华为安全 (一)
2012-03-31 00:09
141 查看
AAA (认证、授权和计费)
认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备
(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务
器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。
授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。
HWTACACS 授权:由TACACS服务器对用户进行授权。
计费功能
AAA支持以下计费方式:
不计费:不对用户计费。
远端计费:支持通过RADIUS 服务器或TACACS服务器进行远端计费。
AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存
放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用
RADIUS 协议来实现AAA 。
RADIUS 服务包括三个组成部分:
协议:RFC 2865和RFC 2866基于UDP/IP层定义了 RADIUS 帧格式及其消
息传输机制,并定义了1812作为认证端口,1813作为计费端口。
服务器:RADIUS 服务器运行在中心计算机或工作站上,包含了相关的用户认
证和网络服务访问信息。
客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
配置ISP 域的属性
注意:
对于交换机,每个接入用户都属于一个 ISP 域。如果某个用户在登录时没有携带
ISP 域名,则交换机将它归于缺省的ISP 域。
在对用户实施计费时,当发现没有可用的计费服务器或与计费服务器通信失败
时,只要用户配置了 accounting optional 命令,即使无法实施计费,也不会挂
断用户。
自助服务器定位功能需要与支持自助服务的RADIUS 服务器配合使用,如
CAMS 。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服
务软件的服务器即自助服务器。
注意:
用户可以通过引用配置好的radius -scheme-name 来实现认证、授权、计费,而
采用本地认证方案时只能进行认证、授权,无法实现计费。
如果scheme 命令配置了radius-scheme radius-scheme-name local 参数,则
local 为RADIUS 服务器没有正常响应后的备选认证方案,即当 RADIUS 服务器
有效时,不使用本地认证;当RADIUS 服务器无效时,使用本地认证。
如果local 或者none 作为第一方案,那么只能采用本地认证或者不进行认证,
不能再同时采用RADIUS 方案。
如果scheme 命令配置了hwtacacs-scheme hwtacacs-scheme-name local 参
数,则local 为TACACS服务器没有正常响应后的备选认证方案,即当TACACS
服务器有效时,不使用本地认证;当TACACS服务器无效时,使用本地认证。
如果配置的认证方式为scheme none,则用户登录到系统后所能访问的命令级
别为0。
配置本地用户
当AAA方案选择了本地认证方案(local )时,应在交换机上创建本地用户并配置
相关属性。
所谓本地用户,是指在交换机上设置的一组用户的集合。该集合以用户名为用户的
唯一标识。为使某个请求网络服务的用户可以通过本地认证,需要在交换机上的本
地用户数据库中添加相应的表项。
注意:
当采用local-user password-display-mode cipher-force 命令后,即使用户通
过password 命令指定密码显示方式为明文显示(即simple 方式)后,密码也
会显示为密文。
如果配置的认证方式需要用户名和口令(包括本地认证和RADIUS 认证),则用
户登录系统后所能访问的命令级别由用户的优先级确定。对于SSH用户,使用
RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
如果配置的认证方式为不认证或采用password 认证,则用户登录到系统后所能
访问的命令级别由用户界面的优先级确定。
配置RADIUS 协议
注意:
一个RADIUS 方案可以同时被多个ISP 域引用。
注意:
RADIUS 服务器的授权信息是随认证应答报文发给RADIUS 客户端的,故不需要
指定单独的授权服务器。
在实际组网环境中,可以指定2 台RADIUS 服务器分别作为主、从认证/授权服
务器;也可以指定一台服务器既作为主认证/ 授权服务器,又作为从认证/ 授权服
务器。
系统缺省创建的system方案使用的主认证服务器的IP 为127.0.0.1,端口号为
1645。
配置RADIUS 计费服务器
注意:
在实际组网环境中,可以指定2 台RADIUS 服务器分别作为主、从计费服务器;
也可以指定一台服务器既作为主计费服务器,又作为从计费服务器。此外,由于
RADIUS 协议采用不同的UDP端口来收发认证/授权和计费报文,因此必须将认
证/授权端口号和计费端口号设置得不同。
如果RADIUS 计费服务器对交换机发出的停止计费请求报文没有响应,且交换机
使能了停止计费报文重传功能,交换机应将其缓存在本机上,然后重新发送直到
RADIUS 计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将
其丢弃。
交换机提供对连续实时计费失败次数限制的设置――在交换机向RADIUS 服务
器发出的实时计费失败的次数超过所设定的限度时,交换机将切断用户连接。
系统缺省创建的system方案使用的主计费服务器的IP 为127.0.0.1,端口号为
1646。
目前RADIUS 协议不支持对FTP 用户进行计费。
配置RADIUS 报文的共享密钥
注意:
在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,
必须分别设置认证/授权报文和计费报文的共享密钥。
案例
Telnet/SSH 用户通过RADIUS 服务器认证的应用配置
配置Telnet 用户采用AAA 认证方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS 方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS 的关联。
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme cams
Telnet 用户登录时输入用户名userid @cams ,以使用 cams 域进行认证。
FTP/Telnet 用户本地认证配置
方法一:使用本地认证方案。
# 进入系统视图。
<Quidway> system-view
System View: return to User View with Ctrl+Z.
