【交换机】配置AAA登陆授权的场景和功能原理是什么？

发布时间：2013-11-17

点击量：2838

应用场景：
当您的网络中有不同的管理员角色，每个人的分工不同，希望给他们的账号赋予不同的权限，能够操作，配置设备的命令有所区别，实现责任明确，风险可控的时候就可以考虑采用登陆授权功能，结合Tacacs+服务器，在用户登陆设备时给不同的账号分配不同的权限等级。
通常该功能适用于高安全，高敏感性要求的行业，比如金融，政府，运营商行业。

功能原理：
AAA提供授权功能，可以对登陆设备的不同用户提供不同的登陆级别。交换机通常有0-15这16种权限级别划分，不同的级别对应的是能够管理，配置，查看的内容的不同，15级别的权限最高，而0级别的权限最低。通过Tacacs+服务器上面为不同的账号登入设备时付于一个初始登入权限级别，这样就能控制该用户能够进行的管理行为，比如超级管理员，还是一般管理员，还是普通的查看用户他们的工作性质与对网络的负责分工不同，需要有区别的对待，避免一般用户执行了一些高危的操作或者对配置进行了随意的更改，导致网络事故发生。

针对0-15级别的权限说明，目前我司实现的机制如下：
level 0：最低的级别（Ruijie>这样的模式），只能执行ping，traceroute的操作，以及enable privilege提升自己的权限到一个更高的等级，否则level 0的用户当前连show run都无法执行；
level 1：普通用户模式（Ruijie>这样的模式），相比level 0用户他的权限就是多了一个show的命令，可以查看设备当前的一些运行，配置信息，但是无法进行任何功能配置；
level 2-14：一般管理员模式（Ruijie#这样的模式），这个模式的权限有了较大的提升，可以进行大部分功能的配置，查看，修改等，但是无法执行一些高危操作，比如删除，修改，重命名文件，重启设备，配置用户名&密码等；
level 15：超级管理员模式（Ruijie#这样的模式），最高权限，可以执行所有命令，没有任何限制。

最后说明下，登陆授权只能采用Tacacs+协议来实现。