您的位置:360文档中心› 华为交换机AAA配置管理

华为交换机AAA配置管理

合集下载

01-01 AAA及用户管理配置

01-01 AAA及用户管理配置

Quidway NetEngine40E操作手册-安全分册目录目录1 AAA及用户管理配置.................................................................................................................1-11.1 简介..............................................................................................................................................................1-21.1.1 AAA简介............................................................................................................................................1-21.1.2 RADIUS协议简介..............................................................................................................................1-31.1.3 HWTACACS协议简介......................................................................................................................1-51.1.4 基于域的用户管理简介.....................................................................................................................1-51.1.5 本地用户管理简介.............................................................................................................................1-61.2 配置AAA....................................................................................................................................................1-61.2.1 建立配置任务.....................................................................................................................................1-61.2.2 配置认证方案.....................................................................................................................................1-81.2.3 配置授权方案.....................................................................................................................................1-81.2.4 配置计费方案.....................................................................................................................................1-81.2.5 配置记录方案.....................................................................................................................................1-91.2.6 配置为用户分配IP地址...................................................................................................................1-91.2.7 在用户端配置接口IP地址为可协商.............................................................................................1-101.2.8 检查配置结果...................................................................................................................................1-101.3 配置RADIUS服务器...............................................................................................................................1-111.3.1 建立配置任务...................................................................................................................................1-111.3.2 创建RADIUS服务器模板..............................................................................................................1-121.3.3 配置RADIUS认证服务器..............................................................................................................1-121.3.4 配置RADIUS计费服务器..............................................................................................................1-131.3.5 配置RADIUS服务器的协议版本..................................................................................................1-131.3.6 配置RADIUS服务器的密钥..........................................................................................................1-131.3.7 配置RADIUS服务器的用户名格式..............................................................................................1-131.3.8 配置RADIUS服务器的流量单位..................................................................................................1-141.3.9 配置RADIUS服务器的重传参数..................................................................................................1-141.3.10 配置RADIUS服务器的NAS端口..............................................................................................1-141.3.11 检查配置结果.................................................................................................................................1-151.4 配置HWTACACS服务器........................................................................................................................1-151.4.1 建立配置任务...................................................................................................................................1-15目录Quidway NetEngine40E操作手册-安全分册1.4.2 创建HWTACACS服务器模板.......................................................................................................1-16 1.4.3 配置HWTACACS认证服务器.......................................................................................................1-16 1.4.4 配置HWTACACS授权服务器.......................................................................................................1-17 1.4.5 配置HWTACACS计费服务器.......................................................................................................1-17 1.4.6 配置HWTACACS服务器的源IP地址.........................................................................................1-17 1.4.7 配置HWTACACS服务器的密钥...................................................................................................1-18 1.4.8 配置HWTACACS服务器的用户名格式.......................................................................................1-18 1.4.9 配置HWTACACS服务器的流量单位...........................................................................................1-18 1.4.10 配置HWTACACS服务器的定时器.............................................................................................1-18 1.4.11 检查配置结果.................................................................................................................................1-191.5 配置域........................................................................................................................................................1-191.5.1 建立配置任务...................................................................................................................................1-191.5.2 创建域..............................................................................................................................................1-201.5.3 配置域的认证、授权和计费方案...................................................................................................1-201.5.4 配置域的RADIUS服务器模板......................................................................................................1-201.5.5 配置域的HWTACACS服务器模板...............................................................................................1-211.5.6 配置域的地址相关属性...................................................................................................................1-211.5.7 配置域的状态...................................................................................................................................1-211.5.8 配置域允许的最大接入用户数.......................................................................................................1-221.5.9 检查配置结果...................................................................................................................................1-22 1.6 配置单独本地用户管理............................................................................................................................1-221.6.1 建立配置任务...................................................................................................................................1-221.6.2 创建本地用户帐号...........................................................................................................................1-231.6.3 配置本地用户的服务类型...............................................................................................................1-231.6.4 配置本地用户的FTP目录权限......................................................................................................1-241.6.5 配置本地用户的状态.......................................................................................................................1-241.6.6 配置本地用户的优先级...................................................................................................................1-241.6.7 配置本地用户的接入限制...............................................................................................................1-241.6.8 检查配置结果...................................................................................................................................1-25 1.7 维护............................................................................................................................................................1-251.7.1 清除HWTACACS服务器的统计信息...........................................................................................1-251.7.2 调试RADIUS或HWTACACS服务器..........................................................................................1-25 1.8 AAA及用户管理典型配置举例................................................................................................................1-261.8.1 采用RADIUS协议认证和计费......................................................................................................1-261.8.2 对用户采用本地和HWTACACS认证、HWTACACS授权和进行实时计费............................1-291.8.3 采用RADIUS协议对Telnet用户的认证......................................................................................1-33 1.9 AAA及用户管理故障诊断与排除............................................................................................................1-351.9.1 用户本地认证总被拒绝...................................................................................................................1-361.9.2 用户RADIUS认证总被拒绝..........................................................................................................1-36Quidway NetEngine40E操作手册-安全分册目录1.9.3 未配置认证却对用户进行认证.......................................................................................................1-371.9.4 Telnet用户通过RADIUS认证后不能进入系统视图....................................................................1-37插图目录Quidway NetEngine40E 操作手册-安全分册插图目录图1-1 RADIUS客户端与服务器间的消息流程..............................................................................................1-3图1-2 RADIUS消息结构..................................................................................................................................1-4图1-3 AAA示例组网图..................................................................................................................................1-27图1-4 对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费................................1-30图1-5 采用Radius协议对telnet用户的认证...............................................................................................1-33操作手册-安全分册表格目录表格目录表1-1 HWTACACS协议与RADIUS协议的比较..........................................................................................1-5操作手册-安全分册 1AAA及用户管理配置1 AAA及用户管理配置关于本章本章描述内容如下表所示。

