• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C 中低端以太网交换机 安全典型配置指导-6W100

01-AAA典型配置指导

本章节下载 01-AAA典型配置指导  (280.72 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/CE3000/CE3000-EI/Configure/Typical_Configuration_Example/H3C_Security_CG-6W100/201111/733251_30005_0.htm

01-AAA典型配置指导


1 AAA典型配置指导

1.1  AAA简介

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

l              认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。

l              授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作。

l              计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。

AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图1-1

图1-1 AAA基本组网结构示意图

 

当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(RADIUS服务器或HWTACACS服务器),RADIUS协议或HWTACACS协议规定了NAS与服务器之间如何传递用户信息。

NAS设备对用户的管理是基于ISP域的,一个ISP(Internet Service Provider,Internet服务提供者)域是由属于同一个ISP的用户构成的群体。每个接入用户都属于一个ISP域。用户所属的ISP域是由用户登录时提供的用户名决定的,如图1-2所示。

图1-2 用户名决定域名

 

为便于对不同接入方式的用户进行区分管理,AAA将用户划分为以下几个类型:

l              lan-access用户:LAN接入用户,如802.1X认证、MAC地址认证用户。

l              login用户:登录设备用户,如SSH、Telnet、FTP、终端接入用户。

l              Portal接入用户。

用户登录设备后,AAA还可以对其提供以下服务,用于提高用户登录后对设备操作的安全性:

l              命令行授权:用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。

l              命令行计费:用户执行过的所有命令或被成功授权执行的命令,会被计费服务器进行记录。

l              级别切换认证:在不退出当前登录、不断开当前连接的前提下,用户将自身的用户级别由低向高切换的时候,需要通过服务器的认证,级别切换操作才被允许。

AAA支持在ISP域视图下针对不同的接入方式配置不同的认证、授权、计费的方法(一组不同的认证/授权/计费方案)。

1.2  FTP用户的本地认证、授权典型配置指导

1.2.1  应用需求

l              Host为FTP客户端,IP地址为192.168.0.2;Switch为FTP服务器,IP地址为192.168.0.1。

l              配置Switch实现对FTP用户的本地认证和授权。

图1-3 FTP用户本地认证、授权配置组网图

 

1.2.2  配置思路

l              开启Switch的FTP服务器功能。

l              配置本地用户,用户名ftp,密码pwd。

l              配置认证域system,并为域内Login用户配置本地认证/授权方案。

1.2.3  适用产品、版本

表1-1 配置适用的产品与软硬件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101,Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.2.4  配置过程和解释

(1)        配置Switch:

# 配置Switch的VLAN接口1的IP地址为192.168.0.1,FTP用户将通过该地址连接交换机。

<Switch> system-view

[Switch] interface vlan-interface 1

[Switch–Vlan-interface1] ip address 192.168.0.1 255.255.255.0

[Switch-Vlan-interface1] quit

# 开启设备的FTP服务器功能。

[Switch] ftp server enable

# 创建本地用户。

[Switch] local-user ftp

[Switch-luser-ftp] password simple pwd

[Switch-luser-ftp] service-type ftp

[Switch-luser-ftp] quit

# 配置ISP域内Login用户的AAA方案为本地认证、授权。

[Switch] domain system

[Switch-isp-system] authentication login local

[Switch-isp-system] authorization login local

[Switch-isp-system] quit

(2)        验证配置结果

完成上述配置后,在Host以FTP方式登录FTP服务器,输入正确的用户名“ftp@system”和密码“pwd”,可以建立FTP连接。

c:\> ftp 192.168.0.1

Connected to 192.168.0.1.

220 FTP service ready.

User(192.168.0.1:(none)):ftp@system

331 Password required for ftp@system.

Password:

230 User logged in.

ftp>

1.2.5  完整配置

#

 ftp server enable 

#

 domain default enable system

#

domain system

 authentication login local

 authorization login local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

local-user ftp

 password simple pwd

 service-type ftp

#

interface Vlan-interface1

 ip address 192.168.0.1 255.255.255.0

1.2.6  配置注意事项

使用FTP登陆时输入用户名为ftp@system,以使用域“system”进行认证。

1.3  Telnet用户通过HWTACACS服务器认证、授权、计费典型配置指导

1.3.1  应用要求

通过配置Switch实现HWTACACS服务器对登录Switch的用户进行认证、授权、计费,如果HWTACACS服务器无响应,则切换为备选Local认证。

l              一台HWTACACS服务器(担当认证、授权、计费服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。

