配置指南 安全防范分册
目 录
目 录
12 配置认证与授权......................................................................................................................12-1
12.1 简介..........................................................................................................................................................12-2
12.1.1 认证与授权简介.............................................................................................................................12-2 12.1.2 RADIUS协议简介..........................................................................................................................12-3 12.1.3 HWTACACS协议简介...................................................................................................................12-3 12.2 配置认证和授权......................................................................................................................................12-4
12.2.1 建立配置任务.................................................................................................................................12-4 12.2.2 配置认证方案.................................................................................................................................12-7 12.2.3 配置授权方案.................................................................................................................................12-7 12.2.4 配置RADIUS.................................................................................................................................12-8 12.2.5 配置HWTACACS.........................................................................................................................12-9 12.2.6 创建本地用户...............................................................................................................................12-10 12.2.7 配置域..........................................................................................................................................12-12 12.2.8 配置PPP用户的IP地址............................................................................................................12-12 12.2.9 检查配置结果...............................................................................................................................12-13 12.3 维护........................................................................................................................................................12-14
12.3.1 调试RADIUS和HWTACACS...................................................................................................12-14 12.3.2 清除HWTACACS服务器统计信息...........................................................................................12-14 12.3.3 管理在线用户...............................................................................................................................12-15 12.4 配置举例................................................................................................................................................12-16
12.4.1 配置对接入用户的认证示例一...................................................................................................12-16 12.4.2 配置对接入用户的认证示例二...................................................................................................12-20 12.4.3 配置对Telnet用户的认证示例...................................................................................................12-23
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
i
Secoway USG3000
配置指南 安全防范分册
插图目录
插图目录
图12-1 AAA和RADIUS示例组网图.........................................................................................................12-17 图12-2 对Telnet用户的认证示例组网图...................................................................................................12-23
