28-AAA原理与配置
28-AAA原理与配置
AAA应用场景
AAA是一种提供认证、授权和计费三种安全功能。
- AAA是一种提供认证、授权和计费的安全技术。
- AAA服务器表示远端的Radius或HWTACACS服务器,负责制定认证、授权和计费方案。
- 目前,ARG3系列路由器只支持配置认证和授权。
认证
- 认证:验证用户是否可以获得网络访问的权限。
- AAA支持的认证方式有:不认证,本地认证,远端认证。
授权
- 授权:授权用户可以访问或使用网络上的哪些服务。
- AAA支持的授权方式有:不授权,本地授权,远端授权。
计费
- 计费:记录用户使用网络资源的情况。
- AAA支持的计费方式有:不计费,远端计费。
AAA域
- 设备基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。每个用户都属于一个域。用户属于哪个域是由用户名中的域名@后的字符串决定。
- AGR3系列路由设备支持两种缺省域:
- default域为普通用户的缺省域。
- default域为普通用户的缺省域。
- 用户可以修改但不能删除这两个缺省域。默认情况下,设备最多支持32个域,包括两个缺省域。
AAA配置
[RTA] aaa
[RTA-aaa] authentication-scheme auth1
[RTA-aaa-auth1] authentication-mode local
[RTA-aaa-auth1] quit
[RTA-aaa] authorization-scheme auth2
[RTA-aaa-author-auth2] authorization-mode local
[RTA-aaa-author-auth2] quit
[RTA-aaa] domain huawei
[RTA-aaa-domain-huawei] authentication-scheme auth1
[RTA-aaa-domain-huawei] authorization auth2
[RTA-aaa-domain-huawei] quit
- authentication-scheme authentication-scheme-name命令用来配置域的认证方案。缺省情况下,域使用名为“default”的认证方案。
- authentication-mode {hwtacacs | radius | local} 命令用来配置认证方式。缺省情况下,认证方式为本地认证。
- authorization-scheme authorization-scheme-name 命令用来配置域的授权方案。缺省情况下,域下没有绑定授权方案。
- authorization-mode {[hwtacacs | if-authenticated | local] * [none] } 命令用来配置当前授权方案使用的授权方式。缺省情况下,授权模式为本地授权。
- domain domain-name命令用来创建域,并进入AAA域视图。
AAA配置
[RTA-aaa] local-user huawei@huawei password cipher huawei123
[RTA-aaa] local-user huawei@huawei service-type telnet
[RTA-aaa] local-user huawei@huawei privilege level 0
[RTA] user-interface vty 0 4
[RTA-ui-vty0-4] authentication-mode aaa
- local-user user-name password cipher password命令用来创建本地用户,并配置本地用户的密码。
- local-user user-name priviledge level level命令用来指定本地用户的优先级。
配置验证
[RTA] display domain name huawei
- AAA中,每个域都会与相应的认证授权和计费方案相关联。
