Juniper SRX 防火墙AAA试验配置手册-v1.3.doc

JUNIPER 防火墙SRX3400 AAA 试验配置手册Juniper防火墙SRX系列防火墙AAA实验配置手册康帕斯科技发展有限公司2016年 07 月目录1.实验需求32.实验环境33.实验拓扑43.1.创建虚拟机43.2.虚拟机之间网络连接54.防火墙配置75.ACS配置125.1.主服务器配置125.1.1.配置AAA服务器125.1.2.创建只读用户及用户组155.1.3.创建super用户及用户组175.2.备服务器配置196.试验测试结果206.1.AAA帐号登录测试206.1.1.只读用户登录测试206.1.2.super用户登录测试206.1.3.用户登录审计测试216.2.Radius服务器冗余性测试216.3.AAA失效后使用本地帐号登录241. 实验需求有Juniper SRX3400 和SRX1400 需要做AAA配置，为了能够顺利完成与Radius服务器对接，现使用实验环境对Juniper AAA配置进行验证。实验需求如下：Juniper SRX防火墙AAA配置，设备管理用户分为3种：分别为只读用户、超级用户及本地用户，通过与两台Radius 服务器（主备）做认证，授权，主Radius服务器故障可以切换到备服务器，设备登录方式采用Radius优先，当Radius服务器故障时可使用本地认证。2. 实验环境 Juniper 防火墙使用虚拟机来搭建，Radius服务器使用windos 2003 + ACS v4.2。 实验工具如下：软件防火墙junos-vsrx-12.1X44-D10.4-domestic；服务器Windows Server 2003 Enterprise Edition Service Pack 2RadiusACS v4.2登录工具SecureCRTVMWareVMware-workstation-full-10.0.3-1895310.exePC 硬件3. 实验拓扑3.1. 创建虚拟机 创建3个虚拟机： SRX：juniper 防火墙 Radius_server_1：主radius 服务器 Radius_server_2：备radius 服务器3.2. 虚拟机之间网络连接各虚拟机网卡连接方式如下： 1） 将虚拟机SRX网卡1与物理机网卡桥接2）将虚拟机SRX网卡3采用自定义方式，用于与两台服务器连接3）服务器网卡也采用自定义的方式，用于与SRX连接：4）配置IP地址，测试联通性 按照以上拓扑图对防火墙接口、服务器网口的IP地址进行配置，并测试连通性。 设置Radius_server_1 地址：设置Radius_server_2 地址：4. 防火墙配置防火墙配置及注释如下：system authentication-order radius ; /证验方式 radius优先，radius失效本地帐号可登录 root-authentication encrypted-password $1$XnvX8cV/$ofcHd9NOokhXfFY2vybIA.; # SECRET-DATA radius-server 172.16.1.100 /主服务器 secret juniper; # SECRET-DATA source-address 172.16.1.1; 172.16.1.101 /备服务器 secret juniper; # SECRET-DATA source-address 172.16.1.1; accounting /配置审计eventslogin;destinationradiusserver172.16.1.100port1646;secret$9$VdsgJikP36AGD6Ap0hcbs2;#SECRET-DATA172.16.1.101port1646;secret$9$VdsgJikP36AGD6Ap0hcbs2;#SECRET-DATA login class view-config /建立 只读用户权限class idle-timeout 5; permissions all; deny-commands (request)|(set)|(clear)|(configure); /配置deny-commd class super /建立 super用户权限class idle-timeout 15; permissions all; user juniper1 /建立本地账户 uid 2002; class super; authentication encrypted-password $1$JnCi6P6j$vpWhKOfEW.mXllPzX0oOa1; # SECRET-DATA user juniper2 /建立本地账户 uid 2004; class super; authentication encrypted-password $1$xOmWw0IM$Fj2npdjRgYutg5ZZFZ33r.; # SECRET-DATA user test-read /建立只读权限模板用户，模板用户不用配置密码，用于与ACS对接； uid 2010; class view-config; user test-super /建立super权限模板用户，模板用户不用配置密码，用于与ACS对接； uid 2001; class super; interfaces ge-0/0/0 unit 0 family inet address 192.168.2.100/25; ge-0/0/2 unit 0 family inet address 172.16.1.1/24; routing-options static route 0.0.0.0/0 next-hop 192.168.2.126; security policies; zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping; telnet; ssh; security-zone untrust interfaces ge-0/0/2.0 5. ACS配置5.1. 主服务器配置5.1.1. 配置AAA服务器1） 创建网络设备组进入network configuration,创建Network Device Groups,创建AAA服务器，并添加客户端：创建AAA 服务器，并添加客户端：2）创建AAA服务器创建AAA服务器，主服务器地址为172.16.1.1003）添加客户端添加客户端，防火墙的接口地址为172.16.1.1，key 为juniper,选择认证方式为Radius(juniper)4）勾选Radius 属性进入interface configuration ，勾选radius 以下3属性：Juniper-Local-User-NameJuniper-Allow-CommandsJuniper-Deny-Commands5.1.2. 创建只读用户及用户组1） 创建只读用户创建只读用户test-read，配置密码，并将用户加入用户组group 1，如下图：2） 创建只读用户组 进入Group Setup，选中用户组group 1 配置Juniper RADIUS Attributes 属性，需要做以下两点： 填写Juniper-Local-User-Name，将只读用户组与防火墙创建的模板用户radius-read关联起来； 填写Juniper-Deny-Commands，将只读用户组与防火墙上禁用的命令关联。5.1.3. 创建super用户及用户组1） 创建super用户创建super用户test-super，配置密码，并将用户加入用户组group 2，如下图：3） 创建super用户组 进入Group Setup，选中用户组group2,配置Juniper RADIUS Attributes 属性，填写Juniper-Local-User-Name，将只读用户组与防火墙创建的模板用户radius-super关联起来。 5.2. 备服务器配置除了AAA server IP地址改为172.16.1.101，其余与主服务器配置一致。6. 试验测试结果6.1. AAA帐号登录测试6.1.1. 只读用户登录测试使用ACS上创建的只读用户test-read 可以正常登录，并只有只读权限，如下图：6.1.2. super用户登录测试使用ACS上创建的超级用户test-super可以正常登录防火墙，并具有配置权限，通过对比可看到，super用户比只读用户多了clear,configure,request,set几条命令,如下图：6.1.3. 用户登录审计测试使用test-super用户登录设备，查看ACS,可以看到设备有登录日志：6.2. Radius服务器冗余性测试测试步骤如下：1）正常情况下两台服务器均可达，如下图：2）禁用主服务器的网卡：主用服务器不可达，如下图：3）重新登录防火墙，等待时间为9秒：6.3. AAA失效后使用本地帐号登录将两台服务器网卡禁用后，在防火墙Ping 服务器不可达：通过本地帐户juniper帐号登录，需等待18秒：7. 实验总结以上实验是针对完整的AAA配置，其实ACS上也可以不配置对接用户，情况如下：1） ACS不配置对接用户：这种情况是ACS上建一个用户，防火墙本地就需要对应建一个相同名字的template user(模板用户)，若在ACS再建立test1、test2 则防火墙也须建立这两个用户；2） ACS配置对接用户：经测试，若在防火墙只建