18.H3C 交换机 AAA 安全访问掌握与治理
18.1H3C 交换机 AAA 根底
AAA 是 Authentication,Authorization and Accounting 〔认证、授权和计费〕的简称,是对网络访问掌握的一种治理模式。它供给了一个对认证、授权和计费这三种功能进展统一配置的框架;“认证”确定哪些用户可以访问网络效劳器;“授权”确定具有访问权限的用户最终可以获得哪些效劳;“计费”确定如何对正在使用网络资源的用户进展计费。
18.1.1AAA 简介
AAA 一般承受 C/S〔客户端/效劳器〕构造:客户端运行于被治理的资源侧〔这里指网络设备,如接入交换机〕,效劳器上几种存放用户信息。因此,AAA 框架具有良好的可扩展性, 并且简洁实现用户信息的集中治理。
1.AAA 认证
AAA 支持以下认证方式:
⏹不认证:对接入用户信任,不进展合法性检查。这是默认认证方式。
⏹本地认证:承受本地存储的用户信息对用户进展认证。本地认证的优点是速度快,可以降低运营本钱;缺点是存储信息量受设备硬件条件〔如闪存大小〕限制。
⏹远程认证:在 H3C 以太网交换机中,远程认证是指通过 RADIUS 效劳器或 HWTACACS
〔Cisco IOS 交换机中承受的是 TACACS+协议〕效劳器对接入用户进展的认证。此时,H3C 交换机作为 RADIUS 或者 HWTACACS 客户端,与 RADIUS 效劳器或 TACACS 效劳器通信。远程认证的有点是便于集中治理,并且供给丰富的业务特性;缺点是必需供给特地的RADIUS 或者 HWTACACS 效劳器,并进展正确的效劳器配置。
2.AAA 授权
AAA 支持以下授权方式:
⏹直接授权:对用户信任,直接授权通过。
⏹本地授权:依据交换机上为本地用户账号配置的相关属性进展授权。
⏹RADIUS 认证成功后远程授权:由 RADIUS 效劳器对用户进展远程授权。要留意:RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 效劳器进展授权。
⏹HWTACACS 远程授权:由 HWTACACS 效劳器对用户进展远程授权〔HWTACACS 效劳器的
授权是独立于认证进展的〕。
3.AAA 计费
AAA 支持以下计费方式:
⏹不计费:不对用户计费。
⏹本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
⏹远程计费:支持通过 RADIUS 效劳器或 HWTACACS 效劳器进展远程计费。
18.1.2ISP 域简介
ISP 域即 ISP 用户,通常是把经过同一个ISP 接入的用户划分到同一个 ISP 域中。这主要是应用于存在多个 ISP 的应用环境中,由于同一个接入设备接入的有可能是不同ISP 的用户。假设只有一个 ISP,则可以直接使用系统默认域system。
在 ISP 域视图下,可以为每个 ISP 域配置包括使用 AAA 策略在内的一整套单独的 ISP 域属性。用户的认证、授权、计费都是在用户所属的 ISP 域视图下应用预先配置的认证、授权、计费方案实现的。这个用户所属的 ISP 域,由其登录时供给的用户名打算:
cipher命令⏹假设用户登录时输入“userid@domain-name”形式的用户名,则其所属的ISP 域为
“domain-name”域。
⏹假设用户登录时输入“userid”形式的用户名,则其所属的 ISP 域为接入设备上配置的默认域 system。
为便于对不同接入方式的用户进展区分治理,AAA 还可以将域用户划分为以下两个类型:
⏹lan-access 用户〔局域网访问用户〕:通过 LAN 接入的用户,如直接接入 LAN 中,然后通过 IEEE 802.1x 认证、MAC 地址认证的用户。
⏹login 用户:通过远程网络登录的用户,如SSH、Telnet、FTP、终端接入用户。
18.1.3HWTACACS 简介
HWTACACS〔华为终端访问掌握器访问掌握系统〕是在 TACACS 协议根底上进展了功能增加的安全协议。该协议与RADIUS 协议类似,交换机设备也是用来担当客户端的,也是通过 C/S 模式与 HWTACACS 效劳器通信来实现多种用户的 AAA 功能,可用于 PPP 和 VPDN 接入用户及终端用户的认证、授权和计费。但是RADIUS 效劳器的认证和授权是捆绑在一起进展的,而 TACACS 和 HWTACACS 的认证好授权是独立进展的。
TACACS/HWTACACS主要用于远程登录用户〔非直接 LAN 访问用户〕的访问掌握和计费, 交换机作为 TACACS/HWTACACS的客户端,充当中间代理的作用,将恳求认证的用户的用户名和密码发送给 TACACS/HWTACACS效劳器进展验证,验证通过并得到授权之
后,用户才可以登录到交换机上进展操作。
18.1.4H3C 交换机配置 AAA 配置任务
在 H3C 以太网交换机 AAA 方案中,又可以区分 ISP 域是承受认证、授权、计费捆绑方式,还是承受认证、授权、计费分别方式。假设承受捆方式,则在配置ISP 域的 AAA 方案时
支持在同一个 ISP 域视图下,针对不同的用户接入方式配置不同的AAA 方案;假设承受分别方式,则在配置 ISP 域的 AAA 方案时用户可以分别指定认证、授权、计费方案。假设承受RADIUS、HWTACACS 认证方案,需要提前完成 RADIUS 或 HWTACACS 相关配置。
在作为 AAA 客户端的接入设备〔如 H3C 以太网交换机〕上,AAA 的根本配置思路如下:
(1)配置 AAA 方案:依据需要配置本地或远程认证方案。
⏹本地认证:需要配置本地用户,即local user 的相关属性,包括手动添加认证的用户名
和密码等。
⏹远程认证:需要配置 RADIUS 或 HWTACACS 方案,并在效劳器上配置相应
的胡勇属性。
(2)配置实现 AAA 的方法:在用户所属的 ISP 域中分别指定实现认证、授权、计费的方法,都可以选择 none〔不〕、local〔本地〕和 scheme〔远程〕方法。
18.2H3C 交换机本地用户配置与治理
中选择使用本地〔local〕认证方法对用户进展认证时,应在交换机上创立本地用户并配置相关属性。所谓本地用户,是指在本地交换机上设置的一组以用户名为唯一标识的用户。为使某个恳求网络效劳的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相 应的表项。
18.2.1本地用户属性
在 H3C 以太网交换机上课配置的本地用户属性包括:
⏹效劳类型
用户接入设备时可使用的网络效劳类型。该属性是本地认证的检测项,假设没有用户可使用的效劳类型,则该用户无法接入设备。H3C 以太网交换机可支持的效劳类型包括:FTP、lan-access、Portal〔Web 认证〕、SSH、Telnet、Terminal。
⏹用户状态
用户指示是否允许该用户恳求网络效劳器,包括 active〔活泼〕和 block〔堵塞〕两种状态。active 表示允许该用户恳求网络效劳,block 表示制止该用户恳求网络效劳。
⏹最大用户数
指使用当前用户名接入设备的最大用户数目。假设当前该用户名的接入用户数已到达最大值,则使用该用户名的用户将被制止接入。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论