AAA 小记
AAA
:网络运营商需要验证家庭带宽用户的账号密码之后才允许其上网,并记录用户的上网时长或上网流量等内容,这就是AAA技术最常用的应用场景
它也是一种管理框架,可以通过多种协议来实现。
(Authentication:证明真实性,身份认证):验证用户是否可以获取访问权,确认哪些用户可以访问网络
(Authorization:授权书,授权):授权用户可以使用哪些服务
(Accounting:会计,账单,计费):记录用户使用网络资源的情况
AAA常见网络架构
包括用户,NAS,AAA服务器
NAS:负责集中收集和管理用户的访问请求,会创建多个域来管理用户,不同域可以配置不同的AAA方案,AAA方案包含认证方案,授权方案,计费方案。
如果用户名是User@domain1,则用户属于domain1域。
如果用户名后不带有@,则用户属于系统缺省域
(Network:网络)(Access:入口,通道,访问,接入)(Server:服务器)
缺省:Default默认
在实际应用中,最常使用RADIUS
:远程身份验证拨入用户服务,是一种分布式的,客户端/服务器结构的信息交互协议可以实现对用户的认证 ,计费和授权。
RADIUS通常由NAS作为客户端,负责传输用户信息,并使用UDP作为传输协议,并规定UDP端口1812,1813分别作为认证,计费端口,具有良好的使用性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。
用户-----NAS-----RADIUS服务器
(Remote:边远的,遥控器,远程)(Authentication:证明真实性,身份验证)(Dial-ln:拨入,拨号)(User:用户)(Service:维修服务,服务器,服务)
(User:用户)(Datagram:数据报文)(Protocol:协议)
AAA配置
进入AAA视图
[Huawei]aaa
从系统视图进入AAA视图进行配置
创建认证方案
[Huawei-aaa]authentication-scheme
#authentication-scheme-name
创建认证方案并进入相应的认证方案视图
[Huawei-aaa-authentication-scheme-name]authentication-mode{hwtacacs|local|radius}
配置认证方式,local指定认证方式为本地认证。缺省情况下,认证方式为本地认证。
(Huawei:华为)(authentication:身份验证,认证)(scheme:体系,方案)(name:名字,命名)(mode:状态,方式)(hwtacacs:认证,协议)(local:局域的,本地的)(radius:远程认证拨号用户服务)
AAA配置(2)
创建domain并绑定认证方案
[Huawei-aaa]domain
#domian-name
创建domain并进入相应的domain视图
[Huawei-aaa-domain-name]authentication-scheme
#authentication-scheme-name
在相应的domain视图下绑定认证方案
创建用户
[Huawei-aaa]local-user#user-name password
cipher#password
创建本地用户,并配置本地用户的密码:
·如果用户名中带域名分隔符,如@,则认为@前面的部分是用户名,后面部分是域名
·如果没有@,则整个字符串为用户名,域为默认域
(domain:范围,域)(authentication:身份验证,认证)(scheme:体系,方案)(cipher:密码,加密)(user:用户)(password:密码)
AAA配置(3)
配置用户接入类型
[Huawei-aaa]local-user user-name service-type
#{terminal|telnet|ftp|ssh|snmp|http}{ppp|none}
设置本地用户的接入类型。缺省情况下,本地用户关闭所有的接入类型。
配置用户级别
[huawei-aaa]local-user#user-name privilege level#level
指定本地用户的权限级别
(local:局域网的,本地的)(service:检修,服务)(type:打字,类型)(terminal:终点站,终端)(telnet:远程登录)(ftp:文件传输协议)(ssh:安全外壳)(snmp:简单网络管理协议)(http:超文本传输协议)(ppp:点对点协议)(none:无样式)(privilege:特权,权限)(level:数量,水平,级别)
AAA配置案例
在设备R1上配置用户密码和级别,使主机A可以通过配置的用户名和密码远程登录到设备
[R1]aaa
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]local-user huawei privilege level 0
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
(local:局域网的,本地的)(user:用户)(password:密码)(cipher:密码,加密)(service:检修,服务)(type:打字,类型)(telnet:远程登录)(privilege:特权,权限)(level:数量,水平,级别)(interface:界面接口)
(vty:Virtual Teletype Terminal,0是初始值,4是结束值。 表示可同时打开5个会话,进入设备去配置命令)
(Authentication:证明真实性,身份认证)