哎,你的华为交换机是不是总被人乱登?明明设置了密码,怎么还有陌生IP在凌晨三点登陆管理界面?别慌!今天咱们就唠唠华为交换机的AAA配置,这个网络界的防盗门锁到底该怎么装!
AAA是啥?跟超市会员卡有啥关系?
说白了就是三道安检闸机:
- Authentication(认证):查身份证(用户名密码)
- Authorization(授权):看权限等级(普通员工vs管理员)
- Accounting(计费):记录行动轨迹(干了啥/啥时候干的)
举个栗子,公司网管小张配置AAA后,保洁阿姨用自己工号登陆交换机,只能看端口状态,改不了配置。这就好比超市会员卡——金卡用户能进贵宾室,普通会员连厕所都找不到!
基础配置四件套
跟着我敲这些命令,保你半小时搞定:
-
创建本地账户
aaa local-user admin password irreversible-cipher Huawei@123
(别用admin当用户名!黑客字典第一个就试这个) -
开启远程认证
ssh user admin authentication-type aaa
(关掉telnet这个漏洞王,SSH才是王道) -
权限分级
user privilege level 3(level 15是超级权限,慎用!) -
操作审计
info-center loghost 192.168.1.100(日志服务器IP换成你自己的)
血泪教训:上次配权限时手抖给了实习生level 15,结果他把整栋楼的VLAN删光了!现在严格按岗位分级:运维level 10,主管level 12,CTO才给level 15。
三种认证方式掰头
| 认证类型 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|
| 本地认证 | 10人小公司 | 断电也能用 | 密码泄露就完蛋 |
| RADIUS | 200人以上企业 | 集中管理 | 服务器挂了全瘫痪 |
| TACACS+ | 金融机构 | 操作命令级审计 | 配置复杂 |
重点提醒:制造业车间千万别用RADIUS!有次工厂核心交换机断网,就因为RADIUS服务器机房空调漏水,产线停工两小时损失上百万!
防破解五道保险栓
-
登录失败锁定:连续错5次锁30分钟
aaa local-user block failed-attempts 5 exceed 30 -
密码复杂度:必须含大小写+数字+特殊符号
password complexity check -
定期改密策略:90天强制更换
local-user password expire 90 -
登录时间限制:只允许工作日9-18点
time-range worktime 9:00 to 18:00 working-day -
IP白名单:仅限运维PC登陆
acl 2000 rule permit source 192.168.10.20 0
上周帮学校机房配置时,熊孩子们半夜试图破解密码,触发锁定机制后自动给我发邮件告警,这功能比保安大叔还靠谱!
高阶玩家必备骚操作
想让AAA配置更智能?试试这些秘籍:
- 联动LDAP:直接用公司OA账号登陆交换机
- 动态令牌:华为USG6000系列支持短信验证码
- 行为画像:检测异常操作自动断网(比如凌晨批量删VLAN)
金融公司客户用上行为画像后,逮到外包运维人员偷接非法设备,直接在操作审计日志里留下铁证,比监控摄像头还好使!
搞AAA配置就像给交换机穿防弹衣,别指望一次配完就高枕无忧。每月记得查登录日志,重点看这些可疑点:境外IP访问、非工作时间操作、超高权限指令。对了,千万别在交换机上存密码本——见过最虎的操作是把所有密码写在description里,黑客看了直呼内行!
点击分享到
微信二维码
