- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-AAA典型配置指导
本章节下载 (204.48 KB)
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。AAA是一种管理框架,因此,它可以用多种协议来实现。
RADIUS协议配置是以RADIUS方案为单位进行的。当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个RADIUS方案的属性包括:主服务器的IP地址、从服务器的IP地址、共享密钥以及RADIUS服务器类型等。
在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器(如果不配置计费服务器,则必须配置accounting optional命令)。同时,保证交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
图1-1 配置Telnet用户的Radius认证典型组网图
如图1-1所示,需要通过对交换机的配置实现RADIUS服务器对登录交换机的Telnet用户的远端认证。
l 一台RADIUS认证服务器与交换机相连,服务器IP地址为10.110.91.164。
l 设置交换机与认证RADIUS服务器交互报文时的共享密钥为aabbcc。
l RADIUS服务器使用CAMS服务器。使用CAMS服务器,RADIUS服务器类型应选择extended类型。
l 在RADIUS服务器上设置与交换机交互报文时的共享密钥为aabbcc,设置认证的端口号,添加Telnet用户名及登录密码。
l RADIUS方案中设置交换机不从用户名中去除用户域名而是一起传给RADIUS服务器,RADIUS服务器上添加的Telnet用户名设置为“userid@isp-name”形式。
表1-1 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 进入系统视图。
<Sysname> system-view
# 配置Telnet用户采用AAA认证方式。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Sysname] domain cams
[Sysname-isp-cams] access-limit enable 10
[Sysname-isp-cams] quit
# 配置RADIUS方案。
[Sysname] radius scheme cams
[Sysname-radius-cams] accounting optional
[Sysname-radius-cams] primary authentication 10.110.91.164
[Sysname-radius-cams] key authentication aabbcc
[Sysname-radius-cams] server-type extended
[Sysname-radius-cams] user-name-format with-domain
[Sysname-radius-cams] quit
# 配置domain和RADIUS的关联。
[Sysname] domain cams
[Sysname-isp-cams] scheme radius-scheme cams
radius scheme cams
server-type extended
primary authentication 10.110.91.164
accounting optional
key authentication aabbcc
#
domain cams
scheme radius-scheme cams
access-limit enable 10
#
user-interface vty 0 4
authentication-mode scheme
#
Telnet用户登录时输入用户名userid @cams,以使用cams域进行认证。
动态VLAN下发是指以太网交换机根据RADIUS服务器下发的属性值,将已经通过身份认证的用户所在的端口动态地加入到不同的VLAN中,从而对用户所能访问的网络资源进行控制。
图1-2 RADIUS认证实现动态下发VLAN应用组网图
某企业网的管理者希望在交换机各端口上对用户接入进行认证,以控制用户对相应资源的访问:
l 接入用户受控,必须通过认证才能访问网络
l 用户未通过认证时,只能受限访问网络VLAN 10
l 用户通过认证后,可以访问网络VLAN 100
表1-2 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 在RADIUS服务器上添加用户,并设置VLAN下发等相关配置(略)
# 设置RADIUS方案cams,设置主备服务器。
<Sysname> system-view
[Sysname] radius scheme cams
[Sysname-radius-cams] primary authentication 192.168.1.19
[Sysname-radius-cams] primary accounting 192.168.1.19
[Sysname-radius-cams] secondary authentication 192.168.1.20
[Sysname-radius-cams] secondary accounting 192.168.1.20
# 设置系统与Radius认证、计费服务器交互报文时加密密码为expert。
[Sysname-radius-cams] key authentication expert
[Sysname-radius-cams] key accounting expert
# 设置用户名为带域名格式。
[Sysname-radius-cams] user-name-format with-domain
# 服务器类型为extended。
[Sysname-radius-cams] server-type extended
# 定义ISP域abc,并配置认证采用RADIUS方案cams,配置动态VLAN下发模式。
[Sysname] domain abc
[Sysname-isp-abc] radius-scheme cams
[Sysname-isp-abc] vlan-assignment-mode integer
[Sysname-isp-abc] quit
# 将ISP域abc设置为缺省ISP域。
[Sysname] domain default enable abc
# 用户接入端口启用Guest VLAN功能
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] dot1x port-method portbased
[Sysname-Ehternet1/0/3] dot1x guest-vlan 10
# 启用802.1x
[Sysname] dot1x
# 端口视图下启用dot1x
[Sysname] interface Ethernet 1/0/3
[Sysname-Ethernet1/0/3] dot1x
domain default enable abc
#
radius scheme cams
server-type extended
primary authentication 192.168.1.19
primary accounting 192.168.1.19
secondary authentication 192.168.1.20
secondary accounting 192.168.1.20
key authentication expert
key accounting expert
#
domain abc
scheme radius-scheme cams
#
interface Ethernet1/0/3
dot1x port-method portbased
dot1x guest-vlan 10
dot1x
以上配置只是交换机上的相关配置,在RADIUS服务器上添加用户,并设置VLAN下发等相关配置略。
本地认证将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
图1-3 配置Telnet用户的本地认证典型组网图
如图1-3所示,现需要通过配置交换机实现对登录交换机的Telnet用户进行本地认证。
