AAA原理及配置
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。
⽀持的认证⽅式:不认证,本地认证,远端认证
⽀持的授权⽅式:不授权,本地授权,远端授权
⽀持的授权⽅式:不计费,远端计费
如果⼀个认证⽅案采⽤多种认证⽅式,这些认证⽅式按配置顺序⽣效
user privilege level 0 1 2 3⼏个级别的区别
level 0
参观
ping、tracert、telnet、rsh、super、language-mode、display、quit
level 1
监控
0级命令、msdp-tracert、mtracert、reboot、reset、send、terminal、undo、upgrade、debugging
level 2
系统
所有配置命令(管理级的命令除外)和0、1级命令
level 3
管理所有命令
1.远程管理⽹络设备的两种验证⽅式:telnet(不安全)、SSH/stelent
⾸先得开启Telent功能:telnet server enable
2.配置 Telnet ⽅式登录时的密码:
[Huawei] user-interface vty 0 4 //进⼊0-4个终端
[Huawei-ui-vty0-4] authentication-mode password/aaa //启⽤密码验证或AAA验证
[Huawei-ui-vty0-4] set authentication password simple/cipher xxxx //以明⽂或密⽂⽅式加密(交换机)
[Huawei-ui-vty0-4] set authentication password cipher xxxx //此为路由器配置命令,路由器只能是密⽂加密
[Huawei-ui-vty0-4]protocol inbound telnet
//设置哪些服务可以通过此test⽤户进⾏验证,设置telnet 服务
[Huawei-ui-vty0-4] user privilege level 3 //设置当前⽤户权限级别
3.配置 Telnet以⽤户名+密码⽅式登录时的密码:
进⼊AAA模式命令⾏下:
[Huawei]aaa
[Huawei-aaa]local-user huawei level 3 password cipher xxxx //添加新⽤户为:huawei 密码为:xxxx
加密模式为:cipher 密⽂加密,⽤户级别为3
[Huawei-aaa]local-user huawei service-type http ssh telnet web //在⽤户huawei下设置登录允许使⽤的协议
[Huawei-aaa]local-user huawei privilege level 3 //远程登录时能够使⽤的级别命令
路由器以telnet⽅式访问路由器:
cipher命令<Huawei>telnet xxxxx
4.以SSH⽅式实现加密的远程连接
[Huawei]aaa
[Huawei-aaa]local-user xxxx password cipher xxxx privilege level 3 //配置本地⽤户
[Huawei-aaa]local-user xxxx service-type ssh
[Huawei]ssh user xxxx authentication-type password //添加ssh⽤户名和密码
[Huawei]stelnet server enable //开启stelnet服务
[Huawei]rsa local-key-pair create //⽣成密钥对信息
[Huawei]user-interface vty 0 4 //进⼊虚拟⽤户界⾯端⼝0-4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]protocol inbound ssh //配置允许登录接⼊⽤户类型的协议
客户端CRT远程连接即可
路由器以ssh⽅式连接路由器:
[Huawei]ssh client first-time enable //⽤来使能SSH客户端⾸次认证
[Huawei]stelnet xxxxx
5.配置 Console ⽅式登录时的密码:
[Huawei]user-interface console 0 //进⼊控制接⼝console只有0
[Huawei-ui-console0]authentication-mode password //设置console登录验证⽅式为密码⽅式
[Huawei-ui-console0]set authentication password simple xxxx //simple设置明⽂密码,cipher为密⽂密码
[Huawei-ui-console0]user privilege level 3 //指定console连接的⽤户级别
⽤户级别为0-15,0、1、2分别对应命令级别的0、1、2。3-15对应命令级别的3,其中4-15可以⾃定义⼀些命令
接⼝配置类:
[Huawei]clear configuration interface Ethernet 0/0/4 //清空该接⼝的所有配置但是如果想删除admin⽤户下⾯的service-type telnet时,可以做如下操作local-user admin
undo service-type telnet
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论