[Quidway]
# 配置Telnet 用户采用AAA 认证方式。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
[Quidway-ui-vty0-4] quit
# 创建本地用户telnet 。
[Quidway] local-user telnet
[Quidway-luser-telnet] service-type telnet
[Quidway-luser-telnet] password simple huawei
[Quidway-luser-telnet] attribute idle-cut 300 access-limit 5
[Quidway] domain system
[Quidway-isp-system] scheme local
使用Telnet 登录时输入用户名为telnet@system ,以使用system域进行认证。
RADIUS 常见配置错误举例
RADIUS 协议在TCP/IP协议族中处于应用层,它主要规定交换机与ISP 的RADIUS
服务器间如何交互用户信息,因此它失效的可能性比较大。
错误之一:用户认证/ 授权总是失败
错误排除:
(1) 用户名不是“userid@isp-name ”的形式,或设备没有指定缺省的 ISP 域――
请使用正确形式的用户名或在设备中设定缺省的ISP 域。
(2) RADIUS 服务器的数据库中没有配置该用户――检查RADIUS 服务器的数据
库以保证该用户的配置信息确实存在。
(3) 用户侧输入的密码不正确――请保证接入用户输入正确的密码。
(4) RADIUS 服务器和设备的报文共享密钥不同――请仔细比较两端的共享密钥,
确保它们相同。
(5) 设备与RADIUS 服务器之间存在通信故障(可以通过在设备上ping RADIUS
服务器来检查)――请保证设备与RADIUS 服务器之间能够正常通信。
错误之二:RADIUS 报文无法传送到 RADIUS 服务器
错误排除:
(1) 设备与RADIUS 服务器之间的通信线路不通(物理层/ 链路层)――请保证线
路通畅。
(2) 设备上没有设置相应的RADIUS 服务器IP 地址――请保证正确设置 RADIUS
服务器的IP 地址。
(3) 认证/ 授权和计费服务的UDP端口设置得不正确――请保证与RADIUS 服务器
提供的端口号一致。
错误之三:用户认证通过并获得授权,但是不能向RADIUS 服务器传送计费
话单。
错误排除:
(1) 计费端口号设置得不正确――请正确设置RADIUS 计费端口号。
(2) 计费服务器和认证/ 授权服务器不是同一台机器,设备却要求认证/ 授权和计费
在同一个服务器(IP 地址相同)――请保证设备的认证/授权和计费服务器的
设置与实际情况相同。
认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备
(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务
器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。
授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。
HWTACACS 授权:由TACACS服务器对用户进行授权。
计费功能
AAA支持以下计费方式:
不计费:不对用户计费。
远端计费:支持通过RADIUS 服务器或TACACS服务器进行远端计费。
AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存
放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用
RADIUS 协议来实现AAA 。
RADIUS 服务包括三个组成部分:
协议:RFC 2865和RFC 2866基于UDP/IP层定义了 RADIUS 帧格式及其消
息传输机制,并定义了1812作为认证端口,1813作为计费端口。
服务器:RADIUS 服务器运行在中心计算机或工作站上,包含了相关的用户认
证和网络服务访问信息。
客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
配置ISP 域的属性
注意:
对于交换机,每个接入用户都属于一个 ISP 域。如果某个用户在登录时没有携带
ISP 域名,则交换机将它归于缺省的ISP 域。
在对用户实施计费时,当发现没有可用的计费服务器或与计费服务器通信失败
时,只要用户配置了 accounting optional 命令,即使无法实施计费,也不会挂
断用户。
自助服务器定位功能需要与支持自助服务的RADIUS 服务器配合使用,如
CAMS 。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服