l              Switch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。

l              在HWTACACS服务器上设置与Switch交互报文时的共享密钥为expert。

图1-4 配置Telnet用户的远端HWTACACS认证、授权和计费

1.3.2  适用产品、版本

表1-2 配置适用的产品与软硬件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1505

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.3.3  配置过程和解释

# 开启Switch的Telnet服务器功能。

<Switch> system-view

[Switch] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

[Switch-ui-vty0-4] quit

# 配置HWTACACS方案。

[Switch] hwtacacs scheme hwtac

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

[Switch-hwtacacs-hwtac] key authentication expert

[Switch-hwtacacs-hwtac] key authorization expert

[Switch-hwtacacs-hwtac] key accounting expert

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 配置ISP域的AAA方案。

[Switch] domain 1

[Switch-isp-1] authentication login hwtacacs-scheme hwtac local

[Switch-isp-1] authorization login hwtacacs-scheme hwtac local

[Switch-isp-1] accounting login hwtacacs-scheme hwtac local

[Switch-isp-1] quit

# 创建本地用户telnet。

[Switch] local-user telnet

[Switch-luser-telnet] service-type telnet

[Switch-luser-telnet] password simple telnet

1.3.4  完整配置

#

 telnet server enable 

#

hwtacacs scheme hwtac

 primary authentication 10.1.1.1

 primary authorization 10.1.1.1

 primary accounting 10.1.1.1

 key authentication expert

 key authorization expert

 key accounting expert

 user-name-format without-domain

#

domain 1

 authentication login hwtacacs-scheme hwtac local

 authorization login hwtacacs-scheme hwtac local

 accounting login hwtacacs-scheme hwtac local

#

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme    

#

local-user telnet

 service-type telnet

 password simple telnet

1.3.5  配置注意事项

使用Telnet登陆时输入用户名为userid@1,以使用域1进行认证。

1.4  SSH用户通过RADIUS服务器认证、授权、计费的应用配置

1.4.1  应用需求

图1-5所示,配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。

l              一台RADIUS服务器(其担当认证RADIUS服务器和计费RADIUS服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。

l              Switch与认证、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名带域名。

图1-5 SSH用户RADIUS认证、授权和计费配置组网图

 

1.4.2  配置思路

l              RADIUS服务器使用iMC服务器为例,需要分别进行接入设备和管理用户的相关配置。

l              Switch需要启动SSH服务器功能,并生成RSA及DSA密钥对。

l              Switch上需要设置SSH用户登录采用AAA认证方式,并配置RADIUS方案和认证域。

1.4.3  适用产品、版本

表1-3 配置适用的产品与软硬件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101,Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.4.4  配置过程和解释

(1)        配置RADIUS server iMC

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

l              设置与Switch交互报文时的认证、计费共享密钥为expert;

l              设置认证及计费的端口号分别为1812和1813;

l              选择业务类型为设备管理业务;

l              选择接入设备类型为H3C;

l              选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。

图1-6 增加接入设备

 

# 增加设备管理用户。

选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面。

l              添加用户名hello@bbb和密码;

l              选择服务类型为SSH;

l              增加所管理设备的IP地址,IP地址范围为“192.168.1.0~192.168.1.255”。

图1-7 增加设备管理用户

 

(2)        配置Switch

# 配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH服务器。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 生成RSA及DSA密钥对,并启动SSH服务器。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

[Switch] ssh server enable

# 配置SSH用户登录采用AAA认证方式。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

# 配置用户远程登录Switch的协议为SSH。

[Switch-ui-vty0-4] protocol inbound ssh

[Switch-ui-vty0-4] quit

# 配置RADIUS方案。

[Switch] radius scheme rad

[Switch-radius-rad] primary authentication 10.1.1.1 1812

[Switch-radius-rad] primary accounting 10.1.1.1 1813

[Switch-radius-rad] key authentication expert

[Switch-radius-rad] key accounting expert

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

# 配置ISP域的AAA方案。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] accounting login radius-scheme rad

[Switch-isp-bbb] quit

使用SSH登陆时输入用户名为userid@bbb,以使用域bbb进行认证。

(3)        SSH用户建立与Switch的连接

在SSH客户端按照提示输入用户名hello@bbb及密码,即可进入Switch的用户界面。用户登录系统后所能访问的命令级别由iMC服务器授权,可通过设备管理用户界面的EXEC权限级别来设置。

1.4.5  完整配置

#

radius scheme rad

 primary authentication 10.1.1.1 1812

 primary accounting 10.1.1.1 1813

 key authentication expert

 key accounting expert

 user-name-format with-domain

#

domain bbb

 authentication login radius-scheme rad

 authorization login radius-scheme rad

 accounting login radius-scheme rad

#

ssh server enable

#

user-interface vty 0 4

 authentication-mode scheme

 protocol inbound ssh

1.4.6  配置注意事项

1.5  多类型用户通过RADIUS服务器进行认证、授权典型配置指导

1.5.1  应用需求

图1-8所示的环境中,安装了802.1X客户端的用户Host A,通过Switch端口GE1/0/1接入网络;Telnet用户Host B通过Switch端口GE1/0/2接入网络。

l              一台RADIUS认证服务器担当认证/授权服务器的职责,服务器IP地址为10.1.1.3。

l              Switch与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为aabbcc,向RADIUS服务器发送的用户名中不带域名。

l              需要通过配置Switch实现对登录交换机的Host A实行RADIUS认证,Host B实行本地认证。

图1-8 多类型用户通过RADIUS服务器进行认证、授权组网图

 

