華為設備AAA和RADIUS協議配置

1、華為設備AAA和RADIUS協議配置、AAA概述AAA是Authentication,AuthorizationandAccounting（認證、授權和計費）的簡稱，它提供了一個用來對認證、授權和計費這三種安全功能進行配置的一致性框架,實際上是對網絡安全的一種管理。這里的網絡安全主要是指訪問控制,包括：l哪些用戶可以訪問網絡服務器；l具有訪問權的用戶可以得到哪些服務；l如何對正在使用網絡資源的用戶進行計費；針對以上問題，AAA必須提供下列服務：l認證：驗證用戶是否可獲得訪問權。l授權：授權用戶可使用哪些服務。l計費：記錄用戶使用網絡資源的情況。AAA一般采用客戶/服務器結構：客戶端運行于被管理

2、的資源側，服務器上集中存放用戶信息。因此，AAA框架具有良好的可擴展性，并且容易實現用戶信息的集中管理。RADIUS協議概述如前所述，AAA是一種管理框架，因此，它可以用多種協議來實現。在實踐中，人們最常使用RADIUS協議來實現AAA。1.什么是RADIUSRADIUS是RemoteAuthenticationDial-InUserService（遠程認證撥號用戶服務）的簡稱，它是一種分布式的、客戶機/服務器結構的信息交互協議，能保護網絡不受未授權訪問的干擾，常被應用在既要求較高安全性、又要求維持遠程用戶訪問的各種網絡環(huán)境中（例如，它常被應用來管理使用串口和調制解調器的大量分散撥號用戶）。R

3、ADIUS系統是NAS（NetworkAccessServer）系統的重要輔助部分。當RADIUS系統啟動后，如果用戶想要通過與NAS（PSTN環(huán)境下的撥號接入服務器或以太網環(huán)境下帶接入功能的以太網交換機）建立連接從而獲得訪問其它網絡的權利或取得使用某些網絡資源的權利時，NAS，也就是RADIUS客戶端將把用戶的認證、授權和計費請求傳遞給RADIUS服務器。RADIUS服務器上有一個用戶數據庫，其中包含了所有的用戶認證和網絡服務訪問信息。RADIUS服務器將在接收到NAS傳來的用戶請求后，通過對用戶數據庫的查找、更新，完成相應的認證、授權和計費工作，并把用戶所需的配置信息和計費統計數據返回給N

4、AS在這里，NAS起到了控制接入用戶及對應連接的作用，而RADIUS協議則規(guī)定了NAS與RADIUS服務器之間如何傳遞用戶配置信息和計費信息。NAS和RADIUS之間信息的交互是通過將信息承載在UDP報文中來完成的。在這個過程中，交互雙方將使用密鑰對報文進行加密，以保證用戶的配置信息（如密碼）被加密后才在網絡上傳遞，從而避免它們被偵聽、竊取。2.RADIUS操作RADIUS服務器對用戶的認證過程通常需要利用接入服務器等設備的代理認證功能，通常整個操作步驟如下：首先，客戶端向RADIUS服務器發(fā)送請求報文（該報文中包含用戶名和加密口令）；然后，客戶端會收到RADIUS服務器的響應報文，如ACCE

5、PT報文、REJECT報文等（其中，ACCEPT報文表明用戶通過認證；REJECT報文表明用戶沒有通過認證，需要用戶重新輸入用戶名和口令，否則訪問被拒絕）。AAA和RADIUS協議典型配置舉例組網需求如下圖所示的環(huán)境中，現需要通過對交換機的配置實現RADIUS服務器對登錄交換機的Telnet用戶的遠端認證。其中：由一臺RADIUS服務器（其擔當認證RADIUS服務器的職責）與交換機相連，服務器IP地址為10.110.91.164,設置交換機與認證RADIUS服務器交互報文時的加密密鑰為“expert”，設置交換機從用戶名中去除用戶域名后再將之傳給RADIUS服務器。2.配置步驟#添加Telne

6、t用戶。#配置Telnet用戶采用遠端認證方式，即scheme方式。Quidway-ui-vty0-4authentication-modescheme#配置domain。QuidwaydomaincamsQuidway-isp-camsquit#配置RADIUS方案。QuidwayradiusschemecamsQuidway-radius-camsprimaryauthentication10.110.91.1641812Quidway-radius-camskeyauthenticationexpertQuidway-radius-camsserver-typeHuaweiQuidway

7、-radius-camsuser-name-formatwithout-domain#配置domain和RADIUS的關聯。Quidway-radius-camsquitQuidwaydomaincamsQuidway-isp-camsschemeradius-schemeca二、華為設備配置用戶管理對于華為設備維護人員來說，用戶管理配置是相當基礎的，同時也是相當重要的。很多華為網絡技術初學者往往都是依葫蘆畫瓢進行設備配置操作，但是并不完全理解命令的意思。深入了解這些命令的意思，對于設備維護大有裨益，處理起故障也能夠得心應手。對于華為設備，無論是華為路由器還是華為交換機，用戶管理配置大致有兩種

8、模式：1、aaa視圖下配置用戶system-viewaaalocal-userusernamelevel3/配置用戶級別，level3具有最高權限，有部分設備有l(wèi)evel15的權限。local-userusernamepasswordcipherpassword/配置用戶名和密碼local-userusernameservice-typetelnetterminal/配置該用戶允許使用telnet或console口登陸設備。強調重點：如果local-user配置的用戶沒有配置terminal,那么該用戶將無法使用console進行登錄，一定要小心，否則設備就只能復位了。然后在user-inte

9、rface視圖下進行應用：user-interfacevty04authentication-modeaaa/配置使用aaa進行認證idle-timeout300/如果用戶30分鐘沒有操作，則將用戶斷開，避免用戶吊死。2、system系統視圖下配置用戶local-userusernamepasswordcipherpasswordservice-typesshtelnetterminal/意思和上面的是一樣的然后進行user-interface進行應用：user-interfacevty04authentication-modescheme/配置vty04使用默認的本地認證scheme為本地認證（另外一種是aaa遠程認證。）idle-ti