《DLink认证参考资料》第八讲 安全配置

08-安全配置 1.1.2使用AAA的优点 AAA提供了如下优点 灵活性和易于控制 方便升级 标准化的认证方法,如 RADIUS、 TACACS+ ●多重备用系统 1.1.3AAA基本原理 AAA用来动态配置基于每条线路(每个用户)或者每项服务(例如,|P、|PX或VPDN) 的认证和授权类型。通过创建方法列表定义认证和授权的类型,然后把这些方法列表应 用到具体服务或接口上 1.14AAA认证方法列表 要对认证进行配置,首先定义一个命名的认证方法列表,然后在不同的端口上应用这张 列表。该方法列表定义了所要执行的认证类型,以及他们将被执行的次序:所定义的任 何认证方法列表在被执行之前,必须应用于某一个具体的端口。唯一例外的是缺省方法 列表( default)。缺省方法列表自动的应用于所有的接口。除非该端口明确引用了其他方 法列表,这时此方法列表将替代缺省方法列表 方法列表是认证用户时需要顺序查询的认证方法的表格。在方法列表中可以指派一个或 多个安全协议。因此确保了万一最初的方法失败后有一个备用的认证系统。本公司路由 器软件使用方法列表中的第一个认证方法鉴别用户;如果该方法没有反应,则会选择方 法列表中的下一个认证方法。这一个过程一直进行下去,直至所列的某个方法成功的进 行认证,或者所有的方法用完为止。 注意到这一点是很重要的,即本公司路由器软件仅仅在前面的方法没有反应时,才尝试 使用列在后面的认证方法进行认证。如果认证在这个过程中的任何一点上失败了,即安 全服务器或是本地用户数据库的反应是拒绝用户访问,则认证过程停止,并且不再尝试 其他的认证方法。 下图显示了一个很有代表性的AAA网络配置,包含四个安全服务器R1和R2是 RADIUS 服务器,T1和T2是 TACACS+服务器

08-安全配置 1.1.2 使用 AAA 的优点 AAA 提供了如下优点： z 灵活性和易于控制 z 方便升级 z 标准化的认证方法，如 RADIUS、TACACS+ z 多重备用系统 1.1.3 AAA 基本原理 AAA 用来动态配置基于每条线路（每个用户）或者每项服务（例如，IP、IPX 或 VPDN） 的认证和授权类型。通过创建方法列表定义认证和授权的类型，然后把这些方法列表应 用到具体服务或接口上。 1.1.4 AAA 认证方法列表 要对认证进行配置，首先定义一个命名的认证方法列表，然后在不同的端口上应用这张 列表。该方法列表定义了所要执行的认证类型，以及他们将被执行的次序；所定义的任 何认证方法列表在被执行之前，必须应用于某一个具体的端口。唯一例外的是缺省方法 列表（default）。缺省方法列表自动的应用于所有的接口。除非该端口明确引用了其他方 法列表，这时此方法列表将替代缺省方法列表。 方法列表是认证用户时需要顺序查询的认证方法的表格。在方法列表中可以指派一个或 多个安全协议。因此确保了万一最初的方法失败后有一个备用的认证系统。本公司路由 器软件使用方法列表中的第一个认证方法鉴别用户；如果该方法没有反应，则会选择方 法列表中的下一个认证方法。这一个过程一直进行下去，直至所列的某个方法成功的进 行认证，或者所有的方法用完为止。 注意到这一点是很重要的，即本公司路由器软件仅仅在前面的方法没有反应时，才尝试 使用列在后面的认证方法进行认证。如果认证在这个过程中的任何一点上失败了，即安 全服务器或是本地用户数据库的反应是拒绝用户访问，则认证过程停止，并且不再尝试 其他的认证方法。 下图显示了一个很有代表性的 AAA 网络配置，包含四个安全服务器，R1 和 R2 是 RADIUS 服务器，T1 和 T2 是 TACACS＋服务器。 - 2 -