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
iii
Secoway USG3000
配置指南 安全防范分册
表格目录
表格目录
表12-1 HWTACACS协议与RADIUS协议..................................................................................................12-4
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
v
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
12 关于本章
本章描述内容如下表所示。 标题 12.1 简介
12.2 配置认证和授权
内容
配置认证与授权
介绍认证与授权的功能、RADIUS协议、HWTACACS协议。
介绍认证与授权的配置方法。
配置举例1:配置对接入用户的认证示例一 配置举例2:配置对接入用户的认证示例二 配置举例3:配置对Telnet用户的认证示例
12.3 维护 12.4 配置举例
介绍认证与授权的维护方法。 介绍认证与授权的组网举例。
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-1
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
12.1 简介
认证(Authentication)、授权(Authorization)提供对用户的认证和授权两种安全功能。具体如下:
z
认证
认证哪些用户可以访问网络 授权
授权用户可以使用哪些服务
z
12.1.1 认证与授权简介
认证与授权一般采用客户/服务器结构。客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。
认证功能
认证与授权支持以下认证方式:
z
不认证
对用户非常信任,不对其进行合法性检查。一般不采用这种方式。 本地认证
当用户接入时,根据宽带接入服务器本地配置的用户信息(包括用户名、密码及其他属性)进行认证。
本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
z
z
远端认证
支持通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS协议进行远端认证,由NAS作Client端,与RADIUS服务器或HWTACACS服务器通信。对于RADIUS协议,可以采用标准RADIUS协议或华为公司的扩展RADIUS协议,与iTELLIN/CAMS等设备配合完成认证。
授权功能
认证与授权支持以下授权方式:
z
直接授权
对用户非常信任,直接授权通过。 本地授权
根据宽带接入服务器上为本地用户账号配置的相关属性进行授权。 HWTACACS授权
由HWTACACS服务器对用户进行授权。 if-authenticated授权
z
z
z
12-2
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
如果用户通过了验证,并且使用的验证方法不是none,则对用户授权通过。
z
RADIUS认证成功后授权
由RADIUS服务器对用户认证通过后,即可授权。这是由于RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
12.1.2 RADIUS协议简介
认证与授权可以用多种协议来实现,最常用的是RADIUS协议。RADIUS协议最初用来管理使用串口和调制解调器的大量分散用户,后来广泛应用于网络接入服务器NAS(Network Access Server)系统。
RADIUS协议的特点
z z z
使用UDP作为传输协议,具有良好的实时性。 支持重传机制和备用服务器机制,有较好的可靠性。 实现比较简单,适用于大用户量时服务器端的多线程结构。
上述特点使得RADIUS协议得到了广泛的应用。
RADIUS协议客户端的功能
作为RADIUS协议客户端,NAS能够实现以下功能:
z z z
标准RADIUS协议及扩充属性,包括RFC2865、RFC2866。 华为扩展的RADIUS+1.1协议。
对RADIUS服务器状态的主动探测功能。
如果当前服务器的状态为DOWN,宽带接入服务器收到认证消息后,启动服务器探测处理,将消息转换为探测报文后向当前服务器发送。如果收到RADIUS服务器的回应,则认为该服务器重新可用。
z
计费结束报文的本地缓存重传功能。
计费结束报文在重传发送失败次数超过配置次数后,将计费结束报文保存到计费结束报文缓存队列。系统定时器周期扫描该队列,如果存在计费结束缓存报文,则取出报文内容,向指定的服务器发送并启动定时器等待,如果发送失败或在超时时间内没有收到服务器回应,则重新入缓存队列。
z
RADIUS服务器的自动切换功能。
当报文等待定时器超时时,如果当前发送的SERVER的状态为不可发送,或者发送次数超过当前SERVER的最大重传次数,则需要在配置的服务器组中选择另外的服务器发送报文。
12.1.3 HWTACACS协议简介
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过Server/Client模式实现多种用户的认证与授权功能,可用于PPP和VPDN接入用户及login用户的认证、授权和计费。
与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。HWTACACS协议与RADIUS协议的主要区别如表12-1。
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-3
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
表12-1 HWTACACS协议与RADIUS协议 HWTACACS
使用TCP,网络传输更可靠
除标准的HWTACACS报文头,对报文主体全部进行加密 认证与授权分离 适于进行安全控制
支持对配置命令进行授权使用
利用HWTACACS协议认证与授权分离的特性,可以使用RADIUS进行认证,而使用HWTACACS进行授权。
RADIUS 使用UDP
只是对验证报文中的密码字段进行加密 认证与授权一起处理 适于进行计费 不支持
12.2 配置认证和授权
12.2.1 建立配置任务
应用环境
网络用户可以分为如下两种:
z z
default域的用户 其他域的用户
在统一安全网关对外提供业务前,可以根据实际需要,配置上述两种用户的认证和授权。
上述两种用户的认证授权绝大部分相同,故下列配置中,在需要处说明该步配置为哪类用户的配置。如果未指明,则表示所有用户的认证和授权均需要配置。
前置任务
在配置带域名的用户的认证和授权前,需要完成以下配置任务:
z z z
(可选)配置统一安全网关的工作模式 (可选)配置接口IP地址 配置接口加入安全区域
不能配置工作于透明模式下的接口的IP地址。
数据准备
在配置带域名的用户的认证与授权前,需要准备以下数据。
12-4
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
数据 认证方案名称 认证方法 授权方案名称 授权方法
RADIUS服务器模板名称
RADIUS主认证服务器的IP地址和端口 RADIUS从认证服务器的IP地址和端口 服务器使用的RADIUS协议种类 RADIUS服务器的密钥 RADIUS服务器的流量单位 RADIUS服务器的应答超时时间 RADIUS服务器的重传次数
RADIUS服务器采用的NAS端口形式 RADIUS服务器采用的NAS端口ID形式 HWTACACS服务器模板名称
HWTACACS主认证服务器的IP地址和端口 HWTACACS备份认证服务器的IP地址和端口 HWTACACS主授权服务器的IP地址和端口 HWTACACS备份授权服务器的IP地址和端口 HWTACACS服务器密钥 HWTACACS服务器的流量单位 HWTACACS服务器的源IP地址 HWTACACS服务器的应答超时时间
HWTACACS服务器的主服务器恢复激活状态时间 记录方案名称 记录方法 用户名和口令 服务类型
