设备tacacs+配置方法编程频道|福州电脑网

2024年1月2日发(作者：)

黑龙江综合网管系统网络设备配置方案

1：SE800 设备几种命令状态及设备配置介绍

1.1 命令状态

1. router>

路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。需要输入enable命令才能进入特权命令状态。

2. router#

在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3. router(config)#

在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4. router(config-if)#; router(config-line)#; router(config-router)#;…

路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

5. >

路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

1.2：SE800 配置内容介绍：

Contexts:

实例，一个设备运行多个实例，每个实例有自己独立的路由能力和域的管理，以及独立的路由协议，认证和记账等等。每个实例可用于相应的服务分类，实例之间也能通信。系统有一个默认的context，名字为local，这个实例是不能被删除并常用于管理。

Interfaces：

一种逻辑接口，提供给高层协议（如3层IP地址）或服务信息，这个逻辑接口配置在相应的context下，并独立于物理端口/链路。高层协议要生效的一个前提是该逻辑接口要关联到相应的物理端口/链路上。

Subscribers：

终端用户，是context配置里面的一部分，用于描述终端用户的特性，包括使之能绑定到相应interface接口或满足某些context或服务所需要的信息，以及其他一些配置信息，如认证，接入控制，限速，策略信息等。

Ports,Channels,and Circuits：

这些是物理的端口/链路，上层协议的实现需要与相应的物理端口/链路做绑定，用专门的bind命令。

Cross-connections：

二层交叉互连，可以做到在任何板卡的任何端口/链路上的Vlan之间的二层交叉互联，同时支持Vlan/Svlan/ATM PVC 之间的任意的交叉互连。例如从一个端口/链路的Vlan100进，从另外一个口的Vlan199出。

Bindings：

绑定。将物理端口/链路/链路与上层协议配置进行绑定，仅在做完绑定后端口/链路才有流量进出。分为静态绑定和动态绑定。静态绑定中，物理端口/链路可以直接绑定到逻辑interface上，也可以绑定到特定的subscriber用户上，用户再映射到某个逻辑interface上。动态绑定是指基于会话信息的绑定，如PPPoE会话，一个PPP封装形式的会话通过其特定的域名（如@adsl、@lan等）绑定到相应的context的逻辑

interface接口中。

1.3：Redback Bras SE 800常用命令

一、查看用户和配置用户

show sub sum all//查看总的用户的数量,包括各个context的用户

show sub//查看当前所在context的用户

sh circuit counters sub//查看每个用户的流量

sh circuit counters 13/1 vlan-id 500 live //查看13/1端口vlan 500中每个用户的流量

show pppoe sub 2/4//查看2/4端口的用户(10K、SE800)

sh pppoe sub 13/1 vlan-id 521 pppoe//查看port 13/1 的vlan-id 521用户

sh pppoe up all | grep 521//查看vlan-id 521的用户

sh pppoe up all | grep 521 | count //查看vlan-id 521的用户数量

show config qos //显示 se 800的qos配置

show config acl //显示 se 800的acl配置

show config port //显示 se 800的port下的配置

show config context //显示 se 800的context adsl的配置

show administrators或show user//显示登录se 800的用户

clear administrator bjgti@local ttyp0//清楚用户ttyp0的bjgti@local用户

二、OSPF、BGP路由协议

show ip route summ all//查看所有context的路由总体情况

show ospf nei//查看ospf的neighbor

show ospf route summ//查看ospf的路由简要情况

show bgp nei summ//查看bgp的neighbor

show bgp route ipv4 vpn summ //查看bgp协议交换的ipv4 vpn路由情况，一般用在mpls vpn（2547bis）中

2：3A认证系统介绍和相关知识介绍

2.1： AAA系统的简称：

认证(Authentication)：验证用户的身份与可使用的网络服务；

授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

常用的AAA协议是Radius，参见RFC 2865，RFC 2866。

另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议

HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

2.2：TACACS + 和RADIUS比较

RADIUS背景

RADIUS是使用AAA协议的接入服务器。它是获取对网络和网络服务的远程访问未被授权的访问分布式安全的系统。RADIUS 包括三个组件：

一个协议带有使用用户数据协议的帧格式(UDP)/IP

一个服务器

一个客户端

网络接入服务器(NAS)运行作为RADIUS的客户端。客户端负责通过用户信息对指定的 RADIUS服务器，然后操作在返回的回应。 RADIUS服务器负责对收到用户连接请求，验证用户，然后返回所有配置信息必要为客户端提供服务到用户。RADIUS服务器能作为代理客户端到其他认证服务器。