华为交换机aaa配置命令是什么

华为交换机aaa配置命令是什么

华为交换机aaa配置命令是什么华为交换机aaa配置命令是什么交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。

所以,以太网技术已成为当今最重要的一种局域网组网技术,网络交换机也就成为了最普及的交换机。

下面是店铺给大家整理的一些有关华为交换机aaa配置命令,希望对大家有帮助!华为交换机aaa配置命令[Huawei]aaa[Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng[Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius,如无响应则本地认证[Huawei-aaa-authen-aaa]quit[Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei[Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费[Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时,将用户离线[Huawei-aaa-accounting-ji_fei]quit二、配置Radius模板[Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use[Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口[Huawei-radius-huawei_use]radius-server authentication 192.168.1.253 1812 secondary 备用认证服务器[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1812 主radius计费服务地址和端口[Huawei-radius-huawei_use]radius-server accounting 192.168.1.253 1813 secondary 备用计费服务器[Huawei-radius-huawei_use]radius-server shared-key cipher hello 配置设备与Radius通信的共享秘钥为hello[Huawei-radius-huawei_use]radius-server retransmit 2 timeout 5 配置设备向Radius服务器发送请求报文的超时重传次数为2s,间隔为5s[Huawei-radius-huawei_use]quit三、在AAA用户域绑定要使用的AAA认证和Radius模板[Huawei]aaa[Huawei-aaa]domain huawei 配置AAA域,名称huawei[Huawei-aaa-domain-huawei]authentication-schemeren_zheng 在域中绑定AAA认证方案[Huawei-aaa-domain-huawei]accounting-scheme ji_fei 在域中绑定AAA计费方案[Huawei-aaa-domain-huawei]radius-server huawei_use 在域中绑定Radius模板[Huawei-aaa-domain-huawei]quit检查命令:[Huawei]display radius-server configuration template huawei_use------------------------------------------------------------------------------Server-template-name : huawei_useProtocol-version : standardTraffic-unit : BShared-secret-key : aaYOZ$V^P35NZPO3JBXBHA!!Timeout-interval(in second) : 5Primary-authentication-server : 192.168.1.254 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Primary-accounting-server : 192.168.1.254 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-authentication-server : 192.168.1.253 :1812 :-LoopBack:NULL Source-IP:0.0.0.0Secondary-accounting-server : 192.168.1.253 :1813 :-LoopBack:NULL Source-IP:0.0.0.0Retransmission : 2Domain-included : YESNAS-IP-Address : 0.0.0.0Calling-station-id MAC-format : xxxx-xxxx-xxxx------------------------------------------------------------------------------[Huawei][Huawei]display domain name huaweiDomain-name : huaweiDomain-state : ActiveAuthentication-scheme-name : ren_zhengAccounting-scheme-name : ji_feiAuthorization-scheme-name : -Service-scheme-name : -RADIUS-server-template : huawei_useHWTACACS-server-template : -[Huawei]session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49)拓扑不变HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。

AAA配置详细手册

AAA配置详细手册
图13radius的基本消息交互流程radiusclientradiusserver1用户输入用户名密码3认证接受拒绝包2认证请求包4计费开始请求包5计费开始请求响应包7计费结束请求包8计费结束请求响应包9通知访问结束host6用户访问资源消息交互流程如下
目录
1 AAA配置 ............................................................................................................................................ 1-1 1.1 AAA简介............................................................................................................................................ 1-1 1.1.1 概述 ........................................................................................................................................ 1-1 1.1.2 RADIUS协议简介.................................................................................................................... 1-2 1.1.3 HWTACACS协议简介 ...........................................................

