網路工程師Day7 本地AAA配置

2021-09-26 13:37:51 字數 3070 閱讀 4637

需要對企業伺服器的資源訪問進行控制,只有通過

認證的使用者才能訪問特定的資源,因此您需要在r1和r3兩台路由器上配置本地aaa認證,並基於域來對使用者進行管理,並配置已認證使用者的許可權級別

r1

ip add 119.84.111.1 24
r3

ip add 119.84.111.3 24
aaa    


authentication-scheme auth1


authentication-mode local


quit


authorization-scheme auth2


authorization-mode local


quit
在r1上建立 huawei 並將認證方案和授權方案與域關聯起來,然後建立乙個使用者並將使用者加入到域huawei

[r1]telnet server enable


info: the telnet server has been enabled.


[r1]aaa


[r1-aaa]domain huawei


info: success to create a new domain.


[r1-aaa-domain-huawei]authentication-scheme auth1 


[r1-aaa-domain-huawei]authorization-scheme auth2 


[r1-aaa-domain-huawei]quit


[r1-aaa]local-user user1@huawei password cipher huawei123


info: add a new user.


[r1-aaa]local-user user1@huawei service-type telnet 


[r1-aaa]local-user user1@huawei privilege level 0
將r1配置為telnet伺服器,認證模式配置為aaa

[r1]user-inte***ce vty 0 4


[r1-ui-vty0-4]authentication-mode aaa
驗證telnet r1時是否要經過aaa認證

telnet 119.84.111.1


trying 119.84.111.1 ...


press ctrl+k to abort


connected to 119.84.111.1 ...


login authentication


username:


username:user1@huawei


password:


error: failed to send authen-req.


username:


username:user1@huawei


password:


info: the max number of vty users is 10, and the number


of current vty users on line is 1.


the current login time is 2019-08-27 00:14:28.


sys^


error: unrecognized command found at '^' position.
可以看到使用者user1@huawei telnet r1後不能使用命令system-view進入系統檢視,原因是使用者操作許可權配置為級別0,因此操作受限。

在r3上配置認證方案為本地認證,授權方案為本地授權

[r3]aaa


[r3-aaa]authentication-scheme auth1


[r3-aaa-authen-auth1]authentication-mode local 


[r3-aaa-authen-auth1]quit


[r3-aaa]authorization-scheme auth2


info: create a new authorization scheme.


[r3-aaa-author-auth2]authorization-mode local 


[r3-aaa-author-auth2]quit
在r3上建立域 huawei 並將認證方案和授權方案與域關聯起來,然後建立乙個使用者並將使用者加入到域huawei。

配置同r1

dis domain name huawei 


domain-name : huawei 


domain-state: active


authentication-scheme-name : auth1


accounting-scheme-name : default


authorization-scheme-name : auth2


service-scheme-name : -


radius-server-template : -


hwtacacs-server-template: -


user-group : -


dis local-user username user1@huawei 


the contents of local user(s):


password : ****************


state : active


service-type-mask : t


privilege level : 0


ftp-directory : - 


access-limit : -


accessed-num : 0 


idle-timeout : -


user-group: -

網路工程師 認證

思科認證網路工程師 cisco certified network associate,ccna 認證簡介 該認證可證明持證者已掌握網路的基本知識,能利用區域網和廣域網的介面安裝和配置cisco路由器 交換機及簡單的lan和wan,提供初級的排除故障服務,提高網路的效能和安全。認證難度 思科認證資深...

網路工程師內容

資訊的傳遞要依靠網路,因此實現資訊化離不開完善的網路。網路已成為資訊社會的命脈和重要基礎。網路包含了技術 應用 工程和管理四大部分內容。網路工程的主要內容體系 網路技術 1 資料通訊 區域網lan 2 網際網路 現代網路技術 3 網路儲存與計算 ngn與ipv6 網路應用 1 網際網路應用 2 we...

網路工程師 排錯

1.熟悉osi模型與tcp ip協議棧 無論是osi七層模型還是dod模型。都是用來描述網路通訊的乙個過程,以讓我們對網路資料的傳送和接受有乙個大致的過程,osi七層模型對應osi七層模型的協議,dod模型對應dod模型 的協議,也就是tcp ip協議棧。tcp ip協議棧裡面的協議就顯得特別重要,...