zxr10產(chǎn)品操作維護(hù)培訓(xùn)2015年級(jí)r10a ch l3網(wǎng)絡(luò)安全管理平面

1、L3網(wǎng)絡(luò)安全 管理平面 內(nèi)容提要n管理平面安全概述管理平面安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTELNET連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全管理平面安全概述 n管理平面安全是指網(wǎng)絡(luò)管理人員以設(shè)備現(xiàn)有安全功能為基礎(chǔ)，結(jié)合其他軟硬件條件，在配置設(shè)備、管理網(wǎng)絡(luò)時(shí)應(yīng)做的安全方面的工作。n好的管理能將網(wǎng)絡(luò)時(shí)刻牢牢地掌控在你自己的手中，了解它的運(yùn)行狀況，第一時(shí)間發(fā)現(xiàn)告警，及時(shí)處理網(wǎng)絡(luò)故障，將損失降低到最小程度。管理平面安全概述（續(xù)）n網(wǎng)絡(luò)設(shè)備所支持的常見安全功能有：lRADIUS功能lTACACS+功能lSSH連接

2、功能lSNMP功能lCLI權(quán)限分級(jí)機(jī)制內(nèi)容提要n管理平面安全概述 n帶外管理帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTELNET連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全帶外管理n網(wǎng)絡(luò)管理分為帶內(nèi)管理和帶外管理。l帶內(nèi)管理（in-band management）即管理控制信息與數(shù)據(jù)信息使用統(tǒng)一物理通道即業(yè)務(wù)以太端口進(jìn)行傳送。帶內(nèi)管理的最大缺陷在于：當(dāng)網(wǎng)絡(luò)出現(xiàn)故障中斷時(shí)數(shù)據(jù)傳輸和管理都無法正常進(jìn)行。l帶外管理（out-of-band management）即通過不同的物理通道傳送管理控制信息和數(shù)據(jù)信息，兩者完全獨(dú)立，互不影響。帶

3、外管理（續(xù)）n帶外管理能夠使用戶減少運(yùn)營(yíng)成本、提高運(yùn)營(yíng)效率、減少宕機(jī)時(shí)間、提高服務(wù)質(zhì)量。n在中興的ZXR10設(shè)備上，高端交換機(jī)的帶外網(wǎng)管接口在設(shè)備的控制交換板上，是一個(gè)RJ45型的10/100Base-TX以太網(wǎng)口；在高端路由器中，帶外網(wǎng)管接口分布在BIC板上，是一個(gè)RJ45型的10/100M以太網(wǎng)接口。內(nèi)容提要n管理平面安全概述 n帶外管理n密碼加密密碼加密n關(guān)閉不用的服務(wù)nTELNET連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全密碼加密n要登陸設(shè)備必須有用戶名和密碼。入侵者獲得設(shè)備管理權(quán)限的途徑之一就是設(shè)法獲取設(shè)備的密碼

4、。如果不使用密碼加密技術(shù)，則設(shè)備的密碼是明文的，很容易被獲取到。 n如果要將用戶密碼加密，請(qǐng)?jiān)谌峙渲孟屡渲靡韵旅睿?ZXR10# service password-encryption n該命令在配置后所有用戶密碼以加密方式顯示，如下 。ZXR10(config)#service password-encryptionZXR10(config)#username who password who ZXR10(config)#show username Username Password Privilegewho 67dbc831b72f2cc1bde 1內(nèi)容提要n管理平面安全概述 n帶外管

5、理n密碼加密n關(guān)閉不用的服務(wù)關(guān)閉不用的服務(wù)nTELNET連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全關(guān)閉不用的服務(wù)n在我們熟悉的Windows系統(tǒng)中，我們常常通過關(guān)閉一些不用的服務(wù)來提高計(jì)算機(jī)的性能。同樣地，在網(wǎng)絡(luò)設(shè)備中我們也可以通過關(guān)閉不用的服務(wù)來節(jié)省設(shè)備資源，更重要的是提升了設(shè)備的安全性。n1、關(guān)閉DNS域名解析功能：lZXR10# no ip domain lookup n2、取消發(fā)送ICMP不可達(dá)報(bào)文：lZXR10(config-if)# no ip unreachable 內(nèi)容提要n管理平面安全概述 n帶外管理n密

