2023年12月2日发(作者:虎纳)
AAA配置与管理
一、基础
1、AAA是指:authentication认证、authorization授权、accounting计费的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius远程拨号认证系统服务或hwtacacs华为终端访问控制系统服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的;
在实际应用中,可以使用AAA的一种或两种服务;
2、AAA基本架构:
C/S结构,AAA客户端也叫NAS-网络接入服务器是使能了aaa功能的网络设备可以是一台或多台、不一定是接入设备
3、AAA基于域的用户管理:
通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理
缺省情况下,设备存在配置名为default全局缺省普通域和default_admin全局缺省管理域,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域如http、ssh、telnet、terminal、ftp用户的缺省域;
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,域,如果用户名不带,就属于系统缺省default域;
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致;
4、radius协议
Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用;
定义UDP 1812、1813作为认证授权、计费端口
Radius服务器维护三个数据库:
Users:存储用户信息用户名、口令、使用的协议、IP地址等
Clients:存储radius客户端信息接入设备的共享密钥、IP地址
Dictionary:存储radius协议中的属性和属性值含义
Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输;
5、hwtacacs协议
Hwtacacs是在tacacsrfc1492基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDNvirtual private dial-up
network,虚拟私有拨号网络接入用户及终端用户的认证、授权、计费;与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制;
Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议
6、华为设备对AAA特性的支持
支持本地、radius、 hwtacacs三种任意组合
本地认证授权:
优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制
RADIUS认证、计费:
优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能
Hwtacacs认证、授权、计费:
认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署多台hwtacacs服务器;还支持在一个方案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证方案,本地授权作为hwtacacs授权的备用授权方案等
二、本地方式认证和授权配置
配置流程为:配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案
一、配置AAA方案
配置AAA方案就是配置AAA中的认证、授权、计费,用于“域的aaa方案”中绑定这些方案使用所配置的各种方案只有在域中绑定后才能得到应用
认证方案:
1、进入AAA视图
Huaweiaaa
2、设置一个AAA认证方案名
Huawei-aaaauthentication-scheme test1
3、设置认证模式为本地认证缺省为本地认证
Huawei-aaa-authen-test1authentication-mode hwtacacs HWTACACS
local Local
none None
radius RADIUS
4、配置当前认证模板对用户提升级别进行认证时采用的认证模式可选,默认为本地认证
Huawei-aaa-authen-test1authentication-super
hwtacacs HWTACACS
none None
radius RADIUS
super Super模式
5、配置用户名和域名解析的方向可选,缺省从左向右
Huawei-aaadomainname-parse-direction
left-to-right
left to right direction of domainname parsing
right-to-left
right to left direction of domainname parsing
授权方案:
1、创建一个授权方案
Huawei-aaaauthorization-scheme tets1
2、配置本地授权模式
本地认证Configure the
Configure the Huawei-aaa-author-tets1authorization-mode
hwtacacs Use HWTACACS
authorization method
if-authenticated Use authorization
method which lets users authorized if
users not authenticated
by none authentication method
local Use local
authorization method
none Use none
authorization method
3、设置授权服务器下发的用户授权信息的生效模式可选,缺省为overlay模式
Huawei-aaaauthorization-modify
Modify 修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息
Overlay 覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息
