H3C交换机AAA安全访问控制和管理

精心整理精心整理H3c交换机AAA安全访问控制与管理H3c交换机AAA基础AAA是Authentication］AuthorizationandAccounting）认证、授权和计费）的简称，是对网络访问控制的一种管理模式。它提供了一个对认证、授权和计费这三种功能进行统一配置的框架；“认证”确定哪些用户可以访问网络服务器；“授权”确定具有访问权限的用户最终可以获得哪些服务；“计费”确定如何对正在使用网络资源的用户进行计费。AAA简介AAA一般采用C/S□客户端/服务器）结构：客户端运行于被管理的资源侧叫里指网络设备，如接入交换机）,服务器上几种存放用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。AAA认证AAA0000DD00：不认证：对接入用户信任，不进行合法性检查。这是默认认证方式。本地认证：采用本地存储的用户信息对用户进行认证。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件）如闪存大小）限制。DODD：在H3c以太网交换机中，远程认证是指通过RADIUS服务器或HWTACAC）CiscoIOS交换机中采用的是TACACS+协议）服务器对接入用户进行的认证。此时，H3C交换机作为RADIUS或者HWTACACS客户端，与RADIUS服务器或TACACS服务器通信。DOD证的有点是便于集中管理］并且提供丰富的业务特性；缺点是必须提供专门的RADIUS或者HWTACACS服务器，并进行正确的服务器配置。AAA授权AAA支持以下授权方式：直接授权：对用户信任］直接授权通过。本地授权：根据交换机上为本地用户账号配置的相关属性进行授权。RADIUSDD成功后远程授权：由RADIUS服务器对用户进行远程授权。要注意：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS服务器进行授权。HWTACACS远程授权：由HWTACACS服务器对用户进行远程授权）HWTACACS服务器的授权是独立于认证进行的）。

AAA计费AAA支持以下计费方式：不计费：不对用户计费。本地计费：实现了本地用户连接数的统计和限制，并没有实际的费用统计功能。远程计费：支持通过RADIUS服务器或HWTACACS服务器进行远程计费。ISP域简介ISP域即ISP用户群，通常是把经过同一个ISP接入的用户划分到同一个ISP域中。这主要是应用于存在多个ISP的应用环境中，因为同一个接入设备接入的有可能是不同ISP的用户。如果只有一个ISP,则可以直接使用系统默认域system。在ISP域视图下，可以为每个ISP域配置包括使用AAA策略在内的一整套单独的ISP域属性。用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、口权、计费方案实现的。这个用户所属的ISP域，由其登录时提供的用户名决定：如果用户登录时输入“userid@domain-name”形式的用户名，则其所属的ISP域为“domain-name”域。如果用户登录时输入“userid”形式的用户名，则其所属的ISP域为接入设备上配置的默认域system。为便于对不同接入方式的用户进行区分管理，AAA还可以将域用户划分为以下两个类型：lan-access用户口局域网访问用户口：通过LAN接入的用户，如直接接入LAN中，然后通过IEEE802.1x认证、MAC地址认证的用户。login用户：通过远程网络登录的用户，如SSH、Telnet、FTP、终端接入用户。HWTACACS简介HWTACACSO华为终端访问控制器访问控制系统）是在TACACS协议基础上进行了功能增强的安全协议。该协议与RADIUS协议类似，交换机设备也是用来担当客户端的，也是通过C/S模式与HWTACACS服务器通信来实现多种用户的AAA功能，可用于PPP和VPDN接入用户及终端用户的认证、授权和计费。但是RADIUS服务器的认证和授权是捆绑在一起进行的，而TACACS和HWTACACS的认证好授权是独立进行的。TACACS/HWTACACS主要用于远程登录用户口非直接LAN访问用户口的访问控制和计费，交换机作为TACACS/HWTACACS的客户端，充当中间代理的作用，将请求认证的用户的用户名和密码发送给TACACS/HWTACACS服务器进行验证，验证通过并得到授权之后，用户才可以登录到交换机上进行操作。H3C交换机配置AAA配置任务在H3c以太网交换机AAA在H3c以太网交换机AAA方案中，又可以区分ISP域是采用认证、授权、计费捆绑方式，则在配置则在配置ISP域的AAA方案时支持还是采用认证、授权、计费分离方式。如果采用捆方式，在同一个ISP域视图下，针对不同的用户接入方式配置不同的AAA方案；如果采用分离方式，则在配置ISP域的AAA方案时用户可以分别指定认证、授权、计费方案。如果采用RADIUS、HWTACACS认证方案，需要提前完成RADIUS或HWTACACS相关配置。在作为AAA客户端的接入设备叫H3c以太网交换机）上，AAA的基本配置思路如下：口1）配置AAA方案：根据需要配置本地或远程认证方案。本地认证：需要配置本地用户，即localuser的相关属性，包括手动添加认证的用户名和密码等。远程认证：需要配置RADIUS或HWTACACS方案，并在服务器上配置相应的胡勇属性。口2）配置实现AAA的方法：在用户所属的ISP域中分别指定实现认证、授权、计费的方法，都可以选择none（不）口local（本地）和scheme（远程）方法。H3C交换机本地用户配置与管理当选择使用本地（local）认证方法对用户进行认证时，应在交换机上创建本地用户并配置相关属性。所谓本地用户，是指在本地交换机上设置的一组以用户名为唯一标识的用户。为使某个请求网络服务的用户可以通过本地认证，需要在设备上的本地用户数据库中添加相应的表项。本地用户属性在H3c以太网交换机上课配置的本地用户属性包括：服务类型用户接入设备时可使用的网络服务类型。该属性是本地认证的检测项，如果没有用户可使用的服务类型，则该用户无法接入设备。H3c以太网交换机可支持的服务类型包括：FTP、lan-access、PortalDWebODD口SSH、Telnet、Terminal。用户状态用户指示是否允许该用户请求网络服务器，包括active□活跃）和block］阻塞）两种状态。active表示允许该用户请求网络服务，block表示禁止该用户请求网络服务。最大用户数指使用当前用户名接入设备的最大用户数目。如果当前该用户名的接入用户数已达到最大值，则使用该用户名的新用户将被禁止接入。有效期指用户账户的有效的戒指日期。用户进行本地认证时，接入设备检查当前系统时间是否在用户的有效期内，如果在有效期内则允许该用户登录，否则拒绝。所属的用户组每一个本地用户都属于一个本地用户组，并继承口中的所有属性D密码管理属性和用户授权属性D，相当于Window系统的工作组。密码管理属性指用户密码的安全属性，可根据设置的密码策略对认证秘密吗进行管理和控制。可设置的密码策略包括：密码老化时间、密码最小长度、密码组合策略。本地用户的密码管理属性在系统视图（具有全局性D、用户组视图和本地用户视图下都可以配置，其生效的优先级顺序由高到低依次为本地用户、用户组、全局。全局配置对所有

