华为交换机AAA配置与管理

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC是基于接入设备接口进行认证的。 Commentbywin7:也称为审计、记账，记录通过认证用户的网络资源使用情况。不支持本地认证和授权方式。 Commentbywin7:Windows和linux都支持在实际应用中，可以使用AAA的一种或两种服务。2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，域，如果用户名不带@，就属于系统缺省default域。自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。定义UDP1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。5、hwtacacs协议Hwtacacs是在tacacs（rfc1492）基础上进行了功能增强的安全协议，与radius协议类似，主要用于点对点PPP和VPDN（virtualprivatedial-upnetwork，虚拟私有拨号网络）接入用户及终端用户的认证、授权、计费。与radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制。Hwtacacs协议与其他厂商支持的tacacs+协议的认证和实现方式是一致的，能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、hwtacacs三种任意组合本地认证授权：优点是速度快，可降低运营成本；缺点是存储信息量受设备硬件条件限制RADIUS认证、计费：优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须与认证功能一起，使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费：认证、授权、计费室单独进行的，可以单独配置使用，在大型网络中可以部署多台hwtacacs服务器；还支持在一个方案中使用多协议模式，如本地认证常用于radius认证和hwtacacs认证的备用认证方案，本地授权作为hwtacacs授权的备用授权方案等二、本地方式认证和授权配置配置流程为：配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的认证、授权、计费，用于“域的aaa方案”中绑定这些方案使用（所配置的各种方案只有在域中绑定后才能得到应用）认证方案：1、进入AAA视图[Huawei]aaa2、设置一个AAA认证方案名[Huawei-aaa]authentication-schemetest13、设置认证模式为本地认证（缺省为本地认证）[Huawei-aaa-authen-test1]authentication-mode?hwtacacsHWTACACSlocalLocalnoneNoneradiusRADIUS4、配置当前认证模板对用户提升级别进行认证时采用的认证模式（可选，默认为本地认证） Commentbywin7:可配置多种认证模式，此时认证模式匹配的先后顺序为配置的先后顺序，只有当前模式没有响应的情况下（不是认证失败）才会采用下一种认证模式；如果用户没有通过当前模式认证，设备也不会跳到下一个模式认证。[Huawei-aaa-authen-test1]authentication-super?hwtacacsHWTACACSnoneNoneradiusRADIUSsuperSuper（本地认证模式）5、配置用户名和域名解析的方向（可选，缺省从左向右） Commentbywin7:便于系统识别域用户名格式。但必须与AAA视图下domain-location{after-delimiter|befpre-delimiter}命令配置一致。如域用户名user@huawei@com，如果采用after-delimiter则表示域名在分隔符之后，从左向右解析时用户名为user域名为huawe.@com；从右向左解析时用户名为user@huawei域名为com[Huawei-aaa]domainname-parse-direction?left-to-rightConfigurethelefttorightdirectionofdomainnameparsingright-to-leftConfiguretherighttoleftdirectionofdomainnameparsing授权方案：1、创建一个授权方案[Huawei-aaa]authorization-schemetets12、配置本地授权模式[Huawei-aaa-author-tets1]authorization-mode?hwtacacsUseHWTACACSauthorizationmethodif-authenticatedUseauthorizationmethodwhichletsuser(s)authorizedif Commentbywin7:如果用户通过了认证，且使用的认证模式是本地或远处认证，则直接为用户授权。user(s)notauthenticatedbynoneauthenticationmethodlocalUselocalauthorizationmethodnoneUsenoneauthorizationmethod3、设置授权服务器下发的用户授权信息的生效模式（可选，缺省为overlay模式）[Huawei-aaa]authorization-modify？Modify修改模式，新下发的授权信息覆盖上一次下发的所有属性类别的授权信息Overlay覆盖模式，新下发的授权信息覆盖前次下发的所有用户授权信息#模拟器未能模拟二、配置本地用户采用本地方式进行认证授权时，需要在本地设备配置用户的认证和授权信息，如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等1、设置本地用户名和密码[Huawei-aaa]local-usertestpasswordsimple1472582、设置本地用户的级别[Huawei-aaa]local-usertestprivilegelevel153、设备本地用户加入用户组（可选，先配置好用户组[Huawei-aaa]local-usertestuser-groupteset#模拟器无法模拟4、设置本地用户断开超时时间[Huawei-aaa]local-usertestidle-timeout6005、设备本地用户用于何种类型的服务[Huawei-aaa]local-usertestservice-type?8021x802.1xuserbindBindauthenticationuserftpFTPuserhttpHttpuserpppPPPusersshSSHusertelnetTelnetuserterminalTerminaluserwebWebauthenticationuserx25-padX25-paduser6、本地用户作为FTP使用时设置访问目录[Huawei-aaa]local-usertestftp-directory？