HCIA-ICT实战基础-远程接入安全管理

目录

AAA概述

AAA配置实现

telnet原理与配置

Stelnet(华为ssh的另一种称呼)配置

1 AAA概述

1.1 基本概念

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称, 是网络安全的一种管理机制, 提供认证、授权、计费三种安全, AAA不是协议, 而是一种框架.

1.2 AAA常见架构

AAA常见网络架构中包括用户、NAS(Network Access Server 接入控制器)、AAA服务器(AAA Server)

NAS负责集中搜集和管理用户的访问请求.

在NAS上会创建多个域来管理用户, 不同的域可以关联不同的AAA方案, AAA方案包含认证方案、授权方案、计费方案.

当收到用户揭露网络请求时,NAS会根据用户名来判断用户所在域, 根据该域的AAA方案对用户进行管控.

1.3 认证

AAA支持的认证方式有: 不认证、本地认证、远端认证.

不认证: 用户连接网络后不需要进行认证即可登录访问;

本地认证: 将认证服务部署在网关上, 用户和认证服务器处于同一网段, 适用于客户端较少的情况;

远端认证: 将认证功能部署在远端的物理服务器上, 适用于中大型网络.

1.4 授权

AAA支持的授权方式有: 不授权、本地授权、远端授权.

授权信息包括: 所属用户组、所属VLAN、ACL编号等.

三种授权方式类似于认证.

1.5 计费

计费功能用于监控授权用户的网络行为和网络资源的使用情况.

AAA支持的计费方式有: 不计费、远端计费.

2 AAA配置实现

2.1 配置命令

1.进入AAA视图

  1. [Huawei]aaa

在网关设备上, 从系统视图进入AAA视图进行配置.

2.创建认证方案

  1. [Huawei-aaa] authentication-scheme authentication-scheme-name

创建认证方案并进入相应的认证方案视图.

  1. [Huawei-aaa-authentication-schme-name]authentication-mode {hwtacacs | local | radius}

配置认证方式, local指定认证方式为本地认证. 缺省情况下, 认证方式为本地认证.

3.创建domain并绑定认证方案

  1. [Huawei-aaa]domain domain-name

创建domain并进入相应的domain视图

  1. [Huawei-aaa-name]authentication-shceme authentication-shceme-name

4.创建用户

  1. [Huawei-aaa]local-user user-name password cipher password

创建本地用户, 并配置本地用户密码:

  1. 如果用户名中带有域名分隔符, 如@, 则认为@前面的部分是用户名, 后面部分是域名, 即: [用户名]@[所属域] ;
  2. 如果没有@, 则整个字符串为用户名, 域为默认域(default).

5.配置用户接入类型

  1. [Huawei-aaa]local-user user-name service-type {{treminal | telnet | ftp | ssh | snmp | http} | ppp | none}

设置本地用户的接入类型, 缺省情况下, 本地用户默认关闭所有接入类型.

6.配置用户级别

  1. [Huawei-aaa]local-user user-name privilege level level

指定本地用户权限级别.

7.查看正常登录并且下线的用户

  1. [Huawei]diaplay aaa offine-record all

2.2 AAA配置案例

1.在设备R1上配置用户密码和级别, 使主机A可以通过配置的用户名和密码远程登录到设备R1.

  1. [R1]aaa
  2. [R1-aaa]local user huawei password cipher huawei123
  3. [R1-aaa]local-user huawei service-type telnet
  4. [R1-aaa]local-user huawei privilege leve 15
  5. [R1]user-interface vty 0 4
  6. [R1-ui-vty0-4]authentication-mode aaa

3 telnet原理与配置

Telnet可以通过终端对本地和远程的网络设备进行集中管理

3.1 Telnet连接

1.Telnet客户端和服务器基于TCP连接来传输命令

2.两种认证方式

3.2 Telnet配置

  1. 使能设备的Telnet服务器功能

    1. [Huawei]telnet server enable

    telnet server enable命令用于使能设备的Telnet服务器功能, 华为设备默认开启.

  2. 修改最大用户界面数

    1. [Huawei]user-interface maximum-vty number

    该命令用于配置vty用户界面的最大个数, vty用户界面的最大个数决定了多少个用户可以同时通过Telnet或stelnet登录设备. 缺省情况下, vty用户界面最大个数为5个.

