華為Sx700交換機(jī)HWTACACS技術(shù)白皮書

1、 S系列交換機(jī)HWTACACS技術(shù)白皮書文檔版本V1.0發(fā)布日期2015-08-08華為技術(shù)有限公司版權(quán)所有 華為技術(shù)有限公司2015。 保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊商標(biāo)，由各自的所有人擁有。注意您購買的產(chǎn)品、服務(wù)或特性等應(yīng)受華為公司商業(yè)合同和條款的約束，本文檔中描述的全部或部分產(chǎn)品、服務(wù)或特性可能不在您的購買或使用范圍之內(nèi)。除非合同另有約定，華為公司對本文檔內(nèi)容不做任何明示或默示的聲明或保證。由于產(chǎn)品版本升級或其他原因，本文檔內(nèi)容

2、會(huì)不定期進(jìn)行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。華為技術(shù)有限公司地址：深圳市龍崗區(qū)坂田華為總部辦公樓 郵編：518129網(wǎng)址：客戶服務(wù)郵箱：support客戶服務(wù)電話4008302118客戶服務(wù)傳真檔版本 V1.0 (2012-08-15)華為專有和保密信息 版權(quán)所有 華為技術(shù)有限公司i HWTACACS技術(shù)白皮書目 錄目 錄1 技術(shù)簡介1-11.1 技術(shù)簡介1-11.1.1 概述1-11.1.2 技術(shù)優(yōu)勢1-12 原理描述2-42.1 基本概念2-42.1.1 網(wǎng)絡(luò)組成

3、2-42.1.2 HWTACACS報(bào)文2-52.2 工作原理2-52.2.1 HWTACACS工作流程2-52.2.2 HWTACACS認(rèn)證2-62.2.3 HWTACACS授權(quán)2-82.2.4 HWTACACS計(jì)費(fèi)2-103 應(yīng)用場景2-123.1 采用HWTACACS協(xié)議進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)2-123.2 命令行授權(quán)2-153.3 HWTACACS服務(wù)器上賬戶密碼修改和老化2-233.4 管理用戶提升優(yōu)先級2-294 參考標(biāo)準(zhǔn)和協(xié)議2-345 附錄2-35文檔版本 V1.0 (2012-08-15)華為專有和保密信息 版權(quán)所有 華為技術(shù)有限公司iii HWTACACS技術(shù)白皮書目 錄HWT

4、ACACS技術(shù)白皮書摘要： HWTACACS是實(shí)現(xiàn)AAA功能的一種安全協(xié)議，主要是通過HWTACACS客戶端與HWTACACS服務(wù)器通信來實(shí)現(xiàn)多種用戶的AAA功能。關(guān)鍵詞：HWTACACS、TACACS、RADIUS、AAA、設(shè)備管理、命令行授權(quán)縮略語：英文縮寫英文全稱中文全稱HWTACACSHUAWEI Terminal Access Controller Access Control System華為終端訪問控制器控制系統(tǒng)TACACSTerminal Access Controller Access Control System終端訪問控制器控制系統(tǒng)TACACS+Terminal Acce

5、ss Controller Access Control System plusCisco對TACACS的增強(qiáng)協(xié)議RADIUSRemote Authentication Dial-In User Service遠(yuǎn)程認(rèn)證撥號用戶服務(wù)AAAAuthentication, Authorization, Accounting認(rèn)證、授權(quán)、計(jì)費(fèi)NASNetwork Access Server網(wǎng)絡(luò)接入服務(wù)器ACSAccess Control Server訪問控制服務(wù)器BRASBroadband Remote Access Server寬帶遠(yuǎn)程接入服務(wù)器EXECExecutable可執(zhí)行命令的文檔版本 V1.

6、0 華為專有和保密信息 版權(quán)所有 華為技術(shù)有限公司2-37 HWTACACS技術(shù)白皮書1 技術(shù)簡介1.1 技術(shù)簡介1.1.1 概述AAA是Authentication（認(rèn)證）、Authorization（授權(quán)）和Accounting（計(jì)費(fèi)）的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種功能。HWTACACS是實(shí)現(xiàn)AAA功能的一種安全協(xié)議，它與RADIUS協(xié)議類似，主要是通過HWTACACS客戶端與HWTACACS服務(wù)器（即客戶端/服務(wù)器模式）通信來實(shí)現(xiàn)多種用戶的AAA功能。HWTACACS是在TACACS（RFC 1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議，使用公共密鑰對傳輸?shù)挠脩?/p>

