AAA认证配置、广域网链路
引入:
通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。
新授:
AAA认证配置
AAA系统的简称:
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
常用的AAA协议是Radius
另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS 协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:
l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式
AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS 认证,RADIUS认证没有响应再使用本地认证。
当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。
认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。
授权方案与授权模式
AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。
组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。
当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none
授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。
RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费方案与计费模式
AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。RADIUS
RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。
由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。
案例:
Router>en
Router#conf t
Router(config)#aaa new-model
Router(config)#username aaa password abc
Router(config)#aaa authentication loginfirst group tacacs+ local
Router(config)#aaa authentication loginsecond local enable
Router(config)#line vty 0
Router(config-line)#login authenticationfirst
Router(config-line)#line vty 1
Router(config-line)#login authenticationsecond
Router(config-line)#
广域网链路
窄带广域网
PSTN:Public Switched Telephone Network,公共交换电话网
ISDN:Integrated Services Digital Network,综合业务数字网
DDN:Digital Data Network,数字数据网
帧中继:Frame Relay
X.25:公用分组交换网
宽带广域网
ATM:异步传输模式
SDH:同步数字系列
异步串口
两种异步串口:异步串口分为设置成异步方式的同/异步串口和专用异步串口
异步串口可以设为专线方式和拨号方式,常用的是拨号方式
同步串口
可以工作在DTE和DCE两种方式
可以外接多种类型电缆
支持多种链路层协议
支持IP和IPX网络层协议
display interface serial命令可显示同步串口的信息
DDN专线
数字数据网DDN(Digital Data Network)是利用数字信道传输数据信号的数据传输网。DDN网是由数字传输电路和相应的数字交叉复用设备组成。其中,数字传输主要以光缆传输电路为主,数字交叉连接复用设备对数字电路进行半固定交叉连接和子速率的复用。DTE:数据终端设备--接入DDN网的用户端设备可以是局域网,通过路由器连至对端,也可以是一般的异步终端或图像设备,以及传真机、电传机、电话机等。DTE和DTE之间是全透明传输。
DSU:数据业务单元--可以是调制解调器或基带传输设备,以及时分复用、语音/数字复用等设备。
DTE和DSU主要功能是业务的接入和接出。
特点:
(1)传输速率高:在DDN网内的数字交叉连接复用设备能提供2Mbps或N×64Kbps(≤2M)速率的数字传输信道。
(2)传输质量较高:数字中继大量采用光纤传输系统,用户之间专有固定连接,网络时延小。
(3)协议简单:采用交叉连接技术和时分复用技术,由智能化程度较高的用户端设备来完成协议的转换,本身不受任何规程的约束,是全透明网,面向各类数据用户。
(4)灵活的连接方式:可以支持数据、语音、图像传输等多种业务,它不仅可以和用户终端设备进行连接,也可以和用户网络连接,为用户提供灵活的组网环境。
(5)电路可靠性高:采用路由迂回和备用方式,使电路安全可靠。
(6)网络运行管理简便:采用网管对网络业务进行调度监控,业务的迅速生成。
接入方式:
通过调制解调器接入DDN
在模拟专用网和电话网上开放的数据业务采用这种方式。调制解调又器分为基带和频带传输两种。
通过DDN 的数据终端设备接入DDN
客户直接利用DDN 提供的数据终端设备接入DDN ,而无需增加单独的调制解调器。DDN 提供的数据终端设备接口标准符合ITU-TV.24,35,X.21建议,接口速率范围在2.4kb/s到
128kb/s之间。
通过用户集中器接入DDN
这种方式适合于用户数据接口需要量大或客户已具备用户集中设备的情况。用户集中设备可以是零次群复用设备,也可以是DDN 所提供的小型复用器。
通过模拟电路接入DDN
这种方式主要适用于电话机、传真机和用户交换机(PBX)经模拟电路传输后接入DDN 音频接口的情形。在这里,实现模拟传输的手段可以是市话音频电缆,也可以是无线模拟特高频。
通过2048kb/s数字电路接入DDN
