HCIA-ICT实战基础09-远程接入安全管理

HCIA-ICT实战基础-远程接入安全管理

目录

AAA概述

AAA配置实现

telnet原理与配置

Stelnet(华为ssh的另一种称呼)配置

1 AAA概述

1.1 基本概念

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称, 是网络安全的一种管理机制, 提供认证、授权、计费三种安全, AAA不是协议, 而是一种框架.

1.2 AAA常见架构

AAA常见网络架构中包括用户、NAS(Network Access Server 接入控制器)、AAA服务器(AAA Server)

NAS负责集中搜集和管理用户的访问请求.

在NAS上会创建多个域来管理用户, 不同的域可以关联不同的AAA方案, AAA方案包含认证方案、授权方案、计费方案.

当收到用户揭露网络请求时,NAS会根据用户名来判断用户所在域, 根据该域的AAA方案对用户进行管控.

1.3 认证

AAA支持的认证方式有: 不认证、本地认证、远端认证.

不认证: 用户连接网络后不需要进行认证即可登录访问;

本地认证: 将认证服务部署在网关上, 用户和认证服务器处于同一网段, 适用于客户端较少的情况;

远端认证: 将认证功能部署在远端的物理服务器上, 适用于中大型网络.

1.4 授权

AAA支持的授权方式有: 不授权、本地授权、远端授权.

授权信息包括: 所属用户组、所属VLAN、ACL编号等.

三种授权方式类似于认证.

1.5 计费

计费功能用于监控授权用户的网络行为和网络资源的使用情况.

AAA支持的计费方式有: 不计费、远端计费.

2 AAA配置实现

2.1 配置命令

1.进入AAA视图

[Huawei]aaa

在网关设备上, 从系统视图进入AAA视图进行配置.

2.创建认证方案

[Huawei-aaa] authentication-scheme authentication-scheme-name

创建认证方案并进入相应的认证方案视图.

[Huawei-aaa-authentication-schme-name]authentication-mode {hwtacacs | local | radius}

配置认证方式, local指定认证方式为本地认证. 缺省情况下, 认证方式为本地认证.

3.创建domain并绑定认证方案

[Huawei-aaa]domain domain-name

创建domain并进入相应的domain视图

[Huawei-aaa-name]authentication-shceme authentication-shceme-name

4.创建用户

[Huawei-aaa]local-user user-name password cipher password

创建本地用户, 并配置本地用户密码:

1. 如果用户名中带有域名分隔符, 如@, 则认为@前面的部分是用户名, 后面部分是域名, 即: [用户名]@[所属域] ;
2. 如果没有@, 则整个字符串为用户名, 域为默认域(default).

5.配置用户接入类型

[Huawei-aaa]local-user user-name service-type {{treminal | telnet | ftp | ssh | snmp | http} | ppp | none}

设置本地用户的接入类型, 缺省情况下, 本地用户默认关闭所有接入类型.

6.配置用户级别

[Huawei-aaa]local-user user-name privilege level level

指定本地用户权限级别.

7.查看正常登录并且下线的用户

[Huawei]diaplay aaa offine-record all

2.2 AAA配置案例

1.在设备R1上配置用户密码和级别, 使主机A可以通过配置的用户名和密码远程登录到设备R1.

[R1]aaa
[R1-aaa]local user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]local-user huawei privilege leve 15
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa

3 telnet原理与配置

Telnet可以通过终端对本地和远程的网络设备进行集中管理

3.1 Telnet连接

1.Telnet客户端和服务器基于TCP连接来传输命令

2.两种认证方式

3.2 Telnet配置

1. 使能设备的Telnet服务器功能

   [Huawei]telnet server enable
   

   telnet server enable命令用于使能设备的Telnet服务器功能, 华为设备默认开启.

2. 修改最大用户界面数

   [Huawei]user-interface maximum-vty number
   

   该命令用于配置vty用户界面的最大个数, vty用户界面的最大个数决定了多少个用户可以同时通过Telnet或stelnet登录设备. 缺省情况下, vty用户界面最大个数为5个.

3. 进入vty用户界面视图

   [Huawei]user-interface vty first-ui-number [last-ui-number]
   

   first-ui-number 指定配置的第一个用户界面编号, last-ui-number指定配置的最后一个用户界面编号, 缺省情况下为0和4.

4. 配置vty用户界面支持协议

   [Huawei-ui-vty0-4]protocol inbound {all|telnet}
   

   protocol inbound命令用来指定vty用户界面所支持的协议. 缺省情况下, 系统支持协议ssh和Telnet. all指定支持所有的协议, 包括ssh和Telnet. Telnet指定只支持Telnet协议.

5. 配置登录用户验证方式

   [Huawei-ui-vty0-4]authentication-mode {aaa | password}
   

   缺省情况下, 用户界面没有使用该命令的配置认证方式, 登录用户界面必须配置验证方式, 否则用户无法成功登录设备. aaa设置进行AAA授权验证方式. password设置进行密码验证方式.

6. 配置password验证方式密码

   [Huawei-ui-vty0-4]set authentication password cipher password
   

   密码为本地密文存储

7. 配置用户级别

   [Huawei-ui-vty0-4]user privilege level level
   

   缺省情况下, Console口用户界面下用户级别是15, 而其他用户界面级别是0.

4 Stelnet(SSH框架)配置

4.1 Stelnet配置

1. 使能Stelnet服务器功能

   [Huawei]stelnet server enable
   

   缺省情况下, ssh服务器端的Stelnet没有使能

2. 进入vty用户视图

   [Huawei]user-interface vty first-ui-number [last-ui-number]
   

3. 配置vty用户界面协议

   [Huawei-ui-vty0-4]protocol inbound {all | ssh}
   

   和Telnet那边一样

4. 配置登录用户模式

   [Huawei-ui-vty0-4]authentication-mode aaa
   

5. 进入aaa视图并创建aaa用户

   [Huawei]aaa
   [Huawei-aaa]local-user user-name password cipher password
   [Huawei-aaa]local-user user-name service-type ssh
   [Huawei-aaa]local-user user-name privilege level level
   

6. 创建ssh用户且认证方式为password

   [Huawei]ssh user user-name authentication-type password
   

7. 创建ssh用户且认证方式为rsa

   [Huawei]ssh user user-name authentication-type rsa
   

8. 客户端连接ssh服务器

   [Huawei]ssh client first-time enable
   

   缺省默认关闭首次认证功能

9. 客户端通过password进行认证

   [Huawei]stelnet host-ip
   

   然后输入用户名密码即可登录

10. 客户端生成秘钥对

    [Huawei]rsa local-key-pair create
    

11. 在客户端上查看生成的rsa秘钥对的公钥部分

    [Huawei]display rsa local-key-pair public
    

12. 在服务器端上创建rsa公共密码

    [Huawei]rsa peer-public-key key-name
    

13. 进入公共秘钥编辑视图

    [Huawei-rsa-public-key]public-key-code begin
    

    输入公钥:

    

14. 在服务器端为ssh用户user-name绑定Stelnet客户端的rsa公钥

    [Huawei]ssh user user-name assign rsa-key key-name
    

结束