08-安全配置 R白RADs R29 RADIUS T白 TACACS Workstation 图1-1AAA网络配置示意图 假设系统管理员决定,在其安全方案中所有的接口使用同样的认证方法来认证基于PP 协议的连接:首先接通了R1来了解有关认证信息,如果R1没有反应,接通R2,如果 R2仍没有反应,接通T1,如果T1也没有反应,接通T2,如果所有指派的服务器都没 有反应,认证工作就落在访问服务器本身的本地用户名数据库上。要实现这一点,系统 管理员应该输入下面的命令创建一张缺省的方法列表: aaa authentication ppp default radius local 本例中, default是方法列表的名称,包括在方法列表中的协议以及他们将被查询的次序 列在方法列表名称后面。缺省列表自动的应用于所有的接口 当远程用户试图通过拨号进入网络时,网络访问服务器首先在R1上查询有关的认证信 息,如果鉴别该用户合法,他就发一条PASS应答给网络访问服务器,从而允许用户访 问服务器。如果R1返回一条FAL应答,则该用户被拒绝访问,本次对话结束。如果R1 没有反应,网络访问服务器将其当成一次错误,并且在R2上查阅有关的认证信息。这种 模式在剩下的方法中一直进行下去,直到该用户被接受或者被拒绝、或者本次对话结束 为止。 记住这一条是很重要的,即FAL应答与 ERROR应答是截然不同的两个东西,FAL意 味着用户没有满足包含在认证数据库中要认证成功所需的标准。认证以FAL应答结束。 ERROR意味着该安全服务器对认证查询没有应答。仅仅当AAA检测到 ERROR应答时, 他才选择定义在认证方法链表中的下一个认证方法。 假设系统管理员想将方法列表仅仅应用于某个或某种特定的端口。在这种情况下,系统 管理员应当创建一个非缺省的方法列表,然后把这个命名的列表应用到适当的端口上。 下面的实例演示了系统管理员如何实现某个认证方法只应用异步端口的过程 aaa authentication ppp default radius local aaa authentication ppp async radius tacacs+ local none interface async 0/0 ppp authentication chap async 在这个例子中, async0是方法列表的名称,包括在这个方法列表中的认证协议依次列在 他的后面,他们将有可能被依次使用。创建好方法列表后,将列表应用到合适的端口上 注意, aaa authentication命令中的方法名称必须与 ppp authentication命令中的方法列 表名称相匹配

08-安全配置 图 1-1 AAA 网络配置示意图 假设系统管理员决定，在其安全方案中所有的接口使用同样的认证方法来认证基于 PPP 协议的连接：首先接通了 R1 来了解有关认证信息，如果 R1 没有反应，接通 R2，如果 R2 仍没有反应，接通 T1，如果 T1 也没有反应，接通 T2，如果所有指派的服务器都没 有反应，认证工作就落在访问服务器本身的本地用户名数据库上。要实现这一点，系统 管理员应该输入下面的命令,创建一张缺省的方法列表：aaa authentication ppp default radius local。 本例中，default 是方法列表的名称，包括在方法列表中的协议以及他们将被查询的次序 列在方法列表名称后面。缺省列表自动的应用于所有的接口。 当远程用户试图通过拨号进入网络时，网络访问服务器首先在 R1 上查询有关的认证信 息，如果鉴别该用户合法，他就发一条 PASS 应答给网络访问服务器，从而允许用户访 问服务器。如果 R1 返回一条 FAIL 应答，则该用户被拒绝访问，本次对话结束。如果 R1 没有反应，网络访问服务器将其当成一次错误，并且在 R2 上查阅有关的认证信息。这种 模式在剩下的方法中一直进行下去，直到该用户被接受或者被拒绝、或者本次对话结束 为止。 记住这一条是很重要的，即 FAIL 应答与 ERROR 应答是截然不同的两个东西，FAIL 意 味着用户没有满足包含在认证数据库中要认证成功所需的标准。认证以 FAIL 应答结束。 ERROR 意味着该安全服务器对认证查询没有应答。仅仅当 AAA 检测到 ERROR 应答时， 他才选择定义在认证方法链表中的下一个认证方法。 假设系统管理员想将方法列表仅仅应用于某个或某种特定的端口。在这种情况下，系统 管理员应当创建一个非缺省的方法列表，然后把这个命名的列表应用到适当的端口上。 下面的实例演示了系统管理员如何实现某个认证方法只应用异步端口的过程： aaa authentication ppp default radius local aaa authentication ppp async0 radius tacacs+ local none interface async 0/0 ppp authentication chap async0 在这个例子中，async0 是方法列表的名称，包括在这个方法列表中的认证协议依次列在 他的后面，他们将有可能被依次使用。创建好方法列表后，将列表应用到合适的端口上。 注意，aaa authentication 命令中的方法名称必须与 ppp authentication 命令中的方法列 表名称相匹配。 - 3 -

