AAA學習-本地local

原創 左丿仔 2020-07-08 07:57

AAA 學習
三A 就是Authentication認證、 Authorization授權、Accounting計費三種安全功能。
AAA 可以通過多種協議來實現,目前華爲設備支持基於RADUUS和HWTACACS協議來實現AAA。
AAA 是一種提供認證、授權和計費的安全技術。改技術可以用於驗證用戶是否合法,授權用戶可以訪問的服務,且記錄用戶使用網絡資源的情況。
AAA服務器表示遠端的Radius或HWTACACS服務器,負責制定認證、授權和計費方案。
目前,ARG3系列路由器只支持配置認證和授權


認證:
AAA支持的認證方式有:不認證、本地認證、遠端認證。

本地認證:將本地用戶信息配置在NAS上。本地認證的有點事處理速度快、運營成本低;缺點是存儲信息量受設備硬件條件限制。
遠端認證:將用戶信息配置在認證服務器上。AAA支持通過RADIUS協議或HWTACACA協議進行遠端認證。NAS作爲客戶端,與RADIUS服務器或HWTACACS服務器進行通信。

授權:
AAA支持的授權方式有:不授權、本地授權、遠端授權。
本地授權:根據NAS上配置的本地用戶賬號的相關屬性進行授權。
遠端授權:HWTACACS授權,使用TACACS服務器用戶授權。授權和認證綁定在一起,不能單獨授權

計費:
AAA支持的計費方式有:不計費、遠端計費

AAA域
AAA可以通過域來對用戶進行管理,不同的域可以關聯不同的認證、授權和計費方案。

ARG3系列路由設備可以支持兩種缺省域:
1.default域爲普通用戶的缺省域。
2.default_admin域爲管理用戶的缺省域。
用戶可以修改但不能刪除這兩個缺省域。默認情況下,設備最多支持32個域,包括兩個缺省域。

AAA配置
##查看默認域配置

[AR2]dis domain
  -------------------------------------------------------------------------
  index    DomainName
  -------------------------------------------------------------------------
  0        default                                                         
  1        default_admin                                                   
  -------------------------------------------------------------------------
  Total: 2


##查看域的詳細信息

[AR2]dis domain name default_admin

  Domain-name                     : default_admin                   
  Domain-state                    : Active
  Authentication-scheme-name      : default
  Accounting-scheme-name          : default
  Authorization-scheme-name       : -
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group                      : -

[AR2]dis domain name default

  Domain-name                     : default                         
  Domain-state                    : Active
  Authentication-scheme-name      : default
  Accounting-scheme-name          : default
  Authorization-scheme-name       : -
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group                      : -

[AR2]


[AR2]disp authentication-scheme default

  Authentication-scheme-name    : default
  Authentication-method         : Local
  Authentication-super method   : Super
[AR2]disp authenr    
[AR2]disp author    
[AR2]disp authorization-scheme default
---------------------------------------------------------------------------
 Authorization-scheme-name   : default
 Authorization-method        : Local
 Authorization-cmd level  0   : Disabled
 Authorization-cmd level  1   : Disabled
 Authorization-cmd level  2   : Disabled
 Authorization-cmd level  3   : Disabled
 Authorization-cmd level  4   : Disabled
 Authorization-cmd level  5   : Disabled
 Authorization-cmd level  6   : Disabled
 Authorization-cmd level  7   : Disabled
 Authorization-cmd level  8   : Disabled
 Authorization-cmd level  9   : Disabled
 Authorization-cmd level 10   : Disabled
 Authorization-cmd level 11   : Disabled
 Authorization-cmd level 12   : Disabled
 Authorization-cmd level 13   : Disabled
 Authorization-cmd level 14   : Disabled
 Authorization-cmd level 15   : Disabled
 Authorization-cmd no-response-policy    : Online
---------------------------------------------------------------------------

