素材来源:来源于网络和相关书籍
免责声明:本人主要是把自己收集到的资料进行一边学习一边整理实验笔记并使用模拟器部署搭建,并与大家分享,侵权即删,谢谢支持!
温馨提示:推荐使用电脑查看本文章
/ 实验介绍: /
关于本实验的所需要的知识点补充
AAA
AAA 是 Authentication(认证)、Authorization(授权)和 Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。这三种安全功能的具体作用如下:
认证:验证用户是否可以获得网络访问权。
授权:授权用户可以使用哪些服务。
计费:记录用户使用网络资源的情况。
用户可以使用 AAA 提供的一种或多种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA 是一种管理框架,它提供了授权部分用户去访问特定资源,同时可以记录这些用户操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA 可以通过多种协议来实现,在实际应用中,最常使用 RADIUS 协议。本实验将通过配置本地 AAA 对远程 Telnet用户进行资源管控。
/ 实验目的 /
掌握本地 AAA 认证授权方案的配置方法
掌握创建域的方法
掌握本地用户的创建方法
理解基于域的用户管理的原理
/ 实验内容 /
R1模拟一台客户端设备,R2为一台网络设备。现在需要在 R2上对管理 R2的用户进行资源控制,只有通过认证的用户才能访问特定的资源,因此您需要在 R1和 R3 两台路由器上配置本地AAA 认证,并基于域来对用户进行管理,并配置已认证用户的权限级别。
/ 实验拓扑 /
/ 实验编址 /
/ 实验配置 /
1、基本配置
[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 10.0.12.1 24[R2]int g0/0/0[R2-GigabitEthernet0/0/0]ip add 10.0.12.2 24
2、配置AAA
设备作为AAA服务器时被称为本地AAA服务器,本地AAA服务器支持对用户进行认证和授权,不支持对用户进行计费。
与远端AAA服务器相似,本地AAA服务器需要配置本地用户的用户名、密码、授权信息等。使用本地AAA服务器进行认证和授权比远端AAA服务器的速度快,可以降低运营成本,但是存储信息量受设备硬件条件限制。
[R2-aaa]aaa
进入 AAA 视图。
R2-aaa]authentication-scheme datacom
创建名为datacom 的认证方案。
R2-aaa-authen-datacomlauthentication-mode local
设置认证方案的认证方式为本地认证。
R2-aaa-authen-datacom]quitR2-aaalauthorization-scheme datacomnfo:Create a new authorization scheme
创建名为datacom 的授权方案。
R2-aaa-author-datacom]authorization-mode local
设置授权方案的授权方式为本地授权。
3、创建域并在域下用AAA
[R2]aaa[R2-aaa]domain datacom
设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。创建名为datacom的域。
[R2-aaa-domain-datacom]authentication-scheme datacom
指定对该域内的用户采用名为datacom 的认证方案。
[R2-aaa-domain-datacom]authorization-scheme datacom
指定对该域内的用户采用名为datacom 的授权方案。
4、配置本地用户
[R2-aaa]local-user hcia@datacom password cipher hcia123
如果用户名中带域名分隔符“@”,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。
配置本地用户的接入类型、级别等参数
[R2-aaa]local-user hcia@datacom service-type telnet
命令用来配置本地用户的接入类型。系统提供对用户的接入类型管理即对所有用户配置一定的接入类型,只有用户的接入方式与系统为该用户配置的接入类型匹配,用户才能登录。如此处设置的接入类型为telnet,则此用户无法通过web方式接入设备,一个用户可以有多种接入类型。
[R2-aaa]local-user hcia@datacom privilege level 3
指定本地用户的级别。不同级别的用户登录后,只能使用等于或低于自己级别的命令。
5、开启R2的Telnet功能
[R2]telnet server enable
开启设备的telnet服务器功能,部分设备默认开启,可能会报错。
[R2]user-interface vty 0 4[R2-ui-vty0-4]authentication-mode aaa
authentication-mode命令用来设置登录用户界面的验证方式。缺省情况下,用户界面没有使用该命令配置认证方式。登录用户界面必须配置验证方式,否则用户无法成功登录设备。
6、检验配置效果
来个结尾曲