关于本实验
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作用如下:
• 认证:验证用户是否可以获得网络访问权。
• 授权:授权用户可以使用哪些服务。
• 计费:记录用户使用网络资源的情况。
用户可以使用AAA提供的一种或多种安全服务。
实验目的
掌握本地AAA认证授权方案的配置方法
掌握创建域的方法
掌握本地用户的创建方法
理解基于域的用户管理的原理
实验组网介绍
实现需求:
1. 配置AAA方案 (3A认证)
2. 创建域并在域下应用AAA方案 (域内用户使用AAA)
3. 配置本地用户
实验配置:(接口地址和设备命名省略)R2不改名 以便实验观察。
1.1 进入AAA认证
1.2 创建名为datacom的认证方案
1.3 认证模式为本地
1.3 创建名为datacom的授权方案。
2. 创建域并在域下应用AAA方案 (域内用户使用AAA)
设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。创建名为datacom的域。#(如果熟悉windows组策略的朋友更好理解这一点)
2.1 创建一个datacom域的AAA认证方案
2.2 指定对该域内的用户采用名为datacom的认证方案。
2.3 指定对该域内的用户采用名为datacom的授权方案。
3. 配置本地用户
3.1 创建本地用户及其密码(账户名为 HCIA@datacom 密码是huawei@123)
如果用户名中带域名分隔符“@”,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。
此处我们选择是datacom域 所以别忘记加了。
3.2配置本地用户的接入类型、级别等参数
我们可以看到服务类型有很多,实验里面讲的是telnet类型,现实中常用的还有ssh和web。
3.3 指定本地用户的级别。不同级别的用户登录后,只能使用等于或低于自己级别的命令。
# 如何选择本地用户的级别,请参考我上一篇的实验,里面有详细的介绍。在这个实验里面,我们选择级别3
3.4 开启telnet服务,同时选择VTY(虚拟终端)的身份验证模式为aaa认证
如果看过我上一篇实验的朋友,可能会发现 我上一篇没有配置aaa认证,选择的模式是什么呢
我们在上一篇实验选择是密码验证
好了,配到这里,AAA认证就已经讲完了,我们还需要做个测试!
就是从R1能不能访问R2的telnet端口并进入系统视图呢?
测试成功,此篇还是比较简单,但我们在现实工作中可能会经常遇到此类问题(比如某些在集成商搬砖的大兄弟)。
实验拓扑图和配置:
链接:https://pan.baidu.com/s/1Xbj9igPnA8jZ4QTI9QL1Sg?pwd=HCIA
提取码:HCIA