锐捷模拟器 AAA 认证配置教程:轻松实现设备远程登录安全认证
在网络设备管理中,AAA 认证(Authentication、Authorization、Accounting)是保障设备访问安全的核心机制,能有效控制用户登录权限、记录操作行为。本文将基于锐捷模拟器,详细演示如何配置 AAA 本地认证,实现两台交换机 / 路由器之间的安全远程登录,适合网络初学者入门实践。
一、实验准备
1. 硬件环境
- 设备要求:2 台锐捷交换机或路由器(模拟器中 PC 机无 Telnet 功能,需用设备间互访验证)
- 连接方式:两台设备通过千兆以太网口(如 G0/0)直接连接
注:模拟器的PC机无telnet功能
拓扑结构
注:两台设备的互联接口需处于同一网段,IP 地址可自定义,无需固定。
二、核心配置步骤(以 Ruijie-RSR3 为例)
1. 基础网络配置:配置互联接口 IP
首先进入设备的千兆以太网接口(如 G0/0),关闭交换模式并配置 IP 地址:
Ruijie-RSR3#configure terminal // 进入全局配置模式
Ruijie-RSR3(config)#interface g0/0 // 进入G0/0接口
Ruijie-RSR3(config-if-GigabitEthernet0/0)#no switchport // 关闭交换模式(路由器默认无需此步骤)
Ruijie-RSR3(config-if-GigabitEthernet0/0)#ip address 192.168.33.155 255.255.255.0 // 配置IP地址和子网掩码
Ruijie-RSR3(config-if-GigabitEthernet0/0)#no shutdown // 启用接口
Ruijie-RSR3(config-if-GigabitEthernet0/0)#exit // 退出接口模式
2. AAA 认证核心配置
(1)创建本地用户账号
配置用于登录的本地用户名和密码(此处用户名为 admin,密码为 ruijie):
Ruijie-RSR3(config)#username admin password ruijie // 配置本地用户和密码
(2)开启 AAA 功能并配置认证列表
启用 AAA 模式,创建名为 “ruijie” 的登录认证列表,并指定使用本地用户数据库认证:
Ruijie-RSR3(config)#aaa new-model // 开启AAA功能(默认关闭)
Ruijie-RSR3(config)#aaa authentication login ruijie local // 定义认证列表ruijie,采用本地认证
(3)配置 VTY 虚拟终端,应用 AAA 认证
VTY 接口用于远程登录(如 Telnet、SSH),需将创建的 AAA 认证列表应用到 VTY 接口:
Ruijie-RSR3(config)#line vty 0 4 // 进入VTY 0-4接口(支持5个同时远程连接)
Ruijie-RSR3(config-line)#login authentication ruijie // 应用ruijie认证列表
Ruijie-RSR3(config-line)#exit // 退出线路模式
3. 安全增强配置
(1)配置 enable 密码(特权模式密码)
远程登录后进入特权模式需验证密码,提升设备安全性:
Ruijie-RSR3(config)#enable password ruijie // 配置enable密码(特权模式密码)
(2)密码加密显示
默认情况下,配置文件中密码以明文显示,启用密码加密功能,使show running-config命令显示密文:
Ruijie-RSR3(config)#service password-encryption // 加密配置文件中的密码
(3)限制登录尝试次数
设置用户登录失败最大尝试次数为 3 次,超过后拒绝登录,防止暴力破解:
Ruijie-RSR3(config)#aaa local authentication attempts 3 // 限制登录尝试3次
4. 保存配置
所有配置完成后,保存配置防止设备重启后丢失:
Ruijie-RSR3(config)#exit // 退出全局配置模式
Ruijie-RSR3#write memory // 保存配置(或简写为wr)
三、验证端配置(Ruijie-RSR4)
为了验证 AAA 认证是否生效,需在另一台设备(Ruijie-RSR4)配置同网段 IP,并通过 Telnet 连接目标设备:
Ruijie-RSR4#configure terminal
Ruijie-RSR4(config)#interface g0/0
Ruijie-RSR4(config-if-GigabitEthernet0/0)#no switchport
Ruijie-RSR4(config-if-GigabitEthernet0/0)#ip address 192.168.33.10 255.255.255.0 // 同网段IP
Ruijie-RSR4(config-if-GigabitEthernet0/0)#no shutdown
Ruijie-RSR4(config-if-GigabitEthernet0/0)#exit
四、测试 AAA 认证效果
在验证端(Ruijie-RSR4)通过 Telnet 连接目标设备(192.168.33.155),验证登录流程:
Ruijie-RSR4#telnet 192.168.33.155 // 发起Telnet连接
Trying 192.168.33.155, 23... // 正在连接目标IP的23端口(Telnet默认端口)
User Access Verification // 进入用户认证阶段
Username:admin // 输入配置的本地用户名
Password:****** // 输入密码(输入时不显示明文)
User's password is too weak. Please change the password! // 密码强度提示(不影响登录)
Ruijie-RSR3> // 登录成功,进入用户模式
此时输入enable命令,输入之前配置的 enable 密码(ruijie),即可进入特权模式,完成整个认证流程。
五、注意事项
- 两台设备的互联接口必须配置同网段 IP,否则无法建立 Telnet 连接;
- 若登录时提示 “Password rejected”,需检查用户名密码是否正确,或登录尝试次数是否已达上限;
- 实际生产环境中,建议使用 SSH(而非 Telnet)进行远程登录,Telnet 传输数据为明文,存在安全风险;
- 本地密码建议设置复杂密码(包含大小写字母、数字、特殊字符),避免使用弱密码。
通过以上步骤,即可在锐捷模拟器中快速实现 AAA 本地认证,有效提升网络设备的远程登录安全性。
