zxr10产品操作维护培训2015年级r10a ch l3网络安全管理平面

1、L3网络安全 管理平面 内容提要n管理平面安全概述管理平面安全概述 n带外管理n密码加密n关闭不用的服务nTELNET连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全管理平面安全概述 n管理平面安全是指网络管理人员以设备现有安全功能为基础，结合其他软硬件条件，在配置设备、管理网络时应做的安全方面的工作。n好的管理能将网络时刻牢牢地掌控在你自己的手中，了解它的运行状况，第一时间发现告警，及时处理网络故障，将损失降低到最小程度。管理平面安全概述（续）n网络设备所支持的常见安全功能有：lRADIUS功能lTACACS+功能lSSH连接

2、功能lSNMP功能lCLI权限分级机制内容提要n管理平面安全概述 n带外管理带外管理n密码加密n关闭不用的服务nTELNET连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全带外管理n网络管理分为带内管理和带外管理。l带内管理（in-band management）即管理控制信息与数据信息使用统一物理通道即业务以太端口进行传送。带内管理的最大缺陷在于：当网络出现故障中断时数据传输和管理都无法正常进行。l带外管理（out-of-band management）即通过不同的物理通道传送管理控制信息和数据信息，两者完全独立，互不影响。带

3、外管理（续）n带外管理能够使用户减少运营成本、提高运营效率、减少宕机时间、提高服务质量。n在中兴的ZXR10设备上，高端交换机的带外网管接口在设备的控制交换板上，是一个RJ45型的10/100Base-TX以太网口；在高端路由器中，带外网管接口分布在BIC板上，是一个RJ45型的10/100M以太网接口。内容提要n管理平面安全概述 n带外管理n密码加密密码加密n关闭不用的服务nTELNET连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全密码加密n要登陆设备必须有用户名和密码。入侵者获得设备管理权限的途径之一就是设法获取设备的密码

4、。如果不使用密码加密技术，则设备的密码是明文的，很容易被获取到。 n如果要将用户密码加密，请在全局配置下配置以下命令： ZXR10# service password-encryption n该命令在配置后所有用户密码以加密方式显示，如下 。ZXR10(config)#service password-encryptionZXR10(config)#username who password who ZXR10(config)#show username Username Password Privilegewho 67dbc831b72f2cc1bde 1内容提要n管理平面安全概述 n带外管

5、理n密码加密n关闭不用的服务关闭不用的服务nTELNET连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全关闭不用的服务n在我们熟悉的Windows系统中，我们常常通过关闭一些不用的服务来提高计算机的性能。同样地，在网络设备中我们也可以通过关闭不用的服务来节省设备资源，更重要的是提升了设备的安全性。n1、关闭DNS域名解析功能：lZXR10# no ip domain lookup n2、取消发送ICMP不可达报文：lZXR10(config-if)# no ip unreachable 内容提要n管理平面安全概述 n带外管理n密

6、码加密n关闭不用的服务nTelnet连接限制连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全TELNET连接限制n限制TELNET的连接一方面是出于安全考虑，即不让超出管理员允许范围的人员登陆设备；另一方面是避免TELNET的操作占用过多的系统资源。n限制TELNET连接要与ACL（Access List访问控制列表）结合在一起使用。TELNET连接限制配置实例 组网n在这个网络中，网络管理员只允许自己的IP地址能够TELNET路由器R2，不允许其他任何地址TELNET设备R2。TELNET连接限制配置实例

7、配置nR2上的配置如下：R2(config)#interface gei_0/1R2(config-if)#ip address 52R2(config-if)#exitR2(config)#interface gei_0/2R2(config-if)#ip address R2(config-if)#exitR2(config)# acl standard number 1R2(config-ext-acl)#permit permit R2(config-

8、ext-acl)#exitR2(config)#line telnet access-class 1R2(config)#ip route 内容提要n管理平面安全概述 n带外管理n密码加密n关闭不用的服务nTelnet连接限制n断开空闲的管理连接断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全断开空闲的管理连接 n和限制TELNET连接相似，断开空闲的管理连接也是为了网络的安全和可维护性。 如果一个TELNET会话没有设置它的闲置时间（idle-timeout）限

