设备tacacs+配置方法.doc

黑龙江综合网管系统网络设备配置方案1：SE800 设备几种命令状态及设备配置介绍1.1 命令状态1. router路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 需要输入enable命令才能进入特权命令状态。2. router#在router提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。3. router(config)#在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。4. router(config-if)#; router(config-line)#; router(config-router)#;路由器处于局部设置状态，这时可以设置路由器某个局部的参数。5. 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。1.2：SE800 配置内容介绍：Contexts:实例，一个设备运行多个实例，每个实例有自己独立的路由能力和域的管理，以及独立的路由协议，认证和记账等等。每个实例可用于相应的服务分类，实例之间也能通信。系统有一个默认的context，名字为local，这个实例是不能被删除并常用于管理。Interfaces：一种逻辑接口，提供给高层协议（如3层IP地址）或服务信息，这个逻辑接口配置在相应的context下，并独立于物理端口/链路。高层协议要生效的一个前提是该逻辑接口要关联到相应的物理端口/链路上。Subscribers：终端用户，是context配置里面的一部分，用于描述终端用户的特性，包括使之能绑定到相应interface接口或满足某些context或服务所需要的信息，以及其他一些配置信息，如认证，接入控制，限速，策略信息等。Ports,Channels,and Circuits：这些是物理的端口/链路，上层协议的实现需要与相应的物理端口/链路做绑定，用专门的bind命令。Cross-connections：二层交叉互连，可以做到在任何板卡的任何端口/链路上的Vlan之间的二层交叉互联，同时支持Vlan/Svlan/ATM PVC 之间的任意的交叉互连。例如从一个端口/链路的Vlan100进，从另外一个口的Vlan199出。Bindings：绑定。将物理端口/链路/链路与上层协议配置进行绑定，仅在做完绑定后端口/链路才有流量进出。分为静态绑定和动态绑定。静态绑定中，物理端口/链路可以直接绑定到逻辑interface上，也可以绑定到特定的subscriber用户上，用户再映射到某个逻辑interface上。动态绑定是指基于会话信息的绑定，如PPPoE会话，一个PPP封装形式的会话通过其特定的域名（如adsl、lan等）绑定到相应的context的逻辑 interface接口中。1.3：Redback Bras SE 800常用命令一、查看用户和配置用户show sub sum all/查看总的用户的数量,包括各个context的用户show sub/查看当前所在context的用户sh circuit counters sub/查看每个用户的流量sh circuit counters 13/1 vlan-id 500 live /查看13/1端口vlan 500中每个用户的流量show pppoe sub 2/4/查看2/4端口的用户(10K、SE800)sh pppoe sub 13/1 vlan-id 521 pppoe/查看port 13/1 的vlan-id 521用户sh pppoe up all | grep 521/查看vlan-id 521的用户sh pppoe up all | grep 521 | count /查看vlan-id 521的用户数量show config qos /显示 se 800的qos配置show config acl /显示 se 800的acl配置show config port /显示 se 800的port下的配置show config context /显示 se 800的context adsl的配置show administrators或show user/显示登录se 800的用户clear administrator bjgtilocal ttyp0/清楚用户ttyp0的bjgtilocal用户二、OSPF、BGP路由协议show ip route summ all/查看所有context的路由总体情况show ospf nei/查看ospf的neighborshow ospf route summ/查看ospf的路由简要情况show bgp nei summ/查看bgp的neighborshow bgp route ipv4 vpn summ /查看bgp协议交换的ipv4 vpn路由情况，一般用在mpls vpn（2547bis）中2：3A认证系统介绍和相关知识介绍2.1： AAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。常用的AAA协议是Radius，参见RFC 2865，RFC 2866。另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。2.2：TACACS + 和RADIUS比较RADIUS背景RADIUS是使用AAA协议的接入服务器。 它是获取对网络和网络服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件：一 个协议带有使用用户数据协议的帧格式(UDP)/IP一个服务器一个客户端网络接入服务器(NAS)运行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器，然后操作在返回的回应。 RADIUS服务器负责对收到用户连接请求，验证用户，然后返回所有配置信息必要为客户端提供服务到用户。RADIUS服务器能作为代理客户端到其他认证服务器。灵活的认 证机制RADIUS服务器支持各种各样的方法验证用户。当它带有用户时和原始密码产生的用户名，可以支持PPP、密码验证协议(PAP) 或者质询握手验证协议(CHAP)、UNIX登录和其他认证机制。以 下部分比较TACACS+和RADIUS几个功能。UDP和 TCP当TACACS+使用TCP时 ，RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送，TCP提供面向连接的传输。 RADIUS要求另外的可编程变量例如转播企图和超时补尝尽力而为传输，但缺乏 TCP传输提供内置支持的级别：使用 TCP如何提供单独确认请求收到了，在(近似)网络往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。