务软件的服务器即自助服务器。
注意:
用户可以通过引用配置好的radius -scheme-name 来实现认证、授权、计费,而
采用本地认证方案时只能进行认证、授权,无法实现计费。
如果scheme 命令配置了radius-scheme radius-scheme-name local 参数,则
local 为RADIUS 服务器没有正常响应后的备选认证方案,即当 RADIUS 服务器
有效时,不使用本地认证;当RADIUS 服务器无效时,使用本地认证。
如果local 或者none 作为第一方案,那么只能采用本地认证或者不进行认证,
不能再同时采用RADIUS 方案。
如果scheme 命令配置了hwtacacs-scheme hwtacacs-scheme-name local 参
数,则local 为TACACS服务器没有正常响应后的备选认证方案,即当TACACS
服务器有效时,不使用本地认证;当TACACS服务器无效时,使用本地认证。
如果配置的认证方式为scheme none,则用户登录到系统后所能访问的命令级
别为0。
配置本地用户
当AAA方案选择了本地认证方案(local )时,应在交换机上创建本地用户并配置
相关属性。
所谓本地用户,是指在交换机上设置的一组用户的集合。该集合以用户名为用户的
唯一标识。为使某个请求网络服务的用户可以通过本地认证,需要在交换机上的本
地用户数据库中添加相应的表项。
注意:
当采用local-user password-display-mode cipher-force 命令后,即使用户通
过password 命令指定密码显示方式为明文显示(即simple 方式)后,密码也
会显示为密文。
如果配置的认证方式需要用户名和口令(包括本地认证和RADIUS 认证),则用
户登录系统后所能访问的命令级别由用户的优先级确定。对于SSH用户,使用
RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
如果配置的认证方式为不认证或采用password 认证,则用户登录到系统后所能
访问的命令级别由用户界面的优先级确定。
配置RADIUS 协议
注意:
一个RADIUS 方案可以同时被多个ISP 域引用。
注意:
RADIUS 服务器的授权信息是随认证应答报文发给RADIUS 客户端的,故不需要
指定单独的授权服务器。
在实际组网环境中,可以指定2 台RADIUS 服务器分别作为主、从认证/授权服
务器;也可以指定一台服务器既作为主认证/ 授权服务器,又作为从认证/ 授权服
务器。
系统缺省创建的system方案使用的主认证服务器的IP 为127.0.0.1,端口号为
1645。
配置RADIUS 计费服务器
注意:
在实际组网环境中,可以指定2 台RADIUS 服务器分别作为主、从计费服务器;
也可以指定一台服务器既作为主计费服务器,又作为从计费服务器。此外,由于
RADIUS 协议采用不同的UDP端口来收发认证/授权和计费报文,因此必须将认
证/授权端口号和计费端口号设置得不同。
如果RADIUS 计费服务器对交换机发出的停止计费请求报文没有响应,且交换机
使能了停止计费报文重传功能,交换机应将其缓存在本机上,然后重新发送直到
RADIUS 计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将
其丢弃。
交换机提供对连续实时计费失败次数限制的设置――在交换机向RADIUS 服务
器发出的实时计费失败的次数超过所设定的限度时,交换机将切断用户连接。
系统缺省创建的system方案使用的主计费服务器的IP 为127.0.0.1,端口号为
1646。
目前RADIUS 协议不支持对FTP 用户进行计费。
配置RADIUS 报文的共享密钥
注意:
在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,
必须分别设置认证/授权报文和计费报文的共享密钥。
案例
Telnet/SSH 用户通过RADIUS 服务器认证的应用配置
配置Telnet 用户采用AAA 认证方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS 方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS 的关联。
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme cams
Telnet 用户登录时输入用户名userid @cams ,以使用 cams 域进行认证。
FTP/Telnet 用户本地认证配置
方法一:使用本地认证方案。
# 进入系统视图。
<Quidway> system-view
System View: return to User View with Ctrl+Z.
