01-AAA典型配置指导
本章节下载: 01-AAA典型配置指导 (280.72 KB)
目 录
1.3 Telnet用户通过HWTACACS服务器认证、授权、计费典型配置指导
1.4 SSH用户通过RADIUS服务器认证、授权、计费的应用配置
1.5 多类型用户通过RADIUS服务器进行认证、授权典型配置指导
AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
l 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
l 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作。
l 计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。AAA的基本组网结构如图1-1。
图1-1 AAA基本组网结构示意图
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(RADIUS服务器或HWTACACS服务器),RADIUS协议或HWTACACS协议规定了NAS与服务器之间如何传递用户信息。
NAS设备对用户的管理是基于ISP域的,一个ISP(Internet Service Provider,Internet服务提供者)域是由属于同一个ISP的用户构成的群体。每个接入用户都属于一个ISP域。用户所属的ISP域是由用户登录时提供的用户名决定的,如图1-2所示。
为便于对不同接入方式的用户进行区分管理,AAA将用户划分为以下几个类型:
l lan-access用户:LAN接入用户,如802.1X认证、MAC地址认证用户。
l login用户:登录设备用户,如SSH、Telnet、FTP、终端接入用户。
l Portal接入用户。
用户登录设备后,AAA还可以对其提供以下服务,用于提高用户登录后对设备操作的安全性:
l 命令行授权:用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。
l 命令行计费:用户执行过的所有命令或被成功授权执行的命令,会被计费服务器进行记录。
l 级别切换认证:在不退出当前登录、不断开当前连接的前提下,用户将自身的用户级别由低向高切换的时候,需要通过服务器的认证,级别切换操作才被允许。
AAA支持在ISP域视图下针对不同的接入方式配置不同的认证、授权、计费的方法(一组不同的认证/授权/计费方案)。
l Host为FTP客户端,IP地址为192.168.0.2;Switch为FTP服务器,IP地址为192.168.0.1。
l 配置Switch实现对FTP用户的本地认证和授权。
图1-3 FTP用户本地认证、授权配置组网图
l 开启Switch的FTP服务器功能。
l 配置本地用户,用户名ftp,密码pwd。
l 配置认证域system,并为域内Login用户配置本地认证/授权方案。
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置Switch:
# 配置Switch的VLAN接口1的IP地址为192.168.0.1,FTP用户将通过该地址连接交换机。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch–Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface1] quit
# 开启设备的FTP服务器功能。
[Switch] ftp server enable
# 创建本地用户。
[Switch] local-user ftp
[Switch-luser-ftp] password simple pwd
[Switch-luser-ftp] service-type ftp
[Switch-luser-ftp] quit
# 配置ISP域内Login用户的AAA方案为本地认证、授权。
[Switch] domain system
[Switch-isp-system] authentication login local
[Switch-isp-system] authorization login local
[Switch-isp-system] quit
(2) 验证配置结果
完成上述配置后,在Host以FTP方式登录FTP服务器,输入正确的用户名“ftp@system”和密码“pwd”,可以建立FTP连接。
c:\> ftp 192.168.0.1
Connected to 192.168.0.1.
220 FTP service ready.
User(192.168.0.1:(none)):ftp@system
331 Password required for ftp@system.
Password:
