华为网络设备上常用的安全技术2
安全技术5:AAA
说明:
AAA是 Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器。
具有访问权的用户可以得到哪些服务。
如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
远端认证:支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证,设备(如 Quidway系列交换机)作为客户端,与 RADIUS服务器或 TACACS服务器通信。对于 RADIUS协议,可以采用标准或扩展的 RADIUS协议。
本地认证配置案例
设备 一台华为交换机 一个客户端
配置步骤:
# local-user test //创建本地用户test
# service-type test level 3
# password simple 123
# quit
配置test用户采用AAA认证方式。
# user-interface vty 0 4
# authentication-mode scheme
# domain system //配置缺省system域采用的认证方式
登录时用户名为test@system,使用system域进行认证
远端认证案例参考AAA及RADIUS协议配置
安全技术6:dot1x
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。
使用 802.1x 的系统为典型的 Client/Server 体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及 Authentication Server System(认证服务器)。
三个实体涉及如下四个基本概念:端口 PAE、受控端口、受控方向和端口受控方式。
1. PAE(Port Access Entity,端口访问实体)
PAE 是认证机制中负责执行算法和协议操作的实体。设备端 PAE 利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端 PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端 PAE也可以主动向设备端发送认证请求和下线请求。
2. 受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
z 非受控端口始终处于双向连通状态,主要用来传递 EAPOL协议帧,保证客户端始终能够发出或接受认证。
z 受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何禁止从客户端接收报文。
z 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
3. 受控方向
在非授权状态下,受控端口可以被设置成单向受控: 实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。 默认情况下,受控端口实行单向受控。
4. 端口受控方式
Quidway系列交换机支持以下两种端口受控方式:
z 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用
网络。
z 基于 MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
IEEE 802.1x认证系统利用 EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
z 在客户端 PAE与设备端 PAE之间,EAP协议报文使用 EAPOL封装格式,直接承载于 LAN环境中。
z 在设备端 PAE与 RADIUS服务器之间,EAP协议报文可以使用 EAPOR封装格式(EAP over RADIUS),承载于 RADIUS协议中;也可以由设备端 PAE进行终结,而在设备端 PAE 与 RADIUS 服务器之间传送 PAP 协议报文或CHAP协议报文。
z 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据 RADIUS 服务器的指示(Accept 或 Reject)决定受控端口的授权/非授权状态。
802.1x在 S2000-HI交换机上的实现
配置802.1x简介
802.1x 提供了一个用户身份认证的实现方案,为了实现此方案,除了配置 802.1x相关命令外,还需要在交换机上配置 AAA 方案,选择使用 RADIUS 或本地认证方案,以配合 802.1x完成用户身份认证:
z 802.1x用户通过域名和交换机上配置的 ISP域相关联。
z 配置 ISP域使用的 AAA方案,包括本地认证方案和 RADIUS方案。
z 如果采用 RADIUS 方案,通过远端的 RADIUS 服务器进行认证,则需要在RADIUS 服务器上配置相应的用户名和密码,然后在交换机上进行 RADIUS客户端的相关设置。
z 如果是需要本地认证,则需要在交换机上手动添加认证的用户名和密码,当用户使用和交换机中记录相同的用户名和密码,启动 802.1x 客户端软件进行认证时,就可以通过认证。
z 也可以配置交换机先采用 RADIUS 方案,通过 RADIUS 服务器进行认证,如果 RADIUS服务器无效,则使用本地认证。
配置准备
z 配置 ISP域及其使用的 AAA方案,选择使用 RADIUS或者本地认证方案,以配合 802.1x完成用户的身份认证。
z 配置本地认证时,本地用户的服务类型(service-type)必须配置为lan-access。
配置802.1x基本功能
开启全局的802.1x特性 dot1x 必选 缺省情况下,全局的802.1x特性为关闭状态
开启端口的802.1x特性 系统视图下 dot1x [ interface interface-list ]
或端口视图下 dot1x 必选 缺省情况下,端口的802.1x特性均为关闭状态
设置端口接入控制的模式 dot1x port-control{ authorized-force | unauthorized-force | auto }[ interface interface-list ] 缺省情况下,802.1x在端口上进行接入控制的模式为auto
设置端口接入控制方式 dot1x port-method { macbased | portbased }[ interface interface-list ] 缺省情况下,802.1x在端口上进行接入控制方式为macbased,即基于MAC地址进行认证
设置802.1x用户的认证方法 dot1x authentication-method { chap | pap | eap } 可选 缺省情况下,交换机采用EAP终结方式的CHAP认证方法
配置ISP域,并进入其视图 domain isp-name
配置ISP域使用的AAA方案 scheme { radius-scheme radius-scheme-name [ local ] | local | none } 缺省情况下,交换机采用本地认证(local)
创建本地用户,并进入本地用户视图 local-user user-name 如果配置ISP域采用本地认证,则必须配置此命令
设置本地用户的密码 password { simple | cipher } password
设置本地用户的服务类型及用户级别 service-type lan-access 如果配置ISP域采用本地认证,则必须配置此命令
创建RADIUS方案,并进入其视图 radius scheme radius-scheme-name
设置主RADIUS认证/授权服务器的IP地址和端口号 primary authentication ip-address [ port-number ]
注意:
z 802.1x的各项配置任务都可以在系统视图下完成。其中,设置端口接入控制的模式、设置端口接入控制方式还可以在端口视图下进行配置。
z 对于 dot1x port-control、dot1x port-method命令:在系统视图下,当没有指定任何确定的端口时,是对所有端口进行相关配置。在以太网端口视图下,不能输入 interface-list参数,仅对当前端口进行配置。
z 必须同时开启全局和端口的 802.1x特性后,802.1x的配置才能生效。
显示802.1x的配置信息、运行情况和统计信息 display dot1x [ sessions | statistics ] [ interface interface-list ]
清除802.1x的统计信息 reset dot1x statistics [ interface interface-list ]