远程登录VRP系统---password和aaa

admin管理员组

文章数量:1130349

本质上是对VRP系统（华为设备操作系统）进行操作
两种方式：命令行（一看就很专业），web（太low，让人感觉不专业）

对命令行操作分为两类：console线直连，vty虚拟类型终端
vty因为是虚拟的，所以我们需要用 Telnet 或 ssh 等协议连接它才能使用

这里我们先看一下，VTY和AAA的区别，他俩有啥联系

核心区别：

• VTY (Virtual Terminal Line)： 是设备上的一个功能或接口（逻辑接口）。它提供了一种远程访问和管理设备的方式（通常通过Telnet或SSH）。你可以把它想象成设备对外开放的“虚拟门”或“虚拟控制台端口”，允许多个管理员或用户同时通过网线（而不是控制台线）远程登录进来进行操作。

• AAA (Authentication, Authorization, and Accounting)： 是一套安全框架或机制。它定义了设备如何验证用户身份（Authentication）、授权用户权限（Authorization）、以及记录用户操作（Accounting）。AAA解决的是“谁可以登录？”、“登录后能做什么？”、“做了什么？”的问题。

详细解析：

1. VTY (虚拟终端线) - “接入的通道”

   • 功能： 提供远程命令行访问。

   • 本质： 设备操作系统中的一个逻辑接口或服务。

   • 配置内容：

     • 数量限制 (user-interface vty 0 X): 指定设备最多支持多少个并发远程连接，交换机默认为5个。

     • 支持的协议 (protocol inbound telnet/ssh/all): 指定允许哪种远程访问协议（Telnet、SSH或两者）。

     • 认证方式 (authentication-mode ...): 这是VTY和AAA的关键结合点。 VTY本身需要配置一种认证方式来验证尝试登录的用户。这里可以选择：

       • password： 直接在VTY配置下设置一个简单的明文或加密密码。所有用户共享这个密码。

       • aaa： 这是最常见的方式。 它告诉VTY：“不要自己处理密码验证和权限检查，去交给AAA模块处理”。

   • 目的： 启用和管理远程访问会话本身。

   • 类比： 公司大楼的入口通道。VTY定义了有多少个门（vty 0 X），这些门是开着的（协议启用）还是关着的（协议禁用），以及门卫初步如何处理访客（认证模式）。

2. AAA (认证、授权、计费) - “安全管家”

   • 功能： 提供集中的、可扩展的用户管理和安全策略实施。

   • 本质： 一套安全服务模块。

   • 配置内容 (当VTY配置authentication-mode aaa后启用)：

     • 认证 (Authentication - “你是谁？”): 验证用户身份（用户名和密码）。这通常通过配置本地用户数据库（local-user ...）或连接外部认证服务器（如RADIUS/TACACS+）来实现。

     • 授权 (Authorization - “你能做什么？”): 定义用户登录成功后拥有的命令级别和操作权限（如只能看配置，不能修改；或者只能执行特定命令）。

     • 计费 (Accounting - “你做了什么？”): （可选）记录用户的登录/登出时间、执行的命令等信息，用于审计。

   • 目的： 实施精细化的用户访问控制和审计。

   • 与VTY的关系： AAA不是访问通道本身。当VTY配置了authentication-mode aaa后，任何试图通过VTY登录的用户都会被VTY“转交”给AAA模块进行详细的认证和授权检查。AAA决定了用户能否登录以及登录后能做什么。

   • 类比： 公司的前台接待系统或门禁系统。当访客（用户）走到门口（VTY）时，门卫（VTY配置的认证模式）会把他们引导到前台（AAA）。前台（AAA）会仔细核对访客身份（认证），根据访客的身份确定他们能去哪些楼层或办公室（授权），并可能记录访客的进出时间和访问区域（计费）。

