用户认证方式和用户级别介绍

用户界面的认证方式

Console、MiniUSB、Telnet登录用户的认证方式直接由用户界面中配置的认证方式决定。用户界面的认证方式有以下三种：

• AAA认证：登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确，如果正确，允许登录，否则拒绝登录。
• Password认证：也称密码认证，登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同，允许登录，否则拒绝登录。

• None认证：也称不认证，登录时不需要输入任何认证信息，可直接登录设备。

  如果配置认证方式为不认证，任何用户不需要输入用户名和密码就会认证成功。因此，为保护设备或网络安全，建议不要使用None认证方式。

  无论何种验证方式，当用户登录设备失败时，系统会启动延时登录机制。首次登录失败后，延时5秒才可再次登录，后续登录失败次数每增加一次，延时时间增加5秒，即第2次登录失败延时10秒，第3次登录失败延时15秒。

SSH用户的认证方式

通过STelnet登录设备需配置用户界面支持的协议是SSH，必须设置用户界面认证方式为AAA认证。但SSH用户的认证方式由SSH支持的认证方式决定，SSH支持Password、RSA、DSA、ECC、Password-RSA、Password-DSA、Password-ECC和ALL，8种认证方式。

• Password认证：是一种基于“用户名+口令”的认证方式。通过AAA为每个SSH用户配置相应的密码，在通过SSH登录时，输入正确的用户名和密码就可以实现登录。
• RSA（Revest-Shamir-Adleman Algorithm）认证：是一种基于客户端私钥的认证方式。RSA是一种公开密钥加密体系，基于非对称加密算法。RSA密钥也是由公钥和私钥两部分组成，在配置时需要将客户端生成的RSA密钥中的公钥部分拷贝输入至服务器中，服务器用此公钥对数据进行加密。
• DSA（Digital Signature Algorithm）认证：是一种类似于RSA的认证方式，DSA认证采用数字签名算法进行加密。
• ECC（Elliptic Curve Cryptography）认证：是一种椭圆曲线算法，与RSA相比，在相同安全性能下密钥长度短、计算量小、处理速度快、存储空间小、带宽要求低。
• Password-RSA认证：SSH服务器对登录的用户同时进行密码认证和RSA认证，只有当两者同时满足情况下，才能认证通过。
• Password-DSA认证：SSH服务器对登录的用户同时进行密码认证和DSA认证，只有当两者同时满足情况下，才能认证通过。
• Password-ECC认证：SSH服务器对登录的用户同时进行密码认证和ECC认证，只有当两者同时满足情况下，才能认证通过。
• ALL认证：SSH服务器对登录的用户进行公钥认证或密码认证，只要满足其中任何一个，就能认证通过。

用户级别

系统支持对登录用户进行分级管理，用户所能访问命令的级别由用户的级别决定。用户级别由用户界面或AAA本地用户的认证方式决定，具体细节如表5-3所示。

用户级别与命令级别的关系

命令的级别由低到高分为参观级、监控级、配置级和管理级四种，分别对应级别值0、1、2、3，用户级别与命令级别的对应关系如表5-4所示。

表5-4 用户级别与命令级别的对应关系

用户级别	命令级别	级别名称	说明
0	0	参观级	网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（Telnet客户端）等。
1	0、1	监控级	用于系统维护，包括display等命令。 说明： 并不是所有display命令都是监控级，比如display current-configuration命令和display saved-configuration命令是3级管理级。
2	0、1、2	配置级	业务配置命令。
3～15	0、1、2、3	管理级	用于系统基本运行的命令，对业务提供支撑作用，包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令、用于业务故障诊断的debugging命令等。

默认情况下，3～15级用户具有相同的管理员权限，部分特殊命令行请参照命令行实现说明。