• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全配置举例

目录

00-S12500_AAA典型配置举例

本章节下载 00-S12500_AAA典型配置举例  (405.21 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Typical_Configuration_Example/H3C_S12500-R7129-6W100/09/201309/796626_30005_0.htm

00-S12500_AAA典型配置举例


1  简介

本文档介绍了Telnet、SSH用户通过AAA服务器进行登录认证和授权的配置举例。

AAA是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现,例如RADIUS协议、HWTACACS协议。RADIUS协议基于UDP协议,认证和授权结合,用户通过认证的同时获得操作权限;HWTACACS协议基于TCP协议,且认证和授权分离,认证、授权服务可以分离在不同的服务器上实现。

由于不需要对login用户(即登录设备用户)进行计费,如果AAA方案中配置了计费服务器,则该计费服务器对login用户只起审计(例如记录在线时间)的作用,并没有实际计费功能。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解AAA特性。

3  Telnet用户的HWTACACS认证和授权配置举例

3.1  组网需求

图1所示,要求在Switch上配置实现:HWTACACS服务器对登录Switch的Telnet用户进行认证和授权,登录用户名为user@bbb,密码为aabbcc。

图1 Telnet用户远端HWTACACS认证和授权配置组网图

 

3.2  配置思路

·     为了使HWTACACS服务器能够识别合法的用户,在HWTACACS服务器上添加合法的Telnet用户名和密码。

·     由于本例中用户登录Switch要通过AAA处理,因此Telnet用户登录的用户界面认证方式配置为scheme。

·     为了实现通过HWTACACS来进行认证和授权,需要在Switch上配置HWTACACS方案并指定相应的认证和授权服务器,并将其应用于Telnet用户所属的ISP域。

·     为了在Switch和HWTACACS服务器之间安全地传输用户密码,并且能在Switch上验证服务器响应报文未被篡改,在Switch和HWTACACS服务器上都要设置交互报文时所使用的共享密钥。

3.3  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

3.4  配置注意事项

缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

3.5  配置步骤

3.5.1  配置HWTACACS

说明

本文以HWTACACS服务器ACS 4.0为例,说明该例中HWTACACS的基本配置。

 

1. 增加设备管理用户

# 登录进入HWTACACS管理平台,点击左侧导航栏“User-Setup”,在界面上输入用户名“user@bbb”并点击按钮“Add/Edit”进入用户编辑页面。

图2 用户创建界面

 

2. 配置设备管理用户

# 配置用户密码“aabbcc”,并为用户选择组“Group 1”。其余选项按默认即可,单击“Submit”完成操作。

图3 用户密码配置界面

 

3. 配置网络

# 点击左侧导航栏“Network Configuration”,在AAA Client hostname处任意命名(本例为jtang)后开始配置网络。

·     AAA Client IP Address处需填写Switch的IP地址192.168.57.12。

·     Key处需填写HWTACAS服务器和设备通信时的共享密钥,必须和Switch上HWTACACS方案里配置的认证和授权共享密钥相同。

·     在Authenticate Using的下拉框里选择”TACACS+ (Cisco IOS)”。

·     单击“Submit+Restart”按钮完成配置。

图4 网络配置界面

 

4. 设置组

# 单击左侧导航栏“Group Setup”,选取“Group1”(与配置设备管理用户时为用户选择的组一致),单击“Edit Settings”进入编辑区,在图5多选框中选择“Shell”(用户可以执行命令)和“Privilege level”(设置为level 15,用户可操作系统所有功能和资源)。其余选项可以根据需要添加,单击“Submit+Restart”后完成操作。

图5 组配置界面

 

3.5.2  配置交换机

# 配置各接口的IP地址(略)。

# 开启Switch的Telnet服务器功能。

<Switch> system-view

[Switch] telnet server enable

# 配置Telnet用户登录的用户界面采用scheme方式。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] authentication-mode scheme

[Switch-ui-vty0-15] quit

# 配置HWTACACS方案hwtac。

[Switch] hwtacacs scheme hwtac

# 配置主认证、授权和计费服务器的IP地址为10.1.1.1,认证、授权和计费的端口号为49(HWTACAS服务器的认证、授权和计费端口为TCP端口49)。

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

# 配置与认证、授权和计费服务器交互报文时的共享密钥均为明文imc。

[Switch-hwtacacs-hwtac] key authentication simple imc

[Switch-hwtacacs-hwtac] key authorization simple imc

[Switch-hwtacacs-hwtac] key accounting simple imc

[Switch-hwtacacs-hwtac] quit

# 配置ISP域的AAA方案,为login用户配置AAA认证方法为HWTACAS认证、授权和计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login hwtacacs-scheme hwtac

