1. 程式人生 > >21-AAA:基本登錄認證實驗 //IOU

21-AAA:基本登錄認證實驗 //IOU

部分 min 客戶 主機 修改密碼 tel 基本 key 現在

一、實驗拓撲:
技術分享圖片
二、實驗要求:
Radius針對於網絡流量:Network,比如訪問網頁WWW;Tacacs+針對於網管流量:Admin,比如Telnet,它用來遠程管理主機;
Radius也可以應用於Telnet,只是它的支持不是很好;
1、R1/R2配置IP地址。
2、配置路由,讓PC可通R2。PC是與ACS是可以不通的;
因為流量是由 R2送到ACS上去作認證的,與PC無關。
3、配置R2的遠程訪問並啟用AAA,且做線下保護;
4、配置遠程登陸認證
5、配置ACS
6、測試
三、命令部署:
1、R2啟用AAA,且做線下保護
R2(config)#aaa new-model
//該命令啟用後所有需要用戶名密碼登陸的操作都會被保護;
所有需要登錄的操作都需要用戶名和密碼,如果本地又沒有用戶名和密碼,它依然要求你輸入用戶名和密碼;
如果沒有做線下,一段時間路由器就會超時而退出,而且每次你登錄都要你輸入用戶名、密碼,此時只能把IOS幹掉了
R2(config)#aaa authentication login nonacs line none
//該命令全局定議所有登陸操作不受保護,如果某個登陸配置了新的登陸方式將不受該命令影響。

在console口調用:
R2(config-line)#login authentication nonacs

2、R2配置遠程登陸認證
(1) 定義新的登陸操作:
R2(config)#aaa authentication login aa group tacacs+

//配置名字為aa的登陸,並將由tacacs+服務器認證
(2)VTY中調用:
R2(config)#line vty 0 4
R2(config-line)#login authentication aa
(3)定義tacacs+服務器位置,並配置通信流量加密密碼:
R2(config)#tacacs-server host 10.1.2.254 key bb
(4)查看配置
R2#show run | s aaa
aaa new-model
aaa authentication login nonacs line none
aaa authentication login aa group tacacs+
R2#show run | s vty
line vty 0 4
login authentication aa

3、配置ACS
(1)ACS配置IP地址為:10.1.2.254/24,網關為:10.1.2.2,並且可以Ping通10.1.2.2
(2)ACS所用的虛擬網卡為:VM5,配置地址:10.1.1.2.3/24,網關為:10.1.2.254,
GNS3中用雲模擬時選擇:LAPTOP-RLA6488F,添加VM5虛擬網卡;
(3)瀏覽器打開:https://10.1.2.254,username:acsadmin,password:root,
即可登錄進入ACS配置界面。

(4)配置客戶端位置,R2地址與通信加密密碼:

配置用戶名密碼供PC遠程登陸時使用:

4、測試R2與與ACS用戶名密碼是否成功:
R2#test aaa group tacacs+ aa bbbb new-code //aa是用戶名,bbbb是登錄密碼
Trying to authenticate with Servergroup tacacs+
Sending password
User successfully authenticated

5、PC端Telnet測試
PC3#telnet
PC3#telnet 12.1.1.2
Trying 12.1.1.2 ... Open
username: aa
password:
R2>
如果配置用戶名密碼時鉤選了修改密碼,剛登陸時需修改新的密碼。
現在只是做了驗證,沒有做授權;
可以設置沒有enable,或者有enable,但是進去以後只能敲部分命令,這叫授權;
可以監控你敲了哪些命令,這叫審計。
技術分享圖片

21-AAA:基本登錄認證實驗 //IOU