08-安全配置 1.2AAA配置过程 首先,必须决定想要实现何种类型的安全方案。用户需要评估自己网络中的安全风险, 并且确定合适的方法来阻止未经授权的登录和攻击。 1.2.1AAA配置过程概览 在明白了配置所涉及的基本过程后,配置AAA就相对简单了。在本公司路由器或访问服 务器上使用AAA进行安全配置,遵循如下步骤: 如果决定使用安全服务器,则先配置安全协议参数,如 RADIUS, TACACS+。 使用命令 aaa authentication定义用于认证的方法列表。 如果需要的话,把该方法列表应用到某个具体的接口或线路上 使用命令 aaa authorization进行授权配置(可选) 使用命令 aaa accounting进行记录配置(可选) 1.22配置任务相关文档 下表说明了AAA配置任务以及在何处查找更多的资料 表1-1任务与文档 进一步配置任务 参考资料 配置本地登录认证。 认证配置 使用安全服务器控制登录认证 认证配置。 定义用于认证的方法列表 认证配置 把方法列表应用到具体接口或线路上。 认证配置。 配置 RADIUS协议参数 配置RAD|Us 配置 TACACS+协议参数 配置 TACACS+。 1.3AAA认证配置任务列表 ●使用AAA配置登录认证 使用AAA进行PPP认证 在进入特权级别时开启口令保护 改变提示输入口令时的字符串 ●建立本地用户名认证数据库

08-安全配置 1.2 AAA配置过程 首先，必须决定想要实现何种类型的安全方案。用户需要评估自己网络中的安全风险， 并且确定合适的方法来阻止未经授权的登录和攻击。 1.2.1 AAA 配置过程概览 在明白了配置所涉及的基本过程后，配置 AAA 就相对简单了。在本公司路由器或访问服 务器上使用 AAA 进行安全配置，遵循如下步骤： z 如果决定使用安全服务器，则先配置安全协议参数，如 RADIUS，TACACS+。 z 使用命令 aaa authentication 定义用于认证的方法列表。 z 如果需要的话，把该方法列表应用到某个具体的接口或线路上 z 使用命令 aaa authorization 进行授权配置（可选）。 z 使用命令 aaa accounting 进行记录配置（可选）。 1.2.2 配置任务相关文档 下表说明了 AAA 配置任务以及在何处查找更多的资料。 表 1-1 任务与文档 进一步配置任务 参考资料 配置本地登录认证。 认证配置。 使用安全服务器控制登录认证。 认证配置。 定义用于认证的方法列表。 认证配置。 把方法列表应用到具体接口或线路上。 认证配置。 配置RADIUS协议参数。 配置RADIUS。 配置TACACS+协议参数。 配置TACACS+。 1.3 AAA认证配置任务列表 z 使用 AAA 配置登录认证 z 使用 AAA 进行 PPP 认证 z 在进入特权级别时开启口令保护 z 改变提示输入口令时的字符串 z 建立本地用户名认证数据库 - 4 -

