《华为AAA和RADIUS配置.docx》由会员分享,可在线阅读,更多相关《华为AAA和RADIUS配置.docx(5页珍藏版)》请在三一办公上搜索。
1、华为AAA和RADIUS配置华为设备AAA和RADIUS配置 一、AAA概述 AAA是Authentication,Authorization and Accounting的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: l 哪些用户可以访问网络服务器; l 具有访问权的用户可以得到哪些服务; l 如何对正在使用网络资源的用户进行计费; 针对以上问题,AAA必须提供下列服务: l 认证:验证用户是否可获得访问权。 l 授权:授权用户可使用哪些服务。 l 计费:记录用户使用网络资源的情况。 AAA
2、一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。 RADIUS协议概述 如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。 1. 什么是RADIUS 1 RADIUS是Remote Authentication Dial-In User Service的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要 求较高安全性、又要求维持远程用户访问的各种网络环境中。RADIUS系统是 N
3、AS系统的重要辅助部分。 当RADIUS系统启动后,如果用户想要通过与NAS建立连接从而获得访问其 它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS 服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查 找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS在这里,NAS起到了控制接入用户及对应连接的作用, 而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户
4、配置信息和计费信息。 NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息被加密后才在网络上传递,从而避免它们被侦听、窃取。 2 2. RADIUS操作 RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:首先,客户端向RADIUS服务器发送请求报文 ;然后,客户端会收到RADIUS服务器的响应报文,如ACCEPT报文、REJECT报文等。 AAA和RADIUS协议典型配置举例 组网需求 如下图所示的环境中,现需要通过对交换机的配置实现RADIUS服务器对登
5、录交换机的Telnet用户的远端认证。 其中:由一台RADIUS服务器与交换机相连,服务器IP地址为10.110.91.164,设置交换机与认证 RADIUS服务器交互报文时的加密密钥为“expert”,设置交换机从用户名中去除用户域名后再将之传给RADIUS服务器。 2. 配置步骤 # 添加Telnet用户。 # 配置Telnet用户采用远端认证方式,即scheme方式。 Quidway-ui-vty0-4 authentication-mode scheme # 配置domain。 3 Quidway domain cams Quidway-isp-cams quit # 配置RADIUS
6、方案。 Quidway radius scheme cams Quidway-radius-cams primary authentication 10.110.91.164 1812 Quidway-radius-cams key authentication expert Quidway-radius-cams server-type Huawei Quidway-radius-cams user-name-format without-domain # 配置domain和RADIUS的关联。 Quidway-radius-cams quit Quidway domain cams Qui
7、dway-isp-cams scheme radius-scheme ca 二、华为设备配置用户管理 对于华为设备维护人员来说,用户管理配置是相当基础的,同时也是相当重要的。很多华为网络技术初学者往往都是依葫芦画瓢进行设备配置操作,但是并不完全理 解命令的意思。深入了解这些命令的意思,对于设备维护大有裨益,处理起故障也能够得心应手。对于华为设备,无论是华为路由器还是华为交换机,用户管理配置 大致有两种模式: 1、 aaa 视图下配置用户 4 system-view aaa local-user username level 3 /配置用户级别,level 3 具有最高权限,有部分设备有leve
8、l 15的权限。 local-user username password cipher password /配置用户名和密码 local-user username service-type telnet terminal /配置该用户允许使用telnet或console口登陆设备。 强调重点:如果local-user 配置的用户没有配置terminal,那么该用户将无法使用console进行登录,一定要小心,否则设备就只能复位了。 然后在user-interface视图下进行应用: user-interface vty 0 4 authentication-mode aaa /配置使用aa
9、a进行认证 idle-timeout 30 0 /如果用户30分钟没有操作,则将用户断开,避免用户吊死。 2、 system 系统视图下配置用户 5 local-user username password cipher password service-type ssh telnet terminal /意思和上面的是一样的 然后进行user-interface 进行应用: user-interface vty 0 4 authentication-mode scheme /配置vty 0 4 使用默认的本地认证scheme为本地认证 idle-timeout 0 0 /不会自动断开用户,指导用户手动退出 protocol inbound telnet /配置登陆接口协议,vty默认是telnet协议 了解上面的这两种配置方式,以后再碰到华为设备或是H3C设备,你都可以轻松应付,相应的查询aaa命令或是local-user 命令就可以轻松解决问题。 6
