HCIA-ICT实战基础-远程接入安全管理

目录

AAA概述

AAA配置实现

telnet原理与配置

Stelnet(华为ssh的另一种称呼)配置

1 AAA概述

1.1 基本概念

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称, 是网络安全的一种管理机制, 提供认证、授权、计费三种安全, AAA不是协议, 而是一种框架.

1.2 AAA常见架构

AAA常见网络架构中包括用户、NAS(Network Access Server 接入控制器)、AAA服务器(AAA Server)

NAS负责集中搜集和管理用户的访问请求.

在NAS上会创建多个域来管理用户, 不同的域可以关联不同的AAA方案, AAA方案包含认证方案、授权方案、计费方案.

当收到用户揭露网络请求时,NAS会根据用户名来判断用户所在域, 根据该域的AAA方案对用户进行管控.

1.3 认证

AAA支持的认证方式有: 不认证、本地认证、远端认证.

不认证: 用户连接网络后不需要进行认证即可登录访问;

本地认证: 将认证服务部署在网关上, 用户和认证服务器处于同一网段, 适用于客户端较少的情况;

远端认证: 将认证功能部署在远端的物理服务器上, 适用于中大型网络.

1.4 授权

AAA支持的授权方式有: 不授权、本地授权、远端授权.

授权信息包括: 所属用户组、所属VLAN、ACL编号等.

三种授权方式类似于认证.

1.5 计费

计费功能用于监控授权用户的网络行为和网络资源的使用情况.

AAA支持的计费方式有: 不计费、远端计费.

2 AAA配置实现

2.1 配置命令

1.进入AAA视图

[Huawei]aaa

在网关设备上, 从系统视图进入AAA视图进行配置.

2.创建认证方案

[Huawei-aaa] authentication-scheme authentication-scheme-name

创建认证方案并进入相应的认证方案视图.

[Huawei-aaa-authentication-schme-name]authentication-mode {hwtacacs | local | radius}

配置认证方式, local指定认证方式为本地认证. 缺省情况下, 认证方式为本地认证.

3.创建domain并绑定认证方案

[Huawei-aaa]domain domain-name

创建domain并进入相应的domain视图

[Huawei-aaa-name]authentication-shceme authentication-shceme-name

4.创建用户

[Huawei-aaa]local-user user-name password cipher password

创建本地用户, 并配置本地用户密码:

  1. 如果用户名中带有域名分隔符, 如@, 则认为@前面的部分是用户名, 后面部分是域名, 即: [用户名]@[所属域] ;
  2. 如果没有@, 则整个字符串为用户名, 域为默认域(default).

5.配置用户接入类型

[Huawei-aaa]local-user user-name service-type {{treminal | telnet | ftp | ssh | snmp | http} | ppp | none}

设置本地用户的接入类型, 缺省情况下, 本地用户默认关闭所有接入类型.

6.配置用户级别

[Huawei-aaa]local-user user-name privilege level level

指定本地用户权限级别.

7.查看正常登录并且下线的用户

[Huawei]diaplay aaa offine-record all

2.2 AAA配置案例

1.在设备R1上配置用户密码和级别, 使主机A可以通过配置的用户名和密码远程登录到设备R1.

[R1]aaa

[R1-aaa]local user huawei password cipher huawei123

[R1-aaa]local-user huawei service-type telnet

[R1-aaa]local-user huawei privilege leve 15

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

3 telnet原理与配置

Telnet可以通过终端对本地和远程的网络设备进行集中管理

3.1 Telnet连接

1.Telnet客户端和服务器基于TCP连接来传输命令

2.两种认证方式

3.2 Telnet配置

  1. 使能设备的Telnet服务器功能

    [Huawei]telnet server enable

    telnet server enable命令用于使能设备的Telnet服务器功能, 华为设备默认开启.

  2. 修改最大用户界面数

    [Huawei]user-interface maximum-vty number

    该命令用于配置vty用户界面的最大个数, vty用户界面的最大个数决定了多少个用户可以同时通过Telnet或stelnet登录设备. 缺省情况下, vty用户界面最大个数为5个.

  3. 进入vty用户界面视图

    [Huawei]user-interface vty first-ui-number [last-ui-number]

    first-ui-number 指定配置的第一个用户界面编号, last-ui-number指定配置的最后一个用户界面编号, 缺省情况下为0和4.