灵活的认证机制

RADIUS服务器支持各种各样的方法验证用户。当它带有用户时和原始密码产生的用户名，可以支持PPP、密码验证协议(PAP) 或者质询握手验证协议(CHAP)、UNIX登录和其他认证机制。

以下部分比较TACACS+和RADIUS几个功能。

UDP和 TCP

当TACACS+使用TCP时，RADIUS使用UDP。 TCP提供几个优点胜过UDP。而UDP 提供最佳效果发送，TCP提供面向连接的传输。 RADIUS要求另外的可编程变量例如转播企图和超时补尝尽力而为传输，但缺乏 TCP传输提供内置支持的级别：

使用 TCP如何提供单独确认请求收到了，在(近似)网络往返时间(RTT之内 )不管装载并且减慢后端验证机制(TCP应答)也许是。

TCP提供一失败或者不的立即指示，服务器由重置 (RST负责操行)。您能确定当服务器失效并且回到

服务时如果使用长寿命的TCP连接。UDP不能说出发生故障的服务器，一个慢速服务器和一个不存在的服务器的之间差别。

使用TCP Keepalive，服务器失败可以被发现带外带有实际请求。与多个服务器的连接可以同时被维护，并且您只需要寄发消息到那个被知道是正在运行的。

TCP是更加可升级的并且适应生长，并且拥塞，网络。

信息包加密

RADIUS在访问请求信息包加密仅密码，从客户端到服务器。信息包的剩下的事末加密。其他信息，例如用户名，核准的服务和认为，能由第三方捕获。

TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。在头之内指示的字段机体不论是否被加密。为调试目的，它是有用的有信息包的机体末加密。然而，在正常运行期间，信息包的机体为安全通信充分地被加密。

认证和授权

RADIUS结合认证和授权。RADIUS服务器发送的访问接受信息包到客户端包含授权信息。这使它难分离认证和授权。

TACACS+使用AAA体系结构，分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。例如，带有TACACS+，使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证，请求授权信息从TACACS+服务器没有必须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证，并且服务器然后提供授权信息。

HWTACACS与RADIUS的不同在于：

l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

2 RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

3 RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

路由器管理： RADIUS不允许用户控制哪些命令在路由器可以被执行并且哪些不能。所以， RADIUS不是如有用为路由器管理或如灵活为终端服务。

TACACS+提供二个方法控制router命令的授权根据一个单个用户或单个组的基本类型。第一个方法将指定权限级别到命令和安排路由器用TACACS+服务器验证用户是否被认证在指定的权限级别。第二个方法是指定在TACACS+服务器，在一个单个用户或单个组的基本类型，明确命令允许。

2.3 ：AAA认证、授权、记账模式介绍

AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

组合认证模式是有先后顺序的。例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

当组合认证模式使用不认证时，不认证（none）必须放在最后。例如：authentication-mode radius

local none。

认证模式在认证方案视图下配置。当新建一个认证方案时，缺省使用本地认证。

授权方案与授权模式

AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式，并允许组合使用。

组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权，HWTACACS授权没有响应再使用本地授权。

当组合授权模式使用直接授权的时候，直接授权必须在最后。例如：authorization-mode

hwtacacs local none

授权模式在授权方案视图下配置。当新建一个授权方案时，缺省使用本地授权。

RADIUS的认证和授权是绑定在一起的，所以不存在RADIUS授权模式。

计费方案与计费模式

AAA支持六种计费模式：本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。

TACACS+ (TCP端口49，不是XTACACS UDP 端口49)