230 User logged in.
ftp>
#
ftp server enable
#
domain default enable system
#
domain system
authentication login local
authorization login local
access-limit disable
state active
idle-cut disable
self-service-url disable
#
local-user ftp
password simple pwd
service-type ftp
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
使用FTP登陆时输入用户名为ftp@system,以使用域“system”进行认证。
通过配置Switch实现HWTACACS服务器对登录Switch的用户进行认证、授权、计费,如果HWTACACS服务器无响应,则切换为备选Local认证。
l 一台HWTACACS服务器(担当认证、授权、计费服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。
l Switch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。
l 在HWTACACS服务器上设置与Switch交互报文时的共享密钥为expert。
图1-4 配置Telnet用户的远端HWTACACS认证、授权和计费
表1-2 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1505 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
# 开启Switch的Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] quit
# 配置HWTACACS方案。
[Switch] hwtacacs scheme hwtac
[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49
[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49
[Switch-hwtacacs-hwtac] key authentication expert
[Switch-hwtacacs-hwtac] key authorization expert
[Switch-hwtacacs-hwtac] key accounting expert
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
[Switch] domain 1
[Switch-isp-1] authentication login hwtacacs-scheme hwtac local
[Switch-isp-1] authorization login hwtacacs-scheme hwtac local
[Switch-isp-1] accounting login hwtacacs-scheme hwtac local
[Switch-isp-1] quit
# 创建本地用户telnet。
[Switch] local-user telnet
[Switch-luser-telnet] service-type telnet
[Switch-luser-telnet] password simple telnet
#
telnet server enable
#
hwtacacs scheme hwtac
primary authentication 10.1.1.1
primary authorization 10.1.1.1
primary accounting 10.1.1.1
key authentication expert
key authorization expert
key accounting expert
user-name-format without-domain
#
domain 1
authentication login hwtacacs-scheme hwtac local
authorization login hwtacacs-scheme hwtac local
accounting login hwtacacs-scheme hwtac local
#
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
local-user telnet
service-type telnet
password simple telnet
使用Telnet登陆时输入用户名为userid@1,以使用域1进行认证。
如图1-5所示,配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。
l 一台RADIUS服务器(其担当认证RADIUS服务器和计费RADIUS服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。
l Switch与认证、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名带域名。
图1-5 SSH用户RADIUS认证、授权和计费配置组网图
l RADIUS服务器使用iMC服务器为例,需要分别进行接入设备和管理用户的相关配置。
l Switch需要启动SSH服务器功能,并生成RSA及DSA密钥对。
l Switch上需要设置SSH用户登录采用AAA认证方式,并配置RADIUS方案和认证域。
表1-3 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置与Switch交互报文时的认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 选择业务类型为设备管理业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。
图1-6 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面。
l 添加用户名hello@bbb和密码;
l 选择服务类型为SSH;
l 增加所管理设备的IP地址,IP地址范围为“192.168.1.0~192.168.1.255”。
图1-7 增加设备管理用户
(2) 配置Switch
# 配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH服务器。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit
# 生成RSA及DSA密钥对,并启动SSH服务器。
[Switch] public-key local create rsa
[Switch] public-key local create dsa
[Switch] ssh server enable
# 配置SSH用户登录采用AAA认证方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 配置用户远程登录Switch的协议为SSH。
[Switch-ui-vty0-4] protocol inbound ssh
[Switch-ui-vty0-4] quit
# 配置RADIUS方案。
[Switch] radius scheme rad
[Switch-radius-rad] primary authentication 10.1.1.1 1812
[Switch-radius-rad] primary accounting 10.1.1.1 1813
[Switch-radius-rad] key authentication expert
[Switch-radius-rad] key accounting expert
[Switch-radius-rad] user-name-format with-domain
[Switch-radius-rad] quit
# 配置ISP域的AAA方案。
[Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] accounting login radius-scheme rad
[Switch-isp-bbb] quit
使用SSH登陆时输入用户名为userid@bbb,以使用域bbb进行认证。
