并进入H视图.♦Syvtamc-tytlcniAicw|Sstiume|tcherneradimlMiuIRADIUS认证/授权效劳器由于RADIUS效劳器中的认证和授权是捆绑进展的，用户只要通过了认证即获得了授权，所以RADIUS的认证和授权效劳器往往是在一台RADIUS效劳器上同时配置的在这里可以配置一台主认证/授权效劳器和多台从认证/授权效劳器RADIUS主认证/授权效劳器的配置命令是primaryauthentication{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}（在RADIUS方案下找l彳亍）ip-address指定主RADIUS认证/授权效劳器的IPv4地址port-number指定RADIUS认证/授权UDP端口号，默认为1812取值范围为1〜65535keysfr/ng指定主RADIUS认证/授权效劳器与交换机通信的共享密钥，为1〜64个字符的字符串，区分大小写vpn-instancevpn-instance-name可多项选择参数，指定主RADIUS认证/授权效劳器所属的VPN实例名称【示例1】设置RADIUS方案radius1的L认证/授权服务器的IP地址为

10.

10.1J.使用UDP端U1612提供RADIUS认证/授权服务.radHtstcbtaieradiiitl|primaryaulbeMli«ihnHMOII1612【示例2]设置RADIUS力飞radiusI的从认证;授权服务牌的IP地址为I0I0J.2仲用UDP端【11612提供RADIUS队的授权第务._一一一|SWMine|radlvtnidigl|»ceondaraufliefitkfChm

10.

10.U1612【示例3]设置RADIUS力案radiuS的两个从认ii授权服务器的IP地址分别为IOJO.IJWI0J0J.

2.均恺用UDP^111612贝供KADIUS认证/授权服务.vSsiMmc[Symame|wdhi«schememdiin2[SywAme-rsdim-raditFi2]wecemUry

1010.

1.1Ibl2[Sywame«radhi»«radiui21avtlKiBticafioo

10.

10.121612RADIUS计费效劳器及相关参数配置表18-8RADIUS计费效劳器及相关参数配置步骤【示例1】设评RADIUS方案radiusI的■计费服务器的IP地川为

10.

10.

1.

1.使用UDP踹门1613提供RADIUS计费账务.SWMtnc|Swname|r»diu«MrbrmrgkIhiwI|Syvrwinc-fMlH»«r«dim11primary10tO.IIIfel3【示例2】iQWRADIUS方案radiusI的从计费服务蹲的IP地址为I0J

0.L

2.ftHJUDP珀口1613提供RADIUS计费JM务.zSyMwmeV・，kw|Sytnamc|r»dtaMwtermrrmiituI|Svtnainemiiu«r»diu«l|tecMdarvxjHifld*.

1010.12Ihl【示例3次时RADIUS力宴radius的两个从计费服务器的IP地址分别为I0J0JJ和

10.

10.L2r均使用UDP喊口1613提供RADIUS计费躯务.Sy*namc|S*»iumc|r*dMi»*cbe«i«mdiitsC[S^mmc-nMiiiBnMihM2|wcvtMlarvmcombImii

10.

10.

1.1IbU|Senarac-nidhB-r»dig|*raMKi*r»cco««ttflg

10.IO.U

161318.