7、信息進(jìn)行加密,具有較好的安全性和靈活性。HWTACACS采用TCP協(xié)議承載報(bào)文，TCP端口號是49，它相對于RADIUS使用UDP協(xié)議，使得傳輸更加可靠。HWTACACS認(rèn)證功能，可以對802.1X、Portal、PPP等普通接入用戶進(jìn)行認(rèn)證，也可以對串口、telnet、SSH、ftp等管理用戶進(jìn)行認(rèn)證。同樣，HWTACACS授權(quán)功能，既可以對普通接入用戶進(jìn)行授權(quán)，也可以對登陸設(shè)備的管理用戶進(jìn)行授權(quán)，還可以對管理用戶的每條命令進(jìn)行授權(quán)。HWTACACS計(jì)費(fèi)功能，既可以對普通接入用戶上線時(shí)間的傳統(tǒng)意義的網(wǎng)絡(luò)計(jì)費(fèi)，還可以記錄管理用戶登陸到設(shè)備停留時(shí)間記錄，用戶執(zhí)行操作命令進(jìn)行記錄等。HWTACAC

8、S兼容CISCO的TACACS+協(xié)議， 華為交換機(jī)作為HWTACACS客戶端可以和TACACS+服務(wù)器對接實(shí)現(xiàn)AAA功能。1.1.2 技術(shù)優(yōu)勢HWTACACS協(xié)議與RADIUS協(xié)議相比較，具有以下優(yōu)勢。從HWTACACS優(yōu)勢來看，HWTACACS更適合設(shè)備控制管理；RADIUS協(xié)議更適合接入用戶管理，兩種協(xié)議對比，參見表1所示。l AAA功能靈活部署AAA功能的認(rèn)證、授權(quán)和計(jì)費(fèi)，這三個(gè)過程是可以完全分離的，即用戶可以只認(rèn)證不授權(quán)，或者只授權(quán)不認(rèn)證，或者單單只計(jì)費(fèi)。l 設(shè)備管理更安全靈活采用HWTACACS對登陸到設(shè)備的管理用戶進(jìn)行命令行授權(quán)，用戶執(zhí)行每條命令行時(shí)均進(jìn)行權(quán)限控制，只有授權(quán)通過后才

9、可以執(zhí)行該命令，否則不能執(zhí)行，這樣用戶可使用的命令行受到命令級別和AAA授權(quán)的雙重限制，針對不同級別的管理用戶進(jìn)行精細(xì)化的命令行操作授權(quán)，使得設(shè)備管理更加安全和靈活。l 網(wǎng)絡(luò)傳輸更可靠HWTACACS采用TCP協(xié)議承載，TCP協(xié)議是面向連接的，而RADIUS協(xié)議是采用UDP報(bào)文傳輸?shù)?，HWTACACS報(bào)文網(wǎng)絡(luò)傳輸更加可靠。l 傳輸安全性更高HWTACACS會(huì)對除標(biāo)準(zhǔn)的HWTACACS報(bào)文頭外，對報(bào)文主體全部進(jìn)行加密，使得在報(bào)文傳輸過程中更加安全。表1 HWTACACS協(xié)議與RADIUS協(xié)議的對比HWTACACSRADIUS通過TCP傳輸，網(wǎng)絡(luò)傳輸更可靠。通過UDP傳輸，網(wǎng)絡(luò)傳輸效率及性能更高。

10、除了標(biāo)準(zhǔn)的HWTACACS報(bào)文頭，對報(bào)文主體全部進(jìn)行加密。只是對認(rèn)證報(bào)文中的密碼字段進(jìn)行加密。認(rèn)證與授權(quán)分離，使得認(rèn)證、授權(quán)服務(wù)可以在不同的安全服務(wù)器上實(shí)現(xiàn)。例如，可以用一臺(tái)HWTACACS服務(wù)器進(jìn)行認(rèn)證，另外一臺(tái)HWTACACS服務(wù)器進(jìn)行授權(quán)。認(rèn)證與授權(quán)結(jié)合，難以分離。對設(shè)備上的配置命令進(jìn)行授權(quán)使用。即用戶可使用的命令行受到命令級別和AAA授權(quán)的雙重限制，某一級別的用戶輸入的每一條命令都需要通過HWTACACS服務(wù)器授權(quán)，如果授權(quán)通過，命令才可以被執(zhí)行。不支持對設(shè)備上的配置命令進(jìn)行授權(quán)使用。用戶登錄設(shè)備后可以使用的命令行由用戶級別決定，用戶只能使用級別等于或低于用戶級別的命令行。HWTACA

11、CS屬于私有協(xié)議，兼容TACACS+。RADIUS是標(biāo)準(zhǔn)協(xié)議，基本所有主流設(shè)備廠商都支持，可對接的服務(wù)器選擇更多；RADIUS屬性包括標(biāo)準(zhǔn)屬性和私有屬性，各設(shè)備廠商可對私有屬性進(jìn)行靈活擴(kuò)展，以實(shí)現(xiàn)標(biāo)準(zhǔn)RADIUS沒有定義的功能。HWTACACS在命令行授權(quán)、修改服務(wù)器上管理用戶密碼等設(shè)備控制方面具有優(yōu)勢，更適合設(shè)備用戶管理。RADIUS屬性易擴(kuò)展、網(wǎng)絡(luò)傳輸效率及性能優(yōu)，RADIUS協(xié)議各服務(wù)器廠商支持最為完善，服務(wù)器選擇多,在實(shí)際網(wǎng)絡(luò)規(guī)劃中應(yīng)用最為廣泛。2 原理描述2 2.1 基本概念2.1.1 網(wǎng)絡(luò)組成HWTACACS協(xié)議用于802.1x、Portal、PPP等接入用戶以及對設(shè)備進(jìn)行操作的T

