没有合适的资源?快使用搜索试试~ 我知道了~
首页H3C交换机AAA认证以及radius认证详解
H3C交换机AAA认证以及radius认证详解
5星 · 超过95%的资源 需积分: 50 193 下载量 25 浏览量
更新于2023-03-03
评论 6
收藏 459KB PDF 举报
本文当是华三公司的有关AAA协议的详解,大家都知道H3C出过不少通俗易懂的技术类文章,本篇也不例外,相信能为很多做网络通信设备的TX门答疑解惑
资源详情
资源评论
资源推荐
H3C S2126-EI 以太网交换机 操作手册
AAA
目 录
i
目 录
第 1 章 AAA简介 .....................................................................................................................1-1
1.1 AAA简介............................................................................................................................. 1-1
1.1.1 认证功能 .................................................................................................................. 1-1
1.1.2 授权功能 .................................................................................................................. 1-1
1.1.3 计费功能 .................................................................................................................. 1-2
1.1.4 ISP域简介................................................................................................................ 1-2
1.2 AAA服务简介 ..................................................................................................................... 1-2
1.2.1 RADIUS服务简介 .................................................................................................... 1-2
1.2.2 HWTACACS简介..................................................................................................... 1-7
第 2 章 AAA配置 .....................................................................................................................2-1
2.1 配置AAA............................................................................................................................. 2-1
2.1.1 配置简介 .................................................................................................................. 2-1
2.1.2 创建ISP域并配置其属性 .......................................................................................... 2-2
2.1.3 配置ISP域的认证、授权、计费方案........................................................................ 2-3
2.1.4 配置动态VLAN下发 ................................................................................................. 2-5
2.1.5 配置本地用户的属性................................................................................................ 2-6
2.1.6 配置强制切断用户连接 ............................................................................................ 2-8
2.2 配置RADIUS ......................................................................................................................2-8
2.2.1 创建RADIUS方案 .................................................................................................. 2-10
2.2.2 配置RADIUS认证/授权服务器 ............................................................................... 2-11
2.2.3 配置RADIUS计费服务器 ....................................................................................... 2-11
2.2.4 配置RADIUS报文的共享密钥 ................................................................................ 2-12
2.2.5 配置RADIUS请求报文的最大传送次数.................................................................. 2-13
2.2.6 配置支持的RADIUS服务器的类型......................................................................... 2-14
2.2.7 配置RADIUS服务器的状态.................................................................................... 2-14
2.2.8 配置发送给RADIUS服务器的数据相关属性 .......................................................... 2-15
2.2.9 配置本地RADIUS认证服务器 ................................................................................ 2-16
2.2.10 配置RADIUS服务器的定时器 .............................................................................. 2-17
2.2.11 配置系统发送RADIUS 服务器状态变为Down的Trap .......................................... 2-18
2.2.12 配置设备重启用户再认证功能 ............................................................................. 2-18
2.3 配置HWTACACS ............................................................................................................. 2-19
2.3.1 创建HWTACACS方案 ........................................................................................... 2-20
2.3.2 配置TACACS认证服务器 ...................................................................................... 2-20