AAA配置和管理

AAA配置和管理
南京晓庄学院数学与信息技术学院
网络安全实验报告
实验名称:
实验三AAA配置和管理
班级:
实验地点:
日期:
评定等级:
学号:
姓名:
一、实验目的:
1.掌握使用本地数据库进行控制、VTY和AUX线路的登录认证
2.掌握使用AAA进行本地认证
3.掌握使用AAA和RADIUS进行集中认证
二、基本技能实验内容、要求和环境:
Router(config)#line vty 0 4
Router(config-line)#login authentication TELNET_LINESቤተ መጻሕፍቲ ባይዱ
四、实验结果与分析
使用本地数据库进行控制、VTY和AUX线路的登录认证
AAA本地认证
五:思考题:
AAA是指用使用Auth;Authentication(认证):对用户的身;我们一般使用TACASS+RADIUS协议来做;当用户的身份被认证服务器去人后,用户在能管理交换;在认证的时候。有以下这些方法:1在交换机本地进行用户名和密码的设定,也就是在用户登录交换机的时候,交换机会对比自己的本地数据库,查看要登录的用户所使用的用户名和密码的正确性;2使用一台或多台(组)外部RARIUS服务器认证;3使用一台或多台(组)外部TACASS+服务器认证用一个配置实例,说明交换机上操作。
R2(config-if)#ip address 192.168.2.2 255.255.255.252
R2(config-if)#end
2配置主机
(1)配置使用本地数据库进行控制线路的登录认证
Router(config)#username peter secret cisco

HC华为 AAA命令详解

HC华为 AAA命令详解

01-A A A命令目?录1AAA配置命令1.1AAA配置命令authorizationdefaultauthorizationloginauthorization-attributeauthorization-attributeuser-profilebind-attributecutconnectiondisplayconnectiondisplaydomaindisplaylocal-userdisplayuser-groupdomaindomaindefaultenableexpiration-dategroupidle-cutenablelocal-userlocal-userpassword-display-modenas-idbindvlanpasswordself-service-urlenableservice-typestateuser-group2RADIUS配置命令2.1RADIUS配置命令2.1.4attribute25carnas-ip(RADIUSschemeview)primaryaccounting(RADIUSschemeview)primaryauthentication(RADIUSschemeview)radiusclientradiusnas-ipradiusschemeradiustrapresetradiusstatisticsresetstop-accounting-bufferretryretryrealtime-accountingretrystop-accounting(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)secondaryauthentication(RADIUSschemeview) security-policy-serverserver-typestatestop-accounting-bufferenable(RADIUSschemeview) timerquiet(RADIUSschemeview)timerrealtime-accounting(RADIUSschemeview) timerresponse-timeout(RADIUSschemeview)user-name-format(RADIUSschemeview)1AAA配置命令1.1?AAA配置命令【命令】aaanas-idprofile profile-nameundoaaanas-idprofile profile-name【视图】系统视图【缺省级别】2:系统级【参数】profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。

华为交换机AAA配置与管理系统

华为交换机AAA配置与管理系统

AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC 方案是基于接入设备接口进行认证的。

在实际应用中,可以使用AAA的一种或两种服务。

2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。

用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如user@就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。

