《DLink认证参考资料》第八讲 安全配置

安全配置

安全配置

目录 目录 第1章AAA配置… 11AAA概述 111AAA安全服务 112使用AAA的优点 1.1.3AAA基本原理 1.14AAA认证方法列表 222 12AAA配置过程 121AAA配置过程概览 122配置任务相关文档 13AAA认证配置任务列表 14AAA认证配置任务 14.1使用AAA配置登录认证 142使用AAA进行PPP认证… 14.3在进入特权级别时开启口令保护 144改变提示输入口令时的字符串 14.5建立本地认证数据库 15AAA认证配置示例 第2章 RADIUS配置 21概述 211 RADIUS概述 2.12 RADIUS协议操作 22 RADIUS配置步骤 23 RADIUS配置任务列表 445578990222333444 24 RADIUS配置任务 241配置路由器与 RADIUS服务器的通信 242使用厂商专用的 RADIUS属性配置路由器 243配置 RADIUS认证 244配置 RADIUS授权 245配置 RADIUS记录 25 RADIUS配置示例.… 251RAD|US认证和授权示例 252AAA中应用 RADIUS示例 第3章 TACACS+配置. 31 TACACS+概述 311 TACACS+的协议操作 567718 3.2 TACACS+配置流程

目录 目 录 第 1 章 AAA 配置 ............................................................................................................................................................. 1 1.1 AAA 概述.............................................................................................................................................................. 1 1.1.1 AAA 安全服务......................................................................................................................................... 1 1.1.2 使用 AAA 的优点.................................................................................................................................. 2 1.1.3 AAA 基本原理......................................................................................................................................... 2 1.1.4 AAA 认证方法列表................................................................................................................................ 2 1.2 AAA 配置过程..................................................................................................................................................... 4 1.2.1 AAA 配置过程概览................................................................................................................................ 4 1.2.2 配置任务相关文档.............................................................................................................................. 4 1.3 AAA 认证配置任务列表 ................................................................................................................................... 4 1.4 AAA 认证配置任务............................................................................................................................................ 5 1.4.1 使用 AAA 配置登录认证..................................................................................................................... 5 1.4.2 使用 AAA 进行 PPP 认证.................................................................................................................... 7 1.4.3 在进入特权级别时开启口令保护.................................................................................................... 8 1.4.4 改变提示输入口令时的字符串........................................................................................................ 9 1.4.5 建立本地认证数据库.......................................................................................................................... 9 1.5 AAA 认证配置示例.......................................................................................................................................... 10 第 2 章 RADIUS 配置..................................................................................................................................................... 12 2.1 概述................................................................................................................................................................... 12 2.1.1 RADIUS 概述......................................................................................................................................... 12 2.1.2 RADIUS 协议操作................................................................................................................................ 13 2.2 RADIUS 配置步骤............................................................................................................................................ 13 2.3 RADIUS 配置任务列表 ................................................................................................................................... 13 2.4 RADIUS 配置任务............................................................................................................................................ 14 2.4.1 配置路由器与 RADIUS 服务器的通信........................................................................................... 14 2.4.2 使用厂商专用的 RADIUS 属性配置路由器.................................................................................. 14 2.4.3 配置 RADIUS 认证.............................................................................................................................. 15 2.4.4 配置 RADIUS 授权.............................................................................................................................. 15 2.4.5 配置 RADIUS 记录.............................................................................................................................. 15 2.5 RADIUS 配置示例............................................................................................................................................ 15 2.5.1 RADIUS 认证和授权示例................................................................................................................... 15 2.5.2 AAA 中应用 RADIUS 示例 .................................................................................................................. 16 第 3 章 TACACS+配置................................................................................................................................................... 17 3.1 TACACS+概述 ................................................................................................................................................... 17 3.1.1 TACACS+的协议操作.......................................................................................................................... 17 3.2 TACACS+配置流程........................................................................................................................................... 18 - I -

