H3C交换机AAA安全访问控制和管理
H3C-5120交换机安全设置
H3C-5120交换机安全设置一、安全设置概述H3C-5120交换机是一种功能丰富且常用的网络设备,但在网络环境中,安全性是至关重要的。
本文档旨在提供关于H3C-5120交换机安全设置的详细指南,以确保网络的安全性和稳定性。
二、物理安全设置1. 安全的位置安装交换机:H3C-5120交换机应该被安装在物理上安全的位置,避免被未授权的人员操作或恶意存取。
2. 限制访问:交换机的机柜应该配备可靠的锁,只开放给授权人员,以确保物理访问的安全性。
三、管理安全设置1. 管理口安全:交换机的管理口应只开放给授权的管理人员,禁止其他用户访问。
2. 密码设置:对于管理员账户和特权模式账户,应设置强密码,并定期更换。
3. 远程访问控制:限制远程访问交换机的IP地址和登录方式,仅允许授权的主机和用户访问。
四、网络安全设置1. VLAN划分:使用VLAN划分将不同的网络隔离开来,以增加网络的安全性。
2. ACL设置:通过配置访问控制列表(ACL),限制对交换机的某些服务或端口的访问权限,防止未经授权的访问和攻击。
3. 网络隔离:为敏感数据和重要设备建立独立的网络,禁止普通访问,以增强网络的安全性。
4. 安全升级:定期检查和安装最新的固件升级,以修补已知的安全漏洞,确保交换机的安全性。
五、日志和监控设置1. 日志配置:启用交换机的日志功能,并设置合适的日志级别,以便追踪和分析安全事件和故障。
2. 告警设置:配置告警,以便在出现异常情况时及时通知管理员,以便采取相应的措施。
3. 安全监控:使用网络安全工具对交换机进行实时监控,以及时发现和阻止任何潜在的安全威胁。
六、更新和维护1. 定期备份:定期备份交换机的配置文件,以防止数据丢失或设备故障时进行恢复。
2. 系统更新:定期检查和更新交换机的操作系统,以确保安全补丁和功能更新的及时安装。
七、培训和教育1. 培训管理人员:对交换机安全设置进行培训,使其了解和掌握最佳实践。
2. 用户教育:对网络用户进行安全意识教育,包括密码安全、远程访问规范和网络行为规范等。
H3C交换机典型ACL访问控制列表配置教程
H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
对于ACL,可能很多用户还不熟悉怎么设置,本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C-路由器和交换机配置管理
H3C 路由器、交换机配置管理【实验目的】通过本实验的学习,我们应该掌握: ● 配置环境的搭建 ● 设备视图的基本知识 ● 使用命令行在线帮助信息 ● 基本配置命令● 历史命令和编辑特性的使用【配置环境搭建】系统支持用户进行本地与远程配置,搭建配置环境可通过以下几种方法实现: 1. 通过Console 口搭建(1) 建立本地配置环境,如图1 所示,只需将PC (或终端)的串口通过标准RS-232配置电缆与路由器的Console 口连接:图 1 通过Console 口搭建本地配置环境RS-232串口Console 口(2) 在计算机上运行终端([开始]—[程序]—[附件]—[超级终端]),设置终端通信参数为9600bps、8 位数据位、1 位停止位、无奇偶校验和无流量控制,如图 2 至图4所示。
图 2 新建连接图 3 连接端口设置图4 端口通信参数设置(3) 路由器上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符(如<H3C>)。
请按照实验中所显示的信息,在下面的空格中,补充相应的信息。
注:以上显示信息以H3C MSR路由器为例,交换机与路由器通过Console口建立本地配置环境,完全一样,若配置交换机,填写下面的空格:2.通过Telnet 搭建(选做)除了可以通过Console 口对设备进行控制外,还可以用Telnet 通过局域网或广域网登录到路由器,然后对路由器进行配置。
(1) 如图5 所示,建立本地配置环境,只需将PC 以太网口通过局域网与路由器的以太网口连接;图 5 通过局域网搭建本地配置环境(2) 利用Console 口对设备进行初始配置:[H3C] user-interface vty 0 4 //可以同时允许5 个用户Telnet 访问设备[H3C-ui-vty0-4]authentication-mode password //设置用户访问时需要通过密码访问[H3C-ui-vty0-4]set authentication password simple h3c//设置用户访问密码[H3C-ui-vty0-4]user privilege level 3//指定用户访问级别注:以上命令路由器和交换机相同,两者只是配置接口IP时有区别:路由器:[H3C]interface