9、制的话，可能会造成下面的不利后果：lTELNET一直占用设备的TCP连接资源，当设备的TCP连接资源满了后，就无法TELNET上这个设备。l如果网管没有关闭TELNET会话和相应的窗口，如果他离开终端，可能会被某些人短时间占有管理员权限。他可以查看设备配置内容，修改设备配置，甚至悄悄为自己创建一个管理员账户。断开空闲的管理连接配置n配置TELNET终端的闲置时间后，可以在终端没有任何键盘输入的一段时间之后自动关闭TELNET终端会话，断开TCP连接，释放资源。n配置TELNET终端的闲置时间，在全局配置下配置：lZXR10# line telnet idle-timeout 内容提要n管理平面

10、安全概述 n带外管理n密码加密n关闭不用的服务nTelnet连接限制n断开空闲的管理连接n通过通过SSH连接配置设备连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全通过SSH连接配置设备 n由于TELNET用明文传送口令和数据，网络上一些黑客很容易就可以使用抓包分析工具嗅探和截获网络中的口令和数据。n和TELNET一样，FTP、POP等网络服务也是明文传送口令和数据的。为了防止被嗅探和截获，SSH应运而生了。SSH的英文全称是Secure Shell。nSSH优点：l能将所有传输的数据加密l传输的数据是经过压缩的，所以可以加快传输速度SSH的两种安全验证级别nSSH是

11、由客户端和服务端的软件组成的，有两个不兼容的版本，分别是：1.x和2.x。nOpenSSH是SSH的免费替代软件，OpenSSH 2.x同时支持SSH 1.x和2.x。n从客户端来看，SSH提供两种级别的安全验证：l第一种级别：基于口令的安全验证，只要你知道自己账户和口令，就可以登录到远程主机 l第二种级别：基于密钥的安全验证，用户需要为自己创建一对密钥 运行SSH实例 ZXR10设备上的配置n运行SSH分为服务器和客户端两部分，ZXR10设备作为SSH的服务器，主机通过运行SSH客户端来登录交换机，具体步骤如下： l1、在ZXR10设备上的全局配置模式下使用ssh server enable

12、命令启动SSH服务器功能。缺省配置下SSH服务器功能是关闭的。 l2、将主机网口连接到ZXR10设备的以太网端口，通过配置使主机能够ping通设备的IP地址。运行SSH实例 主机上的配置n3、在主机上运行SSH客户端软件（以下以常用软件putty为例） l设置SSH服务器的IP地址和端口号：运行SSH实例 主机上的配置（续）n设置SSH的版本号：4、点击按钮登录网络设备，根据提示输入正确的用户名和密码即可。内容提要n管理平面安全概述 n带外管理n密码加密n关闭不用的服务nTelnet连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级权限分级 nRADIUSnTACACSnS

13、NMP安全什么是CLI权限分级？nCLI是 Command Line Interface 的缩写，它实现了针对不同的登录用户，绑定不同的权限级别，级别越低，可用的命令越少；级别越高，可用的命令越多的功能。n设备启动后，每个命令节点都有一个缺省的权限等级，管理员可以修改命令节点的权限等级。 n管理员可以设置每个登录用户的权限级别，命令显示和执行的条件是：当用户的权限级别大于等于命令的权限级别时，在用户终端上就可以显示并执行该命令。默认管理员（权限级别15）可以使用全部的命令，其他权限级别只能使用少数维护命令。 CLI权限分级配置流程图 配置CLI权限分级 配置TELNET登录用户 n出于安全性考

14、虑，该功能只能由管理员（最高权限15）配置，也就是说，其他等级用户登录后不能修改自己的登录密码和权限级别，只能由管理员统一定义和修改。 ZXR10(config)# username password privilege n可以使用命令no username 删除用户 配置TELNET登录用户 操作实例n下面进行一些实际操作，用来说明不同级别用户登录设备的不同之处。1、设置用户test的权限级别为12：ZXR10(config)#username test password test privilege 12 Username:testPassword:ZXR10# /*直接进入提示符“#”*

