您的位置:360文档中心› 华为交换机AAA配置与管理

华为交换机AAA配置与管理

合集下载

01-01 AAA及用户管理配置

01-01 AAA及用户管理配置

Quidway NetEngine40E操作手册-安全分册目录目录1 AAA及用户管理配置.................................................................................................................1-11.1 简介..............................................................................................................................................................1-21.1.1 AAA简介............................................................................................................................................1-21.1.2 RADIUS协议简介..............................................................................................................................1-31.1.3 HWTACACS协议简介......................................................................................................................1-51.1.4 基于域的用户管理简介.....................................................................................................................1-51.1.5 本地用户管理简介.............................................................................................................................1-61.2 配置AAA....................................................................................................................................................1-61.2.1 建立配置任务.....................................................................................................................................1-61.2.2 配置认证方案.....................................................................................................................................1-81.2.3 配置授权方案.....................................................................................................................................1-81.2.4 配置计费方案.....................................................................................................................................1-81.2.5 配置记录方案.....................................................................................................................................1-91.2.6 配置为用户分配IP地址...................................................................................................................1-91.2.7 在用户端配置接口IP地址为可协商.............................................................................................1-101.2.8 检查配置结果...................................................................................................................................1-101.3 配置RADIUS服务器...............................................................................................................................1-111.3.1 建立配置任务...................................................................................................................................1-111.3.2 创建RADIUS服务器模板..............................................................................................................1-121.3.3 配置RADIUS认证服务器..............................................................................................................1-121.3.4 配置RADIUS计费服务器..............................................................................................................1-131.3.5 配置RADIUS服务器的协议版本..................................................................................................1-131.3.6 配置RADIUS服务器的密钥..........................................................................................................1-131.3.7 配置RADIUS服务器的用户名格式..............................................................................................1-131.3.8 配置RADIUS服务器的流量单位..................................................................................................1-141.3.9 配置RADIUS服务器的重传参数..................................................................................................1-141.3.10 配置RADIUS服务器的NAS端口..............................................................................................1-141.3.11 检查配置结果.................................................................................................................................1-151.4 配置HWTACACS服务器........................................................................................................................1-151.4.1 建立配置任务...................................................................................................................................1-15目录Quidway NetEngine40E操作手册-安全分册1.4.2 创建HWTACACS服务器模板.......................................................................................................1-16 1.4.3 配置HWTACACS认证服务器.......................................................................................................1-16 1.4.4 配置HWTACACS授权服务器.......................................................................................................1-17 1.4.5 配置HWTACACS计费服务器.......................................................................................................1-17 1.4.6 配置HWTACACS服务器的源IP地址.........................................................................................1-17 1.4.7 配置HWTACACS服务器的密钥...................................................................................................1-18 1.4.8 配置HWTACACS服务器的用户名格式.......................................................................................1-18 1.4.9 配置HWTACACS服务器的流量单位...........................................................................................1-18 1.4.10 配置HWTACACS服务器的定时器.............................................................................................1-18 1.4.11 检查配置结果.................................................................................................................................1-191.5 配置域........................................................................................................................................................1-191.5.1 建立配置任务...................................................................................................................................1-191.5.2 创建域..............................................................................................................................................1-201.5.3 配置域的认证、授权和计费方案...................................................................................................1-201.5.4 配置域的RADIUS服务器模板......................................................................................................1-201.5.5 配置域的HWTACACS服务器模板...............................................................................................1-211.5.6 配置域的地址相关属性...................................................................................................................1-211.5.7 配置域的状态...................................................................................................................................1-211.5.8 配置域允许的最大接入用户数.......................................................................................................1-221.5.9 检查配置结果...................................................................................................................................1-22 1.6 配置单独本地用户管理............................................................................................................................1-221.6.1 建立配置任务...................................................................................................................................1-221.6.2 创建本地用户帐号...........................................................................................................................1-231.6.3 配置本地用户的服务类型...............................................................................................................1-231.6.4 配置本地用户的FTP目录权限......................................................................................................1-241.6.5 配置本地用户的状态.......................................................................................................................1-241.6.6 配置本地用户的优先级...................................................................................................................1-241.6.7 配置本地用户的接入限制...............................................................................................................1-241.6.8 检查配置结果...................................................................................................................................1-25 1.7 维护............................................................................................................................................................1-251.7.1 清除HWTACACS服务器的统计信息...........................................................................................1-251.7.2 调试RADIUS或HWTACACS服务器..........................................................................................1-25 1.8 AAA及用户管理典型配置举例................................................................................................................1-261.8.1 采用RADIUS协议认证和计费......................................................................................................1-261.8.2 对用户采用本地和HWTACACS认证、HWTACACS授权和进行实时计费............................1-291.8.3 采用RADIUS协议对Telnet用户的认证......................................................................................1-33 1.9 AAA及用户管理故障诊断与排除............................................................................................................1-351.9.1 用户本地认证总被拒绝...................................................................................................................1-361.9.2 用户RADIUS认证总被拒绝..........................................................................................................1-36Quidway NetEngine40E操作手册-安全分册目录1.9.3 未配置认证却对用户进行认证.......................................................................................................1-371.9.4 Telnet用户通过RADIUS认证后不能进入系统视图....................................................................1-37插图目录Quidway NetEngine40E 操作手册-安全分册插图目录图1-1 RADIUS客户端与服务器间的消息流程..............................................................................................1-3图1-2 RADIUS消息结构..................................................................................................................................1-4图1-3 AAA示例组网图..................................................................................................................................1-27图1-4 对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费................................1-30图1-5 采用Radius协议对telnet用户的认证...............................................................................................1-33操作手册-安全分册表格目录表格目录表1-1 HWTACACS协议与RADIUS协议的比较..........................................................................................1-5操作手册-安全分册 1AAA及用户管理配置1 AAA及用户管理配置关于本章本章描述内容如下表所示。

