一、前言在工业互联网场景中网络设备交换机、路由器、网关、工业防火墙等是整个生产网络的核心载体。随着工业厂区设备数量增多、远程运维、多人分权管理成为常态单纯依靠设备本地密码登录存在权限混乱、无法追溯操作、安全等级低等问题。AAAAuthentication 认证、Authorization 授权、Accounting 计账是一套成熟的网络安全管理体系能够实现身份校验、权限划分、操作日志审计三大核心能力广泛应用于工业互联网设备的运维管理中。本文结合工业现场实际需求讲解 AAA 原理、部署思路以及主流工业网络设备的完整配置流程。二、AAA 基础概念1. 三大核心模块Authentication 身份认证对登录设备的用户进行身份核验判断 “你是谁”。常见认证方式本地用户名密码、远程服务器认证RADIUS/TACACS。工业场景优先使用远程集中认证便于统一管理全厂设备账号。Authorization 权限授权认证通过后分配对应操作权限控制 “你能做什么”。例如普通运维人员仅能查看设备状态管理员可配置、重启设备访客仅能做简单 ping 测试。Accounting 操作计账审计记录用户登录时长、执行命令、下线时间等日志实现操作溯源满足工业安全生产、等保合规要求。2. 工业互联网选型说明工业网络主流使用TACACS协议实现 AAA 交互对比 RADIUSTACACSTCP 传输加密完整报文支持命令级授权、权限精细化控制安全性更高适合工业核心运维设备RADIUSUDP 传输仅加密密码多用于无线、接入终端认证。本文以TACACS 服务器 工业交换机组合为例完成端到端 AAA 配置。三、工业网络拓扑与规划1. 网络拓扑plaintextTACACS认证服务器工业运维服务器 ↔ 核心工业交换机 ↔ 厂区接入交换机/工业网关运维人员通过 Telnet/SSH 远程登录所有工业网络设备统一由 TACACS 服务器完成 AAA 校验。2. 地址与参数规划TACACS 服务器 IP192.168.1.100共享密钥设备与服务器通信密钥Industrial2026核心交换机管理 IP192.168.1.1登录方式SSH工业环境禁用不安全的 Telnet认证优先级远程 TACACS 优先本地账号作为应急备用四、设备完整配置通用工业交换机命令说明命令适配华为、华三、锐捷等主流工业交换机区分全局配置、AAA 基础、TACACS 参数、VTY 线路、权限划分五大模块。步骤 1进入系统视图配置设备基础信息shell# 从用户视图进入系统视图 Switch system-view # 命名设备区分厂区设备便于运维 [Switch] sysname Industrial-SW-Core # 关闭多余服务加固工业设备安全 [Industrial-SW-Core] undo telnet server enable [Industrial-SW-Core] stp enable步骤 2创建本地应急账号远程服务器故障时备用工业场景强制配置本地备用账号防止认证服务器宕机导致无法登录设备shell# 创建本地管理员账号用户名admin密码密文保存 [Industrial-SW-Core] local-user admin password cipher Admin123456 # 配置账号权限级别最高权限 [Industrial-SW-Core] local-user admin privilege level 15 # 允许账号使用SSH登录 [Industrial-SW-Core] local-user admin service-type ssh步骤 3开启 AAA 功能并配置 TACACS 模板shell# 全局开启AAA服务必配否则所有认证功能不生效 [Industrial-SW-Core] aaa # 创建TACACS服务器模板名称tacacs-server [Industrial-SW-Core] tacacs-server template tacacs-server # 指定TACACS认证服务器IP地址 [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server authentication 192.168.1.100 # 指定TACACS授权服务器IP同一台服务器 [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server authorization 192.168.1.100 # 指定TACACS计账服务器IP [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server accounting 192.168.1.100 # 配置设备与TACACS服务器的共享密钥两端必须完全一致 [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server key simple Industrial2026 # 退出模板视图 [Industrial-SW-Core-tacacs-tacacs-server] quit步骤 4配置 AAA 认证、授权、计账方案设置认证优先级先远程 TACACS失败则调用本地账号shell# 配置登录认证方案方案名login-auth [Industrial-SW-Core-aaa] authentication-scheme login-auth # 认证模式优先tacacstacacs无响应则使用本地认证 [Industrial-SW-Core-aaa-authen-login-auth] authentication-mode tacacs local [Industrial-SW-Core-aaa-authen-login-auth] quit # 配置授权方案方案名login-author [Industrial-SW-Core-aaa] authorization-scheme login-author # 授权模式优先tacacs失败使用本地授权 [Industrial-SW-Core-aaa-author-login-author] authorization-mode tacacs local [Industrial-SW-Core-aaa-author-login-author] quit # 配置计账方案日志审计方案名login-account [Industrial-SW-Core-aaa] accounting-scheme login-account # 计账模式TACACS实时记录操作日志 [Industrial-SW-Core-aaa-account-login-account] accounting-mode tacacs [Industrial-SW-Core-aaa-account-login-account] quit步骤 5将 AAA 方案应用到 VTY 远程登录线路VTY 线路是远程 SSH/Telnet 登录的虚拟终端工业设备一般启用 0~15 条线路shell# 进入VTY 0~15线路视图 [Industrial-SW-Core] user-interface vty 0 15 # 绑定认证方案 [Industrial-SW-Core-ui-vty0-15] authentication aaa login-auth # 绑定授权方案 [Industrial-SW-Core-ui-vty0-15] authorization aaa login-author # 绑定计账审计方案 [Industrial-SW-Core-ui-vty0-15] accounting aaa login-account # 仅允许SSH登录拒绝Telnet [Industrial-SW-Core-ui-vty0-15] protocol inbound ssh # 退出视图 [Industrial-SW-Core-ui-vty0-15] quit [Industrial-SW-Core] quit # 保存配置工业设备重中之重防止断电丢失配置 Industrial-SW-Core save步骤 6配置 SSH 服务支撑远程登录shellIndustrial-SW-Core system-view # 生成本地SSH密钥对首次使用必须配置 [Industrial-SW-Core] rsa local-key-pair create # 开启SSH服务器功能 [Industrial-SW-Core] ssh server enable五、TACACS 服务器端基础配置说明工业运维服务器上部署 TACACS 服务后需完成以下配置和网络设备联动添加客户端设备将工业交换机 IP192.168.1.1加入客户端列表填写相同共享密钥Industrial2026创建运维账号在服务器上新建不同权限账号如运维操作员权限 Level 0~5仅查看设备运维管理员权限 Level 15全配置权限开启日志记录启用命令审计、登录日志日志留存满足工业等保 3 年要求测试连通性在服务器端 ping 工业设备管理 IP确保网络互通。六、配置验证与排错工业现场常用1. 功能验证运维电脑使用 SSH 工具Xshell、SecureCRT连接192.168.1.1输入 TACACS 服务器上创建的账号密码正常登录并获得对应权限登录 TACACS 服务器后台查看登录日志、执行命令日志确认计账功能生效。2. 常见故障排错无法登录设备检查设备与 TACACS 服务器网络是否互通核对两端共享密钥、IP 地址是否完全一致查看 AAA 方案是否正确绑定到 VTY 线路。TACACS 服务器宕机直接使用本地备用账号admin登录设备排查网络或服务器故障。权限不符检查 TACACS 服务器端的用户权限级别、授权策略配置。七、工业互联网场景下 AAA 运维规范账号管理一人一号禁止共用账号离职人员及时注销账号密钥安全定期更换 TACACS 共享密钥、设备本地密码复杂度满足工业安全要求日志管理每日巡检 AAA 审计日志发现异常登录及时告警备份配置所有工业网络设备 AAA 配置定期备份批量下发至厂区同类型设备权限最小化遵循 “最小权限原则”普通运维人员不分配最高管理权限。八、总结AAA 认证体系是工业互联网网络运维安全管控、合规审计的基础组件。通过 “远程 TACACS 为主、本地账号备用” 的部署模式既能实现全厂工业网络设备账号统一管理、权限精细化划分又能规避单点故障风险。在智能制造、智慧工厂等工业场景中将 AAA 与防火墙、工业安全平台联动可进一步构建完整的工业网络安全防线保障生产网络稳定、可控、可追溯。
工业互联网组网与维护 —— 设备 AAA 认证配置详