Ethernet 0/0[H3C-Ethernet0/0]ip address 1.1.1.1 255.0.0.0[H3C]telnet server enable //使能Telnet 服务器端功能,对于路由器来说,只有做了这条命令,才可以被其他设备Telnet 访问,交换机不需要该条命令交换机:[H3C]interface vlan 1[H3C-Vlan-interface1]ip address1.1.1.1 255.0.0.0 //本接口作为管理使用,因为交换机上以太口不能够直接配置IP 地址,需要在Vlan-interface 下面配置,作用和路由器上固定接口配置IP 地址一样(3)配置PC:将计算机IP 地址配置为1.1.1.2/8,与设备接口的IP地址在同一网段。
H3C大型校园网解决方案
H3C大型校园网解决方案引言概述:H3C大型校园网解决方案是为满足现代校园网络的需求而设计的一种综合性解决方案。
该解决方案采用先进的网络技术和设备,能够提供高速、稳定、安全的网络服务,满足校园内各种网络应用的需求。
本文将详细介绍H3C大型校园网解决方案的五个部分,包括网络设备、网络拓扑结构、网络安全、网络管理和网络服务。
一、网络设备1.1 核心交换机:H3C大型校园网解决方案的核心交换机是整个网络的中枢,负责处理大量的数据流量和网络流量。
该交换机具有高性能、高可靠性和高扩展性的特点,能够满足校园网的需求。
1.2 接入交换机:接入交换机是连接用户设备和核心交换机的关键设备,负责将用户设备的数据传输到核心交换机,并提供网络接入服务。
H3C的接入交换机具有高速、高密度和高可靠性的特点,能够满足大量用户设备的需求。
1.3 无线接入点:为了满足移动设备的需求,H3C大型校园网解决方案还包括无线接入点。
这些接入点能够提供高速、稳定的无线网络连接,使学生和教职员工可以随时随地访问网络。
二、网络拓扑结构2.1 层次化结构:H3C大型校园网解决方案采用层次化结构,将网络分为核心层、汇聚层和接入层。
核心层负责处理大量的数据流量,汇聚层负责连接核心交换机和接入交换机,接入层负责连接用户设备和接入交换机。
这种结构能够提供高性能、高可靠性和高扩展性的网络服务。
2.2 冗余设计:为了提高网络的可靠性,H3C大型校园网解决方案还采用了冗余设计。
通过使用冗余的网络设备和链路,当一个设备或链路出现故障时,可以自动切换到备份设备或链路,保证网络的连续性和稳定性。
2.3 QoS支持:为了满足不同应用的网络需求,H3C大型校园网解决方案还支持QoS(Quality of Service)。
通过对网络流量进行分类和优先级处理,可以保证重要应用的网络质量,提高用户体验。
三、网络安全3.1 防火墙:H3C大型校园网解决方案提供了强大的防火墙功能,能够保护校园网络免受外部攻击和恶意软件的侵害。
H3C交换机端口安全模式配置
H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。
其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。
下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法!在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。
控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC 地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。
认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。
如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。
在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
H3C配置AAA、RADIUS和TACACS+
AAA包含三种功能:认证、授权、计费
常用RADIUS协议和TACACS+协议 使用远程服务器,或交换机设备本身作本地认证
服务器
4
AAA支持的服务
AAA通过对服务器的详细配置,对多种 服务提供安全保证
支持FTP、TELNET、PPP、端口接入
验证动作包含核对用户名、密码、证书 授权表现为下发用户权限、访问目录、 用户级别等 计费表现为记录用户上网流量、时长等
22
TACACS+维护命令
