《Sx700交换机HWTACACS技术白皮书.docx》由会员分享,可在线阅读,更多相关《Sx700交换机HWTACACS技术白皮书.docx(45页珍藏版)》请在第壹文秘上搜索。
1、S系列交换机Hwtacacs技术白皮书文档版本V1.0发布日期2015-08-081技术简介1-11.1 技术简介1-11.1.1 概述1-11.1.2 技术优势1-12原理描述2-42.1 基本概念2-41 .1.1网络组成2-42 .2Hwtacacs报文2-52.2 工作原理2-52.2.1 Hwtacacs工作流程2-52.2.2 Hwtacacs认证2-62.2.3 Hwtacacs授权2-82.2.4 Hwtacacs计费2-o3应用场景2-123.1采用HWTACACS协议进行认证、授权和计费2-123.2命令行授权2-1533Hwtacacs服务器上账户密码修改和老化2-233
2、.4管理用户提升优先级2-284参考标准和协议2-335附录2-34HWTACACS技术白皮书摘要:Hwtacacs是实现aaa功能的一-种安全协议,主要是通过Hwtacacs客户端与Hwtacacs服务器通信来实现多种用户的AAA功能。关键词:Hwtacacs.TACACs、radius、aaa、设备管理、命令行授权缩略语:英文缩写英文全称中文全称HwtacacsHUAWEITerminalAccessControllerAccessControlSystem华为终端访问控制器控制系统TACACSTerminalAccessControllerAccessControlSystem终端访问控
3、制器控制系统TACACS+TerminalAccessControllerAccessControlSystemplusCisco对TACACS的增强协议RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务AAAAuthentication,Authorization,Accounting认证、授权、计费NASNetworkAccessServer网络接入服务器ACSAccessControlServer访问控制服务器BRASBroadbandRemoteAccessServer宽带远程接入服务器EXECExecutable可执行命令的1
4、技术简介1.l技术简介1.1.1 概述AAA是AUthentiCatiOn(认证)、Authorization(授权)和ACCOUnting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种功能。HWTACACS是实现AAA功能的一种安全协议,它与RADlUS协议类似,主要是通过HWTACACS客户端与HWTACACS服务器(即客户端/服务器模式)通信来实现多种用户的AAA功能。HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的安全协议,使用公共密钥对传输的用户信息进行加密,具有较好的安全性和灵活性。HWTACACS采用TCP协议承载报文,TCP端口号是
5、49,它相对于RADIUS使用UDP协议,使得传输更加可靠。HWTACACS认证功能,可以对802.IX、PortakPPP等普通接入用户进行认证,也可以对串口、telnetSSH.ftp等管理用户进行认证。同样,HWTACACS授权功能,既可以对普通接入用户进行授权,也可以对登陆设备的管理用户进行授权,还可以对管理用户的每条命令进行授权。HWTACACS计费功能,既可以对普通接入用户上线时间的传统意义的网络计费,还可以记录管理用户登陆到设备停留时间记录,用户执行操作命令进行记录等。Hwtacacs兼容cisco的TACACs+协议,华为交换机作为Hwtacacs客户端可以和TACACs+服务
6、器对接实现AAA功能。1.1.2 技术优势HWTACACS协议与RADlUS协议相比较,具有以下优势。从HWTACACS优势来看,HWTACACS更适合设备控制管理;RADlUS协议更适合接入用户管理,两种协议对比,参见表1所示。 AAA功能灵活部署AAA功能的认证、授权和计费,这三个过程是可以完全分离的,即用户可以只认证不授权,或者只授权不认证,或者单单只计费。 设备管理更安全灵活采用HWTACACS对登陆到设备的管理用户进行命令行授权,用户执行每条命令行时均进行权限控制,只有授权通过后才可以执行该命令,否则不能执行,这样用户可使用的命令行受到命令级别和AAA授权的双重限制,针对不同级别的管
7、理用户进行精细化的命令行操作授权,使得设备管理更加安全和灵活。 网络传输更可靠HFrACACS采用TCP协议承载,TCP协议是面向连接的,而RADnJS协议是采用UDP报文传输的,HWTACACS报文网络传输更加可靠。 传输安全性更高HWTACACS会对除标准的HWTACACS报文头外,对报文主体全部进行加密,使得在报文传输过程中更加安全。表1Hwtacacs协议与radius协议的对比HwtacacsRADIUS通过TCP传输,网络传输更可靠。通过UDP传输,网络传输效率及性能更高。除了标准的Hwtacacs报文头,对报文主体全部进行加密。只是对认证报文中的密码字段进行加密。认证与授权分离,