在DDN中,网络设备都配置了标准的符合ITU-T建议的G.703 2048kb/s数字接口如果用户设备能提供同样的接口的可以就近接入DDN 。在这种接入方式中,业务所需的数字传输电路可以和其他的通信业务(如电话)统一进行建设,如合建PCM电缆系统、传输系统。在线路条件比较差的地区,还可以采用合建数字微波、数字特高频等。
SDH:
SDH(Synchronous Digital Hierarchy,同步数字体系)是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络,是美国贝尔通信技术研究所提出来的同步光网络(SONET)。
SDH技术自从90年代引入以来,至今已经是一种成熟、标准的技术,在骨干网中被广泛采用,且价格越来越低,在接入网中应用可以将SDH技术在核心网中的巨大带宽优势和技术优势带入接入网领域,充分利用SDH同步复用、标准化的光接口、强大的网管能力、灵活网络拓扑能力和高可靠性带来好处,在接入网的建设发展中长期受益。
特点:
SDH传输系统在国际上有统一的帧结构,形成了全球统一的数字传输体制标准,提高了网络的可靠性
SDH接入系统的不同等级的码流在帧结构净负荷区内的排列非常有规律,而净负荷与网络同步,减少了背靠背的接口复用设备,改善了网络的业务传送透明性。
由于采用了较先进的分插复用器(ADM)、数字交叉连接(DXC)、网络的自愈功能和重组功能就显得非常强大,具有较强的生存率。
由于SDH有多种网络拓扑结构,它所组成的网络非常灵活,它能增强网监,运行管理和自动配置功能,优化了网络性能,同时也使网络运行灵活、安全、可靠,使网络的功能非常齐全和多样化。
SDH有传输和交换的性能,它的系列设备的构成能通过功能块的自由组合,实现了不同层次和各种拓扑结构的网络,十分灵活。
SDH并不专属于某种传输介质,它可用于双绞线、同轴电缆,但SDH用于传输高数据率则需用光纤。
从OSI模型的观点来看,SDH属于其最底层的物理层,并未对其高层有严格的限制,便于在SDH上采用各种网络技术,支持ATM或IP传输。
SDH是严格同步的,从而保证了整个网络稳定可靠,误码少,且便于复用和调整。
标准的开放型光接口可以在基本光缆段上实现横向兼容,降低了联网成本。
POS:
POS是一种新出现的在SONET/SDH上承载IP和其他数据包的传输技术。POS将长度可变的数据包直接映射进SONET同步载荷中,使用SONET/SDH物理层传输标准,提供了一种高速、可靠、点到点的数据连接。可以应用于2层、3层的交换机和路由器。
POS是IP数据包通过采用点到点协议PPP(Point to Point Protocol)对IP数据包进行封装,
并采用HDLC的帧格式映射到SDH/SONET帧上,按某个相应的线速进行连续传输,它保留了IP面向非连接的特性。
CPOS即通道化的POS,可以拆分为63个E1
特点:
技术简洁性
POS技术可以很容易的跨越地区和国界,兼容各种不同的技术和标准,实现无缝连接,在路由器上有POS端口,互连非常简便,适用于IP骨干网。
带宽利用率高
对于昂贵的长途广域网络来说,POS技术能比IP Over ATM提高25%-30%的线路利用率,这是一个相当客观的数字。
高可靠性
POS提供与SDH完全一致的APS(Automatic Protection Switching )线路冗余功能,保证网络可靠性。
成本低,收回投资周期短
小结:
通过本次课程的学习,学生能独立进行AAA认证配置,并了解广域网链路的基础知识,对以后自行设计规划方案打下基础。
作业:
ACS访问原理 ACS主要是应用于运行Cisco IOS软件的思科网络设备,当然,ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。这其中包括: ?Cisco Catalyst交换机(运行Cisco Catalyst操作系统[CatOS]) ?Cisco PIX防火墙(还有ASA/FWSM ) ?Cisco VPN 3000系列集中器 不运行Cisco IOS软件的思科设备(如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器)可能也支持启用特权、TACACS+(验证、授权和记帐[AAA])命令授权或以上两者。 运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案: ?启用权利(Enable priviledges) ?AAA命令授权 Cisco IOS软件有16个特权级别,即0到15(其他思科设备可能支持数目更少的特权级别;例如,Cisco VPN 3000集中器支持两个级别)。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行启用命令,提供用户的启用口令和请求的新特权级别。如果口令正确,即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。这些等级缺省是有命令集的,比如说等级1只有一些基本的show命令等,而等级15是全部命令的集合。其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。 缺省级别: 特权级别说明 0 包括disable, enable, exit, help和logout命令 1 包括router>提示值时的所有用户级命令 15 包括router#提示值时的所有启用级命令 可修改这些级别并定义新级别: enable password level 10 pswd10 privilege exec level 10 clear line privilege exec level 10 debug ppp chap privilege exec level 10 debug ppp error privilege exec level 10 debug ppp negotiation