12、elnet、SSH、FTP等管理用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)，如圖1所示，主要由用戶、HWTACACS Client、HWTACACS Server三部分組成。HWTACACS Client通常也稱為NAS網(wǎng)絡(luò)接入服務(wù)器，Switch可作為NAS對用戶訪問網(wǎng)絡(luò)資源進(jìn)行控制，NAS和HWTACACS Server基于HWTACACS協(xié)議實(shí)現(xiàn)對用戶的AAA功能。HWTACACS Server可以部署主備服務(wù)器，當(dāng)主HWTACACS Server服務(wù)器故障不能訪問，NAS會(huì)切換到備HWTACACS Server去認(rèn)證、授權(quán)和計(jì)費(fèi)，保證用戶業(yè)務(wù)不中斷。圖1 基于HWTACACS協(xié)議的AAA組網(wǎng)2.1.2 H

13、WTACACS報(bào)文l HWTACACS認(rèn)證報(bào)文包括三種類型：認(rèn)證開始報(bào)文（Authentication Start）：認(rèn)證開始時(shí)，客戶端向服務(wù)器發(fā)送認(rèn)證開始報(bào)文，該報(bào)文中包括認(rèn)證類型，同時(shí)可能包括用戶名和一些認(rèn)證數(shù)據(jù)。認(rèn)證持續(xù)報(bào)文（Authentication Continue）：客戶端接收到服務(wù)器回應(yīng)的認(rèn)證回應(yīng)報(bào)文后，如果確認(rèn)認(rèn)證過程沒有結(jié)束，則使用認(rèn)證持續(xù)報(bào)文響應(yīng)。認(rèn)證回應(yīng)報(bào)文（Authentication Reply）：服務(wù)器接收到客戶端發(fā)送的認(rèn)證開始報(bào)文或認(rèn)證持續(xù)報(bào)文后，向客戶端發(fā)送的唯一一種認(rèn)證報(bào)文，用于向客戶端反饋當(dāng)前認(rèn)證的狀態(tài)。l HWTACACS授權(quán)報(bào)文包括兩種類型：授權(quán)請求報(bào)

14、文（Authorization Request）：HWTACACS的認(rèn)證和授權(quán)是分離的，用戶可以使用HWTACACS認(rèn)證而使用其他協(xié)議進(jìn)行授權(quán)。如果需要通過HWTACACS進(jìn)行授權(quán)，則客戶端向服務(wù)器發(fā)送授權(quán)請求報(bào)文，該報(bào)文中包括了授權(quán)所需的一切信息。授權(quán)回應(yīng)報(bào)文（Authorization Response）：服務(wù)器接收到授權(quán)請求報(bào)文后，向客戶端發(fā)送授權(quán)回應(yīng)報(bào)文，該報(bào)文中包括了授權(quán)的結(jié)果。l HWTACACS計(jì)費(fèi)報(bào)文包括兩種類型：計(jì)費(fèi)請求報(bào)文（Accounting Request）：該報(bào)文中包括了計(jì)費(fèi)所需的信息。計(jì)費(fèi)回應(yīng)報(bào)文（Accounting Response）：服務(wù)器接收并成功記錄計(jì)費(fèi)請

15、求報(bào)文后，需要回應(yīng)一個(gè)計(jì)費(fèi)響應(yīng)報(bào)文。2.2 工作原理2.2 2.2.1 HWTACACS工作流程下面以Telnet管理用戶為例，說明使用HWTACACS對用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)的過程?；鞠⒔换チ鞒虉D如圖2所示。圖2 HWTACACS的基本消息交互流程2.2.2 HWTACACS認(rèn)證l 接入用戶和管理用戶認(rèn)證HWTACACS用戶認(rèn)證分不認(rèn)證、本地認(rèn)證、遠(yuǎn)端認(rèn)證。不認(rèn)證對用戶非常信任，對用戶合法性不作檢查，一般不建議使用；本地認(rèn)證是將用戶名和密碼等信息直接配置在NAS上，不需要額外部署HWTACACS服務(wù)器，可以降低投入成本，但由于NAS存儲(chǔ)用戶信息有限，適合用戶數(shù)少的場景；遠(yuǎn)端認(rèn)證用戶名和

