在博客中的Cisco PacketTracer 5.2模拟器的Easy ×××实验指南》,所才用接入用户认证是路由器上的用户名密码的本地认证。今天的实验我使用PacketTracer 5.2(软件下载见我的博客文章《PacketTracer 5.2IPsec ×××实验说明(PacketTracer 5.2下载地址)》)中自带的AAA服务功能来认证授权Easy ×××
所谓,AAA就是认证(Authentication),授权(Authorization),审计(Accounting)这三个英文单词的缩写。(在国内,审计常被称为计费。一切向“钱”看啊!)。 简单讲AAA的基本工作原理就是,一个事件先必须通过认证才能接入进来;然后根据相应的授权策略,下发相应的权限;审计则记录发生的每件事情。
Easy ××× 的讲解见我博客Cisco PacketTracer 5.2模拟器的Easy ×××实验指南》。本次就在Cisco PacketTracer 5.2模拟器的Easy ×××实验指南》的基础上采用AAA服务器,实验的基本连通性配置,也见那篇文章。本次试验重点讲解AAA
实验拓扑:
PacketTracer 5.2基于AAA的Easy ×××实验_第1张图片
左下角的AAA服务器配置如下:
    双击服务器图标,选择Config,在选择AAA
PacketTracer 5.2基于AAA的Easy ×××实验_第2张图片
AAA 服务器配置简单说明:Clientname是随意的,Client IP是你所要管理的路由器或交换机等网络设备的IP地址。SecretAAA服务器与管理的网络设备之间的密钥。ServiceType是协议内型,Radius是国际标准,Tacacscisco专有协议。本实验使用的Radius。配置用户名和密码如图所示,点“+”添加。
 
总部路由的AAA Easy ××× 配置:
aaa new-model
aaa authentication login eza group radius (使用AAA认证)
aaa authorization network ezo group radius
 
radius-server host 192.168.1.1 auth-port 1645 key 123 (指点AAA服务器的IP地址和密钥,1645Radius的默认端口号)
 
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
exit
 
crypto ipsec transform-set tim esp-3des esp-md5-hmac
 
ip local pool ez 192.168.3.1 192.168.3.100
crypto isakmp client configuration group myez
 key 123
 pool ez
 
crypto dynamic-map ezmap 10
 set transform-set tim
 reverse-route
    exit
 
crypto map tom client authentication list eza
crypto map tom isakmp authorization list ezo
crypto map tom client configuration address respond
crypto map tom 10 ipsec-isakmp dynamic ezmap
 
interface fa 0/1
crypto map tom
exit
 
测试:
在远端笔记本的×××中输入如下信息:
 
GroupName myez
       Group key 123
       Host IP(server IP) 100.1.1.2
       Username xiaoT
       Password 123
点击connect,就会提示连接上去,此时会显示下发的IP地址。(若没马上连上去,在配置没错的前提下,Ipsec ×××协商时,前面几个包是不通的,解决方法,在ping一下100.1.1.2,再连接Easy ×××)。Easy ×××接入后,就可ping总部的任何地址了!
 
(附件中有基本连通性和最终完成PKT文件)。