aaa配置

aaa配置

Authentication（认证）:验证用户是否获得网络访问权

Authorization（授权）：通过认证的用户可以使用哪些服务

Accounting（计费）：记录通过认证的用户使用网络资源的情况

AAA使用C/S架构

注：AAA客户端也称为网络接入服务器-NAS

如果在客户端和服务器在一台设备上，可以实现AAA认证和授权（本地方式不提供计费功能）

华为S系列交换机的AAA功能

认证

不认证

本地认证：用户信息配置在本地设备上。

远程认证

授权

不授权

本地授权

HWTACACS授权：由HWTACACS服务器对用户进行远程授权

if-authenticated授权：如果用户通过了认证，而且使用的认证模式是本地或远程认证，则直接为用户授权

RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。

计费

不计费

RADIUS计费：设备将报文送往RADIUS服务器，由RADIUS服务器完成对用户的计费

HWTACACS计费：设备将报文送往HWTACACS服务器，由HWTACACS服务器完成对用户的计费

AAA基于域与的用户管理

域：相当于不同的用户组，不同域有不同的认证，授权和计费方式，和服务器模板（后面解释）

缺省情况下有两个域（两个域不能删除）

default 全局缺省普通域。功能：接入用户缺省域

default_admin 全局缺省管理域。功能：管理员账号（HTTP,SSH,telnet）的缺省域

HWTACACS

主要用于点对点协议PPP和VPDN（虚拟私有拨号上网）

RADIUS协议

基于UDP的RADIUS帧格式及其消息传递机制，复习UDP的传输模式：

规定UDP端口1812、1813分别作为认证（包括授权）、计费的端口

Users:用于存储用户信息（如用户名，口令，以及使用的协议、IP地址等配置信息）

Clients：用于存储RADIUS 客户端的信息

Dictionary：用于存储RADIUS协议中的属性和属性值含义的信息

安全机制：

不对称密钥：客户端和服务器通过共享密钥对传输数据加密，共享密钥不通过网络来传输

1、检查路由是否可达——ping交换机地址可达，正常。

2、在交换机上检查telnet服务是否打开：

display telnet server status

TELNET IPv4 server :Enable

TELNET IPv6 server :Enable

TELNET server port :23

TELNET server source address :0.0.0.0

ACL4 number :0

ACL6 number :0

发现正常开启。

3、在交换机上telnet环回地址，发现无法telnet不成功。

telnet 127.0.0.1

Trying 127.0.0.1 ...

Press CTRL+K to abort

Error: Failed to connect to the remote host.

4、检查设备配置：

#

telnet server enable

#

aaa

local-user admin password irreversible-cipher %#%#$%T-F}y:K5[a--15K0Q!L)i-KH,^v

local-user admin service-type telnet

#

user-interface vty 0 4

authentication-mode aaa

基本的配置都有

5、翻阅产品文档，发现VTY用户界面支持协议默认是SSH。

根因

VTY用户界面支持协议默认从all变成了SSH。

解决方案

将VTY用户界面支持协议改为telnet，后测试成功。

user-interface vty 0 4

protocol inbound telnet

建议与总结

新版本为了网络安全，在VTY用户界面已经将支持协议默认从all变成了SSH。如果用户需要使用telnet协议，需要手动配置protocol inbound telnet。