H3C交換機AAA安全訪問控制和管理

精心整理精心整理H3c交換機AAA安全訪問控制與管理H3c交換機AAA基礎(chǔ)AAA是Authentication］AuthorizationandAccounting）認證、授權(quán)和計費）的簡稱，是對網(wǎng)絡(luò)訪問控制的一種管理模式。它提供了一個對認證、授權(quán)和計費這三種功能進行統(tǒng)一配置的框架；“認證”確定哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器；“授權(quán)”確定具有訪問權(quán)限的用戶最終可以獲得哪些服務(wù)；“計費”確定如何對正在使用網(wǎng)絡(luò)資源的用戶進行計費。AAA簡介AAA一般采用C/S□客戶端/服務(wù)器）結(jié)構(gòu)：客戶端運行于被管理的資源側(cè)叫里指網(wǎng)絡(luò)設(shè)備，如接入交換機）,服務(wù)器上幾種存放用戶信息。因此，AAA框架具有良好的可擴展性，并且容易實現(xiàn)用戶信息的集中管理。AAA認證AAA0000DD00：不認證：對接入用戶信任，不進行合法性檢查。這是默認認證方式。本地認證：采用本地存儲的用戶信息對用戶進行認證。本地認證的優(yōu)點是速度快，可以降低運營成本；缺點是存儲信息量受設(shè)備硬件條件）如閃存大小）限制。DODD：在H3c以太網(wǎng)交換機中，遠程認證是指通過RADIUS服務(wù)器或HWTACAC）CiscoIOS交換機中采用的是TACACS+協(xié)議）服務(wù)器對接入用戶進行的認證。此時，H3C交換機作為RADIUS或者HWTACACS客戶端，與RADIUS服務(wù)器或TACACS服務(wù)器通信。DOD證的有點是便于集中管理］并且提供豐富的業(yè)務(wù)特性；缺點是必須提供專門的RADIUS或者HWTACACS服務(wù)器，并進行正確的服務(wù)器配置。AAA授權(quán)AAA支持以下授權(quán)方式：直接授權(quán)：對用戶信任］直接授權(quán)通過。本地授權(quán)：根據(jù)交換機上為本地用戶賬號配置的相關(guān)屬性進行授權(quán)。RADIUSDD成功后遠程授權(quán)：由RADIUS服務(wù)器對用戶進行遠程授權(quán)。要注意：RADIUS協(xié)議的認證和授權(quán)是綁定在一起的，不能單獨使用RADIUS服務(wù)器進行授權(quán)。HWTACACS遠程授權(quán)：由HWTACACS服務(wù)器對用戶進行遠程授權(quán)）HWTACACS服務(wù)器的授權(quán)是獨立于認證進行的）。

AAA計費AAA支持以下計費方式：不計費：不對用戶計費。本地計費：實現(xiàn)了本地用戶連接數(shù)的統(tǒng)計和限制，并沒有實際的費用統(tǒng)計功能。遠程計費：支持通過RADIUS服務(wù)器或HWTACACS服務(wù)器進行遠程計費。ISP域簡介ISP域即ISP用戶群，通常是把經(jīng)過同一個ISP接入的用戶劃分到同一個ISP域中。這主要是應(yīng)用于存在多個ISP的應(yīng)用環(huán)境中，因為同一個接入設(shè)備接入的有可能是不同ISP的用戶。如果只有一個ISP,則可以直接使用系統(tǒng)默認域system。在ISP域視圖下，可以為每個ISP域配置包括使用AAA策略在內(nèi)的一整套單獨的ISP域?qū)傩?。用戶的認證、授權(quán)、計費都是在用戶所屬的ISP域視圖下應(yīng)用預(yù)先配置的認證、口權(quán)、計費方案實現(xiàn)的。這個用戶所屬的ISP域，由其登錄時提供的用戶名決定：如果用戶登錄時輸入“userid@domain-name”形式的用戶名，則其所屬的ISP域為“domain-name”域。如果用戶登錄時輸入“userid”形式的用戶名，則其所屬的ISP域為接入設(shè)備上配置的默認域system。為便于對不同接入方式的用戶進行區(qū)分管理，AAA還可以將域用戶劃分為以下兩個類型：lan-access用戶口局域網(wǎng)訪問用戶口：通過LAN接入的用戶，如直接接入LAN中，然后通過IEEE802.1x認證、MAC地址認證的用戶。login用戶：通過遠程網(wǎng)絡(luò)登錄的用戶，如SSH、Telnet、FTP、終端接入用戶。HWTACACS簡介HWTACACSO華為終端訪問控制器訪問控制系統(tǒng)）是在TACACS協(xié)議基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，交換機設(shè)備也是用來擔當客戶端的，也是通過C/S模式與HWTACACS服務(wù)器通信來實現(xiàn)多種用戶的AAA功能，可用于PPP和VPDN接入用戶及終端用戶的認證、授權(quán)和計費。但是RADIUS服務(wù)器的認證和授權(quán)是捆綁在一起進行的，而TACACS和HWTACACS的認證好授權(quán)是獨立進行的。