08-安全配置 14AAA认证配置任务 AAA认证的一般配置过程 要配置AAA认证,需要完成下列配置过程 (1)如果使用的是安全服务器,配置安全协议参数,如 RADIUS、 TACACS+。具体配 置方法参见相应章节。 (2)使用 aaa authentication命令定义认证方法列表。 3)如果需要的话,把方法列表应用到特定的端口或是线路上 141使用AAA配置登录认证 AAA安全服务使得使用各种认证方法变得更容易了,不论决定使用哪种登录方法,都使 用 aaa authentication命令开启AAA认证。在 aaa authentication login命令中,创建 张或是多张认证方法的列表,这些列表在登录时使用。使用线路配置命令 login authentication来应用这些列表。配置时,从全局配置模式开始,使用如下命令: 命令 目的 a authentication login default I 创建全局认证列表 line aux| console tty| vty] line-number\进入某个线路的配置状态。 [ending-line-number login authentication{ default list-name|应用该认证列表于某条或是某几个线路上 关键字 list-name是用来命名所创建的列表的任何字符串。关键字 method指定认证过程 所采用的实际方法。仅当前面所用的方法返回认证错误时,才会使用其他的认证方法 如果前面的方法指明认证失败了,则不再使用其他的认证方法。如果要指定即使所有的 方法都返回认证错误仍能成功登录,只要在命令行中指定none作为最后一个认证方法。 例如:即使 TACACS+服务返回错误仍能认证成功,可用下面的命令行 aaa authentication login default tacacs+ none 使用 default参数可建立一个缺省的列表,缺省列表自动的应用于所有的接口。例如:指 定 RADIUS作为用户登录时的缺省认证方式,使用下面的命令: aa authentication login default radius 注意: 由于关键字none使得登录的任何用户都可成功的通过认证,所以应当将该关键字作为备 用的认证方法。 下表列出了目前支持的登录认证方式: 关键字 说明 使用 enable口令进行认证 group 使用服务器组进行认证

08-安全配置 1.4 AAA认证配置任务 AAA 认证的一般配置过程 要配置 AAA 认证，需要完成下列配置过程： (1) 如果使用的是安全服务器，配置安全协议参数，如 RADIUS、TACACS＋。具体配 置方法参见相应章节。 (2) 使用 aaa authentication 命令定义认证方法列表。 (3) 如果需要的话，把方法列表应用到特定的端口或是线路上。 1.4.1 使用 AAA 配置登录认证 AAA 安全服务使得使用各种认证方法变得更容易了，不论决定使用哪种登录方法，都使 用 aaa authentication 命令开启 AAA 认证。在 aaa authentication login 命令中，创建一 张或是多张认证方法的列表，这些列表在登录时使用。使用线路配置命令 login authentication 来应用这些列表。配置时，从全局配置模式开始，使用如下命令： 命令 目的 aaa authentication login {default | list-name}method1 [method2...] 创建全局认证列表。 line [aux | console | tty | vty] line-number [ending-line-number] 进入某个线路的配置状态。 login authentication {default | list-name} 应用该认证列表于某条或是某几个线路上。 关键字 list-name 是用来命名所创建的列表的任何字符串。关键字 method 指定认证过程 所采用的实际方法。仅当前面所用的方法返回认证错误时，才会使用其他的认证方法， 如果前面的方法指明认证失败了，则不再使用其他的认证方法。如果要指定即使所有的 方法都返回认证错误仍能成功登录，只要在命令行中指定 none 作为最后一个认证方法。 例如：即使 TACACS+服务返回错误仍能认证成功，可用下面的命令行： aaa authentication login default tacacs+ none 使用 default 参数可建立一个缺省的列表，缺省列表自动的应用于所有的接口。例如：指 定 RADIUS 作为用户登录时的缺省认证方式，使用下面的命令： aaa authentication login default radius 注意： 由于关键字 none 使得登录的任何用户都可成功的通过认证，所以应当将该关键字作为备 用的认证方法。 下表列出了目前支持的登录认证方式： 关键字 说明 enable 使用enable口令进行认证。 group 使用服务器组进行认证。 - 5 -