[Switch-isp-bbb] quit

3.6  验证配置

Telnet用户可以使用用户名userid@bbb和密码aabbcc通过认证,并且获得用户角色level 15(用户可操作系统所有功能和资源)。

3.7  配置文件

#

 telnet server enable

#

user-interface vty 0 15

 authentication-mode scheme

#

hwtacacs scheme hwtac

 primary authentication 10.1.1.1

 primary authorization 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$6ps2/dT38b2K2MDCMCDGYxrvyJNR+/jiKw==

 key authorization cipher $c$3$xEldxJraE8Yof3rHHlVIgyCIb/uLlrZbgg==

 key accounting cipher $c$3$kySCJbNA8DSs+l3HCqxunl8SE4me3vue5g==

#

 domain bbb

  authentication login hwtacacs-scheme hwtac

  authorization login hwtacacs-scheme hwtac

  accounting login hwtacacs-scheme hwtac

#

4  SSH用户的RADIUS认证和授权配置举例

4.1  组网需求

图6所示,要求在Switch上配置实现:RADIUS服务器对登录Switch的SSH用户进行认证和授权,登录用户名为hello@bbb,密码为aabbcc。

图6 ssh用户远端RADIUS 认证和授权配置组网图

 

4.2  配置思路

·     为了使RADIUS服务器能够识别合法的用户,在RADIUS服务器上添加合法的用户名和密码。

·     因为SSH用户登录Switch要通过AAA处理,因此SSH用户登录的用户界面认证方式配置为scheme。

·     为了实现通过RADIUS来进行认证和授权,需要在Switch上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于SSH用户所属的ISP域。

·     为了在Switch和RADIUS服务器之间安全地传输用户密码,并且能在Switch上验证RADIUS服务器响应报文未被篡改,在Switch和RADIUS服务器上都要设置交互报文时所使用的共享密钥。

4.3  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

4.4  配置注意事项

·     IMC不支持设置用户角色,请务必在设备上配置role default-role enable命令赋予设备管理类用户缺省角色为network-operator,否则设备管理类用户无法通过认证。

·     缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

4.5  配置步骤

4.5.1  配置RADIUS server

说明

本文以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明该例中RADIUS server的基本配置。

 

1. 增加接入设备

# 登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·     设置与Switch交互报文时使用的认证和授权共享密钥为“expert”;

·     设置认证及计费的端口号分别为“1812”(RADIUS服务器的认证端口为UDP端口1812)和“1813”(RADIUS服务器的计费端口为UDP端口1813);

·     选择业务类型为“设备管理业务”;

·     选择接入设备类型为“H3C”;

·     选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图7 增加接入设备

 

2. 增加设备管理用户

# 选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。

·     输入用户名“hello@bbb”和密码。

·     选择服务类型为“SSH”。

·     添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.255”。

·     单击<确定>按钮完成操作。

说明

添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。

 

图8 增加设备管理用户

 

4.5.2  配置Switch

# 配置各接口的IP地址(略)。

# 生成RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH服务器功能。

[Switch] ssh server enable

# 配置SSH用户登录采用AAA认证方式。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] authentication-mode scheme

# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。

[Switch] role default-role enable# 配置RADIUS方案。

[Switch] radius scheme rad

# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为1812。

[Switch-radius-rad] primary authentication 10.1.1.1 1812

# 配置主计费服务器的IP地址为10.1.1.1,计费端口号为1813。

 [Switch-radius-rad] primary accounting 10.1.1.1 1813

 # 配置与认证和计费服务器交互报文时的共享密钥为明文expert。

[Switch-radius-rad] key authentication simple expert

[Switch-radius-rad] key accounting simple expert

# 配置向RADIUS服务器发送的用户名要携带域名。

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

# 创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证、授权和计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] accounting login  radius-scheme rad

[Switch-isp-bbb] quit

4.6  验证结果

SSH用户可以使用用户名hello@bbb和密码aabbcc通过认证,同时获得用户角色network-operator。

4.7  配置文件

#

interface Vlan-interface2

 ip address 192.168.1.70 255.255.255.0

#

interface Vlan-interface3

 ip address 10.1.1.2 255.255.255.0

#

user-interface vty 0 15

 authentication-mode scheme

 user-role network-operator

#

 ssh server enable

#

 radius nas-ip 10.1.1.2

#

radius scheme rad

 primary authentication 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$63G7LzIQElGq4aFGTiYQafU+loQxS/cbLg==

 key accounting cipher $c$3$tUIVlyGISJ5X/yiTFWrmh8nyjBIF+1LFzQ==

#

domain bbb

 authentication login radius-scheme rad

 authorization login radius-scheme rad

 accounting login radius-scheme rad

#

5  相关资料

·     《H3C S12500系列路由交换机  安全配置指导》中的“AAA”

·     《H3C S12500系列路由交换机  安全命令参考》中的“AAA”

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们