在博客中的《Cisco PacketTracer 5.2模擬器的Easy ***實驗指南》,所才用接入用戶認證是路由器上的用戶名密碼的本地認證。今天的實驗我使用PacketTracer 5.2中自帶的AAA服務功能來認證授權Easy ***。
所謂,AAA就是認證(Authentication),授權(Authorization),審計(Accounting)這三個英文單詞的縮寫。(在國內,審計常被稱爲計費。一切向“錢”看啊!)。簡單講AAA的基本工作原理就是,一個事件先必須通過認證才能接入進來;然後根據相應的授權策略,下發相應的權限;審計則記錄發生的每件事情。
Easy ***的講解見我博客《Cisco PacketTracer 5.2模擬器的Easy ***實驗指南》。本次就在《Cisco PacketTracer 5.2模擬器的Easy ***實驗指南》的基礎上採用AAA服務器,實驗的基本連通性配置,也見那篇文章。本次試驗重點講解AAA。
實驗拓撲:
左下角的AAA服務器配置如下:
雙擊服務器圖標,選擇Config,在選擇AAA:
AAA服務器配置簡單說明:Clientname是隨意的,Client IP是你所要管理的路由器或交換機等網絡設備的IP地址。Secret是AAA服務器與管理的網絡設備之間的密鑰。ServiceType是協議內型,Radius是國際標準,Tacacs是cisco專有協議。本實驗使用的Radius。配置用戶名和密碼如圖所示,點“+”添加。
總部路由的AAA Easy *** 配置:
aaa new-model
aaa authentication login eza group radius (使用AAA認證)
aaa authorization network ezo group radius
radius-server host 192.168.1.1 auth-port 1645 key 123(指點AAA服務器的IP地址和密鑰,1645是Radius的默認端口號)
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
exit
crypto ipsec transform-set tim esp-3des esp-md5-hmac
ip local pool ez 192.168.3.1 192.168.3.100
crypto isakmp client configuration group myez
key 123
pool ez
crypto dynamic-map ezmap 10
set transform-set tim
reverse-route
exit
crypto map tom client authentication list eza
crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond
crypto map tom 10 ipsec-isakmp dynamic ezmap
interface fa 0/1
crypto map tom
exit
測試:
在遠端筆記本的***中輸入如下信息:
GroupName:myez
Group key:123
Host IP(server IP):100.1.1.2
Username:xiaoT
Password:123
點擊connect,就會提示連接上去,此時會顯示下發的IP地址。(若沒馬上連上去,在配置沒錯的前提下,Ipsec ***協商時,前面幾個包是不通的,解決方法,在ping一下100.1.1.2,再連接Easy ***)。Easy ***接入後,就可ping總部的任何地址了!