15、/ 2、使用该用户TELNET交换机：配置TELNET登录用户 操作实例（续）3、再将用户test的权限级别改为1 ：ZXR10(config)#username test password test privilege 14、使用该用户TELNET交换机：Username:testPassword:ZXR10 /*直接进入提示符“ ”*/ 配置TELNET登录用户 操作实例（续）n如果用户权限级别为215，登录设备直接进入提示符“#”；如果用户权限级别为1，则进入提示符“”，需要使用命令enable进入更高的级别：Username:testPassword:ZXR10#enable 12 /

16、*如果enable后面没有参数12，默认进入权限级别15*/Password:ZXR10# 配置CLI权限分级 配置权限级别的enable密码n此功能可以为每个权限级别配置enable密码，在将用户终端的权限级别由低转入高时，需要使用enable密码。n配置各权限级别的enable密码 ： ZXR10(config)# enable secret level n使用命令no enable secret level 删除enable密码。 配置权限级别的enable密码实例n下面进行一些操作，用来说明什么情况下需要使用enable密码。1、配置用户test的权限级别为1： ZXR10(confi

17、g)# username test password test privilege 12、配置权限级别12的enable密码： ZXR10(config)# enable secret level 12 zte 3、使用用户test登录交换机，并改变当前操作终端的权限级别为12时，系统提示必须输入权限级别12的enable密码：Username:testPassword:ZXR10enable 12Password:ZXR10# 配置CLI权限分级 配置命令的权限级别 n通过配置命令的权限级别，控制用户可使用的命令范围。当用户的权限级别大于等于命令的权限级别时，在用户终端上就可以显示并执行该命

18、令。默认情况下，管理员（权限级别15）可以使用全部的命令，其他权限级别只能使用少数维护命令。n配置命令节点的权限级别：lZXR10(config)# privilege all level | level 配置命令的权限级别配置举例n要求：将所有以show interface打头的命令的权限级别统一修改为12。1、在权限级别12的终端下查看show命令：ZXR10#show ? privilege Show current privilege level 可以看到，默认情况权限级别12下只有show privilege命令。 2、进入权限级别15：ZXR10#enable /*如果enable

19、命令后面无参数，默认进入权限级别15*/Password:ZXR10# 3、在权限级别15下，将所有以show interface打头的命令的权限级别统一修改为12 ：ZXR10#conf tZXR10(config)#privilege show all level 12 show interface 配置命令的权限级别配置举例（续）4、返回权限级别12：ZXR10#enable 12 /*由高权限级别进入低权限级别时，不需要输入低权限级别的密码*/ZXR10# 5、再次在权限级别12的终端下查看show命令 ：ZXR10#show ? interface Show interface pr

20、operty and statistics privilege Show current privilege level 可以看到，现在权限级别12下增加了show interface命令，可以用这个命令查看接口信息了：ZXR10#show interface gei_1/2gei_1/2 is up, line protocol is up Description is none The port is electric Duplex full Mdi type:auto VLAN mode is hybrid, pvid 1 MTU 1500 bytes BW 1000000 Kbits

21、Last clearing of show interface counters never 120 seconds input rate: 0 Bps, 0 pps120 seconds output rate: 5 Bps, 0 pps-以下省略- CLI权限分级的维护与诊断 n显示当前模式下命令节点的权限级别：ZXR10# show privilege cur-mode detail | level | node n显示show模式下命令节点的权限级别：ZXR10# show privilege show-mode detail | level | node CLI权限分级配置实例 n现

22、有用户test，分配给他的权限级别为10，希望允许其在交换机上执行show run命令。n1、使用管理员权限（级别15）配置交换机：ZXR10(config)# username test password test privilege 10ZXR10(config)# enable secret level 10 test123ZXR10(config)# privilege show all level 10 show run n2、在交换机上查看配置结果： ZXR10(config)#exitZXR10#enable 10ZXR10#show runBuilding configurat

23、ion.!urpf log off!-以下省略- 内容提要n管理平面安全概述 n带外管理n密码加密n关闭不用的服务nTelnet连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全RADIUS概述 nRADIUS（Remote Authentication Dial In User Service）是一种标准的AAA协议，AAA是指授权（Authorization）、认证（Authentication）和计费（Accounting）。 n对路由交换机来说，AAA能对访问路由交换机的用户进行认证，防止非法用户的进入，从而提高设备的安全