ACS配置的几个要点: 1、在接口配置拦目中选择相应的项目,否则不会在其他拦目中显示出来 2、在设备端的示例 ACS认证(authentication):路由器方式和PIX不同 Step1>在设备端定义tacacs+服务器地址以及key tacacs-server host 202.101.110.110 tacacs-server directed-request tacacs-server key test Step2>在ACS端定义设备的IP地址 Step3>在ACS上面建立用户名和用户组 Step4>在设备端配置AAA认证 aaa new-model aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable line vty 0 4 login authentication default 授权、记帐: aaa new-model aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local line vty 0 4 authorization commands 1 default authorization commands 15 default aaa accounting exec default start-stop group tacacs+ lin vty 0 4 accounting exec default 如果要记录用户所用的命令,设备端配置为: aaa new-model aaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ line vty 0 4 accounting commands 0 default accounting commands 1 default accounting commands 15 default 一、AAA服务器配置:PIX/ASA方式 Chicago(config)# username admin password cisco Chicago(config)# aaa-server mygroup protocol radius
华为交换机AAA配置与管理
AAA配置与管理 一、基础 1、AAA是指:authentication(认证)、authorization (授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization 和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。 在实际应用中,可以使用AAA的一种或两种服务。 2、AAA基本架构: C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备) 3、AAA基于域的用户管理: 通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理 缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能
5、hwtacacs协议 Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDN (virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制。 Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议 6、华为设备对AAA特性的支持 支持本地、radius、 hwtacacs三种任意组合 本地认证授权: 优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制 RADIUS认证、计费: 优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能 Hwtacacs认证、授权、计费: 认证、授权、计费室单独进行的,可以单独配置使用,在
AAA认证配置、广域网链路 引入: 通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。 新授: AAA认证配置 AAA系统的简称: 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius 另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS 协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于: l RADIUS基于UDP协议,而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS 认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
如何在Cisco设备上来配置AAA的认证? 实验设备: cisco 3640路由器1台,PC一台,Console线缆一根,交叉线一根 实验拓扑: 实验过程: 第一步:通过console线缆,使用超级终端或者SecureCRT登录路由器,完成基本配置,同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1,掩码255.255.255.0 Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#line console 0 Router(config-line)#no exec-t Router(config-line)#logg syn
3640(config)#host R3640 R3640(config)#int e1/0 R3640(config-if)#ip add 192.168.10.3 255.255.255.0 R3640(config-if)#no sh R3640(config-if)#end *Mar 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console R3640#ping 192.168 *Mar 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up *Mar 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up R3640#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms 第二步:启用AAA,并配置登录验证为local R3640#conf t Enter configuration commands, one per line. End with CNTL/Z. R3640(config)#aaa ? new-model Enable NEW access control commands and functions.(Disables OLD commands.)
