21-AAA：基本登录认证实验 //IOU

一、实验拓扑：

二、实验要求：
Radius针对于网络流量：Network，比如访问网页WWW；Tacacs+针对于网管流量：Admin，比如Telnet，它用来远程管理主机；
Radius也可以应用于Telnet，只是它的支持不是很好；
1、R1/R2配置IP地址。
2、配置路由，让PC可通R2。PC是与ACS是可以不通的；
因为流量是由 R2送到ACS上去作认证的，与PC无关。
3、配置R2的远程访问并启用AAA，且做线下保护；
4、配置远程登陆认证
5、配置ACS
6、测试
三、命令部署：
1、R2启用AAA，且做线下保护
R2(config)#aaa new-model
//该命令启用后所有需要用户名密码登陆的操作都会被保护；
所有需要登录的操作都需要用户名和密码，如果本地又没有用户名和密码，它依然要求你输入用户名和密码；
如果没有做线下，一段时间路由器就会超时而退出，而且每次你登录都要你输入用户名、密码，此时只能把IOS干掉了
R2(config)#aaa authentication login nonacs line none
//该命令全局定议所有登陆操作不受保护，如果某个登陆配置了新的登陆方式将不受该命令影响。

在console口调用：
R2(config-line)#login authentication nonacs

2、R2配置远程登陆认证
（1） 定义新的登陆操作：
R2(config)#aaa authentication login aa group tacacs+
//配置名字为aa的登陆，并将由tacacs+服务器认证
（2）VTY中调用：
R2(config)#line vty 0 4
R2(config-line)#login authentication aa
（3）定义tacacs+服务器位置，并配置通信流量加密密码：
R2(config)#tacacs-server host 10.1.2.254 key bb
（4）查看配置
R2#show run | s aaa
aaa new-model
aaa authentication login nonacs line none
aaa authentication login aa group tacacs+
R2#show run | s vty
line vty 0 4
login authentication aa

3、配置ACS
（1）ACS配置IP地址为：10.1.2.254/24，网关为：10.1.2.2，并且可以Ping通10.1.2.2
（2）ACS所用的虚拟网卡为：VM5，配置地址：10.1.1.2.3/24，网关为：10.1.2.254，
GNS3中用云模拟时选择：LAPTOP-RLA6488F，添加VM5虚拟网卡；
（3）浏览器打开：https://10.1.2.254，username：acsadmin，password：root，
即可登录进入ACS配置界面。

（4）配置客户端位置，R2地址与通信加密密码：

配置用户名密码供PC远程登陆时使用：

4、测试R2与与ACS用户名密码是否成功：
R2#test aaa group tacacs+ aa bbbb new-code //aa是用户名，bbbb是登录密码
Trying to authenticate with Servergroup tacacs+
Sending password
User successfully authenticated

5、PC端Telnet测试
PC3#telnet
PC3#telnet 12.1.1.2
Trying 12.1.1.2 ... Open
username: aa
password:
R2>
如果配置用户名密码时钩选了修改密码，刚登陆时需修改新的密码。
现在只是做了验证，没有做授权；
可以设置没有enable，或者有enable，但是进去以后只能敲部分命令，这叫授权；
可以监控你敲了哪些命令，这叫审计。