一个实验搞明白AAA认证

于 2024-08-31 16:46:20 发布
阅读量1.4k 收藏 13
点赞数 27
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79308927/article/details/141754808
版权

AAA概述

AAA(Authentication(认证),Authorization(授权),,and Accounting(计费))是一种管理框架,它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS (Remote Authentication Dial-In User Service)协议。

AAA定义

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

  • 1、认证:确认访问落的用户的身份,判断访问者是否为合法的网络用户。
  • 2、授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
  • 3、计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,使用手机和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。

实验:本地AAA配置

实验目的

掌握基本的AAA认证授权方案的配置,并掌握创建域的方法,以及了解域的用户管理原理。

实验拓扑

实验步骤

R1设置

<Huawei>system-view  

[Huawei]undo  info-center enable

[Huawei]sysname R1

[R1]interface  GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24

[R1-GigabitEthernet0/0/0]undo shutdown

[R1-GigabitEthernet0/0/0]quit

R2设置

<Huawei>system-view  

[Huawei]undo  info-center enable

[Huawei]sysname R2

[R2]interface  GigabitEthernet 0/0/1

[R2-GigabitEthernet0/0/1]ip address 192.168.1.2 24

[R2-GigabitEthernet0/0/1]undo  shutdown

[R2-GigabitEthernet0/0/1]quit

[R2]aaa //进入AAA试图

[R2-aaa]authentication-scheme hcia1 //创建认证方案hcia1

[R2-aaa-authen-hcia1]authentication-mode local  //认证模式为本地是认证

[R2-aaa-authen-hcia1]display authentication-scheme //查看验证方案

  Authentication-scheme-name    : hcia1

  Authentication-method         : Local

  Authentication-super method   : Super

[R2-aaa-authen-hcia1]quit

[R2-aaa]authorization-scheme hcia2 //创建授权方案hcia2

[R2-aaa-author-hcia2]authorization-mode  local //授权模式为本地

[R2-aaa-author-hcia2]quit

[R2-aaa]domain hcia //创建域hica

[R2-aaa-domain-hcia]authentication-scheme hcia1

//指定对该区域内的用户采用hcia1的认证方案

[R2-aaa-domain-hcia]authorization-scheme hcia2

//指定对该区域内的用户采用名为hcia2的授权方案

[R2-aaa]local-user harry@hcia password cipher huawei

//创建用户名为harry,属于hcia域,密码为huawei

[R2-aaa]local-user harry@hcia service-type telnet //用户的服务类型为telnet

[R2-aaa]local-user harry@hcia privilege level 3 //用户授权级别为3

[R2-aaa]quit

[R2]user-interface  vty 0 4

[R2-ui-vty0-4]authentication-mode aaa //认证模式为AAA

[R2-ui-vty0-4]quit

测试

<R1>telnet 192.168.1.2

  Press CTRL_] to quit telnet mode

  Trying 192.168.1.2 ...

  Connected to 192.168.1.2 ...