3：网络设备上的Tacacs+ 配置

3.1：SE800上tacacs+配置

//注意SE800配置tacacs+ 首先要配置记账和授权，最后配置认证，因为认证是起用tacacs+

认证，要是先配置了认证，那tacacs+ 认证找不到认证服务器，造成配置不成功。

interface local-loopback loopback

ip source-address tacacs+

aaa accounting administrator tacacs+

aaa authorization commands 1 tacacs+

aaa accounting commands 1 tacacs+

tacacs+ strip-domain

tacacs+ server 60.215.133.10 key ******

aaa authentication administrator tacacs+ local

3.2：NE5000E 设备配置 Tacacs+ 认证

（采用默认端口49，radius认证采用端口1812/1813）

配置步骤

步骤 1 配置HWTACACS服务器模板。

# 配置HWTACACS服务器模板ht。

[Router] hwtacacs-server template ht

# 配置HWTACACS主认证、授权IP地址和端口。

[Router-hwtacacs-ht] hwtacacs-server authentication 60.215.133.10

[Router-hwtacacs-ht] hwtacacs-server authorization 60.215.133.10

# 配置HWTACACS备认证、授权、计费服务器IP地址和端口。

[Router-hwtacacs-ht] hwtacacs-server authentication 60.215.133.10 secondary

[Router-hwtacacs-ht] hwtacacs-server authorization 60.215.133.9 secondary

# 配置HWTACACS服务器密钥。

[Router-hwtacacs-ht] hwtacacs-server shared-key it-is-my-secret

[Router-hwtacacs-ht] quit

步骤 2 配置认证方案、授权方案。

# 进入AAA视图。

[Router] aaa

# 配置认证方案l-h，认证方法为先本地认证，后HWTACACS认证。

[Router–aaa] authentication-scheme l-h

[Router-aaa-authen-l-h] authentication-mode local hwtacacs

[Router-aaa-authen-l-h] quit

# 配置授权方案hwtacacs，授权方法为HWTACACS。

[Router–aaa] authorization-scheme hwtacacs

[Router–aaa-author-hwtacacs] authorization-mode hwtacacs

[Router–aaa-author-hwtacacs] quit

步骤 3 配置huawei域，在域下采用l-h认证方案、hwtacacs授权方案ht的HWTACACS模板。

[Router-aaa] domain huawei

[Router-aaa-domain-huawei] authentication-scheme l-h

[Router-aaa-domain-huawei] authorization-scheme hwtacacs

[Router-aaa-domain-huawei] hwtacacs-server ht

步骤 4 检查配置结果

display hwtacacs-server template template

display domain

3.3：Alpine3808/BD6808/Summit48 配置

configure tacacs primary shared-secret lczhwg

configure tacacs primary server 60.215.133.10 client-ip 61.156.42.163

（注client-ip 为客户机，即要配置3A认证的设备）

configure tacacs secondary shared-secret lczhwg

configure tacacs secondary server 60.215.133.9 client-ip 61.156.42.163

configure tacacs-accounting primary shared-secret lczhwg

configure tacacs-accounting primary server 60.215.133.10 client-ip 61.156.42.163

configure tacacs-accounting secondary shared-secret lczhwg

configure tacacs-accounting secondary server 60.215.133.9 client-ip 61.156.42.163