16、密碼等信息配置在遠(yuǎn)端的HWTACACS服務(wù)器上，對用戶信息集中管理，適合用戶數(shù)較多的場景。HWTACACS認(rèn)證方案支持一次認(rèn)證方法或多次認(rèn)證方法的組合。網(wǎng)絡(luò)中可能出現(xiàn)認(rèn)證服務(wù)器本身故障或NAS到認(rèn)證服務(wù)器中間鏈路故障，用戶在認(rèn)證過程中得不到認(rèn)證服務(wù)器的響應(yīng)，用戶就不能成功認(rèn)證接入網(wǎng)絡(luò)，HWTACACS認(rèn)證方案的多次認(rèn)證組合為這種故障提供了旁路機(jī)制。多次認(rèn)證是按照認(rèn)證方法的配置順序執(zhí)行，采用當(dāng)前認(rèn)證方法進(jìn)行認(rèn)證的時(shí)，只有在認(rèn)證服務(wù)器無響應(yīng)的情況下，才會(huì)嘗試下一個(gè)認(rèn)證方法。如果當(dāng)前認(rèn)證方法已認(rèn)證失敗，則按認(rèn)證失敗處理，不會(huì)嘗試下一個(gè)認(rèn)證方法。如果選用了多次認(rèn)證，不認(rèn)證只能是最后一個(gè)認(rèn)證方法。l 管

17、理用戶級別提升認(rèn)證為了限制不同管理用戶對設(shè)備的訪問權(quán)限，系統(tǒng)對用戶進(jìn)行了分級管理。用戶的級別與命令級別對應(yīng)，不同級別的用戶登錄設(shè)備后，只能使用等于或低于自己級別的命令。但在有些情況下，用戶需要在不退出當(dāng)前登錄或不斷開當(dāng)前連接的前提下，提升自身的用戶級別，讓自己享有更高的命令操作權(quán)限。用戶級別的提升需要認(rèn)證，只有認(rèn)證通過，才賦予該管理用戶新的訪問權(quán)限，但用戶從當(dāng)前高級別權(quán)限向低級別切換時(shí)，無需認(rèn)證。如維護(hù)人員以較低級別的用戶身份登錄設(shè)備，查看設(shè)備運(yùn)行狀態(tài)，當(dāng)需要進(jìn)行配置、維護(hù)類操作時(shí)，就希望臨時(shí)切換到較高的級別，這種切換后的級別是臨時(shí)的，只對當(dāng)前登錄生效，用戶重新登錄后，又會(huì)恢復(fù)到原有級別。管理

18、用戶級別提升認(rèn)證同樣支持不認(rèn)證、本地認(rèn)證、遠(yuǎn)端認(rèn)證三種認(rèn)證方法，也支持多次認(rèn)證方法的組合，原理同上面用戶認(rèn)證過程實(shí)現(xiàn)類似。如下所示，某個(gè)網(wǎng)絡(luò)管理部門的所有維護(hù)人員均使用HWTACACS認(rèn)證登陸設(shè)備，且登陸設(shè)備的用戶級別設(shè)置為0級（即VISIT級別），維護(hù)人員只具有一些基本的網(wǎng)絡(luò)診斷操作命令執(zhí)行權(quán)限，如ping、tracert功能等。維護(hù)人員可以通過super命令提升自己的級別，該部門的核心維護(hù)人員具有設(shè)備操作的最高權(quán)限，在輸入正確的密碼認(rèn)證通過之后，將自己級別提升到3級（即MANAGE級），這樣該維護(hù)人員對設(shè)備具有所有命令行的操作權(quán)限。super 3Password: 此處輸入級別切換密碼No

19、w user privilege is 3 level, and only those commands whose level is equal to or less than this level can be used.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGEl 管理用戶HWTACACS服務(wù)器上賬戶密碼修改為了提升設(shè)備管理的安全性，在HWTACACS服務(wù)器上設(shè)置允許修改管理用戶密碼功能，同時(shí)需要設(shè)定密碼有效期限和密碼老化告警期，只有在用戶名和密碼沒有過期的情況下，才允許用戶主動(dòng)修改密碼；對于密碼已經(jīng)過期的用戶，登錄設(shè)備時(shí)

20、，HWTACACS服務(wù)器將返回認(rèn)證不成功，不能成功登陸設(shè)備，當(dāng)然就不允許用戶主動(dòng)更改密碼。當(dāng)用戶密碼在有效期內(nèi)并且進(jìn)入最后的密碼老化告警期后，在管理用戶每次登陸設(shè)備時(shí)，都會(huì)提醒用戶密碼將要終止和讓其及時(shí)修改密碼。在HWTACACS服務(wù)器上設(shè)置管理用戶密碼修改功能之后，Telnet或SSH登陸的管理員可以直接在設(shè)備上修改密碼，而不需要登陸到HWTACACS服務(wù)器上去修改，這樣就不要所有的設(shè)備管理員擁有HWTACACS服務(wù)器登陸權(quán)限。如下所示，經(jīng)過HWTACACS認(rèn)證的用戶主動(dòng)修改用戶密碼。 hwtacacs-user change-password hwtacacs-server huaweiI

