华为交换机AAA配置详解：认证、授权与计费管理

需积分: 45 151 浏览量更新于2024-08-05 收藏 36KB DOCX 举报

本文档深入探讨了华为交换机的AAA（Authentication, Authorization, Accounting）配置与管理，这是网络安全中一种关键的管理机制，用于对用户的认证、授权和计费过程进行统一控制。AAA配置通常在C/S架构（Client/Server，客户端/服务器模式）下进行，其中交换机作为NAS（Network Access Server，网络接入服务器）实现AAA功能。首先，AAA涉及三种基本服务：认证、授权和计费。认证负责验证用户身份，可能采用本地方式或通过远程服务器（如Radius或HWTACACS）处理。授权则决定用户访问网络资源的权限，根据特定的域策略执行，例如在不同域下应用不同的认证/授权模板。计费用于追踪和记录用户对网络资源的使用情况。华为交换机支持基于域的用户管理，通过定义多个域来细化权限控制，比如全局缺省普通域和管理域。用户所属域由用户名后缀或特定符号指定，自定义域可以设置为默认域，但其授权优先级低于AAA服务器配置。 Radius协议是AAA的一个重要组成部分，它利用UDP 1812和1813端口进行通信，并维护用户、客户端和词典三个数据库。用户数据库包含基本信息，客户端数据库记录交换机共享密钥，而词典定义属性和含义，以确保数据的安全传输。共享密钥在客户端和服务器间加密传输，但本身并不通过网络公开。 HWTACACS（华为终端访问控制系统）是另一种用于AAA的协议，它在TACACS+（Terminal Access Controller Access Control System Plus）的基础上进行了优化，提供更高级别的安全性和性能。HWTACACS同样用于用户认证和授权，但相比Radius，它可能更适合大规模部署和复杂的企业环境。总结来说，华为交换机的AAA配置与管理涉及到多个关键概念和技术细节，掌握这些将有助于管理员更好地控制网络访问，确保网络安全并有效地管理资源使用。通过理解域管理、Radius和HWTACACS协议，可以实现灵活且安全的网络准入控制。

 配置与管理

一、基础

、 是指：（认证）、（授权）、（计费）的简称，是网络安全的一种

管理机制； 是本地认证授权， 和  是由远处 （远程拨号认证系统）服务或

（华为终端访问控制系统）服务器完成认证授权；AAA 是基于用户进行认证、授权、计费的，而 NAC 方案

是基于接入设备接口进行认证的。

在实际应用中，可以使用  的一种或两种服务。

、 基本架构：

 结构， 客户端（也叫 网络接入服务器）是使能了  功能的网络设备（可以是一台或多台、不一定

是接入设备）

、 基于域的用户管理：

通过域来进行  用户管理，每个域下可以应用不同的认证、授权、计费以及  或  服务器模板，相

当于对用户进行分类管理

缺省情况下，设备存在配置名为 （全局缺省普通域）和 （全局缺省管理域），均不能删除，

只能修改，都属于本地认证；  为接入用户的缺省域，  为管理员账号域（如

、、、、  用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是!、"、#等符号，如

!$

就表示属

于



域，如果用户名不带!，就属于系统缺省  域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较  服务器的授权信息优先

