1. 多厂商网络设备AAA认证概述在企业混合网络环境中不同厂商的网络设备如Cisco、Ruijie、H3C、华为往往需要统一的管理和认证机制。AAAAuthentication, Authorization, Accounting认证框架就是解决这一问题的关键方案。简单来说AAA就像是一个网络门禁系统认证确认你是谁授权决定你能做什么计费记录你做了什么。我遇到过不少企业还在为每台设备单独维护本地账号每次人员变动都要逐台修改不仅效率低下还容易出错。通过部署Tacacs或Radius协议可以实现集中管理所有网络设备的登录权限根据不同角色分配精细的操作权限完整记录运维人员的操作日志兼容Cisco、华为等主流厂商设备2. Tacacs与Radius协议对比2.1 协议特性差异特性TacacsRadius传输协议TCP/49UDP/1812,1813加密方式全程加密仅密码加密报文结构拆分为独立报文组合报文授权粒度支持命令级授权通常为会话级授权适用场景网络设备管理用户接入认证实测中发现Tacacs在设备管理场景更占优势。比如当需要限制工程师只能执行show命令时Tacacs可以直接控制到具体命令而Radius通常只能控制到权限级别。2.2 典型部署方案根据企业规模不同我推荐两种部署模式中小型企业使用单台服务器同时运行Tacacs和Radius服务大型企业采用主备双机部署通过Keepalived实现高可用注意Cisco设备对Tacacs支持最好而华为/H3C设备更倾向使用Radius协议。混合环境建议两种协议都部署。3. Cisco设备配置实战3.1 Tacacs配置步骤# 启用AAA功能 configure terminal aaa new-model # 配置Tacacs服务器 tacacs-server host 10.3.3.3 key Aa123456 # 创建认证列表 aaa authentication login TACACS_LIST group tacacs local # 创建授权列表 aaa authorization exec TACACS_LIST group tacacs local # 应用到vty线路 line vty 0 4 login authentication TACACS_LIST authorization exec TACACS_LIST transport input ssh这里有个坑要注意最后一定要配置local作为后备认证方式否则当Tacacs服务器不可用时会导致设备被锁定。我曾经就因此半夜跑去机房救火...3.2 Radius配置示例# Radius服务器配置 radius-server host 10.3.3.4 key Radius123 # 认证配置 aaa authentication login RADIUS_LIST group radius local # 计费配置 aaa accounting exec RADIUS_LIST start-stop group radius4. 华为/H3C设备配置4.1 H3C HWTacacs配置# 创建hwtacacs方案 hwtacacs scheme h3c_scheme primary authentication 10.3.3.3 primary authorization 10.3.3.3 key authentication cipher H3c123 # 配置认证域 domain h3c_domain authentication login hwtacacs-scheme h3c_scheme local authorization login hwtacacs-scheme h3c_scheme local4.2 华为Radius配置# 创建Radius服务器模板 radius-server template huawei_template radius-server shared-key cipher Huawei123 radius-server authentication 10.3.3.4 1812 # 配置认证方案 aaa authentication-scheme radius_scheme authentication-mode radius local5. 锐捷设备特殊配置锐捷设备在配置AAA时需要注意几个特殊参数# 锐捷特有的dead-criteria设置 radius-server dead-criteria time 5 tries 3 # 必须配置的dot1x认证 dot1x authentication default dot1x accounting default # VTY线路配置 line vty 0 4 login authentication RUIJIE_LIST transport input ssh6. 排错与验证技巧遇到认证失败时可以按照以下步骤排查基础连通性检查ping测试服务器可达性密钥验证确认设备与服务器使用相同的共享密钥日志分析在设备上执行debug tacacs或debug radius服务器侧检查查看认证日志确认收到请求报文常用验证命令# Cisco设备 test aaa group tacacs username password legacy # 华为/H3C设备 display hwtacacs scheme display radius statistics7. 企业级部署建议根据多年实施经验给出几个实用建议权限分级建议分为网络管理员、操作员、审计员三级角色命令过滤限制高危命令如reload、delete的执行日志归档配置Syslog将日志同步到外部服务器应急预案保留至少一个本地管理员账户曾经有个客户因为过度依赖AAA服务器在服务器故障时导致全网设备无法管理。后来我们改进方案为每台设备配置了应急本地账号并通过ACL限制只能从管理终端登录。
