HCIA-ICT实战基础-远程接入安全管理
目录
AAA概述
AAA配置实现
telnet原理与配置
Stelnet(华为ssh的另一种称呼)配置
1 AAA概述
1.1 基本概念
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称, 是网络安全的一种管理机制, 提供认证、授权、计费三种安全, AAA不是协议, 而是一种框架.
1.2 AAA常见架构
AAA常见网络架构中包括用户、NAS(Network Access Server 接入控制器)、AAA服务器(AAA Server)
NAS负责集中搜集和管理用户的访问请求.
在NAS上会创建多个域来管理用户, 不同的域可以关联不同的AAA方案, AAA方案包含认证方案、授权方案、计费方案.
当收到用户揭露网络请求时,NAS会根据用户名来判断用户所在域, 根据该域的AAA方案对用户进行管控.
1.3 认证
AAA支持的认证方式有: 不认证、本地认证、远端认证.
不认证: 用户连接网络后不需要进行认证即可登录访问;
本地认证: 将认证服务部署在网关上, 用户和认证服务器处于同一网段, 适用于客户端较少的情况;
远端认证: 将认证功能部署在远端的物理服务器上, 适用于中大型网络.
1.4 授权
AAA支持的授权方式有: 不授权、本地授权、远端授权.
授权信息包括: 所属用户组、所属VLAN、ACL编号等.
三种授权方式类似于认证.
1.5 计费
计费功能用于监控授权用户的网络行为和网络资源的使用情况.
AAA支持的计费方式有: 不计费、远端计费.
2 AAA配置实现
2.1 配置命令
1.进入AAA视图
[Huawei]aaa
在网关设备上, 从系统视图进入AAA视图进行配置.
2.创建认证方案
[Huawei-aaa] authentication-scheme authentication-scheme-name
创建认证方案并进入相应的认证方案视图.
[Huawei-aaa-authentication-schme-name]authentication-mode {hwtacacs | local | radius}
配置认证方式, local指定认证方式为本地认证. 缺省情况下, 认证方式为本地认证.
3.创建domain并绑定认证方案
[Huawei-aaa]domain domain-name
创建domain并进入相应的domain视图
[Huawei-aaa-name]authentication-shceme authentication-shceme-name
4.创建用户
[Huawei-aaa]local-user user-name password cipher password
创建本地用户, 并配置本地用户密码:
- 如果用户名中带有域名分隔符, 如@, 则认为@前面的部分是用户名, 后面部分是域名, 即: [用户名]@[所属域] ;
- 如果没有@, 则整个字符串为用户名, 域为默认域(default).
5.配置用户接入类型
[Huawei-aaa]local-user user-name service-type {{treminal | telnet | ftp | ssh | snmp | http} | ppp | none}
设置本地用户的接入类型, 缺省情况下, 本地用户默认关闭所有接入类型.
6.配置用户级别
[Huawei-aaa]local-user user-name privilege level level
指定本地用户权限级别.
7.查看正常登录并且下线的用户
[Huawei]diaplay aaa offine-record all
2.2 AAA配置案例
1.在设备R1上配置用户密码和级别, 使主机A可以通过配置的用户名和密码远程登录到设备R1.
[R1]aaa
[R1-aaa]local user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]local-user huawei privilege leve 15
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
3 telnet原理与配置
Telnet可以通过终端对本地和远程的网络设备进行集中管理
3.1 Telnet连接
1.Telnet客户端和服务器基于TCP连接来传输命令
2.两种认证方式
3.2 Telnet配置
-
使能设备的Telnet服务器功能
[Huawei]telnet server enabletelnet server enable命令用于使能设备的Telnet服务器功能, 华为设备默认开启.
-
修改最大用户界面数
[Huawei]user-interface maximum-vty number该命令用于配置vty用户界面的最大个数, vty用户界面的最大个数决定了多少个用户可以同时通过Telnet或stelnet登录设备. 缺省情况下, vty用户界面最大个数为5个.
-
进入vty用户界面视图
[Huawei]user-interface vty first-ui-number [last-ui-number]first-ui-number 指定配置的第一个用户界面编号, last-ui-number指定配置的最后一个用户界面编号, 缺省情况下为0和4.
-
配置vty用户界面支持协议
[Huawei-ui-vty0-4]protocol inbound {all|telnet}protocol inbound命令用来指定vty用户界面所支持的协议. 缺省情况下, 系统支持协议ssh和Telnet. all指定支持所有的协议, 包括ssh和Telnet. Telnet指定只支持Telnet协议.
-
配置登录用户验证方式
[Huawei-ui-vty0-4]authentication-mode {aaa | password}缺省情况下, 用户界面没有使用该命令的配置认证方式, 登录用户界面必须配置验证方式, 否则用户无法成功登录设备. aaa设置进行AAA授权验证方式. password设置进行密码验证方式.
-
配置password验证方式密码
[Huawei-ui-vty0-4]set authentication password cipher password密码为本地密文存储
-
配置用户级别
[Huawei-ui-vty0-4]user privilege level level缺省情况下, Console口用户界面下用户级别是15, 而其他用户界面级别是0.
4 Stelnet(SSH框架)配置
4.1 Stelnet配置
-
使能Stelnet服务器功能
[Huawei]stelnet server enable缺省情况下, ssh服务器端的Stelnet没有使能
-
进入vty用户视图
[Huawei]user-interface vty first-ui-number [last-ui-number] -
配置vty用户界面协议
[Huawei-ui-vty0-4]protocol inbound {all | ssh}和Telnet那边一样
-
配置登录用户模式
[Huawei-ui-vty0-4]authentication-mode aaa -
进入aaa视图并创建aaa用户
[Huawei]aaa [Huawei-aaa]local-user user-name password cipher password [Huawei-aaa]local-user user-name service-type ssh [Huawei-aaa]local-user user-name privilege level level -
创建ssh用户且认证方式为password
[Huawei]ssh user user-name authentication-type password -
创建ssh用户且认证方式为rsa
[Huawei]ssh user user-name authentication-type rsa -
客户端连接ssh服务器
[Huawei]ssh client first-time enable缺省默认关闭首次认证功能
-
客户端通过password进行认证
[Huawei]stelnet host-ip然后输入用户名密码即可登录
-
客户端生成秘钥对
[Huawei]rsa local-key-pair create -
在客户端上查看生成的rsa秘钥对的公钥部分
[Huawei]display rsa local-key-pair public -
在服务器端上创建rsa公共密码
[Huawei]rsa peer-public-key key-name -
进入公共秘钥编辑视图
[Huawei-rsa-public-key]public-key-code begin输入公钥:
-
在服务器端为ssh用户user-name绑定Stelnet客户端的rsa公钥
[Huawei]ssh user user-name assign rsa-key key-name
结束
标签:aaa,name,09,HCIA,认证,Huawei,user,AAA,ICT From: https://www.cnblogs.com/konjac-wjh/p/16840697.html