华为交换机常用配置

华为交换机常用配置
在给整个网络规划的时候,就会给整个网络中的网络设备,例如交换机,路由器,无线设备等,划分一个管理网段。所以新加的这个交换段是10.178.245.0/24,vlan号是1.
所以新交换机也在vlan1上设置一个管理IP:10.178.245.15 24
[Huawei-ui-vty4]authentication-mode password #认证方式为password
[Huawei-ui-vty4]set authentication password cipher admin@123 #设置认证密码
管理口(console)设置
划分VLAN
2、telnet [Huawei]telnet server enable #开启telnet服务功能 [Huawei]user-interface vty 4 #创建一个远程用户 [Huawei-ui-vty4]authentication-mode aaa #认证方式为AAA [Huawei-ui-vty4]protocol inbound telnet #协议为telnet 或者认证方式为password [Huawei]user-interface vty 4 #创建一个远程用户 [Huawei-ui-vty4]authentication-mode password #认证方式为password [Huawei-ui-vty4]set authentication password cipher admin@123 #设置认证密码 [Huawei-ui-vty4]protocol inbound telnet #协议为telnet
配置基于ACL的流分类 [Switch] traffic classifier tc1 //创建流分类 [Switch-classifier-tc1] if-match acl 3001 //将ACL与流分类关联 [Switch-classifier-tc1] quit 配置流行为 [Switch] traffic behavior tb1 //创建流行为 [Switch-behavior-tb1] deny //配置流行为动作为拒绝报文通过 [Switch-behavior-tb1] quit 配置流策略 [Switch] traffic policy tp1 //创建流策略 [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联 [Switch-trafficpolicy-tp1] quit 在接口下应用流策略 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向

华为AAA认证详解及配置

华为AAA认证详解及配置

华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。

这种结构既具有良好的可扩展性,⼜便于集中管理⽤户信息。

如图1所⽰。

图 1 AAA 的基本构架⽰意图认证:不认证:对⽤户⾮常信任,不对其进⾏合法检查,⼀般情况下不采⽤这种⽅式。

本地认证:将⽤户信息配置在⽹络接⼊服务器上。

本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。

远端认证:将⽤户信息配置在认证服务器上。

⽀持通过 RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS(HuaWei Terminal Access Controller Access Control System)协议进⾏远端认证。

授权: AAA ⽀持以下授权⽅式:不授权:不对⽤户进⾏授权处理。

本地授权:根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。

HWTACACS 授权:由 HWTACACS 服务器对⽤户进⾏授权。

if-authenticated 授权:如果⽤户通过了认证,⽽且使⽤的认证模式是本地或远端认证,则⽤户授权通过。

RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在⼀起的,不能单独使⽤ RADIUS 进⾏授权。

计费:AAA ⽀持以下计费⽅式:不计费:不对⽤户计费。

远端计费:⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。

⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS(Remote Authentication Dial-In User Service)是⼀种分布式的、客户端/服务器结构的信息交互协议,能保护⽹络不受未授权访问的⼲扰,常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。

该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制,并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

AAA配置与管理一、根底1、AAA是指:authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称,是网络平安的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权;AAA是基于用户进展认证、授权、计费的,而NAC案是基于接入设备接口进展认证的。

在实际应用中,可以使用AAA的一种或两种效劳。

2、AAA根本架构:C/S构造,AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理:通过域来进展AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板,相当于对用户进展分类管理缺省情况下,设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。

用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,如userhuawei.就表示属于huawei 域,如果用户名不带,就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA效劳器的授权信息优先级低,通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库:Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。

5、hwtacacs协议Hwtacacs是在tacacs〔rfc1492〕根底上进展了功能增强的平安协议,与radius协议类似,主要用于点对点PPP和VPDN〔virtual private dial-up network,虚拟私有拨号网络〕接入用户及终端用户的认证、授权、计费。

