2023-HCIA-Datacom保姆级学习笔记(十二):AAA原理与配置

已于 2023-03-29 09:35:27 修改
阅读量590 收藏 2
点赞数
文章标签: 网络 服务器 tcp/ip 网络协议 华为 Powered by 金山文档
于 2023-03-22 17:20:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76170756/article/details/129714631
版权

一、专业术语

Authentication-认证

Authorization-授权

Accounting-计费

NAS(Network AccessServer)-网络接入服务器

RADIUS(RemoteAuthentication Dial In User Service)-远程用户拨号认证系统

HWTACACS(HuaweiTerminal Access Controller Access Control System)-华为终端访问控制器访问控制系统

二、AAA概述

基本概念

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能

1.认证Authentication

三种认证方式:

不认证:完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。

本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理,如Telnet,FTP用户等。

远端认证:将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。

2.授权Authorization

授权方式:

不授权:不对用户进行授权处理。

本地授权:根据NAS上对应域下的配置进行授权。

远端授权:支持由RADIUS服务器授权或HWTACACS服务器授权。

HWTACACS授权,使用HWTACACS服务器对所有用户授权。

RADIUS授权,只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。

3.计费Accounting

计费方式:

不计费:为用户提供免费上网服务,不产生相关活动日志。

远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

常见架构

AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)。

1.NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。

2.每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如,如果用户名是user1@domain1,则用户属于domain1域。如果用户名后不带有@,则用户属于系统缺省域。

应用场景

通过RADIUS提供上网用户的AAA

通过在NAS上配置AAA方案,实现NAS与RADIUS服务器的对接。

用户在客户端上输入用户名和密码后,NAS可以将这些信息发送至RADIUS服务器进行认证。

如果认证通过,则授予用户访问Internet的权限。

在用户访问过程中,RADIUS服务器还可以记录用户使用网络资源的情况。

对管理用户进行本地认证和授权

在Router上配置本地AAA方案后,当网络管理员登录Router时,Router将网络管理员的的用户名密码等信息,与本地配置的用户名信息进行比对认证。认证通过后,Router将授予网络管理员一定的管理员权限

三、AAA的配置实现

基本配置命令

1.进入AAA视图

[Huawei] aaa

从系统视图进入AAA视图进行配置

2.创建认证方案

[Huawei-aaa] authentication-scheme authentiation- scheme name

创建认证方案并进入相应的认证方案视图

[Huawei-aaa-authtication-scheme-name] authentication mode {hwtacacs | local | radius}

配置认证方式,local指定认证方式为本地认证。缺省情况下,认证方式为本地认证。

3.创建domain并绑定认证方案

[Huawei-aaa] domain domain-name

创建domain并进入相应的domain视图

[Huawei-aaa-domain-name]authentication- scheme authentication- scheme-name

在相应的domain视图下绑定认证方案

4.创建用户

[Huawei-aaa] local-useruser-name password cipher password

创建本地用户,并配置本地用户的密码:

●如果用户名中带域名分隔符,如@.则认为@前面的部分是用户名,后面部分是域名

●如果没有@,则整个字符串为用户名,域为默认域

5.配置用户接入类型

[Huawei-aaa] local-user user-name service-type { {terminal | telnet | ftp | ssh | snmp | http} | PPB | none }

