一、知識要點

AAA技術是一種普遍適用於各類網路中的網路安全技術，它提供了認證、授權和計費三種安全功能。其中認證用於驗證使用者是否可以獲得網路訪問權；授權用於依據認證結果授予使用者使用網路服務的許可權；計費用於記錄使用者使用網路資源的情況，並提供計費功能。AAA支援的認證方式有不認證、本地認證和遠端認證三種；支援的授權方式有不授權、本地授權和遠端授權三種；支援的計費方式有不計費和計費兩種。

當採用本地方式進行認證和授權時，可以在路由器上配置使用者的認證和授權資訊。

二、實驗拓撲

三、實驗要求

在AR1上配置兩個使用者分別為root和normal。其中root為管理員賬戶，擁有最高許可權，可以配置路由器；normal賬戶為普通賬戶，可以檢視路由器當前狀態資訊。要求PC機能夠透過這兩個賬戶遠端登入到路由器。

備註：由於華為eNSP模擬器中的PC無法執行telnet命令，因此本實驗中使用AR2220來模擬PC。

四、實驗配置

1。 AR1配置

［AR1］interface GigabitEthernet 0/0/0

［AR1-GigabitEthernet0/0/0］ip address 10。1。12。1 30

［AR1-GigabitEthernet0/0/0］quit

［AR1］aaa

［AR1-aaa］local-user root password cipher huawei@123

［AR1-aaa］local-user root service-type telnet

［AR1-aaa］local-user root privilege level 15

［AR1-aaa］local-user normal password cipher huawei@123

［AR1-aaa］local-user normal service-type telnet

［AR1-aaa］local-user normal privilege level 1

［AR1］user-interface vty 0 4

［AR1-ui-vty0-4］authentication-mode aaa

2。 模擬PC配置

［PC］interface GigabitEthernet 0/0/0

［PC-GigabitEthernet0/0/0］ip address 10。1。12。2 30

五、實驗驗證

telnet 10。1。12。1 #在使用者模式下執行telnet命令

以root賬戶登入後，由於它屬於管理員許可權，可以對路由器進行配置。

用quit命令可退出登入，再次用normal賬戶登入，也能成功登入。

此時想進入系統模式對路由器進行配置時，會彈出錯誤提示，說明許可權不夠。

備註：輸入賬戶密碼時，螢幕上並不回顯，輸入完畢後回車確認即可。

作德，心逸日休；作偽，心勞日拙。 ——《尚書·周官》