多厂商网络设备AAA认证实战:Cisco/Ruijie/H3C/华为Tacacs+与Radius配置详解
1. 多厂商网络设备AAA认证概述在企业混合网络环境中不同厂商的网络设备如Cisco、Ruijie、H3C、华为往往需要统一的管理和认证机制。AAAAuthentication, Authorization, Accounting认证框架就是解决这一问题的关键方案。简单来说AAA就像是一个网络门禁系统认证确认你是谁授权决定你能做什么计费记录你做了什么。我遇到过不少企业还在为每台设备单独维护本地账号每次人员变动都要逐台修改不仅效率低下还容易出错。通过部署Tacacs或Radius协议可以实现集中管理所有网络设备的登录权限根据不同角色分配精细的操作权限完整记录运维人员的操作日志兼容Cisco、华为等主流厂商设备2. Tacacs与Radius协议对比2.1 协议特性差异特性TacacsRadius传输协议TCP/49UDP/1812,1813加密方式全程加密仅密码加密报文结构拆分为独立报文组合报文授权粒度支持命令级授权通常为会话级授权适用场景网络设备管理用户接入认证实测中发现Tacacs在设备管理场景更占优势。比如当需要限制工程师只能执行show命令时Tacacs可以直接控制到具体命令而Radius通常只能控制到权限级别。2.2 典型部署方案根据企业规模不同我推荐两种部署模式中小型企业使用单台服务器同时运行Tacacs和Radius服务大型企业采用主备双机部署通过Keepalived实现高可用注意Cisco设备对Tacacs支持最好而华为/H3C设备更倾向使用Radius协议。混合环境建议两种协议都部署。3. Cisco设备配置实战3.1 Tacacs配置步骤# 启用AAA功能 configure terminal aaa new-model # 配置Tacacs服务器 tacacs-server host 10.3.3.3 key Aa123456 # 创建认证列表 aaa authentication login TACACS_LIST group tacacs local # 创建授权列表 aaa authorization exec TACACS_LIST group tacacs local # 应用到vty线路 line vty 0 4 login authentication TACACS_LIST authorization exec TACACS_LIST transport input ssh这里有个坑要注意最后一定要配置local作为后备认证方式否则当Tacacs服务器不可用时会导致设备被锁定。我曾经就因此半夜跑去机房救火...3.2 Radius配置示例# Radius服务器配置 radius-server host 10.3.3.4 key Radius123 # 认证配置 aaa authentication login RADIUS_LIST group radius local # 计费配置 aaa accounting exec RADIUS_LIST start-stop group radius4. 华为/H3C设备配置4.1 H3C HWTacacs配置# 创建hwtacacs方案 hwtacacs scheme h3c_scheme primary authentication 10.3.3.3 primary authorization 10.3.3.3 key authentication cipher H3c123 # 配置认证域 domain h3c_domain authentication login hwtacacs-scheme h3c_scheme local authorization login hwtacacs-scheme h3c_scheme local4.2 华为Radius配置# 创建Radius服务器模板 radius-server template huawei_template radius-server shared-key cipher Huawei123 radius-server authentication 10.3.3.4 1812 # 配置认证方案 aaa authentication-scheme radius_scheme authentication-mode radius local5. 锐捷设备特殊配置锐捷设备在配置AAA时需要注意几个特殊参数# 锐捷特有的dead-criteria设置 radius-server dead-criteria time 5 tries 3 # 必须配置的dot1x认证 dot1x authentication default dot1x accounting default # VTY线路配置 line vty 0 4 login authentication RUIJIE_LIST transport input ssh6. 排错与验证技巧遇到认证失败时可以按照以下步骤排查基础连通性检查ping测试服务器可达性密钥验证确认设备与服务器使用相同的共享密钥日志分析在设备上执行debug tacacs或debug radius服务器侧检查查看认证日志确认收到请求报文常用验证命令# Cisco设备 test aaa group tacacs username password legacy # 华为/H3C设备 display hwtacacs scheme display radius statistics7. 企业级部署建议根据多年实施经验给出几个实用建议权限分级建议分为网络管理员、操作员、审计员三级角色命令过滤限制高危命令如reload、delete的执行日志归档配置Syslog将日志同步到外部服务器应急预案保留至少一个本地管理员账户曾经有个客户因为过度依赖AAA服务器在服务器故障时导致全网设备无法管理。后来我们改进方案为每台设备配置了应急本地账号并通过ACL限制只能从管理终端登录。