华为交换机操作指导书

华为交换机操作指导书

一.准备网口转串口线(母头),串口(公头)转USB线,光转电模块,PC机,IPOP软件IPO 4.1.EXE二.连接将交换机consle口与电脑连接好之后,打开IPOP软件后,点击终端工具使用COM口进行连接操作,在管理里查看COM端口,三.配置1.配置交换机Telne验证方式为AAA认证<s5700>sys[s5700] user-interface vty 0 4[s5700-ui-vty0-4] authentication-mode aaa[s5700-ui-vty0-4] quit2.配置Telnet登录用户参数,用户名、密码、用户级别。

配置用户名为admin,密码也为xinwei@123,用户级别为15级(最高级别)[s5700] aaa[s5700-aaa] local-user admin password cipher xinwei@123[s5700-aaa] local-user admin privilege level 15[s5700-aaa] local-user admin service-type telnet[s5700-aaa]q<s3700>save3.添加VLAN[s5700] vlan 2[s5700-vlan2] quit4.设定端口模式并将端口与vlan做映射[s5700]interface Ethernet0/0/1Access模式[s5700- GigabitEthernet0/0/1 ]port link-type access[s5700- GigabitEthernet0/0/1] port default vlan 2[s5700- GigabitEthernet0/0/1] description To_xiuyingTrunk模式[s5700- GigabitEthernet0/0/1] port link-type trunk[s5700- GigabitEthernet0/0/1] port trunk allow-pass vlan 2[s5700- GigabitEthernet0/0/1] description To_xiuying[s5700-GigabitEthernet0/0/1]quit5.给VLAN添加IP[s5700]interface vlanif 2[s5700-Vlanif2]ip address 192.168.0.253[s5700-Vlanif2] description To_xiuying 可根据具体情况进行说明6.查看交换机配置[s5700]dis cu7.Telnet连接通过光转电模块用网线将PC与配置好的VLAN端口连接,电脑IP配成与VLAN网关同网段下。

AAA原理与配置

AAA原理与配置

AAA原理与配置概述 AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现,⽬前华为设备⽀持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA。

