您的位置:360文档中心› AAA基本配置实验

AAA基本配置实验

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验案例 AAA

一、实验目的:

二、实验环境和需求

三、实验拓扑图

四、配置步骤

(一) 配置AAA的认证

1、搭好实验环境,配置路由器实现全网互通。

R1(config)# int f0/0

R1(config-if)# ip add 192.168.1.1 255.255.255.0

R1(config)# int f1/0

R1(config-if)# ip add 192.168.2.1 255.255.255.0

R1(config)# username cisco password cisco

R1(configf)# line vty 0 15

R1(config-line)# login local

2、在路由器配置3A,实现登录路由器由AAA tacacs+服务器认证。

R1(config)# aaa new-model //启用3A

R1(config)# tacacs-server host 192.168.2.2 //3A 服务器

R1(config)# tacacs-server key cisco //与3A服务器通讯密钥R1(config)# aaa authentication login vty group tacacs+ local line

//login 登录路由器

// vty 自定义认证名称,需要调用,写成default不需调用。

// group tacacs+ local line 认证的方法,先从tacacs服务器验证用户,再本地,最后线路

R1(configf)# line vty 0 15

R1(config-line)# login authentication vty //调用

3、 在Win2003服务器在安装Cisco ACS,搭建AAA 服务器 (1) 安装Cisco ACS 软件(win2003设好IP/网关)

ACS 需要JA V A 支持,先安装JA V A(已经打包在ACS 安装包中)

在以下全选,其它NEXT 就可以了。

2、双击桌面ACS 图标,打开ACS ,如图 满足以上4个条件,ACS软件才能正常工作,全选

(2)修改Internet 属性

(3)配置ACS服务器,添加AAA客户端R1

(4)添加用户

3、在路由器上测试3A

R1(config)# test aaa group tacacs+ liweijie 1234 new-code

4、在C1上telnet 192.168.1.1

5、断开3A服务器,在C1上telnet 192.168.1.1,3A上用户不能用,本地用户能登录。说

明只有在3A服务器不可用能时才能用本地用户。

(二) 配置AAA的授权

1、在路由配置命令别级授权。

R1(config)# aaa authorization exec vty group tacacs+

//exec 授权级别

// vty 自定义授权名称,需要调用

// group tacacs+ 授权的方法, tacacs服务器授权

R1(configf)# line vty 0 15

R1(config-line)# authorization exec vty //调用

2、在3A服务器上创建一个用户user5,加入group1组,定义组属性shell exec级别为5级。

3、在C1上telnet 192.168.1.1,用user5登录。

执15级命令就要进行命令的授权。

4、在路由配置为5级进行命令授权。

R1(config)# aaa authorization commands 5 vty group tacacs+

//command 授权命令

// vty 自定义授权名称,需要调用

// group tacacs+ 授权的方法, tacacs服务器授权

R1(configf)# line vty 0 15

R1(config-line)# authorization commands 5 vty //调用5、在3A服务器上为user5所在的组授权命令configure terminal。

4、在C1上user5登录,但还是不能用conf t .(因为需要本地授权)

R1(config)# privilege exec level 5 conf t

5、在C1上telnet 192.168.1.1,用user5登录,可以进入用conf t。

(三) 配置AAA的审计

1、在路由配置审计,对VTY线路进行审计。

R1(config)# aaa accounting exec vty start-stop group tacacs+

//exec 授权级别

// vty 自定义审计名称,需要调用

// group tacacs+ 方法, tacacs服务器授权

R1(configf)# line vty 0 15

R1(config-line)# accounting exec vty //调用

2、在C1上用user5 telnet登录R1并退出,在服服务器上查看审计。

3、在路由配置审计,对VTY线路命令进行审计。

R1(config)# aaa accounting command 0 vty start-stop group tacacs+

R1(config)# aaa accounting command 1 vty start-stop group tacacs+

R1(config)# aaa accounting command 5 vty start-stop group tacacs+

R1(configf)# line vty 0 15

R1(config-line)# accounting command 0 vty

相关文档
最新文档