级低，通常是两者配置的授权信息一致。

&、 协议

' 通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义 ()*%+、+ 作为认证（授权）、计费端口

' 服务器维护三个数据库：

(,存储用户信息（用户名、口令、使用的协议、-* 地址等）

,存储  客户端信息（接入设备的共享密钥、-* 地址）

).：存储  协议中的属性和属性值含义

' 客户端与  服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

/、 协议

0 是在 （&1）基础上进行了功能增强的安全协议，与  协议类似，主要用于点对点 *** 和

2*)（3%3%%4，虚拟私有拨号网络）接入用户及终端用户的认证、授权、计费。与  相比，

具有更加可靠的传输和加密特性，更加适合于安全控制。

0 协议与其他厂商支持的 5协议的认证流程和实现方式是一致的，能够完全兼容 5协议

6、华为设备对  特性的支持

支持本地、、  三种任意组合

本地认证授权：

优点是速度快，可降低运营成本；缺点是存储信息量受设备硬件条件限制

下载后可阅读完整内容，剩余7页未读，立即下载

华为AAA配置命令

2019-01-03 上传

华为AAA认证命令，包含解析开始就看到了乌克兰等考完了开始了情况

CISCO交换机配置AAA、802.1X以及VACL

2018-01-02 上传

CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证，以进行SSH访问： Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机，使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl，以判断数据包是否通过tcp端口8889进入： sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表： sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记在某网络测试时，工作笔记。一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X的认证体系分为三部分结构： Supplicant System，客户端(PC/网络设备) Authenticator System，认证系统 Authentication Server System，认证服务器三、认证过程 1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等四、配置 1、先配置switch到radius server的通讯全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制编者按：IEEE 802.1x作为一种新生的链路层验证机制协议，其原理、组成、工作进程以及功能等到底如何呢？本文揭示了这项协议在网络安全方面的运行机理及其突出应用。虽然大多数组织的IT基础设施已经加强了边界防御，但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分，关键内部基础设施的访问权只能提供给授权用户。局域网（LAN）历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制，允许授权用户进来，而把非授权用户拒之门外。因此，有了802.1x，LAN便不再是一道敞开的门，其本身也成为安全架构和政策执行的一个重要部分，并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问，如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤，而不仅仅是简单的“开/关（on/off）”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在802.1x中称为请求者）不需要分配供验证用的第3层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘，因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE　802.1x定义了下列逻辑单元：网络访问端口：即网络上的连接点，它可能是物理端口，也可能是逻辑端口。请求者：连接到网络、请求其服务的设备，通常是终端站。请求者是请求验证的设备，但也有可能是一种网络设备。验证者：为验证服务提供便利的网络单元，验证者实际上并不提供验证服务，它充当请求者和验证服务器之间的代理，并且充当政策执行点。端口访问实体：参与验证过程的固件。请求者和验证者都拥有端口访问实体（PAE）单元，请求者的PAE负责对验证信息请求做出响应，验证者的PAE负责与请求者之间的通信，代理授予通过验证服务器验证的证书，并且控制端口的授权状态。验证服务器：提供向验证者申请验证服务的实体，它根据证书提供授权，既可以同验证者放在一起，也可以放在远地。扩展验证协议（EAP）由于使用了扩展验证协议（EAP），802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点（PPP）链路上的应用而定义的，在因特网工程任务组的请求评论文档（RFC）2284中得到了明确定义。基于以上所述，IEEE定义了一种封装模式，允许EAP通过LAN传输，EAP over LAN（EAPoL）于是应运而生。各种验证服务都可以通过这种协议运行，包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输，并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制，如加密等。相反，EAP内运行的验证协议（在RFC 2284当中定义为验证类型）为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全（EAP-TLS），它利用了在RFC 2246中明确定义的传输层协议（TLS）。受控端口和不受控端口 802.1x标准定义了两种逻辑抽象：受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能，根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态，为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态，从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输，验证者与验证服务器之间的流量则通过RADIUS传输。开始时，受控端口处于中断状态，所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息，或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后，就会把证书提供给验证者，然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求，该请求由验证者充当代理。请求者对质问做出响应后，验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后，就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态，即可实现这一步。增强授权功能因为802.1x只明确规定了基本的开/关功能，其他功能甚少，大多数安全专家提到了AAA，即验证、授权和审计，而802.1x仅仅提供了最基本的验证功能，即开/关。部分厂商于是提供了另一层保护，因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度，从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能，而且可以进行扩展，以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务： ● 第2层协议过滤，去除了网络中不接受的第2层协议。 ● 第3层过滤，对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤，禁止不允许的协议进入网络。 ● 速率限制，控制可能有害的信息进入网络的速率。如果利用为每个端口进行编程的授权服务，就能针对特定用户或用户级制订相应的细粒度安全策略，为它们提供仅供访问所需服务的功能，其它服务一概禁止。举一例，即使网络管理员能访问SNMP，会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组，那么在验证期间就可以实施特定的授权策略。