应⽤场景例如,企业总部需要对服务器的资源访问进⾏控制,只有通过认证的⽤户才能访问特定的资源,并对⽤户使⽤资源的情况进⾏记录。

NAS为⽹络接⼊服务器,负责集中收集和管理⽤户的访问请求。

AAA服务器表⽰远端的Radius 或 HWTACACS服务器,负责制定认证、授权和计费⽅案。

认证⽅式AAA有三种认证⽅式:不认证:完全信任⽤户,不对⽤户⾝份进⾏合法性检查。

本地认证:将本地⽤户信息(包括⽤户名、密码和各种属性)配置在NAS上。

缺省为本地认证。

远端认证:将⽤户信息(包括⽤户名、密码和各种属性)配置在认证服务器上。

注:如果⼀个认证⽅案采⽤多种认证⽅式,这些认证⽅式按配置顺序⽣效。

授权⽅式AAA⽀持以下三种授权⽅式:不授权:不对⽤户进⾏授权处理。

本地授权:根据NAS上配置的本地⽤户账号的相关属性进⾏授权。

远端授权: 1. HWTACACS授权,使⽤TACACS服务器对⽤户授权。

2. RADIUS授权,对通过RADIUS服务器认证的⽤户授权。

RADIUS协议的认证和授权是绑定在⼀起的,不能单独使⽤RADIUS进⾏授权。

计费⽅式AAA⽀持以下两种计费⽅式:不计费:为⽤户提供免费上⽹服务,不产⽣相关活动⽇志。

远端计费:通过RADIUS服务器或HWTACACS服务器进⾏远端计费。

AAA域 设备基于域来对⽤户进⾏管理,每个域都可以配置不同的认证、授权和计费⽅案,⽤于对该域下的⽤户进⾏认证、授权和计费。

HC华为 AAA命令详解

HC华为 AAA命令详解

01-A A A命令目?录1AAA配置命令1.1AAA配置命令authorizationdefaultauthorizationloginauthorization-attributeauthorization-attributeuser-profilebind-attributecutconnectiondisplayconnectiondisplaydomaindisplaylocal-userdisplayuser-groupdomaindomaindefaultenableexpiration-dategroupidle-cutenablelocal-userlocal-userpassword-display-modenas-idbindvlanpasswordself-service-urlenableservice-typestateuser-group2RADIUS配置命令2.1RADIUS配置命令2.1.4attribute25carnas-ip(RADIUSschemeview)primaryaccounting(RADIUSschemeview)primaryauthentication(RADIUSschemeview)radiusclientradiusnas-ipradiusschemeradiustrapresetradiusstatisticsresetstop-accounting-bufferretryretryrealtime-accountingretrystop-accounting(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)secondaryauthentication(RADIUSschemeview) security-policy-serverserver-typestatestop-accounting-bufferenable(RADIUSschemeview) timerquiet(RADIUSschemeview)timerrealtime-accounting(RADIUSschemeview) timerresponse-timeout(RADIUSschemeview)user-name-format(RADIUSschemeview)1AAA配置命令1.1?AAA配置命令【命令】aaanas-idprofile profile-nameundoaaanas-idprofile profile-name【视图】系统视图【缺省级别】2:系统级【参数】profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。

华为交换机AAA配置与管理系统

华为交换机AAA配置与管理系统

AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC 方案是基于接入设备接口进行认证的。

在实际应用中,可以使用AAA的一种或两种服务。

2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。

用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如user@就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。

交换机AAA详解

交换机AAA详解

1概述1.1AAAAAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作用如下:●认证:验证用户是否可以获得网络访问权。

●授权:授权用户可以使用哪些服务。

●计费:记录用户使用网络资源的情况用户可以只使用AAA提供的一种或两种安全服务。

例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器即可。

但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

如上所述,AAA是一种管理框架,它提供了授权部分用户去访问特定资源,同时可以记录这些用户操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。

AAA可以通过多种协议来实现。

在实际应用中,最常使用RADIUS协议(UDP)和TACACS协议(TCP),华为和Cisco又有自身的协议:HWTACACS(华为)和TACACS+(Cisco)。

1)终端访问控制器的访问控制系统(TACACS)TACACS是一个远程认证协议,用作与认证服务器进行通信,通常使用在UNIX 网络中。

TACACS允许远程访问服务于认证服务通信,为了决定用户是否允许访问网络。

Unix后台是TACACSD,运行在49端口上,使用TCP。

2)TACACS+:TACACS+是为路由、网络访问服务和其它网络计算设备提供访问控制的协议,使用一个以上的中心服务器。

它使用TCP,提供单独认证、鉴权和审计服务,端口是49。

3)RADIUS:远程认证拨号用户服务是一个AAA应用协议,例如:网络认证或IP移动性。

后续章节中,我们会看到更多的RADIUS详情。

4)DIAMETERDiameter是计划替代RADIUS的一种协议。

2原理描述2.1基本构架AAA是采用“客户端/服务器”(C/S)结构,其中AAA客户端(也称网络接入服务器——NAS)就是使能了AAA功能的网络设备(可以是网络中任意一台设备,不一定是接入设备,而且可以在网络中多个设备上使能),而AAA服务器就是专门用来认证、授权和计费的服务器(可以由服务器主机配置,也可以有提供了对应服务器功能的网络设备上配置)如图2-1所示。