本地用户的回呼号码
华为所有和机密
版权所有 © 华为技术有限公司
12-5
文档版本 02 (2009-02-15)
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
序号 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55
数据
是否对MODEM回呼进行校验 本地用户的主叫号码和子主叫号码 本地用户的FTP目录 本地用户的状态 本地用户car的相关参数 本地用户的优先级 用户接入的最大连接数 本地用户绑定的MAC地址 批量用户接入的接口类型和接口号
批量创建的第一个VLAN用户的ID和一次创建用户的数量 VLAN用户所属的域 VLAN用户的口令 VLAN用户的状态 VLAN用户的流控级别 VLAN用户接入的最大连接数 域的地址池号和首末IP地址 主DNS服务器的IP地址 从DNS服务器的IP地址 主NBNS服务器IP地址 从NBNS服务器IP地址 域的状态 域的流控级别
当前域的接入用户的优先级 当前域允许的接入用户数 域的强制Web认证服务器地址 当前域使用的ACL
12-6
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
配置过程
要完成带域名的用户的认证和授权的配置,需要按照以下过程配置。 序号 1 2 3 4 5 6 7 8
由于HWTACACS的认证和授权可以分离,故能够配置使用RADIUS协议的认证和HWTACACS协议的授权。
过程 配置认证方案 配置授权方案 配置RADIUS 配置HWTACACS 创建本地用户 配置域
配置PPP用户的IP地址 检查配置结果
12.2.2 配置认证方案
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令authentication-scheme scheme-name,创建认证方案,并进入认证方案视图。 步骤 4 执行命令authentication-mode { [ hwtacacs | radius | local ] * | none } *,配置认证方法。
当在一个认证方案下配置多种认证方法时,需要注意:
z z z
认证方法的执行顺序以配置时的先后顺序为准。
如果选用不认证(none),只能将其作为最后一种认证方法。
认证过程中,只有在当前认证方法没有响应时,才会尝试下一个认证方法。如果认
证失败则将不会再进行认证。
如果配置的认证方法包括hwtacacs和radius,则需要同时配置相应服务器模板,否则无法完成远端认证。
服务器模板的配置请参见“12.2.4 配置RADIUS”和“12.2.5 配置HWTACACS”。
z
----结束
12.2.3 配置授权方案
步骤 1 执行命令system-view,进入系统视图。
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-7
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令authorization-scheme scheme-name,创建授权方案,并进入授权方案视图。 步骤 4 执行命令authorization-mode { [ hwtacacs | if-authenticated | local ] * | none } *,配置授
权方法。
当在一个授权方案下配置多种授权方法时,需要注意:
z z z
授权方法的执行顺序以配置时的先后顺序为准。
如果选用直接授权(none),只能将其作为最后一种授权方法。
只有在当前授权方法没有响应时,才会尝试下一个授权方法。如果授权失败则将不会再进行授权。
如果配置的授权方法包括hwtacacs,则需要配置HWTACACS服务器模板,否则无法完成远端授权。
HWTACACS服务器模板的配置请参见“12.2.5 配置HWTACACS”。
z
----结束
12.2.4 配置RADIUS
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令radius-server template template-name,创建RADIUS服务器模板,并进入相应视图。
只有当该RADIUS Server模板没有用户使用时,才能改变相应配置。
步骤 3 执行命令radius-server authentication ip-address port,配置RADIUS主认证服务器。 步骤 4 执行命令radius-server authentication ip-address port secondary,配置RADIUS备份认
证服务器。
主认证服务器和备用认证服务器的IP地址不能相同,否则将提示配置不成功。 多次配置主认证服务器或备用认证服务器,新的配置有效。
步骤 5 执行命令radius-server type { standard | portal },配置使用的RADIUS协议。 步骤 6 执行命令radius-server shared-key key-string,配置RADIUS服务器的密钥。
为了确保认证双方的身份合法性,要求统一安全网关上的密钥与RADIUS服务器间设定的密钥相同。
步骤 7 执行命令radius-server user-name domain-included,配置用户名带域名。
如果RADIUS服务器不接受带域名的用户名时,可以使用undo radius-server user-name domain-included命令只传用户名,不传域名给Radius服务器。
步骤 8 执行命令radius-server traffic-unit { byte | kbyte | mbyte | gbyte },配置RADIUS服务器
的流量单位。
对于以非字节单位为流量单位的RADIUS服务器而言,流量单位的设置无效。
步骤 9 执行命令radius-server timeout interval,配置RADIUS服务器的应答超时时间。
12-8
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
步骤 10 执行命令radius-server retransmit retry-times,配置RADIUS服务器的重传次数。
步骤 11 执行命令radius-server nas-port-format { new | old },设置RADIUS服务器采用的NAS
端口形式。 步骤 12 执行命令radius-server nas-port-id-format { new | old },设置RADIUS服务器采用的
NAS端口ID形式。
----结束
12.2.5 配置HWTACACS
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令hwtacacs-server template template-name,创建HWTACACS服务器模板,并
进入相应视图。
删除或修改服务器模板时,如果此模板有用户正在使用,则系统将提示操作失败。
步骤 3 执行命令hwtacacs-server authentication ip-address [ port ],配置HWTACACS主认证服
务器。 步骤 4 执行命令hwtacacs-server authentication ip-address [ port ] secondary,配置
HWTACACS备份认证服务器。
主认证服务器和备用认证服务器的IP地址不能相同,否则将提示配置不成功。多次配置主认证服务器或从认证服务器,新的配置将起作用。
只有当没有活跃的用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
除删除服务器外,HWTACACS的大部分属性在改变配置时都不检查当前是否有用户在使用此模板。
步骤 5 执行命令hwtacacs-server authorization ip-address [ port ],配置HWTACACS主授权服
务器。 步骤 6 执行命令hwtacacs-server authorization ip-address [ port ] secondary,配置HWTACACS
