admin 管理员组

文章数量: 1087652


2024年4月15日发(作者:黎曼zeta函数图像)

18. H3C 交换机 AAA 安全访问掌握与治理

18.1 H3C 交换机 AAA 根底

AAA 是 Authentication,Authorization and Accounting 〔认证、授权和计费〕的简称,是

对网络访问掌握的一种治理模式。它供给了一个对认证、授权和计费这三种功能进展统一配置

的框架;“认证”确定哪些用户可以访问网络效劳器;“授权”确定具有访问权限的用户最终

可以获得哪些效劳;“计费”确定如何对正在使用网络资源的用户进展计费。

18.1.1 AAA 简介

AAA 一般承受 C/S〔客户端/效劳器〕构造:客户端运行于被治理的资源侧〔这里指网络

设备,如接入交换机〕,效劳器上几种存放用户信息。因此,AAA 框架具有良好的可扩展性,

并且简洁实现用户信息的集中治理。

1. AAA 认证

AAA 支持以下认证方式:

 不认证:对接入用户信任,不进展合法性检查。这是默认认证方式。

 本地认证:承受本地存储的用户信息对用户进展认证。本地认证的优点是速度快,可以降

低运营本钱;缺点是存储信息量受设备硬件条件〔如闪存大小〕限制。

 远程认证:在 H3C 以太网交换机中,远程认证是指通过 RADIUS 效劳器或 HWTACACS

〔Cisco IOS 交换机中承受的是 TACACS+协议〕效劳器对接入用户进展的认证。此时,H3C

交换机作为 RADIUS 或者 HWTACACS 客户端,与 RADIUS 效劳器或 TACACS 效劳器通信。

远程认证的有点是便于集中治理,并且供给丰富的业务特性;缺点是必需供给特地的

RADIUS 或者 HWTACACS 效劳器,并进展正确的效劳器配置。

2. AAA 授权

AAA 支持以下授权方式:

 直接授权:对用户信任,直接授权通过。

 本地授权:依据交换机上为本地用户账号配置的相关属性进展授权。

 RADIUS 认证成功后远程授权:由 RADIUS 效劳器对用户进展远程授权。要留意:RADIUS

协议的认证和授权是绑定在一起的,不能单独使用RADIUS 效劳器进展授权。

 HWTACACS 远程授权:由 HWTACACS 效劳器对用户进展远程授权〔HWTACACS 效劳器的

授权是独立于认证进展的〕。

3. AAA 计费

AAA 支持以下计费方式:

 不计费:不对用户计费。

 本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。

 远程计费:支持通过 RADIUS 效劳器或 HWTACACS 效劳器进展远程计费。

18.1.2 ISP 域简介

ISP 域即 ISP 用户群,通常是把经过同一个ISP 接入的用户划分到同一个 ISP 域中。这主

要是应用于存在多个 ISP 的应用环境中,由于同一个接入设备接入的有可能是不同ISP 的用

户。假设只有一个 ISP,则可以直接使用系统默认域system。

在 ISP 域视图下,可以为每个 ISP 域配置包括使用 AAA 策略在内的一整套单独的 ISP 域

属性。用户的认证、授权、计费都是在用户所属的 ISP 域视图下应用预先配置的认证、授权、

计费方案实现的。这个用户所属的 ISP 域,由其登录时供给的用户名打算:

 假设用户登录时输入“userid@domain-name”形式的用户名,则其所属的ISP 域为

“domain-name”域。

 假设用户登录时输入“userid”形式的用户名,则其所属的 ISP 域为接入设备上配

置的默认域 system。

为便于对不同接入方式的用户进展区分治理,AAA 还可以将域用户划分为以下两个类型:

 lan-access 用户〔局域网访问用户〕:通过 LAN 接入的用户,如直接接入 LAN 中,

然后通过 IEEE 802.1x 认证、MAC 地址认证的用户。

 login 用户:通过远程网络登录的用户,如SSH、Telnet、FTP、终端接入用户。

18.1.3 HWTACACS 简介

HWTACACS〔华为终端访问掌握器访问掌握系统〕是在 TACACS 协议根底上进展了功能

增加的安全协议。该协议与RADIUS 协议类似,交换机设备也是用来担当客户端的,也是通

过 C/S 模式与 HWTACACS 效劳器通信来实现多种用户的 AAA 功能,可用于 PPP 和 VPDN 接

入用户及终端用户的认证、授权和计费。但是RADIUS 效劳器的认证和授权是捆绑在一起进

展的,而 TACACS 和 HWTACACS 的认证好授权是独立进展的。

TACACS/HWTACACS主要用于远程登录用户〔非直接 LAN 访问用户〕的访问掌握和计费,

交换机作为 TACACS/HWTACACS的客户端,充当中间代理的作用,将恳求认证的用户的用户

名和密码发送给 TACACS/HWTACACS效劳器进展验证,验证通过并得到授权之后,用户才可

以登录到交换机上进展操作。

18.1.4 H3C 交换机配置 AAA 配置任务

在 H3C 以太网交换机 AAA 方案中,又可以区分 ISP 域是承受认证、授权、计费捆绑方

式,还是承受认证、授权、计费分别方式。假设承受捆方式,则在配置ISP 域的 AAA 方案时


本文标签: 用户 认证 授权 进展 计费

版权声明:本文标题:H3C交换机AAA安全访问控制与管理 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1713169442a622268.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。