操作 查看所有或指定 HWTACACS方案配置信 息或统计信息 显示缓存的没有得到响应 的停止计费请求报文 清除TACACS协议的统计 信息 清除缓存中没有得到响应 的停止计费请求报文 命令 display hwtacacs [ hwtacacsscheme-name [ statistics ] ] display stop-accounting-buffer hwtacacs-scheme hwtacacsscheme-name reset hwtacacs statistics { accounting | all | authentication | authorization } reset stop stop-accounting-buffer accounting buffer hwtacacs-scheme hwtacacsscheme-name
(6)用户访问资源 (7)计费结束请求包 (8)计费结束请求响应包 (9)通知访问结束
10
RADIUS属性
Attribute字段携带认证、授权、计费信 息 采用(Type y ,Length g ,Value)三元组 格式 常用属性
交换机AAA详解
交换机AAA详解1概述1.1AAAAAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作⽤如下:●认证:验证⽤户是否可以获得⽹络访问权。
●授权:授权⽤户可以使⽤哪些服务。
●计费:记录⽤户使⽤⽹络资源的情况⽤户可以只使⽤AAA提供的⼀种或两种安全服务。
例如,公司仅仅想让员⼯在访问某些特定资源的时候进⾏⾝份认证,那么⽹络管理员只要配置认证服务器即可。
但是若希望对员⼯使⽤⽹络的情况进⾏记录,那么还需要配置计费服务器。
如上所述,AAA是⼀种管理框架,它提供了授权部分⽤户去访问特定资源,同时可以记录这些⽤户操作⾏为的⼀种安全机制,因其具有良好的可扩展性,并且容易实现⽤户信息的集中管理⽽被⼴泛使⽤。
AAA可以通过多种协议来实现。
在实际应⽤中,最常使⽤RADIUS协议(UDP)和TACACS协议(TCP),华为和Cisco⼜有⾃⾝的协议:HWTACACS(华为)和TACACS+(Cisco)。
1)终端访问控制器的访问控制系统(TACACS)TACACS是⼀个远程认证协议,⽤作与认证服务器进⾏通信,通常使⽤在UNIX ⽹络中。
TACACS允许远程访问服务于认证服务通信,为了决定⽤户是否允许访问⽹络。
Unix后台是TACACSD,运⾏在49端⼝上,使⽤TCP。
2)TACACS+:TACACS+是为路由、⽹络访问服务和其它⽹络计算设备提供访问控制的协议,使⽤⼀个以上的中⼼服务器。
它使⽤TCP,提供单独认证、鉴权和审计服务,端⼝是49。
3)RADIUS:远程认证拨号⽤户服务是⼀个AAA应⽤协议,例如:⽹络认证或IP移动性。
后续章节中,我们会看到更多的RADIUS详情。
4)DIAMETERDiameter是计划替代RADIUS的⼀种协议。
2原理描述2.1基本构架AAA是采⽤“客户端/服务器”(C/S)结构,其中AAA客户端(也称⽹络接⼊服务器——NAS)就是使能了AAA功能的⽹络设备(可以是⽹络中任意⼀台设备,不⼀定是接⼊设备,⽽且可以在⽹络中多个设备上使能),⽽AAA服务器就是专门⽤来认证、授权和计费的服务器(可以由服务器主机配置,也可以有提供了对应服务器功能的⽹络设备上配置)如图2-1所⽰。
H3C-S3100-AAA认证方式的配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18. H3C交换机AAA安全访问控制与管理18.1 H3C交换机AAA基础AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,是对网络访问控制的一种管理模式。
它提供了一个对认证、授权和计费这三种功能进行统一配置的框架;“认证”确定哪些用户可以访问网络服务器;“授权”确定具有访问权限的用户最终可以获得哪些服务;“计费”确定如何对正在使用网络资源的用户进行计费。
18.1.1 AAA简介AAA一般采用C/S(客户端/服务器)结构:客户端运行于被管理的资源侧(这里指网络设备,如接入交换机),服务器上几种存放用户信息。
因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
1.AAA认证AAA支持以下认证方式:⏹不认证:对接入用户信任,不进行合法性检查。
这是默认认证方式。
⏹本地认证:采用本地存储的用户信息对用户进行认证。
本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件(如闪存大小)限制。
⏹远程认证:在H3C以太网交换机中,远程认证是指通过RADIUS服务器或HWTACACS(CiscoIOS交换机中采用的是TACACS+协议)服务器对接入用户进行的认证。