  3. 进入vty用户界面视图

    1. [Huawei]user-interface vty first-ui-number [last-ui-number]

    first-ui-number 指定配置的第一个用户界面编号, last-ui-number指定配置的最后一个用户界面编号, 缺省情况下为0和4.

  4. 配置vty用户界面支持协议

    1. [Huawei-ui-vty0-4]protocol inbound {all|telnet}

    protocol inbound命令用来指定vty用户界面所支持的协议. 缺省情况下, 系统支持协议ssh和Telnet. all指定支持所有的协议, 包括ssh和Telnet. Telnet指定只支持Telnet协议.

  5. 配置登录用户验证方式

    1. [Huawei-ui-vty0-4]authentication-mode {aaa | password}

    缺省情况下, 用户界面没有使用该命令的配置认证方式, 登录用户界面必须配置验证方式, 否则用户无法成功登录设备. aaa设置进行AAA授权验证方式. password设置进行密码验证方式.

  6. 配置password验证方式密码

    1. [Huawei-ui-vty0-4]set authentication password cipher password

    密码为本地密文存储

  7. 配置用户级别

    1. [Huawei-ui-vty0-4]user privilege level level

    缺省情况下, Console口用户界面下用户级别是15, 而其他用户界面级别是0.

4 Stelnet(SSH框架)配置

4.1 Stelnet配置

  1. 使能Stelnet服务器功能

    1. [Huawei]stelnet server enable

    缺省情况下, ssh服务器端的Stelnet没有使能

  2. 进入vty用户视图

    1. [Huawei]user-interface vty first-ui-number [last-ui-number]
  3. 配置vty用户界面协议

    1. [Huawei-ui-vty0-4]protocol inbound {all | ssh}

    和Telnet那边一样

  4. 配置登录用户模式

    1. [Huawei-ui-vty0-4]authentication-mode aaa
  5. 进入aaa视图并创建aaa用户

    1. [Huawei]aaa
    2. [Huawei-aaa]local-user user-name password cipher password
    3. [Huawei-aaa]local-user user-name service-type ssh
    4. [Huawei-aaa]local-user user-name privilege level level
  6. 创建ssh用户且认证方式为password

    1. [Huawei]ssh user user-name authentication-type password
  7. 创建ssh用户且认证方式为rsa

    1. [Huawei]ssh user user-name authentication-type rsa
  8. 客户端连接ssh服务器

    1. [Huawei]ssh client first-time enable

    缺省默认关闭首次认证功能

  9. 客户端通过password进行认证

    1. [Huawei]stelnet host-ip

    然后输入用户名密码即可登录

  10. 客户端生成秘钥对

    1. [Huawei]rsa local-key-pair create
  11. 在客户端上查看生成的rsa秘钥对的公钥部分

    1. [Huawei]display rsa local-key-pair public
  12. 在服务器端上创建rsa公共密码

    1. [Huawei]rsa peer-public-key key-name
  13. 进入公共秘钥编辑视图

    1. [Huawei-rsa-public-key]public-key-code begin

    输入公钥:

  14. 在服务器端为ssh用户user-name绑定Stelnet客户端的rsa公钥

    1. [Huawei]ssh user user-name assign rsa-key key-name

结束

HCIA-ICT实战基础09-远程接入安全管理的更多相关文章

  1. 集成 Redis & 异步任务 - SpringBoot 2.7 .2实战基础

    SpringBoot 2.7 .2实战基础 - 09 - 集成 Redis & 异步任务 1 集成Redis <docker 安装 MySQL 和 Redis>一文已介绍如何在 D ...

  2. J2EE开发实战基础系列之开卷有益

    2014.10.24[致歉]{抱歉,从7.4号接到朋友的请求,一直忙到现在,最近又有新的CASE要忙,很抱歉教程要延误,开课时间请大家关注Q群} 时隔七年再次接触培训有关的事情,是兴奋,更多的是恐惧, ...

  3. redis支持远程接入的安全防护问题

    如果我们没有启用保护模式,支持远程接入,启用默认端口6379,而且是用root用户启动的,那么基本上redis就是在裸奔了,人家分分钟搞你没商量. 我们模拟一下,现在机器A(ip假设为10.100.1 ...

  4. 虚拟化 RemoteApp 远程接入 源码 免费

    远程接入 RemoteApp 虚拟化 源码 免费 1.终端安装与配置: 此远程接入组件的运行原理与瑞友天翼.异速连.CTBS等市面上常见的远程接入产品一样,是透过Windows的终端服务来实现的,速度 ...