模拟器未能模拟
二、配置本地用户
采用本地方式进行认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等
1、设置本地用户名和密码
Huawei-aaalocal-user test password simple 147258
2、设置本地用户的级别
Huawei-aaalocal-user test privilege level 15
3、设备本地用户加入用户组可选,先配置好用户组
Huawei-aaalocal-user test user-group teset 模拟器无法模拟
4、设置本地用户断开超时时间
Huawei-aaalocal-user test idle-timeout 600
5、设备本地用户用于何种类型的服务
Huawei-aaalocal-user test service-type
8021x user
bind Bind authentication user
ftp FTP user
http Http user
ppp PPP user
ssh SSH user
telnet Telnet user
terminal Terminal user
web Web authentication user
x25-pad X25-pad user
6、本地用户作为FTP使用时设置访问目录 Huawei-aaalocal-user test ftp-directory
STRING<1-58>
flash:
flash:/
7、设置本地用户状态
Huawei-aaalocal-user test state
active Permit the users to deal
with the authen request
block Forbid the users to deal
with the authen request 拒绝该用户认证请求
8、设备本地用户访问时最大连接数缺省不限制
Huawei-aaalocal-user test access-limit 10
9、设置本地账号锁定功能连续登陆失败达到次数后锁定和解锁、重试等参数
Huawei-aaalocal-aaa-user wrong-password retry-interval 5重试时间间隔 retry-time 3 连续认证失败的最大次数block-time 10账号被锁定时间
10、修改账号密码
三、配置业务方案可选
“业务方案”也是一种授权方案,它是专门针对一些IP业务如管理员权限、DHCP服务、DNS服务、策略路由所进行的授权,也称为“业务授权方案”; 通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别,其它命令只有在业务方案被其他特性如IPSEC调用时才需要配置;
具体配置:
1、创建一个业务方案
Huawei-aaaservice-scheme test
2、配置本地用户可作为管理员登陆设备并设置级别
Huawei-aaa-service-testadmin-user privilege level 15
3、设置业务方案下使用的DHCP服务器组仅7700及以上支持
Huawei-aaa-service-testdhcp-server grpup test
4、设置可用的DHCP IP地址池或移动已配置的地址的位置仅7700及以上支持
Huawei-aaa-service-testip-pool testpool move-to testpool2
5、设置业务方案下的主用或备用DNS服务器地址
secondary Set secondary DNS server's
IP address
6、设置业务方案下用户的策略路由功能仅7700及以上支持
下一跳IP地址 5源路由vlan ID
四、配置域的AAA方案
认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用
1、设置一个域的AAA方案名缺省存在default和default_admin两个域
Huawei-aaadomain testdomain 2、绑定认证方案
Huawei-aaa-domain-testdomainauthentication-scheme test
3、绑定授权方案
Huawei-aaa-domain-testdomainauthorization-scheme test
4、绑定业务方案
Huawei-aaa-domain-testdomainservice-scheme tese
5、设置域的AAA方案状态
Huawei-aaa-domain-testdomainstate
active Active
block Block
6、设置域名分隔符缺省为
Huawei-aaadomain-name-delimiter
三、RADIUS方式认证、授权、计费配置
配置流程为:配置AAA方案——配置radius服务器模板——配置业务方案——配置域的AAA方案
一、认证授权配置
Radius中的认证和授权时同步进行的,只要是能其认证功能,也就是能了授权功能;配置方法同本地认证配置
二、计费方案配置
1、设置计费方案名
Huawei-aaaaccounting-scheme testaccounting
2、设置计费模式 Huawei-aaa-accounting-testaccountingaccounting-mode 默认为none
hwtacacs HWTACACS
none None
radius RADIUS
3、设置开始计费失败策略默认online
Huawei-aaa-accounting-testaccountingaccounting start-fail
offline Offline如果开始计费失败,允许用户上线
online Online如果开始计费失败,拒绝用户上线
4、设置实时计费功能和时间间隔缺省未使能
Huawei-aaa-accounting-realtimeaccounting realtime 60
5、设置实时计费允许设备发送实时计费请求的最大次数默认为3或、和失败后采取的动作
Huawei-aaa-accounting-realtimeaccounting interim-fail max-times
10
offline Offline
online Online
三、radius服务器模板配置
