cisco AAA服務器配置和充備配置

來源:本站原創 CISCO 超過1,598 views圍觀 0條評論

AAA代表AuthenticationAuthorizationAccounting,意為認證、授權、記帳,其主要目的是管理哪些用戶可以訪問服務器,具有訪問權的用戶可以得到哪些服務,如何對正在使用網絡資源的用戶進行記帳。
1
認證:驗證用戶是否可以獲得訪問權限——“你是誰?
2
授權:授權用戶可以使用哪些資源——“你能干什么?
3
記帳:記錄用戶使用網絡資源的情況——“你干了些什么?
好的,簡單的了解理論知識后,接下來我們還是以實驗的方式來進行講解:
為網絡提供AAA服務的,主要有TACACS+RADIUS協議,我們主要介紹是TACACS+協議,因為它運行在TCP協議基礎之上,更適合大型網絡,特別是融合型網絡
一、 實驗拓撲介紹
clip_image001
該實驗主要完成R1路由通過ACS服務器實現AAA認證,包括驗證、授權和記帳,同時還包括PPP驗證和計時通過cisco ACS實驗
二、 安裝cisco ACS
1
硬軟件要求
硬件:Pentium IV 處理器, 1.8 GHz 或者更高
操作系統:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003
Enterprise Edition or Standard
Edition (Service Pack 1)
內存:最小1GB
虛擬內存:最小1GB
硬盤空間:最小1GB可用空間,實際大小根據日志文件的增長,復制和備份的需求而定。
瀏覽器:Microsoft Internet Explorer 6 或者更高版本
JAVA
運行環境:Sun JRE 1.4.2_04 或更高版本
網絡要求:
CISCO IOS 設備上為了全面的支持TACACS+ RADIUSAAA 客戶端必須運行Cisco IOS 11.1 或者更高的版本。
CISCO IOS 設備上必須用TACACS+RADIUS或者兩者一起配置。
運行ACS的主機必須能ping通所有的AAA客戶端。
2
安裝方法(我們用的版本是4.0版本)
打開ACS安裝程序文件夾,選中setup 雙擊。進入安裝向導,根據提示進行安裝,基本為默認設置
3
安裝完成后的訪問
在運行ACS的主機上,通過桌面上的ACS Admin 網頁圖標,可以訪問ACSweb格式的管理臺。也可以通過網頁瀏覽器輸入地址:http://127.0.0.1:2002 來訪問ACS
注:
l Windows Xp不支持cisco ACS,在此筆者是在虛機中的windows2003sever下安裝的
l ACS安裝完成后,一定要安裝JAVA平臺,否則該ACS將不能正常使用,筆者在此安裝的是jre-6u12-windows-i586-p-s.exe,版本為JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1
設置ACS管理員帳號
Step 1>
點擊ACS界面左邊的Administration control 按鈕 ,然后點擊Administrator control界面中的Add Administrator
clip_image002
Step 2>
點擊Add administrator 后出現此賬戶的諸多選項,逐一填寫后點擊Submit
clip_image003
Step3>
設置了管理員后就可以通過web界面登錄到ACS服務器對ACS進行配置
如:http://10.10.10.110:2002
2
ACS網絡設置(添加Tacacs+客戶端
Step1>
點擊ACS界面的Network Configuration按鈕 ,出現網絡配置界面,然后點擊Add Entry,
clip_image004
Step2>
添加Tacacs+客戶端(ACS中必須指定Tacacs+客戶端的名字、IP地址、key
clip_image005
3
Tacacs+設置
Step1>
點擊ACS界面左邊Interface configuration 按鈕 ,選擇TACACS+ (Cisco IOS)
clip_image006
Step2>
根據個人具體應用,在Tacacs+相關項目中打勾(如果沒有將tacacs+相關項目選中,則在用戶組/用戶屬性中將不會出現tacacs+相關項目)
clip_image007
clip_image008
4
設備端tacacs+服務器的指定
cisco設備端用以下命令指定ACS tacacs+服務器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5
添加用戶組
Step1>
ACS界面左邊點擊Group Setup
clip_image009
Step2>
在下拉列表中選取某個組,給這個組重命名,接著選擇Edit setting進入組的屬性配置
Step3>
在組的enable option 中的Max privilege for any AAA Client設置組的級別
6
添加用戶
Step1>
ACS界面的左邊點擊user setup 按鈕
clip_image010
Step2>
user方框中填寫用戶名,然后點擊ADD/Edit
Step3>
在出現的用戶屬性中逐一填寫
clip_image011
Step4>
選擇用戶屬于哪個用戶組
clip_image012
Step5>
選擇用戶屬于的級別(可以定義單個用戶級別,也可以和所屬的用戶組級別一樣)
clip_image013
Step6>
設置用戶的enable 密碼
clip_image014
好的,到這里基本配置就算是配完了,接下來我們來演示一下AAA功能的實現
四、 ACS功能設置
1
ACS認證
a)
在設備端定義tacacs+服務器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b)
ACS端定義設備的IP地址(參考ACS基本配置)
c)
ACS上面建立用戶名和用戶組
d)
在設備端配置AAA認證
R1(config)# enable secret 123 ‘
定義enable密碼
R1(config)# username abc password 456 ‘
定義本地數據庫
R1(config)# aaa new-model???? ‘
啟用AAA認證
R1(config)# aaa authentication login default group tacacs+ local ‘
設置登陸驗證默認為采用先ACS服務器再本地驗證(當ACS服務器不可達才用本地數據庫驗證)
R1(config)# aaa authentication enable default group tacacs+ enable ‘
設置enable進入特權模式默認為采用先ACS服務器再本地enable設置的密碼
R1(config)# line vty 0 4
R1(config)# login authentication default ‘
設置telnet登陸采用前面定義的default
e)
驗證
l telnet登陸:telnet 10.10.10.100,輸入ACS服務器的用戶名和密碼,登陸成功,用本地數據庫用戶名和密碼登陸失敗(因為根據前面設置,R1首先會去ACS服務器進行驗證,當ACS服務器不可達時,才會用本地數據庫驗證)
clip_image015
我們可以試著斷開ACS與路由的連接,然后再進行登陸,這時則必須用本地數據庫驗證,也就是用戶名為abc 密碼為456
l enable進入特權測試
clip_image016
此時輸入特權模式密碼為ACS服務器上的密碼,而非本地路由的enable密碼
2
ACS授權
ACS
中可以通過設置用戶組/用戶的級別privilege來實現不同用戶登錄設備后可用的命令的不同,也可以通過使用ACS的命令授權來實現不同用戶登錄設備的可用命令條目,以下介紹ACS的命令授權
Step1>
ACS的界面左邊的share profile components按鈕
clip_image017
Step2>
點擊shell command authorization sets
clip_image018

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=1579轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