53配置AAA命令 53.1认证相关命令 53.1.1aaa authentication dot1x 要使用AAA进行802.1X用户认证,请执行全局配置命令aaa authentication dot1x配置802.1X用户认证的方法列表。该命令的no 形式删除802.1X用户认证的方法列表。 aaa authentication dot1x {default | list-name} method1 [method2...] no aaa authentication dot1x {default | list-name} 无 全局配置模式。 如果设备启用AAA 802.1X 安全服务,用户就必须使用AAA进行802.1X 用 户认证协商。您必须使用aaa authentication dot1x命令配置默认的或 可选的方法列表用于802.1X用户认证。 只有前面的方法没有响应,才能使用后面的方法进行认证。 下面的示例定义一个名为rds_d1x的AAA 802.1X用户认证方法列表。该 认证方法列表先使用RADIUS安全服务器进行认证,如果在一定时限内没 有收到RADIUS安全服务器的应答,则使用本地用户数据库进行认证。 Ruijie(config)# aaa authentication dot1x rds_d1x group radius local 无 53.1.2aaa authentication enable 要使用AAA进行Enable认证,请执行全局配置命令aaa authentication enable配置Enable认证的方法列表。该命令的no 形式删除认证的方法列表。 aaa authentication enable default method1 [method2...] no aaa authentication enable default
1.13 AAA典型配置举例 1.13.1 SSH用户的RADIUS认证和授权配置 1. 组网需求 如图1-12所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 ?由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权RADIUS服务器的职责; ? Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813; ? Router向RADIUS服务器发送的用户名携带域名; ? SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。 2. 组网图 图1-12 SSH用户RADIUS认证/授权配置组网图 3. 配置步骤 (1) 配置RADIUS服务器(iMC PLAT 5.0) 下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明RADIUS服务器的基本配置。 # 增加接入设备。 登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 ?设置与Router交互报文时使用的认证、计费共享密钥为“expert”; ?设置认证及计费的端口号分别为“1812”和“1813”; ?选择业务类型为“设备管理业务”; ?选择接入设备类型为“H3C”; ?选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备; ?其它参数采用缺省值,并单击<确定>按钮完成操作。
实验案例 AAA 一、实验目的: 二、实验环境和需求 三、实验拓扑图 四、配置步骤 (一) 配置AAA的认证 1、搭好实验环境,配置路由器实现全网互通。 R1(config)# int f0/0 R1(config-if)# ip add 192.168.1.1 255.255.255.0 R1(config)# int f1/0 R1(config-if)# ip add 192.168.2.1 255.255.255.0 R1(config)# username cisco password cisco R1(configf)# line vty 0 15 R1(config-line)# login local 2、在路由器配置3A,实现登录路由器由AAA tacacs+服务器认证。 R1(config)# aaa new-model //启用3A R1(config)# tacacs-server host 192.168.2.2 //3A 服务器 R1(config)# tacacs-server key cisco //与3A服务器通讯密钥R1(config)# aaa authentication login vty group tacacs+ local line //login 登录路由器 // vty 自定义认证名称,需要调用,写成default不需调用。 // group tacacs+ local line 认证的方法,先从tacacs服务器验证用户,再本地,最后线路 R1(configf)# line vty 0 15 R1(config-line)# login authentication vty //调用
华为交换机aaa配置命令是什么 交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。所以,以太网技术已成为当今最重要的一种局域网组网技术,网络交换机也就成为了最普及的交换机。下面是给大家整理的一些有关华为交换机aaa配置命令,希望对大家有帮助! 华为交换机aaa配置命令 [Huawei]aaa [Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng [Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius,如无响应则本地认证 [Huawei-aaa-authen-aaa]quit [Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei [Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费 [Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时,将用户离线 [Huawei-aaa-accounting-ji_fei]quit 二、配置Radius模板 [Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use [Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口 [Huawei-radius-huawei_use]radius-server authentication
cisco上配置AAA,AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。 Authentication(认证):对用户的身份进行认证,决定是否允许此用户访问网络设备。Authorization(授权):针对用户的不同身份,分配不同的权限,限制每个用户的操作Accounting(计费):对每个用户的操作进行审计和计费 我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。RADIUS是标准的协议,很多厂商都支持。TACACS+是cisco私有的协议,私有意味只有cisco可以使用,TACACS+增加了一些额外的功能。 当用户的身份被认证服务器确认后,用户在能管理交换机或者才能访问网络;在访问设备的时候,我们可以针对这个用户授权,限制用户的行为;最后我们将记录用在设备的进行的操作。 在认证的时候,有一下这些方法: 1.在交换机本地进行用户名和密码的设定,也就是在用户登录交换机的收,交换机会对比自己的本地数据库,查看要登录的用户所使用的用户名和密码的正确性。 2.使用一台或多台(组)外部RADIUS服务器认证 3.使用一台或多台(组)外部TACACS+服务器认证 用一个配置实例,说明交换机上操作 username root secret cisco#在交换机本地设置一个用户,用户名是root,密码是cisco。 aaa new-model#在交换机上激活AAA aaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序,先到tacacs+服务器认证,如果tacacs+服务器出现了故障,不能使用tacacs+认证,我们可以使用交换机的本地数据库认证,也就是用户名root密码cisco aaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证,那么用户就能获得服务器的允许,运行交换机的EXEC对话 aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可,如果tacacs+出现故障,则要通过本地数据库许可 aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间,记录的过程是从开始到结束 aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+ ! tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1 tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为cisco line vty04 login authentication default authorization exec default accounting exec default
