一、实验拓扑:
21-AAA:基本登录认证实验 //IOU_第1张图片
二、实验要求:
Radius针对于网络流量:Network,比如访问网页WWW;Tacacs+针对于网管流量:Admin,比如Telnet,它用来远程管理主机;
Radius也可以应用于Telnet,只是它的支持不是很好;
1、R1/R2配置IP地址。
2、配置路由,让PC可通R2。PC是与ACS是可以不通的;
因为流量是由 R2送到ACS上去作认证的,与PC无关。
3、配置R2的远程访问并启用AAA,且做线下保护;
4、配置远程登陆认证
5、配置ACS
6、测试
三、命令部署:
1、R2启用AAA,且做线下保护
R2(config)#aaa new-model
//该命令启用后所有需要用户名密码登陆的操作都会被保护;
所有需要登录的操作都需要用户名和密码,如果本地又没有用户名和密码,它依然要求你输入用户名和密码;
如果没有做线下,一段时间路由器就会超时而退出,而且每次你登录都要你输入用户名、密码,此时只能把IOS干掉了
R2(config)#aaa authentication login nonacs line none
//该命令全局定议所有登陆操作不受保护,如果某个登陆配置了新的登陆方式将不受该命令影响。

在console口调用:
R2(config-line)#login authentication nonacs

2、R2配置远程登陆认证
(1) 定义新的登陆操作:
R2(config)#aaa authentication login aa group tacacs+
//配置名字为aa的登陆,并将由tacacs+服务器认证
(2)VTY中调用:
R2(config)#line vty 0 4
R2(config-line)#login authentication aa
(3)定义tacacs+服务器位置,并配置通信流量加密密码:
R2(config)#tacacs-server host 10.1.2.254 key bb
(4)查看配置
R2#show run | s aaa
aaa new-model
aaa authentication login nonacs line none
aaa authentication login aa group tacacs+
R2#show run | s vty
line vty 0 4
login authentication aa

3、配置ACS
(1)ACS配置IP地址为:10.1.2.254/24,网关为:10.1.2.2,并且可以Ping通10.1.2.2
(2)ACS所用的虚拟网卡为:VM5,配置地址:10.1.1.2.3/24,网关为:10.1.2.254,
GNS3中用云模拟时选择:LAPTOP-RLA6488F,添加VM5虚拟网卡;
(3)浏览器打开:https://10.1.2.254,username:acsadmin,password:root,
即可登录进入ACS配置界面。

(4)配置客户端位置,R2地址与通信加密密码:

配置用户名密码供PC远程登陆时使用:

4、测试R2与与ACS用户名密码是否成功:
R2#test aaa group tacacs+ aa bbbb new-code //aa是用户名,bbbb是登录密码
Trying to authenticate with Servergroup tacacs+
Sending password
User successfully authenticated

5、PC端Telnet测试
PC3#telnet
PC3#telnet 12.1.1.2
Trying 12.1.1.2 ... Open
username: aa
password:
R2>
如果配置用户名密码时钩选了修改密码,刚登陆时需修改新的密码。
现在只是做了验证,没有做授权;
可以设置没有enable,或者有enable,但是进去以后只能敲部分命令,这叫授权;
可以监控你敲了哪些命令,这叫审计。