目录 33 TACACS+配置任务列表 34 TACACS+配置任务 341指定 TACACS+服务器 342设置 TACACS+加密密钥… 343指定使用 TACACS+进行认证 344指定使用 TACACS+进行授权 345指定使用 TACACS+进行记录 35 TACACS+配置示例 351 TACACS+认证示例 89999000014 352 TACACS+授权示例 353 TACACS+记录示例 第4章|PSec配置 4.1|PSec概述… 4.11支持的标准 4.12术语 4.13限制 4.14|PSec工作过程概述 4.15PSec嵌套 42|PSec配置任务列表 4.3|PSec配置任务 4.31确保访问列表和PSec相兼容 4.32创建加密访问列表 4.33加密访问列表技巧 434在加密访问列表中使用ay关键字 4.35定义变换集合 5266674780 4.36创建加密映射表 4.37应该建立多少个加密映射表… 4.38创建手工方式的加密映射表 4.39创建使用KE的加密映射表 4.310将加密映射表集合应用于接口 44|PSec配置示例… 第5章配置 Internet密钥交换安全协议 51概述 333 511KE概要 512支持的标准 513术语 52KE配置任务列表 53|KE配置任务 531确保访问列表与KE兼容. 532创建‖E策略 444447 533配置预共享密钥

目录 3.3 TACACS+配置任务列表.................................................................................................................................. 18 3.4 TACACS+配置任务........................................................................................................................................... 19 3.4.1 指定 TACACS+服务器........................................................................................................................ 19 3.4.2 设置 TACACS+加密密钥 ................................................................................................................... 19 3.4.3 指定使用 TACACS+进行认证........................................................................................................... 19 3.4.4 指定使用 TACACS+进行授权........................................................................................................... 20 3.4.5 指定使用 TACACS+进行记录........................................................................................................... 20 3.5 TACACS+配置示例........................................................................................................................................... 20 3.5.1 TACACS+认证示例 .............................................................................................................................. 20 3.5.2 TACACS+授权示例 .............................................................................................................................. 21 3.5.3 TACACS+记录示例 .............................................................................................................................. 21 第 4 章 IPSec 配置......................................................................................................................................................... 23 4.1 IPSec 概述......................................................................................................................................................... 23 4.1.1 支持的标准......................................................................................................................................... 23 4.1.2 术语 ...................................................................................................................................................... 24 4.1.3 限制 ...................................................................................................................................................... 24 4.1.4 IPSec 工作过程概述 ........................................................................................................................... 24 4.1.5 IPSec 嵌套............................................................................................................................................. 25 4.2 IPSec 配置任务列表 ....................................................................................................................................... 26 4.3 IPSec 配置任务................................................................................................................................................ 26 4.3.1 确保访问列表和 IPSec 相兼容 ....................................................................................................... 26 4.3.2 创建加密访问列表............................................................................................................................ 26 4.3.3 加密访问列表技巧............................................................................................................................ 27 4.3.4 在加密访问列表中使用 any 关键字.............................................................................................. 27 4.3.5 定义变换集合..................................................................................................................................... 27 4.3.6 创建加密映射表 ................................................................................................................................ 28 4.3.7 应该建立多少个加密映射表 .......................................................................................................... 29 4.3.8 创建手工方式的加密映射表 .......................................................................................................... 30 4.3.9 创建使用 IKE 的加密映射表 ........................................................................................................... 30 4.3.10 将加密映射表集合应用于接口.................................................................................................... 31 4.4 IPSec 配置示例................................................................................................................................................ 31 第 5 章 配置 Internet 密钥交换安全协议 .................................................................................................................. 33 5.1 概述................................................................................................................................................................... 33 5.1.1 IKE 概要................................................................................................................................................. 33 5.1.2 支持的标准......................................................................................................................................... 33 5.1.3 术语 ...................................................................................................................................................... 34 5.2 IKE 配置任务列表 ........................................................................................................................................... 34 5.3 IKE 配置任务.................................................................................................................................................... 34 5.3.1 确保访问列表与 IKE 兼容................................................................................................................ 34 5.3.2 创建 IKE 策略...................................................................................................................................... 34 5.3.3 配置预共享密钥 ................................................................................................................................ 37 - II -