与radius相比,具有更加可靠的传输和加密特性,更加适合于平安控制。

Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现式是一致的,能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、hwtacacs三种任意组合本地认证授权:优点是速度快,可降低运营本钱;缺点是存储信息量受设备硬件条件限制RADIUS认证、计费:优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费:认证、授权、计费室单独进展的,可以单独配置使用,在大型网络中可以部署多台hwtacacs效劳器;还支持在一个案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证案,本地授权作为hwtacacs授权的备用授权案等二、本地式认证和授权配置配置流程为:配置AAA案——配置本地用户——配置业务案——配置域的AAA案一、配置AAA案配置AAA案就是配置AAA中的认证、授权、计费,用于“域的aaa案〞中绑定这些案使用〔所配置的各种案只有在域中绑定后才能得到应用〕认证案:1、进入AAA视图[Huawei]aaa2、设置一个AAA认证案名[Huawei-aaa]authentication-scheme test13、设置认证模式为本地认证〔缺省为本地认证〕[Huawei-aaa-authen-test1]authentication-mode ?hwtacacs HWTACACSlocal Localnone Noneradius RADIUS4、配置当前认证模板对用户提升级别进展认证时采用的认证模式〔可选,默认为本地认证〕[Huawei-aaa-authen-test1]authentication-super ?hwtacacs HWTACACSnone Noneradius RADIUSsuper Super〔本地认证模式〕5、配置用户名和域名解析的向〔可选,缺省从左向右〕[Huawei-aaa]domainname-parse-direction ?left-to-right Configure the left to right direction of domainname parsingright-to-left Configure the right to left direction of domainname parsing授权案:1、创立一个授权案[Huawei-aaa]authorization-scheme tets12、配置本地授权模式[Huawei-aaa-author-tets1]authorization-mode ?hwtacacs Use HWTACACS authorization methodif-authenticated Use authorization method which lets user(s) authorized ifuser(s) not authenticated by none authentication methodlocal Use local authorization methodnone Use none authorization method3、设置授权效劳器下发的用户授权信息的生效模式〔可选,缺省为overlay模式〕[Huawei-aaa]authorization-modify ?Modify 修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息Overlay 覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息# 模拟器未能模拟二、配置本地用户采用本地式进展认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允接入的效劳器类型、可建立连接数、访问目录等1、设置本地用户名和密码[Huawei-aaa]local-user test password simple 1472582、设置本地用户的级别[Huawei-aaa]local-user test privilege level 153、设备本地用户参加用户组〔可选,先配置好用户组[Huawei-aaa]local-user test user-group teset #模拟器无法模拟4、设置本地用户断开超时时间[Huawei-aaa]local-user test idle-timeout 6005、设备本地用户用于种类型的效劳[Huawei-aaa]local-user test service-type ?8021x 802.1x userbind Bind authentication userftp FTP useruserppp PPP userssh SSH usertelnet Telnet userterminal Terminal userweb Web authentication userx25-pad X25-pad user6、本地用户作为FTP使用时设置访问目录[Huawei-aaa]local-user test ftp-directory ?STRING<1-58>flash:flash:/7、设置本地用户状态[Huawei-aaa]local-user test state ?active Permit the user(s) to deal with the authen requestblock Forbid the user(s) to deal with the authen request 〔拒绝该用户认证请求〕8、设备本地用户访问时最接数〔缺省不限制〕[Huawei-aaa]local-user test access-limit 109、设置本地账号锁定功能〔连续登陆失败到达次数后锁定和解锁、重试等参数〕[Huawei-aaa]local-aaa-user wrong-password retry-interval 5〔重试时间间隔〕retry-time 3 〔连续认证失败的最大次数block-time 10〔账号被锁定时间〕10、修改账号密码<Huawei>local-user change-password三、配置业务案〔可选〕“业务案〞也是一种授权案,它是专门针对一些IP业务〔如管理员权限、DHCP效劳、DNS效劳、策略路由〕所进展的授权,也称为“业务授权案〞。

通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别,其它命令只有在业务案被其他特性〔如IPSEC〕调用时才需要配置。

具体配置:1、创立一个业务案[Huawei-aaa]service-scheme test2、配置本地用户可作为管理员登陆设备并设置级别[Huawei-aaa-service-test]admin-user privilege level 153、设置业务案下使用的DHCP效劳器组〔仅7700及以上支持〕[Huawei-aaa-service-test]dhcp-server grpup test4、设置可用的DHCP IP地址池或移动已配置的地址的位置〔仅7700及以上支持〕[Huawei-aaa-service-test]ip-pool testpool move-to testpool25、设置业务案下的主用或备用DNS效劳器地址Huawei-aaa-service-test]dns 10.1.1.1 ?secondary Set secondary DNS server's IP address<cr>6、设置业务案下用户的策略路由功能〔仅7700及以上支持〕[Huawei]policy route 20.1.1.1〔下一跳IP地址〕5〔源路由vlan ID〕四、配置域的AAA案认证、授权案、业务案只有绑定域的AAA案中才能得到应用1、设置一个域的AAA案名〔缺省存在default和default_admin两个域〕[Huawei-aaa]domain testdomain2、绑定认证案[Huawei-aaa-domain-testdomain]authentication-scheme test3、绑定授权案[Huawei-aaa-domain-testdomain]authorization-scheme test4、绑定业务案[Huawei-aaa-domain-testdomain]service-scheme tese5、设置域的AAA案状态[Huawei-aaa-domain-testdomain]state ?active Activeblock Block6、设置域名分隔符〔缺省为〕[Huawei-aaa]domain-name-delimiter三、RADIUS式认证、授权、计费配置配置流程为:配置AAA案——配置radius效劳器模板——配置业务案——配置域的AAA案一、认证授权配置Radius中的认证和授权时同步进展的,只要是能其认证功能,也就是能了授权功能。

相关文档
最新文档