6、碼加密n關(guān)閉不用的服務(wù)nTelnet連接限制連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全TELNET連接限制n限制TELNET的連接一方面是出于安全考慮，即不讓超出管理員允許范圍的人員登陸設(shè)備；另一方面是避免TELNET的操作占用過多的系統(tǒng)資源。n限制TELNET連接要與ACL（Access List訪問控制列表）結(jié)合在一起使用。TELNET連接限制配置實(shí)例 組網(wǎng)n在這個(gè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員只允許自己的IP地址能夠TELNET路由器R2，不允許其他任何地址TELNET設(shè)備R2。TELNET連接限制配置實(shí)例

7、配置nR2上的配置如下：R2(config)#interface gei_0/1R2(config-if)#ip address 52R2(config-if)#exitR2(config)#interface gei_0/2R2(config-if)#ip address R2(config-if)#exitR2(config)# acl standard number 1R2(config-ext-acl)#permit permit R2(config-

8、ext-acl)#exitR2(config)#line telnet access-class 1R2(config)#ip route 內(nèi)容提要n管理平面安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTelnet連接限制n斷開空閑的管理連接斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全斷開空閑的管理連接 n和限制TELNET連接相似，斷開空閑的管理連接也是為了網(wǎng)絡(luò)的安全和可維護(hù)性。 如果一個(gè)TELNET會(huì)話沒有設(shè)置它的閑置時(shí)間（idle-timeout）限

9、制的話，可能會(huì)造成下面的不利后果：lTELNET一直占用設(shè)備的TCP連接資源，當(dāng)設(shè)備的TCP連接資源滿了后，就無法TELNET上這個(gè)設(shè)備。l如果網(wǎng)管沒有關(guān)閉TELNET會(huì)話和相應(yīng)的窗口，如果他離開終端，可能會(huì)被某些人短時(shí)間占有管理員權(quán)限。他可以查看設(shè)備配置內(nèi)容，修改設(shè)備配置，甚至悄悄為自己創(chuàng)建一個(gè)管理員賬戶。斷開空閑的管理連接配置n配置TELNET終端的閑置時(shí)間后，可以在終端沒有任何鍵盤輸入的一段時(shí)間之后自動(dòng)關(guān)閉TELNET終端會(huì)話，斷開TCP連接，釋放資源。n配置TELNET終端的閑置時(shí)間，在全局配置下配置：lZXR10# line telnet idle-timeout 內(nèi)容提要n管理平面

10、安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTelnet連接限制n斷開空閑的管理連接n通過通過SSH連接配置設(shè)備連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全通過SSH連接配置設(shè)備 n由于TELNET用明文傳送口令和數(shù)據(jù)，網(wǎng)絡(luò)上一些黑客很容易就可以使用抓包分析工具嗅探和截獲網(wǎng)絡(luò)中的口令和數(shù)據(jù)。n和TELNET一樣，F(xiàn)TP、POP等網(wǎng)絡(luò)服務(wù)也是明文傳送口令和數(shù)據(jù)的。為了防止被嗅探和截獲，SSH應(yīng)運(yùn)而生了。SSH的英文全稱是Secure Shell。nSSH優(yōu)點(diǎn)：l能將所有傳輸?shù)臄?shù)據(jù)加密l傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸速度SSH的兩種安全驗(yàn)證級(jí)別nSSH是

11、由客戶端和服務(wù)端的軟件組成的，有兩個(gè)不兼容的版本，分別是：1.x和2.x。nOpenSSH是SSH的免費(fèi)替代軟件，OpenSSH 2.x同時(shí)支持SSH 1.x和2.x。n從客戶端來看，SSH提供兩種級(jí)別的安全驗(yàn)證：l第一種級(jí)別：基于口令的安全驗(yàn)證，只要你知道自己賬戶和口令，就可以登錄到遠(yuǎn)程主機(jī) l第二種級(jí)別：基于密鑰的安全驗(yàn)證，用戶需要為自己創(chuàng)建一對(duì)密鑰 運(yùn)行SSH實(shí)例 ZXR10設(shè)備上的配置n運(yùn)行SSH分為服務(wù)器和客戶端兩部分，ZXR10設(shè)備作為SSH的服務(wù)器，主機(jī)通過運(yùn)行SSH客戶端來登錄交換機(jī)，具體步驟如下： l1、在ZXR10設(shè)備上的全局配置模式下使用ssh server enable