(3) SSH用户建立与Switch的连接
在SSH客户端按照提示输入用户名hello@bbb及密码,即可进入Switch的用户界面。用户登录系统后所能访问的命令级别由iMC服务器授权,可通过设备管理用户界面的EXEC权限级别来设置。
#
radius scheme rad
primary authentication 10.1.1.1 1812
primary accounting 10.1.1.1 1813
key authentication expert
key accounting expert
user-name-format with-domain
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
ssh server enable
#
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
无
在图1-8所示的环境中,安装了802.1X客户端的用户Host A,通过Switch端口GE1/0/1接入网络;Telnet用户Host B通过Switch端口GE1/0/2接入网络。
l 一台RADIUS认证服务器担当认证/授权服务器的职责,服务器IP地址为10.1.1.3。
l Switch与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为aabbcc,向RADIUS服务器发送的用户名中不带域名。
l 需要通过配置Switch实现对登录交换机的Host A实行RADIUS认证,Host B实行本地认证。
图1-8 多类型用户通过RADIUS服务器进行认证、授权组网图
(1) 配置Radius服务器(本例以iMC服务器配置为例)
l 增加接入设备:建立iMC服务器和接入设备Switch之间的联动关系。
l 增加服务:用户进行认证授权的各种策略的集合。
l 增加接入用户:包含802.1X用户的用户名、密码等信息。
l 增加设备管理用户:Telnet用户的用户名、密码等信息。
(2) 配置接入设备Switch
l 创建本地用户,用户名为guest,密码为123456。
l 配置RADIUS方案方案radius1,指定RADIUS认证/授权服务器IP地址分别为10.1.1.3;Switch与认证RADIUS服务器交互报文时的共享密钥为expert。
l 创建ISP域test,并在该域下配置所有802.1X用户登录时采用的RADIUS认证方案“radius1”,所有Login用户登录时采用本地认证。
l 开启全局和端口GE1/0/1下的802.1X功能。
表1-4 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
iMC服务器上的配置主要包含如下四步:
l 增加接入设备:建立iMC服务器和接入设备之间的联动关系。
l 增加服务:这里的“服务”是指对用户进行认证授权的各种策略的集合。
l 增加接入用户:添加802.1X用户的帐号名、密码等信息。
l 增加设备管理用户:添加Telnet用户的用户名和密码,用户设备的IP地址(或IP地址范围),并选择服务类型等。
具体配置如下:
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置与Switch交互报文时的认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 分别选择业务类型为设备管理业务和LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。
图1-9 增加接入设备-LAN接入业务
图1-10 增加接入设备-设备管理业务
# 增加服务。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入“服务配置管理”页面,在该页面中单击“增加”按钮,进入增加服务配置页面。
l 输入服务名“service1”(可以任意命名),服务后缀“test”;
l 其它参数采用缺省值;
l 点击<确定>按钮。
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入“所有接入用户”列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 单击<增加用户>按钮,添加用户信息;
l 输入帐号名guest(该帐号为802.1X用户接入网络时使用的标识),密码123456;
l 勾选接入服务“service1”;
l 点击<确定>按钮。
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面。
l 添加用户名“telnet@test”和密码“123456”;
l 选择服务类型为Telnet;
l 增加所管理设备的IP地址,IP地址范围为“192.168.0.3~192.168.0.127”。
图1-11 增加设备管理用户
(2) 配置Switch
# 配置各接口的IP地址(略)。
# 开启Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] quit
# 添加本地接入用户,用户名为telnet,密码为123456。
[Sysname] local-user telnet
[Sysname-luser-telnet] service-type telnet
[Sysname-luser-telnet] password simple 123456
[Sysname-luser-telnet] quit
# 配置RADIUS方案。
[Switch] radius scheme radius1
[Switch-radius-radius1] primary authentication 10.1.1.3 1812
[Switch-radius-radius1] primary accounting 10.1.1.3 1813
[Switch-radius-radius1] key authentication expert
[Switch-radius-radius1] server-type extended
[Switch-radius-radius1] quit
# 在test域中配置802.1X用户使用radius1方案进行认证,Telnet用户使用本地认证。
[Switch] domain test
[Switch-isp-test] authentication lan-access radius-scheme radius1
[Switch-isp-test] authentication login local
[Switch-isp-test] quit
# 配置域test为默认域。
[Switch] domain default enable test
# 开启全局802.1x特性。
[Switch] dot1x
# 在以太网端口GigiabitEthernet1/0/1上开启802.1X特性。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x
(3) 验证配置结果
Host A 通过802.1X客户端软件(如iNode客户端)发起802.1X连接,输入正确的用户名“guest@test”和密码“123456”,可以成功访问Internet。
Host B登录交换机,需要输入用户名为telnet@test,和密码“123456”。
#
telnet server enable
#
domain default enable test
#
radius scheme radius1
server-type extended
primary authentication 10.1.1.3
primary accounting 10.1.1.3
key authentication expert
#
domain test
authentication lan-access radius-scheme radius1
authentication login local
#
user-interface vty 0 4
authentication-mode scheme
#
local-user telnet
service-type telnet
password simple 123456
#
interface GigabitEthernet1/0/1
dot1x
#
无
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!