21、nfo: EXEC is in an interactive process, please wait.Username:testhuaweiOld Password: 此處輸入當(dāng)前密碼New Password: 此處輸入需要修改的新密碼Re-enter New password: 此處再次確認(rèn)新輸入的密碼Info: The password has been changed successfully.2.2.3 HWTACACS授權(quán)l(xiāng) 接入用戶和管理用戶EXEC授權(quán)接入用戶授權(quán)是指通過HWTACACS服務(wù)器對802.1X、Portal等接入用戶進(jìn)行權(quán)限控制；管理用戶EXEC授權(quán)是指通過HWT

22、ACACS服務(wù)器對telnet、SSH和FTP登錄的管理用戶進(jìn)行權(quán)限控制。用戶授權(quán)是通過NAS和HWTACACS服務(wù)器交互授權(quán)報(bào)文中攜帶的HWTACACS屬性來完成信息傳遞的，HWTACACS屬性詳情可參考附錄。接入用戶授權(quán)可以給用戶下發(fā)上行/下行的CIR、上行/下行的PIR、IP地址、DNS地址等。管理用戶EXEC授權(quán)可以給管理用戶下發(fā)idle-time、privilege-level、ftp- directory、auto-cmd等屬性。idle-time屬性用于當(dāng)管理用戶登陸到設(shè)備后，在多長時(shí)間段沒有操作就將用戶連接切斷。privilege-level屬性是授權(quán)管理用戶的登陸級別。ftp

23、- directory屬性是授權(quán)FTP用戶的本地目錄。auto-cmd屬性是授權(quán)管理用戶登陸設(shè)備后，自動(dòng)執(zhí)行下發(fā)的指定命令行。HWTACACS支持不授權(quán)、本地授權(quán)及遠(yuǎn)端授權(quán)的組合授權(quán)，HWTACACS組合授權(quán)原理和HWTACACS組合認(rèn)證原理類似，如HWTACACS遠(yuǎn)端授權(quán)由于沒有響應(yīng)遠(yuǎn)端授權(quán)失敗后，可以跳轉(zhuǎn)到本地授權(quán)。l 管理用戶命令行授權(quán)HWTACACS可以對管理用戶進(jìn)行用戶級別授權(quán)和用戶命令行授權(quán)。telnet、SSH、FTP等管理用戶的級別權(quán)限分為0-訪問級，1-監(jiān)控級，2-系統(tǒng)級，3-管理級四個(gè)級別。管理級的權(quán)限最高，可以使用所有的命令；其他的級別越低，可以進(jìn)入的視圖及使用的命令行就

24、越少；高級別擁有低級別的命令行操作權(quán)限。訪問級只具有如ping、tracert網(wǎng)絡(luò)診斷和telnet、SSH訪問外部設(shè)備的權(quán)限；監(jiān)控級具有系統(tǒng)維護(hù)權(quán)限，如display等顯示查詢命令；系統(tǒng)級用戶具有業(yè)務(wù)配置命令權(quán)限；管理級具有最高權(quán)限，除了業(yè)務(wù)配置命令權(quán)限外，還擁有系統(tǒng)管理權(quán)限（如文件系統(tǒng)、FTP、TFTP下載）、用戶管理命令、命令級別設(shè)置命令、業(yè)務(wù)故障診斷的debugging命令等。雖然管理用戶可分為四個(gè)級別命令權(quán)限，每個(gè)級別的不同管理用戶都具有相同的命令操作權(quán)限，這樣應(yīng)用還不夠靈活，如果要想相同級別的管理用戶，也具有不同的命令行操作權(quán)限，可以通過命令行授權(quán)來實(shí)現(xiàn)。命令行授權(quán)是基于用戶級別對

25、每一條命令行逐條授權(quán)，即某一級別的用戶可以看到該級別的所有命令行，但只有授權(quán)通過后才可以執(zhí)行該命令，否則命令會(huì)執(zhí)行失敗。如圖3所示，首先在NAS設(shè)備上使能命令行授權(quán)功能，在HWTACACS服務(wù)器上創(chuàng)建授權(quán)命令行集，對需要授權(quán)的用戶綁定命令行授權(quán)集。管理用戶登陸到NAS設(shè)備上，如果該管理員對應(yīng)的用戶級別沒有設(shè)置命令行授權(quán)功能，按照正常處理，命令行立即執(zhí)行成功；如果已經(jīng)配置了命令行授權(quán)功能，它每配置一條命令都需要NAS向HWTACACS服務(wù)器發(fā)送命令行授權(quán)請求報(bào)文，HWTACACS服務(wù)器會(huì)查詢該管理用戶是否對此命令行已經(jīng)授權(quán)，若已經(jīng)授權(quán)則回應(yīng)授權(quán)成功，此命令在NAS上執(zhí)行成功；若沒有授權(quán)此命令則回