44AAA配置 访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。 44.1AAA基本原理 AAA是Authentication Authorization and Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务: ?认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+协议或Local (本地)等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别 的一种方法。 ?授权:授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现,这 些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也 可以远程存放在安全服务器上。 ?记账:记录用户使用网络资源的情况。当AAA记账被启用时,网络设备便开始以 统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是 以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行 读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。 部分产品的AAA仅提供认证功能。所有涉及产品规格的问题,可以通过向福建 星网锐捷网络有限公司市场人员或技术支援人员咨询得到。 尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样,AAA提供更 高级别的安全保护。 使用AAA有以下优点: ?灵活性和可控制性强 ?可扩充性 ?标准化认证 ?多个备用系统 44.1.1AAA基本原理
防火墙AAA的配置 asa(config)# aaa-server [aaa服务器的名子] protocol [radius/tacacs+] 指明AAA服务器的名子和使用的协议 asa(config)# aaa-server [aaa服务器的名子] [连接server的接口名] host [server的IP地址] key [密钥] 指明AAA服务器所在的地址和key asa(config)# aaa authentication [要验证的协议] console [aaa服务器的名子] 配置AAA要验证的协议和使用哪一个服务器做验证, 需要验证的协议有enable 对enable验证 serial 对线路口验证 ssh telnet 对telnet的验证 流量验证,用ACL定义需要验证的流量 asa(config)# aaa authentication match [acl] [outside] [aaa服务器的名子] 来自外部接口的流量,如果匹配ACL做验证,不匹配不做验证直接通过。 代理验证的配置 如果协议本身无法做验证,使用virtual做代理验证。 virtual telnet [192.168.0.9] IP为防火墙的IP或同网段的。 例: include和exclude的使用方法 aaa authentication include包含要求验证/exclude不要求验证 例: aaa authentication include [ftp] [outside] [源IP] [mask] [目的] [name] 来自外部接口的ftp流量都需要找aaa-server验证 asa(config)# aaa local authentication attempts max-fail [3] 最大失效尝试次数 验证代理超时时间的设置 asa(config)# timeout uauth 0:10:10 inactivity 非活跃超时时间 asa(config)# timeout uauth 0:10:10 absolute 绝对超时时间
AAA配置与管理 一、基础 1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs (华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。 在实际应用中,可以使用AAA的一种或两种服务。 2、AAA基本架构: C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备) 3、AAA基于域的用户管理: 通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理 缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。 用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如user@https://www.doczj.com/doc/1517983067.html,就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。 自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。 4、radius协议 Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。 定义UDP 1812、1813作为认证(授权)、计费端口 Radius服务器维护三个数据库: Users:存储用户信息(用户名、口令、使用的协议、IP地址等) Clients:存储radius客户端信息(接入设备的共享密钥、IP地址) Dictionary:存储radius协议中的属性和属性值含义 Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。 5、hwtacacs协议 Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDN(virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制。 Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议 6、华为设备对AAA特性的支持 支持本地、radius、hwtacacs三种任意组合 本地认证授权: 优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制
简单认证配置 1.R1在vty线路上启用AAA登录验证,验证方法列表为telnet,采用本地的用户名和密码登录,都为cisco。本地的特权模式的登录密码为123。 2.验证方法:PC0上telnet 192.168.10.1。 R1配置: hostname R1 ! enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0 ! aaa new-model //启用aaa ! aaa authentication login telnet local //当用户登录时使用本地用户名数据库进行验证,验证方法列表telnet。 ! username cisco password 0 cisco //定义本地用户名和密码 ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 duplex auto speed auto ! line vty 0 4 login login authentication telnet //使用验证方法列表telnet进行验证。 ! Radius sever配置
1. Router0在vty线路上启用AAA登录验证,验证方法列表为telnet,采用RADIUS服务器(19 2.168.10.2)上的用户名和密码登录,都为cisco。两端使用的共享加密密钥为123456。Router0本地的特权模式的登录密码为123。 2.验证方法:PC0上telnet 192.168.10.1。 Router0配置: ! enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0 ! aaa new-model //启用aaa ! aaa authentication login telnet group radius //当用户登录时使用所有radius服务器列表进行验证,验证方法列表telnet。 ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 duplex auto speed auto ! radius-server host 192.168.10.2 auth-port 1645 key 123456 // 配置radius服务器地址、端口号及加密密钥。 ! line vty 0 4 login login authentication telnet//使用验证方法列表telnet进行验证。 Radius sever 配置:
文件编号:Ecc-AT-2011-Q3-6772-009 ACS 5.x 的AAA配置手册 版本:1.3 XX网络 2011年6月
文件说明 本程序文件对Cisco ACS 5.x 的版本进行AAA配置的详细说明文档。 公司名称:华讯网络系统股份有限公司网址:w w w.e c c o m.c o m.c n 电话:8610-88216999传真:8610-88216888 地址:北京市朝阳区建国门外大街2号银泰中心C座2902邮编:100022
文件修订记录 公司名称:华讯网络系统股份有限公司网址:w w w.e c c o m.c o m.c n 电话:8610-88216999传真:8610-88216888 地址:北京市朝阳区建国门外大街2号银泰中心C座2902邮编:100022
