《數(shù)據(jù)網(wǎng)組建與維護(hù)》課件-5.3任務(wù)3 AAA實(shí)現(xiàn)網(wǎng)絡(luò)安全

AAA原理與配置主講教師：劉曉君數(shù)據(jù)網(wǎng)組建與維護(hù)1AAA基本概念2AAA實(shí)現(xiàn)方式3AAA基本配置4AAA應(yīng)用場(chǎng)景CONTENTS目錄AAA基本概念A(yù)AA是Authentication（認(rèn)證）、Authorization（授權(quán)）和Accounting（計(jì)費(fèi)）的簡(jiǎn)稱(chēng)，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能。認(rèn)證：驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)，確定哪些用戶可以訪問(wèn)網(wǎng)絡(luò)。授權(quán)：授權(quán)用戶可以使用哪些服務(wù)。計(jì)費(fèi)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。認(rèn)證授權(quán)計(jì)費(fèi)AAA常見(jiàn)架構(gòu)用戶User1@Domian1User2@Domian2User3@Domian3NASAAA服務(wù)器AAA常見(jiàn)網(wǎng)絡(luò)架構(gòu)中包括用戶、NAS（NetworkAccessServer）、AAA服務(wù)器（AAAServer）。認(rèn)證（Authentication）AAA支持的認(rèn)證方式有：不認(rèn)證，本地認(rèn)證，遠(yuǎn)端認(rèn)證。用戶域認(rèn)證方式User1@Domian1Domain1不認(rèn)證User2@Domian2Domain2本地認(rèn)證User3@Domian3Domain3遠(yuǎn)端認(rèn)證用戶User1@Domian1User2@Domian2User3@Domian3NASAAA服務(wù)器用戶名和密碼用戶名和密碼User3用戶名和密碼返回認(rèn)證結(jié)果授權(quán)（Authorization）AAA支持的授權(quán)方式有：不授權(quán)，本地授權(quán)，遠(yuǎn)端授權(quán)。用戶User1@Domian1User2@Domian2User3@Domian3NASAAA服務(wù)器用戶域授權(quán)方式授權(quán)內(nèi)容User1@Domian1Domain1不授權(quán)無(wú)User2@Domian2Domain2本地授權(quán)可以訪問(wèn)InternetUser3@Domian3Domain3遠(yuǎn)端授權(quán)由遠(yuǎn)端服務(wù)器授權(quán)計(jì)費(fèi)（Accouting）計(jì)費(fèi)功能用于監(jiān)控授權(quán)用戶的網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源的使用情況。AAA支持的計(jì)費(fèi)方式有：不計(jì)費(fèi)，遠(yuǎn)端計(jì)費(fèi)。用戶User1@Domian1User2@Domian2User3@Domian3NASAAA服務(wù)器用戶域計(jì)費(fèi)方式User1@Domian1Domain1不計(jì)費(fèi)User2@Domian2Domain2不計(jì)費(fèi)User3@Domian3Domain3遠(yuǎn)端計(jì)費(fèi)AAA常見(jiàn)應(yīng)用場(chǎng)景對(duì)管理用戶進(jìn)行本地認(rèn)證和授權(quán)通過(guò)RADIUS提供上網(wǎng)用戶的AAA網(wǎng)絡(luò)管理員Router（NAS）Telnet登錄NASRADIUS服務(wù)器上網(wǎng)用戶從系統(tǒng)視圖進(jìn)入AAA視圖進(jìn)行配置AAA配置命令[Huawei]aaa[Huawei-aaa]local-useruser-name

password

cipher

password丨1.進(jìn)入AAA視圖丨2.創(chuàng)建用戶創(chuàng)建本地用戶，并配置本地用戶的密碼：如果用戶名中帶域名分隔符，如@，則認(rèn)為@前面的部分是用戶名，后面部分是域名如果沒(méi)有@，則整個(gè)字符串為用戶名，域?yàn)槟J(rèn)域AAA配置命令[Huawei-aaa]local-useruser-nameprivilege

level

level用戶等級(jí)命令等級(jí)名稱(chēng)說(shuō)明00參觀級(jí)可使用網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問(wèn)外部設(shè)備的命令（Telnet客戶端命令）、部分display命令等。10and1監(jiān)控級(jí)用于系統(tǒng)維護(hù)，可使用display等命令。20,1and2配置級(jí)可使用業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，向用戶提供直接網(wǎng)絡(luò)服務(wù)。3-150,1,2and3管理級(jí)可使用用于系統(tǒng)基本運(yùn)行的命令，對(duì)業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP下載、命令級(jí)別設(shè)置命令以及用于業(yè)務(wù)故障診斷的debugging命令等。丨3.配置用戶接入類(lèi)型丨4.配置用戶級(jí)別[Huawei-aaa]local-useruser-nameservice-type{{terminal|telnet|ftp|ssh|snmp|http}|ppp|none}設(shè)置本地用戶的接入類(lèi)型。缺省情況下，本地用戶關(guān)閉所有的接入類(lèi)型。指定本地用戶的權(quán)限級(jí)別。典型案例應(yīng)用R1G0/0/154/24案例背景與要求：某公司出口路由器采用企業(yè)級(jí)路由器，為方便遠(yuǎn)程管理，計(jì)劃創(chuàng)建admin和public兩個(gè)遠(yuǎn)程賬號(hào)，admin賬號(hào)作為管理員賬號(hào)，擁有最高權(quán)限可以配置路由器，public賬號(hào)作為普通用戶賬號(hào)，僅可以查看路由器當(dāng)前狀態(tài)信息。案例配置過(guò)程[R1]aaa[R1-aaa]local-useradminpasswordcipheradmin@123[R1-aaa]local-useradminprivilegelevel15[R1-aaa]local-useradminservice-typetelnet[R1-aaa]local-userpublicpasswordcipherpublic@456[R1-aaa]local-userpublicprivilegelevel2[R1-aaa]local-userpublicservice-typetelnet[R1]user-interfacevty04[R1-ui-vty0-4]authentication-modeaaa丨1.路由器R1上創(chuàng)建本地用