总结与关键点：

• VTY提供接入通道；AAA提供接入控制和权限管理。

• 它们是协作关系，而非替代关系。 没有VTY提供远程访问就不可能发生；没有AAA，VTY的访问就没有安全性保障。

• VTY的authentication-mode aaa配置是两者连接的关键桥梁。 这个配置使得VTY将用户的认证和授权请求委托给功能更强大的AAA模块处理。

• AAA的作用范围更广。 它不仅服务于VTY登录的用户，通常也服务于Console登录的用户（物理控制台）以及其他需要认证的服务（如PPP拨号、管理员权限提升等）。

• 简单 vs 复杂： 直接在VTY下配置password认证是最简单的方式，但安全性低、管理不便（所有用户共享同一密码）。使用aaa认证则提供了更强的安全性（独立用户名/密码）、更精细的权限控制（授权）和审计追踪（计费）能力，适用于需要多人管理和高安全性的环境。

拓普图如下：

console线直连：

aaa配置：

//第一台设备（此处用两个路由器进行演示）
[Huawei]sysname R1    //设置设备名称

[R1]int g0/0/0    //进入g0/0/0接口视图下

[R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24    //配一个ip

[R1-GigabitEthernet0/0/0]aaa    //进入aaa，aaa：认证授权计费 是一种网络访问控制的安全管理框架，提供认证、授权和计费三种安全服务

[R1-aaa]local-user chai password cipher 1234    //创建一个名字为chai的用户，密码为1234

[R1-aaa]local-user chai privilege level 15    //给用户一个权限 0参观级  1巡检级  2配置级  3-15超级管理员（一般企业都是会有一个巡检账号和一个超级管理员账号，一般这俩账号就够用了，谁用谁登账号操作）

[R1-aaa]local-user chai service-type telnet    //该账户可以通过那种服务类型去进行管理，默认是telnet服务管理设备

[R1]telnet server enable    //远程启动thlnet服务，默认是启动状态，为了保险还是手动启动下

[R1]user-interface vty 0 4    //开启(进入)vty(虚拟类型终端，相当于一个进程)，当前是开5个进程，最多可以有5个人通过vty终端管理同时我的设备

[R1-ui-vty0-4]authentication-mode aaa    //认证方式：在aaa下验证，因为用户配置在aaa下

[R1-ui-vty0-4]protocol inbound telnet    //通过telnet协议连接到vty上

//第二台设备
[Huawei]sysname R2    //设置设备名称

[R2]int g0/0/0     //进入g0/0/0接口视图下  

[R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24    //配一个ip

<R2>telnet 12.1.1.1    //使用telnet协议访问第一台设备
  Press CTRL_] to quit telnet mode
  Trying 12.1.1.1 ...
  Connected to 12.1.1.1 ...

Login authentication

Username:chai
Password:
<R1>    //按提示输入账号密码，进入第一台设备，能看见第一台设备的名称，这就是远程连接成功了

password配置：

//第一台设备
[R1]telnet server enable    //远程启动thlnet服务

[R1]user-interface vty 0 4    //开启(进入)vty(虚拟类型终端，相当于一个进程)	，当前是开5个进程，最多可以有5个人通过vty终端管理同时我的设备

[R1-ui-vty0-4]authentication-mode password    //认证方式：在password下验证

[R1-ui-vty0-4]user privilege level 15    //给用户一个权限 0参观级  1巡检级  2配置级  3-15超级管理员

[R1-ui-vty0-4]protocol inbound telnet    //通过telnet协议连接到vty上


//第二台设备
<R2>telnet 12.1.1.1    //使用telnet协议连接第一台设备
  Press CTRL_] to quit telnet mode
  Trying 12.1.1.1 ...
  Connected to 12.1.1.1 ...

