華為設(shè)備AAA和RADIUS協(xié)議配置

1、華為設(shè)備AAA和RADIUS協(xié)議配置、AAA概述AAA是Authentication,AuthorizationandAccounting（認(rèn)證、授權(quán)和計(jì)費(fèi)）的簡稱，它提供了一個(gè)用來對認(rèn)證、授權(quán)和計(jì)費(fèi)這三種安全功能進(jìn)行配置的一致性框架,實(shí)際上是對網(wǎng)絡(luò)安全的一種管理。這里的網(wǎng)絡(luò)安全主要是指訪問控制,包括：l哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器；l具有訪問權(quán)的用戶可以得到哪些服務(wù)；l如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計(jì)費(fèi)；針對以上問題，AAA必須提供下列服務(wù)：l認(rèn)證：驗(yàn)證用戶是否可獲得訪問權(quán)。l授權(quán)：授權(quán)用戶可使用哪些服務(wù)。l計(jì)費(fèi)：記錄用戶使用網(wǎng)絡(luò)資源的情況。AAA一般采用客戶/服務(wù)器結(jié)構(gòu)：客戶端運(yùn)行于被管理

2、的資源側(cè)，服務(wù)器上集中存放用戶信息。因此，AAA框架具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理。RADIUS協(xié)議概述如前所述，AAA是一種管理框架，因此，它可以用多種協(xié)議來實(shí)現(xiàn)。在實(shí)踐中，人們最常使用RADIUS協(xié)議來實(shí)現(xiàn)AAA。1.什么是RADIUSRADIUS是RemoteAuthenticationDial-InUserService（遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）的簡稱，它是一種分布式的、客戶機(jī)/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問的干擾，常被應(yīng)用在既要求較高安全性、又要求維持遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中（例如，它常被應(yīng)用來管理使用串口和調(diào)制解調(diào)器的大量分散撥號用戶）。R

3、ADIUS系統(tǒng)是NAS（NetworkAccessServer）系統(tǒng)的重要輔助部分。當(dāng)RADIUS系統(tǒng)啟動后，如果用戶想要通過與NAS（PSTN環(huán)境下的撥號接入服務(wù)器或以太網(wǎng)環(huán)境下帶接入功能的以太網(wǎng)交換機(jī)）建立連接從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得使用某些網(wǎng)絡(luò)資源的權(quán)利時(shí)，NAS，也就是RADIUS客戶端將把用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)請求傳遞給RADIUS服務(wù)器。RADIUS服務(wù)器上有一個(gè)用戶數(shù)據(jù)庫，其中包含了所有的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息。RADIUS服務(wù)器將在接收到NAS傳來的用戶請求后，通過對用戶數(shù)據(jù)庫的查找、更新，完成相應(yīng)的認(rèn)證、授權(quán)和計(jì)費(fèi)工作，并把用戶所需的配置信息和計(jì)費(fèi)統(tǒng)計(jì)數(shù)據(jù)返回給N

4、AS在這里，NAS起到了控制接入用戶及對應(yīng)連接的作用，而RADIUS協(xié)議則規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶配置信息和計(jì)費(fèi)信息。NAS和RADIUS之間信息的交互是通過將信息承載在UDP報(bào)文中來完成的。在這個(gè)過程中，交互雙方將使用密鑰對報(bào)文進(jìn)行加密，以保證用戶的配置信息（如密碼）被加密后才在網(wǎng)絡(luò)上傳遞，從而避免它們被偵聽、竊取。2.RADIUS操作RADIUS服務(wù)器對用戶的認(rèn)證過程通常需要利用接入服務(wù)器等設(shè)備的代理認(rèn)證功能，通常整個(gè)操作步驟如下：首先，客戶端向RADIUS服務(wù)器發(fā)送請求報(bào)文（該報(bào)文中包含用戶名和加密口令）；然后，客戶端會收到RADIUS服務(wù)器的響應(yīng)報(bào)文，如ACCE

5、PT報(bào)文、REJECT報(bào)文等（其中，ACCEPT報(bào)文表明用戶通過認(rèn)證；REJECT報(bào)文表明用戶沒有通過認(rèn)證，需要用戶重新輸入用戶名和口令，否則訪問被拒絕）。AAA和RADIUS協(xié)議典型配置舉例組網(wǎng)需求如下圖所示的環(huán)境中，現(xiàn)需要通過對交換機(jī)的配置實(shí)現(xiàn)RADIUS服務(wù)器對登錄交換機(jī)的Telnet用戶的遠(yuǎn)端認(rèn)證。其中：由一臺RADIUS服務(wù)器（其擔(dān)當(dāng)認(rèn)證RADIUS服務(wù)器的職責(zé)）與交換機(jī)相連，服務(wù)器IP地址為10.110.91.164,設(shè)置交換機(jī)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)的加密密鑰為“expert”，設(shè)置交換機(jī)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器。2.配置步驟#添加Telne

6、t用戶。#配置Telnet用戶采用遠(yuǎn)端認(rèn)證方式，即scheme方式。Quidway-ui-vty0-4authentication-modescheme#配置domain。QuidwaydomaincamsQuidway-isp-camsquit#配置RADIUS方案。QuidwayradiusschemecamsQuidway-radius-camsprimaryauthentication10.110.91.1641812Quidway-radius-camskeyauthenticationexpertQuidway-radius-camsserver-typeHuaweiQuidway

7、-radius-camsuser-name-formatwithout-domain#配置domain和RADIUS的關(guān)聯(lián)。Quidway-radius-camsquitQuidwaydomaincamsQuidway-isp-camsschemeradius-schemeca二、華為設(shè)備配置用戶管理對于華為設(shè)備維護(hù)人員來說，用戶管理配置是相當(dāng)基礎(chǔ)的，同時(shí)也是相當(dāng)重要的。很多華為網(wǎng)絡(luò)技術(shù)初學(xué)者往往都是依葫蘆畫瓢進(jìn)行設(shè)備配置操作，但是并不完全理解命令的意思。深入了解這些命令的意思，對于設(shè)備維護(hù)大有裨益，處理起故障也能夠得心應(yīng)手。對于華為設(shè)備，無論是華為路由器還是華為交換機(jī)，用戶管理配置大致有兩種

8、模式：1、aaa視圖下配置用戶system-viewaaalocal-userusernamelevel3/配置用戶級別，level3具有最高權(quán)限，有部分設(shè)備有l(wèi)evel15的權(quán)限。local-userusernamepasswordcipherpassword/配置用戶名和密碼local-userusernameservice-typetelnetterminal/配置該用戶允許使用telnet或console口登陸設(shè)備。強(qiáng)調(diào)重點(diǎn)：如果local-user配置的用戶沒有配置terminal,那么該用戶將無法使用console進(jìn)行登錄，一定要小心，否則設(shè)備就只能復(fù)位了。然后在user-inte

9、rface視圖下進(jìn)行應(yīng)用：user-interfacevty04authentication-modeaaa/配置使用aaa進(jìn)行認(rèn)證idle-timeout300/如果用戶30分鐘沒有操作，則將用戶斷開，避免用戶吊死。2、system系統(tǒng)視圖下配置用戶local-userusernamepasswordcipherpasswordservice-typesshtelnetterminal/意思和上面的是一樣的然后進(jìn)行user-interface進(jìn)行應(yīng)用：user-interfacevty04authentication-modescheme/配置vty04使用默認(rèn)的本地認(rèn)證scheme為本地認(rèn)證（另外一種是aaa遠(yuǎn)程認(rèn)證。）idle-ti