STRING<1-58>flash:flash:/7、设置本地用户状态[Huawei-aaa]local-userteststate?activePermittheuser(s)todealwiththeauthenrequestblockForbidtheuser(s)todealwiththeauthenrequest（拒绝该用户认证请求）8、设备本地用户访问时最大连接数（缺省不限制）[Huawei-aaa]local-usertestaccess-limit109、设置本地账号锁定功能（连续登陆失败达到次数后锁定和解锁、重试等参数）[Huawei-aaa]local-aaa-userwrong-passwordretry-interval5（重试时间间隔）retry-time3（连续认证失败的最大次数block-time10（账号被锁定时间）10、修改账号密码 Commentbywin7:用户认证通过后，可以在用户视图修改自己的登陆密码，主要是保证低级别管理用户的密码安全<Huawei>local-userchange-password三、配置业务方案（可选）“业务方案”也是一种授权方案，它是专门针对一些IP业务（如管理员权限、DHCP服务、DNS服务、策略路由）所进行的授权，也称为“业务授权方案”。通常只需要使用admin-userprivilegelevel命令配置管理员用户的用户级别，其它命令只有在业务方案被其他特性（如IPSEC）调用时才需要配置。具体配置：1、创建一个业务方案[Huawei-aaa]service-schemetest2、配置本地用户可作为管理员登陆设备并设置级别 Commentbywin7:如果用户的认证方式时本地认证则管理员级别优先级为local-userprivilegelevel大于admin-userprivilegelevel大于userprivilege（VTY模式下配置）；如果是远端认证则优先级为服务器下发的用户级别大于admin-user大于user。缺省的用户级别为16表示无效值不能作为管理员登陆。[Huawei-aaa-service-test]admin-userprivilegelevel153、设置业务方案下使用的DHCP服务器组（仅7700及以上支持）[Huawei-aaa-service-test]dhcp-servergrpuptest4、设置可用的DHCPIP地址池或移动已配置的地址的位置（仅7700及以上支持）[Huawei-aaa-service-test]ip-pooltestpoolmove-totestpool25、设置业务方案下的主用或备用DNS服务器地址secondarySetsecondaryDNSserver'sIPaddress<cr>6、设置业务方案下用户的策略路由功能（仅7700及以上支持）（下一跳IP地址）5（源路由vlanID）四、配置域的AAA方案认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用1、设置一个域的AAA方案名（缺省存在default和default_admin两个域）[Huawei-aaa]domaintestdomain2、绑定认证方案[Huawei-aaa-domain-testdomain]authentication-schemetest3、绑定授权方案[Huawei-aaa-domain-testdomain]authorization-schemetest4、绑定业务方案[Huawei-aaa-domain-testdomain]service-schemetese5、设置域的AAA方案状态[Huawei-aaa-domain-testdomain]state?activeActiveblockBlock6、设置域名分隔符（缺省为@）[Huawei-aaa]domain-name-delimiter@三、RADIUS方式认证、授权、计费配置配置流程为：配置AAA方案——配置radius服务器模板——配置业务方案——配置域的AAA方案一、认证授权配置Radius中的认证和授权时同步进行的，只要是能其认证功能，也就是能了授权功能。配置方法同本地认证配置二、计费方案配置1、设置计费方案名[Huawei-aaa]accounting-schemetestaccounting2、设置计费模式[Huawei-aaa-accounting-testaccounting]accounting-mode?（默认为none）hwtacacsHWTACACSnoneNoneradiusRADIUS3、设置开始计费失败策略（默认online）[Huawei-aaa-accounting-testaccounting]accountingstart-fail?offlineOffline#如果开始计费失败，允许用户上线onlineOnline#如果开始计费失败，拒绝用户上线4、设置实时计费功能和时间间隔（缺省未使能） Commentbywin7:设备向计费服务器定时发送实时计费报文，计费服务器收到报文后才开始计费，如果设备检测到付费用户下线，则停止发送实时计费报文，计费服务器停止计费，从而减少计费误差。[Huawei-aaa-accounting-realtime]accountingrealtime605、设置实时计费允许设备发送实时计费请求的最大次数（默认为3）或、和失败后采取的动作[Huawei-aaa-accounting-realtime]accountinginterim-failmax-times10?offlineOfflineonlineOnline三、radius服务器模板配置Radius服务器模板用来配置与radius服务器进行通信的相同参数（如radius服务器IP地址、端口号、共享密钥等）Radius服务器模板下的用户名格式。