24、性，同时像DOT1X一样的业务也可能需要用到RADIUS服务器进行认证和计费。nRADIUS协议采用Client / Server结构，采用UDP作为承载传输协议。 配置RADIUSn1、配置RADIUS计费组：ZXR10(config)# radius accounting-group n2、配置RADIUS认证组：ZXR10(config)# radius authentication-group 配置RADIUS（续）n3、配置RADIUS参数：命令功能ZXR10(config-acctgrp-1)# timeout 设置RADIUS服务器超时重发参数ZXR10(config-acctg

25、rp-1)# algorithm first | round-robin设置RADIUS服务器的选择算法ZXR10(config-acctgrp-1)# alias 配置RADIUS服务器组的别名ZXR10(config-acctgrp-1)# calling-station-format 配置calling-station-id字段格式定义ZXR10(config-acctgrp-1)# deadtime 设置认证服务器的无效时间ZXR10(config-acctgrp-1)# local-buffer enable | disable配置计费服务器的本地缓存ZXR10(config-acc

26、tgrp-1)# max-retries 设置RADIUS服务器超时重发参数ZXR10(config-acctgrp-1)# nas-ip-address 设置RADIUS服务器的NAS-IP，对应协议包的NAS-IP字段和协议包的源IP地址ZXR10(config-acctgrp-1)# server key port 设置RADIUS服务器及其参数ZXR10(config-acctgrp-1)# user-name-format include-domain | strip-domain配置BRAS向RADIUS Server发送的用户名字段的格式ZXR10(config-acctgrp-

27、1)# vendor enable | disable配置发送的RADIUS协议包中是否需要厂商自定义属性RADIUS的维护和查看信息 n显示RADIUS调试信息：lZXR10# debug radius all n显示统计信息：lZXR10# show counter radius all n显示本地缓存的计费包内容：lZXR10# show accounting local-buffer all n清除本地缓存的计费包内容：lZXR10# clear accounting local-buffer all RADIUS配置实例 组网n在ZXR10设备上设置RADIUS认证，用户要TELNE

28、T到设备，需要通过认证才能登录。 RADIUS配置实例 RADIUS服务器配置 n下面以RADIUS服务器软件WinRADIUS为例说明RADIUS服务器的设置。 l1、打开WinRADIUS.exe，打开菜单添加帐号，新增一个账户，用户名为zte，密码为zte，点击返回。RADIUS配置实例 RADIUS服务器配置（续）n2、打开菜单系统设置，设置NAS密钥为ZTEGER，认证端口1812，点击返回。RADIUS配置实例 网络设备配置n1、配置RADIUS服务器：ZXR10(config)#radius authentication-group 1ZXR10(config-authgrp-1

29、)#server 1 5 key ZTEGER port 1812ZXR10(config-authgrp-1)#server 2 6 key ZTEGER port 1812 n2、配置RADIUS服务器参数：ZXR10(config-authgrp-1)#timeout 30ZXR10(config-authgrp-1)#max-retries 6 n3、更改TELNET用户的认证方式：ZXR10(config)#user-authentication-type radius 1 内容提要n管理平面安全概述 n带外管理n密码加密n关闭不用的服务n

30、Telnet连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全TACACS概述 n终端访问控制器访问控制系统（TACACS+）通过一个或多个中心服务器为路由器、网络访问服务器以及其它网络处理设备提供了访问控制服务。n与RADIUS不同，TACACS+支持独立的认证（authentication）、授权（authorization）和计费（accounting）功能。TACACS+应用传输控制协议（TCP），而RADIUS使用用户数据报协议（UDP）。 nTACACS+由TACACS和XTACACS发展而来，是TACACS的最新版本

31、，与前两个版本不兼容。TACACS+改进了TACACS和XTACACS，将认证（authentication）、授权（authorization）和计费（accounting）相分离，并且将NAS和安全服务器之间的数据传输加密。 配置TACACS n1、使能/关闭TACACS协议：ZXR10(config)# tacacs enable | disable n2、TACACS服务器参数配置：命令功能ZXR10(config)#tacacs-server host key port timeout 设置单个TACACS服务器ZXR10(config)# tacacs-server key 设置N

