Cisco模拟器+ACS软件
拓扑:Client(PC)--NAS(防火墙或者路由器等网关设备)--AAA server (安装了ACS软件的服务器-Win2008 server或者linux 平台得支持JAVA)
AAA的两大协议:1、TACACS+ (Cisco私有 TCP/IP 端口号为49;三个session来完成AAA 交互报文的整个报文均加密;2、RADIUS (IETF标准 UDP/IP 端口号1812 and 1813 前面AA均用的端口号1812 只是密码加 RADIUS Attributes: AV-pairs不同语言 NAC---AAA 用不同语言的报文进行沟通;
R1(config)#enable password cisco 设置enable密码 vty I:R1(config)#line vty 0 R1(config)#no login 不需要密码登 R1(config)#transport input telnet 允许Telnet登录 II #line vty 0 login local 本地用户名密码认 transport input telne #username ccnp privilege 15 password CCNP 设置本地用户名密码
III:AAA认证配置 定义Tacacs+服务器地址及名称R1(config)#tacacs server ISP_TACACR1(config-server-tacacs)#address ipv4 192.168.1.Authentication 1、login登录的认证 R1(config)#aaa new-model 首先得打这条命 a、使用本地认证: R1(config)#aaa authentication login default xxx (login:表示登录认证;default默认是在所有接口生效--如vty,console,aux等 或者 R1(config)#aaa authentication login AUTHEN none (none 不需要输入密码,line表示就直接使用line下密码,local表示使用本地用户名密码,enable表示登录密码使用本地enable密码 R1(config-line)#login authentication AUTHEN 这种要在相应接口调用 b、使用server认证:R1(config)#aaa authentication login AUTHEN group tacacs+ R1(config)#tacacs-server host x.x.x.x key xxx (key是NAS和ACS通信进行加密的秘钥最后在line上应用:因为此处不是default 没有应用在所有接口,需要在相应接口调用! R1(config-line)#login authentication AUTNEN在server ACS软件里进行设置user/password 及认证方式 在网络管理-AAA client 去添加一些client端(AAA Client IP Address , Key,所使用的server类型 Tacacs+)--Submit+Restart后生在User Setup 去定义用户名及密码; 设置都ok后记得在路由器上测试:test aaa group tacacs+ wolf wolf 测试成功即可 2、Enable认证 R1(config)#aaa authentication enable default ? 默认对所有接口生 cache Use Cached-grou enable Use enable password for authentication group Use Server-grou line Use line password for authentication. 从vty进来就用vty的密码作为enable密码,从console口进来就用的console密码作为enable密码 none NO authentication R1(config)#aaa authentication enable default group tacacs+ 在AAA ACS里找到对应用户:User Setup--Advanced TACAS+ Setting 选级别默认是进来就15级;指定密码;Submit即可;Authorization 1、级别授权:exec 0 1(show ver,show ip int bri), 2-14, 15 默认15级 15级才可以config t R1(config)#aaa authorization exec default group tacacs+ local none (本地只的是username xx privilege xx password xx里的privi 进AAA定义授权的级数:进去对应用户-User Setup -- TACACS+ Setting -勾选 Shell(exec) Privilege level x-Submit即可;15级直接就到#模式了 2、命令授权 针对某一级别的用户可以使用哪些命令:comman R1(config)#aaa authorization commands 15 default group tacacs+ 针对15级的命令进行授权 AAA上设置:找到对应用户User Setup--Tacacs+ Setting--勾选Command ,勾选Per User Command... 随后写入 configure Argu值填入permit terminal;每条命令都定义太繁琐; Accounting 1、登入登出时间统 aaa accounting exec default start-stop group tacacs AAA里默认是已经集成了,不用配置啥;在Reports and Activity--TACACS+,Accounting 里可以查看记录 2、用户配置命令的统计 对应级别才有相应的命 R1(config)#aaa accounting commands 15 default start-stop group tacacs AAA里默认是已经集成了,不用配置啥;在Reports and Activity--TACACS+, Administration里可查记录;
需要安装ACS软件的PC充当AAA服务器,需要在AAA里指明Client 的IP
路由器版本最好带有安全特性的,不然有些命令敲不上