TCP提供一失败或者不的立即指示，服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到服务时如果使用长寿命的TCP连接。UDP不能说出发生故障的服务器，一个慢速服务器和一个不存在的服务器的之间差别。使用TCP Keepalive，服务器失败可以被发现带外带有实际请求。与多个服务器的连接可以同时被维护，并且您只需要寄发消息到那个被知道是正在运行的。TCP是更加可升级的并且适应生长，并且拥塞，网络 。信息包加 密RADIUS在访问请求信息包加密仅密码，从客户端到服务器。信息包的剩下的事末加密。其他信息，例如用户名，核准的服务和认为，能由第三方捕获。TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。在头之内指示的字段机体不论是否被加密。为调试目的，它是有用的有信息包的机体末加密。然而，在正常运行期间，信息包的机体为安全通信充分地被加密。认证和授权RADIUS结合认证和授权。RADIUS服务器发送的访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。TACACS+使用AAA体系结构，分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如，带有TACACS+，使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证，请求授权信息从TACACS+服务器没有必须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证，并且服务器然后提供授权信息。HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。2 RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。3 RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。4 路由器管理：RADIUS不允许用户控制哪些命令在路由器可以被执行并且哪些不能。所以， RADIUS不是如有用为路由器管理或如灵活为终端服务。TACACS+提供二个方法控制router命令的授权根据一个单个用户或单个组的基本类型。第一个方法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是否被认证在指定的权限级别。第二个方法是指定在TACACS+服务器，在一个单个用户或单个组的基本类型，明确命令允许。2.3 ：AAA认证、授权、记账模式介绍AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。组合认证模式是有先后顺序的。例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时，不认证（none）必须放在最后。例如：authentication-mode radius local none。认证模式在认证方案视图下配置。当新建一个认证方案时，缺省使用本地认证。授权方案与授权模式AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式，并允许组合使用。组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权，HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权的时候，直接授权必须在最后。例如：authorization-mode hwtacacs local none授权模式在授权方案视图下配置。当新建一个授权方案时，缺省使用本地授权。RADIUS的认证和授权是绑定在一起的，所以不存在RADIUS授权模式。计费方案与计费模式AAA支持六种计费模式：本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。TACACS+ (TCP端口49，不是XTACACS UDP 端口49)3：网络设备上的Tacacs+ 配置3.1：SE800上tacacs+配置/注意SE800配置tacacs+ 首先要配置记账和授权，最后配置认证，因为认证是起用tacacs+ 认证，要是先配置了认证，那tacacs+ 认证找不到认证服务器，造成配置不成功。interfacelocal-loopbackloopbackipsource-addresstacacs+aaa accounting administrator tacacs+aaa authorization commands 1 tacacs+ aaa accounting commands 1 tacacs+tacacs+strip-domaintacacs+ server 60.215.133.10 key *aaaauthenticationadministratortacacs+local3.2：NE5000E 设备配置 Tacacs+ 认证（采用默认端口49，radius认证采用端口1812/1813）配置步骤 步骤 1 配置HWTACACS服务器模板。# 配置HWTACACS服务器模板ht。Router hwtacacs-server template ht# 配置HWTACACS主认证、授权IP地址和端口。Router-hwtacacs-ht hwtacacs-server authentication 60.215.133.10 Router-hwtacacs-ht hwtacacs-server authorization 60.215.133.10 # 配置HWTACACS备认证、授权、计费服务器IP地址和端口。Router-hwtacacs-ht hwtacacs-server authentication 60.215.133.10 secondaryRouter-hwtacacs-ht hwtacacs-server authorization 60.215.133.9 secondary# 配置HWTACACS服务器密钥。Router-hwtacacs-ht hwtacacs-server shared-key it-is-my-secretRouter-hwtacacs-ht quit步骤 2 配置认证方案、授权方案。# 进入AAA视图。Router aaa# 配置认证方案l-h，认证方法为先本地认证，后HWTACACS认证。Routeraaa authentication-scheme l-hRouter-aaa-authen-l-h authentication-mode local hwtacacsRouter-aaa-authen-l-h quit# 配置授权方案hwtacacs，授权方法为HWTACACS。