路由AAA配置

AAA（认证、授权、计费）原理与配置

预备知识

2. AAA简介

AAA（Authentication，Authorization，and Accounting）是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现，在实际引用中，最常使用RADIUS协议。

3. AAA常见架构

AAA常见网络架构中包括用户、NAS、AAA服务器，如下图所示：

4. 认证

AAA支持的认证方式有：不认证，本地认证，远端认证。

1）不认证：完全信任用户，不对用户身份认证进行合法性检查，鉴于安全考虑，这种认证方式很少被采用。

2）本地认证：将本地用户信息（包括用户名、密码和各种属性）配置在NAS上，此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低；缺点是存储信息受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理，如Telnet，FTP用户等。

3）远端认证：将用户信息配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证，NAS作为客户端，与AAA服务器进行通信。

5. 授权

AAA支持的授权方式有：不授权，本地授权，远端授权。授权信息包括：所属用户组，所属VLAN,ACL编号等。

6. 计费

计费功能用于监控授权用户的网络行为和网络资源的使用情况。AAA支持的计费方式有：不计费，远端计费。

7. ISP域

ISP域即ISP用户群，以下简称域，由属于同一个域的用户构成的用户群，在userid@domain或者userid.domain形式的用户名中，”@”和“.”即为分隔符，userid为用于身份认证的用户名，domain即为域名。在域视图下可以为每个域配置包括使用的AAA策略在内的一套单独的域属性。

实验环境

操作系统：Windows 7

工具：eNSP

组网图：

实验步骤一

任务描述：了解AAA实现原理。

1. AAA可以通过用多种协议来实现，最常用的是RADIUS协议，由NAS作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理。

2. RADIUS使用UDP1812作为认证，UDP1813作为计费端口，你肯定会有疑问，授权端口是哪个呢？其实授权是和认证同时进行的，所以在这里没用区分出来，如下图所示：

3. 本次实验采用本地授权和认证，由于计费功能只能通过远端进行，所以没有计费请求这个过程。具体过程如组网图所示，网络管理员登录NAS，NAS将网络管理员的用户信息与本地配置的信息做对比，认证通过后将授予网络管理员一定的管理员权限。

实验步骤二

任务描述：在R2配置AAA认证，通过R1作为网络管理员telnet R2，实现用户的认证、授权。

1. 使用两台AR2220路由器，AR1充当网络管理员，AR2作为NAS，连接G0/0/0接口：

注：可在eNSP右上角的设置中-界面设置-勾选显示设备型号和接口标签。

进入系统视图为R1重命名，进入R1的G0/0/0接口视图，配置IP地址，保证能与R2进行通信：

在R2配置与R1同网段的地址，然后进入AAA视图，创建认证方案以及授权，方式为本地认证和本地授权：

[Huawei]aaa

[Huawei-aaa]authentication-scheme hetian  认证

Info: Create a new authentication scheme.

[Huawei-aaa-authen-hetian]authentication-mode local

[Huawei-aaa-authen-hetian]q

[Huawei-aaa]authorization-scheme hetian  授权

Info: Create a new authorization scheme.

[Huawei-aaa-author-hetian]authorization-mode local

创建domain域名为hetian，并绑定认证方案和授权方案，然后查看AAA配置信息：

[Huawei-aaa]domain hetian

Info: Success to create a new domain.

[Huawei-aaa-domain-hetian]authentication-scheme hetian

[Huawei-aaa-domain-hetian]authorization-scheme hetian

[Huawei-aaa-domain-hetian]q

[Huawei-aaa]display this

[V200R003C00]

#

aaa

 authentication-scheme default

 authentication-scheme hetian

 authorization-scheme default

 authorization-scheme hetian

 accounting-scheme default

 domain default

 domain default_admin

 domain hetian 

  authentication-scheme hetian

  authorization-scheme hetian

 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$

 local-user admin service-type http

#

return

2. 创建本地用户和密码、用户接入类型、用户级别，再进入vty接口，配置认证方式为aaa认证：

如果用户名中带域名分隔符，如@，则认为@前面的部分是用户名，后面的部分是域名；如果没有@，则整个字符串为用户名，域为默认域。

[Huawei-aaa]local-user qq123@hetian password cipher 123456

Info: Add a new user.

[Huawei-aaa]local-user qq123@hetian service-type telnet

[Huawei-aaa]local-user qq123@hetian privilege level 3[lc1] 

[Huawei-aaa]q

[Huawei]user-interface vty 0

[Huawei-ui-vty0]authentication-mode aaa

3. 在R1的用户视图下telnet R2，输入用户名和密码即可进入到R2的命令行界面：

此时可以进入R2系统视图并查看R2的配置信息。

再到R2将该用户的等级设置为0：

这意味着该用户只能使用网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH）等。

可以看到此时在R1设备上重新退出telnet连接，再进行telnet登录到R2设备，该用户已经不能进入系统视图以及查看设备配置信息了：

同时在R2上还可以看到用户的下线信息，包括用户名、登录方式、上线时间以及下线时间等：

从实验测试结果得知，在R1上telnet R2，通过预设的用户及权限登录到R2，整个过程实现了认证和授权两大功能。

---

 [lc1]具有特权级别 3 的用户可能可以执行以下操作：

查看设备的状态信息，如系统状态、接口状态、日志信息等。

配置和管理某些特定功能和服务，如基本的网络配置、用户管理等。

可能能够查看设备的配置信息，但可能不能修改所有的配置。

对于某些服务（如SSH、Telnet等），可以进行连接和管理，但不能访问所有的配置模式。