12、命令啟動(dòng)SSH服務(wù)器功能。缺省配置下SSH服務(wù)器功能是關(guān)閉的。 l2、將主機(jī)網(wǎng)口連接到ZXR10設(shè)備的以太網(wǎng)端口，通過配置使主機(jī)能夠ping通設(shè)備的IP地址。運(yùn)行SSH實(shí)例 主機(jī)上的配置n3、在主機(jī)上運(yùn)行SSH客戶端軟件（以下以常用軟件putty為例） l設(shè)置SSH服務(wù)器的IP地址和端口號(hào)：運(yùn)行SSH實(shí)例 主機(jī)上的配置（續(xù)）n設(shè)置SSH的版本號(hào)：4、點(diǎn)擊按鈕登錄網(wǎng)絡(luò)設(shè)備，根據(jù)提示輸入正確的用戶名和密碼即可。內(nèi)容提要n管理平面安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTelnet連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí)權(quán)限分級(jí) nRADIUSnTACACSnS

13、NMP安全什么是CLI權(quán)限分級(jí)？nCLI是 Command Line Interface 的縮寫，它實(shí)現(xiàn)了針對(duì)不同的登錄用戶，綁定不同的權(quán)限級(jí)別，級(jí)別越低，可用的命令越少；級(jí)別越高，可用的命令越多的功能。n設(shè)備啟動(dòng)后，每個(gè)命令節(jié)點(diǎn)都有一個(gè)缺省的權(quán)限等級(jí)，管理員可以修改命令節(jié)點(diǎn)的權(quán)限等級(jí)。 n管理員可以設(shè)置每個(gè)登錄用戶的權(quán)限級(jí)別，命令顯示和執(zhí)行的條件是：當(dāng)用戶的權(quán)限級(jí)別大于等于命令的權(quán)限級(jí)別時(shí)，在用戶終端上就可以顯示并執(zhí)行該命令。默認(rèn)管理員（權(quán)限級(jí)別15）可以使用全部的命令，其他權(quán)限級(jí)別只能使用少數(shù)維護(hù)命令。 CLI權(quán)限分級(jí)配置流程圖 配置CLI權(quán)限分級(jí) 配置TELNET登錄用戶 n出于安全性考

14、慮，該功能只能由管理員（最高權(quán)限15）配置，也就是說，其他等級(jí)用戶登錄后不能修改自己的登錄密碼和權(quán)限級(jí)別，只能由管理員統(tǒng)一定義和修改。 ZXR10(config)# username password privilege n可以使用命令no username 刪除用戶 配置TELNET登錄用戶 操作實(shí)例n下面進(jìn)行一些實(shí)際操作，用來說明不同級(jí)別用戶登錄設(shè)備的不同之處。1、設(shè)置用戶test的權(quán)限級(jí)別為12：ZXR10(config)#username test password test privilege 12 Username:testPassword:ZXR10# /*直接進(jìn)入提示符“#”*

15、/ 2、使用該用戶TELNET交換機(jī)：配置TELNET登錄用戶 操作實(shí)例（續(xù)）3、再將用戶test的權(quán)限級(jí)別改為1 ：ZXR10(config)#username test password test privilege 14、使用該用戶TELNET交換機(jī)：Username:testPassword:ZXR10 /*直接進(jìn)入提示符“ ”*/ 配置TELNET登錄用戶 操作實(shí)例（續(xù)）n如果用戶權(quán)限級(jí)別為215，登錄設(shè)備直接進(jìn)入提示符“#”；如果用戶權(quán)限級(jí)別為1，則進(jìn)入提示符“”，需要使用命令enable進(jìn)入更高的級(jí)別：Username:testPassword:ZXR10#enable 12 /

