AAA认证配置
44AAA配置
访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。
44.1AAA基本原理
AAA是Authentication Authorization and Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。
AAA以模块方式提供以下服务:
?认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+协议或Local
(本地)等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别
的一种方法。
?授权:授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现,这
些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也
可以远程存放在安全服务器上。
?记账:记录用户使用网络资源的情况。当AAA记账被启用时,网络设备便开始以
统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是
以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行
读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。
部分产品的AAA仅提供认证功能。所有涉及产品规格的问题,可以通过向福建
星网锐捷网络有限公司市场人员或技术支援人员咨询得到。
尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样,AAA提供更
高级别的安全保护。
使用AAA有以下优点:
?灵活性和可控制性强
?可扩充性
?标准化认证
?多个备用系统
44.1.1AAA基本原理
AAA 可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来
定义身份认证、记账、授权类型,然后将这些方法列表应用于特定的服务或接口。
44.1.2 方法列表
由于对用户进行认证、授权和记账可以使用不同的安全方法,您需要使用方法列表定义一个使用不同方法
对用户进行认证、授权和记账的前后顺序。方法列表可以定义一个或多个安全协议,这样可以确保在第一个方法失败时,有备用系统可用。锐捷产品使用方法列表中列出的第一个方法时,如果该方法无应答,则选择方法列表中的下一个方法。这个过程一直持续下去,直到与列出的某种安全方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信,则该安全功能宣告失败。
只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。例如在身份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他的身份认证方法。
图 11. 典型的AAA 网络配置图
上图说明了一个典型的AAA 网络配置,它包含两台安全服务器:R1和R2是RADIUS 服务
器。 假设系统管理员已定义了一个方法列表,在这个列表中,R1首先被用来获取身份信息,然
后是R2,最后是访问服务器上的本地用户名数据库。如果一个远程PC 用户试图拨号进入网络,网络访问服务器首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向网络访问服务器发出一个ACCEPT 应答,这样用户即获准访问网络。如果R1返回的是REJECT 应答,则拒绝用户访问网络,断开连接。如果R1无应答,网络访问服务器就将它看作TIMEOUT ,并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。如果所有的方法返回TIMEOUT ,则认证失败,连接将被断开。
REJECT 应答不同于TIMEOUT 应答。REJECT 意味着用户不符合可用身份认证数据库中包含的标准,从而未能通过身份认证,访问请求被拒绝。TIMEOUT 则意味着安全服务器对身份认证查询未作应答,当检测到一个TIMEOUT 时,AAA 选择身份认证方法列表中定义的下一个身份认证方法将继续进行身份认证过程。
在本文中,与AAA安全服务器相关的认证、授权和记账配置,均以RADIUS为例,
而与TACACS+有关的内容请另外参考“配置TACACS+”。
44.2AAA配置基本步骤
首先您必须决定要采用哪种安全解决方案,而且需要评估特定网络中的潜在安全风险,并选择适当的手段来阻止未经授权的访问。我们建议,在可能的情况下,尽量使用AAA
确保网络安全。
44.2.1AAA配置过程概述
如果理解了AAA运作的基本过程,配置AAA就相对简单了。在锐捷网络设备上配置AAA 地步骤如下:
?启用AAA,使用全局配置层命令aaa new-model。
?如果决定使用安全服务器,请配置安全协议的参数,如RADIUS。
?定义身份认证方法列表,使用aaa authentication命令。
?如有需要,可将该方法列表应用于特定的接口或线路。
在应用特定方法列表时,如果没有明确指定使用命名的方法列表,则使用默认的
身份认证方法列表进行身份认证。
因此,如果不准备使用默认的身份认证方法列表,则需要指定特定的方法列表。
对于本章中使用的命令的完整描述,请参见安全配置命令参考中的相关章节。
44.2.2启用AAA
要使用AAA安全特性,必须首先启用AAA。
要启用AAA,在全局配置模式下执行以下命令:
Step 1
44.2.3停用AAA
要停用AAA,在全局配置模式下执行以下命令:
Step 1
44.2.4后续的配置过程
启用AAA以后,便可以配置与安全方案相关的其他部分,下表说明了可能要完成的配置任务以及相关内容所在的章节。
AAA访问控制安全解决方案方法
如果使用AAA实现身份认证,请参考“配置认证”中的相关部分。
44.3配置认证
身份认证是在允许用户使用网络资源以前对其进行识别,在大多数情况下,身份认证是通过AAA安全特性来实现的。我们建议,在可能的情况下,最好使用AAA来实现身份认
证。
44.3.1定义AAA认证方法列表
要配置AAA身份认证,首先得定义一个身份认证方法的命名列表,然后各个应用使用已定义列表进行认证。方法列表定义了身份认证的类型和执行顺序。对于已定义的身份认
证方法,必须有特定的应用才会被执行。默认方法列表是唯一的例外。所有应用在未
进行配置时使用默认方法列表。
方法列表仅是定义将要被依次查询的、并用于认证用户身份的一系列安全方法。方法
列表使您能够指定一个或多个用于身份认证的安全协议,这样确保在第一种方法失败
的情况下,可以使用身份认证备份系统。我司产品使用第一种方法认证用户的身份,
如果该方法无应答,将选择方法列表中的下一种方法。这个过程一直持续下去,直到
与列出的某种身份认证方法成功地实现通信或用完方法列表。如果用完方法列表而还
没有成功实现通信,则身份认证宣告失败。
只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。如果在身
份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他
的身份认证方法。
44.3.2方法列表举例
在典型AAA网络配置图中,它包含2个服务器:R1和R2是RADIUS服务器。假设系统管理员已选定一个安全解决方案,NAS认证采用一个身份认证方法对Telnet连接进行
身份认证:首先使用R1对用户进行认证,如果无应答,则使用R2进行认证;如果
R1、R2都没有应答,则身份认证由访问服务器的本地数据库完成,要配置以上身份
认证列表,执行以下命令:
Step 1
Step 2
如果系统管理员希望该方法列表仅应用于一个特定的Login连接,必须创建一个命名方法列表,然后将它应用于特定的连接。下面的例子说明了如何将身份认证方法列表仅应用
于线路2:
Step 1
Step 2
Step 3
Step 4
Step 5
当远程PC用户试图Telnet
访问网络设备(NAS),NAS首先向R1查询身份认证信息,假如
用户通过了R1的身份认证,R1将向NAS发出一个ACCEPT应答,这样用户即获准
访问网络。如果R1返回的是REJECT应答,则拒绝用户访问网络,断开连接。如果
R1无应答,NAS就将它看作TIMEOUT,并向R2查询身份认证信息。这个过程会一
直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。如
