配置aaa
如何保障router的安全
aaa是什么
authentication认证:
知道什么
密码
用户名和密码
拥有什么
银行卡
数字证书
你是谁
指纹
视网膜
注意:认证的强度与元素有关
authorization授权:
授权用户能够使用的命令
授权用户访问的资源
授权用户获得信息
注意:授权的主要作用是在用户都有效的情况下,区分特权用户和普通用户。
accounting审计:
什么人
什么时间
做了什么事情
非常类似生活中的摄像头
什么情况使用aa
nas的数量
人数多少
人员变动姘居
accounting
aaa基本拓扑
aaa的三大运用
登录
穿越
拨入
client和nas基本协议
client与nas之间三大协议
登录nas telnet/ssh/http/https
拨入nas pptp/l2tp/pppoe/ipsec vpn
穿越nas auth-proxy(ios)/cut-through(asa)
注意:这是aaa技术的因
两大aaa通讯协议
nas与aaa服务器之间两大通讯协议
radius
dacacs+
注意:这是aaa技术的果
radius vs tacacs+
tacacs+认证,审计,授权是分开的,需要3台服务器。
tacacs+全包加密,更安全
基本telnet管理
仅仅只配置接口ip不能telnet,原因vty/aux默认为login线路,一定要认证才能登陆
基本telnet登陆配置
step1:配置vty线下密码
line vty 0 15
password cisco
step2:配置enable密码
enable secret wolfccies
配置console口线下密码
line console 0
password wolfccies
因为console默认为no login线路,所以密码不会生效。
启用console口login
line console 0
login
创建用户
username wolf password cisco
console/aux/vty线下启用本地用户名密码认证
line vty 0 15
login local
配置用户级别
username wolf privilege 15
通过本地授权,用户获取15级权限
show privilege
安装acs前期准备
acs4.1,最新版本acs5.2
windows服务器做系统(2k/2003/2008)
建议英文版操作系统
安装最新的补丁
手动配置ip地址
java运行环境(j2se runtime enviroment)
access control server(acs)安装文件
ios设备线下保护
启用aaa
aaa new-model
配置线下保护策略
aaa authentication login noacs line none
命令解释:login(登录)认证策略
策略名为noacs
策略为先使用线下密码认证(line),如果线下没有密码就不认证(none).
策略任务:保障console/aux不受影响(1.网络问题2.额批示这问题),始终可以登录。
调用线下保护策略
login authentication noacs
line aux 0
login authentication noacs
其他技巧(1.最好本地调试2.不要存盘3.留后门)
传统定义aaa服务器命令(推荐)
tacacs-server host 192.168.1.241 key cisco
radius-server host 192.168.1.241 key cisco
新定义aaa服务器命令
aaa group server radius r.group
server-private 192.168.1.241 key cisco
aaa group server tacacs+ group
server-private 192.168.1.241 key cisco
测试aaa服务器
test aaa group tacacs+ test cisco new-code
注意:有些老版本的ios这条命令为隐藏命令,可以强制敲入!
测试成功表示,前期准备(1.ios添加服务器2.acs添加aaa客户端3.创建用户和密码)完全正确
定义login认证策略方法一
aaa authentication login vty.authent group tacacs+
定义login认证策略方法二(本地备份)username localback password wolfccies
aaa authentication login vty.authent group tacacs+ local
注意:当aaa服务器error(不太能提供服务,网络故障)才能切换到本地数据库认证
定义login认证策略方法三(调用aaa group)
aaa authentication login vty.authent group t.group local
调用认证策略
line vty 0 15
login authentication vty.authen
关于default策略
defalult策略全局配置并且自动运用到这个设备所有支持这种类型策略的接口(例如:login authentication策略就会被自动运用到console/aux/vty/http),注意:命名的(named),策略优于default策略。
使用推荐:(1.强烈建议使用named策略2.不清楚named策略运用命令[h.323]3.不支持named策略[802.1x,auth-proxy])
aaa authentication login default group tacacs+