16、*如果enable后面沒有參數(shù)12，默認(rèn)進(jìn)入權(quán)限級(jí)別15*/Password:ZXR10# 配置CLI權(quán)限分級(jí) 配置權(quán)限級(jí)別的enable密碼n此功能可以為每個(gè)權(quán)限級(jí)別配置enable密碼，在將用戶終端的權(quán)限級(jí)別由低轉(zhuǎn)入高時(shí)，需要使用enable密碼。n配置各權(quán)限級(jí)別的enable密碼 ： ZXR10(config)# enable secret level n使用命令no enable secret level 刪除enable密碼。 配置權(quán)限級(jí)別的enable密碼實(shí)例n下面進(jìn)行一些操作，用來說明什么情況下需要使用enable密碼。1、配置用戶test的權(quán)限級(jí)別為1： ZXR10(confi

17、g)# username test password test privilege 12、配置權(quán)限級(jí)別12的enable密碼： ZXR10(config)# enable secret level 12 zte 3、使用用戶test登錄交換機(jī)，并改變當(dāng)前操作終端的權(quán)限級(jí)別為12時(shí)，系統(tǒng)提示必須輸入權(quán)限級(jí)別12的enable密碼：Username:testPassword:ZXR10enable 12Password:ZXR10# 配置CLI權(quán)限分級(jí) 配置命令的權(quán)限級(jí)別 n通過配置命令的權(quán)限級(jí)別，控制用戶可使用的命令范圍。當(dāng)用戶的權(quán)限級(jí)別大于等于命令的權(quán)限級(jí)別時(shí)，在用戶終端上就可以顯示并執(zhí)行該命

18、令。默認(rèn)情況下，管理員（權(quán)限級(jí)別15）可以使用全部的命令，其他權(quán)限級(jí)別只能使用少數(shù)維護(hù)命令。n配置命令節(jié)點(diǎn)的權(quán)限級(jí)別：lZXR10(config)# privilege all level | level 配置命令的權(quán)限級(jí)別配置舉例n要求：將所有以show interface打頭的命令的權(quán)限級(jí)別統(tǒng)一修改為12。1、在權(quán)限級(jí)別12的終端下查看show命令：ZXR10#show ? privilege Show current privilege level 可以看到，默認(rèn)情況權(quán)限級(jí)別12下只有show privilege命令。 2、進(jìn)入權(quán)限級(jí)別15：ZXR10#enable /*如果enable

19、命令后面無參數(shù)，默認(rèn)進(jìn)入權(quán)限級(jí)別15*/Password:ZXR10# 3、在權(quán)限級(jí)別15下，將所有以show interface打頭的命令的權(quán)限級(jí)別統(tǒng)一修改為12 ：ZXR10#conf tZXR10(config)#privilege show all level 12 show interface 配置命令的權(quán)限級(jí)別配置舉例（續(xù)）4、返回權(quán)限級(jí)別12：ZXR10#enable 12 /*由高權(quán)限級(jí)別進(jìn)入低權(quán)限級(jí)別時(shí)，不需要輸入低權(quán)限級(jí)別的密碼*/ZXR10# 5、再次在權(quán)限級(jí)別12的終端下查看show命令 ：ZXR10#show ? interface Show interface pr

20、operty and statistics privilege Show current privilege level 可以看到，現(xiàn)在權(quán)限級(jí)別12下增加了show interface命令，可以用這個(gè)命令查看接口信息了：ZXR10#show interface gei_1/2gei_1/2 is up, line protocol is up Description is none The port is electric Duplex full Mdi type:auto VLAN mode is hybrid, pvid 1 MTU 1500 bytes BW 1000000 Kbits

21、Last clearing of show interface counters never 120 seconds input rate: 0 Bps, 0 pps120 seconds output rate: 5 Bps, 0 pps-以下省略- CLI權(quán)限分級(jí)的維護(hù)與診斷 n顯示當(dāng)前模式下命令節(jié)點(diǎn)的權(quán)限級(jí)別：ZXR10# show privilege cur-mode detail | level | node n顯示show模式下命令節(jié)點(diǎn)的權(quán)限級(jí)別：ZXR10# show privilege show-mode detail | level | node CLI權(quán)限分級(jí)配置實(shí)例 n現(xiàn)