果所有的服务器(R1、R2)返回TIMEOUT,则认证由NAS本地数据库完成。
REJECT应答不同于TIMEOUT应答。REJECT意味着用户不符合可用的身份认证数
据库中包含的标准,从而未能通过身份认证,访问请求被拒绝。TIMEOUT则意味
着安全服务器对身份认证查询未作应答,当验证TIMEOUT时,AAA选择认证方
法列表中定义的下一个认证方法继续进行认证过程。
44.3.3认证类型
我司产品目前支持以下认证类型:
?Login(登录)认证
?Enable认证
?PPP认证
?DOT1X(IEEE802.1x)认证
?Web认证
其中Login认证针对的是用户终端登录到NAS上的命令行界面(CLI),在登录时进行身份认证;Enable认证针对的是用户终端登录到NAS上的CLI界面以后,提升CLI执行
权限时进行认证;PPP认证针对PPP拨号用户进行身份认证;DOT1X认证针对
IEEE802.1x接入用户进行身份认证。Web认证时针对内置ePortal的情况下进行身
份认证。
44.3.4配置AAA身份认证的通用步骤
要配置AAA身份认证,都必须执行以下任务:
?使用aaa new-model 全局配置命令启用AAA。
?如果要使用安全服务器,必须配置安全协议参数,如RADIUS和TACACS+。具体
的配置请参见“配置RADIUS和“配置TACACS+”。
?使用aaa authentication 命令定义身份认证方法列表。
?如果可能,将方法列表应用于某个特定的接口或线路。
我司产品DOT1X认证目前不支持TACACS+。
44.3.5配置AAA Login认证
本节将具体介绍如何配置锐捷产品所支持的AAA Login(登录)身份认证方法:
只有在全局配置模式下执行aaa new-model 命令启用AAA,AAA安全特性才能进
行配置使用(下同)。关于更详细的内容,请参见“AAA概述”。
在很多情况下,用户需要通过Telnet访问网络访问服务器(NAS),一旦建立了这种连接,就可以远程配置NAS,为了防止网络未经授权的访问,要对用户进行身份认证。
AAA安全服务使网络设备对各种基于线路的Login(登录)身份认证变得容易。不论您要决定使用哪种Login认证方法,只要使用aaa authentication login命令定义一个或多
个身份认证方法列表,并应用于您需要进行Login认证的特定线路就可以了。
要配置AAA Login认证,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3 Step 4 Step 5
关键字list-name 用来命名创建身份认证方法列表,可以是任何字符串;关键字method 指
的是认证实际算法。仅当前面的方法返回ERROR (无应答),才使用后面的其他认证方法;如果前面的方法返回FAIL(失败),则不使用其他认证方法。为了使认证最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none 指定为最后一个认证方法。 例如,在下例中,即使RADIUS 服务器超时(TIMEOUT),仍然能够通过身份认证:aaa
authentication login default group radius none
由于关键字none 使得拨号的任何用户在安全服务器没有应答情况下都能通过身份认证,所以仅将它作为备用的身份认证方法。我们建议:一般情况下,不要使用none 身份认证,在特殊情况下,如所有可能的拨号用户都是可信任的,而且用户的工作不允许有由于系统故障造成的耽搁,可以在安全服务器无应答的情况下,将none 作为最后一种可选的身份认证方法,建议在none 认证方法前加上本地身份认证方法。
Step 1 Step 2 Step 3 Step 4
上表列出了锐捷产品支持的AAA Login 认证方法。
44.3.5.1使用本地数据库进行Login 认证
要配置使用本地数据库进行Login 认证时,首先需要配置本地数据库,锐捷产品支持基于本
地数据库的身份认证,建立用户名身份认证,请在全局配置模式下,根据具体需求执行以下命令:
Step 1 Step 2 Step 3 Step 4
定义本地Login认证方法列表并应用认证方法列表,可使用以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
Step 7
Step 8
Step 9
Step10
44.3.5.2使用RADIUS进行Login认证
要配置用RADIUS服务器进行Login认证,首先要配置RADIUS服务器。配置RADIUS服务器,请在全局配置模式下,根据具体需求执行以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
配置好RADIUS服务器后,在配置RADIUS进行身份认证以前,请确保与RADIUS安全服务器之间已经成功进行了通信,有关RADIUS服务器配置的信息,请参见“配置
RADIUS”。
现在就可以配置基于RADIUS服务器的方法列表了,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
Step 7
Step 8
Step 9
Step10
44.3.6配置AAA Enable认证
本节将具体介绍如何配置锐捷产品所支持的AAA Enable认证方法:
在很多情况下,用户需要通过Telnet等方法访问网络访问服务器(NAS),在进行了身份认证以后,就可以进入命令行界面(CLI),此时会被赋予一个初始的执行CLI命令的权
限(0~15级)。不同的级别,可以执行的命令是不同的,可以使用showprivilege
命令查看当前的级别。关于更详细的内容,请参见“使用命令行界面”。
如果登录到命令行界面后,由于初始权限过低,不能执行某些命令,则可以使用enable命令来提升权限。为了防止网络未经授权的访问,在提升权限的时候,需要进行身份认
证,即Enable认证。
要配置AAA Enable认证,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Enable 认证方法列表全局只能定义一个,因此不需要定义方法列表的名称;关键字method
指的是认证实际方法。仅当前面的方法返回ERROR (无应答),才使用后面的其他身份方法;如果前面的方法返回FAIL(失败),则不使用其他认证方法。为了使认证最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none 指定为最后一个认证方法。 Enable 认证方法配置以后立即自动生效。此后,在特权模式下执行enable 命令的时候,如
果要切换的级别比当前级别要高,则会提示进行认证。如果要切换的级别小于或等于当前级别,则直接切换,不需要进行认证。
如果进入CLI 界面的时候经过了Login 身份认证(none 方法除外),将记录当前使用的用户名。此时,进行Enable 认证的时候,将不再提示输入用户名,直接使用与Login 认证相同的用户名进行认证,注意输入的口令要与之匹配。 如果进入CLI 界面的时候没有进行Login 认证,或在Login 认证的时候使用了none 方法,将不会记录用户名信息。此时,如果进行Enable 认证,将会要求重新输入用户名。这个用户名信息不会被记录,每次进行Enable 认证都要重新输入。
一些认证方法,在认证时可以绑定安全级别。这样,在认证过程中,除了根据安全协议返回
的成功或失败的应答外,还需要检查绑定的安全级别。如果服务协议能绑定安全级别,则需要在认证时校验绑定的级别。如果绑定的级别大于或等于要切换的目的级别,则Enable 认证成功,并切换到目的级别;而如果绑定的级别小于要切换的目的级别,则Enable 认证失败,提示失败信息,维持当前的级别不变。如果服务协议不能绑定安全级别,则不校验绑定的级别,就可以切换到目的级别。
(可选)表示需读者留心关注的重要信息,用“注意栏”的形式提醒读者认真对待此部分内容,严格遵照其中的要求操作或使用。若读者忽略此内容,可能会因误操作而导致不良后果或无法成功操作。如产品限制信息,包括芯片差异导致的功能缺陷、功能之间的互斥信息、实现上的缺陷等等都需用“注意栏”的形式来描述。
目前能够绑定安全级别的认证方法只有RADIUS 和本地认证,因此只对这两种方法进行检
查,如果采用其他认证方法则不进行检查。
44.3.6.1使用本地数据库进行Enable 认证
使用本地数据库进行Enable 认证时,可以在设置本地用户时,为用户设置权限级别。如果
没有设置,则默认的用户级别为1级。要配置使用本地数据库进行Enable 身份认证时,首先需要配置本地数据库,并为用户设置权限级别,请在全局配置模式下,根据具体需求执行以下命令:
