HCIA11 网络安全之本地 AAA 配置实验

AAA 提供 Authentication(认证)、Authorization(授权)和 Accounting(计费)三种安全功能。
•    认证:验证用户是否可以获得网络访问权。
•    授权:授权用户可以使用哪些服务。
•    计费:记录用户使用网络资源的情况。

例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器即可。如果需要对员工使用网络情况进行记录,那么还需要配置计费服务器。
AAA 可以通过多种协议来实现,在实际应用中,最常使用 RADIUS 协议。

1.实验介绍及拓扑

R1 模拟一台客户端设备,R2 为一台网络设备。现在需要在 R2 上对管理 R2 的用户进行资源控制,只有通过认证的用户才能访问特定的资源,因此您需要在 R1 和 R2 两台路由器上配置本地 AAA 认证,并基于域来对用户进行管理,并配置已认证用户的权限级别。

2.掌握内容及配置思路

#配置 AAA 方案
#创建域并在域下应用 AAA 方案
#配置本地用户

#理基于域的用户管理的原理解

3.配置步骤

步骤 1 设备基础配置


# 配置 R1 和 R2 互联的 IP 地址

R1
sys
sysname R1
un info-center enable 
int g0/0/0
ip address 10.0.12.1 24

R2
sys
sysname R2
un info-center enable 
int g0/0/0
ip address 10.0.12.2 24

步骤 2网络设备 配置 AAA 方案


网络设备(比如交换机本身)作为AAA服务器时被称为本地AAA服务器,本地AAA服务器支持对用户进行认证和授权,不支持对用户进行计费。 
与远端AAA服务器(比如radius)相似,本地AAA服务器需要配置本地用户的用户名、密码、授权信息等。使用本地AAA服务器进行认证和授权比远端AAA服务器的速度快,可以降低运营成本,但是存储信息量受设备硬件条件限制。 

# 路由器配置认证(认证方案命名、认证方式本地)

# 路由器配置授权方案(授权方案命名、认证方式为本地)

R2
aaa
authentication-scheme company   //创建名为company 的认证方案。 
authentication-mode local   //设置认证方案的认证方式为本地认证。 
quit
authorization-scheme company   //授权方案
authorization-mode local   //本地授权

步骤 3 创建域并在域下应用 AAA 方案

设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。创建名为datacom的域。 

#创建域

#域内应用认证方案

#域内应用授权方案

R2
aaa
domain company
authentication-scheme company
authorization-scheme company

步骤 4 配置本地用户

如果用户名中带域名分隔符“@”,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。 

local-user service-type命令用来配置本地用户的接入类型。系统提供对用户的接入类型管理,即对所有用户配置一定的接入类型,只有用户的接入方式与系统为该用户配置的接入类型匹配,用户才能登录。如此处设置的接入类型为telnet,则此用户无法通过web方式接入设备.
注意:一个用户可以有多种接入类型。 

# 创建本地用户及其密码

# 配置本地用户的接入类型、级别等参数

R2
aaa 
local-user aaa@test password cipher bbb@test
local-user aaa@test service-type telnet

步骤 5 开启 R2 上的 telnet 功能

#开启telnet服务

#vty接口开启aaa认证方式


authentication-mode命令用来设置登录用户界面的验证方式。缺省情况下,用户界面没有使用该命令配置认证方式。登录用户界面必须配置验证方式,否则用户无法成功登录设备。 
R2
telnet server enable
user-interface vty 0 4
authentication-mode aaa

步骤 6 检验配置效果

# 从 R1 远程 Telnet 访问 R2

#  R2 上查看哪些用户(这里显示aaa@test刚刚创建的)

4.验证

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/28237.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

机器学习中的监督学习介绍

In this post well go into the concept of supervised learning, the requirements for machines to learn, and the process of learning and enhancing prediction accuracy. 在这篇文章中,我们将深入探讨监督学习的概念、机器学习的要求以及学习和提高预测准确…

Kotlin 协程:从基础概念到开发实践

前言 上一篇文章 深入理解Android多线程开发:场景应用与解决方案解析 针对Android开发中的多线程应用场景和相应的解决方案做了一个梳理。 总结出了Android开发中多线程编程的几个重要点: 资源复用和优化切线程任务编排并结合示例说明了Kotlin协程在处理上述问题时的优势。 …

如何删除:systemctl status ztncui

要删除 systemctl status ztncui,需要卸载与该服务相关的程序,并停止和禁用该服务。以下是详细的步骤: 停止服务: sudo systemctl stop ztncui 禁用服务: sudo systemctl disable ztncui 删除服务文件:…

归纳贪心好题

很有趣的一道归纳贪心题目 class Solution { public:int minimumAddedCoins(vector<int>& coins, int target) {sort(coins.begin(),coins.end());int n coins.size();int s 0,i0;int res 0;while(s<target){if(i<n&&coins[i]<s1)scoins[i];els…

图像分隔和深度成像技术为什么受市场欢迎-数字孪生技术和物联网智能汽车技术的大爆发?分析一下图像技术的前生后世

图像分隔和深度成像是计算机视觉和图像处理领域的两项重要技术&#xff0c;它们各自有不同的技术基础和要点。 图像分隔技术基础&#xff1a; 机器学习和模式识别&#xff1a; 图像分隔通常依赖于机器学习算法&#xff0c;如支持向量机&#xff08;SVM&#xff09;、随机森林…

算法题--华为od机试考试(开源项目热度榜单、API集群负载统计、分月饼)

目录 开源项目热度榜单 题目描述 输入描述 输出描述 示例1 输入 输出 解析 答案 API集群负载统计 题目描述 输入描述 输出描述 示例1 输入 输出 解析 答案 分月饼 题目描述 输入描述 输出描述 示例1 输入 输出 说明 示例2 输入 输出 说明 示例3…