TACACS/HWTACACS主要用于遠程登錄用戶口非直接LAN訪問用戶口的訪問控制和計費，交換機作為TACACS/HWTACACS的客戶端，充當中間代理的作用，將請求認證的用戶的用戶名和密碼發(fā)送給TACACS/HWTACACS服務(wù)器進行驗證，驗證通過并得到授權(quán)之后，用戶才可以登錄到交換機上進行操作。H3C交換機配置AAA配置任務(wù)在H3c以太網(wǎng)交換機AAA在H3c以太網(wǎng)交換機AAA方案中，又可以區(qū)分ISP域是采用認證、授權(quán)、計費捆綁方式，則在配置則在配置ISP域的AAA方案時支持還是采用認證、授權(quán)、計費分離方式。如果采用捆方式，在同一個ISP域視圖下，針對不同的用戶接入方式配置不同的AAA方案；如果采用分離方式，則在配置ISP域的AAA方案時用戶可以分別指定認證、授權(quán)、計費方案。如果采用RADIUS、HWTACACS認證方案，需要提前完成RADIUS或HWTACACS相關(guān)配置。在作為AAA客戶端的接入設(shè)備叫H3c以太網(wǎng)交換機）上，AAA的基本配置思路如下：口1）配置AAA方案：根據(jù)需要配置本地或遠程認證方案。本地認證：需要配置本地用戶，即localuser的相關(guān)屬性，包括手動添加認證的用戶名和密碼等。遠程認證：需要配置RADIUS或HWTACACS方案，并在服務(wù)器上配置相應(yīng)的胡勇屬性?？?）配置實現(xiàn)AAA的方法：在用戶所屬的ISP域中分別指定實現(xiàn)認證、授權(quán)、計費的方法，都可以選擇none（不）口local（本地）和scheme（遠程）方法。H3C交換機本地用戶配置與管理當選擇使用本地（local）認證方法對用戶進行認證時，應(yīng)在交換機上創(chuàng)建本地用戶并配置相關(guān)屬性。所謂本地用戶，是指在本地交換機上設(shè)置的一組以用戶名為唯一標識的用戶。為使某個請求網(wǎng)絡(luò)服務(wù)的用戶可以通過本地認證，需要在設(shè)備上的本地用戶數(shù)據(jù)庫中添加相應(yīng)的表項。本地用戶屬性在H3c以太網(wǎng)交換機上課配置的本地用戶屬性包括：服務(wù)類型用戶接入設(shè)備時可使用的網(wǎng)絡(luò)服務(wù)類型。該屬性是本地認證的檢測項，如果沒有用戶可使用的服務(wù)類型，則該用戶無法接入設(shè)備。H3c以太網(wǎng)交換機可支持的服務(wù)類型包括：FTP、lan-access、PortalDWebODD口SSH、Telnet、Terminal。用戶狀態(tài)用戶指示是否允許該用戶請求網(wǎng)絡(luò)服務(wù)器，包括active□活躍）和block］阻塞）兩種狀態(tài)。active表示允許該用戶請求網(wǎng)絡(luò)服務(wù)，block表示禁止該用戶請求網(wǎng)絡(luò)服務(wù)。最大用戶數(shù)指使用當前用戶名接入設(shè)備的最大用戶數(shù)目。如果當前該用戶名的接入用戶數(shù)已達到最大值，則使用該用戶名的新用戶將被禁止接入。有效期指用戶賬戶的有效的戒指日期。用戶進行本地認證時，接入設(shè)備檢查當前系統(tǒng)時間是否在用戶的有效期內(nèi)，如果在有效期內(nèi)則允許該用戶登錄，否則拒絕。所屬的用戶組每一個本地用戶都屬于一個本地用戶組，并繼承口中的所有屬性D密碼管理屬性和用戶授權(quán)屬性D，相當于Window系統(tǒng)的工作組。密碼管理屬性指用戶密碼的安全屬性，可根據(jù)設(shè)置的密碼策略對認證秘密嗎進行管理和控制。可設(shè)置的密碼策略包括：密碼老化時間、密碼最小長度、密碼組合策略。本地用戶的密碼管理屬性在系統(tǒng)視圖（具有全局性D、用戶組視圖和本地用戶視圖下都可以配置，其生效的優(yōu)先級順序由高到低依次為本地用戶、用戶組、全局。全局配置對所有

本地用戶生效，用戶組的配置對組內(nèi)所有本地用戶生效。綁定屬性指定用戶認證時需要檢測的屬性，用于限制接入用戶的范圍。如果用戶的實際屬性與設(shè)置的綁定屬性不匹配，則不能通過認證?？山壎ǖ膶傩园ǎ篒SDN用戶的主叫號碼、用戶IP地址、用戶接入端口、用戶MAC地址、用戶所屬VLAN。用戶授權(quán)屬性本地用戶的授權(quán)屬性在用戶組和本地用戶視圖下都可以配置，且本地用戶試圖下的配置優(yōu)先級高于用戶組視圖下的配置。用戶組的配置對組內(nèi)所有本地用戶生效。本地用戶屬性配置表18-3本地用戶屬性配置步驟步驟命令說明1sysname-view例如：<Sysname>system-view進入系統(tǒng)視圖2local-userpassword-displaymode{auto|cipher-force}例如：[Sysname]local-userpassword-display-modeauto（可選）設(shè)置本地用戶密碼的顯示方式。