华为AAA配置实验

想了解本地AAA配置实验，请往下看

http://t.csdn.cn/Wb4UC

主要内容：

一，实验介绍

二，实验配置

       AAA 是指认证(Authentication)、授权(Authorization)和计费(Accounting)，是网络管理中被广泛部署的安全控制机制。具体来说:认证所要保障的是用户身份是合法的，也就是说用户是被允许进行访问的人员/实体;授权所要保障的是用户行为是合法的，也就是说用户的行为是在被允许范围内的行为;计费所要保障的是用户行为是可追溯的，也就是说用户使用网络资源的情况会被记录并保留。
       1、AAA的定义

       认证：确认访问网络的用户的身份，判断访问者是否为合法的网络用户。               

 授权：对不同用户赋予不同的权限，限制用户可以使用的服务。

       计费：记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。                                           

         2、基本架构

          AAA客户端：运行在接入设备上，通常被称为NAS设备，负责验证用户身份与管理用户接入\nAAA服务器：是认证服务器、授权服务器和计费服务器的统称，负责集中管理用户信息。

        3、AAA实现的协议

           ·RADIUS

          ·HWTACACS

实验一：本地AAA配置

实验需求

R1模拟一台客户端设备，R2为一台网络设备。现在需要在R2上对管理R2的用户进行资源控制，只有通过认证的用户才能访问特定的资源，因此您需要在R1和R2两台路由器上配置本地AAA认证，并基于域来对用户进行管理，并配置已认证用户的权限级别。

华为设备支持多种认证方式，其中 AAA（Authentication, Authorization and Accounting）是常见的一种认证框架。下面是一个简单的 AAA 配置示例：

AAA基本实拓扑图如下所示：

一、 基本配置

在配置AAA本地认证和援权之前，需要完成基本联通性配置。路由器AR1和AR2的相关配置。

1.配置路由器R1

2.配置路由器R2

 

（2）验证连通性

【1】ping 10.10.12.1

        在使用AAA本地认证的环境中，我们需要在基于域的配置中设置AAA方案和本地用户。

        在配置AAA本地认证之前，可以先使用命令display aaa configuration 来确认设备上是否有足够的资源。

（3）查看AAA资源

 二、配置AAA方案

       在AAA方案中，我们需要配置认证方案和援权方案，本实验要求两者都使用本地方案。读者可以使用以下命令来配置AAA方案。

（1）配置AAA认证

       配置完成后，我们可以使用命令display authentication-scheme来查看配置中的AAA认证方案。

（2）查看系统中的认证方案 

   为了查看这个认证方案的详细信息，我们可以在这条命令后面加上认证方案名称。

（3）查看认证方案详情 

        同样我们可以使用命令display authorization-scheme来查看配置中的援权方案，阴影部分显示出我们刚配置的援权方案datacom-authorization和援权方式

（4）查看系统中的援权方案

为了查看这个援权方案的详细信息，我们可以在这条命令后面加上援权方案名称。援权命令级别指是否为这个级别的用户启用按命令援权的功能。Authorization-cmdno-response-policy指当命令援权失败时，采取何种应对策略。本列采取的应对策略为允许用户上线。

（5）查看援权方案详情

三、配置业务方案

四、配置hcia-operator用户AAA本地认证

       在上一个实验的基础上，我们需要再创建一个用户，并且为这个用户设置监控级的权限，这个用户使用的用户名为 hcia-operator，密码为Huawei@123.

配置完成后，通过AR2向AR1发起Telnet连接，并使用新用户进行登录。

 

输入命令system-view进入系统视图 

使用display access-user来查看当前登录用户的信息。

  

display users命令输出信息描述

项目	描述
+	当前用户所在的用户界面
user-lntf	第一列数字是用户界面的绝对编号，第二列数字是用户界面的相对编号
Deelay	表面用户自最近一次输入到现在的时间间隔，单位是秒
type	连接类型 ·Console类型 ·Telnet类型 ·SSH类型 ·Web类型
Network Address	显示起始连接位置
Username	显示使用该用户界面的用户名，即该登录用户的用户名，未指定用户名时此项显示为Unspecified
AuthenStatus	标识是否验证通过
Authorcmdflag	命令行援权标志

五、小结

1.AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费3种安全功能。

2.AAA可以通过多种协议来实现，目前设备支持基于RADIUS协议或HWTACACS协议实现AAA，在实际应用中，常使用RADIUS协议。

3.认证：验证用户是否可以获得网络访问权。认证的方式由不认证、本地认证、远端认证3种。4.认证方法主要有用户名密码对或者密码、数字证书、生物指纹信息3种。采用的认证元素越多，认证功能越强，以此来保证网络的安全性和合法性。

5.授权：授权用户可以使用哪些服务，包括授权用户可以使用的命令、授权用户可以访问的资源和授权用户可以获得的信息。

6.AAA支持的授权方式有不授权、本地授权、HWTACACS授权、If-authenticated授权4种。