26、應(yīng)授權(quán)失敗，在NAS上執(zhí)行失敗。圖3 管理用戶命令行授權(quán)流程圖2.2.4 HWTACACS計(jì)費(fèi)l 接入用戶計(jì)費(fèi)接入用戶計(jì)費(fèi)是指對802.1x、Portal、PPP等普通用戶接入網(wǎng)絡(luò)的傳統(tǒng)意義的計(jì)費(fèi)。在用戶初始接入時(shí)發(fā)送開始計(jì)費(fèi)報(bào)文，用戶在線過程中定時(shí)發(fā)送實(shí)時(shí)計(jì)費(fèi)報(bào)文，用戶下線時(shí)發(fā)送結(jié)束計(jì)費(fèi)報(bào)文。HWTACACS協(xié)議計(jì)費(fèi)包括按時(shí)長計(jì)費(fèi)和按流量計(jì)費(fèi)兩種模式。按時(shí)長計(jì)費(fèi)是按照用戶在線的時(shí)間長短來計(jì)費(fèi)；按流量計(jì)費(fèi)是按照用戶上線使用的流量大小來計(jì)費(fèi)。l 管理用戶記錄審計(jì)如圖4所示，管理用戶跟普通接入用戶一樣，在用戶登陸設(shè)備開始可以發(fā)送計(jì)費(fèi)開始報(bào)文，退出登陸設(shè)備時(shí)發(fā)送計(jì)費(fèi)結(jié)束報(bào)文，在HWTACACS服務(wù)器

27、上記錄登陸開始時(shí)間和結(jié)束時(shí)間，即在HWTACACS服務(wù)器上記錄用戶登陸信息，但管理用戶通常不需要計(jì)費(fèi)，一般用于管理用戶登陸信息的記錄和審查。HWTACACS計(jì)費(fèi)報(bào)文可以在HWTACACS服務(wù)器上記錄兩種類型的管理用戶登陸信息，第一種是用戶通過Telnet或者FTP等方式登錄到NAS設(shè)備的場景；第二種是用戶將NAS設(shè)備作為Telnet或者FTP的客戶端登錄到遠(yuǎn)程服務(wù)器端的場景，用戶登陸NAS設(shè)備后，再輸入命令與遠(yuǎn)程服務(wù)器的建立連接并訪問遠(yuǎn)程主機(jī)上的文件。這兩種信息的登陸記錄通常稱為connection信息記錄。圖4 管理用戶connection信息記錄如圖5所示，HWTACACS計(jì)費(fèi)報(bào)文還可以發(fā)

28、送管理員在設(shè)備上配置的任何命令行，在HWTACACS服務(wù)器上記錄配置的命令行，此信息記錄通常稱為command記錄，可以為錯(cuò)誤配置導(dǎo)致業(yè)務(wù)受損提供歷史命令配置軌跡查詢；設(shè)備還支持通過發(fā)送HWTACACS計(jì)費(fèi)報(bào)文，在服務(wù)器上記錄系統(tǒng)級事件（如單板復(fù)位等），此信息記錄通常稱為system信息記錄，可以幫助管理員用戶根據(jù)服務(wù)器上的記錄信息進(jìn)行故障定位。圖5 管理用戶command記錄和system信息記錄3 應(yīng)用場景3.1 采用HWTACACS協(xié)議進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi) 組網(wǎng)需求如圖6所示，Switch對接入用戶先用HWTACACS服務(wù)器進(jìn)行認(rèn)證，如果認(rèn)證沒有響應(yīng)，再使用本地認(rèn)證；Switch對接入用

29、戶先用HWTACACS服務(wù)器進(jìn)行授權(quán)，如果授權(quán)沒有響應(yīng)，再使用本地授權(quán)；Switch對接入用戶采用HWTACACS計(jì)費(fèi)，對用戶進(jìn)行實(shí)時(shí)計(jì)費(fèi)，計(jì)費(fèi)間隔為3分鐘。HWTACACS主用服務(wù)器為6/24，備用服務(wù)器為7/24，服務(wù)器的認(rèn)證、授權(quán)和計(jì)費(fèi)端口號均為49。圖6 接入用戶HWTACACS認(rèn)證、授權(quán)和計(jì)費(fèi)的組網(wǎng) 操作步驟1、使能HWTACACS功能Switch hwtacacs enable2、配置HWTACACS服務(wù)器模板ht，HWTACACS主/備用認(rèn)證、授權(quán)、計(jì)費(fèi)服務(wù)器的IP地址和端口Switch hwtacacs-server template htS

30、witch-hwtacacs-ht hwtacacs-server authentication 6 49Switch-hwtacacs-ht hwtacacs-server authorization 6 49Switch-hwtacacs-ht hwtacacs-server accounting 6 49Switch-hwtacacs-ht hwtacacs-server authentication 7 49 secondarySwitch-hwtacacs-ht hwtacacs-server authoriza

