华为eNSP综合实验之- 3a认证配置案例及解析(AAA认证)
一、AAA认证基本概念
AAA代表:
认证(Authentication):验证用户身份是否合法,支持不认证、本地认证、远端认证(如RADIUS/HWTACACS)。
授权(Authorization):决定用户可访问的资源,支持不授权、本地授权、远端授权。
计费(Accounting):记录用户资源使用情况,支持不计费、远端计费。
AAA(Authentication, Authorization, Accounting)是网络安全管理机制:
| 组件 | 说明 | 常见模式 |
|---|---|---|
| 认证 | 验证用户身份是否合法 | 本地认证、RADIUS、HWTACACS、不认证 |
| 授权 | 决定用户可访问的资源 | 本地授权、HWTACACS、RADIUS、不授权 |
| 计费 | 记录用户资源使用情况 | RADIUS、HWTACACS、不计费 |
华为设备缺省情况下默认使用本地认证和授权。
二、典型配置案例
案例1:SSH远程登录AAA认证(推荐使用,比Telnet安全)
# 配置设备基本参数 <HUAWEI> system-view [HUAWEI] sysname DeviceA [HUAWEI] vlan batch 10 [HUAWEI] interface Vlanif 10 [HUAWEI-Vlanif10] ip address 192.168.10.1 24 [HUAWEI-Vlanif10] quit # 生成本地密钥对(SSH必需) [DeviceA] rsa local-key-pair create The key name will be:Host The range of public key size is (2048, 3072). NOTE: Key pair generation will take a short while. Please input the modulus [default = 3072]: 3072 # 配置SSH服务 [DeviceA] stelnet server enable [DeviceA] ssh server-source -i Vlanif 10 [DeviceA] ssh authentication-type default password # 配置AAA本地认证 [DeviceA] aaa [DeviceA-aaa] local-user admin password irreversible-cipher Huawei@123 [DeviceA-aaa] local-user admin privilege level 15 [DeviceA-aaa] local-user admin service-type ssh [DeviceA-aaa] quit # 配置VTY接口使用AAA认证 [DeviceA] user-interface vty 0 4 [DeviceA-ui-vty0-4] authentication-mode aaa [DeviceA-ui-vty0-4] protocol inbound ssh [DeviceA-ui-vty0-4] idle-timeout 15 [DeviceA-ui-vty0-4] quit验证方法:
- 使用SSH客户端连接设备:
ssh admin@192.168.10.1 - 输入密码:
Huawei@123 - 登录成功后,可执行所有命令(权限级别15)
华为设备默认使用SSH协议,推荐使用SSH替代Telnet,实现加密传输。
案例2:Console线路AAA认证
# 配置本地用户 [DeviceA] aaa [DeviceA-aaa] local-user console-user password cipher Console@123 [DeviceA-aaa] local-user console-user privilege level 0 [DeviceA-aaa] local-user console-user service-type cons [DeviceA-aaa] quit # 配置Console线路使用AAA认证 [DeviceA] user-interface console 0 [DeviceA-ui-console0] authentication-mode aaa [DeviceA-ui-console0] quit验证方法:
- 通过Console线连接设备
- 输入用户名:
console-user - 输入密码:
Console@123 - 登录后只能执行用户视图命令(权限级别0)
案例3:RADIUS认证(集中式认证,适用于大规模网络)
# 配置RADIUS服务器模板 [DeviceA] radius-server template rd1 [DeviceA-radius-rd1] radius-server authentication 192.168.2.30 1812 [DeviceA-radius-rd1] radius-server shared-key cipher Huawei@123456789 [DeviceA-radius-rd1] quit # 配置AAA认证方案 [DeviceA] aaa [DeviceA-aaa] authentication-scheme radius-auth [DeviceA-aaa-authen-radius-auth] authentication-mode radius [DeviceA-aaa-authen-radius-auth] quit [DeviceA-aaa] authorization-scheme