此时,H3C交换机作为RADIUS或者HWTACACS客户端,与RADIUS服务器或TACACS服务器通信。
远程认证的有点是便于集中管理,并且提供丰富的业务特性;缺点是必须提供专门的RADIUS 或者HWTACACS服务器,并进行正确的服务器配置。
2.AAA授权AAA支持以下授权方式:⏹直接授权:对用户信任,直接授权通过。
⏹本地授权:根据交换机上为本地用户账号配置的相关属性进行授权。
⏹RADIUS认证成功后远程授权:由RADIUS服务器对用户进行远程授权。
要注意:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS服务器进行授权。
⏹HWTACACS远程授权:由HWTACACS服务器对用户进行远程授权(HWTACACS服务器的授权是独立于认证进行的)。
3.AAA计费AAA支持以下计费方式:⏹不计费:不对用户计费。
⏹本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
⏹远程计费:支持通过RADIUS服务器或HWTACACS服务器进行远程计费。
18.1.2 ISP域简介ISP域即ISP用户群,通常是把经过同一个ISP接入的用户划分到同一个ISP域中。
这主要是应用于存在多个ISP的应用环境中,因为同一个接入设备接入的有可能是不同ISP 的用户。
如果只有一个ISP,则可以直接使用系统默认域system。
在ISP域视图下,可以为每个ISP域配置包括使用AAA策略在内的一整套单独的ISP 域属性。
用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、授权、计费方案实现的。
这个用户所属的ISP域,由其登录时提供的用户名决定:⏹如果用户登录时输入“userid@domain-name”形式的用户名,则其所属的ISP域为“domain-name”域。
⏹如果用户登录时输入“userid”形式的用户名,则其所属的ISP域为接入设备上配置的默认域system。
为便于对不同接入方式的用户进行区分管理,AAA还可以将域用户划分为以下两个类型:⏹lan-access用户(局域网访问用户):通过LAN接入的用户,如直接接入LAN中,然后通过IEEE 802.1x认证、MAC地址认证的用户。
⏹login用户:通过远程网络登录的用户,如SSH、Telnet、FTP、终端接入用户。
18.1.3 HWTACACS简介HWTACACS(华为终端访问控制器访问控制系统)是在TACACS协议基础上进行了功能增强的安全协议。
该协议与RADIUS协议类似,交换机设备也是用来担当客户端的,也是通过C/S模式与HWTACACS服务器通信来实现多种用户的AAA功能,可用于PPP和VPDN接入用户及终端用户的认证、授权和计费。
但是RADIUS服务器的认证和授权是捆绑在一起进行的,而TACACS和HWTACACS的认证好授权是独立进行的。
TACACS/HWTACACS主要用于远程登录用户(非直接LAN访问用户)的访问控制和计费,交换机作为TACACS/HWTACACS的客户端,充当中间代理的作用,将请求认证的用户的用户名和密码发送给TACACS/HWTACACS服务器进行验证,验证通过并得到授权之后,用户才可以登录到交换机上进行操作。
18.1.4 H3C交换机配置AAA配置任务在H3C以太网交换机AAA方案中,又可以区分ISP域是采用认证、授权、计费捆绑方式,还是采用认证、授权、计费分离方式。
如果采用捆方式,则在配置ISP域的AAA方案时支持在同一个ISP域视图下,针对不同的用户接入方式配置不同的AAA方案;如果采用分离方式,则在配置ISP域的AAA方案时用户可以分别指定认证、授权、计费方案。
如果采用RADIUS、HWTACACS认证方案,需要提前完成RADIUS或HWTACACS相关配置。
在作为AAA客户端的接入设备(如H3C以太网交换机)上,AAA的基本配置思路如下:(1)配置AAA方案:根据需要配置本地或远程认证方案。
⏹本地认证:需要配置本地用户,即local user的相关属性,包括手动添加认证的用户名和密码等。
⏹远程认证:需要配置RADIUS或HWTACACS方案,并在服务器上配置相应的胡勇属性。
(2)配置实现AAA的方法:在用户所属的ISP域中分别指定实现认证、授权、计费的方法,都可以选择none(不)、local(本地)和scheme(远程)方法。
18.2 H3C交换机本地用户配置与管理当选择使用本地(local)认证方法对用户进行认证时,应在交换机上创建本地用户并配置相关属性。
所谓本地用户,是指在本地交换机上设置的一组以用户名为唯一标识的用户。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。