Radius服务器模板用来配置与radius服务器进行通信的相同参数如radius服务器IP地址、端口号、共享密钥等
Radius服务器模板下的用户名格式;共享密钥等要与radius服务器上配置对应一致
1、设置radius授权服务器IP地址、授权服务器模板名称、通信密钥
server-group
corresponding server-group
shared-key Configure server shared-key
vpn-instance VPN instance
2、配置radius服务器模板名
Huaweiradius-server template test
3、设置模板下radius主用认证服务器地址、端口号 源接口loopback编号或、及IP地址
ip-address IP address
loopback LoopBack
interface
4、设置模板下radius备用认证服务器地址、端口号 源接口loopback编号或、及IP地址
5、设置模板下主用计费服务器地址、端号 源接口loopback编号或、及IP地址
secondary Secondary
server
source Source LoopBack
interface
vpn-instance VPN instance
Configure RADIUS-client
6、设置模板下备用计费服务器地址、端号 源接口loopback编号或、及IP地址 参考上面配置
7、设置域radius服务器通信的共享密钥MD5加密,缺省密码为huawei
Huawei-radius-testradius-server shared-key cipher huawei 1
8、设置设备向radius服务器发送的报文中的用户名包含域名可选,缺省包含
Huawei-radius-testradius-server user-name domain-included
9、设置radius计费服务器计费时采用的流量统计单位可选,缺省为byte
Huawei-radius-testradius-server traffic-unit
byte Byte
gbyte Gbyte
kbyte Kbyte
mbyte Mbyte
10、设置radius请求报文允许的超时重传次数和超时时间可选,缺省5 3
Huawei-radius-testradius-server retransmit 3 timeout 3
11、设置NASAAA客户端端口形式可选,缺省为新
Huawei-radius-testradius-server nas-port-format
new New NAS-Port format新的
old Old NAS-Port format旧的
12、设置NAS端口ID 形式可选 867页
Huawei-radius-testradius-server nas-port-id-format new New NAS-Port-Id format
old Old NAS-Port-Id format
13、设置NAS发送radius报文使用的NAS-IP-address属性可选;默认使用指定的loopback接的IP地址
14、设置计费结束报文的重传功能和可重发的计费停止报文个数可选;默认都为0
Huawei-radius-templateradius-server accounting-stop-packet resend 3
无法模拟
15、设置与radius主用服务器恢复重新连接时间间隔可选,默认为5分钟
Huawei-radius-templateradius-server detect-server interval 10
16、测试用户能否通过radius认证
Huawei-radius-templatetest-aaa test1 123456 radius-template test1
chap
method 采用CHAP认证
pap PAP
method 采用PAP认证
四、业务方式配置和域的aaa方案配置同上
CHAP
四、HWTACACS方式认证、授权、计费配置
与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制,可以防止非法用户对网络攻击,还支持对命令行授权等
配置流程:AAA方案——hwtacacs服务器模板——业务方案——域的AAA方案
一、设置AAA认证方案
同上
可以增加的地方
1、设置认证旁路时间默认未使能,单位分钟
Huaweiaaa-authen-bypass enable time 2 未能模拟
二、设置AAA授权方案
同上
可以增加的地方
1、为指定级别的用户设置为按命令行授权可选,默认都没设置
Huawei-aaa-author-testauthorizauthorization-cmd 3 hwtacacs
local Use local
authorization method
2、设置授权旁路时间
Huaweiaaa-authen-bypass enable time 2
3、设置命令行授权旁路时间
Huaweiaaa-authen-cmd-bypass enable time 2
三、设置AAA计费方案
同上
四、hwtacacs服务器模板配置
与radius服务器模板配置基本一样 1、使能hwtacacs功能
Huaweihwtacacs enable
2、创建hwtacacs模板名
Huaweihwtacacs-server template templatehwtacacs
以下同上
3、设置hwtacacs主用授权服务器
4、设置hwtacacs备用授权服务器
5、设置hwtacacs主用计费服务器
6、设置hwtacacs备用授权服务器
7、设置设备向hwtacacs服务器发送hwtacacs报文的源IP地址
8、设置客户端与hwtacacs服务器通信的共享密钥
9、设置客户端向hwtacacs服务器发送的报文包含域名
10、设置计费hwtacacs流量的单位
11、设置hwtacacs服务器应答超时时间可选,缺省5S
Huawei-hwtacacs-testhwtacacs-server timer response-timeout 20
12、设置主用服务器恢复激活状态的静默时间缺省5min
Huawei-hwtacacs-testhwtacacs-server timer quiet 10
13、设置允许停止重发计费报文及重发计费报文的个数
14、设置可在设备上修改hwtacacs服务器上保持的用户密码必须未过期