Step 1 Step 2 Step 3 Step 4
Step 5
定义本地Enable认证方法列表,可使用以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
44.3.6.2使用RADIUS进行Enable认证
标准的RADIUS服务器可以通过Service-Type属性(标准属性号为6)绑定权限,可以指定1级或15级权限;锐捷扩展的RADIUS服务器(例如SAM)可以设置设备管理员
的级别(私有属性号为42),可以指定0~15级权限。有关RADIUS服务器配置的信
息,请参见“配置RADIUS”中的“指定RADIUS私有属性类型”章节。
要配置用RADIUS认证服务器进行Enable认证,首先要配置RADIUS服务器,然后再配置基于RADIUS服务器的Enable方法列表。在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
44.3.7配置PPP用户使用AAA认证
PPP协议是提供在点到点链路上承载网络层数据包的一种链路层协议。在很多情况下,用户需要通过异步或ISDN拨号访问NAS(网络访问服务器),一旦建立了这种连接,将启动PPP协商,为了防止网络未经授权的访问,PPP在协商过程中要对拨号用户
进行身份认证。
本节将具体介绍如何配置我司产品所支持的AAA PPP认证方法,要配置AAA PPP认证,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
PPP协议更具体的配置方式参见“PPP、MP协议配置”中相关章节。
44.3.8配置802.1x用户使用AAA认证
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN提供点对点式的安全接入,提供一种对连接到局域网设备的用户进行认证的手
段。
本节将具体介绍如何配置我司产品所支持的802.1x认证方法,要配置802.1x认证,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
IEEE802.1x协议更具体的配置方式参见“802.1x配置”中相关章节。
44.3.9配置web认证使用AAA
Web认证提供一种对连接到局域网设备的用户进行认证的手段。
本节将具体介绍如何配置我司产品所支持的web认证方法,要配置web认证,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Web认证更具体的配置方式参见“web认证配置”中相关章节。
44.3.10配置web认证账号共享
默认情况下,一个账号在同一个时间只允许一个IP使用,但是可以设置允许多个IP共享同一个账号,关闭账号共享的情况下,后登陆的账号有效。
要打开账号共享功能,请按照如下步骤:
Step 1
Step 2
Step 3
配置举例(设置允许账号共享):
Ruijie# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Ruijie(config)# aaa local user allow public account
Ruijie(config)# show web-auth local-portal
44.3.11配置认证示例
下面示例演示如何配置网络设备,使用“RADIUS+本地身份”进行认证。
Ruijie(config)# aaa new-model
Ruijie(config)# username Ruijie password starnet
Ruijie(config)# radius-server host 192.168.217.64
Ruijie(config)# radius-server key test
Ruijie(config)#aaa authentication login test group radius local Ruijie(config)# aaa authentication web portal group radius local Ruijie(config)# web-auth authentication portal
Ruijie(config)# line vty0
Ruijie(config-line)# login authentication test
Ruijie(config-line)# end
Ruijie# show running-config
!
aaa new-model
!
!
aaa authentication login test group radius local
aaa authentication web portal group radius local
aaa local user allow public account
username Ruijie password 0 starnet
!
radius-server host 192.168.217.64
radius-server key 7 093b100133
!
web-auth authenticationportal
!
line con 0
line vty 0
login authentication test
line vty 1 4
!
!
上面例子中,访问服务器和web认证都使用RADIUS服务器(IP为192.168.217.64)对用户进行认证,如果RADIUS服务器没有应答,则使用本地数据库进行身份认证。
44.3.12终端服务应用下认证示例
在终端服务的应用环境下,终端接到设备的异步串口上,再通过IP网络连接到网络中心服务器进行业务作业。但是,如果打开了AAA功能,则所有的线路都需要进行登录(Login)认证,那么终端需要先通过了设备的登录认证,才能连接到服务器,这样对终端服务
的业务产生了影响。我们可以通过配置将两种线路分开,既让使用终端服务的线路不
进行登录认证,直接连接服务器;同时连接到本设备的线路又可以使用登录认证来保
证设备的安全。即:设置一个终端服务专用的登录认证列表,但认证方法为none;
然后将这个登录认证列表应用在打开终端服务的线路上(其他可以连接到本地的线路
不变);这样该终端就不需要进行本地的登录认证了。配置步骤如下:
Ruijie(config)# aaa new-model
Ruijie(config)# username Ruijie password starnet
Ruijie(config)# radius-server host 192.168.217.64
Ruijie(config)# radius-server key test
Ruijie(config)#aaa authentication login test group radius local
Ruijie(config)# aaa authentication login terms none
Ruijie(config)# line tty1 4
Ruijie(config-line)# login authentication terms
Ruijie(config-line)# exit
Ruijie(config)# line tty5 16
Ruijie(config-line)# login authentication test
Ruijie(config-line)# exit
Ruijie(config)# line vty0 4
Ruijie(config-line)# login authentication test
Ruijie(config-line)# end
Ruijie# show running-config
!
aaa new-model
!
!
aaa authentication login test group radius local
aaa authentication login terms none
username Ruijie password 0 starnet
!
radius-server host 192.168.217.64
radius-server key 7 093b100133
!
line con 0
line aux 0
line tty 1 4
login authentication terms
line tty 5 16
login authentication test
line vty 0 4
login authentication test
!
!