Routeraaa authorization-scheme hwtacacsRouteraaa-author-hwtacacs authorization-mode hwtacacsRouteraaa-author-hwtacacs quit 步骤 3配置huawei域，在域下采用l-h认证方案、hwtacacs授权方案ht的HWTACACS模板。Router-aaa domain huaweiRouter-aaa-domain-huawei authentication-scheme l-hRouter-aaa-domain-huawei authorization-scheme hwtacacs Router-aaa-domain-huawei hwtacacs-server ht 步骤 4 检查配置结果display hwtacacs-server template template display domain 3.3：Alpine3808/BD6808/Summit48配置configure tacacs primary shared-secret lczhwgconfigure tacacs primary server 60.215.133.10 client-ip 61.156.42.163 （注client-ip 为客户机，即要配置3A认证的设备）configure tacacs secondary shared-secret lczhwg configure tacacs secondary server 60.215.133.9 client-ip 61.156.42.163 configure tacacs-accounting primary shared-secret lczhwg configure tacacs-accounting primary server 60.215.133.10 client-ip 61.156.42.163 configure tacacs-accounting secondary shared-secret lczhwg configure tacacs-accounting secondary server 60.215.133.9 client-ip 61.156.42.163 enable tacacs enable tacacs-authorization user access(不需要做）enable tacacs-accounting取消disable tacacs disable tacacs-authorizationdisable tacacs-accounting3.4：.华为NE16user-interface vty 0 4 authentication-mode scheme default aaa enable radius server 218.202.155.210 auth-primary radius server 218.202.155.211 radius shared-key CMCC!# aaa authentication-scheme login default radius-local# info-center loghost 218.202.155.210 info-center source SHELL channel 2 info-center loghost source LoopBack03.5：华为NE40user-interface vty 0 4 authentication-mode scheme default aaa enable radius server 218.202.155.210 auth-primary source LoopBack0 radius server 218.202.155.211 source LoopBack0 radius shared-key CMCC!# aaa authentication-scheme login default radius localinfo-center enableinfo-center loghost 218.202.155.210info-center source SHELL channel 2info-center loghost source LoopBack04： 网络设备SNMP网管监控4.1 华为SNMP网管监控！设置团体名和访问权限。Quidway(config)#snmp-server community public roQuidway(config)#snmp-server community private rw！设置管理员标识、联系方法以及路由交换机的物理位置。Quidway(config)#snmp contact Mr.Wang-Tel:3306Quidway(config)#snmp location 3rd-floor！设置连接网管设备的MEth接口IP地址。Quidway(config-if-MEth0)#ip address 129.102.0.1 255.255.255.0！允许发送Trap和Autherntication Trap。Quidway(config)#snmp enable trapsQuidway(config)#snmp trap-source meth 0Quidway(config)#snmp host 129.102.149.23 version 1 public4.2：Juniper上SNMP的配置snmp community public authorization read-only; clients 10.39.248.73/32; trap-options source-address 10.139.218.20; trap-group snmptrap targets 10.139.148.85; 4.3：思科设备SNMP 配置Cisco网际操作系统（IOS）是一个为网际互连优化的复杂的操作系统类似一个局域操作系统（NOS）、如Novell的NetWare，为LANs而进行优化。IOS为长时间经济有效地维护一个互联网络提供一下统一的规则。简而言之，它是一个与硬件分离的软件体系结构，随网络技术的不断发展，可动态地升 级以适应不断变化的技术（硬件和软件）。