备份授权服务器。 步骤 7 执行命令hwtacacs-server shared-key key-string,配置HWTACACS服务器的密钥。 步骤 8 执行命令hwtacacs-server user-name domain-included,配置用户名带域名。
如果HWTACACS服务器不接受带域名的用户名时,可以使用undo radius-server user-name domain-included命令只传用户名,不传域名给Radius服务器。
步骤 9 执行命令hwtacacs-server traffic-unit { byte | kbyte | mbyte | gbyte },配置HWTACACS
服务器的流量单位。 步骤 10 执行命令hwtacacs-server source-ip ip-address,配置HWTACACS服务器的源IP地址。 步骤 11 执行命令hwtacacs-server timer response-timeout interval,配置HWTACACS服务器的
应答超时时间。
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-9
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
步骤 12 执行命令hwtacacs-server timer quiet interval,配置HWTACACS服务器的主服务器恢
复激活状态时间。 步骤 13 执行命令aaa,进入AAA视图。
步骤 14 执行命令recording-scheme scheme-name,创建记录方案,并进入记录方案视图。 步骤 15 执行命令recording-mode hwtacacs template-name,配置记录方法。 步骤 16 执行命令quit,退回AAA视图。
步骤 17 执行命令cmd recording-scheme scheme-name,配置记录用户在路由器上执行过的命令。 步骤 18 执行命令outbound recording-scheme scheme-name,配置记录连接信息。 步骤 19 执行命令system recording-scheme scheme-name,配置记录系统级事件。
----结束
12.2.6 创建本地用户
创建本地用户
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令local-user user-name [ password { simple | cipher } password ],创建用户。
用户分为两类:
z
default域用户:
该类用户的名字有两种类型:带@,如user@default;不带@,如user。 其他域用户:
该类用户的名字带@,如user@huawei。
z
创建用户时,需要根据用户所属的域确定用户名。 创建新用户时,为安全起见,建议同时设置口令。
步骤 4 执行命令local-user user-name service-type { auth | bind | ftp | ppp | ssh | telnet | terminal
| web } *,对指定用户配置服务类型。 步骤 5 执行命令local-user user-name callback-number callback-number,配置本地用户的回呼
号码。
配置本地用户的回呼号码时,RADIUS服务器端也可以配置callback-number。 如果对PPP用户启用RADIUS认证,则发送给PPP的回呼号码由RADIUS服务器配置的callback-number决定。
如果对PPP用户启用本地认证,则发送给PPP的回呼号码由local-user callback-number命令的配置决定。
12-10
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
如果PPP没有告知AAA此用户是否是回呼用户,AAA根据用户是否配置了callback-number来判断。
步骤 6 执行命令local-user user-name callback-nocheck,配置不对Modem回呼进行校验。 步骤 7 执行命令local-user user-name call-number call-number [ : subcall-number ],配置有主叫
号码的用户。 步骤 8 执行命令local-user user-name ftp-directory directory,配置本地用户的FTP目录。 步骤 9 执行命令local-user user-name state { active | block },配置指定用户的状态。 步骤 10 执行命令local-user user-name user-car level,对指定用户配置流量级别。 步骤 11 执行命令local-user user-name level level,配置用户的优先级。
步骤 12 执行命令local-user user-name access-limit access-limit,配置指定用户接入的最大连接
数。 步骤 13 执行命令local-user user-name mac-address mac-address,设置本地用户绑定的MAC地
址。
----结束
批量创建本地用户
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令vlan-batch user interface interface-type interface-number start-vlan-id number
[ domain domain-name | password password ] *,批量配置VLAN接入用户帐号。
批量创建的本地用户账号连续。
创建新用户时,为安全起见,建议同时设置口令。
步骤 4 执行命令vlan-batch user service-type { bind | ftp | ppp | ssh | telnet | terminal | web }
interface interface-type interface-number start-vlan-id number [ domain domain-name ],批量配置VLAN用户的服务类型。 步骤 5 执行命令vlan-batch user state { active | block } interface interface-type interface-number
start-vlan-id number [ domain domain-name ],批量配置VLAN用户的状态。 步骤 6 执行命令vlan-batch user user-car level interface interface-type interface-number
start-vlan-id number [ domain domain-name ],批量配置VLAN用户的流量级别。 步骤 7 执行命令vlan-batch user access-limit max-number interface interface-type
interface-number start-vlan-id number [ domain domain-name ],批量配置VLAN用户接入的最大连接数。 步骤 8 执行命令vlan-batch user acl-number acl-number interface interface-type
interface-number start-vlan-id number [ domain domain-name ],批量配置VLAN用户使用的ACL。
----结束
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-11
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
12.2.7 配置域
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令user-car level-number input target-rate burst-size excess-burst-size output