[Quidway]
# 配置Telnet 用户采用AAA 认证方式。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
[Quidway-ui-vty0-4] quit
# 创建本地用户telnet 。
[Quidway] local-user telnet
[Quidway-luser-telnet] service-type telnet
[Quidway-luser-telnet] password simple huawei
[Quidway-luser-telnet] attribute idle-cut 300 access-limit 5
[Quidway] domain system
[Quidway-isp-system] scheme local
使用Telnet 登录时输入用户名为telnet@system ,以使用system域进行认证。
RADIUS 常见配置错误举例
RADIUS 协议在TCP/IP协议族中处于应用层,它主要规定交换机与ISP 的RADIUS
服务器间如何交互用户信息,因此它失效的可能性比较大。
错误之一:用户认证/ 授权总是失败
错误排除:
(1) 用户名不是“userid@isp-name ”的形式,或设备没有指定缺省的 ISP 域――
请使用正确形式的用户名或在设备中设定缺省的ISP 域。
(2) RADIUS 服务器的数据库中没有配置该用户――检查RADIUS 服务器的数据
库以保证该用户的配置信息确实存在。
(3) 用户侧输入的密码不正确――请保证接入用户输入正确的密码。
(4) RADIUS 服务器和设备的报文共享密钥不同――请仔细比较两端的共享密钥,
确保它们相同。
(5) 设备与RADIUS 服务器之间存在通信故障(可以通过在设备上ping RADIUS
服务器来检查)――请保证设备与RADIUS 服务器之间能够正常通信。
错误之二:RADIUS 报文无法传送到 RADIUS 服务器
错误排除:
(1) 设备与RADIUS 服务器之间的通信线路不通(物理层/ 链路层)――请保证线
路通畅。
(2) 设备上没有设置相应的RADIUS 服务器IP 地址――请保证正确设置 RADIUS
服务器的IP 地址。
(3) 认证/ 授权和计费服务的UDP端口设置得不正确――请保证与RADIUS 服务器
提供的端口号一致。
错误之三:用户认证通过并获得授权,但是不能向RADIUS 服务器传送计费
话单。
错误排除:
(1) 计费端口号设置得不正确――请正确设置RADIUS 计费端口号。
(2) 计费服务器和认证/ 授权服务器不是同一台机器,设备却要求认证/ 授权和计费
在同一个服务器(IP 地址相同)――请保证设备的认证/授权和计费服务器的
设置与实际情况相同。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 瑞星携手华为——打开虚拟化安全市场的新大门
- 华为S9300核心交换机ARP安全配置(-)
- 华为网络设备上常用的安全技术(二)
- 如何应对业务安全问题,阿里聚安全专家笙华为你支招
- 【头条】化被动为主动,华为构建智能安全防护体系
- 华为防火墙eudemon安全改造案例
- 华为设备上的安全技术总结之dot1x
- 华为S9300核心交换机ARP安全配置(二)
- 华为网络设备上常用的安全技术(三)
- 华为设备上常用的安全技术
- 深夜闲聊节目:华为 Mate7的指纹识别安全么?
- 呼吁华为的手机安全产品,不要互联网行业的手机安全产品
- 华为防火墙eudemon安全改造案例
- 华为IT应用开发工程师(C++应用软件)实习生笔试+360企业安全服务端开发工程师实习生笔试
- 华为网络设备上的常用安全技术(二)
- 华为防火墙安全策略配置
- 华为设备上的安全技术总结之arp和端口隔离
- 华为防火墙安全策略配置