所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300X V200R010C00 配置指南(Web网管)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
AAA配置

AAA配置

AAA是Authentication,Authorization和Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。

AAA一般采用“Client/Server”结构,客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。

认证/授权/计费方案

提供配置认证/授权/计费方案的新建、修改和删除的功能。

背景信息

在AAA中,认证、授权和计费是三个独立的业务流程。

  • 认证的职责是完成各接入或服务请求的用户名、密码、用户信息的交互认证过程,它不会下发授权信息给请求用户,也不会触动计费的流程。在AAA中,可以只使用认证,而不使用授权或计费。
  • 授权的职责是发送授权请求给所配置的授权服务器,授权通过后向用户下发授权信息。如果用户配置的授权方案为none,则意味着用户是不需要授权的,此时,认证通过的用户只有系统所给予的默认权限。
  • 计费的职责是发送计费开始、更新、结束请求给所配置的计费服务器。在AAA配置中,允许不配置计费方案。

操作步骤

  • 新建认证方案

    说明:

    新建方案分为认证方案、授权方案和计费方案,此处以认证方案为例。

    1. 单击导航树中的安全 > AAA配置 > 认证/授权/计费方案菜单,进入“认证/授权/计费方案”界面。
    2. 单击“新建”,进入“新建认证方案”界面。图2-174所示。

      图2-174  新建认证方案

      界面信息含义如表2-97所示。

      表2-97  新建认证方案

      配置项

      说明

      认证方案名称

      填写需要配置方案的名称。必选。

      认证模式

      增加认证方案时,相应的会出现四种认证方式,用户可以根据需要选择认证类型。

      说明:
      • 认证类型有:none、hwtacacs、radius和local。
      • 认证方式支持多种认证方案的组合。但在认证方式选择为none时,其后的认证方案不可配。
      • 认证模式不能选择相同类型,否则不能创建。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 修改认证方案

    说明:

    修改方案分为认证方案、授权方案和计费方案,此处以认证方案为例。

    1. 单击导航树中的安全 > AAA配置 > 认证/授权/计费方案菜单,进入“认证/授权/计费方案”界面。
    2. 单击数据后面的“”图标,进入“修改认证方案”界面。图2-175所示。

      图2-175  修改认证方案

      说明:
      • 界面信息含义如表2-97所示。
      • 认证方案名称是固定的不可修改的。

    3. 用户根据需要配置认证类型。
    4. 单击“确定”,完成配置。
  • 删除认证方案
    1. 单击导航树中的安全 > AAA配置 > 认证/授权/计费方案菜单,进入“认证/授权/计费方案”界面。
    2. 选择需要删除的数据,单击“删除”,系统提示是否确认删除。

      说明:
      • 选择的方式是在该条数据前的复选框中打勾。
      • 系统支持批量删除。批量删除是在多个复选框中打勾。

    3. 单击“确定”,完成配置。

业务方案

接入用户需要获取授权信息才能上线,可以通过配置业务方案管理用户的授权信息。

背景信息

业务方案是用户授权信息的集合,创建业务方案后,可以在业务方案视图下配置用户的各项属性。

操作步骤

  • 新建业务方案
    1. 单击导航树中的安全 > AAA配置 > 业务方案菜单,进入“业务方案”界面。
    2. 单击“新建”,进入“新建业务方案”界面。图2-176所示。

      图2-176  新建业务方案

      界面信息含义如表2-98所示。

      表2-98  新建业务方案

      配置项

      说明

      业务方案名称

      输入新建的业务方案名称。必选。

      管理员级别

      配置用户可以作为管理员登录交换机,同时指定登录时的管理员级别。

      地址池

      设置业务方案下的IP地址池或者移动业务方案下已配置的地址池的位置。每个业务方案最多可以设置3个地址池。

      DNS主用服务器IP

      输入DNS主用服务器地址。如:10.10.10.1

      DNS备用服务器IP

      输入DNS备用服务器地址。如:10.10.10.2

      说明:
      配置DNS备用服务器IP时,必须先配置DNS主用服务器IP。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 修改业务方案
    1. 单击导航树中的安全 > AAA配置 > 业务方案菜单,进入“业务方案”界面。
    2. 单击其方案后面的“”图标,进入“修改业务方案”界面。图2-177所示。