目录 1ACS准备 (5) 1.1ACS登陆 (5) 1.2ACS时间设置 (5) 1.2.1设置时区 (5) 1.2.2设置时间 (6) 1.2.3设置NTP (7) 2配置认证 (8) 2.1ACS添加验证用户 (8) 2.2ACS添加Radius客户端 (9) 2.2.1Telnet登陆使用Radius认证 (10) 2.2.2Enable模式使用Radius认证 (10) 2.3ACS添加Tacacs+客户端 (11) 2.3.1Telnet登陆使用Tacacs+认证 (11) 2.3.2Enable模式使用Tacacs+认证 (12) 3配置授权 (15) 3.1客户端配置授权 (15) 3.2ACS配置授权(Tacacs+) (16) 3.2.1创建用户 (16) 3.2.2创建Shell Profiles (17) 3.2.3创建Command Sets (18) 3.2.4设置Authorization (20) 3.2.5查看Authorization报告 (25) 4配置审计 (26) 4.1Radius协议配置审计 (26) 4.2Tacacs+协议配置审计 (27) 公司名称:华讯网络系统股份有限公司网址:w w w.e c c o m.c o m.c n 电话:8610-88216999传真:8610-88216888 地址:北京市朝阳区建国门外大街2号银泰中心C座2902邮编:100022
Username backuser secret gmcc123 aaa new-model aaa authentication login default none aaa authentication login vty-authen group tacacs+ local aaa authorization config-commands aaa authorization commands 0 default none aaa authorization commands 0 vty-author group tacacs+ none aaa authorization commands 1 default none aaa authorization commands 1 vty-author group tacacs+ none aaa authorization commands 15 default none aaa authorization commands 15 vty-author group tacacs+ none aaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ aaa accounting system default start-stop group tacacs+ aaa accounting connection default start-stop group tacacs+ //设备外部连接利用tacacs进行日志记录 aaa accounting exec default start-stop group tacacs+ //EXEC模式设备管理利用tacacs进行日志记录 aaa group server tacacs+ vty-authen// tacacs+ server-group配置,,要加组名。
目录 第1章 AAA配置命令..............................................................................................................1-1 1.1 AAA配置命令.....................................................................................................................1-1 1.1.1 aaa authentication-scheme login............................................................................1-1 1.1.2 aaa-enable..............................................................................................................1-2 1.1.3 debugging aaa.........................................................................................................1-3 1.1.4 display aaa user......................................................................................................1-4 1.1.5 display level.............................................................................................................1-4 1.1.6 display local-user command-history........................................................................1-5 1.1.7 display local-user login-history................................................................................1-6 1.1.8 display local-user online..........................................................................................1-6 1.1.9 local-user password................................................................................................1-7 1.1.10 local-user service-type..........................................................................................1-8 1.1.11 login-method authentication-mode........................................................................1-9 1.1.12 reset local-user history........................................................................................1-10第2章防火墙配置命令...........................................................................................................2-1 2.1 防火墙配置命令..................................................................................................................2-1 2.1.1 acl............................................................................................................................2-1 2.1.2 debugging filter........................................................................................................2-1 2.1.3 display acl................................................................................................................2-2 2.1.4 display firewall.........................................................................................................2-3 2.1.5 firewall.....................................................................................................................2-4 2.1.6 firewall default.........................................................................................................2-4 2.1.7 firewall packet-filter.................................................................................................2-5 2.1.8 reset acl counters....................................................................................................2-6 2.1.9 rule..........................................................................................................................2-6