上面例子中,访问服务器使用RADIUS服务器(IP为192.168.217.64)对登录的用户进行认证,如果RADIUS服务器没有应答,则使用本地数据库进行身份认证。我们使用tty
1-4作为终端服务使用的线路,不需要登录认证,而其他tty和vty线路需要进行登录
认证。
44.4配置授权
AAA授权使管理员能够对用户可使用的服务或权限进行控制。启用AAA授权服务以后,网络设备通过本地或服务器中的用户配置文件信息对用户的会话进行配置。完成授权以
后,该用户只能使用配置文件中允许的服务或只具备许可的权限。
44.4.1授权类型
锐捷产品目前支持以下AAA授权类型:
?Exec授权
?Command(命令)授权
?Network(网络)授权
其中Exec授权针对的是用户终端登录到NAS上的CLI界面时,授予用户终端的权限级别(分为0~15级);命令授权针对的是用户终端登录到NAS上的CLI界面以后,针对
具体命令的执行授权;而网络授权针对的是授予网络连接上的用户会话可使用的服务。
命令授权功能目前仅TACACS+协议支持,具体内容请参考“配置TACACS+”。
44.4.2授权的准备工作
在配置AAA授权以前,必须完成下述任务:
?启用AAA服务。关于如何启用AAA服务,请参见“AAA概述”。
?(可选)配置AAA认证。授权一般是在用户通过认证之后进行,但在某些情况下,
没有经过认证也可以单独授权。关于AAA认证的信息,请参见“配置认证”。
?(可选)配置安全协议参数。如果需要使用安全协议进行授权,需要配置安全协
议参数。锐捷产品Network授权支持RADIUS和TACACS+协议,Exec授权支持RADIUS
和TACACS+协议,关于RADIUS协议的信息,请参见“配置RADIUS”,关于TACACS+
协议的信息,请参见“配置TACACS+”。
?(可选)如果需要使用本地授权,则需要使用username命令定义用户权限。
44.4.3配置授权列表
要启用AAA授权,请在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
44.4.4配置AAA Exec授权
锐捷产品支持针对登录到网络访问服务器(NAS)的用户终端,授予其执行命令的权限,即Exec授权。体现为用户登录到NAS的CLI界面时(例如通过Telnet),具备的级别
(成功登录后,可以使用show privilege命令查看)。
不论您要决定使用哪种Exec授权方法,只要使用aaa authorization exec命令定义一个或多个Exec授权方法列表,并应用于您需要进行Exec授权的特定线路就可以了。
要配置AAA Exec授权,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
关键字list-name 用来命名创建授权方法列表,可以是任何字符串;关键字method 指的是
授权实际算法。仅当前面的方法返回ERROR (无应答),才使用后面的其他方法;如果前面的方法返回FAIL(失败),则不使用其他授权方法。为了使授权最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none 指定为最后一个授权方法。 例如,在下例中,即使RADIUS 服务器超时(TIMEOUT),仍然能够通过Exec 授权:aaa
authorization exec default group radius none
Step 1 Step 2
Step 3 Step 4
上表列出了锐捷产品支持的AAA Exec 授权方法。
Exec 授权通常结合Login 认证一起使用,并可以在同一个线路上同时使用Login 认证和Exec 授权。但是要注意,由于授权和认证可以采用不同的方法和不同的服务器,因此对于相同的用户,认证和授权可能有不同的结果。用户登录时,如果Exec 授权失败,即使已经通过了Login 认证,也不能进入到CLI 界面。
44.4.4.1使用本地数据库进行Exec 授权
要配置使用本地数据库进行Exec 授权时,首先需要配置本地数据库。可以在设置本地用户
时,为用户设置权限级别。如果没有设置,则默认的用户级别为1级。请在全局配置模式下,根据具体需求执行以下命令:
Step 1 Step 2
Step 3 Step 4 Step 5
定义本地Exec 授权方法列表并应用授权方法列表,可使用以下命令: Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
Step 7
Step 8
Step 9
Step10
44.4.4.2使用RADIUS进行Exec授权
要配置用RADIUS服务器进行Exec授权,首先要配置RADIUS服务器,有关RADIUS服务器配置的信息,请参见“配置RADIUS”。
配置好RADIUS服务器后,就可以配置基于RADIUS服务器的方法列表了,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
Step 4
Step 5
Step 6
Step 7
Step 8
Step 9
Step10
44.4.4.3配置Exec授权示例
下例演示如何进行Exec授权。我们设置VTY线路0~4上的用户登录时采用Login认证,并且进行Exec授权。其中Login认证采用本地认证,Exec授权先采用RADIUS、如
果没有响应可以采用本地授权。远程RADIUS服务器地址为192.168.217.64,共享
密钥为test;本地用户名为ruijie,口令为ruijie,绑定级别是6级。如下:
Ruijie# configure terminal
Ruijie(config)# aaa new-model
Ruijie(config)# radius-server host 192.168.217.64
Ruijie(config)# radius-server key test
Ruijie(config)# username r uijie password ruijie
Ruijie(config)# username r uijie privilege 6
Ruijie(config)# aaa authentication login mlist1 local
Ruijie(config)# aaa authorization exec mlist2group radius local
Ruijie(config)# line vty 0 4
Ruijie(config-line)# login authentication mlist1
Ruijie(config-line)# authorization exec mlist2
Ruijie(config)# end
Ruijie# show running-config
aaa new-model
!
aaa authorization exec mlist2 group radius local
aaa authentication login mlist1 local
!
username ruijie password ruijie
username ruijie privilege 6
!
radius-server host 192.168.217.64
radius-server key 7 093b100133
!
line con 0
line vty 0 4
authorization exec mlist2
login authentication mlist1
!
End
44.4.5配置AAA Network授权
我司产品支持对包括PPP、SLIP等网络连接进行Network(网络)授权,这些网络连接通过Network授权,可以获得诸如流量、带宽、超时等服务配置。Network授权支持通
过RADIUS和TACACS+协议进行,服务器下发的授权信息封装在RADIUS或
TACACS+属性里,针对不同的网络连接应用,服务器下发的授权信息可能不相同。
目前该配置不支持802.1X的AAA 授权,802.1X通过另外的命令完成,具体参见
“802.1X配置”。
要配置AAA Network授权,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
关键字list-name用来命名创建授权方法列表,可以是任何字符串;关键字method指的是授权实际算法。仅当前面的方法返回ERROR(无应答),才使用后面的其他授权方
法;如果前面的方法返回FAIL(失败),则不使用其他授权方法。为了使授权最后能成
功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后一个授
权方法。
44.4.5.1使用RADIUS进行Network授权
要配置用RADIUS服务器进行Network授权,首先要配置RADIUS服务器,有关RADIUS 服务器配置的信息,请参见“配置RADIUS”。
配置好RADIUS服务器后,就可以配置基于RADIUS服务器的方法列表了,在全局配置模式下执行以下命令:
Step 1
Step 2
Step 3
44.4.5.2配置Network授权示例
下例演示如何进行网络授权。
Ruijie# configure terminal
Ruijie(config)# aaa new-model
Ruijie(config)# radius-server host 192.168.217.64
Ruijie(config)# radius-server key test
Ruijie(config)# aaa authorization network test group radius none Ruijie(config)# end
Ruijie# show running-config
aaa new-model
!
aaa authorization network test group radius none
!
radius-server host 192.168.217.64
radius-server key 7 093b100133
!