Login authentication


Password:
<R1>    //到这里，远程连接就成功了

这里只是用Telnet举个例子，由于Telnet在数据传输过程中容易被截获，安全性较低，一般公司都用的SSH,如果是内网的话可以使用Telnet。

本质上是对VRP系统（华为设备操作系统）进行操作
两种方式：命令行（一看就很专业），web（太low，让人感觉不专业）

对命令行操作分为两类：console线直连，vty虚拟类型终端
vty因为是虚拟的，所以我们需要用 Telnet 或 ssh 等协议连接它才能使用

这里我们先看一下，VTY和AAA的区别，他俩有啥联系

核心区别：

• VTY (Virtual Terminal Line)： 是设备上的一个功能或接口（逻辑接口）。它提供了一种远程访问和管理设备的方式（通常通过Telnet或SSH）。你可以把它想象成设备对外开放的“虚拟门”或“虚拟控制台端口”，允许多个管理员或用户同时通过网线（而不是控制台线）远程登录进来进行操作。

• AAA (Authentication, Authorization, and Accounting)： 是一套安全框架或机制。它定义了设备如何验证用户身份（Authentication）、授权用户权限（Authorization）、以及记录用户操作（Accounting）。AAA解决的是“谁可以登录？”、“登录后能做什么？”、“做了什么？”的问题。

详细解析：

1. VTY (虚拟终端线) - “接入的通道”

   • 功能： 提供远程命令行访问。

   • 本质： 设备操作系统中的一个逻辑接口或服务。

   • 配置内容：

     • 数量限制 (user-interface vty 0 X): 指定设备最多支持多少个并发远程连接，交换机默认为5个。

     • 支持的协议 (protocol inbound telnet/ssh/all): 指定允许哪种远程访问协议（Telnet、SSH或两者）。

     • 认证方式 (authentication-mode ...): 这是VTY和AAA的关键结合点。 VTY本身需要配置一种认证方式来验证尝试登录的用户。这里可以选择：

       • password： 直接在VTY配置下设置一个简单的明文或加密密码。所有用户共享这个密码。

       • aaa： 这是最常见的方式。 它告诉VTY：“不要自己处理密码验证和权限检查，去交给AAA模块处理”。

   • 目的： 启用和管理远程访问会话本身。

   • 类比： 公司大楼的入口通道。VTY定义了有多少个门（vty 0 X），这些门是开着的（协议启用）还是关着的（协议禁用），以及门卫初步如何处理访客（认证模式）。

2. AAA (认证、授权、计费) - “安全管家”

   • 功能： 提供集中的、可扩展的用户管理和安全策略实施。

   • 本质： 一套安全服务模块。

   • 配置内容 (当VTY配置authentication-mode aaa后启用)：

     • 认证 (Authentication - “你是谁？”): 验证用户身份（用户名和密码）。这通常通过配置本地用户数据库（local-user ...）或连接外部认证服务器（如RADIUS/TACACS+）来实现。

     • 授权 (Authorization - “你能做什么？”): 定义用户登录成功后拥有的命令级别和操作权限（如只能看配置，不能修改；或者只能执行特定命令）。

     • 计费 (Accounting - “你做了什么？”): （可选）记录用户的登录/登出时间、执行的命令等信息，用于审计。

   • 目的： 实施精细化的用户访问控制和审计。

   • 与VTY的关系： AAA不是访问通道本身。当VTY配置了authentication-mode aaa后，任何试图通过VTY登录的用户都会被VTY“转交”给AAA模块进行详细的认证和授权检查。AAA决定了用户能否登录以及登录后能做什么。

   • 类比： 公司的前台接待系统或门禁系统。当访客（用户）走到门口（VTY）时，门卫（VTY配置的认证模式）会把他们引导到前台（AAA）。前台（AAA）会仔细核对访客身份（认证），根据访客的身份确定他们能去哪些楼层或办公室（授权），并可能记录访客的进出时间和访问区域（计费）。