08-安全配置 group-restrict 使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器组失效 使用线路密码进行认证。 ocal 使用本地数据库进行认证 ocak-case 使用本地用户名数据库进行认证(用户名区分大小写) none 认证无条件通过 使用 RADIUS认证。 tacacs+ 使用 TACACS+认证 (1)使用 enable口令进行登录认证 在 aaa authentication login命令中使用 enable方法关键字指定 enable口令作为 登录认证方法,例如:在没有定义其他方法时,指定 enable口令作为登录时用户 认证的方法,使用下面的命令 aaa authentication login default enable (2)使用线路口令进行登录认证 在使用 aaa authentication login命令时,用line方法关键字指定线路口令作为登 录时的认证方法。例如,在用户登录时指定线路口令为用户认证方法,并且不定义 任何其他方法,可以输入下面的命令行: aaa authentication login default line 在能够使用线路口令进行注册认证之前,需要定义一条线路口令, (3)使用本地口令进行登录认证 在使用 aaa authentication login命令时,用 local方法关键字指定使用本地用户名 数据库作为登录认证方法。例如,在用户注册时指定本地用户名数据库作为用户认 证方法,并且不定义任何其他方法,可以输入下面的命令行 aaa authentication login default local 有关增加用户到本地用户名数据库中的详细资料,参见“建立本地认证数据库”。 (4)使用 RADIUS进行登录认证 在使用 aaa authentication login命令时,用 radius方法关键字指定RAD|US作为 登录认证方法。例如在用户登录时指定 RADIUS为用户认证方法,并且不定义任 何其他方法,可以输入下面的命令 aaa authentication login default radius 在能使用 RADIUS作为注册认证方法之前,需要首先配置 RADIUS服务,有关的 更多信息参见“配置 RADIUS (5)使用 TACACS+进行登录认证 在使用 aaa authentication login命令时,使用 TACACS+方法关键字指定 TACACS 作为认证方法。例如,在用户登录时指定 TACACS+认证方法,并且不定义任 何其他方法,可以输入下面的命令: aaa authentication login default tacacs+ 在能够使用 TACACS+进行认证方法之前,需要首先配置 TACACS+服务,有关详 细信息,参见“配置 TACACS+

08-安全配置 group-restrict 使用服务器组进行认证，但当用户指定使用某台服务器后，此服务器组失效。 line 使用线路密码进行认证。 local 使用本地数据库进行认证。 local-case 使用本地用户名数据库进行认证(用户名区分大小写)。 none 认证无条件通过。 radius 使用 RADIUS 认证 。 tacacs+ 使用TACACS+ 认证 (1) 使用 enable 口令进行登录认证 在 aaa authentication login 命令中使用 enable 方法关键字指定 enable 口令作为 登录认证方法，例如：在没有定义其他方法时，指定 enable 口令作为登录时用户 认证的方法，使用下面的命令： aaa authentication login default enable (2) 使用线路口令进行登录认证 在使用 aaa authentication login 命令时，用 line 方法关键字指定线路口令作为登 录时的认证方法。例如，在用户登录时指定线路口令为用户认证方法，并且不定义 任何其他方法，可以输入下面的命令行： aaa authentication login default line 在能够使用线路口令进行注册认证之前，需要定义一条线路口令。 (3) 使用本地口令进行登录认证 在使用 aaa authentication login 命令时，用 local 方法关键字指定使用本地用户名 数据库作为登录认证方法。例如，在用户注册时指定本地用户名数据库作为用户认 证方法，并且不定义任何其他方法，可以输入下面的命令行： aaa authentication login default local 有关增加用户到本地用户名数据库中的详细资料，参见“建立本地认证数据库”。 (4) 使用 RADIUS 进行登录认证 在使用 aaa authentication login 命令时，用 radius 方法关键字指定 RADIUS 作为 登录认证方法。例如在用户登录时指定 RADIUS 为用户认证方法，并且不定义任 何其他方法，可以输入下面的命令： aaa authentication login default radius 在能使用 RADIUS 作为注册认证方法之前，需要首先配置 RADIUS 服务，有关的 更多信息参见“配置 RADIUS”。 (5) 使用 TACACS＋进行登录认证 在使用 aaa authentication login 命令时，使用 TACACS＋方法关键字指定 TACACS ＋作为认证方法。例如，在用户登录时指定 TACACS＋认证方法，并且不定义任 何其他方法，可以输入下面的命令： aaa authentication login default tacacs+ 在能够使用 TACACS+进行认证方法之前，需要首先配置 TACACS+服务，有关详 细信息，参见“配置 TACACS+”。 - 6 -