2023年12月2日发(作者:虎纳)
AAA配置与管理
一、基础
1、AAA是指:authentication认证、authorization授权、accounting计费的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius远程拨号认证系统服务或hwtacacs华为终端访问控制系统服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的;
在实际应用中,可以使用AAA的一种或两种服务;
2、AAA基本架构:
C/S结构,AAA客户端也叫NAS-网络接入服务器是使能了aaa功能的网络设备可以是一台或多台、不一定是接入设备
3、AAA基于域的用户管理:
通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理
缺省情况下,设备存在配置名为default全局缺省普通域和default_admin全局缺省管理域,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域如http、ssh、telnet、terminal、ftp用户的缺省域;
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,域,如果用户名不带,就属于系统缺省default域;
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致;
4、radius协议
Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用;
定义UDP 1812、1813作为认证授权、计费端口
Radius服务器维护三个数据库:
Users:存储用户信息用户名、口令、使用的协议、IP地址等
Clients:存储radius客户端信息接入设备的共享密钥、IP地址
Dictionary:存储radius协议中的属性和属性值含义
Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输;
5、hwtacacs协议
Hwtacacs是在tacacsrfc1492基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDNvirtual private dial-up
network,虚拟私有拨号网络接入用户及终端用户的认证、授权、计费;与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制;
Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议
6、华为设备对AAA特性的支持
支持本地、radius、 hwtacacs三种任意组合
本地认证授权:
优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制
RADIUS认证、计费:
优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能
Hwtacacs认证、授权、计费:
认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署多台hwtacacs服务器;还支持在一个方案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证方案,本地授权作为hwtacacs授权的备用授权方案等
二、本地方式认证和授权配置
配置流程为:配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案
一、配置AAA方案
配置AAA方案就是配置AAA中的认证、授权、计费,用于“域的aaa方案”中绑定这些方案使用所配置的各种方案只有在域中绑定后才能得到应用
认证方案:
1、进入AAA视图
Huaweiaaa
2、设置一个AAA认证方案名
Huawei-aaaauthentication-scheme test1
3、设置认证模式为本地认证缺省为本地认证
Huawei-aaa-authen-test1authentication-mode hwtacacs HWTACACS
local Local
none None
radius RADIUS
4、配置当前认证模板对用户提升级别进行认证时采用的认证模式可选,默认为本地认证
Huawei-aaa-authen-test1authentication-super
hwtacacs HWTACACS
none None
radius RADIUS
super Super模式
5、配置用户名和域名解析的方向可选,缺省从左向右
Huawei-aaadomainname-parse-direction
left-to-right
left to right direction of domainname parsing
right-to-left
right to left direction of domainname parsing
授权方案:
1、创建一个授权方案
Huawei-aaaauthorization-scheme tets1
2、配置本地授权模式
本地认证Configure the
Configure the Huawei-aaa-author-tets1authorization-mode
hwtacacs Use HWTACACS
authorization method
if-authenticated Use authorization
method which lets users authorized if
users not authenticated
by none authentication method
local Use local
authorization method
none Use none
authorization method
3、设置授权服务器下发的用户授权信息的生效模式可选,缺省为overlay模式
Huawei-aaaauthorization-modify
Modify 修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息
Overlay 覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息