共享密钥等要与radius服务器上配置对应一致1、设置radius授权服务器IP地址、授权服务器模板名称、通信密钥server-groupConfigureRADIUS-clientcorrespondingserver-groupshared-keyConfigureservershared-keyvpn-instanceVPNinstance2、配置radius服务器模板名[Huawei]radius-servertemplatetest3、设置模板下radius主用认证服务器地址、端口号源接口loopback编号或、及IP地址ip-addressIPaddressloopbackLoopBackinterface4、设置模板下radius备用认证服务器地址、端口号源接口loopback编号或、及IP地址5、设置模板下主用计费服务器地址、端号源接口loopback编号或、及IP地址 Commentbywin7:认证授权、计费服务器通常是同一台服务器，所以IP一样，端口也可以一样secondarySecondaryserversourceSourceLoopBackinterfacevpn-instanceVPNinstance<cr>6、设置模板下备用计费服务器地址、端号源接口loopback编号或、及IP地址（参考上面配置）7、设置域radius服务器通信的共享密钥（MD5加密，缺省密码为huawei）[Huawei-radius-test]radius-servershared-keycipherhuawei18、设置设备向radius服务器发送的报文中的用户名包含域名（可选，缺省包含） Commentbywin7:，如果radius服务器不接带域名的用户名，需undo取消。在当前模板没有使用时才能修改[Huawei-radius-test]radius-serveruser-namedomain-included9、设置radius计费服务器计费时采用的流量统计单位（可选，缺省为byte）Huawei-radius-test]radius-servertraffic-unit?byteBytegbyteGbytekbyteKbytembyteMbyte10、设置radius请求报文允许的超时重传次数和超时时间（可选，缺省53）[Huawei-radius-test]radius-serverretransmit3timeout311、设置NAS（AAA客户端）端口形式（可选，缺省为新） Commentbywin7:NAS端口和NASID形式都属于华为公司内部扩展的属性，仅用于华为公司设备之间的互通和业务配合。以太网接入用户的物理端口：new（槽位号8位+子槽位号4+端口号8+vlanID12），old（槽位号12+端口号8+vlanID12）；adsl接入用户不受影响（槽位号4+子槽位号2+端口号2+VPI8+VCI16）[Huawei-radius-test]radius-servernas-port-format?newNewNAS-Portformat（新的）oldOldNAS-Portformat（旧的）12、设置NAS端口ID形式（可选867页）[Huawei-radius-test]radius-servernas-port-id-format?newNewNAS-Port-IdformatoldOldNAS-Port-Idformat13、设置NAS发送radius报文使用的NAS-IP-address属性（可选。默认使用指定的loopback接的IP地址）14、设置计费结束报文的重传功能和可重发的计费停止报文个数（可选。默认都为0）[Huawei-radius-template]radius-serveraccounting-stop-packetresend3#无法模拟15、设置与radius主用服务器恢复重新连接时间间隔（可选，默认为5分钟） Commentbywin7:有时候需要将设备与radius服务器的状态设为down，本命令设置后可以设置间隔多长时间自动与radius服务器重新建立连接[Huawei-radius-template]radius-serverdetect-serverinterval1016、测试用户能否通过radius认证[Huawei-radius-template]test-aaatest1123456radius-templatetest1?chapCHAPmethod#采用CHAP认证papPAPmethod#采用PAP认证<cr>四、业务方式配置和域的aaa方案配置同上四、HWTACACS方式认证、授权、计费配置与radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制，可以防止非法用户对网络攻击，还支持对命令行授权等配置流程：AAA方案——hwtacacs服务器模板——业务方案——域的AAA方案一、设置AAA认证方案同上可以增加的地方1、设置认证旁路时间（默认未使能，单位分钟） Commentbywin7:如果远端认证五响应则直接跳转到所配置的下一个认证方式，如果无下一个认证方式则按失败处理。[Huawei]aaa-authen-bypassenabletime2#未能模拟二、设置AAA授权方案同上可以增加的地方1、为指定级别的用户设置为按命令行授权（可选，默认都没设置） Commentbywin7:也就是通过command-privilegelevel将指定的命令行指定为对应的命令级别。[Huawei-aaa-author-testauthoriz]authorization-cmd3hwtacacs?localUselocalauthorizationmethod Commentbywin7:当hwtacacs授权失败时转为本地授权<cr>2、设置授权旁路时间[Huawei]aaa-authen-bypassenabletime23、设置命令行授权旁路时间[Huawei]aaa-authen-cmd-bypassenabletime2三、设置AAA计费方案同上四、hwtacacs服务器模板配置与radius服务器模板配置基本一样1、使能hwtacacs功能[Huawei]hwtacacsenable2、创建hwtacacs模板名[Huawei]hwtacacs-servertemplatetemplatehwtacacs以下同上3、设置hwtacacs主用授权服务器4、设置hwtacacs备用授权服务器5、设置hwtacacs主用计费服务器6、设置hwtacacs备用授权服务器7、设置设备向hwtacacs服务器发送hwtacacs报文的源IP地址8、设置客户端与hwtacacs服务器通信的共享密钥9、设置客户端向hwtacacs服务器发送的报文包含域名10、设置计费hwtacacs流量的单位11、设置hwtacacs服务器应答超时时间（可选，缺省5S） Commentbywin7:时间越长越提高认证授权计费的过程的可靠性[Huawei-hwtacacs-test]hwtacacs-servertimerresponse-timeout2012、设置主用服务器恢复激活状态的静默时间（缺省5min） Commentbywin7:如果主用服务器不可用则切换到备用服务器，到达设置的时间后尝试与主用服务器连接，知道成功[Huawei-hwtacacs-test]hwtacacs-servertimerquiet1013、设置允许停止重发计费报文及重发计费报文的个数14、设置可在设备上修改hwtacacs服务器上保持的用户密码（必须未过期）<Huawei>hwtacacs-userchange-passwordhwtacacs-servertest（模板名）