3.4RADIUS报文的共享密钥配置交换机与RADIUS效劳器使用MD5算法来加密RADIUS报文，双方通过设置共享密钥来验证报文的合法性只有在密钥全都的状况下，彼此才能承受对方发来的报文并作出响应配置的方法是在具体的RADIUS方案视图卜使用key{accounting|authentication}string命令，在这里可以分别为RADIUS认证/授权效劳器和RADIUS计费效劳器分别配置与交换机交互的密钥【示例1】将RADIUS方案radiusl的认证，授权报文的共享密钥设置为hello.Syrumc•|Swuimr|raditKichcmcrodiytl|Sy«nnmc*radiutnidkMl|Shello【示例2】祁RADIUS方窠mdiuil的il-报文的共享密切帔霓为ok.radimwh«mradiusI|SyMumc-radiu»*radiusl|kcsecounttneoi步骤命令说明1sysname-view例如Sysnamesystem-view进入系统视图2local-userpassword-display-mode{auto|cipher-force}例如[Sysname]local-userpassword-display-modeauto（可选）设置本地用户密码的显示方式二选一选项cipher-force表不强制cipher方式，即全部本地用户的密码显示方式必需承受密文方式；auto为自动方式，即本地用户的密码显示方式可以由用户自己通过password命令来设置3local-useruser-name例如[Sysname]local-userwinda添加本地用户，并进入本地用户视图4password{cipher|simple}password例如[Sysname-luser-winda]passwordcipher1234561可选）设置本地用户的密码，命令中的参数和选项说明如下simple表示密码为明文cipher表示密码为密文password指定密码5state{active|block}例如[Sysname-luser-winda]stateactive（可选）设置本地用户的状态active用来指定当前本地用户处于活动状态；block用来指定当前本地用户处于“挂起”状态，即系统不允许当前本地用户恳求网络效劳6access-limitmax-user-number例如[Sysname-luser-winda]access-limit10（可选）设置当前用户名可容纳的最大本地接入用户数默认状况下，不限制当前本地用户名可容纳的接入用户数7service-type{ftp|lan-access|{ssh|telnet|terminal*|portal例如[Sysname・luser-winda]servicetypeftplan-accessportal设置本地用户可以使用的效劳类型，对应不同的用户类型lan-access可多项选择选项，指定用户可以使用lan-access效劳，主要指以太网接入用户，比方

802.lx用户terminal可多项选择选项，指定用户可以使用terminal效劳〔即从Console口、AUX□登录）8bind-attribute{call-numbercall-number[:subcall-number]|ipip-address|locationportslot-nambersubslot-numberport-number1mac（可选）设置本地用户的绑定属性当对本地用户进展认证时，假设配置了绑定属性，则会检查用户的实际属性与配置的绑定属性是否全都，假设不全都则认证失败■location设置用户的端口绑定属性该绑定属性仅适用于lan-access类型的用户mac-address\\i\anvlan-id}8authorization-attribute{aclacl-number\callback-numbercallback-number|idlecutminute|level/eve/|user-proiUeprofile-name|user-rolesecurity-audit|vlanvlan-id|work-directoryderectory-name}例如[Sysname-luser-winda]authorization-attributelevel3vlan10expiration-datetime（可选）设置本地用户的授权属性level/eve/指定本地用户的级别取值范围为0〜3其中为访问级，1位监控级，2位系统级，3位治理级，数值越小，用户的级别越低vlan面力汨指定本地用户的授权VLAN取值范围为1〜4094oidle-cutminute启用本地用户的闲置切断功能，取值范围为1〜120单位为分钟9例如[Sysname-luser-winda]date10:21:12-2022-7-22（可选）设置本地用户的有效期有用户临时需要接入网络时，可以建立来宾账户来治理用户的临时访问，并通过该命令对用户账户的有效期进展掌握步骤命令说明1sysname-view例如Sysnamesystem-view进入系统视图2radiusschemeradius-scheme-name例如:[Sysname]radiusschemeradiusl创立RADIUS方案，并进入RADIUS方案视图3primaryauthentication{ip-address[port-nmuber\keystring|vpn-instancevpn-instance-name]}例如[Sysname-radius-radiusl]primaryaccounting

10.

10.

1.11613配置主RADIUS计费效劳器，命令中的参数说明如下ip-address指定主RADIUS认证/授权效劳器的IPv4地址port-number指定RADIUS认证虚权UDP端口号，默认为1812取值范围为1〜65535keystring指定主RADIUS认证/授权效力器与交换机通信的共享密钥，为1〜64个字符的字符串，区分大小写vpn-instancevpn-instance-name可多项选择参数，指定主RADIUS认证/授权效劳器所属的VPN实例名4secondaryaccounting{ip-address[port-nmuber\keystring\vpn-instancevpn-instance-name]}例如[Sysname-radius-radiusl]secondaryaccounting

10.

10.

1.21613keyok配置从RADIUS计费效劳器，参数与上面的主计费效劳器配置命令的参数一样。