  5. [gitHub实践] git基础:远程仓库的使用

    [gitHub实践] git基础:远程仓库的使用 版权2019.6.2更新 git 基础 远程仓库的使用 git remote # 查看远程仓库 $ git remote # 克隆的仓库服务器默认名字 ...

  6. 集成 Spring Doc 接口文档和 knife4j-SpringBoot 2.7.2 实战基础

    优雅哥 SpringBoot 2.7.2 实战基础 - 04 -集成 Spring Doc 接口文档和 knife4j 前面已经集成 MyBatis Plus.Druid 数据源,开发了 5 个接口. ...

  7. 使用 Liquibase 管理数据库版本 - SpringBoot 2.7 .2 实战基础

    优雅哥 SpringBoot 2.7 .2 实战基础 - 05 -使用 Liquibase 管理数据库版本 在企业开发中,数据库版本管理好像是一个伪命题,大多项目都是通过 Power Designer ...

  8. 多环境配置 - SpringBoot 2.7.2 实战基础

    优雅哥 SpringBoot 2.7.2 实战基础 - 06 -多环境配置 在一个项目的开发过程中,通常伴随着多套环境:本地环境 local.开发环境 dev.集成测试环境 test.用户接受测试环境 ...

  9. 清晰梳理最全日志框架关系与日志配置-SpringBoot 2.7.2 实战基础

    优雅哥 SpringBoot 2.7.2 实战基础 - 07 - 日志配置 Java 中日志相关的 jar 包非常多,log4j.log4j2.commons-logging.logback.slf4 ...

  10. 全局异常处理及参数校验-SpringBoot 2.7 实战基础 (建议收藏)

    优雅哥 SpringBoot 2.7 实战基础 - 08 - 全局异常处理及参数校验 前后端分离开发非常普遍,后端处理业务,为前端提供接口.服务中总会出现很多运行时异常和业务异常,本文主要讲解在 Sp ...

随机推荐

  1. Postman 测试 Web Service 和 WCF

    一.postman 测试web service(1)设置url http://www.oorsprong.org/websamples.countryinfo/countryinfoservice.w ...

  2. Java的引用(强软弱虚)

    Java中引用相关的类 类 名 说明 ReferenceQueue 引用队列 与某个引用类绑定,当引用死亡后会进入这个队列对象标记为垃圾(并不代表回收了)后或虚引用的对象被回收后,会加入到引用队列 H ...

  3. 数字成像系统—ISP

    ISP是什么Image Signal Processor,图像信号处理器.作用:处理Image Sensor(图像传感器)的输出数据.对前端图像传感器输出的信号做后期处理.如AWB等.DSP是什么Di ...

  4. Mybatis二级缓存(1)

  5. 服务器IPMI地址及用户名密码

    HP管理口:ILO默认用户/密码:Administrator/passwordHP以前管理口登陆MP卡通过网线连接MP卡的RJ-45口,通过telnet方式登录,默认用户/密码:Admin/Admin ...

  6. EBS 常用sql

    1)查看请求挂在哪个状态下 SELECT fcpv.concurrent_program_name FROM fnd_request_groups frg, --请求组 fnd_request_gro ...

  7. sudo apt update 没有 Release 文件

    注: 不同环境出错原因可能不同,本文仅供参考. 今天在Ubuntu 19.04 系统运行指令 sudo apt update 时,忽然提示错误,报错如下: 404 Not Found [IP: 101 ...

  8. linux重置密码和单用户模式

    CentOS7.9 CentOS7系统root密码丢失找回方法(史上最好) 1. 重新启动或开启CentOS7系统,在选择进入系统Grub菜单界面如下图1-1,根据提示按"e"小写 ...

  9. 自定义注解+反射提取对象到map中

    一.问题:有时候我们与第三方接口对接传参时,需要将对象里的字段和值以map形式传给别人,此时可以借助其他的工具类,但是我个人用起来不太灵活,还会把多余的字段传给别人,因此我们自己动手搞一套 二.思路: ...

  10. logrotate配置记录

    对于一些比较频繁又没有太大意义的log,可以设定出更严格的切割策略 see https://blog.csdn.net/liuxiao723846/article/details/100120058 ...