Python 操作Redis

本篇介绍在Python中如何使用Redis。 目录 安装类库 引入类库 操作读写 使用pipeline 封装 封装redis 操作 调用 总结 安装类库 首先通过pip list命令查看&#xff0c; 本地安装类库中是否有redis类库&#xff0c; 如果没有开始安装。 安装命令如下&#xff1a; pip…

顶顶通呼叫中心中间件-限制最大通话时间(mod_cti基于FreeSWITCH)

顶顶通呼叫中心中间件-限制最大通话时间(mod_cti基于FreeSWITCH) 一、最大通话时间 1、配置拨号方案 1、点击拨号方案 ->2、在框中输入通话最大时长->3、点击添加->4、根据图中配置->5、勾选continue。修改拨号方案需要等待一分钟即可生效 action"sched…

(简单)html转图片-html2canvas

官方文档 https://html2canvas.hertzen.com/ 案例代码 自己创建一个html然后试一下 <!DOCTYPE html> <html> <head><title>HTML to Image Example</title><script src"https://cdnjs.cloudflare.com/ajax/libs/html2canvas/1.3.2/ht…

9M高速USB转接芯片CH347转双串口转I2C转SPI转JTAG转SWD

1、概述 CH347 TSSOP20封装和丝印 CH347 是一款高速 USB 总线转接芯片&#xff0c;通过 USB 总线提供异步串口、I2C 同步串行接口、SPI 同步串行接口和 JTAG 接口等。 在异步串口方式下&#xff0c;CH347 提供了 2 个高速串口&#xff0c;支持 RS485 串口收发使能控制、硬件流控…

LeetCode | 387.字符串中的第一个唯一字符

这道题可以用字典解决&#xff0c;只需要2次遍历字符串&#xff0c;第一次遍历字符串&#xff0c;记录每个字符出现的次数&#xff0c;第二次返回第一个出现次数为1的字符的下标&#xff0c;若找不到则返回-1 class Solution(object):def firstUniqChar(self, s):""…

Python自动化办公(一) —— 根据PDF文件批量创建Word文档

Python自动化办公&#xff08;一&#xff09; —— 根据PDF文件批量创建Word文档 在日常办公中&#xff0c;我们经常需要根据现有的PDF文件批量创建Word文档。手动操作不仅费时费力&#xff0c;而且容易出错。幸运的是&#xff0c;使用Python可以轻松实现这个过程。本文将介绍如…

Python 学习 第二册 第11章 文件

----用教授的方式学习 目录 11.1 打开文件 11.2 文件的基本方法 11.2.1 读取和写入 11.2.2 使用管道重定向输出 11.2.3 读取和写入行 11.2.4 关闭文件 11.3 迭代文件内容 11.3.1 每次一个字符&#xff08;或字节&#xff09; 11.3.2 每次一行 11.3.3 读取所有内容 …

make menuconfig | allyesconfig | allnoconfig【笔记】

make menuconfig, make allyesconfig, 和 make allnoconfig 是在编译Linux内核或某些其他使用类似配置系统的开源项目时使用的命令。这些命令用于生成内核配置文件&#xff0c;该文件决定了内核编译时哪些功能会被包含或排除。 下面是这三个命令的简要说明&#xff1a; 1、ma…

linux的repo工具的入门

repo 是一个工具&#xff0c;用于管理 Git 仓库的集合&#xff0c;尤其在 Android 开发中被广泛使用。它是 Google 为 Android 项目开发的&#xff0c;以简化对大量 Git 仓库的管理。 主要特点 多仓库管理&#xff1a;repo 允许同时管理多个 Git 仓库&#xff0c;可以轻松执行…

MyBatis 的多级缓存机制是怎么样运作的?

引言&#xff1a;上周三&#xff0c;小 X 去面试一家中厂&#xff0c;其中面试官问到 MyBatis 的多级缓存机制是怎么样运行的&#xff1f;这个问题可以好好准备一下&#xff0c;很多人可能只会用 MyBatisPlus&#xff0c;简单的多表联查 SQL 语句可能都写不出来&#xff0c;更别…

数据库面试

1. 简单介绍一下Spring中的事务管理。 答&#xff1a;事务就是对一系列的数据库操作&#xff08;比如将insert&#xff0c;delete&#xff0c;update&#xff0c;select多条sql语句&#xff09;作为一个整体执行&#xff0c;进行统一的提交或回滚操作&#xff0c;如果这组sql语…

Python 项目应该放弃requirements.txt?揭秘PDM的强大功能

目录 requirements.txt的局限性 PDM 的优势 如何使用 PDM 安装 PDM 初始化项目 添加依赖 管理依赖 示例代码 初始化项目并添加依赖 编写简单的 Flask 应用 运行应用 PDM高级功能 多环境管理 脚本管理 发布包 在 Python 项目中管理依赖项&#xff0c;最常见的方式…

Android APP memory统计方法

目录 进程的内存信息概述 关键的术语 测试步骤 测试步骤 数据处理 数据分析&#xff1a; 进程内存信息 Dumpsys meminfo -a PID Procrank Procmem PID 特殊内存信息 Mali ION(multi-media&#xff0c;gralloc) 进程地址空间信息 /proc/pid/smaps Showmap PID …

PHP包含:理解、使用和注意事项

PHP是一种流行的脚本语言&#xff0c;广泛应用于Web开发。在PHP中&#xff0c;包含&#xff08;include&#xff09;是一种重要的功能&#xff0c;它允许开发者将一个文件的内容嵌入到另一个文件中。通过包含&#xff0c;可以实现代码的复用和模块化&#xff0c;提高开发效率和…