31、tion 7 49 secondarySwitch-hwtacacs-ht hwtacacs-server accounting 7 49 secondary3、配置HWTACACS服務(wù)器密鑰Switch-hwtacacs-ht hwtacacs-server shared-key cipher Huawei2012Switch-hwtacacs-ht quit4、 配置認(rèn)證方案l-h，認(rèn)證模式為先進(jìn)行HWTACACS認(rèn)證，后進(jìn)行本地認(rèn)證Switch aaaSwitch-aaa authentication-scheme l-hSwitch-aaa-auth

32、en-l-h authentication-mode hwtacacs localSwitch-aaa-authen-l-h quit5、配置授權(quán)方案hwtacacs，授權(quán)模式為先進(jìn)行HWTACACS授權(quán)，后進(jìn)行本地授權(quán)Switch-aaa authorization-scheme hwtacacsSwitch-aaa-author-hwtacacs authorization-mode hwtacacs localSwitch-aaa-author-hwtacacs quit6、配置計(jì)費(fèi)方案hwtacacs，計(jì)費(fèi)模式為HWTACACS，并配置當(dāng)開始計(jì)費(fèi)失敗時(shí)，允許用戶上線Switch-aaa

33、 accounting-scheme hwtacacsSwitch-aaa-accounting-hwtacacs accounting-mode hwtacacsSwitch-aaa-accounting-hwtacacs accounting start-fail online7、配置實(shí)時(shí)計(jì)費(fèi)間隔為3分鐘Switch-aaa-accounting-hwtacacs accounting realtime 3Switch-aaa-accounting-hwtacacs quit8、配置huawei域，在域下采用l-h認(rèn)證方案、HWTACACS授權(quán)方案、HWTACACS計(jì)費(fèi)方案、ht的HWTA

34、CACS模板Switch-aaa domain huaweiSwitch-aaa-domain-huawei authentication-scheme l-hSwitch-aaa-domain-huawei authorization-scheme hwtacacsSwitch-aaa-domain-huawei accounting-scheme hwtacacsSwitch-aaa-domain-huawei hwtacacs-server htSwitch-aaa-domain-huawei quitSwitch-aaa quitSwitch quit3.2 命令行授權(quán) 組網(wǎng)需求如圖7

35、所示，Cisco Secure ACS Server采用TACACS+協(xié)議，華為交換機(jī)作為NAS和TACACS+服務(wù)器對接，采用ACS Server對命令行進(jìn)行授權(quán)。這邊使用系統(tǒng)視圖命令和OSPF命令舉例，已經(jīng)授權(quán)的命令行可執(zhí)行成功。當(dāng)管理員執(zhí)行沒有授權(quán)的命令行時(shí)，命令行是可見的，但不能執(zhí)行成功。圖7 HWTACACS遠(yuǎn)端服務(wù)器授權(quán)的組網(wǎng) 操作步驟1、 服務(wù)器端配置1）通過ACS服務(wù)器的User Setup添加用戶名和密碼，如圖8所示。圖8 HWTACACS服務(wù)器添加用戶名2）配置服務(wù)器對管理用戶進(jìn)行用戶級別授權(quán)，如圖9所示。圖9 HWTACACS服務(wù)器用戶級別授權(quán)3）配置NAS設(shè)備IP地址和

36、采用TACACS+認(rèn)證，如圖10所示。圖10 服務(wù)器上配置NAS地址和認(rèn)證方式4）編輯授權(quán)的命令行集合，只對system-view和OSPF命令授權(quán)，如圖11所示。圖11 HWTACACS服務(wù)器上編輯授權(quán)命令集合5）Group Setup中找到先前設(shè)置的命令行集合并綁定，提交和重啟服務(wù)，此時(shí)所有服務(wù)器上的設(shè)置就成功了，如圖12所示。圖12 HWTACACS服務(wù)器Group中綁定授權(quán)命令行集合2、 設(shè)備端配置1）配置認(rèn)證和授權(quán)服務(wù)器，并對用戶權(quán)限級別2的用戶進(jìn)行命令行授權(quán)。#hwtacacs-server template acs hwtacacs-server authentication 1

37、79hwtacacs-server authorization 79hwtacacs-server shared-key Huawei#aaaauthentication-scheme huawei authentication-mode hwtacacs # authorization-scheme huaweiauthorization-cmd 2 hwtacacs 對用戶優(yōu)先級為2的用戶進(jìn)行命令行授權(quán) authorization-mode hwtacacs#domain huawei authentication-scheme huawei

38、authorization-scheme huawei hwtacacs-server acs # user-interface vty 0 4 authentication-mode aaa user privilege level 15 不授權(quán)的時(shí)候，管理用戶登錄享有15級權(quán)限 idle-timeout 0 0# HUAWEIdis authorization-scheme huawei - Authorization-scheme-name : huawei Authorization-method : HWTACACS Authorization-method : Local Auth