  4. 配置vty用户界面支持协议

    [Huawei-ui-vty0-4]protocol inbound {all|telnet}

    protocol inbound命令用来指定vty用户界面所支持的协议. 缺省情况下, 系统支持协议ssh和Telnet. all指定支持所有的协议, 包括ssh和Telnet. Telnet指定只支持Telnet协议.

  5. 配置登录用户验证方式

    [Huawei-ui-vty0-4]authentication-mode {aaa | password}

    缺省情况下, 用户界面没有使用该命令的配置认证方式, 登录用户界面必须配置验证方式, 否则用户无法成功登录设备. aaa设置进行AAA授权验证方式. password设置进行密码验证方式.

  6. 配置password验证方式密码

    [Huawei-ui-vty0-4]set authentication password cipher password

    密码为本地密文存储

  7. 配置用户级别

    [Huawei-ui-vty0-4]user privilege level level

    缺省情况下, Console口用户界面下用户级别是15, 而其他用户界面级别是0.

4 Stelnet(SSH框架)配置

4.1 Stelnet配置

  1. 使能Stelnet服务器功能

    [Huawei]stelnet server enable

    缺省情况下, ssh服务器端的Stelnet没有使能

  2. 进入vty用户视图

    [Huawei]user-interface vty first-ui-number [last-ui-number]

  3. 配置vty用户界面协议

    [Huawei-ui-vty0-4]protocol inbound {all | ssh}

    和Telnet那边一样

  4. 配置登录用户模式

    [Huawei-ui-vty0-4]authentication-mode aaa

  5. 进入aaa视图并创建aaa用户

    [Huawei]aaa
    
[Huawei-aaa]local-user user-name password cipher password
    
[Huawei-aaa]local-user user-name service-type ssh
    
[Huawei-aaa]local-user user-name privilege level level

  6. 创建ssh用户且认证方式为password

    [Huawei]ssh user user-name authentication-type password

  7. 创建ssh用户且认证方式为rsa

    [Huawei]ssh user user-name authentication-type rsa

  8. 客户端连接ssh服务器

    [Huawei]ssh client first-time enable

    缺省默认关闭首次认证功能

  9. 客户端通过password进行认证

    [Huawei]stelnet host-ip

    然后输入用户名密码即可登录

  10. 客户端生成秘钥对

    [Huawei]rsa local-key-pair create

  11. 在客户端上查看生成的rsa秘钥对的公钥部分

    [Huawei]display rsa local-key-pair public

  12. 在服务器端上创建rsa公共密码

    [Huawei]rsa peer-public-key key-name

  13. 进入公共秘钥编辑视图

    [Huawei-rsa-public-key]public-key-code begin

    输入公钥:

  14. 在服务器端为ssh用户user-name绑定Stelnet客户端的rsa公钥

    [Huawei]ssh user user-name assign rsa-key key-name

结束

HCIA-ICT实战基础09-远程接入安全管理的更多相关文章

  1. 集成 Redis & 异步任务 - SpringBoot 2.7 .2实战基础

    SpringBoot 2.7 .2实战基础 - 09 - 集成 Redis & 异步任务 1 集成Redis <docker 安装 MySQL 和 Redis>一文已介绍如何在 D ...

  2. J2EE开发实战基础系列之开卷有益

    2014.10.24[致歉]{抱歉,从7.4号接到朋友的请求,一直忙到现在,最近又有新的CASE要忙,很抱歉教程要延误,开课时间请大家关注Q群} 时隔七年再次接触培训有关的事情,是兴奋,更多的是恐惧, ...

  3. redis支持远程接入的安全防护问题

    如果我们没有启用保护模式,支持远程接入,启用默认端口6379,而且是用root用户启动的,那么基本上redis就是在裸奔了,人家分分钟搞你没商量. 我们模拟一下,现在机器A(ip假设为10.100.1 ...

  4. 虚拟化 RemoteApp 远程接入 源码 免费

    远程接入 RemoteApp 虚拟化 源码 免费 1.终端安装与配置: 此远程接入组件的运行原理与瑞友天翼.异速连.CTBS等市面上常见的远程接入产品一样,是透过Windows的终端服务来实现的,速度 ...

