华为路由交换课程笔记12-AAA
一、AAA简介
AAA是Authentication(认证)、 Authorization(授权)、 Accounting(计费)的简称,AAA可以通过多种协议实现,目前华为支持RADIUS(Remote Authentication Dial-In User Service)、HWTACACS等。
认证:验证用户是否可以获得网络访问的权限
授权:授权用户可以访问或使用网络上的哪些服务。
计费:记录用户使用网络资源的情况
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
二、配置采用本地方式进行认证和授权
1.配置本地用户
配置本地用户时,可以配置本地用户允许建立的连接数目、本地用户级别、闲置切断时间以及本地用户上线时间等功能,同时支持本地用户修改密码功能。
本地用户的接入类型分为以下两类:
管理类:包括ftp、http、ssh、telnet、x25-pad和terminal。
普通类:包括8021x、ppp和web。
相关命令:
sysem-view //进入系统视图
aaa //进入AAA视图
local-user huawei password cipher huawei123 //创建用户huawei,配置加密密码huawei123
local-user huawei privilege level 15 //配置用户级别,默认为0
local-user huawei service-type ftp web telnet ssh //配置用户接入类型
2.配置AAA方案
要采用本地方式进行认证和授权,需要在认证方案中配置认证模式为本地认证,在授权方案中配置授权模式为本地授权。缺省情况下,设备对用户进行本地认证和授权。
system-view
aaa
authentication-scheme fortest //创建名称为fortest的认证方案,并进入方案视图
authentication-mode local //配置认证模式为本地认证
quit
authorization-scheme fortest //创建名称为fortest的授权方案,并进入方案视图
authorization-mode local //配置授权模式为本地授权
3.在域下应用AAA方案
创建的认证和授权方案,在域下应用后才能生效。采用本地方式进行认证和授权时,采用缺省的计费方案,即不计费。缺省情况下,设备存在两个域:“default”和“default_admin”。“default”用于普通接入用户的域,“default_admin”用于管理员的域。用户认证时,如果输入不带域名的用户名,将到默认域认证,因此设备需通过domain domain-name [ admin ]命令设置domain-name为全局默认域。用户认证时,如果输入带域名的用户名,需要带上正确的域名domain-name。
system-view
aaa
domain default //创建域并进入域视图,或者进入已经存在的域视图
authentication-scheme fortest //配置域的认证方案,缺省情况下,“default”域使用名为“radius”的认证方案,“default_admin”域使用名为“default”的认证方案,其他域使用名为“radius”的认证方案。
authorization-scheme fortest //配置域的授权方案
quit
quit
dis aaa configuration
dis domain
dis local-user
4.配置TELNET
telnet server enable
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
三、配置采用RADIUS方式进行认真、授权和计费
1、服务器端配置RADIUS服务器(需要专门的服务器,具体配置略)
当用户采用RADIUS方式认证授权时,需要将用户认证、授权以及计费等信息配置在RADIUS服务器上。当用户想通过某网络与接入设备建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利,接入设备负责将用户的认证、授权、计费信息透传给RADIUS服务器。RADIUS服务器根据配置好的信息,决定该用户是否认证通过。若该用户认证通过,则发送认证接受报文给接入设备,该报文中同时携带了用户的授权信息。接入设备根据认证接受报文信息,允许用户接入网络并授予相应权限。
2、配置AAA方案
system-view
aaa
authentication-scheme for-test
authentication-mode radius //配置认证模式为RADIUS认证
accounting-scheme for-test
accounting-mode radius //配置计费模式为RADIUS计费,缺省为不计费
3、配置RADIUS服务器模板
配置RADIUS服务器模板中的关键步骤是指定服务器的IP地址和端口号、RADIUS共享密钥。
system-view
radius-server template for-test //创建并进入radius模板
radius-server shared-key cipher for-test // 配置RADIUS共享密钥,由RAIUS服务器提供
radius-server authentication 10.0.1.1 1812 source Vlanif 10 weight 80 //配置RADIUS认证服务器
radius-server accounting 10.0.1.1 1813 source Vlanif 10 weight 80 //配置RADIUS计费服务器
3.在域下应用AAA方案
aaa
domain default
authentication-scheme for-test
accounting-scheme for-test
radius-server for-test //配置域的RADIUS服务器模板
4.在认证模板下应用AAA方案
system-view
authentication-profile name for-test
authentication-scheme for-test
accounting-scheme for-test
radius-server for-test
statistic enable //使能认证模板下用户的流量统计功能
access-domian default //配置用户的默认域