[AR2]disp accounting-scheme default

  Accounting-scheme-name                : default                         
  Accounting-method                     : None      
  Realtime-accounting-switch            : Disabled  
  Realtime-accounting-interval(min)     : -
  Start-accounting-fail-policy          : Offline             
  Realtime-accounting-fail-policy       : Online              
  Realtime-accounting-failure-retries   : 3


###創建一個域

[AR2-aaa]auth    
[AR2-aaa]authentication-scheme auth-2
Info: Create a new authentication scheme.
[AR2-aaa-authen-auth-2]authentication-mode local
[AR2-aaa-authen-auth-2]q
[AR2-aaa]domain huayun
Info: Success to create a new domain.
[AR2-aaa-domain-huayun]q
[AR2-aaa]authorization-scheme  auth-2
Info: Create a new authorization scheme.
[AR2-aaa-author-auth-2]authorization-mode local
[AR2-aaa-author-auth-2]q
[AR2-aaa-domain-huayun]authorization-scheme auth-2
[AR2-aaa-domain-huayun]authentication-scheme auth-1
<AR2>disp domain name huayun

  Domain-name                     : huayun                          
  Domain-state                    : Active
  Authentication-scheme-name      : auth-1
  Accounting-scheme-name          : default
  Authorization-scheme-name       : auth-2
  Service-scheme-name             : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : -
  User-group                      : -

<AR2>
return


###創建一個用戶

[AR2-aaa]local-user huayun password cipher huayun@123
Info: Add a new user.    
[AR2-aaa]local-user huayun service-type telnet ssh


###虛擬接口 三A 授權

[AR2]user-interface vty 0 4
[AR2-ui-vty0-4]authentication-mode aaa
Enter system view, return user view with Ctrl+Z.
[AR2]aaa
[AR2-aaa]di th
[V200R003C00]
#
aaa
 authentication-scheme default
 authentication-scheme auth-1
 authorization-scheme default
 authorization-scheme auth-2
 accounting-scheme default
 domain default
 domain default_admin
 domain huayun  
  authentication-scheme auth-1
  authorization-scheme auth-2
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<08bmE3Uw}%$%$
 local-user admin service-type http
 local-user huayun password cipher %$%$*qNuFAzy93$c%|~6\I@Q5U|C%$%$
 local-user huayun service-type telnet ssh
#
return

[AR2-aaa]dis local-user username huayun
  The contents of local user(s):
  Password          : ****************
  State             : active    
  Service-type-mask : TS
  Privilege level   : -
  Ftp-directory     : -
  Access-limit      : -        
  Accessed-num      : 1   
  Idle-timeout      : -
  User-group        : -


 
##telnet 訪問沒有授權

<Huawei>telnet 172.16.10.2
  Press CTRL_] to quit telnet mode
  Trying 172.16.10.2 ...
  Connected to 172.16.10.2 ...

Login authentication


Username:huayun
Password:
  -----------------------------------------------------------------------------
    
  User last login information:     
  -----------------------------------------------------------------------------
  Access Type: Telnet      
  IP-Address : 172.16.10.1     
  Time       : 2020-07-03 10:32:07-08:00     
  -----------------------------------------------------------------------------

    
<AR2>display ?
  l2tp-group  PPP packet debugging functions
<AR2>display l

##增加權限
 

[AR2-aaa]local-user huayun privilege level 15
[AR2-aaa]dis local-user username huayun
  The contents of local user(s):
  Password          : ****************
  State             : active    
  Service-type-mask : TS
  Privilege level   : 15
  Ftp-directory     : -
  Access-limit      : -        
  Accessed-num      : 0   
  Idle-timeout      : -
  User-group        : -
[AR2-aaa]

###測試可以訪問,權限已經授權

<Huawei>telnet 172.16.10.2
  Press CTRL_] to quit telnet mode
  Trying 172.16.10.2 ...
  Connected to 172.16.10.2 ...