总结与关键点：

• VTY提供接入通道；AAA提供接入控制和权限管理。

• 它们是协作关系，而非替代关系。 没有VTY提供远程访问就不可能发生；没有AAA，VTY的访问就没有安全性保障。

• VTY的authentication-mode aaa配置是两者连接的关键桥梁。 这个配置使得VTY将用户的认证和授权请求委托给功能更强大的AAA模块处理。

• AAA的作用范围更广。 它不仅服务于VTY登录的用户，通常也服务于Console登录的用户（物理控制台）以及其他需要认证的服务（如PPP拨号、管理员权限提升等）。

• 简单 vs 复杂： 直接在VTY下配置password认证是最简单的方式，但安全性低、管理不便（所有用户共享同一密码）。使用aaa认证则提供了更强的安全性（独立用户名/密码）、更精细的权限控制（授权）和审计追踪（计费）能力，适用于需要多人管理和高安全性的环境。

拓普图如下：

console线直连：

aaa配置：

//第一台设备（此处用两个路由器进行演示）
[Huawei]sysname R1    //设置设备名称

[R1]int g0/0/0    //进入g0/0/0接口视图下

[R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24    //配一个ip

[R1-GigabitEthernet0/0/0]aaa    //进入aaa，aaa：认证授权计费 是一种网络访问控制的安全管理框架，提供认证、授权和计费三种安全服务

[R1-aaa]local-user chai password cipher 1234    //创建一个名字为chai的用户，密码为1234

[R1-aaa]local-user chai privilege level 15    //给用户一个权限 0参观级  1巡检级  2配置级  3-15超级管理员（一般企业都是会有一个巡检账号和一个超级管理员账号，一般这俩账号就够用了，谁用谁登账号操作）

[R1-aaa]local-user chai service-type telnet    //该账户可以通过那种服务类型去进行管理，默认是telnet服务管理设备

[R1]telnet server enable    //远程启动thlnet服务，默认是启动状态，为了保险还是手动启动下

[R1]user-interface vty 0 4    //开启(进入)vty(虚拟类型终端，相当于一个进程)，当前是开5个进程，最多可以有5个人通过vty终端管理同时我的设备

[R1-ui-vty0-4]authentication-mode aaa    //认证方式：在aaa下验证，因为用户配置在aaa下

[R1-ui-vty0-4]protocol inbound telnet    //通过telnet协议连接到vty上

//第二台设备
[Huawei]sysname R2    //设置设备名称

[R2]int g0/0/0     //进入g0/0/0接口视图下  

[R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24    //配一个ip

<R2>telnet 12.1.1.1    //使用telnet协议访问第一台设备
  Press CTRL_] to quit telnet mode
  Trying 12.1.1.1 ...
  Connected to 12.1.1.1 ...

Login authentication

Username:chai
Password:
<R1>    //按提示输入账号密码，进入第一台设备，能看见第一台设备的名称，这就是远程连接成功了

password配置：

//第一台设备
[R1]telnet server enable    //远程启动thlnet服务

[R1]user-interface vty 0 4    //开启(进入)vty(虚拟类型终端，相当于一个进程)	，当前是开5个进程，最多可以有5个人通过vty终端管理同时我的设备

[R1-ui-vty0-4]authentication-mode password    //认证方式：在password下验证

[R1-ui-vty0-4]user privilege level 15    //给用户一个权限 0参观级  1巡检级  2配置级  3-15超级管理员

[R1-ui-vty0-4]protocol inbound telnet    //通过telnet协议连接到vty上


//第二台设备
<R2>telnet 12.1.1.1    //使用telnet协议连接第一台设备
  Press CTRL_] to quit telnet mode
  Trying 12.1.1.1 ...
  Connected to 12.1.1.1 ...

Login authentication


Password:
<R1>    //到这里，远程连接就成功了

这里只是用Telnet举个例子，由于Telnet在数据传输过程中容易被截获，安全性较低，一般公司都用的SSH,如果是内网的话可以使用Telnet。

本文标签： 远程登录系统AAAVRPPassword