设置本地用户的接入类型。缺省情况下,本地用户关闭所有的接入类型。

6.配置用户级别

[Huawei-aaa] local-useruser-name privilege level level

指定本地用户的权限级别。

配置示例

1.需求

在设备R1上配置用户密码和级别,使主机A可以通过配置的用户名和密码远程登录到设备

2.拓扑

3.实验步骤

基础配置

[R1]aaa

[R1-aaa]local-user huawei passwordcipher huawei123

[R1-aaa]local-user huaweiservice-type telnet

[R1-aaa]local-user huaweiprivilege level 0

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

调试

查看域的配置信息:[R1]displaydomain name default_admin

查看系统中用户下线的记录[R1]displayaaa offline-record all

别叫我王工
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H12-811 HCIA-Datacom 655.pdf
07-14
H12-811 HCIA-Datacom 655.pdf
华为HCIA进阶笔记AAA原理配置
君逍遥o
06-20 1387
AAA是Authentication(认证)、Authorization(授权)和Accounting (计费)的简称,它提供了认证授权计费三种安全功能。AAA可以通过多种协议来实现,目前华为设备支持基于RADIUS (Remote Authentication Dial-In User Service)协议或HWTACACS ( Huawei Terminal Access Controller Access Controlsystem)协议来实现AAA
华为AAA配置实验
2301_78115896的博客
06-16 2994
授权所要保障的是用户行为是合法的,也就是说用户的行为是在被允许范围内的行为;在配置AAA本地认证之前,可以先使用命令display aaa configuration 来确认设备上是否有足够的资源。在AAA方案中,我们需要配置认证方案和援权方案,本实验要求两者都使用本地方案。配置完成后,我们可以使用命令display authentication-scheme来查看配置中的AAA认证方案。在使用AAA本地认证的环境中,我们需要在基于域的配置中设置AAA方案和本地用户。(2)查看系统中的认证方案。
AAA-AAA命令配置及练习
最新发布
little_startoo的博客
04-09 509
AAA-AAA命令配置及练习
计算机网络实验(华为eNSP模拟器)——第六章 密码模式和AAA模式
热门推荐
小宇y的博客
07-28 1万+
目录一、用户别三、用户页面四、用户页面的命令1、Console用户界面2、虚拟类型终端VTY用户界面五、用户界面的用户认证1、password模式(1)设置模式(2)配置密码(3)配置用户别2、AAA模式结语 一、用户别 命令别是设备系统命令采用的分保护方式,从低到高分为16个别。用户可以通过命令别,对设备实现权限的精细管理。 缺省情况下,命令按如下0~3进行注册。一般情况下,管理员别为3。 0,访问网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包
AAA原理配置
lwljh134的博客
05-29 996
访问控制是用来控制哪些用户可以访问网络以及可以访问的网络资源。AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了在网络接入服务器NAS(Network Access Server)设备上配置访问控制的管理框架。AAA定义认证:确认访问网络的用户的身份,判断访问者是否为合法的网络用户。授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
浅谈 —— AAA认证认证+授权)详解+配置
qq_62311779的博客
08-29 8156
AAA认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证授权计费三种安全服务,数据中心被大量应用 AAA提供的安全服务具体是指: 认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。 审计(Accounting):是记录用户使用网络服务的资源情况,这些信息将作为计费的依据....
AAA原理配置
weixin_61805348的博客
12-30 1926
AAA原理配置
HCIA-DATACOM全套学习笔记
04-05
HCIA-DATACOM_Day06_IP头部简介 VLAN原理配置.pdf HCIA-DATACOM_Day07_Trunk的原理配置.pdf HCIA-DATACOM_Day08_STP生成树协议.pdf HCIA-DATACOM_Day09_STP后续2.pdf HCIA-DATACOM_Day10_Telnet.pdf HCIA-...
H12-811 HCIA-Datacom 655题新题库
09-29