Login authentication


Username:huayun
Password:
  -----------------------------------------------------------------------------
    
  User last login information:     
  -----------------------------------------------------------------------------
  Access Type: Telnet      
  IP-Address : 172.16.10.1     
  Time       : 2020-07-03 10:29:31-08:00     
  -----------------------------------------------------------------------------
<AR2>di cu
[V200R003C00]

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

NAT地址轉換協議學習

NAT 是將IP數據報文頭部彙總的IP地址轉換爲另一個IP地址的過程,主要用於實現內部網絡方位外部網絡的功能。 NAT 一般部署在鏈接內網和外網的網關設備上。 網關設備上有一個NAT映射表,一遍半段從公網收到的報文應該發往的私網目的地址

左丿仔 2020-07-08 07:58:12

HDLC 和PPP 的應用

HDLC 和PPP 廣域網中經常會用串行鏈路來提供遠距離的數據傳輸,高級數據鏈路控制HDLC(High-Level Data Link Control)和點對點協議PPP(Point to Point Protocol)兩種典型的串口封裝

左丿仔 2020-07-08 07:58:12

IPSec VPN原理與配置實例

IPSec Internet Protocol Security 作爲一種開放標準的安全框架結構,可以用來保證IP數據報文在網絡上傳輸的機密性、完整性和防重放 機密性:對數據進行加密保護,用密文的性質傳輸數據 完整性:對接收的數據進行認

左丿仔 2020-07-08 07:58:12

PPPoE的理解和實例

  PPPoE 協議 PPP協議通過在以太網上提供點到點的連接,建立PPP會話,使得以太網中的主機能夠連接到遠端的寬帶接入服務器上。PPPoE 具有適用範圍廣,安全性高,方便計費 因爲PPP有認證協議,LCP,NCP 等, 數字用戶線路D

左丿仔 2020-07-08 07:58:12

ACL訪問控制列表實戰

訪問控制列表 訪問控制列表和可以定義一系列不同的規則,設備根據這些跪着對數據包進行分類,針對不同類型的報文進行不同的處理, 從而實現對網絡訪問行爲的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。 ACL 應用場景: ACL可以通過定

左丿仔 2020-07-08 07:58:12

HUAWEI——BGP路由技術

BGP路由技術 一、BGP概述 1、動態路由的分類 1、按自治系統分類 IGP:即自治系統內部的路由協議,主要包含RIPv1/v2,OSPF,ISIS,EIGRP (思科私有協議)。 IGP是運行在AS內部的路由協議,它解決AS內

g950904 2020-07-01 15:43:16

HUAWEI——華爲防火牆基礎

華爲防火牆基礎 一、防火牆的工作原理 1、防火牆的工作模式 1、路由模式:如果華爲防火牆連接網絡的接口配置IP地址,則認爲防火牆工作在路由模式下。 2、透明模式:如果華爲防火牆通過第二層對外連接(接口無IP地址),則防火牆工作在透

g950904 2020-07-01 15:43:16

HUAWEI——交換技術

交換技術 一、Hybrid接口 1、基本概念 1、VLAN (Virtual Local Area Netwok)即虛擬局域網是將—個物理的VLAN在邏輯上劃分成多個廣播域(多個VLAN)的通信技術,VLAN內的主機間可以直接通信

g950904 2020-07-01 15:43:16

華爲路由交換設備配置綜合實驗(實驗六合一)

華爲路由交換設備配置綜合實驗: 單臂路由、三層交換、動靜路由、VRRP路由、DHCP中繼、捆綁Etrunk鏈路(實驗六合一) 實驗拓撲圖: 目的:實現全網各個PC之間的互聯互通 全部實驗腳本如下,以下腳本直接複製即可使用 一、實

Biu_diudiu 2020-06-16 06:46:10

華爲 ospf 中不同區域之間如何通信

左丿仔 2020-05-15 16:30:17

關於OSPF 實踐

左丿仔 2020-05-15 16:30:17

DHCP 實現 自動分配IP 地址功能

左丿仔 2020-05-15 16:30:17

RIP 實踐

左丿仔 2020-05-14 08:05:18

Rstp 學習

左丿仔 2020-05-11 22:14:55

STP 實驗

左丿仔 2020-05-11 11:28:17