功能简介：

AAA：AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。

AAA以模块方式提供以下服务：

认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议（仅适用于S1908+）或Local（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。

授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

记账（仅适用于S1908+）：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。

尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用户名身份认证等。不同之处在于它们提供对网络保护程度不一样，AAA提供更高级别的安全保护。

 

一、组网需求

1、为了便于管理交换机，客户要求WEB登入交换机的用户名和密码从radius服务器上取，如果radius服务器无响应，那么从本地取用户名和密码。

2、通过了AAA认证的WEB登录用户，其权限是user级别，如果用户需要获取admin的权限，则需要再输入enable admin的密码，该密码从本地获取验证。

 

注意： Radius服务器设置账号：用户名 ruijie，密码  ruijie

       交换机设置特权密码： ruijie

       交换机创建user级别账号：用户名1，密码1

 

二、组网拓扑

 

三、配置要点

 1、交换机配置radius服务器及key等相关参数

 2、开启AAA功能

 3、创建并配置login认证方法列表

 4、设置特权密码

 5、将HTTP应用与创建的login认证方法列表关联

 6、交换机本地设置user级别的HTTP用户账号

 

四、配置步骤  

交换机的配置如下：

1、在交换机上创建Radius服务器，并设置相关参数

使用Web进行配置：

步骤1：单击“安全”>“RADIUS”>“RADIUS服务器设置”；

步骤2：从下拉菜单中选择序号；

步骤3：输入IPv4地址；

步骤4：输入密钥并进行确认；

步骤5：单击“应用”执行操作。

使用CLI进行配置：

RG-S1908+:15#config radius add 1 192.168.1.111 key 123456 default------>添加radius服务器，地址为192.168.1.111，交换机和radius服务器之间的密钥为123456，认证UDP端口号为1812，超时时间为5秒，重新传输值为2。

Command: config radius add 1 192.168.1.111 key 123456 default

 

Success.

 

2、全局启用AAA

使用Web进行配置：

步骤1：单击“安全”>“AAA”>“AAA设置”；

步骤2：从下拉菜单中选择AAA状态；

步骤3：单击“应用”执行操作。

使用CLI进行配置：

RG-S1908+:15#enable authen_policy------>全局启用AAA。

Command: enable authen_policy

 

Success.

 

3、创建login方法列表，并设置认证首选方法为Radius认证，第二方法为交换机本地认证

使用Web进行配置：

步骤1：单击“安全”>“AAA”>“Login方法列表设置”；

步骤2：输入方法列表名称；

步骤3：从下拉菜单中选择优先级。

步骤4：单击“应用”执行操作。

使用CLI进行配置：

RG-S1908+:15#create authen_login method_list_name ruijie------>创建一个名为“ruijie”的用户定义Login方法列表。

Command: create authen_login method_list_name ruijie

 

Success.

 

RG-S1908+:15#config authen_login method_list_name ruijie method radius local ------>配置Login方法列表“ruijie”的首选认证方法为“radius”，次选认证方法为交换机本地认证。

Command: config authen_login method_list_name ruijie method radius local

Success.

 

4、设置特权密码（ruijie），用于认证需要获取admin权限的用户

步骤1：单击“安全”>“AAA”>“本地特权密码设置”；

步骤2：输入并确认本地特权密码；

步骤3：单击“应用”执行操作。

使用CLI进行配置：

RG-S1908+:15#config admin local_enable ------>配置管理员的本地启用密码。

Command: config admin local_enable

 

Enter the old password:****** ------>输入旧的密码。

Enter the case-sensitive new password:****** ------>输入新密码，注意区分大小写。

Enter the new password again for confirmation:****** ------>再次输入新密码。

Success.

 

5、配置HTTTP用户的认证所采用的认证方法列表为步骤3中创建的ruijie方法列表

步骤1：单击“安全”>“AAA”>“应用认证设置”；

步骤2：从下拉菜单中选择相应的方法列表。

步骤3：单击“应用”执行操作。

使用CLI进行配置：

config authen application http login method_list_name ruijie ------>配置HTTTP用户采用“ruijie”认证方法列表。

 

6、交换机本地设置user级别的HTTP用户账号

步骤1：单击“系统配置”>“用户权限设置”；

步骤2：输入用户名称；

步骤3：输入并确认密码；

步骤4：从下拉菜单中访问权限。

步骤5：单击“应用”执行操作。

使用CLI进行配置：

RG-S1908+:15#create web_account user 1 ------>创建Web帐号，用户名为1，访问权限为“user”。

Command: create web_account user 1

 

Enter a case-sensitive new password:* ------>为创建的用户输入密码，注意区分大小写。

Enter the new password again for confirmation:* ------>再次输入密码。

Success.

 

Radius服务器的配置如下：

这里radius服务器使用WinRadius，配置如下：

1、在“设置”>“多重密钥”页面，添加交换机的IP、key值

2、在“操作”>“添加账号”页面，创建登入交换机的用户名和密码，这里输入的用户名是ruijie，密码是ruijie

五、功能验证

1、在PC的WEB流量器上输入URL“http://192.168.1.200”尝试登陆交换机

尝试通过账号“admin/admin”登陆交换机，确认登陆失败，查看交换机log。

单击“系统配置”>“系统日志配置”>“系统日志”，可在右栏查询相关信息。

2、重新输入在radius服务器上创建的账号“ruijie/ruijie”确认登陆成功

单击“系统配置”>“系统日志配置”>“系统日志”，可在右栏查询相关信息。

3、确认登陆后的权限为user级别，提升用户权限为admin

步骤1：单击“安全”>“AAA” >“Enable Admin”；

步骤2：单击“Enable Admin”按钮；

步骤3：在弹出的界面中输入密码；

步骤4：单击“登录”按钮，进入Web管理系统。

4、再次登陆交换机后确认操作权限为admin级别

单击“安全”>“AAA”>“Enable Admin”，可在右栏查询相关信息。

查看交换机log：

单击“系统配置”>“系统日志配置”>“系统日志”，可在右栏查询相关信息。