正篇

命令概览

设备超时计数器:`

m代表分钟 s代表秒钟

1
idle-timeout m s

设置AAA认证

AAA认证作为华为安全体系中高安全级别的存在,本身就存在了多项功能,如下所示

  • 认证:认证账号密码
  • 授权:用于给与对应用户指定的权限
  • 计费:用于记录用户在机器内的操作

这些都是在企业中必备的,因此,这里就教大家怎么配置AAA权限

首先,我们需要从初始化页面进入系统页面,再进入用户接口下console空的管理模式,注意0代表着console的位置,有的机器可能不止一个console

1
2
3
system-view
user-interface console 0
aaa

接着,我们就可以设置这个console空对应的账户信息和密码了

设置账号密码

这里设置的是用户名为hcie 使用加密显示密码的方式,密码为123456

1
local-user hcie password cipher  123456

这样就完成了密码的设置

但是,光是设置玩密码还不行,还需要授权服务,才能远程连接等功能(注意,这里有个巨大的误区,请向下看)

##授权用户指定的服务

这里的意思是给hcie用户分配terminal权限,这样,这个用户就可以走终端过来了

1
local-user hcie service-type terminal

具体的服务如下

1
2
3
4
5
6
7
8
9
10
11
12
8021x     802.1x user
bind      Bind authentication user
ftp       FTP user
http      Http user
l2tp      L2tp user
ppp       PPP user
ssh       SSH user
sslvpn    Sslvpn user
telnet    Telnet  user
terminal  Terminal user
web       Web authentication user
x25-pad   X25-pad user

接着,我们要给我们的账号设置权限级别

设置权限级别

这里的意思是给hcie用户分配权限等级为3,权限级别如下(注意,权限是覆盖分布,比如权限2默认就支持1``0

权限等级 简介
0 访问权限,只能连接,其他啥都干不了
1 监控权限,能看到部分信息
2 配置权限,能配置很多,但是还是不能执行重启等高危操作
3-15 管理权限,啥都能干

privilege代表为权限修改 level 3代表3级权限

1
local-user hcie privilege level 3

至此,我们就新建了一个AAA账号权限,我们就可以实现AAA账号认证并登陆了。

当然,还提供了更多高级操作。如下所示

设置用户启动状态

block代表关闭,hcie代表用户,默认为开,要是要回收权限或者临时关闭就可以输入下面命令关了

1
local-user hcie state block

Telnet远程连接

本地连接肯定不够,我们肯定是要使用远程连接的,因此,我们需要按照下面的步骤来

进入到vty管理模式

这个命令第一个都是一样的,第二个需要注意,要从console模式改为vty模式,后面的数字是指的是从0开始到4号接口(最好都开,防止你连不进去)

1
2
system-view
user-interface vty 0 4

设置该区域为AAA权限模式

我们之前设置过password模式。这里需要注意,我们需要对vty接口设置为AAA模式,我们的设置才会有效,否则默认是NONE模式。

同时,假如说我们已经设置了password模式,那么当我们开启AAA模式的时候,会自动使用AAA模式,在使用AAA模式后,权限也会被接管,password模式就会被关闭

进入AAA模式

注意,AAA模式需要单独进入,进入后,才能配置用户和密码,具体命令如下

1
aaa

添加用户

添加用户就和上面完全一样了,但是还是要注意,要从vty模糊进入到AAA模式,再设置用户,不然你会给console口授权而没有个虚拟口授权

1
local-user hcie password cipher  123456

设置服务与权限

这里就和上面大同小异了,不同的是要给telnet用户,具体就可以看上面的表,关于管理权限,就得看你自己的需求了(0 1 2 3)

1
2
3
4
# 设置该用户服务为telnet
local-user hcie service-type telnet
# 设置该用户服务权限级别为3
local-user hcie privilege level 3

限制用户登录数量(一般用于远程登录等环境)

access-limit代表限制登录数量,console可能展示不出来,使用telnet就能看出来了,代表该用户最多可以同时访问的数量

1
local-user hcie access-limit 10

到这里,就全部设置完成了,现在,就可以享受自由连接的快感了,当然,如果你需要自由的链接,还是需要你配置好接口IP的。

计费相关和其他相关

计费要redis来做,现在做不了

AAA模式优先级大于密码,因此如果你先开了password模式,然后开了AAA模式,这个时候就会使用AAA覆盖

如果我们需要确定下我们目前Router开启的端口,就可以使用下面这个命令查看

查看当前设备开放的TCP端口

1
display tcp status

开启当前设备telnet

如果我们发现,我们没有开启telnet的端口和服务,可以用这个命令去打开

1
telnet server enable

进入远程终端接入,0代表开始ID 4代表结束ID,中间这一段一起配置

1
user-interface vty 0 4

设备超时计数器 m代表分钟 s代表秒钟

```
idle-timeout m s