AAA认证的全称是Authentication、Authorization、Accounting,中文意思是认证、授权、计费。
以下是详细解释
- 认证(Authentication)是指验证用户身份的过程,用来确定用户是否拥有访问网络的权限。
- 授权(Authorization)是指对经过认证的用户授予不同的访问权限,限制用户可以使用的资源和服务。
- 计费(Accounting)是指记录用户使用网络资源的情况,用于计费或审计。
AAA认证是一种常用的网络安全机制,可以有效地控制对网络资源的访问,提高网络安全性。
AAA认证常用于
配置控制台访问:您可以使用AAA认证来配置对路由器或交换机的控制台访问。这意味着只有知道正确用户名和密码的用户才能访问设备的控制台端口。
配置远程访问:您可以使用AAA认证来配置对路由器或交换机的远程访问。这意味着用户可以使用 Telnet 或 SSH 连接到设备,但需要输入正确的用户名和密码才能获得访问权限。
配置VPN接入:您可以使用AAA认证来配置VPN接入网络。这意味着用户需要输入正确的用户名、密码和 VPN 组才能连接到网络。
配置无线接入:您可以使用AAA认证来配置无线接入网络。这意味着用户需要输入正确的用户名、密码和 SSID,然后才能连接到无线网络。
AA 身份验证是一个强大的工具,可用于提高网络安全性和可管理性。通过在 ENSP 中使用 AAA 身份验证,您可以了解如何在实际网络中配置和管理 AAA 身份验证。
实验拓扑
要求在AR1上配置aaa认证,通过AR2来实现telnet远程登录AR1
AR1的基本配置
<AR1>sys Enter system view, return user view with Ctrl+Z. //配置基本的IP [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [AR1-GigabitEthernet0/0/0]q [AR1]aaa [AR1-aaa]local-user hello password cipher 123 Info: Add a new user. [AR1-aaa]local-user hello privilege level 15 [AR1-aaa]local-user hello service-type telnet [AR1-aaa]q [AR1]user-interface vty 0 4 [AR1-ui-vty0-4]authentication-mode aaa [AR1-ui-vty0-4]
aaa: 这个命令进入了AAA配置模式,允许你配置身份验证、授权和账户管理。
local-user hello password cipher 123: 这个命令创建了一个名为 "hello" 的本地用户,并设置了其密码为 "123"。cipher 关键词表示密码是经过加密的。
local-user hello privilege level 15: 这个命令指定了用户 "hello" 的特权级别为 15,这是最高的特权级别,通常对应管理员权限。
local-user hello service-type telnet: 这个命令限制了用户 "hello" 只能通过 telnet 服务类型进行登录。
q: 这个命令退出了AAA配置模式,回到全局配置模式。
user-interface vty 0 4: 这个命令进入了VTY用户界面的配置模式,并指定了终端线路范围从0到4。
authentication-mode aaa: 这个命令将VTY终端线路的身份验证模式设置为AAA,表示当用户尝试登录到这些终端线路时,系统将使用之前配置的AAA认证来验证他们的身份。
AR2的基本配置
<AR1>sys Enter system view, return user view with Ctrl+Z. //配置基本的IP [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 192.168.1.2 24 [AR2-GigabitEthernet0/0/0]q
只用配置的基本的IP达到可以访问的目的即可
测试访问
接下来实现Telnet远程连接
<AR2>telnet 192.168.1.1 Press CTRL_] to quit telnet mode Trying 192.168.1.1 ... Connected to 192.168.1.1 ... Login authentication Username:hello Password: ----------------------------------------------------------------------------- User last login information: ----------------------------------------------------------------------------- Access Type: Telnet IP-Address : 192.168.1.2 Time : 2024-04-14 18:37:12-08:00 ----------------------------------------------------------------------------- <AR1>
由于我们赋予了15的最大权限所以可以在路由器上操作
级别权限
所有的级别权限根据需求来赋予
| 级别 | 权限 |
| 0 | 无权限 |
| 1 | 可以查看路由器或交换机的基本信息,例如系统名称、版本号、接口状态等。 |
| 2 | 可以查看路由器或交换机的更详细信息,例如路由表、ARP表、MAC地址表等。 |
| 3 | 可以配置路由器或交换机的基本参数,例如接口状态、IP地址、子网掩码等。 |
| 4 | 可以配置路由器或交换机的更高级参数,例如路由协议、NAT、ACL等。 |
| 5 | 可以执行路由器或交换机的基本维护操作,例如清除配置、重启设备等。 |
| 6 | 可以执行路由器或交换机的更高级维护操作,例如格式化闪存、恢复出厂设置等。 |
| 7 | 可以查看路由器或交换机的调试信息。 |
| 8 | 可以执行路由器或交换机的基本调试操作。 |
| 9 | 可以执行路由器或交换机的更高级调试操作。 |
| 10 | 可以查看路由器或交换机的统计信息。 |
| 11 | 可以配置路由器或交换机的QoS参数。 |
| 12 | 可以配置路由器或交换机的安全参数,例如防火墙、IDS、IPS等。 |
| 13 | 可以管理路由器或交换机的用户和组。 |
| 14 | 可以备份路由器或交换机的配置。 |
| 15 | 拥有所有命令权限。 |