模拟器未能模拟
二、配置本地用户
采用本地方式进行认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等
1、设置本地用户名和密码
Huawei-aaalocal-user test password simple 147258
2、设置本地用户的级别
Huawei-aaalocal-user test privilege level 15
3、设备本地用户加入用户组可选,先配置好用户组
Huawei-aaalocal-user test user-group teset 模拟器无法模拟
4、设置本地用户断开超时时间
Huawei-aaalocal-user test idle-timeout 600
5、设备本地用户用于何种类型的服务
Huawei-aaalocal-user test service-type
8021x user
bind Bind authentication user
ftp FTP user
http Http user
ppp PPP user
ssh SSH user
telnet Telnet user
terminal Terminal user
web Web authentication user
x25-pad X25-pad user
6、本地用户作为FTP使用时设置访问目录 Huawei-aaalocal-user test ftp-directory
STRING<1-58>
flash:
flash:/
7、设置本地用户状态
Huawei-aaalocal-user test state
active Permit the users to deal
with the authen request
block Forbid the users to deal
with the authen request 拒绝该用户认证请求
8、设备本地用户访问时最大连接数缺省不限制
Huawei-aaalocal-user test access-limit 10
9、设置本地账号锁定功能连续登陆失败达到次数后锁定和解锁、重试等参数
Huawei-aaalocal-aaa-user wrong-password retry-interval 5重试时间间隔 retry-time 3 连续认证失败的最大次数block-time 10账号被锁定时间
10、修改账号密码
三、配置业务方案可选
“业务方案”也是一种授权方案,它是专门针对一些IP业务如管理员权限、DHCP服务、DNS服务、策略路由所进行的授权,也称为“业务授权方案”; 通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别,其它命令只有在业务方案被其他特性如IPSEC调用时才需要配置;
具体配置:
1、创建一个业务方案
Huawei-aaaservice-scheme test
2、配置本地用户可作为管理员登陆设备并设置级别
Huawei-aaa-service-testadmin-user privilege level 15
3、设置业务方案下使用的DHCP服务器组仅7700及以上支持
Huawei-aaa-service-testdhcp-server grpup test
4、设置可用的DHCP IP地址池或移动已配置的地址的位置仅7700及以上支持
Huawei-aaa-service-testip-pool testpool move-to testpool2
5、设置业务方案下的主用或备用DNS服务器地址
secondary Set secondary DNS server's
IP address
6、设置业务方案下用户的策略路由功能仅7700及以上支持
下一跳IP地址 5源路由vlan ID
四、配置域的AAA方案
认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用
1、设置一个域的AAA方案名缺省存在default和default_admin两个域
Huawei-aaadomain testdomain 2、绑定认证方案
Huawei-aaa-domain-testdomainauthentication-scheme test
3、绑定授权方案
Huawei-aaa-domain-testdomainauthorization-scheme test
4、绑定业务方案
Huawei-aaa-domain-testdomainservice-scheme tese
5、设置域的AAA方案状态
Huawei-aaa-domain-testdomainstate
active Active
block Block
6、设置域名分隔符缺省为
Huawei-aaadomain-name-delimiter
三、RADIUS方式认证、授权、计费配置
配置流程为:配置AAA方案——配置radius服务器模板——配置业务方案——配置域的AAA方案
一、认证授权配置
Radius中的认证和授权时同步进行的,只要是能其认证功能,也就是能了授权功能;配置方法同本地认证配置
二、计费方案配置
1、设置计费方案名
Huawei-aaaaccounting-scheme testaccounting
2、设置计费模式 Huawei-aaa-accounting-testaccountingaccounting-mode 默认为none
hwtacacs HWTACACS
none None
radius RADIUS
3、设置开始计费失败策略默认online
Huawei-aaa-accounting-testaccountingaccounting start-fail
offline Offline如果开始计费失败,允许用户上线
online Online如果开始计费失败,拒绝用户上线
4、设置实时计费功能和时间间隔缺省未使能
Huawei-aaa-accounting-realtimeaccounting realtime 60
5、设置实时计费允许设备发送实时计费请求的最大次数默认为3或、和失败后采取的动作
Huawei-aaa-accounting-realtimeaccounting interim-fail max-times
10
offline Offline
online Online
三、radius服务器模板配置
