配置用户通过telnet登录设备的身份认证示例---AAA本地认证

• AAA本地认证
• 组网需求
• 华为交换机配置
  • 配置思路
  • 配置拓扑
  • 配置操作
  • 配置文件

AAA本地认证

AAA本地认证可以对用户身份进行认证，用户输入正确的用户名和密码可以成功登录设备。

• 优点：AAA本地认证将用户信息配置在设备上，不需要网络中部署其他认证服务器，速度快并且降低运营成本。
• 缺点：存储信息量受设备硬件条件限制。

组网需求

如下图所示，企业希望管理员能简单方便并且安全地远程管理设备，可以配置管理员通过telnet登录设备时：

1. 管理员输入正确的用户名和密码才能通过telnet登录设备。
2. 管理员通过telnet登录设备后，可以执行命令级别为0~3的所有命令行。
   

华为交换机配置

配置思路

1. 使能telnet服务。
2. 配置用户通过telnet登录的认证方式为AAA。
3. 配置AAA本地认证：创建本地用户、指定用户的接入类型为telnet、配置用户级别为15级。

配置拓扑

配置操作

1. LSW1配置接口和IP地址

sys
[Huawei]sysname HW1
[HW1]vlan batch 10
Info: This operation may take a few seconds. Please wait for a moment...done.
[HW1]int Vlanif 10
[HW1-Vlanif10]ip add 10.1.1.1 24
[HW1-Vlanif10]q
[HW1]int GigabitEthernet 0/0/1
[HW1-GigabitEthernet0/0/1]port link-type access 
[HW1-GigabitEthernet0/0/1]port default vlan 10
[HW1-GigabitEthernet0/0/1]q

2. 使能telnet服务器功能

[HW1]telnet server enable 
Info: The Telnet server has been enabled.

3. 配置vty用户界面的验证方式为AAA

[HW1]user-interface maximum-vty 15
[HW1-ui-vty0-14]authentication-mode aaa
[HW1-ui-vty0-14]protocol inbound telnet 
[HW1-ui-vty0-14]q

4. 配置AAA本地认证

[HW1]aaa
[HW1-aaa]local-user user1 password cipher qaz@123
[HW1-aaa]local-user user1 service-type telnet 
[HW1-aaa]local-user user1 privilege level 15
[HW1-aaa]q	

5. LSW2接口配置

sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname HW2
[HW2]vlan batch 10
[HW2]int Vlanif 10
[HW2-Vlanif10]ip add 10.1.1.2
[HW2-Vlanif10]q
[HW2]int GigabitEthernet 0/0/1
[HW2-GigabitEthernet0/0/1]port link-type access
[HW2-GigabitEthernet0/0/1]port default vlan 10
[HW2-GigabitEthernet0/0/1]q

6. 验证，LSW2 telnet LSW1

telnet 10.1.1.1
Trying 10.1.1.1 ...
Press CTRL+K to abort
Connected to 10.1.1.1 ...


Login authentication


Username:user1
Password:
Info: The max number of VTY users is 15, and the number
      of current VTY users on line is 1.
      The current login time is 2021-08-24 13:22:59.

配置文件

LSW1配置

[HW1]dis cu
#
sysname HW1
#
vlan batch 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
 local-user user1 password cipher [JD(UTW1T15NZPO3JBXBHA!!
 local-user user1 privilege level 15
 local-user user1 service-type telnet
#
interface Vlanif1
#
interface Vlanif10
 ip address 10.1.1.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
user-interface maximum-vty 15
user-interface con 0
user-interface vty 0 14
 authentication-mode aaa
#
return

LSW2配置

[HW2]dis cur
#
sysname HW2
#
vlan batch 10
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface Vlanif10
 ip address 10.1.1.2 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
return