就本例而言，SNMP访问权应该授予网络管理组的成员，不然需收回权限，从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证，以进行SSH访问： Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机，使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl，以判断数据包是否通过tcp端口8889进入： sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表： sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记在某网络测试时，工作笔记。一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X的认证体系分为三部分结构： Supplicant System，客户端(PC/网络设备) Authenticator System，认证系统 Authentication Server System，认证服务器三、认证过程 1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等四、配置 1、先配置switch到radius server的通讯全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制编者按：IEEE 802.1x作为一种新生的链路层验证机制协议，其原理、组成、工作进程以及功能等到底如何呢？本文揭示了这项协议在网络安全方面的运行机理及其突出应用。虽然大多数组织的IT基础设施已经加强了边界防御，但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分，关键内部基础设施的访问权只能提供给授权用户。局域网（LAN）历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制，允许授权用户进来，而把非授权用户拒之门外。因此，有了802.1x，LAN便不再是一道敞开的门，其本身也成为安全架构和政策执行的一个重要部分，并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议，控制着对网络访问端口即网络连接点的访问，如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问，用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前，网络访问权完全被禁止。得到验证之后，用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤，而不仅仅是简单的“开/关（on/off）”服务。链路层验证方案的一个优点是，它只要求存在链路层连接，客户端（在802.1x中称为请求者）不需要分配供验证用的第3层地址，因而降低了风险。此外，链路层验证涉及了所有能够在链路上工作的协议，从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘，因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE　802.1x定义了下列逻辑单元：网络访问端口：即网络上的连接点，它可能是物理端口，也可能是逻辑端口。请求者：连接到网络、请求其服务的设备，通常是终端站。请求者是请求验证的设备，但也有可能是一种网络设备。验证者：为验证服务提供便利的网络单元，验证者实际上并不提供验证服务，它充当请求者和验证服务器之间的代理，并且充当政策执行点。端口访问实体：参与验证过程的固件。请求者和验证者都拥有端口访问实体（PAE）单元，请求者的PAE负责对验证信息请求做出响应，验证者的PAE负责与请求者之间的通信，代理授予通过验证服务器验证的证书，并且控制端口的授权状态。验证服务器：提供向验证者申请验证服务的实体，它根据证书提供授权，既可以同验证者放在一起，也可以放在远地。扩展验证协议（EAP）由于使用了扩展验证协议（EAP），802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点（PPP）链路上的应用而定义的，在因特网工程任务组的请求评论文档（RFC）2284中得到了明确定义。基于以上所述，IEEE定义了一种封装模式，允许EAP通过LAN传输，EAP over LAN（EAPoL）于是应运而生。各种验证服务都可以通过这种协议运行，包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输，并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制，如加密等。相反，EAP内运行的验证协议（在RFC 2284当中定义为验证类型）为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全（EAP-TLS），它利用了在RFC 2246中明确定义的传输层协议（TLS）。受控端口和不受控端口 802.1x标准定义了两种逻辑抽象：受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能，根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态，为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态，从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输，验证者与验证服务器之间的流量则通过RADIUS传输。开始时，受控端口处于中断状态，所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息，或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后，就会把证书提供给验证者，然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求，该请求由验证者充当代理。请求者对质问做出响应后，验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后，就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态，即可实现这一步。增强授权功能因为802.1x只明确规定了基本的开/关功能，其他功能甚少，大多数安全专家提到了AAA，即验证、授权和审计，而802.1x仅仅提供了最基本的验证功能，即开/关。部分厂商于是提供了另一层保护，因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度，从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能，而且可以进行扩展，以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务： ● 第2层协议过滤，去除了网络中不接受的第2层协议。 ● 第3层过滤，对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤，禁止不允许的协议进入网络。 ● 速率限制，控制可能有害的信息进入网络的速率。如果利用为每个端口进行编程的授权服务，就能针对特定用户或用户级制订相应的细粒度安全策略，为它们提供仅供访问所需服务的功能，其它服务一概禁止。举一例，即使网络管理员能访问SNMP，会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组，那么在验证期间就可以实施特定的授权策略。就本例而言，SNMP访问权应该授予网络管理组的成员，不然需收回权限，从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。发表于： 2010-03-01，修改于： 2010-03-01 08:56 已浏览168次，有评论0条推荐投诉

LJP@-@

粉丝: 2
资源: 50

华为交换机AAA配置详解：认证、授权与计费管理

华为AAA配置命令

CISCO交换机配置AAA、802.1X以及VACL

华为交换机AAA配置与管理系统.pdf

华为交换机AAA配置和管理.docx

华为交换机AAA配置与管理系统.docx

华为交换机基本配置命令详解.docx

华为交换机配置(18533).docx

华为交换机常用配置命令.docx

华为交换机实用手册_2014.08.12.docx

华为S2300交换机配置图解.docx

最新资源