二選一選項cipher-force表示強制cipher方式，即所有本地用戶的密碼顯示方式必須采用密文方式；auto為自動方式，即本地用戶的密碼顯示方式可以由用戶自己通過password000D0D3local-useruser-name例如：[Sysname]local-userwinda添加本地用戶，并進入本地用戶視圖4password{cipher|simple}password例如：[Sysname-luser-winda]passwordcipher123456（可選）設(shè)置本地用戶的密碼，命令中的參數(shù)和選項說明如下：simple：表示密碼為明文cipher：表示密碼為密文password］指定密碼5state{active|block}例如：[Sysname-luser-winda]stateactive（可選）設(shè)置本地用戶的狀態(tài)。active用來指定當前本地用戶處于活動狀態(tài)；block用來指定當前本地用戶處于“掛起”狀態(tài)，口系統(tǒng)不允許當前本地用戶請求網(wǎng)絡(luò)服務(wù)6access-limitmax-user-number例如：[Sysname-luser-winda]access-limit10口可口時置當前用戶名可容納的最大本地接入用戶數(shù)默認情況下，不限制當前本地用戶名可容納的接入用戶數(shù)。7service-type{ftp|lan-access|{ssh|telnet|terminal}*|portal}例如：[Sysname-luser-winda]servicetypeftplan-accessportal設(shè)置本地用戶可以使用的服務(wù)類型，對應(yīng)不同的用戶類型。■lan-access：可多選選項，指定用戶可以使用lan-access服務(wù)，主要指以太網(wǎng)接入用戶，比如802.1x00■terminal：可多選選項，指定00可以使0terminal服口時從Console0DAUX口登錄）8bind-attribute（可選）設(shè)置本地00的綁定屬性。當對本地00進行認證時，

{call-numbercall-number[:subcall-number]|ipip-address|locationportslot-nambersubslot-numberport-number|macmac-address|vlanvlan-id}如果配置了綁定屬性，則會檢查用戶的實際屬性與配置的綁定屬性是否一致川口不一致則認證失敗?！鰈ocation：設(shè)置用戶的端口綁定屬性。該綁定屬性僅適用于lan-access類型的用戶8authorization-attribute{aclacl-number|callbacknumbercallback-number|idlecutminute|levellevel|userprofileprofile-name|user-rolesecurity-audit|vlanvlan-id|work-directoryderectoryname}例如：[Sysname-luser-winda]authorization-attributelevel3vlan10（可選）設(shè)置本地用戶的授權(quán)屬性。levellevel：指定本地用戶的級別，取值范圍為0?3。其中0為訪問級，1位監(jiān)控級，2位系統(tǒng)級，3位管理級，數(shù)值越小，用戶的級別越低。vlanvlan-id]指定本地用戶的授權(quán)VLAN，取值范圍為1~4094。idle-cutminute：啟用本地用戶的閑置切斷功能，取值范圍為1~120,單位為分鐘。9expiration-datetime例如：[Sysname-luser-winda]date10:21:12-2018-7-22DODD設(shè)置本地用戶的有效期。有用戶臨時需要接入網(wǎng)絡(luò)時，可以建立來賓賬戶來管理用戶的臨時訪問，并通過該命令對用戶賬戶的有效期進行控制。H3c交換機RADIUS方案配置與管理AAA方案如果使用其中的主要配置包括指定各種其他一些必要的參數(shù)設(shè)置。RADIUSAAA方案如果使用其中的主要配置包括指定各種其他一些必要的參數(shù)設(shè)置。RADIUS服務(wù)器進行認證、授權(quán)和計費，則需要先配置RADIUS服務(wù)器的IP地址、RADIUS方案。UDP端口號和報文共享密鑰，以及創(chuàng)建RADIUS方案在進行RADIUS的其他配置之前，必須首先創(chuàng)建一個所需的RADIUS方案。只需再系統(tǒng)視圖下使用radiusschemeradius-scheme-name命令。一個RADIUS方案可以同時被多個ISP域引用。每個RADIUS方案至少須指明RADIUSD證/授權(quán)/計費服務(wù)器的IP地址、UDP端口號以及RADIUS客戶端與之交換所需的一些參數(shù)。以下示例是創(chuàng)建抬為radiusI的RADIUS方諫并進入其視圖：[5t^n：,Lrrt^[FK-djnilurhe-mrraditisl|豆竽iiN-r^idui^11