44.5配置记账
AAA配置
ACS访问原理 ACS主要是应用于运行Cisco IOS软件的思科网络设备,当然,ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。这其中包括: ?Cisco Catalyst交换机(运行Cisco Catalyst操作系统[CatOS]) ?Cisco PIX防火墙(还有ASA/FWSM ) ?Cisco VPN 3000系列集中器 不运行Cisco IOS软件的思科设备(如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器)可能也支持启用特权、TACACS+(验证、授权和记帐[AAA])命令授权或以上两者。 运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案: ?启用权利(Enable priviledges) ?AAA命令授权 Cisco IOS软件有16个特权级别,即0到15(其他思科设备可能支持数目更少的特权级别;例如,Cisco VPN 3000集中器支持两个级别)。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。为改变缺省特权级别,您必须运行启用命令,提供用户的启用口令和请求的新特权级别。如果口令正确,即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。这些等级缺省是有命令集的,比如说等级1只有一些基本的show命令等,而等级15是全部命令的集合。其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。 缺省级别: 特权级别说明 0 包括disable, enable, exit, help和logout命令 1 包括router>提示值时的所有用户级命令 15 包括router#提示值时的所有启用级命令 可修改这些级别并定义新级别: enable password level 10 pswd10 privilege exec level 10 clear line privilege exec level 10 debug ppp chap privilege exec level 10 debug ppp error privilege exec level 10 debug ppp negotiation
AAA基本配置
ACS配置的几个要点: 1、在接口配置拦目中选择相应的项目,否则不会在其他拦目中显示出来 2、在设备端的示例 ACS认证(authentication):路由器方式和PIX不同 Step1>在设备端定义tacacs+服务器地址以及key tacacs-server host 202.101.110.110 tacacs-server directed-request tacacs-server key test Step2>在ACS端定义设备的IP地址 Step3>在ACS上面建立用户名和用户组 Step4>在设备端配置AAA认证 aaa new-model aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable line vty 0 4 login authentication default 授权、记帐: aaa new-model aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local line vty 0 4 authorization commands 1 default authorization commands 15 default aaa accounting exec default start-stop group tacacs+ lin vty 0 4 accounting exec default 如果要记录用户所用的命令,设备端配置为: aaa new-model aaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ line vty 0 4 accounting commands 0 default accounting commands 1 default accounting commands 15 default 一、AAA服务器配置:PIX/ASA方式 Chicago(config)# username admin password cisco Chicago(config)# aaa-server mygroup protocol radius
安全完整性等级认证
SIL(Safety Integrity Level)-安全完整性等级。 SIL认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准,对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。 欧洲电工标准化(CENELEC的缩写)委员会,欧洲三大标准化组织之一。 CENELEC 负责电子工程领域的欧洲标准化。CENELEC连同电信标准化(ETSI)和CEN(所有其他技术领域的标准化)形成了欧洲标准化体系。 SIL认证一共分为4个等级,SIL1、SIL2、SIL3、SIL4,包括对产品和对系统两个层次。其中,以SIL4的要求最高。 2主要标准 IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全性 IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计,其目标是既避免系统性设计故障,又避免随机性硬件失效。 IEC61508标准的主要目标为: · 对所有的包括软、硬件在内的安全相关系统的元器件,在生命周期范围提供安全监督的系统方法; · 提供确定安全相关系统安全功能要求的方法; · 建立基础标准,使其可直接应用于所有工业领域。同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等); · 鼓励运营商和维护部门使用以计算机为基础的技术; · 建立概念统一、协调一致的标准架构和体系。 IEC61511: 过程工业领域安全仪表系统的功能安全要求 IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准,它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准,IEC61511在国内的协调标准为GB/T 21109。在过程工业中,仪表安全系统都被用来执行仪
aaa认证
1.1 什么AAA AAA(Authentication Authorization Accounting)是一种提供认证、授权和计费的技术。 ●??认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。 ●??授权(Authorization):授权用户可以使用哪些服务。 ●??计费(Accounting):记录用户使用网络资源的情况。 1.2 AAA的基本架构 AAA通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性,又便于集中管理用户信息。如下图所示 认证 AAA支持以下认证方式: ●??不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。 ●??本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在网络接入服务器上。本地认 证的优点是速度快,可以为运营降低成本;缺点是存储信息量受设备硬件条件限制。 ●??远端认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。AAA支持通 过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS (HuaWei Terminal Access Controller Access Control System)协议进行远端认证。网络接入服务器NAS(Network Access Server)作为客户端,与RADIUS服务器或HWTACACS服务器通信。 如果在一个认证方案中采用多种认证模式,将按照配置的顺序进行认证。 当配置的认证方式是先远端认证后本地认证时 如果登录的帐号在远端服务器上没有创建,但是在本地是存在的,经过远端认证时,将被认为认证失败,不再转入本地认证。 只有在远端认证服务器无响应时,才会转入本地认证。 如果选用了不认证(none)或本地认证(local),它必须作为最后一种认证模式。 授权 AAA支持以下授权方式: 不授权:不对用户进行授权处理。 ●??本地授权:根据网络接入服务器为本地用户账号配置的相关属性进行授权。 ●??HWTACACS授权:由TACACS服务器对用户进行授权。 ●??if-authenticated授权:如果用户通过了认证,而且使用的认证模式不是不认证,则用户授权通过。
华为交换机AAA配置与管理
华为交换机AAA配置与管理
AAA配置与管理 一、基础 1、AAA是指:authentication(认证)、authorization (授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization 和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。 在实际应用中,可以使用AAA的一种或两种服务。 2、AAA基本架构: C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备) 3、AAA基于域的用户管理: 通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理 缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能
