背景知识:
1、配置 Console 用户界面的认证方式
通过 Console 口登录的用户直接受控于 Console 用户界面的用户认证方式,当前默认的用户认证方式为 AAA 认证。为保证 Console 口登录的安全,首次登录时必须修改 AAA 认证的登录密码。登录后,用户可以修改 Console 用户界面的用户认证方式。
2、Console 用户界面提供 AAA 认证、Password 认证和 None 认证方式。
AAA 认证:登录时需输入用户名和密码。设备根据配置的 AAA 用户名和密码验证用户输入的信息是否正确,如果正确,允许登录,否则拒绝登录。Password 认证:也称密码认证,登录时需输入正确的认证密码。如果用户输入的密码与设 备配置的认证密码相同,允许登录,否则拒绝登录。None 认证:也称不认证,登录时不需要输入任何认证信息,可直接登录设备。
须知:
如果配置认证方式为不认证时,任何用户不需要输入用户名和密码就会认证成功。因此,为保护设备或网络安全,建议不要使用 None 认证方式。无论何种验证方式,当用户登录设备失败时,系统会启动延时登录机制。首次登录失败后,延时 5 秒才可再次登录,后续登录失败次数每增加一次,延时时间增加 5 秒,即第 2 次登录失败延时 10 秒,第 3 次登录失败延时 15 秒。
AAA认证配置
AAA(Authentication, Authorization, Accounting)是一种安全框架,用于管理用户访问权限。它包括以下三个部分:
- 认证(Authentication):验证用户身份。
- 授权(Authorization):授予用户访问权限。
- 计费(Accounting):记录用户操作日志。
步骤1:配置本地用户
- 创建本地用户并设置密码:
[Huawei] local-user admin [Huawei-luser-admin] password cipher Admin@123 # 设置加密密码 [Huawei-luser-admin] service-type telnet ssh # 允许用户通过Telnet和SSH登录 [Huawei-luser-admin] level 15 # 设置用户权限级别(15为最高)
步骤2:配置AAA认证
- 启用AAA认证:
[Huawei] aaa [Huawei-aaa] local-user admin password cipher Admin@123 [Huawei-aaa] authentication-scheme default [Huawei-aaa-authen-default] authentication-mode local # 使用本地认证 [Huawei-aaa-authen-default] quit [Huawei-aaa] quit
步骤3:应用AAA认证
- 配置VTY用户界面应用AAA认证:
[Huawei] user-interface vty 0 4 [Huawei-ui-vty0-4] authentication-mode aaa # 应用AAA认证 [Huawei-ui-vty0-4] protocol inbound all # 允许所有协议(Telnet、SSH) [Huawei-ui-vty0-4] quit
2. 密码配置
密码配置是保护设备安全的重要措施,包括Console密码、Telnet密码等。
步骤1:配置Console密码
- 设置Console登录密码:
bash
[Huawei] user-interface console 0 [Huawei-ui-console0] authentication-mode password # 启用密码认证 [Huawei-ui-console0] set authentication password cipher Console@123 # 设置加密密码 [Huawei-ui-console0] quit
步骤2:配置Telnet密码
- 设置Telnet登录密码:
bash
[Huawei] user-interface vty 0 4 [Huawei-ui-vty0-4] authentication-mode password # 启用密码认证 [Huawei-ui-vty0-4] set authentication password cipher Telnet@123 # 设置加密密码 [Huawei-ui-vty0-4] quit
步骤3:配置特权模式密码
- 设置进入特权模式的密码:
bash
[Huawei] super password cipher Super@123 # 设置加密密码
3. 验证配置
- 测试Console登录:
- 使用Console线连接设备,输入密码
Console@123登录。
- 使用Console线连接设备,输入密码
- 测试Telnet登录:
- 在另一台设备上使用Telnet连接,输入密码
Telnet@123登录。
- 在另一台设备上使用Telnet连接,输入密码
- 测试AAA认证:
- 使用用户名
admin和密码Admin@123登录。
- 使用用户名
4. 注意事项
- 密码复杂度:建议使用包含大小写字母、数字和特殊字符的复杂密码。
- 备份配置:定期备份设备的配置文件,防止配置丢失。
- 日志记录:启用日志功能,记录用户登录和操作信息。
- 防火墙配置:限制Telnet和SSH端口的访问,防止未经授权的访问。
实验一:通过Console线使用密码认证方式登录路由器
1、放入PC和路由器
2、通过Console线连接PC和路由器
3、在PC上通过串口连接路由器