target-rate burst-size excess-burst-size,配置CAR级别的参数。 步骤 4 执行命令domain domain-name,创建域,并进入域视图。
如果域下没有配置引用认证和授权方案,则该域会引用default认证方案和default授权方案。
缺省域(default)不能配置地址池。
如果用户为不带域名的用户,则需要在default域下配置下列命令。
步骤 5 执行命令authentication-scheme scheme-name,设置域的认证方案。 步骤 6 执行命令authorization-scheme scheme-name,配置域的授权方案。
步骤 7 执行命令radius-server template-name,配置当前域的RADIUS服务器模板。 步骤 8 执行命令hwtacacs-server template-name,设置当前域的HWTACACS服务器模板。 步骤 9 执行命令ip pool pool-number first-address [ last-address ],配置域地址池。 步骤 10 执行命令dns primary-ip ip-address,配置主DNS服务器。 步骤 11 执行命令dns second-ip ip-address,配置从DNS服务器。
步骤 12 执行命令nbns primary-ip ip-address,配置主NBNS服务器IP地址。 步骤 13 执行命令nbns second-ip ip-address,配置从NBNS服务器IP地址。 步骤 14 执行命令state { active | block },配置域的状态。 步骤 15 执行命令user-car level,配置域的流控级别。
步骤 16 执行命令user-priority level,配置当前域的接入用户的优先级。 步骤 17 执行命令access-limit max-number,配置域允许的最大接入用户数。 步骤 18 执行命令web-server ip-address,配置域的强制Web认证服务器地址。 步骤 19 执行命令acl-number acl-number,配置当前域使用的ACL。
----结束
12.2.8 配置PPP用户的IP地址
如果NAS对用户进行认证,则缺省从用户所属域的地址池中分配地址;如果不对用户进行认证,但需要为用户分配地址,则从系统地址池中分配地址。可以根据实际组网需要选择配置步骤3和步骤5。
采用PPP方式接入的用户,可以利用PPP地址协商功能获得IP地址。
12-12
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
PPP用户获得地址的原则为:
z
当用户采用RADIUS或HWTACACS远端认证时:
− −
如果服务器下发IP地址,则用户采用服务器下发的地址。
如果服务器下发地址池号,则default域用户采用系统地址池中的地址,其他域用户采用相应域下的地址池中的地址。
如果虚拟接口模板下配置分配地址,则PPP用户采用该地址,且此地址只能被分配一次。
如果虚拟接口模板分配地址池中的地址,则:
default域用户采用系统地址池中的地址,当没有获得地址时,返回失败。 其他域用户只能采用相应域下的地址池中的地址,如果没有分配到地址时,返回失败。
z
当用户上述两种方式没有分配到地址或采用本地认证时:
−
−
z
当用户采用不认证方式时:
−
如果虚拟接口模板下配置分配地址,则PPP用户采用该地址,且此地址只能被分配一次。
如果虚拟接口模板分配地址池中的地址,则用户采用系统地址池中的地址。当用户没有获得地址时,返回失败。
−
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令ip pool pool-number first-address [ last-address ],配置系统地址池。 步骤 4 执行命令domain domain-name,进入域视图。
缺省域(default)不能配置地址池。
步骤 5 执行命令ip pool pool-number first-address [ last-address ],配置域下的地址池。 步骤 6 执行命令quit,退回系统视图。
步骤 7 执行命令interface virtual-template virtual-template-number,创建虚拟接口模板,并进入
相应视图。 步骤 8 执行命令ip address ppp-negotiate,设置接口IP地址可协商属性。
步骤 9 执行命令remote address { ip-address | pool [ pool-number ] },配置为对端接口分配IP
地址。 步骤 10 执行命令ppp authentication-mode { chap [ pap ] | pap } [ call-in ],配置用户验证类型。
----结束
12.2.9 检查配置结果
可以在所有视图下执行以下命令检查配置结果。
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-13
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
操作
查看AAA的概要信息 查看认证方案的配置情况 查看授权方案的配置情况 查看记录方案的配置情况 查看RADIUS服务器信息 查看地址池使用情况
查看HWTACACS服务器信息 查看本地用户的属性
命令
display aaa configuration
display authentication-scheme [ scheme-name ] display authorization-scheme [ scheme-name ] display recording-scheme [ scheme-name ] display radius-server configuration [ template template-name ]
display ip pool { global | domain domain-name } display hwtacacs-server template [ template-name [ verbose ] ]
display local-user [ domain domain-name | username user-name ]
12.3 维护
12.3.1 调试RADIUS和HWTACACS
打开调试开关将影响系统的性能。调试完毕后,应及时执行undo debugging all命令关闭调试开关。
在出现RADIUS或HWTACACS运行故障时,请在用户视图下执行debugging命令对RADIUS或HWTACACS进行调试,查看调试信息,定位故障并分析故障原因。有关debugging命令的解释请参见《Secoway USG3000 统一安全网关 命令参考》。 操作
调试RADIUS报文 调试HWTACACS服务器
命令
debugging radius packet
debugging hwtacacs { all | error | event | message
| receive-packet | send-packet }
12.3.2 清除HWTACACS服务器统计信息
在用户视图下执行以下命令清除HWTACACS服务器统计信息。
12-14
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
操作
清除HWTACACS服务器的统计信息
命令
reset hwtacacs-server statistics { all | authentication | authorization }
12.3.3 管理在线用户
查看在线用户信息
在所有视图下执行以下命令查看在线用户信息。 操作
查看所有在线用户的概要信息 查看指定域下的在线用户信息 查看指定用户名的在线用户信息 查看指定用户ID的在线用户信息按IP地址查询在线用户信息 按MAC地址查询在线用户信息 查看本地用户的配置 查看域的配置信息
命令
display access-user