1.5.2  配置思路

(1)        配置Radius服务器(本例以iMC服务器配置为例)

l              增加接入设备:建立iMC服务器和接入设备Switch之间的联动关系。

l              增加服务:用户进行认证授权的各种策略的集合。

l              增加接入用户:包含802.1X用户的用户名、密码等信息。

l              增加设备管理用户:Telnet用户的用户名、密码等信息。

(2)        配置接入设备Switch

l              创建本地用户,用户名为guest,密码为123456。

l              配置RADIUS方案方案radius1,指定RADIUS认证/授权服务器IP地址分别为10.1.1.3;Switch与认证RADIUS服务器交互报文时的共享密钥为expert。

l              创建ISP域test,并在该域下配置所有802.1X用户登录时采用的RADIUS认证方案“radius1”,所有Login用户登录时采用本地认证。

l              开启全局和端口GE1/0/1下的802.1X功能。

1.5.3  适用产品、版本

表1-4 配置适用的产品与软硬件版本关系

产品

软件版本

S7500E系列以太网交换机

Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列

S7600系列以太网交换机

Release 6600系列,Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110,Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202,Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ,Release 2208

S5120-EI系列以太网交换机

Release 2202,Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101,Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301,Release 5303,Release 5306,Release 5309

S3500-EA系列以太网交换机

Release 5303,Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.5.4  配置过程和解释

(1)        配置RADIUS server iMC

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

 

iMC服务器上的配置主要包含如下四步:

l              增加接入设备:建立iMC服务器和接入设备之间的联动关系。

l              增加服务:这里的“服务”是指对用户进行认证授权的各种策略的集合。

l              增加接入用户:添加802.1X用户的帐号名、密码等信息。

l              增加设备管理用户:添加Telnet用户的用户名和密码,用户设备的IP地址(或IP地址范围),并选择服务类型等。

具体配置如下:

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

l              设置与Switch交互报文时的认证、计费共享密钥为expert;

l              设置认证及计费的端口号分别为1812和1813;

l              分别选择业务类型为设备管理业务和LAN接入业务;

l              选择接入设备类型为H3C;

l              选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。

图1-9 增加接入设备-LAN接入业务

 

图1-10 增加接入设备-设备管理业务

 

# 增加服务。

选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入“服务配置管理”页面,在该页面中单击“增加”按钮,进入增加服务配置页面。

l              输入服务名“service1”(可以任意命名),服务后缀“test”;

l              其它参数采用缺省值;

l              点击<确定>按钮。

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入“所有接入用户”列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

l              单击<增加用户>按钮,添加用户信息;

l              输入帐号名guest(该帐号为802.1X用户接入网络时使用的标识),密码123456;

l              勾选接入服务“service1”;

l              点击<确定>按钮。

 

# 增加设备管理用户。

选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面。

l              添加用户名“telnet@test”和密码“123456”;

l              选择服务类型为Telnet;

l              增加所管理设备的IP地址,IP地址范围为“192.168.0.3~192.168.0.127”。

图1-11 增加设备管理用户

 

(2)        配置Switch

# 配置各接口的IP地址(略)。

# 开启Telnet服务器功能。

<Switch> system-view

[Switch] telnet server enable

配置Telnet用户登录采用AAA认证方式。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

[Switch-ui-vty0-4] quit

# 添加本地接入用户,用户名为telnet,密码为123456。

[Sysname] local-user telnet

[Sysname-luser-telnet] service-type telnet

[Sysname-luser-telnet] password simple 123456

[Sysname-luser-telnet] quit

# 配置RADIUS方案。

[Switch] radius scheme radius1

[Switch-radius-radius1] primary authentication 10.1.1.3 1812

[Switch-radius-radius1] primary accounting 10.1.1.3 1813

[Switch-radius-radius1] key authentication expert

[Switch-radius-radius1] server-type extended

[Switch-radius-radius1] quit

# 在test域中配置802.1X用户使用radius1方案进行认证,Telnet用户使用本地认证。

[Switch] domain test

[Switch-isp-test] authentication lan-access radius-scheme radius1

[Switch-isp-test] authentication login local

[Switch-isp-test] quit

# 配置域test为默认域。

[Switch] domain default enable test

# 开启全局802.1x特性。

[Switch] dot1x

# 在以太网端口GigiabitEthernet1/0/1上开启802.1X特性。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x

(3)        验证配置结果

Host A 通过802.1X客户端软件(如iNode客户端)发起802.1X连接,输入正确的用户名“guest@test”和密码“123456”,可以成功访问Internet。

Host B登录交换机,需要输入用户名为telnet@test,和密码“123456”。

1.5.5  完整配置

#

 telnet server enable 

#

 domain default enable test

#

radius scheme radius1

 server-type extended

 primary authentication 10.1.1.3

 primary accounting 10.1.1.3

 key authentication expert

#

domain test

 authentication lan-access radius-scheme radius1

 authentication login local

#

user-interface vty 0 4

 authentication-mode scheme

#

local-user telnet

 service-type telnet

 password simple 123456

#

interface GigabitEthernet1/0/1

dot1x

#

1.5.6  配置注意事项

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们