本地用户生效，用户组的配置对组内所有本地用户生效。绑定属性指定用户认证时需要检测的属性，用于限制接入用户的范围。如果用户的实际属性与设置的绑定属性不匹配，则不能通过认证。可绑定的属性包括：ISDN用户的主叫号码、用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。用户授权属性本地用户的授权属性在用户组和本地用户视图下都可以配置，且本地用户试图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。本地用户属性配置表18-3本地用户属性配置步骤步骤命令说明1sysname-view例如：<Sysname>system-view进入系统视图2local-userpassword-displaymode{auto|cipher-force}例如：[Sysname]local-userpassword-display-modeauto（可选）设置本地用户密码的显示方式。二选一选项cipher-force表示强制cipher方式，即所有本地用户的密码显示方式必须采用密文方式；auto为自动方式，即本地用户的密码显示方式可以由用户自己通过password000D0D3local-useruser-name例如：[Sysname]local-userwinda添加本地用户，并进入本地用户视图4password{cipher|simple}password例如：[Sysname-luser-winda]passwordcipher123456（可选）设置本地用户的密码，命令中的参数和选项说明如下：simple：表示密码为明文cipher：表示密码为密文password］指定密码5state{active|block}例如：[Sysname-luser-winda]stateactive（可选）设置本地用户的状态。active用来指定当前本地用户处于活动状态；block用来指定当前本地用户处于“挂起”状态，口系统不允许当前本地用户请求网络服务6access-limitmax-user-number例如：[Sysname-luser-winda]access-limit10口可口时置当前用户名可容纳的最大本地接入用户数默认情况下，不限制当前本地用户名可容纳的接入用户数。7service-type{ftp|lan-access|{ssh|telnet|terminal}*|portal}例如：[Sysname-luser-winda]servicetypeftplan-accessportal设置本地用户可以使用的服务类型，对应不同的用户类型。■lan-access：可多选选项，指定用户可以使用lan-access服务，主要指以太网接入用户，比如802.1x00■terminal：可多选选项，指定00可以使0terminal服口时从Console0DAUX口登录）8bind-attribute（可选）设置本地00的绑定属性。当对本地00进行认证时，