发布时间:2026/6/10 13:13:28
一、前言在工业互联网场景中网络设备交换机、路由器、网关、工业防火墙等是整个生产网络的核心载体。随着工业厂区设备数量增多、远程运维、多人分权管理成为常态单纯依靠设备本地密码登录存在权限混乱、无法追溯操作、安全等级低等问题。AAAAuthentication 认证、Authorization 授权、Accounting 计账是一套成熟的网络安全管理体系能够实现身份校验、权限划分、操作日志审计三大核心能力广泛应用于工业互联网设备的运维管理中。本文结合工业现场实际需求讲解 AAA 原理、部署思路以及主流工业网络设备的完整配置流程。二、AAA 基础概念1. 三大核心模块Authentication 身份认证对登录设备的用户进行身份核验判断 “你是谁”。常见认证方式本地用户名密码、远程服务器认证RADIUS/TACACS。工业场景优先使用远程集中认证便于统一管理全厂设备账号。Authorization 权限授权认证通过后分配对应操作权限控制 “你能做什么”。例如普通运维人员仅能查看设备状态管理员可配置、重启设备访客仅能做简单 ping 测试。Accounting 操作计账审计记录用户登录时长、执行命令、下线时间等日志实现操作溯源满足工业安全生产、等保合规要求。2. 工业互联网选型说明工业网络主流使用TACACS协议实现 AAA 交互对比 RADIUSTACACSTCP 传输加密完整报文支持命令级授权、权限精细化控制安全性更高适合工业核心运维设备RADIUSUDP 传输仅加密密码多用于无线、接入终端认证。本文以TACACS 服务器 工业交换机组合为例完成端到端 AAA 配置。三、工业网络拓扑与规划1. 网络拓扑plaintextTACACS认证服务器工业运维服务器 ↔ 核心工业交换机 ↔ 厂区接入交换机/工业网关运维人员通过 Telnet/SSH 远程登录所有工业网络设备统一由 TACACS 服务器完成 AAA 校验。2. 地址与参数规划TACACS 服务器 IP192.168.1.100共享密钥设备与服务器通信密钥Industrial2026核心交换机管理 IP192.168.1.1登录方式SSH工业环境禁用不安全的 Telnet认证优先级远程 TACACS 优先本地账号作为应急备用四、设备完整配置通用工业交换机命令说明命令适配华为、华三、锐捷等主流工业交换机区分全局配置、AAA 基础、TACACS 参数、VTY 线路、权限划分五大模块。步骤 1进入系统视图配置设备基础信息shell# 从用户视图进入系统视图 Switch system-view # 命名设备区分厂区设备便于运维 [Switch] sysname Industrial-SW-Core # 关闭多余服务加固工业设备安全 [Industrial-SW-Core] undo telnet server enable [Industrial-SW-Core] stp enable步骤 2创建本地应急账号远程服务器故障时备用工业场景强制配置本地备用账号防止认证服务器宕机导致无法登录设备shell# 创建本地管理员账号用户名admin密码密文保存 [Industrial-SW-Core] local-user admin password cipher Admin123456 # 配置账号权限级别最高权限 [Industrial-SW-Core] local-user admin privilege level 15 # 允许账号使用SSH登录 [Industrial-SW-Core] local-user admin service-type ssh步骤 3开启 AAA 功能并配置 TACACS 模板shell# 全局开启AAA服务必配否则所有认证功能不生效 [Industrial-SW-Core] aaa # 创建TACACS服务器模板名称tacacs-server [Industrial-SW-Core] tacacs-server template tacacs-server # 指定TACACS认证服务器IP地址 [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server authentication 192.168.1.100 # 指定TACACS授权服务器IP同一台服务器 [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server authorization 192.168.1.100 # 指定TACACS计账服务器IP [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server accounting 192.168.1.100 # 配置设备与TACACS服务器的共享密钥两端必须完全一致 [Industrial-SW-Core-tacacs-tacacs-server] tacacs-server key simple Industrial2026 # 退出模板视图 [Industrial-SW-Core-tacacs-tacacs-server] quit步骤 4配置 AAA 认证、授权、计账方案设置认证优先级先远程 TACACS失败则调用本地账号shell# 配置登录认证方案方案名login-auth [Industrial-SW-Core-aaa] authentication-scheme login-auth # 认证模式优先tacacstacacs无响应则使用本地认证 [Industrial-SW-Core-aaa-authen-login-auth] authentication-mode tacacs local [Industrial-SW-Core-aaa-authen-login-auth] quit # 配置授权方案方案名login-author [Industrial-SW-Core-aaa] authorization-scheme login-author # 授权模式优先tacacs失败使用本地授权 [Industrial-SW-Core-aaa-author-login-author] authorization-mode tacacs local [Industrial-SW-Core-aaa-author-login-author] quit # 配置计账方案日志审计方案名login-account [Industrial-SW-Core-aaa] accounting-scheme login-account # 计账模式TACACS实时记录操作日志 [Industrial-SW-Core-aaa-account-login-account] accounting-mode tacacs [Industrial-SW-Core-aaa-account-login-account] quit步骤 5将 AAA 方案应用到 VTY 远程登录线路VTY 线路是远程 SSH/Telnet 登录的虚拟终端工业设备一般启用 0~15 条线路shell# 进入VTY 0~15线路视图 [Industrial-SW-Core] user-interface vty 0 15 # 绑定认证方案 [Industrial-SW-Core-ui-vty0-15] authentication aaa login-auth # 绑定授权方案 [Industrial-SW-Core-ui-vty0-15] authorization aaa login-author # 绑定计账审计方案 [Industrial-SW-Core-ui-vty0-15] accounting aaa login-account # 仅允许SSH登录拒绝Telnet [Industrial-SW-Core-ui-vty0-15] protocol inbound ssh # 退出视图 [Industrial-SW-Core-ui-vty0-15] quit [Industrial-SW-Core] quit # 保存配置工业设备重中之重防止断电丢失配置 Industrial-SW-Core save步骤 6配置 SSH 服务支撑远程登录shellIndustrial-SW-Core system-view # 生成本地SSH密钥对首次使用必须配置 [Industrial-SW-Core] rsa local-key-pair create # 开启SSH服务器功能 [Industrial-SW-Core] ssh server enable五、TACACS 服务器端基础配置说明工业运维服务器上部署 TACACS 服务后需完成以下配置和网络设备联动添加客户端设备将工业交换机 IP192.168.1.1加入客户端列表填写相同共享密钥Industrial2026创建运维账号在服务器上新建不同权限账号如运维操作员权限 Level 0~5仅查看设备运维管理员权限 Level 15全配置权限开启日志记录启用命令审计、登录日志日志留存满足工业等保 3 年要求测试连通性在服务器端 ping 工业设备管理 IP确保网络互通。六、配置验证与排错工业现场常用1. 功能验证运维电脑使用 SSH 工具Xshell、SecureCRT连接192.168.1.1输入 TACACS 服务器上创建的账号密码正常登录并获得对应权限登录 TACACS 服务器后台查看登录日志、执行命令日志确认计账功能生效。2. 常见故障排错无法登录设备检查设备与 TACACS 服务器网络是否互通核对两端共享密钥、IP 地址是否完全一致查看 AAA 方案是否正确绑定到 VTY 线路。TACACS 服务器宕机直接使用本地备用账号admin登录设备排查网络或服务器故障。权限不符检查 TACACS 服务器端的用户权限级别、授权策略配置。七、工业互联网场景下 AAA 运维规范账号管理一人一号禁止共用账号离职人员及时注销账号密钥安全定期更换 TACACS 共享密钥、设备本地密码复杂度满足工业安全要求日志管理每日巡检 AAA 审计日志发现异常登录及时告警备份配置所有工业网络设备 AAA 配置定期备份批量下发至厂区同类型设备权限最小化遵循 “最小权限原则”普通运维人员不分配最高管理权限。八、总结AAA 认证体系是工业互联网网络运维安全管控、合规审计的基础组件。通过 “远程 TACACS 为主、本地账号备用” 的部署模式既能实现全厂工业网络设备账号统一管理、权限精细化划分又能规避单点故障风险。在智能制造、智慧工厂等工业场景中将 AAA 与防火墙、工业安全平台联动可进一步构建完整的工业网络安全防线保障生产网络稳定、可控、可追溯。
 ——数据中心网络运营07)
仿真)