39、orization-cmd level 0 : Disabled Authorization-cmd level 1 : Disabled Authorization-cmd level 2 : Enabled ( HWTACACS ) 對2級用戶HWTACACS命令行授權(quán) Authorization-cmd level 3 : Disabled Authorization-cmd level 4 : Disabled Authorization-cmd level 5 : Disabled Authorization-cmd level 6 : Disabled Authorization-

40、cmd level 7 : Disabled Authorization-cmd level 8 : Disabled Authorization-cmd level 9 : Disabled Authorization-cmd level 10 : Disabled Authorization-cmd level 11 : Disabled Authorization-cmd level 12 : Disabled Authorization-cmd level 13 : Disabled Authorization-cmd level 14 : Disabled Authorization

41、-cmd level 15 : Disabled Authorization-cmd no-response-policy : Online-2）對已授權(quán)的命令執(zhí)行成功，未授權(quán)的命令執(zhí)行失敗。Login authentication Username:testhuawei Password: Note: The max number of VTY users is 5, and the current number of VTY users on line is 4. display user-interface vty 3 Idx Type Tx/Rx Modem Privi ActualP

42、rivi Auth Int + 37 VTY 3 - 15 2 A - + : Current user-interface is active. F : Current user-interface is active and work in async mode. Idx : Absolute index of user-interface. Type : Type and relative index of user-interface. Privi: The privilege of user-interface. ActualPrivi: The actual privilege o

43、f user-interface. Auth : The authentication mode of user-interface. Int : The physical location of UIs. A: Authenticate use AAA. N: Current user-interface need not authentication. P: Authenticate use current UIs password. system-view 授權(quán)命令Enter system view, return user view with Ctrl+Z. HUAWEIospf 1

44、授權(quán)命令HUAWEI -ospf-1dis this 未授權(quán)命令Error: This command failed to pass the authorization.HUAWEI -ospf-1qHUAWEIisis 1 未授權(quán)命令Error: This command failed to pass the authorization.3.3 HWTACACS服務(wù)器上賬戶密碼修改和老化 組網(wǎng)需求如圖7所示，華為交換機(jī)作為NAS和Cisco Secure ACS Server服務(wù)器對接，在NAS上可以直接修改保存在服務(wù)器上的管理用戶密碼。服務(wù)器可以配置按時(shí)間密碼老化，或按次數(shù)密碼老化，這邊配

45、置了按次數(shù)密碼老化，登錄1次后告警，登錄2次時(shí)提示用戶修改密碼，也可以主動(dòng)修改管理用戶密碼。 操作步驟1、服務(wù)器端配置1）打開服務(wù)器端允許TELNET修改密碼功能在ACS服務(wù)器的System Configuration中選Local Password Management，如圖13所示。圖13 HWTACACS服務(wù)器選擇密碼管理在Local Password Management中，把Remote Change Password中去使能TELNET修改密碼的框勾掉，如圖14所示。圖14 HWTACACS服務(wù)器使能密碼修改功能2) 在組配置中找到Password Aging Rules，可以配置

46、按時(shí)間密碼老化，或按次數(shù)密碼老化，如圖15所示，配置了次數(shù)密碼老化。圖15 HWTACACS服務(wù)器密碼老化設(shè)置3) 把需要進(jìn)行密碼老化管理的testhuawei用戶加入上面的組，如圖16所示。圖16 HWTACACS服務(wù)器將用戶加入組設(shè)置2、設(shè)備端配置1) 配置認(rèn)證服務(wù)器#hwtacacs-server template acs hwtacacs-server authentication 79hwtacacs-server authorization 79 hwtacacs-server shared-key Huawei#2) 配置要密碼老化

47、的用戶所在的域，使用上面的服務(wù)器，hwtacacs認(rèn)證#aaaauthentication-scheme default authentication-scheme huawei authentication-mode hwtacacs # authorization-scheme default authorization-scheme huawei authorization-mode hwtacacs #accounting-scheme default #domain huawei authentication-scheme huawei authorization-scheme hu

48、awei hwtacacs-server acs # 3) Telnet登陸設(shè)備，密碼老化修改和主動(dòng)密碼修改Login authentication第一次登陸Username: testhuawei輸入當(dāng)前登陸用戶名Password:Warning: Your password will expire in 1 more loginsInfo: The max number of VTY users is 5, and the number of current VTY users on line is 1. Login authentication退出登陸頁面，再進(jìn)行第二次登陸Usernam

49、e: testhuawei輸入當(dāng)前登陸用戶名Password: 此處輸入當(dāng)前密碼Your password has expired.Enter a new one now.New Password: 由于密碼已經(jīng)老化，此處輸入需要修改的新密碼Re-enter New password: 此處再次確認(rèn)新輸入的密碼Warning: Password ChangedInfo: The max number of VTY users is 5, and the number of current VTY users on line is 1. hwtacacs-user change-password hwtacacs-server acs 主動(dòng)修改密碼Info: EXEC is in an interactive process, please wait.Username: testhuawei 輸入當(dāng)前登陸用戶名Old Password: