HCIA-ICT实战基础09-远程接入安全管理
HCIA-ICT实战基础-远程接入安全管理
目录
AAA概述
AAA配置实现
telnet原理与配置
Stelnet(华为ssh的另一种称呼)配置
1 AAA概述
1.1 基本概念
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称, 是网络安全的一种管理机制, 提供认证、授权、计费三种安全, AAA不是协议, 而是一种框架.
1.2 AAA常见架构
AAA常见网络架构中包括用户、NAS(Network Access Server 接入控制器)、AAA服务器(AAA Server)
NAS负责集中搜集和管理用户的访问请求.
在NAS上会创建多个域来管理用户, 不同的域可以关联不同的AAA方案, AAA方案包含认证方案、授权方案、计费方案.
当收到用户揭露网络请求时,NAS会根据用户名来判断用户所在域, 根据该域的AAA方案对用户进行管控.
1.3 认证
AAA支持的认证方式有: 不认证、本地认证、远端认证.
不认证: 用户连接网络后不需要进行认证即可登录访问;
本地认证: 将认证服务部署在网关上, 用户和认证服务器处于同一网段, 适用于客户端较少的情况;
远端认证: 将认证功能部署在远端的物理服务器上, 适用于中大型网络.
1.4 授权
AAA支持的授权方式有: 不授权、本地授权、远端授权.
授权信息包括: 所属用户组、所属VLAN、ACL编号等.
三种授权方式类似于认证.
1.5 计费
计费功能用于监控授权用户的网络行为和网络资源的使用情况.
AAA支持的计费方式有: 不计费、远端计费.
2 AAA配置实现
2.1 配置命令
1.进入AAA视图
[Huawei]aaa
在网关设备上, 从系统视图进入AAA视图进行配置.
2.创建认证方案
[Huawei-aaa] authentication-scheme authentication-scheme-name
创建认证方案并进入相应的认证方案视图.
[Huawei-aaa-authentication-schme-name]authentication-mode {hwtacacs | local | radius}
配置认证方式, local指定认证方式为本地认证. 缺省情况下, 认证方式为本地认证.
3.创建domain并绑定认证方案
[Huawei-aaa]domain domain-name
创建domain并进入相应的domain视图
[Huawei-aaa-name]authentication-shceme authentication-shceme-name
4.创建用户
[Huawei-aaa]local-user user-name password cipher password
创建本地用户, 并配置本地用户密码:
- 如果用户名中带有域名分隔符, 如@, 则认为@前面的部分是用户名, 后面部分是域名, 即: [用户名]@[所属域] ;
- 如果没有@, 则整个字符串为用户名, 域为默认域(default).
5.配置用户接入类型
[Huawei-aaa]local-user user-name service-type {{treminal | telnet | ftp | ssh | snmp | http} | ppp | none}
设置本地用户的接入类型, 缺省情况下, 本地用户默认关闭所有接入类型.
6.配置用户级别
[Huawei-aaa]local-user user-name privilege level level
指定本地用户权限级别.
7.查看正常登录并且下线的用户
[Huawei]diaplay aaa offine-record all
2.2 AAA配置案例
1.在设备R1上配置用户密码和级别, 使主机A可以通过配置的用户名和密码远程登录到设备R1.
[R1]aaa
[R1-aaa]local user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]local-user huawei privilege leve 15
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
3 telnet原理与配置
Telnet可以通过终端对本地和远程的网络设备进行集中管理
3.1 Telnet连接
1.Telnet客户端和服务器基于TCP连接来传输命令
2.两种认证方式
3.2 Telnet配置
使能设备的Telnet服务器功能
[Huawei]telnet server enable
telnet server enable命令用于使能设备的Telnet服务器功能, 华为设备默认开启.
修改最大用户界面数
[Huawei]user-interface maximum-vty number
该命令用于配置vty用户界面的最大个数, vty用户界面的最大个数决定了多少个用户可以同时通过Telnet或stelnet登录设备. 缺省情况下, vty用户界面最大个数为5个.
