一、实验拓扑¶
二、实验说明¶
1、R2作为认证方,R1作为被认证方。
三、实验需求¶
1、R1可以通过远程登录到R2
2、远程登录认证方式为aaa
3、创建域名为HCIA-Datacom的域,并且绑定名为HCIA-Datacom认证方案和授权方案
四、实验配置¶
1、设备命名
在两台设备上分别配置系统名称,将设备命名为 R1 和 R2。
[Huawei]sysname R1
[Huawei]sysname R2
2、接口配置互联地址
在 R1 与 R2 的 GigabitEthernet0/0/1 接口上配置 IP 地址,用于两台设备之间的互联通信。
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.1 24
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 10.1.1.2 24
3、配置 AAA 方案
在 R2 上创建认证方案和授权方案。首先进入 AAA 视图,创建名为 HCIA-Datacom 的认证方案,并将认证方式设置为本地认证。
[R2]aaa
[R2-aaa]authentication-scheme HCIA-Datacom
[R2-aaa-authen-HCIA-Datacom]authentication-mode local
4、创建名为 HCIA-Datacom 的授权方案,并将授权方式设置为本地授权。
[R2-aaa]authorization-scheme HCIA-Datacom
[R2-aaa-author-HCIA-Datacom]authorization-mode local
5、创建域并在域下应用 AAA 方案
在 AAA 视图下创建域 HCIA-Datacom,并在该域中分别调用刚才创建的认证方案和授权方案。
[R2]aaa
[R2-aaa]domain HCIA-Datacom
[R2-aaa-domain-hcia-datacom]authentication-scheme HCIA-Datacom
[R2-aaa-domain-hcia-datacom]authorization-scheme HCIA-Datacom
6、配置本地用户
在 R2 的 AAA 视图下创建本地用户 HCIA-Datacom@HCIA-Datacom,设置权限级别为 3,并配置密码为 HCIA-Datacom,同时允许该用户使用 Telnet 登录。
[R2]aaa
[R2-aaa]local-user HCIA-Datacom@HCIA-Datacom privilege level 3 password cipher HCIA-Datacom
[R2-aaa]local-user HCIA-Datacom@HCIA-Datacom service-type telnet
注意:如果用户名中带有域名分隔符 “@”,则 @ 前面的部分为用户名,后面的部分为域名;如果用户名中没有 @,则整个字符串作为用户名,所属域为默认域。
开启 R2 上的 Telnet 功能:进入 VTY 线路视图,设置认证模式为 AAA。
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
7、结果测试
首先在 R1 上通过 Telnet 远程登录 R2。
<R1>telnet 10.1.1.2
Trying 10.1.1.2 ...
Press CTRL+K to abort
Connected to 10.1.1.2 ...
Login authentication
Username: HCIA-Datacom@HCIA-Datacom
Password:
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2021-10-06 18:39:38.
<R2>
然后在 R2 上查看当前登录用户信息。
[R2]display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 no
Username : Unspecified
34 VTY 0 00:02:29 TEL 10.1.1.1 pass no
Username : HCIA-Datacom@HCIA-Datacom