enable tacacs

enable tacacs-authorization

user access(不需要做）

enable tacacs-accounting

取消

disable tacacs

disable tacacs-authorization

disable tacacs-accounting

3.4：. 华为NE16

user-interface vty 0 4

authentication-mode scheme default

aaa enable

radius server 218.202.155.210 auth-primary

radius server 218.202.155.211

radius shared-key CMCC!@#

aaa authentication-scheme login default radius-local

info-center loghost 218.202.155.210

info-center source SHELL channel 2

info-center loghost source LoopBack0

3.5：华为NE40

user-interface vty 0 4

authentication-mode scheme default

aaa enable

radius server 218.202.155.210 auth-primary source LoopBack0

radius server 218.202.155.211 source LoopBack0

radius shared-key CMCC!@#

aaa authentication-scheme login default radius local

info-center enable

info-center loghost 218.202.155.210

info-center source SHELL channel 2

info-center loghost source LoopBack0

4：网络设备SNMP网管监控

4.1 华为SNMP网管监控

！设置团体名和访问权限。

Quidway(config)#snmp-server community public ro

Quidway(config)#snmp-server community private rw

！设置管理员标识、联系方法以及路由交换机的物理位置。

Quidway(config)#snmp contact -Tel:3306

Quidway(config)#snmp location 3rd-floor

！设置连接网管设备的MEth接口IP地址。

Quidway(config-if-MEth0)#ip address 129.102.0.1 255.255.255.0

！允许发送Trap和Autherntication Trap。

Quidway(config)#snmp enable traps

Quidway(config)#snmp trap-source meth 0

Quidway(config)#snmp host 129.102.149.23 version 1 public

4.2：Juniper上SNMP的配置

snmp {

community public {

authorization read-only;

clients {

10.39.248.73/32;

}

trap-options {

source-address 10.139.218.20;

}

trap-group snmptrap {

targets {

10.139.148.85;

}

4.3：思科设备SNMP 配置

Cisco网际操作系统（IOS）是一个为网际互连优化的复杂的操作系统——类似一个局域操作系统（NOS）、如Novell的NetWare，为LANs而进行优化。IOS为长时间经济有效地维护一个互联网络提供一下统一的规则。简而言之，它是一个与硬件分离的软件体系结构，随网络技术的不断发展，可动态地升级以适应不断变化的技术（硬件和软件）。IOS可以被视作一个网际互连中枢：一个高度智能的管理员，负责管理的控制复杂的分布式网络资源的功能

在IOS的Enable状态下，敲入

config terminal 进入全局配置状态

Cdp run 启用CDP

snmp-server community gsunion ro 配置本路由器的只读字串为gsunion

snmp-server community gsunion rw 配置本路由器的读写字串为gsunion

snmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去

snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串

snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址

logging on 起动log机制

logging IP-address-server 将log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog server

logging facility local7 将记录事件类型定义为local7

logging trap warning 将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslog server.

logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址

service timestamps log datetime 发送记录事件的时候包含时间标记

enable password ******

line tty 0 4

password ******

show running

copy running start或write terminal 显示并检查配置

保存配置

设置CatOS设备

是Cisco交换机的操作系统

在CatOS的Enable状态下，敲入

set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码

Set cdp enable all 启用CDP

set snmp community read-only gsunion 配置本交换机的只读字串为public

set snmp community read-write-all gsunion 配置本交换机的读写字串为private

set snmp trap server-ip gsunion 指定交换机SNMP Trap的接收者为网管服务器，发送Trap时采用gsunion作为字串

set snmp trap enable all 将全部类型的SNMP Trap发送出去

set snmp rmon enable 激活交换机的SNMP RMON功能

set logging server IP-address-server 将log记录发送到网管服务器的IP

(CW2K安装机器的IP地址)上的syslog server

set logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog server

set logging server facility local7 将记录事件类型定义为local7

set logging timestamp 发送记录事件的时候包含时间标记

set logging enable 起动log机制

set password ******

set enablepass ******

设置Enable口令和Telnet口令

show running

write terminal 显示并检查配置

保存配置

配置PIX设备

Logging on 在PIX上面启用日志记录

Snmp-server community gsunion 为PIX设备配置共同体串gsunion

Snmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器

Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器

Logging history warning

为PIX设备SNMP系统日志消息设置warning级别。

5：syslog的snmp配置

设置IOS设备

在IOS的Enable状态下，敲入

config terminal 进入全局配置状态

Cdp run 启用CDP

snmp-server community gsunion ro 配置本路由器的只读字串为gsunion

snmp-server community gsunion rw 配置本路由器的读写字串为gsunion

snmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去

snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串

snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址

logging on 起动log机制

logging IP-address-server 将log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog server

logging facility local7 将记录事件类型定义为local7

logging trap warning 将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslog server.

logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址

service timestamps log datetime 发送记录事件的时候包含时间标记

enable password ******

line tty 0 4

password ******

show running

copy running start或write terminal 显示并检查配置

保存配置

设置CatOS设备

是Cisco交换机的操作系统

在CatOS的Enable状态下，敲入

set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码

Set cdp enable all 启用CDP

set snmp community read-only gsunion 配置本交换机的只读字串为public

set snmp community read-write-all gsunion 配置本交换机的读写字串为private

set snmp trap server-ip gsunion 指定交换机SNMP Trap的接收者为网管服务器，发送Trap时采用gsunion作为字串

set snmp trap enable all 将全部类型的SNMP Trap发送出去

set snmp rmon enable 激活交换机的SNMP RMON功能

set logging server IP-address-server 将log记录发送到网管服务器的IP (CW2K安装机器的IP地址)上的syslog server

set logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog server

set logging server facility local7 将记录事件类型定义为local7

set logging timestamp 发送记录事件的时候包含时间标记

set logging enable 起动log机制

set password ******

set enablepass ******

设置Enable口令和Telnet口令

show running

write terminal 显示并检查配置

保存配置

配置PIX设备

Logging on 在PIX上面启用日志记录

Snmp-server community gsunion 为PIX设备配置共同体串gsunion

Snmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器

Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器

Logging history warning

为PIX设备SNMP系统日志消息设置warning级别。

6：配置备份命令： tftp命令

配置备份管理”功能。实现核心、汇聚、BRAS 、交换机的自动配置备份工作

此工作需要局方人员依据设备的备份方式在设备上创建相应的配置备份帐户，并提供相应的帐号/密码（特殊设备需要提供配置文件名），在综合网管系统的“配置备份管理—添加网络设备” 中添加要做自动备份的设备信息，或是在执行设备“立即备份 “时填写设备的相关信息。

tftp命令向运行平凡文件传输协议 (TFTP) 服务或 daemon 的远程计算机（尤其是运行 UNIX 的计算机）传输文件或从运行平凡文件传输协议 (TFTP) 服务或

daemon 的远程计算机（尤其是运行 UNIX 的计算机）传输文件。

语法

tftp [-i] [Host] [{get | put}] [Source] [Destination]

参数

-i

指定二进制图像传送模式（也称为八进制模式）。在二进制图像模式下，文件以一个字节为单位进行传输。在传送二进制文件时使用该模式。如果省略了 -i，文件将以 ASCII 模式传送。这是默认的传送模式。该模式将行尾 (EOL) 字符转换为指定计算机的适当格式。传送文本文件时使用该模式。如果文件传送成功，将显示数据传输率。

Host

指定本地或远程计算机。

put

将本地计算机上的 Destination 文件传送到远程计算机上的 Source 文件。因为 TFTP 协议不支持用户身份验证，所以用户必须登录到远程计算机，同时文件在远程计算机上必须可写。

get

将远程计算机上的 Destination 文件传送到本地计算机上的 Source 文件。

Source

指定要传送的文件。

Destination

指定将文件传送到的位置。如果省略了 Destination，将假定它与 Source 同名。

在命令提示符显示帮助。

注释

使用 get 参数

如果将本地计算机上的文件 FileTwo 传送到远程计算机上的文件 FileOne，则指定 put。如果将远程计算机上的文件 FileTwo 传送到远程计算机上的文件

FileOne，则指定 get。

只有当网际协议 (TCP/IP) 协议在网络连接中安装为网络适配器属性的组件时，该命令才可用。

范例

要从本地计算机将文件传送到远程计算机 vax1 上的

，请键入：

tftp vax1 put

设备tacacs+配置方法

发布评论取消回复

最近发表

相关推荐

标签列表

设备tacacs+配置方法

发布评论 取消回复

最近发表

相关推荐

标签列表

发布评论取消回复