AAA
Authentication 认证
Authorization 授权
Accouting 审计
Authentication
知道什么
---密码
---用户名和密码
拥有什么
---银行卡
---数字证书
你是谁
---指纹
---视网膜
注意:认证的强度与元素有关
Authorization
授权用户能够使用的命令
授权用户访问的资源
授权用户获得的信息
注意:授权的主要作用是在用户都有效的情况下,区分特权用户和普通用户。
Accouting
---什么人
---什么时间
---做了什么事情
非常类似生活中的摄像头
Client 和NAS基本协议:
Client 和NAS之间三大协议
l 登入NAS telnet/ssh/http/https
l 拨入NAS pptp/l2tp/pppoe/ipsec *** ……
l 穿越NAS auth-proxy(IOS)/cut-through (ASA)
注意:这时AAA 技术的因。
两大AAA通讯协议
NAS和AAA服务器之间的两个通讯协议:
l Radius
l Tacacs+
注意:这时AAA技术的果。
拓扑图:
需求:
客户端远程telnet 登录路由器,需要通过AAA 认证,才可以远程访问。
配置:
1、基本telnet 管理
Ø 仅仅只配置接口IP
默认情况下,客户端telnet 登录路由器,需要密码。
注意:VTY/AUX默认为login线路,一定需要认证才能登录。
Show run | s line
Ø 基本telnet登录配置
Step1:配置VTY线下密码
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#password cisco
CSR-1000v(config-line)#login
Step2:配置enable密码
CSR-1000v(config)#enable password cisco
这时telnet 路由器显示如下,需要输入线下密码,输入enable密码。
2、本地用户名密码认证
Step1:创建用户及密码
CSR-1000v(config)#username admin password cisco
Step2:VTY线下启用本地用户名密码认证
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#login local
注意:默认登录级别为1级
CSR-1000v#show run | s line vty
line vty 0
password cisco
login local
line vty 1
password cisco //注意线下密码依然存在,本地认证优于线下密码认证。
login local
length 0
line vty 2 4
password cisco
login local
此时telnet登录如下:
Step3:配置本地用户级别
CSR-1000v(config)#username admin privilege 15
Step4:通过本地授权,用户获取15级权限
CSR-1000v#show privilege //查看用户级别
Current privilege level is 15
3、AAA设备管理
Step1:线下保护,此时没有Radius 或者Tacacs 服务器。
CSR-1000v(config)#aaa new-model //开启AAA认证
CSR-1000v(config)#aaa authentication login NOISE local line none //使用AAA认证登录
注意:
先使用AAA的用户名和密码登录,如果没有则使用本地密码认证,如果没有本地密码,则使用线下密码登录,如果没有线下密码,不需要认证,直接登录。NONE 是开启后门,防止被锁在门外。
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#login authentication NOISE //线下使用AAA认证
此时telnet 如下:
Step2:定义Tacacs+服务器
CSR-1000v(config)#aaa group server tacacs+ Renzhen //定义AAA组,名称为Renzhen
CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 ?
key per-server encryption key (overrides default)
nat To send client's post NAT address to tacacs+ server
port TCP port for TACACS+ server (default is 49)
single-connection Multiplex all packets over a single tcp connection to
server (for CiscoSecure)
timeout Time to wait for this TACACS server to reply (overrides
default)
<cr>
CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 key cisco //指定tacacs+服务及密钥
Step3:激活Device Admin Service
登录ISE,进行关联网络设备。
Step4:创建用户
用户名:test
密码:Cisc0123
Step5:测试Tacacs+服务器
Step6:配置AAA认证策略
CSR-1000v(config)#aaa authentication login TEST group Renzhen local line none //先使用AAA服务器里面的用户进行认证,如果AAA服务器连接失败,则使用本地用户认证,次之使用线下认证,最后无认证。
CSR-1000v(config)#username admin privilege 15 password 0 cisco
CSR-1000v(config)#enable password cisco
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#login authentication TEST //调用AAA 认证 TEST
Step7:测试AAA设备管理
使用ISE里面的用户名和密码进行登录测试。
此时通过用户名test远程访问,顺利通过认证。
查看ISE日志
如果通过不在ISE user 组里的用户去登录,则不允许登录,测试如下:
另外:可以断开ISE连接,测试切换到本地数据库。