CISCO路由AAA的Easy ***

 

在博客中的《Cisco PacketTracer　5.2模擬器的Easy ***實驗指南》，所才用接入用戶認證是路由器上的用戶名密碼的本地認證。今天的實驗我使用PacketTracer　5.2中自帶的AAA服務功能來認證授權Easy ***。

所謂，AAA就是認證（Authentication），授權（Authorization），審計（Accounting）這三個英文單詞的縮寫。（在國內，審計常被稱爲計費。一切向“錢”看啊！）。簡單講AAA的基本工作原理就是，一個事件先必須通過認證才能接入進來；然後根據相應的授權策略，下發相應的權限；審計則記錄發生的每件事情。

Easy ***的講解見我博客《Cisco PacketTracer　5.2模擬器的Easy ***實驗指南》。本次就在《Cisco PacketTracer　5.2模擬器的Easy ***實驗指南》的基礎上採用AAA服務器，實驗的基本連通性配置，也見那篇文章。本次試驗重點講解AAA。

實驗拓撲：

 

 

 

 

 

 

左下角的AAA服務器配置如下：

    雙擊服務器圖標，選擇Config，在選擇AAA：

 

 

AAA服務器配置簡單說明：Clientname是隨意的，Client IP是你所要管理的路由器或交換機等網絡設備的IP地址。Secret是AAA服務器與管理的網絡設備之間的密鑰。ServiceType是協議內型，Radius是國際標準，Tacacs是cisco專有協議。本實驗使用的Radius。配置用戶名和密碼如圖所示，點“+”添加。

 

 

總部路由的AAA Easy *** 配置：

aaa new-model

aaa authentication login eza group radius （使用AAA認證）

aaa authorization network ezo group radius

 

radius-server host 192.168.1.1 auth-port 1645 key 123（指點AAA服務器的IP地址和密鑰，1645是Radius的默認端口號）

 

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

exit

 

crypto ipsec transform-set tim esp-3des esp-md5-hmac

 

ip local pool ez 192.168.3.1 192.168.3.100

crypto isakmp client configuration group myez

 key 123

 pool ez

 

crypto dynamic-map ezmap 10

 set transform-set tim

 reverse-route

    exit

 

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap

 

interface fa 0/1

crypto map tom

exit

 

測試：

在遠端筆記本的***中輸入如下信息：

 

GroupName：myez

       Group key：123

       Host IP(server IP)：100.1.1.2

       Username：xiaoT

       Password：123

點擊connect，就會提示連接上去，此時會顯示下發的IP地址。（若沒馬上連上去，在配置沒錯的前提下，Ipsec ***協商時，前面幾個包是不通的，解決方法，在ping一下100.1.1.2，再連接Easy ***）。Easy ***接入後，就可ping總部的任何地址了！