網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第五章 網(wǎng)絡(luò)設(shè)備全配置5.1

主講人：萬(wàn)鵬第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點(diǎn)到點(diǎn)的VPN、防火墻的主要配置方法?！局R(shí)目標(biāo)】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標(biāo)】?掌握和AAA的認(rèn)證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

5.1.1項(xiàng)目背景1.需求分析

某公司為了實(shí)現(xiàn)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行管理，在公司內(nèi)部架設(shè)一臺(tái)華為安全訪問(wèn)控制服務(wù)器。該服務(wù)器可以在用戶訪問(wèn)Internet時(shí)對(duì)用戶進(jìn)行認(rèn)證和授權(quán)，并控制員工訪問(wèn)Internet。目前，ARG3系列路由器只支持配置認(rèn)證和授權(quán)。圖5-1是AAA的應(yīng)用場(chǎng)景。5.1

路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.環(huán)境準(zhǔn)備(1)硬件環(huán)境見(jiàn)下表設(shè)備類(lèi)型設(shè)備型號(hào)設(shè)備數(shù)量備注路由器華為路由器設(shè)備1臺(tái)含電源線、配置線三層交換機(jī)S57001臺(tái)含電源線、配置線計(jì)算機(jī)雙核CPU、內(nèi)存4GB、硬盤(pán)80GB以上4臺(tái)巳安裝WindowsXPSP3雙絞線超5類(lèi)5條1條交叉線，4條直通線(2)軟件環(huán)境見(jiàn)下表軟件名稱(chēng)數(shù)量備注WindowsXPProSP2（中文版）1系統(tǒng)平臺(tái)VMwareWorkstation7.1.41虛擬機(jī)MicrosoftOffice2007(中文版)1文檔編輯WindowsServer2003R2(中文版)1服務(wù)器平臺(tái)CiscoSecureACS4.2forWindows1安全訪問(wèn)控制服務(wù)jre-6u2-Windows-i586或更高版本1Java運(yùn)行環(huán)境硬件環(huán)境一覽表軟件環(huán)境一覽表5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準(zhǔn)備

AAA是一種提供認(rèn)證、授權(quán)和計(jì)費(fèi)的安全技術(shù)。該技術(shù)可以用于驗(yàn)證用戶帳戶是否合法，授權(quán)用戶可以訪問(wèn)的服務(wù)，并記錄用戶使用網(wǎng)絡(luò)資源的情況。例如，企業(yè)總部需要對(duì)服務(wù)器的資源訪問(wèn)進(jìn)行控制，只有通過(guò)認(rèn)證的用戶才能訪問(wèn)特定的資源，并對(duì)用戶使用資源的情況進(jìn)行記錄。在這種場(chǎng)景下，可以按照如圖所示的方案進(jìn)行AAA部署，NAS為網(wǎng)絡(luò)接入服務(wù)器，負(fù)責(zé)集中收集和管理用戶的訪問(wèn)請(qǐng)求。

AAA服務(wù)器表示遠(yuǎn)端的Radius或HWTACACS服務(wù)器，負(fù)責(zé)制定認(rèn)證、授權(quán)和計(jì)費(fèi)方案。如果企業(yè)分支的員工希望訪問(wèn)總部的服務(wù)器，遠(yuǎn)端的Radius或HWTACACS服務(wù)器會(huì)要求員工發(fā)送正確的用戶名和密碼，之后會(huì)進(jìn)行驗(yàn)證，通過(guò)后則執(zhí)行相關(guān)的授權(quán)策略，接下來(lái)，該員工就可以訪問(wèn)特定的服務(wù)器了。如果還需要記錄員工訪問(wèn)網(wǎng)絡(luò)資源的行為，網(wǎng)絡(luò)管理員還可以在Radius或HWTACACS服務(wù)器上配置計(jì)費(fèi)方案。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程AAA的含義如下。①Athentication(認(rèn)證):對(duì)用戶的身份進(jìn)行驗(yàn)證，決定是否允許該用戶

訪問(wèn)網(wǎng)絡(luò)。②Authorization(授權(quán)):給不同的用戶分配不同的權(quán)限，限制每個(gè)用

戶可使用的網(wǎng)絡(luò)服務(wù)。③Accounting(審計(jì))：對(duì)用戶的行為進(jìn)行審計(jì)和計(jì)費(fèi)。認(rèn)證方法解釋與命令示例enable使用enable口令進(jìn)行身份驗(yàn)證aaaauthenticationloginnameenablelocal使用本地?cái)?shù)據(jù)庫(kù)進(jìn)行身份驗(yàn)證aaaauthenticationloginnamelocal定義本地?cái)?shù)據(jù)庫(kù)的命令為：UsernameusernamepasswordpasswordTACACS+使用TACACS+服務(wù)器進(jìn)行身份驗(yàn)證aaaauthenticationloginnamegrouptacacs+RADIUS使用RADIUS服務(wù)器進(jìn)行身份驗(yàn)證aaaauthenticationloginnamegroupradiusnone不進(jìn)行身份驗(yàn)證aaaauthenticationloginnamenone常見(jiàn)的認(rèn)證方法5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程ACS包含多種身份驗(yàn)證方法，可以確保在第一種方法失效時(shí)，設(shè)備可以使