"H12-811 HCIA-Datacom 655题新题库" 网络协议基础 1. 网络层 protocol 字段取值为 6 时,主机在访问服务器的 web 服务器时是正确的。 命令行接口 2. Error:unrecognized command found at ‘^’ position 的...
AAA服务器配置详解
12-04
AAA服务器的详细配置过程:认证 认证:①radius认证: 使用udp 1645(认证授权)、1646(审计)端口 udp 1812(认证授权)、1813(审计)端口 Radius支持和PPPoe拨入 ②tacacs+/tacacs认证:是cisco专有,使用tcp 49 端口
[eNSP]→远程管理、aaa认证(3a认证
GodFlaming的博客
06-24 9094
eNSP中通过telnet的手段,设置aaa认证,实现真是主机对topo中路由器进行管理
华为eNSP配置aaa认证
嘻嘻哥哥~的博客
02-19 6073
aaa认证 配置 [R1]int GigabitEthernet 0/0/0 #进入接口 [R1-GigabitEthernet0/0/0]ip address 192.168.10.2 255.255.255.0 #在接口里面配置IP地址 [R1-GigabitEthernet0/0/0]undo shutdown #开启接口 [R1]aaa #开启aaa认证 [R1-aaa]local-user dcc password
华为认证网络工程师学习笔记AAA原理配置
yuyeconglong的博客
03-06 924
AAA原理配置
第二章 VRP基础
旷野亮光
12-07 4324
引言:都2020年了,你还不知道VIP是什么?搞错了,是这个VRP 前面一章的内容中,给大家介绍了网络通信的一些基础知识,但是想要跟进一步的学习华为厂商的有关技术,这就不得不提到VRP(Versatile Routing Platform)。 那么问题来了,什么是VRP? 说到VRP,众所周知的大家都知道华为的任老爷子以前就是靠卖路由器发家的。VRP就是华为公司从低端到高端的全系列路由...
网络安全——浅谈——AAA认证技术——登录授权配置命令
qq_62311779的博客
02-04 6839
一、AAA认证简介: AAA认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证授权计费三种安全服务。 AAA提供的安全服务具体是指: 认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。 计费(Accounting):是记录用户使用网络服务的资源..
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
hcia mybase
07-13
### 回答1: HCIA MyBase是华为公司推出的一门IT基础知识证书课程。该课程旨在培养学员的IT基础知识,并为他们打下坚实的技术基础。 HCIA MyBase课程主要包括以下几个模块:计算机基础、网络基础、操作系统基础以及存储基础。在计算机基础模块中,学员将学习计算机硬件、计算机组成原理、计算机工作原理等相关知识。网络基础模块则基于TCP/IP协议,讲解网络基础知识,并介绍网络设备的配置和管理。操作系统基础模块将教授学员操作系统的基本原理、操作系统的安装与维护方法等。在存储基础模块中,学员将学习存储技术的基础知识,包括磁盘阵列、磁带库等。 通过学习HCIA MyBase课程,学员能够全面了解IT基础知识,掌握计算机、网络、操作系统和存储等方面的基本技能。这将为他们今后的IT职业发展打下坚实的基础。此外,学员还可以参与HCIA MyBase的考试,通过考试并获得证书,进一步提升自己的竞争力。 总之,HCIA MyBase是一门非常有价值的IT基础知识证书课程,通过学习该课程,学员能够获取全面、系统的IT基础知识,为自己在IT领域的发展奠定良好的基础。 ### 回答2: HCIA MyBase是华为认证的一项网络技术能力证书,专注于企业网络技术领域。 HCIA表示"华为认证网络工程师"(HUAWEI Certified Internet Associate),是华为认证网络技术认证,是华为网络技术能力认证体系中的一项核心证书。 MyBase是指该认证针对华为企业网络产品和解决方案进行技能的培训和考核。它对网络工程师的能力要求比较全面,主要包括:网络基础知识、以太网局域网技术、IP网络基础、无线局域网技术、网络能力基础等。 通过HCIA MyBase认证,可以证明具备以下方面的能力: 1. 网络基础知识:了解网络的基本知识框架、网络硬件设备的功能、网络拓扑结构等。 2. 以太网局域网技术:熟悉以太网的标准、局域网的工作原理、以及相关的接口和设备。 3. IP网络基础:掌握IP地址的划分和分类、IP路由和交换的基本原理等。 4. 无线局域网技术:了解无线网络的基本概念、无线网络设备、无线安全等知识。 5. 网络能力基础:具备网络规划和设计的能力,能够基于实际需求进行网络规划与设计。 总之,HCIA MyBase认证华为认证体系中的网络技术能力认证,通过该认证可以证明具备较全面的企业网络技术知识和能力,对于从事企业网络工程或相关行业的人员来说,具有较高的职业认可度和竞争力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值