Telnet用户认证、授权、计费配置，SSH password认证

第一章 网络基础知识

实验23 AAA/SSH

23.1 实验过程

实验任务1： Telnet用户本地认证、授权、计费配置

步骤1： 建立物理连接并运行超级终端

步骤2： 配置相关IP地址并验证互通性

步骤3： 配置telnet

首先要在路由器上开启设备的Telnet服务器功能，请在如下的空格中填写完整的配置命令：

[RTA]telnet server enable

接下来在路由器上完成了如下配置：

[RTA] user-interface vty 0 4

[RTA-ui-vty0-4] authentication-mode scheme

如上配置命令的含义和作用是指定Telnet用户进行AAA授权认证方式

最后在路由器上创建本地telnet用户：用户名telnet，明文密码aabbcc，并设置用户的服务类型。请在如下的空格中填写完整的配置命令：

[RTA] local-user telnet

[RTA-luser-telnet] service-type telnet

[RTA-luser-telnet] password simple aabbcc

在配置Telnet用户时同时配置如下命令：

[RTA -luser- telnet]level 3

该命令的含义是：指定本地用户的授权级别为3，也即管理级别。在某些版本上需使用authorization-attribute level命令替代level命令。

步骤4： 配置AAA

在路由器上配置相关的AAA方案为本地认证、授权和计费，请在如下空格中补充完整的配置命令：

[RTA] domain data

如上配置命令的含义是创建名为data的域，telnet用户登录的时候，用户名为telnet@data

[RTA -isp-data] authentication login local

[RTA -isp-data] authorization login local

[RTA -isp-data] accounting login local

步骤5： 验证

在PCA上使用Telnet登录时输入用户名为telnet@data，其结果是登录成功而且登录后具有管理员权限

实验任务2： Telnet用户通过RADIUS服务器认证、授权、计费的应用配置

步骤1： 建立物理连接并运行超级终端

步骤2： 配置相关IP地址并验证互通性

步骤3： 配置telnet

首先要在路由器上开启设备的Telnet服务器功能，请在如下的空格中填写完整的配置命令：

[RTA] telnet server enable

接下来在路由器上配置Telnet用户登录采用AAA认证方式，请在如下的空格中补充完整的配置命令：

[[RTA] user-interface vty 0 4

[RTA-ui-vty0-4] authentication-mode scheme

步骤4： 配置Radius方案

在RTA上完成如下配置：

[RTA] radius scheme rad

该配置命令的含义是创建名为rad的RADIUS方案并进入其视图，在该方案中将指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数

接下来配置主RADIUS认证/授权和计费服务器，其端口号分别为1812、1813，请在如下空格中补充正确的完整的配置命令：

[RTA-radius-rad] primary authentication 10.10.10.2 1812

[RTA-radius-rad] primary accounting 10.10.10.2 1813

然后配置指定RADIUS认证/授权报文/计费报文的共享密钥均为expert，请在如下空格中补充正确的完整的配置命令：

[RTA-radius-rad] key authentication expert

[RTA-radius-rad] key accounting expert

由于通过RADIUS服务器对MSR路由器的telnet用户进行验证、授权和计费要使用私有的RADIUS协议的规程和报文格式进行交互，因此需要配置指定extended类型的RADIUS服务器，请在如下空格中补充正确的配置命令：

[RTA-radius-rad] server-type extended

最后在路由器上配置了如下命令：

[RTA-radius-rad] user-name-format with-domain

如上配置命令的含义是来设置发送给RADIUS服务器的用户名格式为'userid@isp-name'的格式，也即要求发送给RADIUS服务器的用户名带ISP域名

在路由器上配置NAS的IP地址，也即指定发送RADIUS报文使用的源地址，请在如下的空格中补充正确的配置命令：

[RTA-radius-rad] nas-ip 10.10.10.1

步骤5： 配置ISP域的AAA方案

在ISP域aaa下为login用户配置认证、授权和计费方案为RADIUS的方案，方案名为rad,请在如下空格中补充完整的配置命令：

[RTA] domain aaa

[RTA-isp-aaa] authentication default radius-scheme rad

[RTA-isp-aaa] authorization default radius-scheme rad

[RTA-isp-aaa] accounting default radius-scheme rad

步骤6： 配置RADIUS服务器

需要在RADIUS服务器上配置TELNET登录用户名，并设定其管理权限，同时还要设置与交换机交互RADIUS报文的共享密钥等，相关RADIUS服务器的配置请参考本书附录。

本实验中，设定Telnet用户名为123，密码为456，管理权限为3，也即具有管理员权限。

步骤7： 验证

在Telnet客户端按照提示输入用户名及密码，其结果是成功登录并具有管理员权限

实验任务3： SSH password认证配置

步骤1： 建立物理连接并初始化路由器配置

步骤2： 配置基本IP地址

将路由器连接PC的接口G0/0配置IP地址192.168.1.1/30，那么这种情况下，PC的IP地址应该正确配置为 192.168.1.2/30

步骤3： 创建本地SSH登录用户

在路由器上创建本地用户client，密码使用明文pwdpwd,如果要确保该用户在通过SSH认证登录后具有管理员的权限，那么该用户的访问命令级别为3，请在下面的空格中补充完整的本地用户配置命令：

[RTA] local-user client

[RTA -luser-client] password simple pwdpwd

[RTA -luser-client] service-type ssh

[RTA -luser-client] level 3

步骤4： 配置登录用户界面的AAA认证方式

配置SSH客户端登录用户界面的认证方式为AAA认证，同时设置路由器上远程用户登录协议为SSH，请在下面的空格中补充完整的配置命令：

[RTB]user-interface vty 0 4

[RTB-ui-vty0-4]authentication-mode scheme

[RTB-ui-vty0-4]protocol inbound ssh

步骤5： 配置生成DSA或RSA密钥

服务器端的DSA或RSA密钥对，用于在密钥和算法协商阶段生成会话ID，以及客户端认证服务器，请在正确的视图下配置服务器端生成DSA以及RSA密钥。

配置生成RSA密钥对：

[RTA] public-key local create rsa

配置生成DSA密钥对：

[RTA] public-key local create dsa

配置使能SSH服务器功能：

[RTA] ssh server enable

步骤6： SSH登录验证

使用SSH client软件PuTTY，打开PuTTY.exe程序，出现所示的客户端配置界面。在'Host Name（or IP address）'文本框中输入SSH服务器的IP地址为192.168.1.1，如下：

然后单击【Open】按钮。按提示输入登录用户名及密码，其结果是：

可以成功登录路由器，登录后具有管理员权限

实验23 AAA/SSH

实验任务一： Telnet用户本地认证、授权、计费配置

实验任务二： Telnet用户通过RADIUS服务器认证、授权、计费的应用配置

实验任务三： SSH password认证

证配置