IOS可以被视作一个网际互连中枢：一个高度智能的管理员，负责管理的控制复杂的分布式网络资源的功能在IOS的Enable状态下，敲入configterminal进入全局配置状态Cdprun启用CDPsnmp-servercommunitygsunionro配置本路由器的只读字串为gsunionsnmp-servercommunitygsunionrw配置本路由器的读写字串为gsunionsnmp-serverenabletraps允许路由器将所有类型SNMPTrap发送出去snmp-serverhostIP-address-servertrapstrapcomm指定路由器SNMPTrap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串snmp-servertrap-sourceloopback0将loopback接口的IP地址作为SNMPTrap的发送源地址loggingon起动log机制loggingIP-address-server将log记录发送到10.238.18.17(CW2K安装机器的IP地址)上的syslogserverloggingfacilitylocal7将记录事件类型定义为local7loggingtrapwarning将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslogserver.loggingsource-interfaceloopback0指定记录事件的发送源地址为loopback0的IP地址servicetimestampslogdatetime发送记录事件的时候包含时间标记enablepassword*linetty04password*loginlocal设置Enable口令和Telnet口令showrunningcopyrunningstart或writeterminal显示并检查配置保存配置设置CatOS设备是Cisco交换机的操作系统在CatOS的Enable状态下，敲入setinterfacesc0VLANIDIPaddress配置交换机本地管理接口所在VLANID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only gsunion 配置本交换机的只读字串为publicset snmp community read-write-all gsunion 配置本交换机的读写字串为privateset snmp trap server-ip gsunion 指定交换机SNMP Trap的接收者为网管服务器，发送Trap时采用gsunion作为字串set snmp trap enable all 将全部类型的SNMP Trap发送出去set snmp rmon enable 激活交换机的SNMP RMON功能set logging server IP-address-server 将log记录发送到网管服务器的IP (CW2K安装机器的IP地址)上的syslog serverset logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog serverset logging server facility local7 将记录事件类型定义为local7set logging timestamp 发送记录事件的时候包含时间标记set logging enable 起动log机制set password * set enablepass * 设置Enable口令和Telnet口令show runningwrite terminal 显示并检查配置保存配置配置PIX设备Logging on 在PIX上面启用日志记录Snmp-server community gsunion 为PIX设备配置共同体串gsunionSnmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器Logging history warning 为PIX设备SNMP系统日志消息设置warning级别。5：syslog的snmp配置设置IOS设备Cisco网际操作系统（IOS）是一个为网际互连优化的复杂的操作系统类似一个局域操作系统（NOS）、如Novell的NetWare，为LANs而进行优化。IOS为长时间经济有效地维护一个互联网络提供一下统一的规则。简而言之，它是一个与硬件分离的软件体系结构，随网络技术的不断发展，可动态地升 级以适应不断变化的技术（硬件和软件）。IOS可以被视作一个网际互连中枢：一个高度智能的管理员，负责管理的控制复杂的分布式网络资源的功能在IOS的Enable状态下，敲入configterminal进入全局配置状态Cdprun启用CDPsnmp-servercommunitygsunionro配置本路由器的只读字串为gsunionsnmp-servercommunitygsunionrw配置本路由器的读写字串为gsunionsnmp-serverenabletraps允许路由器将所有类型SNMPTrap发送出去snmp-serverhostIP-address-servertrapstrapcomm指定路由器SNMPTrap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串snmp-servertrap-sourceloopback0将loopback接口的IP地址作为SNMPTrap的发送源地址loggingon起动log机制loggingIP-address-server将log记录发送到10.238.18.17(CW2K安装机器的IP地址)上的syslogserverloggingfacilitylocal7将记录事件类型定义为local7loggingtrapwarning将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslogserver.loggingsource-interfaceloopback0指定记录事件的发送源地址为loopback0的IP地址servicetimestampslogdatetime发送记录事件的时候包含时间标记enablepassword*linetty04password*loginlocal设置Enable口令和Telnet口令showrunningcopyrunningstart或writeterminal显示并检查配置保存配置设置CatOS设备是Cisco交换机的操作系统在CatOS的Enable状态下，敲入setinterfacesc0VLANIDIPaddress配置交换机本地管理接口所在VLANID，IP地址，子网掩码Setcdpenableall启用CDPsetsnmpcommunityread-onlygsunion配置本交换机的只读字串为publicsetsnmpcommunityread-write-allgsunion配置本交换机的读写字串为privatesetsnmptrapserver-ipgsunion指定交换机SNMPTrap的接收者为网管服务器，发送Trap时采用gsunion作为字串setsnmptrapenableall将全部类型的SNMPTrap发送出去setsnmprmonenable激活交换机的SNMPRMON功能setloggingserverIP-address-server将log记录发送到网管服务器的IP(CW2K安装机器的IP地址)上的syslogserversetlogginglevel6将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslogserversetloggingserverfacilitylocal7将记录事件类型定义为local7setlog