radius-authz [DeviceA-aaa-author-radius-authz] authorization-mode radius [DeviceA-aaa-author-radius-authz] quit [DeviceA-aaa] accounting-scheme radius-acct [DeviceA-aaa-accounting-radius-acct] accounting-mode radius [DeviceA-aaa-accounting-radius-acct] quit # 创建域并绑定方案 [DeviceA-aaa] domain example.com [DeviceA-aaa-domain-example.com] authentication-scheme radius-auth [DeviceA-aaa-domain-example.com] authorization-scheme radius-authz [DeviceA-aaa-domain-example.com] accounting-scheme radius-acct [DeviceA-aaa-domain-example.com] radius-server rd1 [DeviceA-aaa-domain-example.com] quit [DeviceA-aaa] quit # 配置VTY使用AAA认证 [DeviceA] user-interface vty 0 4 [DeviceA-ui-vty0-4] authentication-mode aaa [DeviceA-ui-vty0-4] protocol inbound ssh [DeviceA-ui-vty0-4] quitRADIUS服务器需提前配置用户信息,如:
test1/test1@123。
三、核心配置详解
1. 域(Domain)配置(华为AAA核心)
# 创建域并绑定认证、授权、计费方案 [DeviceA-aaa] domain huawei.com [DeviceA-aaa-domain-huawei.com] authentication-scheme auth1 [DeviceA-aaa-domain-huawei.com] authorization-scheme authz1 [DeviceA-aaa-domain-huawei.com] accounting-scheme acct1 [DeviceA-aaa-domain-huawei.com] quit用户标识:用户名@域名(如admin@huawei.com),未指定域名时使用默认域default_admin。
2. 权限级别说明
| 权限级别 | 说明 | 可进入视图 | 典型场景 |
|---|---|---|---|
| 0 | 访问级(最低) | 用户视图 | 访客、审计账号 |
| 1 | 监控级 | 用户视图 | 运维监控、只读用户 |
| 2 | 系统级 | 系统视图 | 普通运维人员 |
| 3-14 | 自定义权限 | 取决于命令授权 | 高级运维、分权管理 |
| 15 | 管理级(最高) | 系统视图 | 系统管理员 |
华为设备默认权限级别为0,级别15为最高权限。
3. 验证与监控命令
# 查看本地用户 display local-user # 查看域信息 display domain name default_admin # 查看AAA认证/授权/计费配置 display aaa configuration # 查看用户上下线记录 display aaa offline-record all四、实践与安全
安全协议优先:
- 优先使用SSH(
stelnet)替代Telnet,实现加密传输 - 配置
ssh authentication-type default password确保SSH使用密码认证
- 优先使用SSH(
权限最小化原则:
- 为不同角色分配最低必要权限(如普通运维人员仅需级别2)
- 管理员账号权限应为15级
高安全场景:
- 采用RADIUS/HWTACACS集中认证(
authentication-mode radius/hwtacacs) - 配置备用本地认证(
authentication-mode radius local) - 配置计费方案实现用户行为审计
- 采用RADIUS/HWTACACS集中认证(
网络隔离:
- 业务VLAN与管理VLAN分离
- 管理IP地址限制在安全网段
配置备份:
- 定期备份AAA配置
- 重要设备配置本地认证作为备份
五、常见问题排查
| 问题现象 | 可能原因 | 解决方法 |
|---|---|---|
| 认证失败 | 用户名/密码错误、服务类型不匹配 | 检查local-user配置的服务类型 |
| 无法进入系统视图 | 权限级别过低 | 检查privilege level配置 |
| 未绑定域 | 用户未指定域名 | 确保使用用户名@域名格式或配置默认域 |
| 计费失败 | RADIUS服务器未返回授权信息 | 检查RADIUS服务器配置和网络连通性 |
| 无法登录 | VTY接口认证方式未配置AAA | 检查authentication-mode aaa配置 |
华为设备默认使用
default_admin域,若未配置域,用户将使用默认域进行认证。
六、华为AAA配置最佳实践总结
- 设备管理场景:优先选择HWTACACS(安全+细粒度授权)
- 大规模用户接入:选择RADIUS(高效+分布式部署)
- 本地认证:适用于小型网络或作为备份方案
- 安全建议:所有管理接口(VTY、Console)均应配置AAA认证
- 配置规范:建议使用域(Domain)进行用户管理,避免混淆