      图2-177  修改业务方案

      说明:
      • 界面信息含义如表2-98所示。
      • 业务方案名称是固定的不可修改的。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 删除业务方案
    1. 单击导航树中的安全 > AAA配置 > 业务方案菜单,进入“业务方案”界面。
    2. 选择需要删除的数据,单击“删除”,系统提示是否确认删除。

      说明:
      • 选择的方式是在该条数据前的复选框中打勾。
      • 系统支持批量删除。批量删除是在多个复选框中打勾。

    3. 单击“确定”,完成配置。

RADIUS配置

提供配置RADIUS模板、认证/计费服务器、授权服务器的新建、修改和删除的功能。在配置RADIUS的认证计费服务器之前,必须先创建RADIUS模板。RADIUS服务器通过建立一个唯一的数据库,存储用户名、密码来对用户进行验证,从而实现RADIUS的认证/计费功能。授权服务器接收用户发送的授权信息,在授权通过后向用户下发授权信息。

背景信息

用户登录交换机或接入服务器等网络设备时,会将用户名和密码发送给该网络设备。该网络设备中的RADIUS客户端(网络接入服务器)接收用户名和密码,并向RADIUS服务器发送认证请求。RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。
说明:

在RADIUS的配置中,大部分项目都有缺省配置,用户也可以根据实际组网需求进行配置。只有当该RADIUS服务器模板没有用户使用时,才能改变RADIUS配置。

RADIUS授权服务器主要用于用户进行动态业务选择时的业务授权。

操作步骤

  • 新建RADIUS模板
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS模板”下的“新建”,进入“新建RADIUS模板”界面。图2-178所示。

      图2-178  新建RADIUS模板

      界面信息含义如表2-99所示。

      表2-99  新建RADIUS模板

      配置项

      说明

      模板名称

      输入新建的模板名称。必选。

      密钥

      交换机和RADIUS服务器在发送认证报文时,对口令等重要信息使用了加密措施,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求交换机上的密钥与RADIUS服务器的密钥必须相同。

      格式:字符串形式。缺省情况下,RADIUS共享密钥是huawei。

      确认密钥

      输入确认的密钥。格式:与密钥输入一致。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 修改RADIUS模板
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS模板”数据后面的“”图标,进入“修改RADIUS模板”界面。图2-179所示。

      图2-179  修改RADIUS模板

      说明:
      • 界面信息含义如表2-99所示。
      • 模板名称是固定的不可修改的。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 删除RADIUS模板
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 选择“RADIUS配置”中需要删除的数据,单击“删除”,系统提示是否确认删除。

      说明:
      • 选择的方式是在该条数据前的复选框中打勾。
      • 系统支持批量删除。批量删除是在多个复选框中打勾。

    3. 单击“确定”,完成配置。
  • 新建RADIUS认证/计费服务器
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS认证/计费服务器”下的“新建”,进入“新建RADIUS认证/计费服务器”界面。图2-180所示。

      图2-180  新建RADIUS认证/计费服务器

      界面信息含义如表2-100所示。

      表2-100  新建RADIUS认证/计费服务器

      配置项

      说明

      服务器类型

      选择服务器类型。

      模板名称

      必选。选择系统中配置的RADIUS模板。

      IP地址

      必选。输入服务器的IP地址。如:10.10.10.1

      端口号

      必选。输入服务器的UDP端口号。

      权重

      输入服务器的权重值,默认值为80。

    3. 填写相应的配置项。

      说明:

      设备支持配置多个服务器,可以通过单击“增加”,再填写相应的配置项,完成配置。

      当配置了多个服务器时,设备优先通过权重值大的服务器进行认证/计费。当权重值相等时,设备则优先通过先配置的服务器进行认证/计费。

    4. 单击“确定”,完成配置。
  • 修改RADIUS认证/计费服务器
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS认证/计费服务器”数据后面的“”图标,进入“修改RADIUS认证/计费服务器”界面。图2-181所示。

