今天在這里所提到的AAA，不是指的美國的"AAA"電池,也不是指的什么“AAA”風(fēng)景勝地，而這里指的是計(jì)算機(jī)安全領(lǐng)域的協(xié)議。AAA指：鑒權(quán)，授權(quán)，計(jì)費(fèi)（Authentication, Authorization, Accounting），PS:可能在每個(gè)地方的翻譯不一樣，但是就是指的同一個(gè)技術(shù)。 更多關(guān)于"AAA"名詞，請(qǐng)看http://zh.wikipedia.org/wiki/AAA 如何在網(wǎng)絡(luò)中，使用AAA協(xié)議來提高網(wǎng)路的安全性，今天就談?wù)劇罢J(rèn)證“的作用。當(dāng)有位大蝦，試圖通過console線纜來登錄路由器或者交換機(jī)，我們?cè)趺幢ＷC該用戶登錄的是安全的，它是合法的管理員，而不是***者，有的人說，只需要設(shè)置Console接口登錄密碼，以及特權(quán)模式密碼。如果這位大蝦，要通過網(wǎng)絡(luò)訪問,如（SSH,Telnet）,還需要設(shè)置遠(yuǎn)程登錄的密碼。這樣一來，這位大蝦本地，和遠(yuǎn)程管理和調(diào)試網(wǎng)絡(luò)設(shè)備，需要記憶多個(gè)密碼。而且你這個(gè)密碼不一定是安全的。 那為什么要使用AAA，而不是只配置一個(gè)密碼解決問題了。使用AAA的好處是什么？ 1，配置簡單，管理方便 2，安全性高，用戶名和密碼等，可以通過加密之后在網(wǎng)絡(luò)中傳輸，防止嗅探和欺騙 3，用戶記憶少，操作靈活，AAA可以與其他的技術(shù)綜合使用,如PPP認(rèn)證由AAA完成等 而配置密碼，只是一個(gè)單一的安全性。 如何在Cisco設(shè)備上來配置AAA的認(rèn)證? 實(shí)驗(yàn)設(shè)備: cisco 3640路由器1臺(tái)，PC一臺(tái)，Console線纜一根，交叉線一根 實(shí)驗(yàn)拓?fù)?#xff1a; 實(shí)驗(yàn)過程： 第一步：通過console線纜，使用超級(jí)終端或者SecureCRT登錄路由器，完成基本配置，同時(shí)將交叉線連接到路由器E1/0,t在PC的接口上配置IP為192.168.10.1，掩碼255.255.255.0 Router>enable
Router#conf t
Enter configuration commands, one per line.? End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#line console 0
Router(config-line)#no exec-t
Router(config-line)#logg syn
3640(config)#host R3640
R3640(config)#int e1/0
R3640(config-if)#ip add 192.168.10.3 255.255.255.0
R3640(config-if)#no sh
R3640(config-if)#end
*Mar? 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console
R3640#ping 192.168
*Mar? 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up
*Mar? 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up
R3640#ping 192.168.10.1 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms 第二步：啟用AAA，并配置登錄驗(yàn)證為local R3640#conf t
Enter configuration commands, one per line.? End with CNTL/Z.
R3640(config)#aaa ????
? new-model? Enable NEW access control commands and functions.(Disables OLD
???????????? commands.) R3640(config)#aaa new-model 全局啟用AAA功能
R3640(config)#aaa authentication login ??當(dāng)用戶登錄時(shí)啟用AAA認(rèn)證功能，并且定義認(rèn)證時(shí)調(diào)用的名字是默認(rèn)的”default”,還是自己隨便定義1個(gè)
? WORD???? Named authentication list.
? default? The default authentication list. R3640(config)#aaa authentication login default ? 指定用哪種認(rèn)證方式
? enable?????? Use enable password for authentication. 使用特權(quán)密碼
? group??????? Use Server-group 使用Radius或者Tacacs+協(xié)議
? krb5???????? Use Kerberos 5 authentication. 使用Kerberos
? krb5-telnet? Allow logins only if already authenticated via Kerberos V
???????????????? Telnet.
? line???????? Use line password for authentication. 使用線路認(rèn)證方式
? local??????? Use local username authentication.? 使用本地認(rèn)證方式，需配置用戶名和密碼
? local-case?? Use case-sensitive local username authentication.
? none???????? NO authentication. 不做認(rèn)證 配置當(dāng)用戶登錄設(shè)備時(shí)，使用aaa本地登錄認(rèn)證方式，認(rèn)證調(diào)用的名字為default,認(rèn)證方式為local R3640(config)#aaa authentication login default local 配置本地登錄時(shí)，使用的用戶名和密碼。密碼我配置的為經(jīng)過MD5加密的secret密碼。安全性高，在show running-config顯示的是密文的。不建議配置明文的用戶名和密碼如（R3640(config)#username admin password admin） 密碼建議配置復(fù)雜一點(diǎn)，要有大小寫，特殊字符，和數(shù)字，長度大于8位以上。如:P@ssw0rd
R3640(config)#username nousername secret nopassword 第三步：啟用認(rèn)證調(diào)試，觀察debug 現(xiàn)象 R3640#debug aaa authentication
AAA Authentication debugging is on
R3640# 第四步：如圖1所示，在PC上使用telnet，遠(yuǎn)程登錄路由器 第五步：如圖2所示，輸入剛才再配置，登錄的用戶名nousername 和密碼nopassword。輸入的密碼是不會(huì)顯示的，不然怎么叫密碼了，登錄成功之后，在當(dāng)前路由器的用戶模式。說明我們已經(jīng)完成了aaa的認(rèn)證功能，并沒有配置VTY的密碼，而是使用aaa完成的認(rèn)證 第六步：如圖3所示，輸入enable，嘗試進(jìn)入特權(quán)模式，路由器提示如下認(rèn)證錯(cuò)誤。為什么了？ 第七步：當(dāng)輸入enable,嘗試登錄時(shí)，查看路由器的上的debug現(xiàn)象 R3640#
*Mar? 1 00:38:49.347: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar? 1 00:38:49.347: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar? 1 00:38:49.347: AAA/MEMORY: create_user (0x637810BC) user='nousername'（登錄的用戶名和密碼） ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1'（PC IP地址） authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): port='tty130' list='' action=LOGIN service=ENABLE? 輸入enable?????????????????????????????????????????????????? （沒有enable密碼）