22、有用戶test，分配給他的權(quán)限級(jí)別為10，希望允許其在交換機(jī)上執(zhí)行show run命令。n1、使用管理員權(quán)限（級(jí)別15）配置交換機(jī)：ZXR10(config)# username test password test privilege 10ZXR10(config)# enable secret level 10 test123ZXR10(config)# privilege show all level 10 show run n2、在交換機(jī)上查看配置結(jié)果： ZXR10(config)#exitZXR10#enable 10ZXR10#show runBuilding configurat

23、ion.!urpf log off!-以下省略- 內(nèi)容提要n管理平面安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTelnet連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全RADIUS概述 nRADIUS（Remote Authentication Dial In User Service）是一種標(biāo)準(zhǔn)的AAA協(xié)議，AAA是指授權(quán)（Authorization）、認(rèn)證（Authentication）和計(jì)費(fèi)（Accounting）。 n對(duì)路由交換機(jī)來說，AAA能對(duì)訪問路由交換機(jī)的用戶進(jìn)行認(rèn)證，防止非法用戶的進(jìn)入，從而提高設(shè)備的安全

24、性，同時(shí)像DOT1X一樣的業(yè)務(wù)也可能需要用到RADIUS服務(wù)器進(jìn)行認(rèn)證和計(jì)費(fèi)。nRADIUS協(xié)議采用Client / Server結(jié)構(gòu)，采用UDP作為承載傳輸協(xié)議。 配置RADIUSn1、配置RADIUS計(jì)費(fèi)組：ZXR10(config)# radius accounting-group n2、配置RADIUS認(rèn)證組：ZXR10(config)# radius authentication-group 配置RADIUS（續(xù)）n3、配置RADIUS參數(shù)：命令功能ZXR10(config-acctgrp-1)# timeout 設(shè)置RADIUS服務(wù)器超時(shí)重發(fā)參數(shù)ZXR10(config-acctg

25、rp-1)# algorithm first | round-robin設(shè)置RADIUS服務(wù)器的選擇算法ZXR10(config-acctgrp-1)# alias 配置RADIUS服務(wù)器組的別名ZXR10(config-acctgrp-1)# calling-station-format 配置calling-station-id字段格式定義ZXR10(config-acctgrp-1)# deadtime 設(shè)置認(rèn)證服務(wù)器的無效時(shí)間ZXR10(config-acctgrp-1)# local-buffer enable | disable配置計(jì)費(fèi)服務(wù)器的本地緩存ZXR10(config-acc

26、tgrp-1)# max-retries 設(shè)置RADIUS服務(wù)器超時(shí)重發(fā)參數(shù)ZXR10(config-acctgrp-1)# nas-ip-address 設(shè)置RADIUS服務(wù)器的NAS-IP，對(duì)應(yīng)協(xié)議包的NAS-IP字段和協(xié)議包的源IP地址ZXR10(config-acctgrp-1)# server key port 設(shè)置RADIUS服務(wù)器及其參數(shù)ZXR10(config-acctgrp-1)# user-name-format include-domain | strip-domain配置BRAS向RADIUS Server發(fā)送的用戶名字段的格式ZXR10(config-acctgrp-

27、1)# vendor enable | disable配置發(fā)送的RADIUS協(xié)議包中是否需要廠商自定義屬性RADIUS的維護(hù)和查看信息 n顯示RADIUS調(diào)試信息：lZXR10# debug radius all n顯示統(tǒng)計(jì)信息：lZXR10# show counter radius all n顯示本地緩存的計(jì)費(fèi)包內(nèi)容：lZXR10# show accounting local-buffer all n清除本地緩存的計(jì)費(fèi)包內(nèi)容：lZXR10# clear accounting local-buffer all RADIUS配置實(shí)例 組網(wǎng)n在ZXR10設(shè)備上設(shè)置RADIUS認(rèn)證，用戶要TELNE

28、T到設(shè)備，需要通過認(rèn)證才能登錄。 RADIUS配置實(shí)例 RADIUS服務(wù)器配置 n下面以RADIUS服務(wù)器軟件WinRADIUS為例說明RADIUS服務(wù)器的設(shè)置。 l1、打開WinRADIUS.exe，打開菜單添加帳號(hào)，新增一個(gè)賬戶，用戶名為zte，密碼為zte，點(diǎn)擊返回。RADIUS配置實(shí)例 RADIUS服務(wù)器配置（續(xù)）n2、打開菜單系統(tǒng)設(shè)置，設(shè)置NAS密鑰為ZTEGER，認(rèn)證端口1812，點(diǎn)擊返回。RADIUS配置實(shí)例 網(wǎng)絡(luò)設(shè)備配置n1、配置RADIUS服務(wù)器：ZXR10(config)#radius authentication-group 1ZXR10(config-authgrp-1