目录 534清除‖KE连接(可选) 535KE诊断(可选) 54|KE配置示例 第6章Web认证配置 61概述 39 6.11理解Web认证 61.2规划web认证 62配置web认证 621全局配置 622接口配置 623使能web认证… 63监控和维护web认证 631查看全局配置 632查看接口配置 444 633查看用户状态 634强行踢出用户 64web认证配置示例 641外置 DHCP Server web认证配置 455书 642内置 DHCP Server web认证配置

目录 5.3.4 清除 IKE 连接（可选）.................................................................................................................... 37 5.3.5 IKE 诊断（可选）............................................................................................................................... 37 5.4 IKE 配置示例.................................................................................................................................................... 38 第 6 章 Web 认证配置 .................................................................................................................................................. 39 6.1 概述................................................................................................................................................................... 39 6.1.1 理解 Web 认证.................................................................................................................................... 39 6.1.2 规划 web 认证..................................................................................................................................... 41 6.2 配置 web 认证................................................................................................................................................. 42 6.2.1 全局配置.............................................................................................................................................. 42 6.2.2 接口配置.............................................................................................................................................. 43 6.2.3 使能 web 认证..................................................................................................................................... 43 6.3 监控和维护 web 认证.................................................................................................................................... 44 6.3.1 查看全局配置..................................................................................................................................... 44 6.3.2 查看接口配置..................................................................................................................................... 44 6.3.3 查看用户状态..................................................................................................................................... 44 6.3.4 强行踢出用户..................................................................................................................................... 44 6.4 web 认证配置示例 .......................................................................................................................................... 45 6.4.1 外置 DHCP Server web 认证配置 ..................................................................................................... 45 6.4.2 内置 DHCP Server web 认证配置 ..................................................................................................... 46 - III -

08-安全配置 第1章AAA配置 11AAA概述 访问控制是用来控制接入路由器或网络访问服务器(NAS)的用户,并限制他们可使用 的服务种类。提供认证、授权和记录( Authentication, Authorization, Accounting)功 能,以提高网络安全性能。 1.1.1AAA安全服务 AAA是使用相同方式配置三种独立的安全功能的一种体系结构。它提供了完成下列服务 的模块化方法 认证( Authentication)—提供一种识别用户的方法,包括用户名和口令的询问, 以及根据所选择的安全协议进行加密。 认证是接受用户访问请求和提供网络服务之前识别他们身份的方法。通过定义一张 命名的认证方法列表来对AAA认证进行配置,然后应用该列表于各种接口。方法 列表定义了所执行的认证的类型和它们执行的次序;任何定义的认证方法执行之前 都必须应用在具体的接口上。唯一的例外是缺省方法列表(其名称为 default)。如 果没有定义其它方法列表,缺省方法列表自动应用于所有接口。定义任何方法列表 将覆盖缺省方法列表。有关所有认证的配置方法的详细资料,请参见“认证配置” 授权( Authorization)—提供一种远程访问控制的方法,用于限制用户的服务权 AAA授权通过相对于该用户的一组属性来发挥作用,这些属性描述了用户被授予 哪些权限。将这些属性与包括在数据库中某个特定用户的信息相比较,结果返回给 AA,以确定该用户的实际权限。这个数据库可以位于所访问的本地服务器或路由 器,或者位于远程 RADIUS或 TACACS+安全服务器。像 RADIUS和 TACACS+ 这样的远程安全服务器,通过与用户相联系的属性值(AV)对( Attribute-Value Pairs)来完成对用户的授权,属性值(A)对定义了允许授予的权限。所有的授 权方法必须通过AAA定义。与认证一样,首先要定义一个授权方法列表,然后在 各种接口中应用该列表。有关使用AAA进行授权配置的详细情况,请参见“授权配 记录( Accounting)——提供一种收集用户服务信息,并发送给安全服务器的方法, 这些信息可用于开列帐单、审计和形成报表,如用户标识、开始时间和停止时间、 执行的命令、数据包的数量以及字节数。 记录功能不仅可以跟踪用户访问的服务,同时还可以跟踪他们消耗的网络资源数 量。当激活AAA记录功能时,网络访问服务器以记录的形式向 TACACS+或 RADIUS安全服务器报告用户的活动。每条记录包括记录属性值(AV)对,存储 在安全服务器上。这些数据可用于网络管理、客户帐单或审计分析。与认证和授权 样,要先定义一个记录方法列表,然后在不同的接口中使用这张表。有关使用 AAA进行记录配置的详细材料,请参见“记录配置