display access-user domain domain-name display access-user username user-name display access-user user-id user-id display access-user ip-address ip-address display access-user mac-address mac-address display local-user [ domain domain-name | username user-name ]
display domain [ domain-name ]
配置强制用户下线
当需要强制用户下线时,即可在AAA视图下执行以下命令。 操作
强制指定域的在线用户下线 强制指定用户名的在线用户下线 强制指定用户ID的在线用户下线强制指定IP地址的在线用户下线强制指定MAC地址的在线用户下线
强制指定VLAN ID的在线用户下线
命令
cut access-user domain domain-name cut access-user username { local | hwtacacs | radius | none | all } [ user-name ] cut access-user user-id start-id [ end-id ] cut access-user ip-address ip-address cut access-user mac-address mac-address cut access-user interface interface-type interface-number vlan-id vlan-id
文档版本 02 (2009-02-15)
华为所有和机密
版权所有 © 华为技术有限公司
12-15
12 配置认证与授权
Secoway USG3000配置指南 安全防范分册
配置时请注意:
z
作为接入设备,一个重要的功能就是对用户连接进行控制。根据网络管理的需要,可以在NAS上把在线用户的连接强制断掉。
按域名拆除连接时,域下的所有在线用户都将被强制下线;按用户名或认证方式拆除连接时,如果有多个符合条件的连接,将同时拆除。
z
配置闲置切断
对于使用流量计费方式的用户,启用闲置切断功能可以使用户放心上网,不必担心忘记下网而带来经济损失;并且,释放闲置用户占用的连接可以提高系统的利用率。 请根据实际需要选择配置步骤3、4或6。
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA视图。
步骤 3 执行命令local-user user-name idle-cut,使能指定本地用户的闲置切断功能。 步骤 4 执行命令vlan-batch user idle-cut interface interface-type interface-number start-vlan-id
number [ domain domain-name ],批量配置VLAN用户的闲置切断功能。 步骤 5 执行命令domain domain-name,创建域,并进入域视图。 步骤 6 执行命令idle-cut interval data-length,配置域的闲置切断参数。
----结束
12.4 配置举例
12.4.1 配置对接入用户的认证示例一
组网需求
用RADIUS服务器进行认证。用户所属的域为huawei。
RADIUS服务器129.7.66.66/24作为主认证服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器,认证端口号默认为1812。
12-16
华为所有和机密
版权所有 © 华为技术有限公司
文档版本 02 (2009-02-15)
Secoway USG3000
配置指南 安全防范分册 12 配置认证与授权
组网图
图12-1 AAA和RADIUS示例组网图
PCPCUSG3000GE0/0172.16.1.1/24GE0/1129.7.66.1/24RADIUS Server129.7.66.66/24RADIUS Server129.7.66.67/24
配置步骤
步骤 1 统一安全网关基本配置
# 进入系统视图。
# 进入GigabitEthernet 0/0视图。 [USG3000] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000-GigabitEthernet0/0] ip address 172.16.1.1 24 # 退回系统视图。 [USG3000-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000-GigabitEthernet0/1] ip address 129.7.66.1 24 # 退回系统视图。 [USG3000-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000] firewall zone trust # 配置GigabitEthernet 0/0加入Trust区域。 [USG3000-zone-trust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000-zone-trust] quit # 进入Untrust区域视图。 文档版本 02 (2009-02-15) 华为所有和机密 版权所有 © 华为技术有限公司 12-17 12 配置认证与授权 [USG3000] firewall zone untrust Secoway USG3000配置指南 安全防范分册 # 配置GigabitEthernet 0/1加入Untrust区域。 [USG3000-zone-untrust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000-zone-untrust] quit # 创建ACL。 [USG3000] acl 2000 [USG3000-acl-basic-2000] rule permit source any # 退回系统视图。 [USG3000-acl-basic-2000] quit # 进入Trust和Local域间视图。 [USG3000] firewall interzone trust local # 配置域间包过滤规则。 [USG3000-interzone-local-trust] packet-filter 2000 inbound # 退回系统视图。 [USG3000-interzone-local-trust] quit # 进入Local和Untrust域间视图。 [USG3000] firewall interzone local untrust # 配置域间包过滤规则。 [USG3000-interzone-local-untrust] packet-filter 2000 outbound 由于认证过程需要统一安全网关、Trust区域内的用户以及Untrust区域内的认证服务器三方共同完成,且Trust区域的用户IP地址需要由USG3000分配,没有固定的IP,故需要配置统一安全网关的Local-Trust和Local-Untrust域间的缺省报过滤规则。 # 退回系统视图。 [USG3000-interzone-local-untrust] quit 步骤 2 需求配置 # 创建虚拟接口模板。 [USG3000] interface Virtual-Template 1 # 配置PPP认证方式为PAP。 [USG3000-Virtual-Template1] ppp authentication-mode pap # 配置虚拟接口模板的IP地址。 [USG3000-Virtual-Template1] ip address 1.1.1.1 24 此处的地址建议与地址池地址的网段相同。 12-18 华为所有和机密 版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15) Secoway USG3000 配置指南 安全防范分册 12 配置认证与授权 # 指定为拨号用户分配的IP地址方式。 [USG3000-Virtual-Template1] remote address pool 1 # 退回系统视图。 [USG3000-Virtual-Template1] quit # 配置PPPoE Server接口。 [USG3000] interface GigabitEthernet 0/0 [USG3000-GigabitEthernet0/0] pppoe-server bind virtual-template 1 # 退回系统视图。 [USG3000-GigabitEthernet0/0] quit # 进入Trust区域视图。 [USG3000] firewall zone trust # 配置VT1加入Trust区域。 [USG3000-zone-trust] add interface Virtual-Template 1 配置PPPoE Server的接口需要与虚拟接口模板加入同一安全区域。 # 退回系统视图。 [USG3000-zone-trust] quit # 创建RADIUS服务器模板。 [USG3000] radius-server template shiva # 配置RADIUS主认证服务器的IP地址和端口。 [USG3000-radius-shiva] radius-server authentication 129.7.66.66 1812 # 配置RADIUS从认证服务器的IP地址和端口。 [USG3000-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary # 配置RADIUS服务器密钥。 [USG3000-radius-shiva] radius-server shared-key my-secret 此处的配置为必配,且需要与RADIUS服务器的配置相同。 # 配置RADIUS服务器重传次数。 [USG3000-radius-shiva] radius-server retransmit 2 # 配置拨号用户名中包含域名信息。 [USG3000-radius-shiva] radius-server user-name domain-included # 退回系统视图。 [USG3000-radius-shiva] quit # 进入AAA视图。 文档版本 02 (2009-02-15) 华为所有和机密 版权所有 © 华为技术有限公司 12-19 12 配置认证与授权 [USG3000] aaa Secoway USG3000配置指南 安全防范分册 # 配置认证方案,认证方法为RADIUS。 [USG3000-aaa] authentication-scheme rad [USG3000-aaa-authen-rad] authentication-mode radius # 退回AAA视图。 [USG3000-aaa-authen-rad] quit # 创建名为huawei的区域。 [USG3000-aaa] domain huawei # 配置地址池。 [USG3000-aaa-domain-huawei] ip pool 1 1.1.1.2 1.1.1.5 # 配置huawei域的用户采用RADIUS认证方案和名为shiva的RADIUS模板。 [USG3000-aaa-domain-huawei] authentication-scheme rad [USG3000-aaa-domain-huawei] radius-server shiva ----结束 12.4.2 配置对接入用户的认证示例二 组网需求 用户接入时,先进行本地认证,如果认证失败,再使用RADIUS服务器认证。 z z RADIUS服务器129.7.66.66为主服务器,认证端口号为1000。 RADIUS服务器129.7.66.67为备服务器,认证端口号默认为1812。 组网图 参见图12-1。 配置步骤 步骤 1 统一安全网关基本配置 # 进入系统视图。 # 进入GigabitEthernet 0/1视图。 [USG3000] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000-GigabitEthernet0/1] ip address 129.7.66.1 24 # 退回系统视图。 12-20 华为所有和机密 版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15) Secoway USG3000 配置指南 安全防范分册 12 配置认证与授权 [USG3000-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000] firewall zone trust # 配置GigabitEthernet 0/0加入Trust区域。 [USG3000-zone-trust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000-zone-trust] quit # 进入Untrust区域视图。 [USG3000] firewall zone untrust # 配置GigabitEthernet 0/1加入Untrust区域。 [USG3000-zone-untrust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000-zone-untrust] quit # 创建ACL。 [USG3000] acl 2000 [USG3000-acl-basic-2000] rule permit source any # 退回系统视图。 [USG3000-acl-basic-2000] quit # 进入Trust和Local域间视图。 [USG3000] firewall interzone trust local # 配置域间包过滤规则。 [USG3000-interzone-local-trust] packet-filter 2000 inbound # 退回系统视图。 [USG3000-interzone-local-trust] quit # 进入Local和Untrust域间视图。 [USG3000] firewall interzone local untrust # 配置域间包过滤规则。 [USG3000-interzone-local-untrust] packet-filter 2000 outbound 由于认证过程需要统一安全网关、Trust区域内的用户以及Untrust区域内的认证服务器三方共同完成,且Trust区域的用户IP地址需要由USG3000分配,没有固定的IP,故需要配置统一安全网关的Local-Trust和Local-Untrust域间的缺省报过滤规则。 # 退回系统视图。 [USG3000-interzone-local-untrust] quit 文档版本 02 (2009-02-15) 华为所有和机密 版权所有 © 华为技术有限公司 12-21 12 配置认证与授权 Secoway USG3000配置指南 安全防范分册 步骤 2 需求配置 # 配置RADIUS服务器模板。 [USG3000] radius-server template shiva # 配置RADIUS主认证服务器和端口。 [USG3000-radius-shiva] radius-server authentication 129.7.66.66 1000 # 配置RADIUS备认证服务器和端口。 [USG3000-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary # 配置RADIUS服务器密钥。 [USG3000-radius-shiva] radius-server shared-key my-secret 此处需要与RADIUS服务器配置相同。 # 配置RADIUS服务器重传次数。 [USG3000-radius-shiva] radius-server retransmit 2 # 配置拨号用户名中包含域信息。 [USG3000-radius-huawei] radius-server user-name domain-included 如果用户为带域名的用户,则需要配置该命令,否则不必。 # 退回系统视图。 [USG3000-radius-huawei] quit # 进入AAA视图。 [USG3000] aaa # 创建本地用户。 [USG3000-aaa] local-user user1@huawei password simple user1@huawei [USG3000-aaa] local-user user2@huawei password simple user2@huawei # 配置认证方案,认证方法为先本地认证后radius。 [USG3000–aaa] authentication-scheme l-r [USG3000-aaa-authen-l-r] authentication-mode local radius # 退回AAA视图。 [USG3000-aaa-authen-l-r] quit # 配置huawei域,在域下采用l-r认证方案、shiva的radius模板。 [USG3000-aaa] domain huawei [USG3000-aaa-domain-huawei] authentication-scheme l-r [USG3000-aaa-domain-huawei] radius-server shiva 12-22 华为所有和机密 版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15) Secoway USG3000 配置指南 安全防范分册 12 配置认证与授权 z z 如果用户为带域名的用户,则需要在相应的域下引用认证方案和RADIUS模板。 如果用户为不带域名的用户,则需要在default域下引用认证方案和RADIUS模板。 ----结束 12.4.3 配置对Telnet用户的认证示例 组网需求 对Telnet用户使用RADIUS服务器进行认证。 认证服务器使用129.7.66.66,无备用服务器,端口号为默认值1812。 组网图 图12-2 对Telnet用户的认证示例组网图 PCPCUSG3000GE0/0172.16.1.1/24 RADIUS Server129.7.66.66/24GE0/1129.7.66.1/24 配置步骤 步骤 1 统一安全网关基本配置 # 进入系统视图。 # 进入GigabitEthernet 0/0视图。 [USG3000] interface GigabitEthernet 0/0 # 配置GigabitEthernet 0/0的IP地址。 [USG3000-GigabitEthernet0/0] ip address 172.16.1.1 24 # 退回系统视图。 [USG3000-GigabitEthernet0/0] quit # 进入GigabitEthernet 0/1视图。 [USG3000] interface GigabitEthernet 0/1 # 配置GigabitEthernet 0/1的IP地址。 [USG3000-GigabitEthernet0/1] ip address 129.7.66.1 24 文档版本 02 (2009-02-15) 华为所有和机密 版权所有 © 华为技术有限公司 12-23 12 配置认证与授权 Secoway USG3000配置指南 安全防范分册 # 退回系统视图。 [USG3000-GigabitEthernet0/1] quit # 进入Trust区域视图。 [USG3000] firewall zone trust # 配置GigabitEthernet 0/0加入Trust区域。 [USG3000-zone-trust] add interface GigabitEthernet 0/0 # 退回系统视图。 [USG3000-zone-trust] quit # 进入Untrust区域视图。 [USG3000] firewall zone untrust # 配置GigabitEthernet 0/1加入Untrust区域。 [USG3000-zone-untrust] add interface GigabitEthernet 0/1 # 退回系统视图。 [USG3000-zone-untrust] quit # 创建ACL。 [USG3000] acl 2000 [USG3000-acl-basic-2000] rule permit source any # 退回系统视图。 [USG3000-acl-basic-2000] quit # 进入Trust和Local域间视图。 [USG3000] firewall interzone trust local # 配置域间包过滤规则。 [USG3000-interzone-local-trust] packet-filter 2000 inbound # 退回系统视图。 [USG3000-interzone-local-trust] quit # 进入Local和Untrust域间视图。 [USG3000] firewall interzone local untrust # 配置域间包过滤规则。 [USG3000-interzone-local-untrust] packet-filter 2000 outbound 由于认证过程需要统一安全网关、Trust区域内的用户以及Untrust区域内的认证服务器三方共同完成,且Trust区域的用户IP地址需要由USG3000分配,没有固定的IP,故需要配置统一安全网关的Local-Trust和Local-Untrust域间的缺省报过滤规则。 # 退回系统视图。 12-24 华为所有和机密 版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15) Secoway USG3000 配置指南 安全防范分册 12 配置认证与授权 [USG3000-interzone-local-untrust] quit 步骤 2 VTY相关配置 # 进入VTY用户接口视图。 [USG3000] user-interface vty 0 4 # 配置VTY用户的认证方式。 [USG3000-ui-vty0-4] authentication-mode aaa # 配置VTY用户的级别。 [USG3000-ui-vty0-4] user privilege level 3 # 退回系统视图。 [USG3000-ui-vty0-4] quit 步骤 3 需求配置 # 配置RADIUS服务器模板。 [USG3000] radius-server template shiva # 配置RADIUS主认证服务器和端口。 [USG3000-radius-shiva] radius-server authentication 129.7.66.66 1812 # 配置RADIUS服务器密钥。 [USG3000-radius-shiva] radius-server shared-key my-secret 此处需要与RADIUS服务器的配置相同。 # 配置RADIUS服务器重传次数。 [USG3000-radius-shiva] radius-server retransmit 2 # 配置拨号用户名中包含域信息。 [USG3000-radius-shiva] radius-server user-name domain-included 如果用户为带域名的用户,则需要配置该命令,否则,不必。 # 退回系统视图。 [USG3000-radius-shiva] quit # 进入AAA视图。 [USG3000] aaa # 配置认证方案,认证方法为Radius。 [USG3000–aaa] authentication-scheme r-n [USG3000-aaa-authen-r-n] authentication-mode radius # 退回AAA视图。 [USG3000-aaa-authen-r-n] quit 文档版本 02 (2009-02-15) 华为所有和机密 版权所有 © 华为技术有限公司 12-25 12 配置认证与授权 Secoway USG3000配置指南 安全防范分册 # 进入huawei域。 [USG3000-aaa] domain huawei # 在域下采用r-n认证方案、shiva的radius模板。 [USG3000-aaa-domain-huawei] authentication-scheme r-n [USG3000-aaa-domain-huawei] radius-server shiva z z 如果用户为带域名的用户,则需要在相应的域下引用认证方案和RADIUS模板。 如果用户为不带域名的用户,则需要在default域下引用认证方案和RADIUS模板。 ----结束 12-26 华为所有和机密 版权所有 © 华为技术有限公司 文档版本 02 (2009-02-15) 因篇幅问题不能全部显示,请点此查看更多更全内容