华为eNSP综合实验之- 3a认证配置案例及解析(AAA认证)

📅 发布时间:2026/7/5 1:01:46 👁️ 浏览次数:
华为eNSP综合实验之- 3a认证配置案例及解析(AAA认证)
一、AAA认证基本概念AAA代表认证Authentication验证用户身份是否合法支持不认证、本地认证、远端认证如RADIUS/HWTACACS。授权Authorization决定用户可访问的资源支持不授权、本地授权、远端授权。计费Accounting记录用户资源使用情况支持不计费、远端计费。AAAAuthentication, Authorization, Accounting是网络安全管理机制组件说明常见模式认证验证用户身份是否合法本地认证、RADIUS、HWTACACS、不认证授权决定用户可访问的资源本地授权、HWTACACS、RADIUS、不授权计费记录用户资源使用情况RADIUS、HWTACACS、不计费华为设备缺省情况下默认使用本地认证和授权。二、典型配置案例案例1SSH远程登录AAA认证推荐使用比Telnet安全# 配置设备基本参数 HUAWEI system-view [HUAWEI] sysname DeviceA [HUAWEI] vlan batch 10 [HUAWEI] interface Vlanif 10 [HUAWEI-Vlanif10] ip address 192.168.10.1 24 [HUAWEI-Vlanif10] quit # 生成本地密钥对SSH必需 [DeviceA] rsa local-key-pair create The key name will be:Host The range of public key size is (2048, 3072). NOTE: Key pair generation will take a short while. Please input the modulus [default 3072]: 3072 # 配置SSH服务 [DeviceA] stelnet server enable [DeviceA] ssh server-source -i Vlanif 10 [DeviceA] ssh authentication-type default password # 配置AAA本地认证 [DeviceA] aaa [DeviceA-aaa] local-user admin password irreversible-cipher Huawei123 [DeviceA-aaa] local-user admin privilege level 15 [DeviceA-aaa] local-user admin service-type ssh [DeviceA-aaa] quit # 配置VTY接口使用AAA认证 [DeviceA] user-interface vty 0 4 [DeviceA-ui-vty0-4] authentication-mode aaa [DeviceA-ui-vty0-4] protocol inbound ssh [DeviceA-ui-vty0-4] idle-timeout 15 [DeviceA-ui-vty0-4] quit验证方法使用SSH客户端连接设备ssh admin192.168.10.1输入密码Huawei123登录成功后可执行所有命令权限级别15华为设备默认使用SSH协议推荐使用SSH替代Telnet实现加密传输。案例2Console线路AAA认证# 配置本地用户 [DeviceA] aaa [DeviceA-aaa] local-user console-user password cipher Console123 [DeviceA-aaa] local-user console-user privilege level 0 [DeviceA-aaa] local-user console-user service-type cons [DeviceA-aaa] quit # 配置Console线路使用AAA认证 [DeviceA] user-interface console 0 [DeviceA-ui-console0] authentication-mode aaa [DeviceA-ui-console0] quit验证方法通过Console线连接设备输入用户名console-user输入密码Console123登录后只能执行用户视图命令权限级别0案例3RADIUS认证集中式认证适用于大规模网络# 配置RADIUS服务器模板 [DeviceA] radius-server template rd1 [DeviceA-radius-rd1] radius-server authentication 192.168.2.30 1812 [DeviceA-radius-rd1] radius-server shared-key cipher Huawei123456789 [DeviceA-radius-rd1] quit # 配置AAA认证方案 [DeviceA] aaa [DeviceA-aaa] authentication-scheme radius-auth [DeviceA-aaa-authen-radius-auth] authentication-mode radius [DeviceA-aaa-authen-radius-auth] quit [DeviceA-aaa] authorization-scheme radius-authz [DeviceA-aaa-author-radius-authz] authorization-mode radius [DeviceA-aaa-author-radius-authz] quit [DeviceA-aaa] accounting-scheme radius-acct [DeviceA-aaa-accounting-radius-acct] accounting-mode radius [DeviceA-aaa-accounting-radius-acct] quit # 创建域并绑定方案 [DeviceA-aaa] domain example.com [DeviceA-aaa-domain-example.com] authentication-scheme radius-auth [DeviceA-aaa-domain-example.com] authorization-scheme radius-authz [DeviceA-aaa-domain-example.com] accounting-scheme radius-acct [DeviceA-aaa-domain-example.com] radius-server rd1 [DeviceA-aaa-domain-example.com] quit [DeviceA-aaa] quit # 配置VTY使用AAA认证 [DeviceA] user-interface vty 0 4 [DeviceA-ui-vty0-4] authentication-mode aaa [DeviceA-ui-vty0-4] protocol inbound ssh [DeviceA-ui-vty0-4] quitRADIUS服务器需提前配置用户信息如test1/test1123。三、核心配置详解1. 域Domain配置华为AAA核心# 创建域并绑定认证、授权、计费方案 [DeviceA-aaa] domain huawei.com [DeviceA-aaa-domain-huawei.com] authentication-scheme auth1 [DeviceA-aaa-domain-huawei.com] authorization-scheme authz1 [DeviceA-aaa-domain-huawei.com] accounting-scheme acct1 [DeviceA-aaa-domain-huawei.com] quit用户标识用户名域名如adminhuawei.com未指定域名时使用默认域default_admin。2. 权限级别说明权限级别说明可进入视图典型场景0访问级最低用户视图访客、审计账号1监控级用户视图运维监控、只读用户2系统级系统视图普通运维人员3-14自定义权限取决于命令授权高级运维、分权管理15管理级最高系统视图系统管理员华为设备默认权限级别为0级别15为最高权限。3. 验证与监控命令# 查看本地用户 display local-user # 查看域信息 display domain name default_admin # 查看AAA认证/授权/计费配置 display aaa configuration # 查看用户上下线记录 display aaa offline-record all四、实践与安全安全协议优先优先使用SSHstelnet替代Telnet实现加密传输配置ssh authentication-type default password确保SSH使用密码认证权限最小化原则为不同角色分配最低必要权限如普通运维人员仅需级别2管理员账号权限应为15级高安全场景采用RADIUS/HWTACACS集中认证authentication-mode radius/hwtacacs配置备用本地认证authentication-mode radius local配置计费方案实现用户行为审计网络隔离业务VLAN与管理VLAN分离管理IP地址限制在安全网段配置备份定期备份AAA配置重要设备配置本地认证作为备份五、常见问题排查问题现象可能原因解决方法认证失败用户名/密码错误、服务类型不匹配检查local-user配置的服务类型无法进入系统视图权限级别过低检查privilege level配置未绑定域用户未指定域名确保使用用户名域名格式或配置默认域计费失败RADIUS服务器未返回授权信息检查RADIUS服务器配置和网络连通性无法登录VTY接口认证方式未配置AAA检查authentication-mode aaa配置华为设备默认使用default_admin域若未配置域用户将使用默认域进行认证。六、华为AAA配置最佳实践总结设备管理场景优先选择HWTACACS安全细粒度授权大规模用户接入选择RADIUS高效分布式部署本地认证适用于小型网络或作为备份方案安全建议所有管理接口VTY、Console均应配置AAA认证配置规范建议使用域Domain进行用户管理避免混淆