{call-numbercall-number[:subcall-number]|ipip-address|locationportslot-nambersubslot-numberport-number|macmac-address|vlanvlan-id}如果配置了绑定属性，则会检查用户的实际属性与配置的绑定属性是否一致川口不一致则认证失败。■location：设置用户的端口绑定属性。该绑定属性仅适用于lan-access类型的用户8authorization-attribute{aclacl-number|callbacknumbercallback-number|idlecutminute|levellevel|userprofileprofile-name|user-rolesecurity-audit|vlanvlan-id|work-directoryderectoryname}例如：[Sysname-luser-winda]authorization-attributelevel3vlan10（可选）设置本地用户的授权属性。levellevel：指定本地用户的级别，取值范围为0〜3。其中0为访问级，1位监控级，2位系统级，3位管理级，数值越小，用户的级别越低。vlanvlan-id]指定本地用户的授权VLAN，取值范围为1~4094。idle-cutminute：启用本地用户的闲置切断功能，取值范围为1~120,单位为分钟。9expiration-datetime例如：[Sysname-luser-winda]date10:21:12-2018-7-22DODD设置本地用户的有效期。有用户临时需要接入网络时，可以建立来宾账户来管理用户的临时访问，并通过该命令对用户账户的有效期进行控制。H3c交换机RADIUS方案配置与管理AAA方案如果使用其中的主要配置包括指定各种其他一些必要的参数设置。RADIUSAAA方案如果使用其中的主要配置包括指定各种其他一些必要的参数设置。RADIUS服务器进行认证、授权和计费，则需要先配置RADIUS服务器的IP地址、RADIUS方案。UDP端口号和报文共享密钥，以及创建RADIUS方案在进行RADIUS的其他配置之前，必须首先创建一个所需的RADIUS方案。只需再系统视图下使用radiusschemeradius-scheme-name命令。一个RADIUS方案可以同时被多个ISP域引用。每个RADIUS方案至少须指明RADIUSD证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交换所需的一些参数。以下示例是创建抬为radiusI的RADIUS方谏并进入其视图：[5t^n：,Lrrt^[FK-djnilurhe-mrraditisl|豆竽iiN-r^idui^11

RADIUS认证/授权服务器用户只要通过了认证即获得了授权，因为RADIUS服务器中的认证和授权是捆绑进行的，用户只要通过了认证即获得了授权，所以RADIUS所以RADIUS的认证和授权服务器往往是在一台RADIUS服务器上同时配置的。在这里可以配■ip-addresS]指定主■port-number■ip-addresS]指定主■port-number指定RADIUS认证/授权服务器的IPv4地址。65535■keystrin团指定主RADIUS认证/授权服务器与交换机通信的共享密钥，为1~64置一台主认证/授权服务器和多台从认证/授权服务器。RADIUS主认证/授权服务器的配置命令是primaryauthentication{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}（在RADIUS方案下执行）RADIUS认证/授权UDP端口号，默认为1812,取值范围为个字符的字符串，区分大小写。指定主RADIUS认证/授权服务器■vpn-instancevpn-instance-nam指定主RADIUS认证/授权服务器所属的VPN实例名称。【示例1]设置EtADlUS方案radius】的+认证/授权服芬器的TP地址为*使用UDP群口1612提供RADliUS认由授权服务.。占A,nninaie||riidinswIikmeMtliLHJ|MkaowMwiiiu-wljUd11priiHiBryHulbHiCka4ionIU.10IIM2【示例2]设置RADIUS方案mdiusl的从认证;按根服外器的IP地址为KMCMZ使用UDP端I」1612提供HA口IU5认此『授杈麟外.：Sy^niiinifsyitEMh^ic*s|Sysnaine]radtutfthemel投Iin,I|Sysnume-njdiu^-nMjiifcI.]暮2月(1单ry”£”r*：・小用]0J0.i.2IM2[示例3]设置RADIUS方案radius!的两个从以iH授权服务器的【P地址分别为10.10.1』和10.10,1,2,均使用UDP端口1612捉供KAD1U5认曲授权服务.r-需!ramt-nidiutvhemeTidin-l卜tTMwJflqHHlhfitlUMilIO.ID|.lIhK[S™a™-™iii^-radius2|wcDnrtlHr^!(?.!01.2IbHRADIUS计费服务器及相关参数配置表18-8RADIUS计费服务器及相关参数配置步骤步骤命令说明1sysname-view例如口<Sysname>system-view进入系统视图2radiusschemeradius-scheme-nameODD[Sysname]radiusschemeradius1创建RADIUS方案，并进入RADIUS方案视图3primaryauthentication{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}O如D[Sysname-radius-radius1]primary配置主RADIUS计费服务器，命令中的参数说明如下D■ip-addressD指定主RADIUS认证/授权服务器的IPv4地址。■port-number指定RADIUS认证/授权UDP端口号，默认为1812,取值范围为1~65535■keystring]指定主RADIUSDD/授权服务器与accounting1613交换机通信的共享密钥，为1~64个字符的字符串，区分大小写。■vpn-instancevpn-instance-name可多选参数，指定主RADIUS认证/授权服务器所属的VPN实例名称。4secondaryaccounting{ip-address[port-nmuber|keystring|vpn-instancevpn-instance-name]}例如：[Sysname-radius-radius1]secondaryaccounting1613keyok配置从RADIUS计费服务器，参数与上面的主计费服务器配置命令的参数一样。【示例1】设置RADIUS方案radial的1计域期务髀的IP地址为I(MOJI.使用UDP端I1613提供RADIUS计费服务.|Si%rLirn<!|1rMlJin.iclHflneradium1qnaiM^mdkii^padisi||nrim!iiii门10.IO_Ltl6lA[示例2]设置RADIUS方案ndiufll的从计费外器的IP地址为IQ-(H2便用UDP端口M3提供RADIUS计