18.2.1 本地用户属性在H3C以太网交换机上课配置的本地用户属性包括:⏹服务类型用户接入设备时可使用的网络服务类型。
该属性是本地认证的检测项,如果没有用户可使用的服务类型,则该用户无法接入设备。
H3C以太网交换机可支持的服务类型包括:FTP、lan-access、Portal(Web认证)、SSH、Telnet、Terminal。
⏹用户状态用户指示是否允许该用户请求网络服务器,包括active(活跃)和block(阻塞)两种状态。
active表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。
⏹最大用户数指使用当前用户名接入设备的最大用户数目。
如果当前该用户名的接入用户数已达到最大值,则使用该用户名的新用户将被禁止接入。
⏹有效期指用户账户的有效的戒指日期。
用户进行本地认证时,接入设备检查当前系统时间是否在用户的有效期内,如果在有效期内则允许该用户登录,否则拒绝。
⏹所属的用户组每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性),相当于Window系统的工作组。
⏹密码管理属性指用户密码的安全属性,可根据设置的密码策略对认证秘密吗进行管理和控制。
可设置的密码策略包括:密码老化时间、密码最小长度、密码组合策略。
本地用户的密码管理属性在系统视图(具有全局性)、用户组视图和本地用户视图下都可以配置,其生效的优先级顺序由高到低依次为本地用户、用户组、全局。
全局配置对所有本地用户生效,用户组的配置对组内所有本地用户生效。
⏹绑定属性指定用户认证时需要检测的属性,用于限制接入用户的范围。
如果用户的实际属性与设置的绑定属性不匹配,则不能通过认证。
可绑定的属性包括:ISDN用户的主叫号码、用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。
⏹用户授权属性本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户试图下的配置优先级高于用户组视图下的配置。
用户组的配置对组内所有本地用户生效。
18.2.2 本地用户属性配置表18-3 本地用户属性配置步骤18.3 H3C交换机RADIUS方案配置与管理AAA方案如果使用RADIUS服务器进行认证、授权和计费,则需要先配置RADIUS方案。
其中的主要配置包括指定各种RADIUS服务器的IP地址、UDP端口号和报文共享密钥,以及其他一些必要的参数设置。
18.3.1 创建RADIUS方案在进行RADIUS的其他配置之前,必须首先创建一个所需的RADIUS方案。
只需再系统视图下使用radius scheme radius-scheme-name命令。
一个RADIUS方案可以同时被多个ISP域引用。
每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交换所需的一些参数。
18.3.2 RADIUS认证/授权服务器因为RADIUS服务器中的认证和授权是捆绑进行的,用户只要通过了认证即获得了授权,所以RADIUS的认证和授权服务器往往是在一台RADIUS服务器上同时配置的。
在这里可以配置一台主认证/授权服务器和多台从认证/授权服务器。
RADIUS主认证/授权服务器的配置命令是primary authentication { ip-address [ port-nmuber | key string | vpn-instance vpn-instance-name ] }(在RADIUS方案下执行)。
⏹ip-address:指定主RADIUS认证/授权服务器的IPv4地址。
⏹port-number:指定RADIUS认证/授权UDP端口号,默认为1812,取值范围为1 ~65535⏹key string:指定主RADIUS认证/授权服务器与交换机通信的共享密钥,为1 ~ 64个字符的字符串,区分大小写。
⏹vpn-instance vpn-instance-name:可多选参数,指定主RADIUS认证/授权服务器所属的VPN实例名称。
18.3.3 RADIUS计费服务器及相关参数配置表18-8 RADIUS计费服务器及相关参数配置步骤18.3.4 RADIUS报文的共享密钥配置交换机与RADIUS服务器使用MD5算法来加密RADIUS报文,双方通过设置共享密钥来验证报文的合法性。
只有在密钥一致的情况下,彼此才能接受对方发来的报文并作出响应。
配置的方法是在具体的RADIUS方案视图下使用key{ accounting| authentication} string命令,在这里可以分别为RADIUS认证/授权服务器和RADIUS计费服务器分别配置与交换机交互的密钥。