2.3.3 配置TACACS授权服务器 ...................................................................................... 2-21
2.3.4 配置TACACS计费服务器 ...................................................................................... 2-21
2.3.5 配置HWTACACS报文的共享密钥 ......................................................................... 2-22
H3C S2126-EI 以太网交换机 操作手册
AAA
目 录
ii
2.3.6 配置发送给TACACS服务器的数据相关属性 ......................................................... 2-23
2.3.7 配置TACACS服务器的定时器 ............................................................................... 2-23
2.4 AAA显示和维护................................................................................................................ 2-24
2.5 AAA典型配置举例 ............................................................................................................ 2-25
2.5.1 Telnet/SSH用户通过RADIUS服务器认证的应用配置............................................ 2-25
2.5.2 FTP/Telnet用户本地认证配置................................................................................ 2-27
2.5.3 配置Telnet用户通过TACACS服务器进行认证和授权............................................ 2-28
2.6 AAA常见配置错误举例..................................................................................................... 2-29
2.6.1 RADIUS常见配置错误举例.................................................................................... 2-29
2.6.2 HWTACACS常见配置错误举例............................................................................. 2-30
H3C S2126-EI 以太网交换机 操作手册
AAA
第 1 章 AAA 简介
1-1
第1章 AAA 简介
1.1 AAA
简介
AAA 是 Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它是对网络安全的一种管理方式。提供了一个对认证、授权和计费这三种功能
进行统一配置的框架。
z 认证:哪些用户可以访问网络服务器;
z 授权:具有访问权的用户可以得到哪些服务;
z 计费:如何对正在使用网络资源的用户进行计费。
AAA 一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存
放用户信息。因此,AAA 框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
1.1.1 认证功能
AAA 支持以下认证方式:
z 不认证:对用户非常信任,不对其进行合法性检查。一般情况下不建议用户采
用这种方式。
z 本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
z 远端认证:支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证,设备
(如 H3C 系列交换机)作为客户端,与 RADIUS 服务器或 TACACS 服务器通
信。对于 RADIUS 协议,可以采用标准或扩展的 RADIUS 协议,与
iTELLIN/CAMS 等系统配合完成认证。远端认证的优点是便于集中管理,并且
提供丰富的业务特性;缺点是必须提供服务器,并进行服务器端的正确配置。
1.1.2 授权功能
AAA 支持以下授权方式:
z 直接授权:对用户非常信任,直接授权通过。
z 本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
H3C S2126-EI 以太网交换机 操作手册
AAA
第 1 章 AAA 简介
1-2
z RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用 RADIUS 进行授权。
z HWTACACS 授权:由 TACACS 服务器对用户进行授权。
1.1.3 计费功能
AAA 支持以下计费方式:
z 不计费:不对用户计费。
z 远端计费:支持通过 RADIUS 服务器或 TACACS 服务器进行远端计费。
1.1.4 ISP 域简介
ISP 域即 ISP 用户群,一个 ISP 域是由属于同一个 ISP 的用户构成的用户群。
在“userid@isp-name”或 者“userid.isp-name”形式的用户名中,“@” 或者“.”
后的“isp-name”即为 ISP 域的域名。接入设备将“userid”作为用于身份认证的
用户名,将“isp-name”作为域名。
在多个 ISP 的应用环境中,同一个接入设备接入的有可能是不同 ISP 的用户。由于
各 ISP 用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相
同,因此有必要通过设置 ISP 域的方法把它们区别开。
在 ISP 域视图下,可以为每个 ISP 域配置包括使用的 AAA 策略(使用的 RADIUS
方案等)在内的一整套单独的 ISP 域属性。
1.2 AAA
服务简介
1.2.1 RADIUS 服务简介
AAA 是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用
RADIUS 服务来实现 AAA。
1. 什么是 RADIUS
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)
是一种分布式的、客户端/服务器结构的服务方式,能保护网络不受未授权访问的干
扰,常被应用在既要求较高安全性、又要求控制远程用户访问权限的各种网络环境
中。
RADIUS 服务包括三个组成部分:
z 协议:RFC 2865 和 RFC 2866 基于 UDP/IP 层定义了 RADIUS 帧格式及其消
息传输机制,并定义了 1812 作为认证端口,1813 作为计费端口。
H3C S2126-EI 以太网交换机 操作手册
AAA
第 1 章 AAA 简介
1-3
z 服务器:RADIUS 服务器运行在中心计算机或工作站上,包含了相关的用户认
证和网络服务访问信息。
z 客户端:位于网络接入服务器设备侧,可以遍布整个网络。
RADIUS 采用客户端/服务器模型。
z 交换机作为 RADIUS 客户端,负责传输用户信息到指定的 RADIUS 服务器,
然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。
z RADIUS 服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需
要的信息。
RADIUS服务器通常要维护三个数据库,如
图 1-1所示。
z 数据库“Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP
地址等配置)。
z 数据库“Clients”:用于存储 RADIUS 客户端的信息(如共享密钥)。
z 数据库“Dictionary”:存储的信息用于解释 RADIUS 协议中的属性和属性值
的含义。
图1-1 RADIUS 服务器的组成
另外,RADIUS 服务器还能够作为其他 AAA 服务器的客户端进行代理认证或计费。
2. RADIUS 的基本消息交互流程
RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,
增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信
息。用户、交换机、RADIUS服务器之间一种简要的交互流程如
图 1-2所示。
剩余41页未读,继续阅读
Lxm_258
- 粉丝: 1
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论9