5、hwtacacs协议 Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDN (virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制。 Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议 6、华为设备对AAA特性的支持 支持本地、radius、 hwtacacs三种任意组合 本地认证授权: 优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制 RADIUS认证、计费: 优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能 Hwtacacs认证、授权、计费: 认证、授权、计费室单独进行的,可以单独配置使用,在
H3C AAA认证配置
1.13 AAA典型配置举例 1.13.1 SSH用户的RADIUS认证和授权配置 1. 组网需求 如图1-12所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 ?由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权RADIUS服务器的职责; ? Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813; ? Router向RADIUS服务器发送的用户名携带域名; ? SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。 2. 组网图 图1-12 SSH用户RADIUS认证/授权配置组网图 3. 配置步骤 (1) 配置RADIUS服务器(iMC PLAT 5.0) 下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明RADIUS服务器的基本配置。 # 增加接入设备。 登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 ?设置与Router交互报文时使用的认证、计费共享密钥为“expert”; ?设置认证及计费的端口号分别为“1812”和“1813”; ?选择业务类型为“设备管理业务”; ?选择接入设备类型为“H3C”; ?选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备; ?其它参数采用缺省值,并单击<确定>按钮完成操作。
AAA配置教案
AAA认证配置、广域网链路 引入: 通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。 新授: AAA认证配置 AAA系统的简称: 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius 另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS 协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于: l RADIUS基于UDP协议,而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS 认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
安全认证管理系统安装手册
目录 目录 第 1章产品介绍 ......................................................................... 1-1 1.1产品简介 ..........................................................................................1-1 1.1.1产品概述................................................................................................. 1-1 1.1.2产品特点................................................................................................. 1-1 1.2物理特性 ..........................................................................................1-2 1.3产品外观 ..........................................................................................1-2 1.3.1产品前面板............................................................................................. 1-2 1.3.2产品后面板............................................................................................. 1-2 1.3.3 LED 指示灯说明....................................................................................... 1-3 1.3.4前面板接口说明...................................................................................... 1-4 第 2章设备安装 ......................................................................... 2-1 2.1安装须知 ..........................................................................................2-1 2.1.1安装环境要求 ......................................................................................... 2-1 2.1.2安装操作提示 ......................................................................................... 2-3 2.1.3安全警告................................................................................................. 2-4 2.2安装准备 ..........................................................................................2-4 2.2.1核对装箱单............................................................................................. 2-4 2.2.2安装工具及材料...................................................................................... 2-4 2.3设备安装 ..........................................................................................2-5 2.3.1安装ER400-LAB ...................................................................................... 2-5 2.3.2ER400-LAB 设备接地............................................................................... 2-5 2.3.3 Console 线缆连接 ................................................................................. 2-6 2.3.4 SFP 收发器安装....................................................................................... 2-7 2.3.5电缆光纤连接 ......................................................................................... 2-7 2.3.6电源线连接............................................................................................. 2-8 1 1章产品介绍1.1产品简介1.1.1产品概述 ER400-LAB 是神州数码网络推出的二层千兆加千兆上行安全认证管理系统。ER400-LAB 提 供了 10个固定接口(8个 10/100/1000Base-T 固定端口、2个千兆 COMBO 口)。ER400-LAB 在同类产品中处于领先地位,能够满足大型网络的组网需求,并具备丰富的智能 和安全特性,特别适合于作为大型校园网、企业网、IP 城域网的接入设备。 1.1.2产品特点 "丰富灵活的接口类型 ER400-LAB 系列提供了多个固定 10/100/1000Base-T 端口、同时也提供了 SFP 形式的 COMBO 端口,丰富的端口类型方便了组网需求。 "完善的网络管理 ER400-LAB 系列支持带内和带外管理,支持 CLI 和 WEB 界面。 