HCIA-AAA原理与配置

前言：本博客仅作记录学习使用，部分图片出自网络，如有侵犯您的权益，请联系删除

​

本篇笔记是根据B站上的视频教程整理而成，感谢UP主的精彩讲解！如果需要了解更多细节，可以参考以下视频：

https://www.bilibili.com/video/BV1rdT6zQEMg/?spm_id_from=333.788.videopod.episodes&vd_source=e539f90574cdb0bc2bc30a8b5cb3fc00&p=6https://www.bilibili.com/video/BV1rdT6zQEMg/?spm_id_from=333.788.videopod.episodes&vd_source=e539f90574cdb0bc2bc30a8b5cb3fc00&p=6https://www.bilibili.com/video/BV1rdT6zQEMg/?spm_id_from=333.788.videopod.episodes&vd_source=e539f90574cdb0bc2bc30a8b5cb3fc00&p=6https://www.bilibili.com/video/BV1rdT6zQEMg/?spm_id_from=333.788.videopod.episodes&vd_source=e539f90574cdb0bc2bc30a8b5cb3fc00&p=6https://www.bilibili.com/video/BV1rdT6zQEMg/?spm_id_from=333.788.videopod.episodes&vd_source=e539f90574cdb0bc2bc30a8b5cb3fc00&p=6https://www.bilibili.com/video/BV1rdT6zQEMg/?spm_id_from=333.788.videopod.episodes&vd_source=e539f90574cdb0bc2bc30a8b5cb3fc00&p=6

---

一、AAA概述

1、AAA基本概念

AAA，即++Authentication（认证） 、Authorization（授权）和Accounting（计费）++，是网络安全管理的关键机制

2、AAA常见架构

AAA常见网络架构中包括++用户、NAS（Network Access Server）、AAA服务器（AAA Server）++

3、认证（Authentication）

AAA支持的认证方式有：不认证、本地认证、远端认证

4、授权（Authentication）

AAA支持的授权方式有：不授权、本地授权、远端授权 授权信息包括：所属用户组、所属VLAN、ACL编号等

5、计费（Accouting）

计费功能用于监控授权用户的网络行为和网络资源的使用情况，其方式有：不计费和远端计费

6、AAA实现协议-RADIUS

7、AAA常见应用场景

二、AAA配置与实现

1、AAA配置命令

 --进入AAA视图
 [Huawei]aaa
 --创建认证方案
     --创建认证方案并进入相应的认证方案视图
     [Huawei-aaa]authentication-scheme /authentication-scheme-name
     --配置认证方式，默认为本地认证
     [Huawei-aaa-authentication-scheme-name]authentication-mode { hwtacacs | local | radius}
     
 --创建domain并绑定认证方案
     --创建domain并进入相应domain视图
     [Huawei-aaa]domain /domain-name
     --在相应domain视图下绑定认证方案
     [Huawei-aaa-domain-name]authentication-scheme /authentication-scheme-name
     
 --创建用户
 [Huawei-aaa]local-user /user-name password cipher /password
 ​
 --配置用户接入类型
 [Huawei-aaa]local-user user-name service-type {{terminal|telnet|ftp|ssh|snmp|http}|ppp|none}
 ​
 --配置用户级别
 [Huawei-aaa]local-user /user-name privilege level /level

2、配置案例

在设备R1上配置用户密码和级别，使主机A可以通过配置的用户名和密码远程登录到涉笔

 [R1]aaa
 [R1-aaa]local-user huawei password cipher huawei123
 [R1-aaa]local-user huawei service-type telnet
 [R1-aaa]local-user huawei privilege level 0
 [R1]user-interface vty 0 4
 [R1-ui-vty0-4]authentication-mode aaa
 ​
 --配置验证
 [R1]display domain name default_admin
 Domain-name:                            default_domain          
 Domain-state:                           Active
 Authentication-scheme-name:             default
 Accounting-sheme-name:                  default
 Authorization-scheme-name:              -
 Service-scheme-name:-
 RADIUS-server-template:                 -
 HWTACACS-server-template:               -
 User-group:                             -
 ​
 --用户正常登录并下线后可以看到用户的记录信息
 [R1]display aaa offline-record all
 -------------------------------------------------
 User name:                              huawei
 Domain name:                            default_domain
 User MAC: 00e0-fc12-3456
 User access type:                       telnet
 User IP address:                        10.1.1.2
 User ID:                                1
 User login time:                        2025/6/1 17:00:00
 User offline time:                      2025/6/1 17:00:20
 User offline reason:                    user request to offline

三、总结

AAA技术旨在增强企业网络的安全性，通过以下方式防止未授权访问和监控用户行为：

• 认证(Authentication)：确保只有合法用户才能获得网络访问权限。
• 授权(Authorization)：决定用户可以访问哪些资源和服务。
• 计费(Accounting)：记录用户对网络资源的使用情况，用于审计和计费。

AAA既可以在本地实现，也可以通过远端服务器进行管理。实现AAA的协议有多种，其中最常用的是RADIUS协议。