8、使得认证、授权服务可以在不同的安全服务器上实现。例如,可以用一台Hwtacacs服务器进行认证,另外一台Iiwtacacs服务器进行授权。认证与授权结合,难以分离。对设备上的配置命令进行授权使用。即用户可使用的命令行受到命令级别和AAA授权的双重限制,某一级别的用户输入的每一条命令都需要通过HWTCCS服务器授权,如果授权通过,命令才可以被执行。不支持对设备上的配置命令进行授权使用。用户登录设备后可以使用的命令行由用户级别决定,用户只能使用级别等于或低于用户级别的命令行。hwtaccs属于私有协议,兼容tccs+。RADIUS是标准协议,基本所有主流设备厂商都支持,可对接的服务器选择更多;RA
9、DluS属性包括标准属性和私有属性,各设备厂商可对私有属性进行灵活扩展,以实现标准RADIUS没有定义的功能。HWTACACS在命令行授权、修改服务器上管理用户密码等设备控制方面具有优势,更适合设备用户管理。RADlUS属性易扩展、网络传输效率及性能优,RADIUS协议各服务器厂商支持最为完善,服务器选择多,在实际网络规划中应用最为广泛。2原理描述2.1 基本概念2.1.1 网络组成HWTACACS协议用于802.lx、PortahPPP等接入用户以及对设备进行操作的TeInet、ssh、FTP等管理用户的认证、授权和计费,如图1所示,主要由用户、Hwtacacsclient、HWTACACS
10、SerVer三部分组成。HwtacacsCIient通常也称为NAS网络接入服务器,Switch可作为NAS对用户访问网络资源进行控制,NAS和HWTACACSSerVer基于HWTACACS协议实现对用户的AAA功能。HWTACACSSCrVer可以部署主备服务器,当主HWTACACSSCrVer服务器故障不能访问,NAS会切换到备HWTACACSSerVer去认证、授权和计费,保证用户业务不中断。(Backup )(Master)图1基Hwtacacs协议的AAA组网2.2Hwtacacs报文 Hwtacacs认证报文包括三种类型:认证开始报文(AUthentiCationStart):认
11、证开始时,客户端向服务器发送认证开始报文,该报文中包括认证类型,同时可能包括用户名和一些认证数据。认证持续报文(AUthentiCatiOnContinue):客户端接收到服务器回应的认证回应报文后,如果确认认证过程没有结束,则使用认证持续报文响应。认证回应报文(AUthentiCatiOnReply):服务器接收到客户端发送的认证开始报文或认证持续报文后,向客户端发送的唯一一种认证报文,用于向客户端反馈当前认证的状态。 Hwtacacs授权报文包括两种类型:授权请求报文(AuthorizationRequest):HWTACACS的认证和授权是分离的,用户可以使用Hwtacacs认证而使用其
12、他协议进行授权。如果需要通过Hwtacacs进行授权,则客户端向服务器发送授权请求报文,该报文中包括了授权所需的一切信息。授权回应报文(AuthorizationResponse):服务器接收到授权请求报文后,向客户端发送授权回应报文,该报文中包括了授权的结果。 Hwtacacs计费报文包括两种类型:计费请求报文(ACCOUmingReqUest):该报文中包括了计费所需的信息。计费回应报文(AccountingResponse):服务器接收并成功记录计费请求报文后,需要回应一个计费响应报文。2.2工作原理2.2.Hwtacacs工作流程下面以Tehlet管理用户为例,说明使用HWTACACS
13、对用户进行认证、授权和计费的过程。基本消息交互流程图如图2所示。UserNASW1ACACSClient)HwiACACSServer少7L用户登陆认证开始报文认证回应报文,请求用户名向用户申请用户名用户输入用户名认证持续报文,向服务器发送用户名认证回应报文,请求密码向用户申请密码用户输入密码认证持续报文,向服务器发送密码认证回应报文,认证通过授权请求报文授权回应报文,授权通过用户登陆成功计费开始报文计费开始报文回应用户退出计费结束报文计费结束报文回应图2HWTACACS的基本消息交互流程2.2.2 Hwtacacs认证 接入用户和管理用户认证HrrACACS用户认证分不认证、本地认证、远端认
14、证。不认证对用户非常信任,对用户合法性不作检查,一般不建议使用;本地认证是将用户名和密码等信息直接配置在NAS上,不需要额外部署HwTACACS服务器,可以降低投入成本,但由于NAS存储用户信息有限,适合用户数少的场景;远端认证用户名和密码等信息配置在远端的HWTACACS服务器上,对用户信息集中管理,适合用户数较多的场景。Hwtacacs认证方案支持一次认证方法或多次认证方法的组合。网络中可能出现认证服务器本身故障或NAS到认证服务器中间链路故障,用户在认证过程中得不到认证服务器的响应,用户就不能成功认证接入网络,Hwtacacs认证方案的多次认证组合为这种故障提供了旁路机制。多次认证是按照
15、认证方法的配置顺序执行,采用当前认证方法进行认证的时,只有在认证服务器无响应的情况下,才会尝试下一个认证方法。如果当前认证方法已认证失败,则按认证失败处理,不会尝试下一个认证方法。如果选用了多次认证,不认证只能是最后一个认证方法。 管理用户级别提升认证为了限制不同管理用户对设备的访问权限,系统对用户进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录设备后,只能使用等于或低于自己级别的命令。但在有些情况下,用户需要在不退出当前登录或不断开当前连接的前提下,提升自身的用户级别,让自己享有更高的命令操作权限。用户级别的提升需要认证,只有认证通过,才赋予该管理用户新的访问权限,但用户从当前高级别权限向低级别切换时,无需认证。如维护人