Sx700交换机HWTACACS技术白皮书.docx
《Sx700交换机HWTACACS技术白皮书.docx》由会员分享,可在线阅读,更多相关《Sx700交换机HWTACACS技术白皮书.docx(45页珍藏版)》请在第壹文秘上搜索。
1、S系列交换机Hwtacacs技术白皮书文档版本V1.0发布日期2015-08-081技术简介1-11.1 技术简介1-11.1.1 概述1-11.1.2 技术优势1-12原理描述2-42.1 基本概念2-41 .1.1网络组成2-42 .2Hwtacacs报文2-52.2 工作原理2-52.2.1 Hwtacacs工作流程2-52.2.2 Hwtacacs认证2-62.2.3 Hwtacacs授权2-82.2.4 Hwtacacs计费2-o3应用场景2-123.1采用HWTACACS协议进行认证、授权和计费2-123.2命令行授权2-1533Hwtacacs服务器上账户密码修改和老化2-233
2、.4管理用户提升优先级2-284参考标准和协议2-335附录2-34HWTACACS技术白皮书摘要:Hwtacacs是实现aaa功能的一-种安全协议,主要是通过Hwtacacs客户端与Hwtacacs服务器通信来实现多种用户的AAA功能。关键词:Hwtacacs.TACACs、radius、aaa、设备管理、命令行授权缩略语:英文缩写英文全称中文全称HwtacacsHUAWEITerminalAccessControllerAccessControlSystem华为终端访问控制器控制系统TACACSTerminalAccessControllerAccessControlSystem终端访问控
3、制器控制系统TACACS+TerminalAccessControllerAccessControlSystemplusCisco对TACACS的增强协议RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务AAAAuthentication,Authorization,Accounting认证、授权、计费NASNetworkAccessServer网络接入服务器ACSAccessControlServer访问控制服务器BRASBroadbandRemoteAccessServer宽带远程接入服务器EXECExecutable可执行命令的1
4、技术简介1.l技术简介1.1.1 概述AAA是AUthentiCatiOn(认证)、Authorization(授权)和ACCOUnting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种功能。HWTACACS是实现AAA功能的一种安全协议,它与RADlUS协议类似,主要是通过HWTACACS客户端与HWTACACS服务器(即客户端/服务器模式)通信来实现多种用户的AAA功能。HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的安全协议,使用公共密钥对传输的用户信息进行加密,具有较好的安全性和灵活性。HWTACACS采用TCP协议承载报文,TCP端口号是
5、49,它相对于RADIUS使用UDP协议,使得传输更加可靠。HWTACACS认证功能,可以对802.IX、PortakPPP等普通接入用户进行认证,也可以对串口、telnetSSH.ftp等管理用户进行认证。同样,HWTACACS授权功能,既可以对普通接入用户进行授权,也可以对登陆设备的管理用户进行授权,还可以对管理用户的每条命令进行授权。HWTACACS计费功能,既可以对普通接入用户上线时间的传统意义的网络计费,还可以记录管理用户登陆到设备停留时间记录,用户执行操作命令进行记录等。Hwtacacs兼容cisco的TACACs+协议,华为交换机作为Hwtacacs客户端可以和TACACs+服务
6、器对接实现AAA功能。1.1.2 技术优势HWTACACS协议与RADlUS协议相比较,具有以下优势。从HWTACACS优势来看,HWTACACS更适合设备控制管理;RADlUS协议更适合接入用户管理,两种协议对比,参见表1所示。 AAA功能灵活部署AAA功能的认证、授权和计费,这三个过程是可以完全分离的,即用户可以只认证不授权,或者只授权不认证,或者单单只计费。 设备管理更安全灵活采用HWTACACS对登陆到设备的管理用户进行命令行授权,用户执行每条命令行时均进行权限控制,只有授权通过后才可以执行该命令,否则不能执行,这样用户可使用的命令行受到命令级别和AAA授权的双重限制,针对不同级别的管
7、理用户进行精细化的命令行操作授权,使得设备管理更加安全和灵活。 网络传输更可靠HFrACACS采用TCP协议承载,TCP协议是面向连接的,而RADnJS协议是采用UDP报文传输的,HWTACACS报文网络传输更加可靠。 传输安全性更高HWTACACS会对除标准的HWTACACS报文头外,对报文主体全部进行加密,使得在报文传输过程中更加安全。表1Hwtacacs协议与radius协议的对比HwtacacsRADIUS通过TCP传输,网络传输更可靠。通过UDP传输,网络传输效率及性能更高。除了标准的Hwtacacs报文头,对报文主体全部进行加密。只是对认证报文中的密码字段进行加密。认证与授权分离,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sx700 交换机 HWTACACS 技术 白皮书