HCIA-Datacom实验指导手册:4.2 实验二:AAA配置实验
HCIA-Datacom实验指导手册:3.3 实验三:以太网链路聚合实验
- 一、实验介绍:
- display ssh server ip-block all
- 通过Telnet登录时,解除对IP地址10.1.2.3的锁定。
- 通过STelnet登录时,解除对IP地址10.1.2.3的锁定。
- 解除对用户名为admin1234的锁定。
- 通过Telnet和STelnet登录服务器过程中,如果在5分钟内连续6次输入错误密码,则客户端IP地址或者用户名将会默认被锁定5分钟。(自动解锁时间可以在AAA视图下,执行命令local-user authentication lock duration duration-time进行配置,可配范围是0~1000分钟,缺省情况下为5分钟。)
- 二、实验拓扑:
- 三、实验目的:
- 四、配置步骤:
- 步骤 1 掌握本地 AAA 认证授权方案的配置
- 步骤 2 掌握创建域的方法
- 步骤 3 掌握本地用户的创建方法
- 步骤 4 理解基于域的用户管理的原理
- 五、结果验证
- 六、配置参考
- 七、 思考题与附加内容
一、实验介绍:
AAA是一种管理框架,提供授权用户访问资源和记录用户操作行为的安全机制。常用RADIUS(remote authentication dial-in user service)协议来实现。营运商拨号上网就是最典型的应用场景。
AAA的作用:
1.authentication
2.accounting
3.authorization
常见架构:
NAS:network access server。会创建用户、域、方案。域里面可以有多个用户、域和方案绑定。
访问过程:pc输入账号密码–nas(根据用户—判断域—再根据域关联的方案进行控制)。
补充:华为s12800 Telnet或SSH登录时尝试6次错误后,账号或者ip地址将会锁定。解锁method as follows:
display ssh server ip-block all
通过Telnet登录时,解除对IP地址10.1.2.3的锁定。
activate vty ip-block ip-address 10.1.2.3
通过STelnet登录时,解除对IP地址10.1.2.3的锁定。
activate ssh server ip-block ip-address 10.1.2.3
解除对用户名为admin1234的锁定。
activate aaa local-user admin1234
通过Telnet和STelnet登录服务器过程中,如果在5分钟内连续6次输入错误密码,则客户端IP地址或者用户名将会默认被锁定5分钟。(自动解锁时间可以在AAA视图下,执行命令local-user authentication lock duration duration-time进行配置,可配范围是0~1000分钟,缺省情况下为5分钟。)
二、实验拓扑:
三、实验目的:
掌握本地 AAA 认证授权方案的配置
掌握创建域的方法
掌握本地用户的创建方法
理解基于域的用户管理的原理
四、配置步骤:
步骤 1 掌握本地 AAA 认证授权方案的配置
<Huawei>system-view
[Huawei]aaa
[Huawei-aaa]authentication-scheme default #认证模式有如下四种。
[Huawei-aaa-authen-default]authentication-mode ?hwtacacs HWTACACS local Local none None radius RADIUS [Huawei-aaa]authorization-scheme default #授权模式有下面四种
[Huawei-aaa-author-default]authorization-mode ?hwtacacs Use HWTACACS authorization methodif-authenticated Use authorization method which lets user(s) authorized ifuser(s) not authenticated by none authentication method #如认证过了,授权就过了。local Use local authorization methodnone Use none authorization methodHuawei-aaa]accounting-scheme default #计费模式有如下三种。
[Huawei-aaa-accounting-default]accounting-mode ?hwtacacs HWTACACSnone None radius RADIUS
步骤 2 掌握创建域的方法
补充:创建radius-server
radius-server authorization 1.1.1.1 shared-key cipher <K.R)YFE!!(I\I9%HS7.!Q!!
radius-server template huaweiradius-server shared-key cipher <K.R)YFE!!(I\I9%HS7.!Q!!radius-server authentication 1.1.1.1 1812radius-server accounting 1.1.1.1 1813aaadomain huaweiauthentication-scheme huaweiaccounting-scheme huaweiauthorization-scheme huaweiradius-server huawei
步骤 3 掌握本地用户的创建方法
如果用户名中带域名分隔符“@”,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。
aaa
local-user huawei@huawei password cipher <K.R)YFE!!(I\I9%HS7.!Q!!
local-user huawei@huawei privilege level 3
local-user huawei@huawei service-type ssh
步骤 4 理解基于域的用户管理的原理
设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。
五、结果验证
略
六、配置参考
略。
七、 思考题与附加内容
- AAA支持认证,授权,计费方式有哪几种?
答:见步骤1
2.创建本地认证的普通用户时,没有关联自定义的域,则该用户属于哪个域?
答:default。