1-1 ER400-LAB 安全认证管理系统: 图 1-1 ER400-LAB 安全认证管理系统示意图 1.2物理特性控制口 1个RJ-45型接口的串行控制口 交流电源输入 100V ~ 240V ,47Hz ~ 63Hz ν 电源功耗 20W 运行温度 -5 °C ~ 50°C ν 储藏温度 -40°C ~ 70°C ν ν 相对湿度 10%~90% 尺寸 W442mm x D220mm x H43.6mm 重量 2070g (不含包装) 1.3产品外观 1.3.1产品前面板 ER400-LAB 安全认证管理系统的前面板上有 8个 10/100/1000Base-T 端口,2个 Combo 端口(2 个 RJ-45和 2个 SFP 端口),1个 Console 端口,2个 USB 口,12个 LED 指示灯。 ER400-LAB 安全认证管理系统的前面板如下图所示: 图 1-2 ER400-LAB 安全认证管理系统前面板 1.3.2产品后面板 ER400-LAB 后面板包括1个220V 交流电源插座和1个接地端子。 1-2 1章产品介绍1.3.3 LED 指示灯说明 ER400-LAB 的前面板指示灯包括端口指示灯和系统状态指示灯,分别说明 如下。 1.3.3.1 端口指示灯说明 图 1-4 ER400-LAB LED 示意图 表 1-1 ER400-LAB 端口指示灯说明 状态 指示灯 面板标示 含义 绿灯 灭 内部电源正常运行。 无电源或出错。 系统运行正常。 系统运行失败。 电源指示灯 Power 绿灯 灭 系统运行状态 指示灯 RUN 面板标记 Port1-8(Link/Act) HG1-2(Link/Act) 状态 含义 亮(绿色) 闪(绿色) 灭 端口 link 成功 端口 link 成功,并收发数据 端口没有 link 成功 端口 link 成功 亮(绿色) 1-3 图 1-3 ER400-LAB 安全认证管理系统后面板 端口 link 成功,并收发数据 端口没有 link 成功 闪(绿色) 灭 1.3.4前面板接口说明 各种接口说明如下: 表 1-2 ER400-LAB 接口说明 接口形式 规格 λ λ λ λ 10/100/1000Mbps 自适应 MDI/MDI-X 网线类型自适应 5类非屏蔽双绞线(UTP ):100米 SFP-SX 收发器: RJ-45口 62.5/125um 多模光纤:275m 50.0/125um 多模光纤:550m λ λ λ λ SFP-LX 收发器: 9/125um 单模光纤:10公里 SFP SFP-LH-40收发器: 9/125um 单模光纤:40公里 SFP-LH-70收发器: 9/125um 单模光纤:70公里 SFP-LH-120收发器: 9/125um 单模光纤:120公里 1-4 第2 章设备安装 2.1安装须知 在 ER400-LAB 安全认证管理系统的安装和使用中,为了您和他人的人身安全,以及确保正常 使用ER400-LAB ,请仔细阅读如下安装注意事项和提示。 2.1.1安装环境要求 ν ER400-LAB 必须工作在清洁的环境中,应保持无灰尘堆积,以避免静电吸附而导致器 件损坏。 ν ν ER400-LAB 必须工作在室内环境温度-5°C ~50°C 、湿度10%~95%无凝结的环境中。 ER400-LAB 必须置于干燥阴凉处,四周都应留有足够的散热间隙,以便通风散热,桌 面或ER400-LAB 叠放应安装脚垫 ν ν ν ν ER400-LAB 必须工作在符合输入电源范围的配电环境中。 ER400-LAB 必须有效接地,以避免静电损坏ER400-LAB 和漏电造成人身伤害。 ER400-LAB 必须避免阳光直射,远离热源和强电磁干扰源。 ER400-LAB 必需可靠的、稳固的安装到桌面上或标准19 英寸机架上。 2.1.1.1 安装环境清洁度 灰尘对ER400-LAB 运行安全是一种危害。室内灰尘可以造成静电吸附,使金属接件或金 属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成这种静电吸附,不但会影 响ER400-LAB 的寿命,而且容易造成ER400-LAB 故障。机房推荐的工作环境灰尘含量及粒径 如下表所示: 最大直径 (μm ) 0.5 1 3 5 最大直径 5 1.4×10 5 7×10 5 2.4×10 5 1.3×10 (颗粒数/m 3) 表 2-1机房推荐的工作环境(灰尘含量及颗粒直径) 除灰尘外,ER400-LAB 对空气中所含的盐、酸、硫化物也有严格的要求。这些有害气体 会加速金属的腐蚀和某些部件的老化。机房内应防止有害气体如SO 、H S 、NO 、NH 、Cl 2 2 2 3 2 等的侵入,机房推荐的工作环境有害气体限制值如下表所示: 气体 平均(mg/m 3) 最大(mg/m 3) 二氧化硫(SO 2) 0.2 1.5 2-1 硫化氢(H 2S ) 二氧化氮(NO 2) 氨(NH 3) 0.006 0.04 0.05 0.01 0.03 0.15 0.15 0.3 氯气(Cl 2) 表 2-2机房推荐的工作环境(有害气体限制值) 2.1.1.2 温度湿度 ER400-LAB 的安装要注意空气的对流通风,建议安装在能维持一定温度和湿度的室内机 房中的机架上。如果夏天气温较高,建议使用空调等降温设备;如果冬季气温较低,建议加 装暖气等增温设备。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易 发生材料机械性能变化、金属部件腐蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧 固螺丝松动,同时在干燥的气候环境下,易产生静电,危害ER400-LAB 的电路;温度过高会 使ER400-LAB 的可靠性降低,长期高温还会影响其使用寿命,过高的温度将加速绝缘材料的 老化过程。机房推荐的工作温湿度如下表所示: 温度 相对湿度 长期工作条件 短期工作条件 长期工作条件 短期工作条件 15~30℃ -5~50℃ 40~65% 10%~90% 表 2-3机房推荐的工作环境(温度湿度要求) 注意! ER400-LAB 机房内工作环境温、湿度的测量点是指在机架前后没有保护板时测量,距地 面1.5m 和距机架前面0.4m 处测量的数值。短期工作条件是指连续工作不超过48 小时和每 年累计不超过15 天。极端恶劣工作条件是指机房空调系统出现故障时可能出现的环境温度 和相对湿度,每次不应超过5 小时就应恢复正常工作范围。 2.1.1.3 电源 ER400-LAB 采用模块开关电源,对电源输入参数如下: 交流输入电压:100~240VAC 频率: 47Hz ~ 63Hz 接通电源前建议先检查电源输入,确保供电系统接地良好和ER400-LAB 输入端电源稳定 可靠,必要时可安装电压调节装置。电路短路保护措施中应保证有一个不大于 240V 、10A 的 保险丝或断路器在相线中。为保证提供稳定、可靠的电源,建议使用 UPS 不间断电源。 警告! 若供电系统没有良好接地,输入电源波动过大或存在过大的脉冲,都会引起ER400-LAB 工作异常,甚至损坏硬件器件! 2-2 2.1.1.4 防静电 静电会对ER400-LAB 的电路和整机产生破坏作用。为防止静电的危害,应做到宽带路由 器及地板良好、有效接地,机房室内防尘及除尘,保持适当的温湿度,操作人员穿着防静电 服装和佩戴防静电手环、手套。 2.1.1.5 抗干扰 各种干扰源,无论是来自ER400-LAB 或其它设备,无论来自内部还是来自外部,都是以 电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统)和导线(电源线、信号线和 输出线等)的传导方式对ER400-LAB 产生影响。因此要注意如下事项: ν ν 要对供电系统采取有效的防电网干扰措施。 ER400-LAB 工作接地最好不要和电力设备的接地装置或防雷接地装置合用,并尽可能相 距远一些。 ν ν 远离强功率无线电发射台、雷达发射台和高频大电流设备。 必要时采取电磁屏蔽的方法。 2.1.1.6 机架配置 ER400-LAB 的尺寸是按照19英寸标准机柜设计的,整体尺寸大小为宽×高×深= 430mm × 44.45mm × 170mm 。至于通风散热,请注意如下情况:ν 机架上每一台设备工作时都会发热,因此封闭的机架必须有散热口和冷却风扇,而且设 备不能放得太密集,以确保通风散热良好。 ν 在开放的机架上安装ER400-LAB 时,注意机架的框架不要挡住ER400-LAB 两侧的通风 孔。在安装好ER400-LAB 后要仔细检查ER400-LAB 的安装状态,防止上述情况发生。 注意! 如果没有19英寸标准机柜,那么就需要将ER400-LAB 安装在平稳的、干净的桌面上, 同时四周要留出100mm 的散热空间,同时不要在ER400-LAB 上面放置重物。 2.1.2安装操作提示 ν ν 在安装开始前,先仔细阅读本使用手册中的相关章节或参加相关技术培训;然后,准备 好安装所需的材料、工具和相关用品;同时,准备好适合的安装场地,以便安装调试。 在安装过程中,必须使用包装箱内附带的专用机架安装角铁和螺丝钉;必须使用合适的 安装工具,保证安装稳固、可靠;必须穿着合身的防静电服装和佩戴防静电手环、手套, 以免损坏ER400-LAB ;必须使用合格的、规格正确线缆和接头,并按标准制作线缆;必 须注意安装环境存在的潜在危险,做好防护措施,避免意外伤害。 ν 在安装完成后,注意清理安装现场,保持干净、整洁;注意在ER400-LAB 通电前将宽带 路由器进行有效的接地;要定期对所安装的ER400-LAB 进行维护,以延长ER400-LAB 的 使用寿命。 2-3 2.1.3安全警告 ν ν ν ER400-LAB 使用的SFP 光模块内有激光器,切勿在设备工作时直视光口,以免损害眼睛。 不要尝试可能引起人身伤害、意外事故或损坏ER400-LAB 的安装操作。 不要在带电状态下安装、移动和拆卸ER400-LAB 及模块,以避免造成人身伤害和设备损 坏。 ν ν ν ν ν ν ν ν 不要私自拆开ER400-LAB ,有故障可直接送修,以避免造成人身伤害和设备损坏。 不要将金属物接触带电电源或掉入ER400-LAB 内部,以避免短路和器件损坏。 不要在带电状态下触摸电源插头和插座,以免触电造成人身伤害。 不要将易燃物堆放在ER400-LAB 周围,以免发生火灾。 不要在有潜在危险的情况下单独安装调试ER400-LAB ,以应付突发意外事故。 要使用标准的、有过载和漏电保护的电源插座,以免发生意外事故。 要经常检查和维护电路和安装、工作环境是否存在安全隐患,做好预防工作。 