      图2-181  修改RADIUS认证/计费服务器

      说明:

      界面信息含义如表2-100所示。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 删除RADIUS认证/计费服务器
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 选择“RADIUS认证/计费服务器”中需要删除的数据,单击“删除”,系统提示是否确认删除。
    3. 单击“确定”,完成配置。
  • 新建RADIUS授权服务器
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS授权服务器”下的“新建”,进入“新建RADIUS授权服务器”界面。图2-182所示。

      图2-182  新建RADIUS授权服务器

      界面信息含义如表2-101所示。

      表2-101  新建RADIUS授权服务器

      配置项

      说明

      授权服务器IP地址

      必选。输入授权服务器的IP地址。如:10.10.10.1

      RADIUS模板名称

      可选。选择系统中配置的RADIUS模板。

      共享密钥

      必选。选择共享密钥的复选框时,则表示应用了共享密钥。

      缺省情况下,没有配置RADIUS授权服务器的共享密钥。

      授权回应报文的保留时长

      可选。输入授权回应报文的保留时长。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 修改RADIUS授权服务器
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS授权服务器”数据后面的“”图标,进入“修改RADIUS授权服务器”界面。图2-183所示。

      图2-183  修改RADIUS授权服务器

      说明:
      • 界面信息含义如表2-101所示。
      • 授权服务器IP地址是固定的不可修改的。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 删除RADIUS授权服务器
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 选择“RADIUS授权服务器”中需要删除的数据,单击“删除”,系统提示是否确认删除。
    3. 单击“确定”,完成配置。

域管理

交换机通过域来进行用户管理,域下可以进行缺省授权配置、RADIUS模板配置、认证和计费方案的配置等。

背景信息

如果新创建一个域,没有在域下应用认证方案、授权方案、计费方案,那么AAA对该域将采用缺省的认证方案和计费方案,新创建域默认不绑定授权方案。

操作步骤

  • 新建域
    1. 单击导航树中的安全 > AAA配置 > 域管理菜单,进入“域管理”界面。
    2. 单击“新建”,进入“新建域”界面。图2-184所示。

      图2-184  新建域

      界面信息含义如表2-102所示。

      表2-102  新建域

      配置项

      说明

      域名称

      输入新建的模板名称。必选。

      认证方案

      选择系统中配置的认证方案。

      授权方案

      选择系统中配置的授权方案。

      计费方案

      选择系统中配置的计费方案。

      业务方案

      选择系统中配置的业务方案。

      RADIUS模板

      选择系统中配置的RADIUS模板。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 修改域
    1. 单击导航树中的安全 > AAA配置 > 域管理菜单,进入“域管理”界面。
    2. 单击数据后面的“”图标,进入“修改域”界面。图2-185所示。

      图2-185  修改域

      说明:
      • 界面信息含义如表2-102所示。
      • 域名称是固定的不可修改的。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 删除域
    1. 单击导航树中的安全 > AAA配置 > 域管理菜单,进入“域管理”界面。
    2. 选择需要删除的数据,单击“删除”,系统提示是否确认删除。

      说明:
      • 选择的方式是在该条数据前的复选框中打勾。
      • 系统支持批量删除。批量删除是在多个复选框中打勾。

    3. 单击“确定”,完成配置。

用户管理

用户管理是指在本地交换机上建立本地数据库,维护用户信息,并对用户进行管理。

背景信息

通过用户管理,可以创建本地用户帐号并配置本地用户的相关属性,同时根据本地用户信息,对登录交换机的用户进行认证、授权。

缺省情况下,系统中存在一个名称为“admin”的本地用户,该用户的密码为“admin@huawei.com”,接入类型为HTTP。

说明:

配置用户的接入类型为Telnet或FTP时存在安全风险,建议配置用户的接入类型为SSH。

为了防止密码过于简单导致安全隐患,建议在使用缺省账号登录Web网管后修改密码,提高密码复杂度。密码长度不得小于8个字符,至少同时包含小写字母、大写字母、数字、特殊符号(例如!、$、#和%)这四种形式中的两种,不能包含空格和单引号,并且不能与用户名或用户名的倒写相同。

