访问控制是用来控制哪些用户可以访问网络以及可以访问的网络资源。AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了在NAS(Network Access Server,网络接入服务器)设备上配置访问控制的管理框架。
定义
AAA作为网络安全的一种管理机制,以模块化的方式提供以下服务:
-
认证:确认访问网络的用户的身份,判断访问者是否为合法的网络用户。
-
授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
-
计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
基本架构
AAA采用客户端/服务器结构,AAA客户端运行在接入设备上,通常被称为NAS设备,负责验证用户身份与管理用户接入;AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。AAA的基本架构如图1。
AAA可以通过多种协议来实现,目前设备支持基于RADIUS或HWTACACS协议来实现AAA,在实际应用中,最常使用RADIUS协议。
图1中所示的AAA服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。用户也可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源时进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
目的
提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
实验示例
拓扑图: 配置用户通过Telnet登录设备的身份认证组网图(AAA本地认证)
配置思路
采用如下思路配置用户通过Telnet登录设备的身份认证:
- 配置Switch的接口IP地址。
- 使能Telnet服务器功能。
- 配置VTY用户界面的验证方式为aaa。
- 配置AAA本地认证:创建用户名和密码、配置用户的接入类型、配置用户级别。
操作步骤
配置Switch的接口IP地址
[Huawei]sysname S1
[S1]un in en
Info: Information center is disabled.
[S1]vlan batch 100
[S1]interface Vlanif 100
[S1-Vlanif100]ip address 10.1.2.10 24
[S1-Vlanif100]q
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type hybrid
[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 100
[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 100
[S1-GigabitEthernet0/0/1]q
使能Telnet服务器功能
[S1]telnet server enable
配置VTY用户界面的验证方式为aaa
[S1]user-interface maximum-vty 15
[S1]user-interface vty 0 14
[S1-ui-vty0-14]authentication-mode aaa
[S1-ui-vty0-14]protocol inbound telnet
[S1-ui-vty0-14]q
配置AAA本地认证
[S1]aaa
[S1-aaa]local-user user1 password simple huawei@123
[S1-aaa]local-user user1 service-type telnet
[S1-aaa]local-user user1 privilege level 15
[S1-aaa]q
验证结果
路由器配置IP地址
<Huawei>sys
[Huawei]sysname AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.1.2.11 24
[AR1-GigabitEthernet0/0/0]q
退出到用户模式,执行telnet命令,并输入用户名user1和密码Huawei@123,通过Telnet方式登录设备。
[AR1]q
<AR1>telnet 10.1.2.10
Username:user1
Password:huawei@123