29、)#server 1 5 key ZTEGER port 1812ZXR10(config-authgrp-1)#server 2 6 key ZTEGER port 1812 n2、配置RADIUS服務(wù)器參數(shù)：ZXR10(config-authgrp-1)#timeout 30ZXR10(config-authgrp-1)#max-retries 6 n3、更改TELNET用戶的認(rèn)證方式：ZXR10(config)#user-authentication-type radius 1 內(nèi)容提要n管理平面安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)n

30、Telnet連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全TACACS概述 n終端訪問控制器訪問控制系統(tǒng)（TACACS+）通過一個(gè)或多個(gè)中心服務(wù)器為路由器、網(wǎng)絡(luò)訪問服務(wù)器以及其它網(wǎng)絡(luò)處理設(shè)備提供了訪問控制服務(wù)。n與RADIUS不同，TACACS+支持獨(dú)立的認(rèn)證（authentication）、授權(quán)（authorization）和計(jì)費(fèi)（accounting）功能。TACACS+應(yīng)用傳輸控制協(xié)議（TCP），而RADIUS使用用戶數(shù)據(jù)報(bào)協(xié)議（UDP）。 nTACACS+由TACACS和XTACACS發(fā)展而來，是TACACS的最新版本

31、，與前兩個(gè)版本不兼容。TACACS+改進(jìn)了TACACS和XTACACS，將認(rèn)證（authentication）、授權(quán)（authorization）和計(jì)費(fèi)（accounting）相分離，并且將NAS和安全服務(wù)器之間的數(shù)據(jù)傳輸加密。 配置TACACS n1、使能/關(guān)閉TACACS協(xié)議：ZXR10(config)# tacacs enable | disable n2、TACACS服務(wù)器參數(shù)配置：命令功能ZXR10(config)#tacacs-server host key port timeout 設(shè)置單個(gè)TACACS服務(wù)器ZXR10(config)# tacacs-server key 設(shè)置N

32、AS和服務(wù)器交換報(bào)文使用的加密密鑰，長(zhǎng)度163個(gè)字符（不能包括空格），服務(wù)器中定義的密鑰必須和此相同 ZXR10(config)# tacacs-server timeout 設(shè)置TACACS+服務(wù)器連接超時(shí)時(shí)長(zhǎng)，單位為秒，范圍11000，缺省為5秒 ZXR10(config)# tacacs-server packet 配置TACACS+報(bào)文長(zhǎng)度，默認(rèn)1024，范圍10244096 配置TACACS（續(xù)）n3、配置TACACS客戶端地址，端口號(hào)范圍102565535 ：ZXR10(config)# tacacs-client port n4、配置AAA服務(wù)器組。l進(jìn)入TACACS服務(wù)器組配置

33、模式 ：ZXR10(config)# aaa group-server tacacs+ l配置TACACS服務(wù)器組成員 ZXR10(config-sg)# server port 配置TACACS（續(xù)）n5、配置用戶認(rèn)證 。l全局配置用戶認(rèn)證方式 ：ZXR10(config)#user-authentication-type local | radius| tacacs+ l定義AAA認(rèn)證方法列表 ：ZXR10(config)# aaa authentication login | enable default local | group | none 配置TACACS（續(xù)）n6、配置用戶授權(quán)

34、l制定用戶授權(quán)方式：ZXR10(config)# user-authorization-type local | tacacs+ l定義AAA授權(quán)方法列表 ZXR10(config)# aaa authorization exec default local | group | if-authenticated | none 配置TACACS（續(xù)）n7、配置用戶記賬 ZXR10(config)# aaa accounting commands default none | stop-only group TACACS配置實(shí)例 配置任務(wù)n配置用戶登錄認(rèn)證方法為TACACS組認(rèn)證；nenable認(rèn)