  5. [gitHub实践] git基础:远程仓库的使用

    [gitHub实践] git基础:远程仓库的使用 版权2019.6.2更新 git 基础 远程仓库的使用 git remote # 查看远程仓库 $ git remote # 克隆的仓库服务器默认名字 ...

  6. 集成 Spring Doc 接口文档和 knife4j-SpringBoot 2.7.2 实战基础

    优雅哥 SpringBoot 2.7.2 实战基础 - 04 -集成 Spring Doc 接口文档和 knife4j 前面已经集成 MyBatis Plus.Druid 数据源,开发了 5 个接口. ...

  7. 使用 Liquibase 管理数据库版本 - SpringBoot 2.7 .2 实战基础

    优雅哥 SpringBoot 2.7 .2 实战基础 - 05 -使用 Liquibase 管理数据库版本 在企业开发中,数据库版本管理好像是一个伪命题,大多项目都是通过 Power Designer ...

  8. 多环境配置 - SpringBoot 2.7.2 实战基础

    优雅哥 SpringBoot 2.7.2 实战基础 - 06 -多环境配置 在一个项目的开发过程中,通常伴随着多套环境:本地环境 local.开发环境 dev.集成测试环境 test.用户接受测试环境 ...

  9. 清晰梳理最全日志框架关系与日志配置-SpringBoot 2.7.2 实战基础

    优雅哥 SpringBoot 2.7.2 实战基础 - 07 - 日志配置 Java 中日志相关的 jar 包非常多,log4j.log4j2.commons-logging.logback.slf4 ...

  10. 全局异常处理及参数校验-SpringBoot 2.7 实战基础 (建议收藏)

    优雅哥 SpringBoot 2.7 实战基础 - 08 - 全局异常处理及参数校验 前后端分离开发非常普遍,后端处理业务,为前端提供接口.服务中总会出现很多运行时异常和业务异常,本文主要讲解在 Sp ...

随机推荐

  1. Excel VBA实例

    有个朋友让帮忙看下excel数据怎么处理,初步一看有点复杂,难以下手.进一步分析.搜索,发现VBA可以很好地解决这个问题,总结记录一下. 问题描述:如下图,有N个sheet,每个sheet记录了一个公 ...

  2. Flurl 组件使用

    简介 先发上官网地址:https://flurl.dev/ Flurl 是一个异步的.可测试的.可移植的.URL 构建器和 .NET 的 HTTP 客户端库:Flurl 在NuGet上可用,可免费用于 ...

  3. WPF 实现雪花效果

    雪花控件类: class MM:Control { DispatcherTimer dispatcherTimer = new DispatcherTimer(); public MM() { dis ...

  4. [洛谷/题目] P1562 还是N皇后

    声明 关于科学道理都会放进代码中,但是我们需要先了解一下位运算解这道题目的基础知识 我不是很会专业词语,所以仅介绍原理 位运算基础 众所周知,二进制是0和1 2^3 2^2 2^1 2^0 8 4 2 ...

  5. RN 报错信息总结

    我使用的是 VScode 编辑器,有时候,卸载包,安装包就会编译失败,解决方式 gradlew clean 编译错误 Execution failed for task ':app:compileDe ...

  6. tomcat程序闪退,如何让tomcat不闪退,可以看见报错

    1.在 startup.bat 文件最后加 pause 2.cd 到tomcat bin 目录下执行 startup.bat 3.直接去Tomcat目录下的log看输出日志,即catalina.out ...

  7. VS2019编译Qt4.8.7

    下载4.8.7源码Index of /archive/qt/4.8/4.8.7 复制mkspecs\win32-msvc2015到mkspecs\win32-msvc2019 修改qmake.conf ...

  8. 代码格式 linux

    indent -kr -i8 -ts8 -sob -l80 -ss -bs -psl test.c

  9. usb 2.0 high speed resetting signaling.

  10. Prettier 与 ESLint 对函数名后空格的处理

    问题 Prettier 格式化 JavaScript 代码之后,默认不会在函数与 () 添加空格,而 ESLint 默认情况下则要求函数与 () 之间必须有一个空格. 保留空格的方案配置 方案 1 在 ...