表1-3 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 进入系统视图
<Sysname> system-view
# 配置Telnet用户采用AAA认证方式
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] quit
# 创建本地用户telnet
[Sysname] local-user telnet
[Sysname-luser-telnet] service-type telnet
[Sysname-luser-telnet] password simple aabbcc
[Sysname-luser-telnet] attribute idle-cut 300 access-limit 5
[Sysname] domain system
[Sysname-isp-system] scheme local
#
local-user telnet
password simple aabbcc
attribute access-limit 5 idle-cut 300
service-type telnet
#
user-interface vty 0 4
authentication-mode scheme
#
使用Telnet登录时输入用户名为telnet@system,以使用system域进行认证。
使用Telnet登录时输入用户名为telnet@system,以使用system域进行认证。
FTP用户与Telnet用户通过本地认证的配置方法类似。
HWTACACS(HUAWEI Terminal Access Controller Access Control System)是在TACACS(RFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,主要是通过Client-Server模式与TACACS服务器通信来实现多种用户的AAA功能,可用于终端用户的认证、授权和计费。
与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。
图1-4 配置Telnet用户通过远端TACACS认证典型组网图
如图1-4所示,通过配置交换机实现TACACS服务器对登录交换机的Telnet用户进行认证、授权。
l 一台TACACS服务器(其担当认证、授权、计费服务器的职责)与交换机相连,服务器IP地址为10.110.91.164。
l 设置交换机与认证、授权、计费TACACS服务器交互报文时的共享密钥均为“expert”,设置交换机除去用户名中的域名后再将之传给TACACS服务器。
l 在TACACS服务器上设置与交换机交互报文时的共享密钥为“expert”,添加Telnet用户名及登录密码。
表1-4 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011、Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2102、Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126 |
Release 0011、Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 配置HWTACACS方案。
<Sysname> system-view
[Sysname] hwtacacs scheme hwtac
[Sysname-hwtacacs-hwtac] primary authentication 10.110.91.164 49
[Sysname-hwtacacs-hwtac] primary authorization 10.110.91.164 49
[Sysname-hwtacacs-hwtac] key authentication expert
[Sysname-hwtacacs-hwtac] key authorization expert
[Sysname-hwtacacs-hwtac] user-name-format without-domain
[Sysname-hwtacacs-hwtac] quit
# 配置domain引用名为hwtac的HWTACACS方案。
[Sysname] domain hwtacacs
[Sysname-isp-hwtacacs] scheme hwtacacs-scheme hwtac
[Sysname-isp-hwtacacs] accounting optional
hwtacacs scheme hwtac
primary authentication 10.110.91.164
primary authorization 10.110.91.164
key authentication expert
key authorization expert
user-name-format without-domain
#
domain hwtacacs
scheme hwtacacs-scheme hwtac
accounting optional
#
以上配置只是交换机上配置HWTACACS方案,在HWTACACS服务器上添加Telnet用户配置过程略。
EAD(Endpoint Admission Defense,端点准入防御)方案通过对接入终端进行监控,能够增强网络终端的主动防御能力,控制病毒和蠕虫在网络内部的蔓延。同时,通过限制不符合安全要求的终端的访问权限,防止不安全终端对整个网络的安全造成危害。
EAD方案的实施需要交换机、AAA服务器、安全策略服务器和安全客户端联合操作、相互配合,从而实现对终端用户的安全状态评估和访问权限的动态控制。
EAD方案启动后,交换机根据接收到的会话控制报文的源IP地址判断该报文是否合法:
l 只有从认证服务器以及安全策略服务器发送过来的会话控制报文才被交换机认为是合法的。
l 交换机根据会话控制报文的指令,下发ACL(Access Control List,访问控制列表),从而动态控制用户的访问权限。
图1-5 EAD典型组网图
如图1-5所示,用户的工作站与以太网交换机的端口Ethernet 1/0/1相连接,用户的工作站采用支持H3C扩展功能的802.1X客户端。通过对交换机的配置,实现RADIUS服务器对接入用户的远端认证和安全策略服务器对用户的EAD操作控制。
RADIUS服务器和安全策略服务器均采用CAMS服务器。
|
软件版本 |
硬件版本 |
|
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 在交换机上完成802.1x配置。
略
# 配置domain。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] quit
# 配置RADIUS方案。
[Sysname] radius scheme cams
[Sysname-radius-cams] primary authentication 10.110.91.164 1812
[Sysname-radius-cams] accounting optional
[Sysname-radius-cams] key authentication expert
[Sysname-radius-cams] server-type extended
# 配置安全策略服务器地址。
[Sysname-radius-cams] security-policy-server 10.110.91.166
# 配置domain和RADIUS方案的关联。
[Sysname-radius-cams] quit
[Sysname] domain system
[Sysname-isp-system] radius-scheme cams
#
radius scheme cams
server-type extended
primary authentication 10.110.91.164
security-policy-server 10.110.91.166
accounting optional
key authentication expert
#
domain system
scheme radius-scheme cams
#
为了支持CAMS所有扩展功能,推荐配置交换机的802.1x的认证方式为EAP,RADIUS方案的服务器类型为extended。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