35、證方法為先本地認(rèn)證，如果認(rèn)證不通過，進(jìn)行TACACS組認(rèn)證；n授權(quán)方法也為先本地認(rèn)證，如果本地認(rèn)證不通過，進(jìn)行TACACS組認(rèn)證；并對(duì)10級(jí)用戶進(jìn)行記賬。TACACS配置實(shí)例 配置n配置如下：ZXR10#configure terminalEnter configuration commands, one per line. End with CTRL/Z.ZXR10(config)#tacacs enableZXR10(config)#tacacs-server host key zteZXR10(config)#aaa group-server tacacs+ zt

36、eZXR10(config-sg)#server ZXR10(config-sg)#exitZXR10(config)#user-authentication-type tacacs+ZXR10(config)#aaa authentication login default group zteZXR10(config)#aaa authentication enable default local group zteZXR10(config)#user-authorization-type tacacs+ZXR10(config)#aaa authorization e

37、xec default local group zteZXR10(config)#aaa accounting commands 10 default stop-only group zte 內(nèi)容提要n管理平面安全概述 n帶外管理n密碼加密n關(guān)閉不用的服務(wù)nTelnet連接限制n斷開空閑的管理連接n通過SSH連接配置設(shè)備 nCLI權(quán)限分級(jí) nRADIUSnTACACSnSNMP安全安全SNMP概述n簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP：Simple Network Management Protocol）是由互聯(lián)網(wǎng)工程任務(wù)組（IETF：Internet Engineering Task Force）定義

38、的一套網(wǎng)絡(luò)管理協(xié)議。利用SNMP，一個(gè)管理工作站可以遠(yuǎn)程管理所有支持這種協(xié)議的網(wǎng)絡(luò)設(shè)備，包括監(jiān)視網(wǎng)絡(luò)狀態(tài)、修改網(wǎng)絡(luò)設(shè)備配置、接收網(wǎng)絡(luò)事件警告等。nSNMP協(xié)議是基于服務(wù)器和客戶端的管理模式，后臺(tái)網(wǎng)管服務(wù)器作為SNMP服務(wù)器，前臺(tái)網(wǎng)絡(luò)設(shè)備作為SNMP客戶端。 SNMP概述（續(xù)）nSNMP管理的網(wǎng)絡(luò)有三個(gè)主要組成部分：l管理的設(shè)備：是一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)lSNMP代理：被管理設(shè)備上的一個(gè)網(wǎng)絡(luò)管理軟件模塊 l網(wǎng)絡(luò)管理系統(tǒng)：即NMS，運(yùn)行應(yīng)用程序以實(shí)現(xiàn)監(jiān)控被管理設(shè)備 n目前，SNMP有3種：SNMPv1、SNMPv2、SNMPv3。 配置SNMP n1、設(shè)置SNMP報(bào)文共同體（Community Name）：

39、ZXR10(config)# snmp-server community view ro | rw 參數(shù)是一個(gè)任意的字符串（132），需要同網(wǎng)絡(luò)服務(wù)器驗(yàn)證該共同體名，如果匹配了才會(huì)處理該SNMP報(bào)文 配置SNMP（續(xù)）n2、定義SNMPv2視圖：ZXR10(config)# snmp-server view included | excluded n3、設(shè)置MIB對(duì)象的系統(tǒng)負(fù)責(zé)人聯(lián)系方式（sysContact） ZXR10(config)# snmp-server contact n4、設(shè)置MIB對(duì)象的所在位置（sysLocation）：ZXR10(config)# snmp-server l

40、ocation 配置SNMP（續(xù)）n5、設(shè)置允許發(fā)送的TRAP的類型：ZXR10(config)#snmp-server enable trap n6、設(shè)置TRAP目的主機(jī) ZXR10(config)# snmp-server host inform | trap version 1 | 2c | 3 | mng | vrf n7、使用ACL控制SNMP協(xié)議訪問系統(tǒng)的主機(jī)地址 ：ZXR10(config)#snmp-server access-list 配置SNMP（續(xù)）n8、配置SNMPv3 context名稱：ZXR10(config)#snmp-server context n9、配置SNMPv3的組：ZXR10(config)#snmp-server group v3 auth | noauth | pri