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): non-console enable - default to enable password
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): Method=ENABLE
R3640#
*Mar? 1 00:38:49.351: AAA/AUTHEN(509980843): can't find any passwords 沒有發(fā)現(xiàn)enable 密碼
*Mar? 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR （認(rèn)證狀態(tài)發(fā)生錯(cuò)誤）
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): no methods left to try
*Mar? 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR
*Mar? 1 00:38:49.351: AAA/AUTHEN/START (509980843): failed to authenticate 認(rèn)證失敗，原因是沒有配置enable密碼
*Mar? 1 00:38:49.355: AAA/MEMORY: free_user (0x637810BC) user='nousername' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640# 第七步：如果要想遠(yuǎn)程登錄能進(jìn)入到特權(quán)模式，完成配置，還需要在路由器上配置enable 密碼。如果希望讓某個(gè)大蝦，只活動(dòng)用戶模式下，那暫且可以不配，但是沒有enable那不是不科學(xué)的，不敢保證，永遠(yuǎn)也不需要遠(yuǎn)程調(diào)試路由器，如果需要調(diào)試，那肯定就需要enable密碼才可以進(jìn)入，如圖4所示， 第八步：如圖5所示，輸入剛配置的enable secret密碼，可以登錄到特權(quán)模式。 思考上圖中為什么出現(xiàn)以下錯(cuò)誤提示： R3640>enable
Password:
% Access denied R3640>enable
Password:
% Password:? timeout expired!
% Error in authentication. 輸入enable密碼，進(jìn)入特權(quán)模式時(shí)，authentication debug 消息 *Mar? 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
*Mar? 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar? 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar? 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user='nousername' ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Mar? 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port='tty130' list='' action=LOGIN service=ENABLE
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE
R3640#
*Mar? 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS? 認(rèn)證通過
R3640#
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user='(undef)')
*Mar? 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE
*Mar? 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS
*Mar? 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640# 第九步：剛才我們驗(yàn)證的是遠(yuǎn)程登錄，再來驗(yàn)證一下，本地登錄認(rèn)證這種方式，從console接口能否登陸，如圖6所示：提示需要，用戶名和密碼 第十步：輸入正確的用戶名和密碼 *Mar? 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
*Mar? 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar? 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar? 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user='nousername' ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Mar? 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port='tty130' list='' action=LOGIN service=ENABLE
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password
*Mar? 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE
R3640#
*Mar? 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS
R3640#
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user='(undef)')
*Mar? 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS
*Mar? 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE
*Mar? 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS
*Mar? 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) 進(jìn)入特權(quán)模式之后，用戶的級(jí)別是在15，思考，在用戶模式級(jí)別是多少？通過什么命令可以查看到你當(dāng)前所處的模式，是那個(gè)級(jí)別？
總結(jié)： 本地登錄認(rèn)證配置有兩種方法： 第一種：如圖7所示 第二種：如圖8所示 第二種配置方式，認(rèn)證調(diào)用的名字是自定義的，那就需要在console和VTY接口下，調(diào)用才可以。第一種配置在命令上會(huì)少一些，如果配置登錄認(rèn)證名字為默認(rèn)“default”，是不需要在VTY和Console，再次調(diào)用一下，因?yàn)樵趫?zhí)行認(rèn)證就會(huì)去查詢本地名稱default，如果配置認(rèn)證是名字為自定義的，如”hackerjx“，就必須到VTY和Console執(zhí)行調(diào)用才可以認(rèn)證通過。不然這個(gè)配置，當(dāng)從console登錄根本就沒有對(duì)console做安全認(rèn)證。 但是這兩配置AAA本地的認(rèn)證方法，沒有必要同時(shí)在一臺(tái)設(shè)備上配置，大家可以根據(jù)自己的情況來配置。

轉(zhuǎn)載于:https://blog.51cto.com/hackerjx/221407

總結(jié)

以上是生活随笔為你收集整理的AAA-本地认证篇的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。