AAA
Authentication 認證
Authorization 授權
Accouting 審計
Authentication
知道什麼
---密碼
---用戶名和密碼
擁有什麼
---銀行卡
---數字證書
你是誰
---指紋
---視網膜
注意:認證的強度與元素有關
Authorization
授權用戶能夠使用的命令
授權用戶訪問的資源
授權用戶獲得的信息
注意:授權的主要作用是在用戶都有效的情況下,區分特權用戶和普通用戶。
Accouting
---什麼人
---什麼時間
---做了什麼事情
非常類似生活中的攝像頭
Client 和NAS基本協議:
Client 和NAS之間三大協議
l 登入NAS telnet/ssh/http/https
l 撥入NAS pptp/l2tp/pppoe/ipsec *** ……
l 穿越NAS auth-proxy(IOS)/cut-through (ASA)
注意:這時AAA 技術的因。
兩大AAA通訊協議
NAS和AAA服務器之間的兩個通訊協議:
l Radius
l Tacacs+
注意:這時AAA技術的果。
拓撲圖:
需求:
客戶端遠程telnet 登錄路由器,需要通過AAA 認證,纔可以遠程訪問。
配置:
1、基本telnet 管理
Ø 僅僅只配置接口IP
默認情況下,客戶端telnet 登錄路由器,需要密碼。
注意:VTY/AUX默認爲login線路,一定需要認證才能登錄。
Show run | s line
Ø 基本telnet登錄配置
Step1:配置VTY線下密碼
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#password cisco
CSR-1000v(config-line)#login
Step2:配置enable密碼
CSR-1000v(config)#enable password cisco
這時telnet 路由器顯示如下,需要輸入線下密碼,輸入enable密碼。
2、本地用戶名密碼認證
Step1:創建用戶及密碼
CSR-1000v(config)#username admin password cisco
Step2:VTY線下啓用本地用戶名密碼認證
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#login local
注意:默認登錄級別爲1級
CSR-1000v#show run | s line vty
line vty 0
password cisco
login local
line vty 1
password cisco //注意線下密碼依然存在,本地認證優於線下密碼認證。
login local
length 0
line vty 2 4
password cisco
login local
此時telnet登錄如下:
Step3:配置本地用戶級別
CSR-1000v(config)#username admin privilege 15
Step4:通過本地授權,用戶獲取15級權限
CSR-1000v#show privilege //查看用戶級別
Current privilege level is 15
3、AAA設備管理
Step1:線下保護,此時沒有Radius 或者Tacacs 服務器。
CSR-1000v(config)#aaa new-model //開啓AAA認證
CSR-1000v(config)#aaa authentication login NOISE local line none //使用AAA認證登錄
注意:
先使用AAA的用戶名和密碼登錄,如果沒有則使用本地密碼認證,如果沒有本地密碼,則使用線下密碼登錄,如果沒有線下密碼,不需要認證,直接登錄。NONE 是開啓後門,防止被鎖在門外。
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#login authentication NOISE //線下使用AAA認證
此時telnet 如下:
Step2:定義Tacacs+服務器
CSR-1000v(config)#aaa group server tacacs+ Renzhen //定義AAA組,名稱爲Renzhen
CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 ?
key per-server encryption key (overrides default)
nat To send client's post NAT address to tacacs+ server
port TCP port for TACACS+ server (default is 49)
single-connection Multiplex all packets over a single tcp connection to
server (for CiscoSecure)
timeout Time to wait for this TACACS server to reply (overrides
default)
<cr>
CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 key cisco //指定tacacs+服務及密鑰
Step3:激活Device Admin Service
登錄ISE,進行關聯網絡設備。
Step4:創建用戶
用戶名:test
密碼:Cisc0123
Step5:測試Tacacs+服務器
Step6:配置AAA認證策略
CSR-1000v(config)#aaa authentication login TEST group Renzhen local line none //先使用AAA服務器裏面的用戶進行認證,如果AAA服務器連接失敗,則使用本地用戶認證,次之使用線下認證,最後無認證。
CSR-1000v(config)#username admin privilege 15 password 0 cisco
CSR-1000v(config)#enable password cisco
CSR-1000v(config)#line vty 0 4
CSR-1000v(config-line)#login authentication TEST //調用AAA 認證 TEST
Step7:測試AAA設備管理
使用ISE裏面的用戶名和密碼進行登錄測試。
此時通過用戶名test遠程訪問,順利通過認證。
查看ISE日誌
如果通過不在ISE user 組裏的用戶去登錄,則不允許登錄,測試如下:
另外:可以斷開ISE連接,測試切換到本地數據庫。