部分 min 客戶 主機 修改密碼 tel 基本 key 現在

一、實驗拓撲：

二、實驗要求：
Radius針對於網絡流量：Network，比如訪問網頁WWW；Tacacs+針對於網管流量：Admin，比如Telnet，它用來遠程管理主機；
Radius也可以應用於Telnet，只是它的支持不是很好；
1、R1/R2配置IP地址。
2、配置路由，讓PC可通R2。PC是與ACS是可以不通的；
因為流量是由 R2送到ACS上去作認證的，與PC無關。
3、配置R2的遠程訪問並啟用AAA，且做線下保護；
4、配置遠程登陸認證
5、配置ACS
6、測試
三、命令部署：
1、R2啟用AAA，且做線下保護
R2(config)#aaa new-model
//該命令啟用後所有需要用戶名密碼登陸的操作都會被保護；
所有需要登錄的操作都需要用戶名和密碼，如果本地又沒有用戶名和密碼，它依然要求你輸入用戶名和密碼；
如果沒有做線下，一段時間路由器就會超時而退出，而且每次你登錄都要你輸入用戶名、密碼，此時只能把IOS幹掉了
R2(config)#aaa authentication login nonacs line none
//該命令全局定議所有登陸操作不受保護，如果某個登陸配置了新的登陸方式將不受該命令影響。

在console口調用：
R2(config-line)#login authentication nonacs

2、R2配置遠程登陸認證
（1） 定義新的登陸操作：
R2(config)#aaa authentication login aa group tacacs+

//配置名字為aa的登陸，並將由tacacs+服務器認證
（2）VTY中調用：
R2(config)#line vty 0 4
R2(config-line)#login authentication aa
（3）定義tacacs+服務器位置，並配置通信流量加密密碼：
R2(config)#tacacs-server host 10.1.2.254 key bb
（4）查看配置
R2#show run | s aaa
aaa new-model
aaa authentication login nonacs line none
aaa authentication login aa group tacacs+
R2#show run | s vty
line vty 0 4
login authentication aa

3、配置ACS
（1）ACS配置IP地址為：10.1.2.254/24，網關為：10.1.2.2，並且可以Ping通10.1.2.2
（2）ACS所用的虛擬網卡為：VM5，配置地址：10.1.1.2.3/24，網關為：10.1.2.254，
GNS3中用雲模擬時選擇：LAPTOP-RLA6488F，添加VM5虛擬網卡；
（3）瀏覽器打開：https://10.1.2.254，username：acsadmin，password：root，
即可登錄進入ACS配置界面。

（4）配置客戶端位置，R2地址與通信加密密碼：

配置用戶名密碼供PC遠程登陸時使用：

4、測試R2與與ACS用戶名密碼是否成功：
R2#test aaa group tacacs+ aa bbbb new-code //aa是用戶名，bbbb是登錄密碼
Trying to authenticate with Servergroup tacacs+
Sending password
User successfully authenticated

5、PC端Telnet測試
PC3#telnet
PC3#telnet 12.1.1.2
Trying 12.1.1.2 ... Open
username: aa
password:
R2>
如果配置用戶名密碼時鉤選了修改密碼，剛登陸時需修改新的密碼。
現在只是做了驗證，沒有做授權；
可以設置沒有enable，或者有enable，但是進去以後只能敲部分命令，這叫授權；
可以監控你敲了哪些命令，這叫審計。

21-AAA：基本登錄認證實驗 //IOU