要将紧急电源开关安装在工作间中,以便在意外事故发生可以迅速切断电源。 注意! 可能的潜在危险和安全隐患包括:电源漏电、电源打火、电线破损、接地不良、电路过 载和电路短路等。如果遇到触电、火灾、短路等意外情况发生,请迅速切断电源,并立即报 警。在不危急自身安全的前提下,救助在意外事故中的伤者,并根据受伤害情况对伤者采取 适当的急救措施,并可通过各种方式向专业医疗急救机构寻求帮助。 2.2安装准备 2.2.1核对装箱单 首先打开ER400-LAB 的包装箱,仔细核对包装箱内的ER400-LAB 及附件是否齐全。如果 发现包装箱内有任何物品的缺失或损坏,请立即与销售该产品的经销商或者与当地神州数码 网络公司的相关人员联系。 2.2.2安装工具及材料 设备安装工具清单: ν ν ν ν 十字螺丝刀 一字螺丝刀 防静电腕带 防静电服 注意: 安装工具需要用户自己准备! 2-4 2.3设备安装 2. 3.1安装 请按照如下步骤安装本设备: 1.用包装箱内附带的机架安装螺丝钉将专用机架角铁牢固的安装到本设备的两侧。 2.将ER400-LAB 置于标准19英寸机架内,再使用螺丝钉将本设备牢固的固定在机架中 的合适位置,并且在本设备与周围物体间留有足够的通风空间。 图 2-1将ER400-LAB 固定在机架上 ER400-LAB 的角铁起的是固定作用,不能用来承重,建议在ER400-LAB 底部安装机架托板, 并且不要在ER400-LAB 上放置重物,也不要让其它设备或物体遮挡住ER400-LAB 的通风孔, 以免损坏ER400-LAB 或影响ER400-LAB 正常工作。 2.3.2ER400-LAB 设备接地 良好的接地系统是 ER400-LAB 安全认证管理系统稳定可靠运行的基础,是防止雷击、抵抗干 扰的首要保证条件。请按设备接地规范的要求,认真检查安装现场的接地条件,并根据实际 情况把接地工作做好。 λ 安全接地 2-5 使用交流电的设备必须通过黄绿色安全地线接地,否则当设备内的电源与机壳之间 的绝缘电阻变小时,会导致电击伤害。 λ 雷电接地 设施的雷电保护系统是一个独立的系统,由避雷针、下导体和与接地系统相连的接 头组成。该接地系统通常与用做电源参考地及黄绿色安全地线的接地是共用的。雷电放 电接地仅对设施而言,设备没有这个要求。 λ 电磁兼容接地 出于电磁兼容设计而要求的接地,包括:屏蔽接地、滤波器接地、噪声和干扰抑制、 电平参考。上述形成了接地的综合要求。接地电阻要求小于 1Ω。 ER400系列ER400-LAB 在机箱的后面板上留有外壳保护接地柱,并标有“ ” 字样。外壳保护接地应可靠连接在机柜的接地柱上。 接线步骤如下: 第一步:拧下ER400-LAB 机箱接地柱上的固定螺母。 第二步:将接地线的一端套在后面板的接地柱上。 第三步:放上并拧紧固定螺母。 第四步:将接地线的另一端接到接地端子上。 注意: 接地线截面积根据可能通过的最大电流负荷确定。应采用良导体导线。 不能使用裸导线布放。 接地电阻值:联合接地的电阻值应小于 1Ω。 2.3.3 Console 线缆连接 ER400-LAB 安全认证管理系统提供了一个RJ45型插头的异步串行Console 配置口。 2-6 图 2-2将 Console 线缆连接到 ER400-LAB 安全认证管理系统上 请按照如下步骤连接Console 线缆: 1.将包装箱中附带的Console 线缆一端的RJ45接头连接到ER400-LAB 的Console 端口 中。 2.将Console 另一端连接到一台字符终端(通常是计算机)上。 3.在ER400-LAB 和字符终端都已加电后,通过字符终端可以与ER400-LAB 建立管理配置连 接。 2.3.4 SFP 收发器安装 在 ER400系列ER400-LAB 上,提供了多个 SFP 千兆光纤收发器插槽。 安装 SFP 千兆光纤收发器的步骤如下: 第一步:带上防静电腕带(或防静电手套); 第二步:将 SFP 收发器插入千兆光接口线卡内部的导轨,注意 SFP 收发器上下不要颠倒; 第三步:将 SFP 收发器沿导轨轻轻推入,直到与千兆光接口线卡内部导轨的槽底紧紧相接。 说明:SFP 千兆光纤收发器可以热插拔。 ER400-LAB 工作时,不要用眼睛直视 SFP 千兆光纤收发器的两个光纤孔,以免激光器发光 对眼睛造成伤害。 2.3.5电缆光纤连接 以太网电缆的连接步骤如下: 第一步:请将以太网线的一端插入ER400-LAB 电接口线卡的 RJ45以太网接口; 第二步:将以太网线的另一端插入其他设备的 RJ45以太网接口; 第三步:检查对应接口的状态指示灯,LINK 灯亮表示链路已经连通,LINK 灯灭表示链路 没有连通,请检查线路。 连接时请认准接口上的标识,以免误插入其它接口,导致模块或ER400-LAB 主机的损坏。 光纤的连接步骤如下: 第一步:将 SFP/XFP 光纤收发器接口上的橡胶保护塞取出;取出光纤,将光纤头上的保护 套取下,注意保持光纤头的整洁和干净。 2-7 第二步:将光纤一端接到ER400-LAB 的 SFP/XFP 收发器上,另一端接到其它设备对应的光 收发器上。注意,连接时,SFP/XFP 收发器的TX 口连接另外设备的 RX 口,SFP/XFP 收发器的 RX 口连接另外设备的 TX 口。 第三步:检查光接口指示灯状态,LINK 灯亮表示链路已经连通,LINK 灯灭表示线路出现 故障,请检查线路连接。 连接时请认准接口上的标识,以免误插入其它接口,导致收发器或其它接口的损坏。 从其它设备连接光口到ER400-LAB 的时候,确保光纤的光功率输出不大于对应模块的最大接 收功率,否则将会损坏ER400-LAB 。ER400-LAB 工作时,请勿用眼睛直视光纤接口,以免造 成伤害。 2.3.6电源线连接 ER400系列ER400-LAB 的电源是220VAC ,可以适应一定范围内的电压浮动,具体数据 请参考产品规格描述。 请按照如下步骤连接电源线: 图 2-3将电源线连接到 ER400-LAB 安全认证管理系统上 1.将包装中附带电源线的一端插到ER400-LAB 后面板上的电源插槽中,另一端插到标准的 带过载和漏电保护的电源插座上。 2.检查ER400-LAB 前面板上的Power 指示灯是否已亮。ER400-LAB 安全认证管理系统可根据电源 的输入电压自动调节。因此,只要输入电压符合后面板上所标明的电压范围,ER400-LAB 就 可正常运行,而无需额外的调试。 3.ER400-LAB 加电后,自动执行系统自检并启动。 2-8 ER400-LAB 安全认证管理系统安装手册 第 2 章设备安装输入电压必须符合设备电源规格,不然可能损坏ER400-LAB 安全认证管理系统或使其工作 不正常,减少使用寿命。如果电源加电后Power 指示灯不亮或自检不正常,请与经销商或 神州数码网络客服中心联系,不要擅自拆卸机壳,以免造成人身伤害。 2-9
aaa认证说明
AAA代表Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。 1、认证:验证用户是否可以获得访问权限——“你是谁?” 2、授权:授权用户可以使用哪些资源——“你能干什么?” 3、记帐:记录用户使用网络资源的情况——“你干了些什么?” 好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解: 为网络提供AAA服务的,主要有TACACS+和RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络 一、实验拓扑介绍 该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验 二、安装cisco ACS 1、硬软件要求 硬件:Pentium IV 处理器,1.8 GHz 或者更高 操作系统:Windows 2000 Server Windows 2000 Advanced Server (Service Pack 4) Windows Server 2003,Enterprise Edition or Standard Edition (Service Pack 1) 内存:最小1GB 虚拟内存:最小1GB 硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。 浏览器:Microsoft Internet Explorer 6 或者更高版本 JA V A运行环境:Sun JRE 1.4.2_04 或更高版本 网络要求: 在CISCO IOS 设备上为了全面的支持TACACS+ 和RADIUS,AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。 非CISCO IOS 设备上必须用TACACS+,RADIUS或者两者一起配置。 运行ACS的主机必须能ping通所有的AAA客户端。 2、安装方法(我们用的版本是4.0版本) 打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认 3、安装完成后的访问 在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACS的web格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002来访问ACS。 注: ? Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的 ? ACS安装完成后, 1、一定要安装JA VA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本1.6.0_12 Java HotSpot (TM) 2、IE的浏览器一定把安全级别为低或者中低,否者打的开界面将是空的。 三、ACS的配置 1、ACS管理员帐号 Step 1>点击ACS界面左边的Administration control 按钮,然后点击Administrator control界面中的Add Administrator Step 2>点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit Step3>了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置 如:http://10.10.10.110:2002 2、ACS网络(添加Tacacs+客户端