在创建或者修改本地用户时,如果配置的密码与缺省密码相同时,则存在一定的安全风险。

操作步骤

  • 新建用户
    1. 单击导航树中的安全 > AAA配置 > 用户管理菜单,进入“用户管理”界面。
    2. 单击“新建”,进入“添加用户”界面。图2-186所示。

      图2-186  添加用户

      界面信息含义如表2-103所示。

      表2-103  添加/修改用户

      配置项

      说明

      用户名

      输入新建的用户名。

      密码加密类型

      选择密码的加密类型。

      说明:

      修改用户时,可以将密码的加密类型从可逆修改为不可逆,但是不能从不可逆修改为可逆。

      密码

      输入密码。

      确认密码

      再次输入密码。格式:与密码输入一致。

      用户级别

      选择用户的级别。取值范围是0~15。

      说明:
      • 用户级别配置在3级或3级以上,才具有管理级权限。
      • 用户只能新建级别不大于自己的用户。

      FTP目录

      输入FTP目录的地址。如:flash:/

      说明:

      若本地用户的接入类型配置为FTP方式,则必须配置本地用户的FTP目录,否则FTP用户无法登录。

      用户状态

      选择用户的状态。有两种类型:
      • Active
      • Block

      默认是Active。

      说明:
      • 若用户状态为激活态,将接收该用户的认证请求并做进一步处理。
      • 若用户状态为阻塞态,将拒绝该用户的认证请求。

      接入类型

      选择用户的接入类型。对用户配置用户类型后,只有用户的实际接入方式匹配该用户的用户类型,用户才能登录。

      步骤:

      在左边的列表框中选择需要添加的用户类型,单击“”,选择的用户类型会添加到右边的列表框中。

      说明:
      • 可以按住shift或ctrl键进行多选。也可以单击“”,进行全部选择操作。
      • 接入类型跟随密码加密类型联动,具体如下:
        • 不可逆:FTP、HTTP、SSH、Telnet、Terminal和x25-pad。
        • 可逆:8021X、Bind、PPP和Web。

      强制下线

      选择是否强制让用户下线。

      说明:

      本配置项只出现在修改用户信息时的界面。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。
  • 修改用户
    1. 单击导航树中的安全 > AAA配置 > 用户管理菜单,进入“用户管理”界面。
    2. 单击数据后面的“”图标,进入“修改用户”界面。图2-187所示。

      图2-187  修改用户

      说明:
      • 界面信息含义如表2-103所示。
      • 用户名是固定的不可修改的。

    3. 填写相应的配置项。
    4. 单击“确定”,完成配置。

      说明:

      用户修改自己的密码时,必须在“确认旧密码”界面中重新输入“确认旧密码”,才能完成用户密码的修改。图2-188所示。

      图2-188  确认旧密码

  • 删除用户
    1. 单击导航树中的安全 > AAA配置 > 用户管理菜单,进入“用户管理”界面。
    2. 选择需要删除的数据,单击“删除”,系统提示是否确认删除。

      说明:
      • 当前登录的用户不可以删除。
      • 用户只能删除级别不大于自己的用户,且不能删除自己。
      • 选择的方式是在该条数据前的复选框中打勾。
      • 系统支持批量删除。批量删除是在多个复选框中打勾。

    3. 单击“确定”,完成配置。

模式切换

NAC功能支持传统配置模式以及统一配置模式。设备可通过NAC功能对用户进行网络接入控制。

背景信息

NAC提供了一个用户身份认证的实现方案,但是仅仅依靠NAC不足以实现该方案。为了完成用户的身份认证还需要结合AAA。

说明:

设备支持NAC功能,该功能主要用于用户认证和控制用户的网络访问权限,可能涉及使用个人用户某些通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。

操作步骤

  1. 设置下次启动模式:单击导航树中的安全 > AAA配置 > 模式切换菜单,进入“模式切换”界面。
  2. 单击“传统模式”“统一模式”图2-189所示。

    图2-189  模式切换

  3. 单击“应用”,完成配置。

    说明:

    传统模式与统一模式相互切换后,必须保存配置并且重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。

翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000123894

浏览量:8198

下载量:572

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页