08-安全配置 第1章 AAA 配置 1.1 AAA概述 访问控制是用来控制接入路由器或网络访问服务器（NAS）的用户，并限制他们可使用 的服务种类。提供认证、授权和记录（Authentication，Authorization，Accounting）功 能，以提高网络安全性能。 1.1.1 AAA 安全服务 AAA 是使用相同方式配置三种独立的安全功能的一种体系结构。它提供了完成下列服务 的模块化方法： z 认证（Authentication）——提供一种识别用户的方法，包括用户名和口令的询问， 以及根据所选择的安全协议进行加密。 认证是接受用户访问请求和提供网络服务之前识别他们身份的方法。通过定义一张 命名的认证方法列表来对 AAA 认证进行配置，然后应用该列表于各种接口。方法 列表定义了所执行的认证的类型和它们执行的次序；任何定义的认证方法执行之前 都必须应用在具体的接口上。唯一的例外是缺省方法列表（其名称为 default）。如 果没有定义其它方法列表，缺省方法列表自动应用于所有接口。定义任何方法列表 将覆盖缺省方法列表。有关所有认证的配置方法的详细资料，请参见“认证配置”。 z 授权（Authorization）——提供一种远程访问控制的方法，用于限制用户的服务权 限。 AAA 授权通过相对于该用户的一组属性来发挥作用，这些属性描述了用户被授予 哪些权限。将这些属性与包括在数据库中某个特定用户的信息相比较，结果返回给 AAA，以确定该用户的实际权限。这个数据库可以位于所访问的本地服务器或路由 器，或者位于远程 RADIUS 或 TACACS+安全服务器。像 RADIUS 和 TACACS+ 这样的远程安全服务器，通过与用户相联系的属性值（AV）对（Attribute-Value Pairs）来完成对用户的授权，属性值（AV）对定义了允许授予的权限。所有的授 权方法必须通过 AAA 定义。与认证一样，首先要定义一个授权方法列表，然后在 各种接口中应用该列表。有关使用 AAA 进行授权配置的详细情况，请参见“授权配 置”。 z 记录（Accounting）——提供一种收集用户服务信息，并发送给安全服务器的方法， 这些信息可用于开列帐单、审计和形成报表，如用户标识、开始时间和停止时间、 执行的命令、数据包的数量以及字节数。 记录功能不仅可以跟踪用户访问的服务，同时还可以跟踪他们消耗的网络资源数 量。当激活 AAA 记录功能时，网络访问服务器以记录的形式向 TACACS+或 RADIUS 安全服务器报告用户的活动。每条记录包括记录属性值（AV）对，存储 在安全服务器上。这些数据可用于网络管理、客户帐单或审计分析。与认证和授权 一样，要先定义一个记录方法列表，然后在不同的接口中使用这张表。有关使用 AAA 进行记录配置的详细材料，请参见“记录配置”。 - 1 -