4、修改路由器名为zjm:[Huawei] sysname zjm
5、设置Console接口密码
[Router Password]user-interface console 0 //进入Console用户界面视图
[Router Password-ui-console0]authentication-mode password //设置认证方式为密码认证
[Router Password-ui-console0]set authentication password simple huawei //配置明文密码
[Router Password-ui-console0]user privilege level 级别 //配置用户级别,级别可为0-15
6.保存配置,重启交接机
7、重启后在PC上通过串口访问交接机,并通过你设置的密码进行登录
实验二:通过Console线使用AAA认证方式登录路由器
1、放入PC和路由器
2、通过Console线连接PC和路由器
3、在PC上通过串口连接路由器
4、修改路由器名为zjm:[Huawei]sysname zjm
5、设置Console接口密码
[Router-AAA]user-interface console 0 //进入Console用户界面视图
[Router-AAA -ui-console0]authentication-mode aaa //设置认证方式为AAA认证
[Router-AAA -ui-console0] use privilege level 15 /配置用户级别,级别15
[Router-AAA -ui-console0]aaa
[Router-AAA-aaa] local-user admin password cipher huawei //配置用户名admin明文密码huawei
[Router-AAA-aaa] local-user admin service-type terminal //配置服务类型为“Terminal”
6.保存配置,重启交接机
7、重启后在PC上通过串口访问交接机,并通过你设置的用户名密码进行登录
实验三:通过Telnet使用密码认证和AAA方式登录路由器
Password:
AAA:
验证:
实验四:通过Telnet使用密码认证和AAA方式登录交换机
LSW1:
<Huawei>sys
[Huawei]sys PASSWORD
[PASSWORD]vlan 10 //创建 vlan10
[PASSWORD-vlan10]int vlanif 10 //进入管理 vlan 10
[PASSWORD-Vlanif10]ip add 192.168.10.1 24 //配置管理 ip 地址
[PASSWORD-Vlanif10]int g 0/0/1 //进入端口
[PASSWORD-GigabitEthernet0/0/1]p l t //端口类型修改为 trunk
[PASSWORD-GigabitEthernet0/0/1]p t a v 10 //trunk 端口允许 vlan 10 通过
[PASSWORD-GigabitEthernet0/0/1]q
[PASSWORD]telnet server enable //打开 telnet 服务(一般默认开启)
[PASSWORD]user-interface vty 0 4 //用户指定虚拟用户终端接口
[PASSWORD-ui-vty0-4]authentication-mode password //配置用户终端接口认证方式 密码
验证
[PASSWORD-ui-vty0-4]set authentication password cipher huawei //设置接口验证密码,密码
为 huawei
[PASSWORD-ui-vty0-4]user privilege level 15 //设置用户优先级
[PASSWORD-ui-vty0-4]idle-timeout 5 //设置登陆超时五分钟 (可选)
[PASSWORD-ui-vty0-4]q
[PASSWORD]q
<PASSWORD>sa
LSW2:
<Huawei>sys
[Huawei]sys AAA
[AAA]vlan 10
[AAA-vlan10]int vlanif 10
[AAA-Vlanif10]ip add 192.168.10.2 24
[AAA-Vlanif10]q
[AAA]int g0/0/1
[AAA-GigabitEthernet0/0/1]p l t
[AAA-GigabitEthernet0/0/1]p t a v 10
[AAA-GigabitEthernet0/0/1]q
[AAA]telnet server en
[AAA]user-interface vty 0 4
[AAA-ui-vty0-4]authentication-mode aaa //配置用户终端接口认证方式 AAA 验证
[AAA-ui-vty0-4]user privilege level 15
[AAA-ui-vty0-4]idle-timeout 5
[AAA-ui-vty0-4]q
[AAA]aaa
[AAA-aaa]local-user admin password cipher huawei //配置用户名:admin 密码为 huawei
[AAA-aaa]local-user admin privilege level 15 //配置用户优先级
[AAA-aaa]local-user admin service-type telnet //授权用户 admin 使用 telnet
[AAA-aaa]q
[AAA]q
<AAA>sa
验证:
