设备登录方法认证方式:
Password:任何用户都可以登录,只需要输入密码正确即可。在当前接口视图进行认证、授权。
AAA:需要输入用户名和密码。在AAA试图下进行认证和授权。
登录协议 | Passowrd认证 | AAA认证 | 登录接口 | 使用场景 |
Serial | √ | √ | Console | 设备本地登录 |
Telnet | √ | √ | VTY/Meth | Cli远程不加密登录 |
SSH | × | √ | Vty/Meth | Cli远程加密登录 |
Http | × | √ | Meth | Web 远程不加密登录 |
Https | × | √ | Meth | web远程加密登录 |
Password控制设备登录
#Console password认证登录
User-interface console 0
Idle-timeout 120 //计费,控制用户的登录时长
Authentication-mode password //声明登录认证方式
User privilege level 15 //授权 控制用户操作权限
Set authentication password cipher Huawei@123 //认证,鉴别用户身份
#Telnet password认证登录
User-interface vty0
Idle-timeout 120 //计费,控制用户的登录时长
Protocol inbound telnet //放行23/tcp端口
Authentication-mode password //声明登录认证方式
User privilege level15 //授权 控制用户操作权限
Set authentication password cipher Huawei@123 //认证,鉴别用户身份
AAA控制设备登录
操作对象:用户,对用户认证方式进行认证,授权,计费
认证:主要认证用户对登录协议是否有使用权限,以及用户是否合法对用户认证方式有:本地认证、服务器认证。
Authentication-scheme defaultzj
Authentication-mode local radius ad ladp hwtacacs
#如果服务器上不存在认证用户或用户密码错误,则不再进行本地认证,如果服务器连接不上,则改由本地进行认证。
Authentication-scheme admin _radius_local
授权:控制的是用户的操作权限,避免非法操作,通过level和管理员角色来细化操作权限
如果认证模式为radius认证,只能radius授权
在HWTACACS协议中,认证与授权是分离的,如果认证模式为HWTACACS,还可以配置授权。
如果采用本地认证模式或不认证,也可以配置授权。
配置按命令行授权后,该级别用户执行命令时,每条命令都需要经过HWTACACS服务器授权。
Authorization-scheme default
Authorization-mode hwtacacs if-authenticated(如果用户通过验证,则用户授权通过)local radius ldap ad
Level 0 审计权限,可以登录用户视图,可以查看有设备运行情况和日志信息(例如查看CPU、内存、存储卡、日志等信息)
Level 1 监控权限,可以在用户视图查看设备的所有配置信息和状态信息。
Level 2 配置管理员 可以配置文件进行更改(console、vty、AAA、meth视图除外)。
Level 3-15 系统管理员 对整个设备的所有视图拥有读和写的权限。
管理员角色控制用户操作权限
#该管理角色仅对路由有操作权限
Role route
network read-write route
计费:企业或运营为了保证正常的运营收入,需要对上网的用户进行计费。
Accounting-scheme default
none,radius/ad/ladp/hatics.
AAA管理员
管理员角色指定的权限更加的精确,和level取最小权限。
#Display manager-user //查看管理员状态信息
Manager-user Jack
password cipher Huawei@123
service-type web terminal SSH
level 15
#
Bind manage-user admin role route
AAA认证登录
#console AAA认证登录
serial 串口 波特率:9600
User-interface con 0
Authentication-mode AAA // 在AAA视图下进行认证和授权
Idle-timeout 120
#web AAA认证登录
#请求超时:底层不通,协议端口没有打开,登录接口对链接请求进行了拦截,G0/0/0
Display web-manager configuration //查看协议状态及运行端口
Display web-manager users //查看web在线用户
HTTP(明文):80/TCP
HTTPS(SSL加密):443/TCP,防火墙需通过8443/TCP进行登录
#web登录配置防火墙默认
Web-manager enable 打开80/tcp
Web-manager security enable port 8443/TCP
Web-manager security version tlsv1.1 tlsv1.2 SSL协议加密版本
#在防火墙meth接口部署安全策略放行登录端口,如果修改了默认端口,需在安全策略视图下放行。
Interface gigabitEthernet0/0/0
IP address 192.168.1.1 255.255.255.0
Service-manage HTTPS permit
#路由交换设备 display HTTP server 查看协议状态
HTTP server enable
HTTP secure-server enable
SSH AAA 认证登录
#请求超时:底层路由不痛,协议端口,没有打开,登录接口对链接请求进行拦截(vty接口,G0/0/0)
#display SSH server status (查询打开的协议端口号,允许登录的客户IP)
#打开协议端口
Stelnet server enable
#在vty接口声明AAA认证,放行SSH协议端口
User-interface vty 0 4
Authentication-mode AAA
Protocol inbound SSH
#放行SSH协议端口
Interface gigabitEthernet0/0/0
IP address 192.168.1.1 255.255.255.0
Service-manage SSH permit
#display rsa local pair (查询是否存在主机钥匙对)
#主机密钥用来做数据加密,公钥加密,私钥解密,在进行设备登录时,如果没有主机密钥对,则设备端会主动断开TCP链接。
#刚出厂的大部分新设备一般只允许采用管理口进行登录,如果要使用业务口进行登录,需要禁用管理口隔离(mgmt isolate disable)。
#创建主机密钥对
Rsa local-key-pair create
SSH密钥认证登录
#display SSH user-informatio //查询SSH用户登录信息。
#display RSA peer-public-key //查询上传至设备的用户公钥
#AAA认证要求用户登录时,输入用户名和密钥进行登录,但密码易泄露,且复杂度不高时,容易被人破解,存在安全隐患。
Rsa peer-public-key public
public-key-code begin
XXXX
public-key-code end
peer-public-key end
#创建SSH用户,认证类型改为RSA,将上传的公钥绑给该用户,用户的操作授权在vty接口赋予。
SSH user Jone authentication-type rsa
SSH user Jone service-type stelnet
SSH user Jone assign rsa-key public