AAA基本配置实验

  • 格式:pdf
  • 大小:669.54 KB
  • 文档页数:14

实验案例 AAA一、实验目的:二、实验环境和需求三、实验拓扑图四、配置步骤(一) 配置AAA的认证1、搭好实验环境,配置路由器实现全网互通。

R1(config)# int f0/0R1(config-if)# ip add 192.168.1.1 255.255.255.0R1(config)# int f1/0R1(config-if)# ip add 192.168.2.1 255.255.255.0R1(config)# username cisco password ciscoR1(configf)# line vty 0 15R1(config-line)# login local2、在路由器配置3A,实现登录路由器由AAA tacacs+服务器认证。

R1(config)# aaa new-model //启用3AR1(config)# tacacs-server host 192.168.2.2 //3A 服务器R1(config)# tacacs-server key cisco //与3A服务器通讯密钥R1(config)# aaa authentication login vty group tacacs+ local line//login 登录路由器// vty 自定义认证名称,需要调用,写成default不需调用。

// group tacacs+ local line 认证的方法,先从tacacs服务器验证用户,再本地,最后线路R1(configf)# line vty 0 15R1(config-line)# login authentication vty //调用3、 在Win2003服务器在安装Cisco ACS,搭建AAA 服务器 (1) 安装Cisco ACS 软件(win2003设好IP/网关)ACS 需要JA V A 支持,先安装JA V A(已经打包在ACS 安装包中)在以下全选,其它NEXT 就可以了。

2、双击桌面ACS 图标,打开ACS ,如图 满足以上4个条件,ACS软件才能正常工作,全选(2)修改Internet 属性(3)配置ACS服务器,添加AAA客户端R1(4)添加用户3、在路由器上测试3AR1(config)# test aaa group tacacs+ liweijie 1234 new-code4、在C1上telnet 192.168.1.15、断开3A服务器,在C1上telnet 192.168.1.1,3A上用户不能用,本地用户能登录。

说明只有在3A服务器不可用能时才能用本地用户。

(二) 配置AAA的授权1、在路由配置命令别级授权。

R1(config)# aaa authorization exec vty group tacacs+//exec 授权级别// vty 自定义授权名称,需要调用// group tacacs+ 授权的方法, tacacs服务器授权R1(configf)# line vty 0 15R1(config-line)# authorization exec vty //调用2、在3A服务器上创建一个用户user5,加入group1组,定义组属性shell exec级别为5级。

3、在C1上telnet 192.168.1.1,用user5登录。

执15级命令就要进行命令的授权。

4、在路由配置为5级进行命令授权。

R1(config)# aaa authorization commands 5 vty group tacacs+//command 授权命令// vty 自定义授权名称,需要调用// group tacacs+ 授权的方法, tacacs服务器授权R1(configf)# line vty 0 15R1(config-line)# authorization commands 5 vty //调用5、在3A服务器上为user5所在的组授权命令configure terminal。

4、在C1上user5登录,但还是不能用conf t .(因为需要本地授权)R1(config)# privilege exec level 5 conf t5、在C1上telnet 192.168.1.1,用user5登录,可以进入用conf t。

(三) 配置AAA的审计1、在路由配置审计,对VTY线路进行审计。

R1(config)# aaa accounting exec vty start-stop group tacacs+//exec 授权级别// vty 自定义审计名称,需要调用// group tacacs+ 方法, tacacs服务器授权R1(configf)# line vty 0 15R1(config-line)# accounting exec vty //调用2、在C1上用user5 telnet登录R1并退出,在服服务器上查看审计。

3、在路由配置审计,对VTY线路命令进行审计。

R1(config)# aaa accounting command 0 vty start-stop group tacacs+R1(config)# aaa accounting command 1 vty start-stop group tacacs+R1(config)# aaa accounting command 5 vty start-stop group tacacs+R1(configf)# line vty 0 15R1(config-line)# accounting command 0 vtyR1(config-line)# accounting command 1 vtyR1(config-line)# accounting command 5 vty2、在C1上用user5 telnet登录R1输入命令,并退出,在服服务器上查看审计。

附加Privilege Levels概述在Cisco设备中,将所有用户的操作权限分为0-15共16个等级,0为最低等级,15为最高等级。

等级越高,能执行的命令就越多,权限就越大。

要给用户赋于等级,可以在配置用户名或者密码时赋予。

在Cisco设备中,有一种最初级的模式,称为用户模式,即User EXEC mode,默认表示为Router>,在这个模式下,默认等级是1,能执行的命令命令是相当少的,而需要注意的是,在这个模式下,永远只能执行等级为1的命令,如果要将等级提高到更高,就需要手动进入更高等级的模式,这个模式被称为特权模式,即P rivileged EXEC mode,表示为Router#,通常此模式被称为enable模式。

在没有指定等级而进入enable模式后,默认等级为15,也就表示可以完全控制设备。

如果要进入比1级更高的模式而又不是15级,可以在进入enable模式时手工指定要进入的等级。

除此之外,在创建本地用户数据库时,也可以为相应用户指定相应等级,如果不指定,默认用户等级为1级。

通过以上方法为相应用户或密码分配等级之后,他们所能执行的命令也只是相应等级范围内的,比如5级的用户是不能执行15级的命令的,但是可以手工赋予每个等级可以执行哪些命令,如让5级的用户能执行某15级的命令,如果5级用户能执行某15级的命令,那么6-15也都是可以执行的。

注:如果15级Privileged EXEC mode没有密码,默认只有本地终端直连可以登陆,VTY是不能登陆的。

配置1.查看User EXEC mode的默认等级r1>show privilegeCurrent privilege level is 1r1>说明:从结果中看出,在User EXEC mode下,默认的等级为1级,也永远只能执行1级的命令。

2.查看Privileged EXEC mode的默认等级(1)不指定等级登陆Privileged EXEC moder1>enabler1#(2)查看查看Privileged EXEC mode的默认等级r1#show privilegeCurrent privilege level is 15r1#说明:从结果中看出,在Privileged EXEC mode下,默认的等级为15级3.创建不同等级的密码(1)创建一个5级的密码,为cisco5注:只有在创建secret密码时,才能指定等级,password是不可以的。

r1(config)#enable secret level 5 cisco5(2)创建一个6级的密码,为cisco6r1(config)#enable secret level 6 cisco64.测试5级的密码(1)登陆5级的密码r1>enable 5Password: 输入cisco5(2)查看当前等级r1#show privilegeCurrent privilege level is 5r1#说明:从结果中看出,当前等级为5级。

(3)查看show run配置r1#show run^% Invalid input detected at '^' marker.r1#说明:从结果中看出, 5级用户是不能执行show run命令的。

5.测试6级的密码(1)登陆6级的密码r1>enable 6Password: 输入cisco6r1#(2)查看当前等级r1#show privilegeCurrent privilege level is 6r1#说明:从结果中看出,当前等级为6级。

(4)查看show run配置r1#show run^% Invalid input detected at '^' marker.r1#说明:从结果中看出, 6级用户也是不能执行show run命令的。

6.赋予5级用户可以执行show run命令说明:要赋予某个等级用户可以执行某个命令时,必须使用15级的等级来指定,还必须说明该等级是在哪个模式下执行命令的。

r1(config)#privilege exec level 5 show run说明:赋予5级用户可以在exec执行show run 命令7.测试5级用户的命令r1>enable 5Password:r1#show runBuilding configuration...Current configuration : 55 bytesboot-start-markerboot-end-marker!endr1#说明:可以看到,5级用户已经可以执行show run命令,但要注意的是,该等级只能查看权限范围内能够配置的参数情况。