RADIUS認證/授權(quán)服務(wù)器用戶只要通過了認證即獲得了授權(quán)，因為RADIUS服務(wù)器中的認證和授權(quán)是捆綁進行的，用戶只要通過了認證即獲得了授權(quán)，所以RADIUS所以RADIUS的認證和授權(quán)服務(wù)器往往是在一臺RADIUS服務(wù)器上同時配置的。在這里可以配■ip-addresS]指定主■port-number■ip-addresS]指定主■port-number指定RADIUS認證/授權(quán)服務(wù)器的IPv4地址。65535■keystrin團指定主RADIUS認證/授權(quán)服務(wù)器與交換機通信的共享密鑰，為1~64置一臺主認證/授權(quán)服務(wù)器和多臺從認證/授權(quán)服務(wù)器。RADIUS主認證/授權(quán)服務(wù)器的配置命令是primaryauthentication{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}（在RADIUS方案下執(zhí)行）RADIUS認證/授權(quán)UDP端口號，默認為1812,取值范圍為個字符的字符串，區(qū)分大小寫。指定主RADIUS認證/授權(quán)服務(wù)器■vpn-instancevpn-instance-nam指定主RADIUS認證/授權(quán)服務(wù)器所屬的VPN實例名稱?！臼纠?]設(shè)置EtADlUS方案radius】的+認證/授權(quán)服芬器的TP地址為*使用UDP群口1612提供RADliUS認由授權(quán)服務(wù).。占A,nninaie||riidinswIikmeMtliLHJ|MkaowMwiiiu-wljUd11priiHiBryHulbHiCka4ionIU.10IIM2【示例2]設(shè)置RADIUS方案mdiusl的從認證;按根服外器的IP地址為KMCMZ使用UDP端I」1612提供HA口IU5認此『授杈麟外.：Sy^niiinifsyitEMh^ic*s|Sysnaine]radtutfthemel投Iin,I|Sysnume-njdiu^-nMjiifcI.]暮2月(1單ry”￡”r*：?小用]0J0.i.2IM2[示例3]設(shè)置RADIUS方案radius!的兩個從以iH授權(quán)服務(wù)器的【P地址分別為10.10.1』和10.10,1,2,均使用UDP端口1612捉供KAD1U5認曲授權(quán)服務(wù).r-需!ramt-nidiutvhemeTidin-l卜tTMwJflqHHlhfitlUMilIO.ID|.lIhK[S?a?-?iii^-radius2|wcDnrtlHr^!(?.!01.2IbHRADIUS計費服務(wù)器及相關(guān)參數(shù)配置表18-8RADIUS計費服務(wù)器及相關(guān)參數(shù)配置步驟步驟命令說明1sysname-view例如口<Sysname>system-view進入系統(tǒng)視圖2radiusschemeradius-scheme-nameODD[Sysname]radiusschemeradius1創(chuàng)建RADIUS方案，并進入RADIUS方案視圖3primaryauthentication{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}O如D[Sysname-radius-radius1]primary配置主RADIUS計費服務(wù)器，命令中的參數(shù)說明如下D■ip-addressD指定主RADIUS認證/授權(quán)服務(wù)器的IPv4地址?！鰌ort-number指定RADIUS認證/授權(quán)UDP端口號，默認為1812,取值范圍為1~65535■keystring]指定主RADIUSDD/授權(quán)服務(wù)器與accounting1613交換機通信的共享密鑰，為1~64個字符的字符串，區(qū)分大小寫?！鰒pn-instancevpn-instance-name可多選參數(shù)，指定主RADIUS認證/授權(quán)服務(wù)器所屬的VPN實例名稱。4secondaryaccounting{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}例如：[Sysname-radius-radius1]secondaryaccounting1613keyok配置從RADIUS計費服務(wù)器，參數(shù)與上面的主計費服務(wù)器配置命令的參數(shù)一樣。【示例1】設(shè)置RADIUS方案radial的1計域期務(wù)髀的IP地址為I(MOJI.使用UDP端I1613提供RADIUS計費服務(wù).|Si%rLirn<!|1rMlJin.iclHflneradium1qnaiM^mdkii^padisi||nrim!iiii門10.IO_Ltl6lA[示例2]設(shè)置RADIUS方案ndiufll的從計費外器的IP地址為IQ-(H2便用UDP端口M3提供RADIUS計