用備用的身份驗(yàn)證系統(tǒng)，

例如：aaaauthenticationloginexamplegrouptacacs+groupradius5.1.2項(xiàng)目設(shè)計(jì)

客戶單位需要對(duì)用戶上網(wǎng)行為進(jìn)行安全訪問(wèn)控制，用戶連接Internet必須

經(jīng)過(guò)認(rèn)證、授權(quán)和審計(jì)過(guò)程進(jìn)行驗(yàn)證，且驗(yàn)證通過(guò)才能上網(wǎng)。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程1.認(rèn)證

認(rèn)證：驗(yàn)證用戶是否可以獲得網(wǎng)絡(luò)訪問(wèn)的權(quán)限。AAA支持的認(rèn)證方式有：不認(rèn)證、本地認(rèn)證、遠(yuǎn)端認(rèn)證。AAA支持三種認(rèn)證方式:

不認(rèn)證：完全信任用戶，不對(duì)用戶身份進(jìn)行合法性檢查。鑒于安全考慮，這種認(rèn)證方式很少被采用。

本地認(rèn)證：將本地用戶信息（包括用戶名、密碼和各種屬性）配置在NAS上。本地認(rèn)證的優(yōu)點(diǎn)是處理速度快、運(yùn)營(yíng)成本低；缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。

遠(yuǎn)端認(rèn)證：將用戶信息（包括用戶名、密碼和各種屬性）配置在認(rèn)證服務(wù)器上。AAA支持通過(guò)RADIUS協(xié)議或HWTACACS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證。NAS作為客戶端，與RADIUS服務(wù)器或HWTACACS服務(wù)器進(jìn)行通信。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

如果一個(gè)認(rèn)證方案采用多種認(rèn)證方式，這些認(rèn)證方式按配置順序生效。比如，先配置了遠(yuǎn)端認(rèn)證，隨后配置了本地認(rèn)證，那么在遠(yuǎn)端認(rèn)證服務(wù)器無(wú)響應(yīng)時(shí)，會(huì)轉(zhuǎn)入本地認(rèn)證方式。如果只在本地設(shè)備上配置了登錄賬號(hào)，沒(méi)有在遠(yuǎn)端服務(wù)器上配置，AR2200認(rèn)為賬號(hào)沒(méi)有通過(guò)遠(yuǎn)端認(rèn)證，不再進(jìn)行本地認(rèn)證，如圖所示5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（1）授權(quán)

授權(quán)：授權(quán)用戶可以訪問(wèn)或使用網(wǎng)絡(luò)上的哪些服務(wù)。

AAA支持的授權(quán)方式有：不授權(quán)，本地授權(quán)，遠(yuǎn)端授權(quán)。

AAA授權(quán)功能賦予用戶訪問(wèn)的特定網(wǎng)絡(luò)或設(shè)備的權(quán)限。AAA支持以下授權(quán)方式：

不授權(quán)：不對(duì)用戶進(jìn)行授權(quán)處理。

本地授權(quán)：根據(jù)NAS上配置的本地用戶賬號(hào)的相關(guān)屬性進(jìn)行授權(quán)。

遠(yuǎn)端授權(quán)：HWTACACS授權(quán)，使用TACACS服務(wù)器對(duì)用戶授權(quán)。RADIUS授權(quán)，對(duì)

通過(guò)RADIUS服務(wù)器認(rèn)證的用戶授權(quán)。RADIUS協(xié)議的認(rèn)證和授權(quán)是綁定在一起的，不能單獨(dú)使用RADIUS進(jìn)行授權(quán)。

5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

如果在一個(gè)授權(quán)方案中使用多種授權(quán)方式，這些授權(quán)方式按照配置順序生效。不授權(quán)方式最后生效，如圖所示5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程(2)計(jì)費(fèi)計(jì)費(fèi)：記錄用戶使用網(wǎng)絡(luò)資源的情況。計(jì)費(fèi)功能用于監(jiān)控授權(quán)用戶的網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源的使用情況。AAA支持以下兩種計(jì)費(fèi)方式：