进入vty用户界面视图
[Huawei]user-interface vty first-ui-number [last-ui-number]
first-ui-number 指定配置的第一个用户界面编号, last-ui-number指定配置的最后一个用户界面编号, 缺省情况下为0和4.
配置vty用户界面支持协议
[Huawei-ui-vty0-4]protocol inbound {all|telnet}
protocol inbound命令用来指定vty用户界面所支持的协议. 缺省情况下, 系统支持协议ssh和Telnet. all指定支持所有的协议, 包括ssh和Telnet. Telnet指定只支持Telnet协议.
配置登录用户验证方式
[Huawei-ui-vty0-4]authentication-mode {aaa | password}
缺省情况下, 用户界面没有使用该命令的配置认证方式, 登录用户界面必须配置验证方式, 否则用户无法成功登录设备. aaa设置进行AAA授权验证方式. password设置进行密码验证方式.
配置password验证方式密码
[Huawei-ui-vty0-4]set authentication password cipher password
密码为本地密文存储
配置用户级别
[Huawei-ui-vty0-4]user privilege level level
缺省情况下, Console口用户界面下用户级别是15, 而其他用户界面级别是0.
4 Stelnet(SSH框架)配置
4.1 Stelnet配置
使能Stelnet服务器功能
[Huawei]stelnet server enable
缺省情况下, ssh服务器端的Stelnet没有使能
进入vty用户视图
[Huawei]user-interface vty first-ui-number [last-ui-number]
配置vty用户界面协议
[Huawei-ui-vty0-4]protocol inbound {all | ssh}
和Telnet那边一样
配置登录用户模式
[Huawei-ui-vty0-4]authentication-mode aaa
进入aaa视图并创建aaa用户
[Huawei]aaa
[Huawei-aaa]local-user user-name password cipher password
[Huawei-aaa]local-user user-name service-type ssh
[Huawei-aaa]local-user user-name privilege level level
创建ssh用户且认证方式为password
[Huawei]ssh user user-name authentication-type password
创建ssh用户且认证方式为rsa
[Huawei]ssh user user-name authentication-type rsa
客户端连接ssh服务器
[Huawei]ssh client first-time enable
缺省默认关闭首次认证功能
客户端通过password进行认证
[Huawei]stelnet host-ip
然后输入用户名密码即可登录
客户端生成秘钥对
[Huawei]rsa local-key-pair create
在客户端上查看生成的rsa秘钥对的公钥部分
[Huawei]display rsa local-key-pair public
在服务器端上创建rsa公共密码
[Huawei]rsa peer-public-key key-name
进入公共秘钥编辑视图
[Huawei-rsa-public-key]public-key-code begin
输入公钥:
在服务器端为ssh用户user-name绑定Stelnet客户端的rsa公钥
[Huawei]ssh user user-name assign rsa-key key-name
结束
HCIA-ICT实战基础09-远程接入安全管理的更多相关文章
- 集成 Redis & 异步任务 - SpringBoot 2.7 .2实战基础
SpringBoot 2.7 .2实战基础 - 09 - 集成 Redis & 异步任务 1 集成Redis <docker 安装 MySQL 和 Redis>一文已介绍如何在 D ...
- J2EE开发实战基础系列之开卷有益
2014.10.24[致歉]{抱歉,从7.4号接到朋友的请求,一直忙到现在,最近又有新的CASE要忙,很抱歉教程要延误,开课时间请大家关注Q群} 时隔七年再次接触培训有关的事情,是兴奋,更多的是恐惧, ...
- redis支持远程接入的安全防护问题
如果我们没有启用保护模式,支持远程接入,启用默认端口6379,而且是用root用户启动的,那么基本上redis就是在裸奔了,人家分分钟搞你没商量. 我们模拟一下,现在机器A(ip假设为10.100.1 ...
- 虚拟化 RemoteApp 远程接入 源码 免费
远程接入 RemoteApp 虚拟化 源码 免费 1.终端安装与配置: 此远程接入组件的运行原理与瑞友天翼.异速连.CTBS等市面上常见的远程接入产品一样,是透过Windows的终端服务来实现的,速度 ...
