当前位置：首页 > news >正文

HCIA-Datacom实验指导手册：4.2 实验二：AAA配置实验

news 2025/9/16 2:53:10

HCIA-Datacom实验指导手册：3.3 实验三：以太网链路聚合实验

一、实验介绍：
- display ssh server ip-block all
- 通过Telnet登录时，解除对IP地址10.1.2.3的锁定。
- 通过STelnet登录时，解除对IP地址10.1.2.3的锁定。
- 解除对用户名为admin1234的锁定。
- 通过Telnet和STelnet登录服务器过程中，如果在5分钟内连续6次输入错误密码，则客户端IP地址或者用户名将会默认被锁定5分钟。（自动解锁时间可以在AAA视图下，执行命令local-user authentication lock duration duration-time进行配置，可配范围是0～1000分钟，缺省情况下为5分钟。）
二、实验拓扑：
三、实验目的：
四、配置步骤：
- 步骤 1 掌握本地 AAA 认证授权方案的配置
- 步骤 2 掌握创建域的方法
- 步骤 3 掌握本地用户的创建方法
- 步骤 4 理解基于域的用户管理的原理
五、结果验证
六、配置参考
七、思考题与附加内容

一、实验介绍：

AAA是一种管理框架，提供授权用户访问资源和记录用户操作行为的安全机制。常用RADIUS(remote authentication dial-in user service)协议来实现。营运商拨号上网就是最典型的应用场景。
AAA的作用：
1.authentication
2.accounting
3.authorization

常见架构：
user------NAS-----AAA Server
NAS:network access server。会创建用户、域、方案。域里面可以有多个用户、域和方案绑定。
访问过程：pc输入账号密码–nas(根据用户—判断域—再根据域关联的方案进行控制)。
在这里插入图片描述

补充：华为s12800 Telnet或SSH登录时尝试6次错误后，账号或者ip地址将会锁定。解锁method as follows：

display ssh server ip-block all

通过Telnet登录时，解除对IP地址10.1.2.3的锁定。

activate vty ip-block ip-address 10.1.2.3

通过STelnet登录时，解除对IP地址10.1.2.3的锁定。

activate ssh server ip-block ip-address 10.1.2.3

解除对用户名为admin1234的锁定。

activate aaa local-user admin1234

通过Telnet和STelnet登录服务器过程中，如果在5分钟内连续6次输入错误密码，则客户端IP地址或者用户名将会默认被锁定5分钟。（自动解锁时间可以在AAA视图下，执行命令local-user authentication lock duration duration-time进行配置，可配范围是0～1000分钟，缺省情况下为5分钟。）

二、实验拓扑：

user------NAS-----AAA Server

三、实验目的：

 掌握本地 AAA 认证授权方案的配置
 掌握创建域的方法
 掌握本地用户的创建方法
 理解基于域的用户管理的原理

四、配置步骤：

步骤 1 掌握本地 AAA 认证授权方案的配置

<Huawei>system-view 
[Huawei]aaa
[Huawei-aaa]authentication-scheme default #认证模式有如下四种。
[Huawei-aaa-authen-default]authentication-mode ?hwtacacs  HWTACACS local     Local none      None radius    RADIUS [Huawei-aaa]authorization-scheme default  #授权模式有下面四种
[Huawei-aaa-author-default]authorization-mode ?hwtacacs          Use HWTACACS authorization methodif-authenticated  Use authorization method which lets user(s) authorized ifuser(s) not authenticated by none authentication method #如认证过了，授权就过了。local             Use local authorization methodnone              Use none authorization methodHuawei-aaa]accounting-scheme  default #计费模式有如下三种。
[Huawei-aaa-accounting-default]accounting-mode ?hwtacacs  HWTACACSnone      None radius    RADIUS

步骤 2 掌握创建域的方法

补充：创建radius-server

radius-server authorization 1.1.1.1 shared-key cipher <K.R)YFE!!(I\I9%HS7.!Q!!
radius-server template huaweiradius-server shared-key cipher <K.R)YFE!!(I\I9%HS7.!Q!!radius-server authentication 1.1.1.1 1812radius-server accounting 1.1.1.1 1813aaadomain huaweiauthentication-scheme huaweiaccounting-scheme huaweiauthorization-scheme huaweiradius-server huawei

步骤 3 掌握本地用户的创建方法

如果用户名中带域名分隔符“@”，则认为@前面的部分是纯用户名，后面部分是域名。如果没有@，则整个字符串为用户名，域为默认域。

aaa
local-user huawei@huawei password cipher <K.R)YFE!!(I\I9%HS7.!Q!!
local-user huawei@huawei privilege level 3
local-user huawei@huawei service-type ssh

步骤 4 理解基于域的用户管理的原理

设备对用户的管理是基于域的，每个用户都属于一个域，一个域是由属于同一个域的用户构成的群体。简单地说，用户属于哪个域就使用哪个域下的AAA配置信息。

五、结果验证

略

六、配置参考

略。

七、思考题与附加内容

AAA支持认证，授权，计费方式有哪几种？
答:见步骤1
2.创建本地认证的普通用户时，没有关联自定义的域，则该用户属于哪个域？
答：default。