不計(jì)費(fèi)：為用戶提供免費(fèi)上網(wǎng)服務(wù)，不產(chǎn)生相關(guān)活動(dòng)日志。

遠(yuǎn)端計(jì)費(fèi)：通過(guò)RADIUS服務(wù)器或HWTACACS服務(wù)器進(jìn)行遠(yuǎn)端計(jì)費(fèi)。RADIUS服務(wù)器或HWTACACS服務(wù)器具備充足的儲(chǔ)存空間，可以?xún)?chǔ)存各授權(quán)用戶的網(wǎng)絡(luò)訪問(wèn)活動(dòng)日志，支持計(jì)費(fèi)功能。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程本示例中(如圖所示)展示了用戶計(jì)費(fèi)日志中記錄的典型信息。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.AAA域

AAA可以通過(guò)域來(lái)對(duì)用戶進(jìn)行管理，不同的域可以關(guān)聯(lián)不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案。設(shè)備基于域來(lái)對(duì)用戶進(jìn)行管理，每個(gè)域都可以配置不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案，用于對(duì)該域下的用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。每個(gè)用戶都屬于某一個(gè)域。用戶屬于哪個(gè)域是由用戶名中的域名分隔符@后的字符串決定。例如，如果用戶名是user@huawei，則用戶屬于huawei域。如果用戶名后不帶有@，則用戶屬于系統(tǒng)缺省域default。ARG3系列路由設(shè)備支持兩種缺省域：default域?yàn)槠胀ㄓ脩舻娜笔∮?。default_admin域?yàn)楣芾碛脩舻娜笔∮?。用戶可以修改但不能刪除這兩個(gè)缺省域。默認(rèn)情況下，設(shè)備最多支持32個(gè)域，包括兩個(gè)缺省域，應(yīng)用場(chǎng)景如圖所示5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.1.3項(xiàng)目實(shí)施1.AAA配置：如圖拓?fù)鋄RTA]aaa[RTA-aaa]authentication-schemeauth1[RTA-aaa-authen-auth1]authentication-modelocal[RTA-aaa-authen-auth1]quit[RTA-aaa]local-userhuawei@huaweipasswordcipherhuawei123[RTA-aaa]local-userhuawei@huaweiservice-typetelnet[RTA-aaa]local-userhuawei@huaweiprivilegelevel15[RTA]user-interfacevty04[RTA-ui-vty0-4]authentication-modeaaa[RTA-aaa]domainhuawei[RTA-aaa-domain-huawei]authentication-schemeauth1[RTA-aaa-domain-huawei]authorization-schemeauth2[RTA-aaa-domain-huawei]quit5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

authentication-schemeauthentication-scheme-name命令用來(lái)配置域的認(rèn)證方案。缺省情況下，域使用名為“default”的認(rèn)證方案。

authentication-mode{hwtacacs|radius|local}命令用來(lái)配置認(rèn)證方式，local指定認(rèn)證模方式為本地認(rèn)證。缺省情況下，認(rèn)證方式為本地認(rèn)證。

authorization-schemeauthorization-scheme-name命令用來(lái)配置域的授權(quán)方案。缺省情況下，域下沒(méi)有綁定授權(quán)方案。

authorization-mode{[hwtacacs|if-authenticated|local]*[none]}命令用來(lái)配置當(dāng)前授權(quán)方案使用的授權(quán)方式。缺省情況下，授權(quán)模式為本地授權(quán)方式。

domaindomain-name命令用來(lái)創(chuàng)建域，并進(jìn)入AAA域視圖。

local-useruser-namepasswordcipherpassword命令用來(lái)創(chuàng)建本地用戶，并配置本地用戶的密碼。如果用戶名中帶域名分隔符，如@，則認(rèn)為@前面的部分是用戶名，后面部分是域名。如果沒(méi)有@，則整個(gè)字符串為用戶名，域?yàn)槟J(rèn)域。local-useruser-nameprivilegelevellevel命令用來(lái)指定本地用戶的優(yōu)先級(jí)。免責(zé)申明：設(shè)備支持通過(guò)Telnet協(xié)議和Stelnet協(xié)議登錄。使用Telnet、Stelnetv1協(xié)議存在安全風(fēng)險(xiǎn)，建議您使用STelnetv2登錄設(shè)備。5.1路由器AAA安全網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.配置驗(yàn)證[RTA]displaydomainnamehuaweiDomain-name:huaweiDomain-state:ActiveAuthentication-scheme-name:auth1Accounting-scheme-name:defaultAuthorization-scheme-name:auth2Service-scheme-name:-RA