华为QUIDWAY3900 系列华为交换机操作手册---20-AAA-RADIUS-HWTACACS-EAD操作.pdf

QuidwayS3900系列以太网交换机操作手册-Release1510 AAA-RADIUS-HWTACACS-EAD 目录 目录 第1章AAA-RADIUS-HWTACACS协议配置 1-1 1.1简介.... 1-1 1.1.1AAA简介. 1-1 1.1.2ISP域简介. 1-2 1.1.3 RADIUS 协议简介.. .1-2 1.1.4HWTACACS协设简介 1-7 1.2配置任务简介 1-9 1.3配置AAA. .1-10 1.3.1配置准备 1-10 1.3.2创建ISP域. 1-11 1.3.3配置ISP域的属性 .1-11 1.3.4配置ISP域的AAA方案 ..-12 1.3.5配置动态VLAN下发特性 .1-14 1.3.6配置本地用户的属性... ...1-15 1.3.7配置强制切断用户连接 1-17 1.4配置 RADIUS 协议. ... 1-17 1.4.1创建RADIUS方案.. .1-17 1.4.2配置RADIUS认证/授权服务器 1-18 1.4.3配置RADIUS计费服务器 .1-19 1.4.4配置RADIUS报文的共享密钥， ..1-20 1.4.5配置RADIUS请求报文的最大传送次数 .1-21 1.4.6配置支持的RADIUS服务器的类型 ..1-21 1.4.7配置RADIUS服务器的状态. 1-21 1.4.8配置发送给RADIUS服务器的数据相关属性 .1-22 1.4.9配置本地RADIUS认证服务器， ..1-23 1.4.10配置RADIUS服务器的定时器 ..1-24 1.4.11配置系统发送RADIUS服务器状态变为Down的Trap ..1-25 1.4.12配置设备重启用户再认证功能， ..1-25 1.5配置HWTACACS协议.. ... 1-26 1.5.1创建HWTACACS方案. ..1-26 1.5.2配置HWTACACS认证服务器 .1-27 1.5.3配置HWTACACS授权服务器 1-27 1.5.4配置HWTACACS计费服务器... ..1-28 1.5.5配置HWTACACS报文的共享密钥 .1-28 1.5.6配置发送给TACACS服务器的数据相关属性 .1-29 1.5.7配置TACACS服务器的定时器 1-30
QuidwayS3900系列以太网交换机操作手册-Release1510 AAA-RADIUS-HWTACACS-EAD 目录 1.6AAA&RADIUS&HWTACACS协议显示和维护 .1-30 1.7AAA&RADIUS&HWTACACS协议典型配置举例. 1-32 1.7.1Telnet/SSH用户通过RADIUS服务器认证的应用配置 1-32 1.7.2FTP/Telnet用户本地认证配置.. ..1-34 1.7.3配置Telnet用户通过TACACS服务器进行认证和投权 .1-35 1.8AAA&RADIUS&HWTACACS常见配置错误举例.. .1-36 1.8.1RADIUS常见配置错误举例 ..1-36 1.8.2HWTACACS常见配置错误举例. .1-37 第2章EAD配置 ..2-1 2.1EAD简介.. 2-1 2.2EAD配置的典型组网应用. ...2-1 2.3EAD配置.. 2-2 2.4EAD典型配置过程举例. 2-3
QuidwayS3900系列以太网交换机操作手册-Release1510 第1章AAA-RADIUS-HWTACACS AAA-RADIUS-HWTACACS-EAD 协议配置 第1章AAA-RADIUS-HWTACACS协议配置 1.1简介 1.1.1AAA简介 AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简 称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实 际上是对网络安全的一种管理.

这里的网络安全主要是指访问控制，包括： 哪些用户可以访问网络服务器： " 具有访问权的用户可以得到哪些服务： 如何对正在使用网络资源的用户进行计费.

针对以上问题，AAA必须提供认证功能、授权功能和计费功能.

1.认证功能 AAA支持以下认证方式： 不认证：对用户非常信任，不对其进行合法检查.

一般情况下不采用这种方式.

本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设 备上.

本地认证的优点是速度快，可以降低运营成本：缺点是存储信息量受设 备硬件条件限制.

远端认证：支持通过RADIUS协议或HWTACACS协议进行远端认证，设备 （如Quidway系列交换机）作为客户端，与RADIUS服务器或TACACS服务 器通信.

对于RADIUS协议，可以采用标准或扩展的RADIUS协议.

2.授权功能 AAA支持以下授权方式： 直接授权：对用户非常信任，直接授权通过.

本地授权：根据设备上为本地用户帐号配置的相关属性进行授权.

RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能 单独使用RADIUS进行授权.

HWTACACS授权：由TACACS服务器对用户进行授权.

1-1
QuidwayS3900系列以太网交换机操作手册-Release1510 第1章 AAA-RADIUS-HWTACACS AAA-RADIUS-HWTACACS-EAD 协议配置 3.计费功能 AAA支持以下计费方式： 不计费：不对用户计费.

远端计费：支持通过RADIUS服务器或TACACS服务器进行远端计费.

AAA一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存 放用户信息.

因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中 管理.

1.1.2ISP域简介 ISP域即ISP用户群，一个ISP域是由属于同一个ISP的用户构成的用户群.

域名.

接入设备将“userid”作为用于身份认证的用户名，将“isp-name”作为域 名.

在多ISP的应用环境中，同一个接入设备接入的有可能是不同ISP的用户.

由于各 ISP用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同， 因此有必要通过设置ISP域的方法把它们区别开.

在ISP域视图下，可以为每个ISP域配置包括使用的AAA策略（使用的RADIUS 方案等）在内的一整套单独的ISP域属性.

1.1.3RADIUS协议简介 AAA是一种管理框架，因此，它可以用多种协议来实现.

在实践中，人们最常使用 RADIUS协议来实现AAA.

1.什么是RADIUS RADiUS（Remote Authentication Dial-InUserService，远程认证拨号用户服务） 是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问 的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境 中. RADIUS服务包括三个组成部分： 协议：RFC2865和RFC2866基于UDP/IP层定义了RADIUS顿格式及其消 息传输机制，并定义了1812作为认证端口，1813作为计费端口.

服务器：RADIUS服务器运行在中心计算机或工作站上，包含了相关的用户认 证和网络服务访问信息.

客户端：位于拨号访问服务器设备侧，可以遍布整个网络.

1-2
QuidwayS3900系列以太网交换机操作手册-Release1510 第1章 AAA-RADIUS-HWTACACS AAA-RADIUS-HWTACACS-EAD 协议配置 RADIUS基于客户端/服务器模型.

交换机作为RADIUS客户端，负责传输用户信息 到指定的RADIUS服务器，然后根据从服务器返回的信息对用户进行相应处理（如 接入/挂断用户）.

RADIUS服务器负责接收用户连接请求，认证用户，然后给交换 机返回需要的信息.

RADIUS服务器通常要维护三个数据库，如图1-1所示.

第一个数据库“Users”用于存储用户信息（如用户名、口令以及使用的协议、 IP地址等配置）.

第二个数据库“Clients”用于存储RADIUS客户端的信息（如共享密钥）.

性值的含义.

RADIUS Server Users Clients Dictionary 图1-1RADIUS服务器的组成 另外，RADIUS服务器还能够作为其他AAA服务器的客户端进行代理认证或计费.

2.RADIUS的基本消息交互流程 RADIUS客户端（交换机）和RADIUS服务器之间通过共享密钥来认证交互的消息， 增强了安全性.

RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信 息.

用户、交换机、RADIUS服务器之间的交互流程如图1-2所示.

1-3