对于验证和授权相信只要是有经验人都明白,这对于一个网络环境来说,是非常重要的,只有在这方面做好,才能保障整个网络的安全和正常运行,防止有非法入侵者进行破坏。
一、我们来以一个例子详细介绍设置的步骤,在一些中小规模的网络中,网络中心的网络管理员往往需要对一个远程站点的管理员进行一定程度的授权,而不想让站点管理员使用所有的路由器特权口令,这就要用到授权和验证了。
二、网件路由器支持集中的AAA,即验证/授权/记帐功能,但是需要部署一台访问控制服务器,如果网络设备数量不多,就可以利用网件路由器的本地验证和授权的功能来实现验证和授权,而且不需要部署网件访问控制服务,以下是一个实现对路由器的telnet访问的本地验证和授权的例子。
●1、为telnet用户设置一个帐号和口令,注意aa用户的级别为1最低级别。
hostname r1
username aa password aaa
●2、设置一个级别为2的特权口令,缺省为15,具有所有权限.
enable secret level 2 aaa
●3、为级别是2的特权用户授权,只允许执行router和network命令。
privilege exec level 2 configure terminal
●4、允许执行特权命令config t。
privilege configure level 2 router
●5、允许执行全局命令::router。
privilege router level 2 network
●6、允许执行路由进程命令::network。
●7、指定对路由器进行telnet访问的验证方法,使用本地用户数据库验证。
line vty 0 4
login local
设置完成后,当对路由器进行telnet访问时,首先会提示输入username和password,这时用户aa是用户模式,只能执行很少的命令集,使用enbale 2命令并且输入正确的口令后,可以有权限执行config t、router和network命令,但是其他命令不能执行,本地验证和授权成功。