32、AS和服务器交换报文使用的加密密钥，长度163个字符（不能包括空格），服务器中定义的密钥必须和此相同 ZXR10(config)# tacacs-server timeout 设置TACACS+服务器连接超时时长，单位为秒，范围11000，缺省为5秒 ZXR10(config)# tacacs-server packet 配置TACACS+报文长度，默认1024，范围10244096 配置TACACS（续）n3、配置TACACS客户端地址，端口号范围102565535 ：ZXR10(config)# tacacs-client port n4、配置AAA服务器组。l进入TACACS服务器组配置

33、模式 ：ZXR10(config)# aaa group-server tacacs+ l配置TACACS服务器组成员 ZXR10(config-sg)# server port 配置TACACS（续）n5、配置用户认证 。l全局配置用户认证方式 ：ZXR10(config)#user-authentication-type local | radius| tacacs+ l定义AAA认证方法列表 ：ZXR10(config)# aaa authentication login | enable default local | group | none 配置TACACS（续）n6、配置用户授权

34、l制定用户授权方式：ZXR10(config)# user-authorization-type local | tacacs+ l定义AAA授权方法列表 ZXR10(config)# aaa authorization exec default local | group | if-authenticated | none 配置TACACS（续）n7、配置用户记账 ZXR10(config)# aaa accounting commands default none | stop-only group TACACS配置实例 配置任务n配置用户登录认证方法为TACACS组认证；nenable认

35、证方法为先本地认证，如果认证不通过，进行TACACS组认证；n授权方法也为先本地认证，如果本地认证不通过，进行TACACS组认证；并对10级用户进行记账。TACACS配置实例 配置n配置如下：ZXR10#configure terminalEnter configuration commands, one per line. End with CTRL/Z.ZXR10(config)#tacacs enableZXR10(config)#tacacs-server host key zteZXR10(config)#aaa group-server tacacs+ zt

36、eZXR10(config-sg)#server ZXR10(config-sg)#exitZXR10(config)#user-authentication-type tacacs+ZXR10(config)#aaa authentication login default group zteZXR10(config)#aaa authentication enable default local group zteZXR10(config)#user-authorization-type tacacs+ZXR10(config)#aaa authorization e

37、xec default local group zteZXR10(config)#aaa accounting commands 10 default stop-only group zte 内容提要n管理平面安全概述 n带外管理n密码加密n关闭不用的服务nTelnet连接限制n断开空闲的管理连接n通过SSH连接配置设备 nCLI权限分级 nRADIUSnTACACSnSNMP安全安全SNMP概述n简单网络管理协议（SNMP：Simple Network Management Protocol）是由互联网工程任务组（IETF：Internet Engineering Task Force）定义

38、的一套网络管理协议。利用SNMP，一个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改网络设备配置、接收网络事件警告等。nSNMP协议是基于服务器和客户端的管理模式，后台网管服务器作为SNMP服务器，前台网络设备作为SNMP客户端。 SNMP概述（续）nSNMP管理的网络有三个主要组成部分：l管理的设备：是一个网络节点lSNMP代理：被管理设备上的一个网络管理软件模块 l网络管理系统：即NMS，运行应用程序以实现监控被管理设备 n目前，SNMP有3种：SNMPv1、SNMPv2、SNMPv3。 配置SNMP n1、设置SNMP报文共同体（Community Name）：

39、ZXR10(config)# snmp-server community view ro | rw 参数是一个任意的字符串（132），需要同网络服务器验证该共同体名，如果匹配了才会处理该SNMP报文 配置SNMP（续）n2、定义SNMPv2视图：ZXR10(config)# snmp-server view included | excluded n3、设置MIB对象的系统负责人联系方式（sysContact） ZXR10(config)# snmp-server contact n4、设置MIB对象的所在位置（sysLocation）：ZXR10(config)# snmp-server l

40、ocation 配置SNMP（续）n5、设置允许发送的TRAP的类型：ZXR10(config)#snmp-server enable trap n6、设置TRAP目的主机 ZXR10(config)# snmp-server host inform | trap version 1 | 2c | 3 | mng | vrf n7、使用ACL控制SNMP协议访问系统的主机地址 ：ZXR10(config)#snmp-server access-list 配置SNMP（续）n8、配置SNMPv3 context名称：ZXR10(config)#snmp-server context n9、配置SNMPv3的组：ZXR10(config)#snmp-server group v3 auth | noauth | pri