對(duì)外測試手冊(cè)-修改后h3c s5560產(chǎn)品tacacs

1、文檔名稱H3C S5560產(chǎn)品對(duì)外測試手冊(cè)文檔密級(jí) DATE yyyy-MM-dd 2014-11-102014-10-26H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第頁概述被測設(shè)備概述S5560EI系列是為加強(qiáng)競爭力和成本優(yōu)勢而研發(fā)的一款三層GE交換機(jī)，產(chǎn)品將包含8款交付件(S5560-30S-EI/S5560-54S-EI/S5560-30C-EI/S5560-54C-EI/S5560-30C-PWR-EI/S5560-54C-PWR-EI/S5560-54QS-EI/S5560-30F-EI），全系列支持4SFP+上行，同時(shí)支持QSFP+的高帶寬堆疊，是對(duì)現(xiàn)有5500EI產(chǎn)品的升級(jí)替代。除軟件特性覆蓋

2、支持外，硬件上CPU/內(nèi)存性能提升，提供更大的硬件表項(xiàng)支持和大BUFFER，提供出方向ACL表項(xiàng)支持，同時(shí)支持可插拔雙電源。產(chǎn)品將滿足運(yùn)營商/數(shù)據(jù)中心/園區(qū)/企業(yè)網(wǎng)的各類應(yīng)用要求。H3C S5820v2&S5830v2系列交換機(jī)是華三公司自主開發(fā)的全萬兆以太網(wǎng)交換機(jī)產(chǎn)品，定位為數(shù)據(jù)中心接入和匯聚，同時(shí)支持IPv4和IPv6雙棧，可為客戶提供豐富的業(yè)務(wù)特性和路由功能，支持FCoE特性和40G端口，適用于數(shù)據(jù)中心服務(wù)器群的連接。測試內(nèi)容概述本文重點(diǎn)講述H3C S5820V2&S5830V2560系列交換機(jī)在TACACS方面的對(duì)外測試用例。具體的測試內(nèi)容包括：HWTACACS認(rèn)證功能。TACACS測

3、試項(xiàng)目特性簡述用戶的訪問認(rèn)證包含本地認(rèn)證、RADIUS認(rèn)證和TACACS認(rèn)證，本手冊(cè)側(cè)重介紹TACACS認(rèn)證，RADIUS認(rèn)證請(qǐng)參見對(duì)外測試手冊(cè)H3C S5820V2&S5830V2 560產(chǎn)品對(duì)外測試手冊(cè)（RADIUS）.doc。HWTACACS 安全協(xié)議是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的一種安全協(xié)議。該協(xié)議與RADIUS 協(xié)議類似，主要是通過Server-Client 模式實(shí)現(xiàn)多種用戶的AAA 功能，可用于接入用戶及l(fā)ogin 用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。與RADIUS 相比，HWTACACS 具有更加可靠的傳輸和加密特性，更加適合于安全控制。測試環(huán)境測試環(huán)境軟硬件配置T

4、ACACS測試環(huán)境軟硬件配置表設(shè)備或軟件名稱描述數(shù)量支持TACACS服務(wù)的Server安裝IAS服務(wù)或Cisco ACS軟件1LSWA被測設(shè)備1PC作為認(rèn)證客戶端2測試組網(wǎng)圖 TACACS測試組網(wǎng)圖測試項(xiàng)目列表TACACS測試項(xiàng)目清單項(xiàng)目編號(hào)測試項(xiàng)目測試子項(xiàng)目編號(hào)測試子項(xiàng)目測試結(jié)果T01TACACS功能驗(yàn)證T01-01TACACS認(rèn)證功能測試OK POK NG NT測試結(jié)果表示方式：OK：測試結(jié)果全部正確POK：測試結(jié)果大部分正確NG：測試結(jié)果有較大的錯(cuò)誤NT：由于各種原因本次無法測試測試方法及步驟HWTACACS功能驗(yàn)證HWTACACS認(rèn)證功能測試測試目的HWTACACS認(rèn)證功能測試遵循標(biāo)準(zhǔn)

5、無測試設(shè)計(jì)驗(yàn)證交換機(jī)HWTACACS 正常工作測試條件見測試連接圖1。配置Telnet用戶通過HWTACACS認(rèn)證，遠(yuǎn)端TACACS服務(wù)器地址為61.0.0.100，認(rèn)證、授權(quán)、計(jì)費(fèi)都采用這一臺(tái)服務(wù)器；交換機(jī)LSWA與認(rèn)證、授權(quán)、計(jì)費(fèi)TACACS服務(wù)器交互報(bào)文時(shí)的加密密碼為“expert”，設(shè)置交換機(jī)從用戶名中去除用戶域名后再將之傳給TACACS服務(wù)器。測試過程配置使能Telnet服務(wù)。 system-viewLSWA telnet server enable 配置Telnet用戶采用遠(yuǎn)端認(rèn)證方式。LSWA user-interface vty 0 15line vty 0 63LSWA-ui

6、-vty0-15LSWA-line-vty0-63 authentication-mode scheme使能缺省用戶角色授權(quán)功能，使得認(rèn)證通過后的用戶具有缺省的用戶角色。LSWA role default-role enable配置HWTACACS 方案，并配置與認(rèn)證、授權(quán)、計(jì)費(fèi)服務(wù)器交互報(bào)文時(shí)的共享密鑰均為明文expert。LSWAhwtacacs scheme exampleLSWA-hwtacacs-example primary authentication 61.0.0.100LSWA-hwtacacs-example primary authorization 61.0.0.100

7、LSWA-hwtacacs-example primary accounting 61.0.0.100LSWA-hwtacacs-example key authentication simple expertLSWA-hwtacacs-example key authorization simple expertLSWA-hwtacacs-example key accounting simple expertLSWA-hwtacacs-example user-name-format without-domainLSWA-hwtacacs-example quit創(chuàng)建配置ISP域examp

8、le，并為該域配置的AAA方案。LSWAdomain exampleLSWA-isp-example authentication login hwtacacs-scheme exampleLSWA-isp-exampleauthorization login hwtacacs-scheme exampleLSWA-isp-exampleaccounting login hwtacacs-scheme exampleLSWA-isp-examplequit將域example配置為系統(tǒng)創(chuàng)建缺省的用戶域example：LSWA domain default enable example正確配置服務(wù)器和客戶端的用戶名、密碼。HostA、HostB作為client，使用正確用戶名、密碼登錄到交換機(jī)（NAS），得到結(jié)果1。HostA、HostB作為client，使用錯(cuò)誤用戶名、密碼登錄到交換機(jī)（NAS），得到結(jié)果2。預(yù)期結(jié)果HostA、HostB 作為client，成功登錄到交換機(jī)HostA、HostB 作為client，不能登錄到交換機(jī)其它說明和注意事項(xiàng)檢查設(shè)備與TACACS服務(wù)器的共享密鑰，并確保兩端一致；認(rèn)證通過后的用戶