Login authentication

Username:harry@hcia //输入用户名

Password:huawei //密码

<R2>

以上就可以看到通过telnet远程登录R2的时候,是需要用户名和密码的。

关注+点赞+评论+收藏,分享更多网工实验小技巧

运维骁哥
关注
计算机网络验证性实验
ningziya的博客
01-08 260
IP地址、子网掩码、网关Gateway
802.1X认证协议及漏洞分析
Thinking > Coding >Think
01-02 5858
 我们学校使用的是华为的上网认证系统,应该也有很多学校也是使用这套系统吧。网上有很详细的关于802.1x的说明。简单说一下。802.1x是使用的是EAP协议,在Rfc3748中有关于Eap详细的说明。不过在具体的实现上面每一公司都不同,总体的结构和交互的时序是符合标准的 。发送的数据帧长度是60。可建立以下结构:typedef struct Exauthen{     
AAA认证实验
03-09
R1/SW1是三层交换机;配置vlan 10和vlan 100,分别作为内网用户vlan和服务器vlan;实现vlan间通信(所有vlan网关的IP地址最后一位都是254)。(配置vlan 1为网络设备管理vlan,网段IP为192.168.50.x/24;R1/SW1的管理IP就是vlan 1的网关IP)(2)R2/SW2是二层交换机,管理IP为192.168.50.2/24
基于服务器AAA实验
weixin_33725126的博客
03-17 389
---恢复内容开始--- 一、实验拓扑 二、实验地址分配 设备 端口 ip 掩码 AAAA g0/0 and se0/3/0 192.168.1.1 and 192.168.4.1 255.255.255.0 BBBB se0/3/0 and se0/3/1 and g0/0 192.168.4.2 and 19...
AAA实验
2401_83878928的博客
06-26 331
目录一、定义二、AAA实验三、总结一、定义二、AAA实验1.拓扑图2.配置R1,命令如下:3.配置R2,命令如下:4.配置认证授权方案,命令如下:5.创建域并在域下应用AAA方案,命令如下:6.配置本地用户名和密码,命令如下:7.开启Telnet功能,命令如下:8.实验测试:(1)测试在R1上是否可以TelnetR2,命令如下:通过以上结果可以看出,R1可以Telnet到R2上,但要输入用户名和密码,因为开启了AAA。
关于AAA的简单实验
xianranruyi的博客
04-24 280
关于AAA实验的简单配置。
aaa认证
weixin_30254435的博客
03-18 906
1、实验拓扑图和地址表 Addressing Table 地址表 Device Interface IP Address Subnet Mask R1 Fa0/0 192.168.1.1 255.255.255.0 S0/...
华为防火墙实现远程管理的方式及配置telnet--web--ssh
weixin_45986422的博客
04-26 6172
1.通过Console线进行管理 这种方式适用于刚购买的新设备,实际环境中,插上Console即可!这里就不再多说了! 2.通过Telnet方式管理 Telnet管理方式通过配置使终端通过Telnet方式登录设备,实现对设备的配置和管理。其实这种环境拓补只需一个防火墙(版本为USG6000)和Cloud(主要是为了可以桥接到宿主机或虚拟机)即可,实验拓补如下: 1)首次登录C...
Hcia知识点总结
qq_41819426的博客
11-07 8847
Hcia知识点总结 目录 1.网络定义 2.OSI七层模型/tcp ip 协议栈 3.数据封装与解封装 4.路由器,交换机 5.IP地址 6.基础网络协议 7.华为设备基础命令 1.网络定义 什么是网络? 指的是由网络连接设备通过传输介质将网络终端设备连接起来进行信息共享交互的平台。 名词解释: 网络连接设备:用于网络连接的装置 例如我们熟悉的路由器,交换机等等 传输介质:用于连接设备与设备之间的工具 例如光纤,电缆,网线等等 网线的制作:(直通双绞线和交叉双绞线的制作) 网线的定义:网线是用于连接计算机和
运维面试题
wx25051的博客
04-10 8900
NETWORK 1 请描述 TCP/IP 协议中主机与主机之间通信的三要素 参考答案 IP 地址(IP address) 子网掩码(subnet mask) IP 路由(IP router) 2 请描述 IP 地址的分类及每一类的范围 参考答案 A 类 1-26 B 类 128-191 C 类 192-223 D 类 224-239 组播(多播) E 类 240-254 科研 3 请描述 A、B、...
AAA 基础实验
繁星流动天际
04-01 427
实验目的:在R1上telnet到R2时,进行认证,授权,统计。 Step 1: R1+++++++++++++++++++ int s1/3 no sh ip add 12.1.1.1 255.255.255.0 R2+++++++++++++++++++ int s1/3 no sh ip add 12.1.1.2 255.255.255.0 int f0/0 no sh ip add 1...
华为AAA配置实验
2301_78115896的博客
06-16 3916
授权所要保障的是用户行为是合法的,也就是说用户的行为是在被允许范围内的行为;在配置AAA本地认证之前,可以先使用命令display aaa configuration 来确认设备上是否有足够的资源。在AAA方案中,我们需要配置认证方案和援权方案,本实验要求两者都使用本地方案。配置完成后,我们可以使用命令display authentication-scheme来查看配置中的AAA认证方案。在使用AAA本地认证的环境中,我们需要在基于域的配置中设置AAA方案和本地用户。(2)查看系统中的认证方案。
基于服务器的AAA实验
weixin_30273501的博客
03-18 94
拓扑图 如下: 地址表如下: 三个pc机相互ping通 pc-a与pc-b pc-a与pc-c pc-b与pc-c R1: R1(config)#username admin1 password Admin1 R1(config)# aaa new-model R1(config)#aaa authentication login default loc...
aaa 实验总结
weixin_33858249的博客
08-16 358
AAA 实验总结 1、ACS安装问题 2、配置认证、授权、统计 转载于:https://blog.51cto.com/703771/192584
AAA认证详解
qq_22193519的博客