华为交换机常用配置

华为交换机常用配置
在给整个网络规划的时候,就会给整个网络中的网络设备,例如交换机,路由器,无线设备等,划分一个管理网段。所以新加的这个交换段是10.178.245.0/24,vlan号是1.
所以新交换机也在vlan1上设置一个管理IP:10.178.245.15 24
[Huawei-ui-vty4]authentication-mode password #认证方式为password
[Huawei-ui-vty4]set authentication password cipher admin@123 #设置认证密码
管理口(console)设置
划分VLAN
2、telnet [Huawei]telnet server enable #开启telnet服务功能 [Huawei]user-interface vty 4 #创建一个远程用户 [Huawei-ui-vty4]authentication-mode aaa #认证方式为AAA [Huawei-ui-vty4]protocol inbound telnet #协议为telnet 或者认证方式为password [Huawei]user-interface vty 4 #创建一个远程用户 [Huawei-ui-vty4]authentication-mode password #认证方式为password [Huawei-ui-vty4]set authentication password cipher admin@123 #设置认证密码 [Huawei-ui-vty4]protocol inbound telnet #协议为telnet
配置基于ACL的流分类 [Switch] traffic classifier tc1 //创建流分类 [Switch-classifier-tc1] if-match acl 3001 //将ACL与流分类关联 [Switch-classifier-tc1] quit 配置流行为 [Switch] traffic behavior tb1 //创建流行为 [Switch-behavior-tb1] deny //配置流行为动作为拒绝报文通过 [Switch-behavior-tb1] quit 配置流策略 [Switch] traffic policy tp1 //创建流策略 [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联 [Switch-trafficpolicy-tp1] quit 在接口下应用流策略 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向

华为AAA认证详解及配置

华为AAA认证详解及配置

华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。

这种结构既具有良好的可扩展性,⼜便于集中管理⽤户信息。

如图1所⽰。

图 1 AAA 的基本构架⽰意图认证:不认证:对⽤户⾮常信任,不对其进⾏合法检查,⼀般情况下不采⽤这种⽅式。

本地认证:将⽤户信息配置在⽹络接⼊服务器上。

本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。

远端认证:将⽤户信息配置在认证服务器上。

⽀持通过 RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS(HuaWei Terminal Access Controller Access Control System)协议进⾏远端认证。

授权: AAA ⽀持以下授权⽅式:不授权:不对⽤户进⾏授权处理。

本地授权:根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。

HWTACACS 授权:由 HWTACACS 服务器对⽤户进⾏授权。

if-authenticated 授权:如果⽤户通过了认证,⽽且使⽤的认证模式是本地或远端认证,则⽤户授权通过。

RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在⼀起的,不能单独使⽤ RADIUS 进⾏授权。

计费:AAA ⽀持以下计费⽅式:不计费:不对⽤户计费。

远端计费:⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。

⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS(Remote Authentication Dial-In User Service)是⼀种分布式的、客户端/服务器结构的信息交互协议,能保护⽹络不受未授权访问的⼲扰,常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。

该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制,并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs (华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。

在实际应用中,可以使用AAA的一种或两种服务。

2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。

用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如***************就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。

5、hwtacacs协议Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius协议类似,主要用于点对点PPP和VPDN(virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。