- [gitHub实践] git基础:远程仓库的使用
[gitHub实践] git基础:远程仓库的使用 版权2019.6.2更新 git 基础 远程仓库的使用 git remote # 查看远程仓库 $ git remote # 克隆的仓库服务器默认名字 ...
- 集成 Spring Doc 接口文档和 knife4j-SpringBoot 2.7.2 实战基础
优雅哥 SpringBoot 2.7.2 实战基础 - 04 -集成 Spring Doc 接口文档和 knife4j 前面已经集成 MyBatis Plus.Druid 数据源,开发了 5 个接口. ...
- 使用 Liquibase 管理数据库版本 - SpringBoot 2.7 .2 实战基础
优雅哥 SpringBoot 2.7 .2 实战基础 - 05 -使用 Liquibase 管理数据库版本 在企业开发中,数据库版本管理好像是一个伪命题,大多项目都是通过 Power Designer ...
- 多环境配置 - SpringBoot 2.7.2 实战基础
优雅哥 SpringBoot 2.7.2 实战基础 - 06 -多环境配置 在一个项目的开发过程中,通常伴随着多套环境:本地环境 local.开发环境 dev.集成测试环境 test.用户接受测试环境 ...
- 清晰梳理最全日志框架关系与日志配置-SpringBoot 2.7.2 实战基础
优雅哥 SpringBoot 2.7.2 实战基础 - 07 - 日志配置 Java 中日志相关的 jar 包非常多,log4j.log4j2.commons-logging.logback.slf4 ...
- 全局异常处理及参数校验-SpringBoot 2.7 实战基础 (建议收藏)
优雅哥 SpringBoot 2.7 实战基础 - 08 - 全局异常处理及参数校验 前后端分离开发非常普遍,后端处理业务,为前端提供接口.服务中总会出现很多运行时异常和业务异常,本文主要讲解在 Sp ...
随机推荐
- Postman 测试 Web Service 和 WCF
一.postman 测试web service(1)设置url http://www.oorsprong.org/websamples.countryinfo/countryinfoservice.w ...
- Java的引用(强软弱虚)
Java中引用相关的类 类 名 说明 ReferenceQueue 引用队列 与某个引用类绑定,当引用死亡后会进入这个队列对象标记为垃圾(并不代表回收了)后或虚引用的对象被回收后,会加入到引用队列 H ...
- 数字成像系统—ISP
ISP是什么Image Signal Processor,图像信号处理器.作用:处理Image Sensor(图像传感器)的输出数据.对前端图像传感器输出的信号做后期处理.如AWB等.DSP是什么Di ...
- Mybatis二级缓存(1)
- 服务器IPMI地址及用户名密码
HP管理口:ILO默认用户/密码:Administrator/passwordHP以前管理口登陆MP卡通过网线连接MP卡的RJ-45口,通过telnet方式登录,默认用户/密码:Admin/Admin ...
- EBS 常用sql
1)查看请求挂在哪个状态下 SELECT fcpv.concurrent_program_name FROM fnd_request_groups frg, --请求组 fnd_request_gro ...
- sudo apt update 没有 Release 文件
注: 不同环境出错原因可能不同,本文仅供参考. 今天在Ubuntu 19.04 系统运行指令 sudo apt update 时,忽然提示错误,报错如下: 404 Not Found [IP: 101 ...
- linux重置密码和单用户模式
CentOS7.9 CentOS7系统root密码丢失找回方法(史上最好) 1. 重新启动或开启CentOS7系统,在选择进入系统Grub菜单界面如下图1-1,根据提示按"e"小写 ...
- 自定义注解+反射提取对象到map中
一.问题:有时候我们与第三方接口对接传参时,需要将对象里的字段和值以map形式传给别人,此时可以借助其他的工具类,但是我个人用起来不太灵活,还会把多余的字段传给别人,因此我们自己动手搞一套 二.思路: ...
- logrotate配置记录
对于一些比较频繁又没有太大意义的log,可以设定出更严格的切割策略 see https://blog.csdn.net/liuxiao723846/article/details/100120058 ...