11-15 1万+
802.1x(基于端口的认证) 802.1x 的主要功能:对接入的用户做认证,防止未授权的用户访问网络 802.1x 起源于无线 当用户插上网线时,交换机会提示用户执行 802.1x 认证(输入用户名和密码),当开启 802.1X 认证的交换机,在端口检测到有网卡接入的时候,交换机会想接入该端口的主机发送 EAPOL 数据帧,要求进行认证 在交换机认证成功之前(802.1x)只允许三种流量通过: ...
HCIA-Datacom实验日志(九)——本地AAA配置实验
m0_62225586的博客
04-02 943
本地AAA认证实验实验过程记录以及知识补充
AAA认证是什么?一文带你科普AAA认证及协议
热门推荐
最铁头的网工博客
05-19 2万+
1、AAA认证是什么? AAA指的是AuthenticationAuthorizationAccounting,意思是认证、授权、计费,是网络安全的一种管理机制。 • 认证是确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。 • 授权是对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。 • 计费是记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户
本地AAA认证
最新发布
03-22
<think>嗯,用户之前问了思科AAA配置拓扑图,现在又问本地AAA认证,可能是在实际配置中遇到了问题,或者想更深入了解不同的认证方式。首先,我需要确认本地AAA和之前提到的基于RADIUS/TACACS+服务器的AAA有什么区别。用户可能已经知道集中式认证,现在想了解在没有外部服务器的情况下如何配置本地认证。 用户可能是网络管理员,负责管理思科设备,可能在中小型企业工作,没有部署外部AAA服务器,或者需要备用认证方式。他们可能需要一个简单、无需额外服务器的解决方案,特别是在网络规模较小或测试环境中。 需要明确本地AAA的三个组成部分:认证、授权、计费,以及如何在思科设备上配置这些。用户可能关心具体步骤,比如如何创建本地用户,启用AAA模型,设置认证方法列表等。同时,用户可能想知道本地AAA的优缺点,适用场景,以及常见问题,比如密码恢复或性能问题。 另外,用户之前的问题涉及到拓扑图,但本地AAA不需要外部服务器,所以拓扑结构可能更简单,直接是客户端连接到NAS(路由器/交换机),设备自身处理认证。需要解释这种结构,并给出配置示例,确保步骤清晰,避免常见错误,比如忘记启用AAA new-model或授权配置不当。 可能还需要对比本地AAA和基于服务器的AAA,帮助用户理解何时选择哪种方式。例如,本地适合小规模,而服务器适合大规模集中管理。用户可能有扩展需求,未来可能需要迁移到服务器,但现在需要临时解决方案。 最后,要检查是否有相关后续问题,比如如何备份本地用户数据库,或者如何迁移到RADIUS服务器,但用户当前问题集中在本地配置,应优先回答清楚,再提供相关问题链接。需要确保回答结构清晰,步骤正确,避免技术错误,比如正确的CLI命令和配置顺序。</think>思科设备的 **本地AAA认证** 是指不依赖外部服务器(如RADIUS或TACACS+),直接在网络设备(如路由器、交换机)上配置用户认证、授权和计费的功能。适用于小型网络或作为外部AAA服务器的备份方案。 --- ### **本地AAA的核心原理** 1. **认证Authentication)** 验证用户身份,通常通过本地配置的用户名和密码完成。 2. **授权(Authorization)** 定义用户登录后可执行的命令或访问的资源(如特权级别)。 3. **计费(Accounting)** 记录用户登录、操作日志(可选,本地AAA较少使用计费功能)。 --- ### **典型配置步骤** #### 1. **启用AAA功能** ```shell Router(config)# aaa new-model # 启用AAA框架 ``` #### 2. **创建本地用户** ```shell Router(config)# username admin privilege 15 secret cisco123 # 创建用户名为admin,权限级别15(最高权限),密码为cisco123 ``` #### 3. **配置认证方法** - **控制台/SSH登录认证** ```shell Router(config)# aaa authentication login default local # 使用本地数据库认证登录 Router(config)# line vty 0 4 Router(config-line)# login authentication default # 应用到VTY线路(SSH/Telnet) Router(config-line)# transport input ssh # 仅允许SSH ``` - **特权模式授权** ```shell Router(config)# aaa authorization exec default local # 用户进入特权模式时检查本地权限 ``` --- ### **拓扑结构示意图** ``` [用户] ---(SSH/Telnet)---> [思科设备(本地AAA数据库)] | |--- 直接认证并授权用户操作 ``` --- ### **本地AAA的优缺点** #### **优点**: - **无需外部服务器**,配置简单,适合小型网络或紧急恢复场景。 - **高可靠性**:即使外部AAA服务器故障,仍可通过本地账户登录。 #### **缺点**: - **扩展性差**:用户数量多时需逐个配置,维护成本高。 - **安全性风险**:密码存储在设备本地,需严格加密(如使用`secret`而非`password`)。 --- ### **应用场景** 1. 实验室或测试环境快速部署。 2. 作为外部AAA服务器的备份认证方式。 3. 设备初始配置或故障恢复时使用。 --- ### **常见问题与注意事项** 1. **密码恢复问题** 若忘记本地账户密码且无其他登录方式,需通过物理访问设备进入ROMMON模式重置。 2. **权限分配** 通过`privilege`级别控制用户权限(如级别1为普通用户,级别15为管理员)。 3. **日志记录** 启用`aaa accounting`记录用户操作(需配置日志服务器或本地存储)。 --- 如果需要进一步了解,可参考以下问题: 1. [如何为思科设备配置SSH登录?](#) 2. [本地AAA与RADIUS/TACACS+的对比](#) 3. [如何备份和恢复思科设备的配置文件?](#)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值