与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制。

Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议6、华为设备对AAA特性的支持支持本地、radius、hwtacacs三种任意组合本地认证授权:优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制RADIUS认证、计费:优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能Hwtacacs认证、授权、计费:认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署多台hwtacacs服务器;还支持在一个方案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证方案,本地授权作为hwtacacs授权的备用授权方案等二、本地方式认证和授权配置配置流程为:配置AAA方案——配置本地用户——配置业务方案——配置域的AAA方案一、配置AAA方案配置AAA方案就是配置AAA中的认证、授权、计费,用于“域的aaa方案”中绑定这些方案使用(所配置的各种方案只有在域中绑定后才能得到应用)认证方案:1、进入AAA视图[Huawei]aaa2、设置一个AAA认证方案名[Huawei-aaa]authentication-scheme test13、设置认证模式为本地认证(缺省为本地认证)[Huawei-aaa-authen-test1]authentication-mode ?hwtacacs HWTACACSlocal Localnone Noneradius RADIUS4、配置当前认证模板对用户提升级别进行认证时采用的认证模式(可选,默认为本地认证)[Huawei-aaa-authen-test1]authentication-super ?hwtacacs HWTACACSnone Noneradius RADIUSsuper Super(本地认证模式)5、配置用户名和域名解析的方向(可选,缺省从左向右)[Huawei-aaa]domainname-parse-direction ?left-to-right Configure the left to right direction of domainname parsingright-to-left Configure the right to left direction of domainname parsing授权方案:1、创建一个授权方案[Huawei-aaa]authorization-scheme tets12、配置本地授权模式[Huawei-aaa-author-tets1]authorization-mode ?hwtacacs Use HWTACACS authorization methodif-authenticated Use authorization method which lets user(s) authorized ifuser(s) not authenticated by none authentication methodlocal Use local authorization methodnone Use none authorization method3、设置授权服务器下发的用户授权信息的生效模式(可选,缺省为overlay模式)[Huawei-aaa]authorization-modify ?Modify 修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息Overlay 覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息# 模拟器未能模拟二、配置本地用户采用本地方式进行认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等1、设置本地用户名和密码[Huawei-aaa]local-user test password simple 1472582、设置本地用户的级别[Huawei-aaa]local-user test privilege level 153、设备本地用户加入用户组(可选,先配置好用户组[Huawei-aaa]local-user test user-group teset #模拟器无法模拟4、设置本地用户断开超时时间[Huawei-aaa]local-user test idle-timeout 6005、设备本地用户用于何种类型的服务[Huawei-aaa]local-user test service-type ?8021x 802.1x userbind Bind authentication userftp FTP userhttp Http userppp PPP userssh SSH usertelnet Telnet userterminal Terminal userweb Web authentication userx25-pad X25-pad user6、本地用户作为FTP使用时设置访问目录[Huawei-aaa]local-user test ftp-directory ?STRING<1-58>flash:flash:/7、设置本地用户状态[Huawei-aaa]local-user test state ?active Permit the user(s) to deal with the authen requestblock Forbid the user(s) to deal with the authen request (拒绝该用户认证请求)8、设备本地用户访问时最大连接数(缺省不限制)[Huawei-aaa]local-user test access-limit 109、设置本地账号锁定功能(连续登陆失败达到次数后锁定和解锁、重试等参数)[Huawei-aaa]local-aaa-user wrong-password retry-interval 5(重试时间间隔)retry-time 3 (连续认证失败的最大次数block-time 10(账号被锁定时间)10、修改账号密码<Huawei>local-user change-password三、配置业务方案(可选)“业务方案”也是一种授权方案,它是专门针对一些IP业务(如管理员权限、DHCP服务、DNS服务、策略路由)所进行的授权,也称为“业务授权方案”。

通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别,其它命令只有在业务方案被其他特性(如IPSEC)调用时才需要配置。

具体配置:1、创建一个业务方案[Huawei-aaa]service-scheme test2、配置本地用户可作为管理员登陆设备并设置级别[Huawei-aaa-service-test]admin-user privilege level 153、设置业务方案下使用的DHCP服务器组(仅7700及以上支持)[Huawei-aaa-service-test]dhcp-server grpup test4、设置可用的DHCP IP地址池或移动已配置的地址的位置(仅7700及以上支持)[Huawei-aaa-service-test]ip-pool testpool move-to testpool25、设置业务方案下的主用或备用DNS服务器地址Huawei-aaa-service-test]dns 10.1.1.1 ?secondary Set secondary DNS server's IP address<cr>6、设置业务方案下用户的策略路由功能(仅7700及以上支持)[Huawei]policy route 20.1.1.1(下一跳IP地址)5(源路由vlan ID)四、配置域的AAA方案认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用1、设置一个域的AAA方案名(缺省存在default和default_admin两个域)[Huawei-aaa]domain testdomain2、绑定认证方案[Huawei-aaa-domain-testdomain]authentication-scheme test3、绑定授权方案[Huawei-aaa-domain-testdomain]authorization-scheme test4、绑定业务方案[Huawei-aaa-domain-testdomain]service-scheme tese5、设置域的AAA方案状态[Huawei-aaa-domain-testdomain]state ?active Activeblock Block6、设置域名分隔符(缺省为@)[Huawei-aaa]domain-name-delimiter @三、RADIUS方式认证、授权、计费配置配置流程为:配置AAA方案——配置radius服务器模板——配置业务方案——配置域的AAA方案一、认证授权配置Radius中的认证和授权时同步进行的,只要是能其认证功能,也就是能了授权功能。

相关文档
最新文档