Radius服务器模板用来配置与radius服务器进行通信的相同参数如radius服务器IP地址、端口号、共享密钥等
Radius服务器模板下的用户名格式;共享密钥等要与radius服务器上配置对应一致
1、设置radius授权服务器IP地址、授权服务器模板名称、通信密钥
server-group
corresponding server-group
shared-key Configure server shared-key
vpn-instance VPN instance
2、配置radius服务器模板名
Huaweiradius-server template test
3、设置模板下radius主用认证服务器地址、端口号 源接口loopback编号或、及IP地址
ip-address IP address
loopback LoopBack
interface
4、设置模板下radius备用认证服务器地址、端口号 源接口loopback编号或、及IP地址
5、设置模板下主用计费服务器地址、端号 源接口loopback编号或、及IP地址
secondary Secondary
server
source Source LoopBack
interface
vpn-instance VPN instance
Configure RADIUS-client
6、设置模板下备用计费服务器地址、端号 源接口loopback编号或、及IP地址 参考上面配置
7、设置域radius服务器通信的共享密钥MD5加密,缺省密码为huawei
Huawei-radius-testradius-server shared-key cipher huawei 1
8、设置设备向radius服务器发送的报文中的用户名包含域名可选,缺省包含
Huawei-radius-testradius-server user-name domain-included
9、设置radius计费服务器计费时采用的流量统计单位可选,缺省为byte
Huawei-radius-testradius-server traffic-unit
byte Byte
gbyte Gbyte
kbyte Kbyte
mbyte Mbyte
10、设置radius请求报文允许的超时重传次数和超时时间可选,缺省5 3
Huawei-radius-testradius-server retransmit 3 timeout 3
11、设置NASAAA客户端端口形式可选,缺省为新
Huawei-radius-testradius-server nas-port-format
new New NAS-Port format新的
old Old NAS-Port format旧的
12、设置NAS端口ID 形式可选 867页
Huawei-radius-testradius-server nas-port-id-format new New NAS-Port-Id format
old Old NAS-Port-Id format
13、设置NAS发送radius报文使用的NAS-IP-address属性可选;默认使用指定的loopback接的IP地址
14、设置计费结束报文的重传功能和可重发的计费停止报文个数可选;默认都为0
Huawei-radius-templateradius-server accounting-stop-packet resend 3
无法模拟
15、设置与radius主用服务器恢复重新连接时间间隔可选,默认为5分钟
Huawei-radius-templateradius-server detect-server interval 10
16、测试用户能否通过radius认证
Huawei-radius-templatetest-aaa test1 123456 radius-template test1
chap
method 采用CHAP认证
pap PAP
method 采用PAP认证
四、业务方式配置和域的aaa方案配置同上
CHAP
四、HWTACACS方式认证、授权、计费配置
与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制,可以防止非法用户对网络攻击,还支持对命令行授权等
配置流程:AAA方案——hwtacacs服务器模板——业务方案——域的AAA方案
一、设置AAA认证方案
同上
可以增加的地方
1、设置认证旁路时间默认未使能,单位分钟
Huaweiaaa-authen-bypass enable time 2 未能模拟
二、设置AAA授权方案
同上
可以增加的地方
1、为指定级别的用户设置为按命令行授权可选,默认都没设置
Huawei-aaa-author-testauthorizauthorization-cmd 3 hwtacacs
local Use local
authorization method
2、设置授权旁路时间
Huaweiaaa-authen-bypass enable time 2
3、设置命令行授权旁路时间
Huaweiaaa-authen-cmd-bypass enable time 2
三、设置AAA计费方案
同上
四、hwtacacs服务器模板配置
与radius服务器模板配置基本一样 1、使能hwtacacs功能
Huaweihwtacacs enable
2、创建hwtacacs模板名
Huaweihwtacacs-server template templatehwtacacs
以下同上
3、设置hwtacacs主用授权服务器
4、设置hwtacacs备用授权服务器
5、设置hwtacacs主用计费服务器
6、设置hwtacacs备用授权服务器
7、设置设备向hwtacacs服务器发送hwtacacs报文的源IP地址
8、设置客户端与hwtacacs服务器通信的共享密钥
9、设置客户端向hwtacacs服务器发送的报文包含域名
10、设置计费hwtacacs流量的单位
11、设置hwtacacs服务器应答超时时间可选,缺省5S
Huawei-hwtacacs-testhwtacacs-server timer response-timeout 20
12、设置主用服务器恢复激活状态的静默时间缺省5min
Huawei-hwtacacs-testhwtacacs-server timer quiet 10
13、设置允许停止重发计费报文及重发计费报文的个数
14、设置可在设备上修改hwtacacs服务器上保持的用户密码必须未过期