武汉金信润天
免费服务热线:13260580922
微信在线咨询:13260580922
武汉金信润天:027-87538126
北京金信润天:010-88134881
扫一扫
关注我们
如何使用CISCO ACS认证用户身份?
时间:2019-06-11 15:25    浏览次数:     发布者:Lee Xu    来源:武汉金信润天    
0
一、基本的设备管理
 
设备在上架以后,一般会配置远程访问方便管理员调试设备,先看两个最基本的管理方式。
 
二、通过Telnet管理设备
 
拓扑如下,VMnet16中有一台ACS5.2设备(Cisco的老产品,现在已由ISE取代,这里为了实验演示采用ACS5.2)。在R1上配置telnet远程访问。在R2上测试。
 
 ##IP配置略
1 
2 R1(config)#line vty 0 4 \\进入虚拟线路vty0~4配置
3 R1(config-line)#password cisco \\配置登录密码为Cisco
4 
5 ##在R2上测试
6 R2#telnet 172.16.1.254
7 Trying 172.16.1.254 ... Open
8 
9 
10 User Access Verification
11 
12 Password: 
13 R1>enable
14 % No password set \\由于没有设置enable密码,所以无法进入特权模式
15 R1>
16 
17 ##在R1上配置enable密码
18 R1(config)#enable password cisco \\使用明文的方式存储密码 可以使用show run命令看到
19 R1#show run | in enable password
20 enable password cisco
21 
22 ##这里推荐使用密文的方式存储密码。
23 R1(config)#no enable password cisco \\将之前配置的enable密码去掉
24 R1(config)#enable secret cisco  \\使用密文的方式存储密码
25 R1(config)#do show run | in enable  
26 enable secret 5 $1$3/N0$wqldLLB3LOtZd0DDhfHpj/ \\可以发现这边的密码已经看不到原文了
27 R1(config)#
 
通过SSH管理设备
 
以上是Telnet方式管理设备的基本配置,如果做了这个配置,只要telnet客户端和telnet服务器之间的网络能够连通,就可以直接在客户端上使用telnet命令远程管理设备。但是这种方式是明文的。所有的内容都可以被数据包分析软件截获。例如Wireshark。
 
这样一来网络安全就无法保障了。如果要保障数据的安全性,可以使用SSH的方式登录。
 
 ##在R1上配置SSH
 1 
2 R1(config)#ip domain name cisco \\随便设置一个域名
3 R1(config)#crypto key gen rsa \\生成ssh需要用到的key
4 The name for the keys will be: R1.cisco
5 Choose the size of the key modulus in the range of 360 to 4096 for your
6  General Purpose Keys. Choosing a key modulus greater than 512 may take
7  a few minutes.
8
9 How many bits in the modulus [512]: \\直接回车 这里是key的长度 默认512
10 % Generating 512 bit RSA keys, keys will be non-exportable...
11 [OK] (elapsed time was 1 seconds)
12 
13 R1(config)#
14 *May 24 01:28:36.150:  RSA key size needs to be atleast 768 bits for ssh version 2 \\如果直接回车 会提示 ssh 版本2 需要至少768位的密钥长度 所以这里可以更改一下
15 R1(config)#crypto key gen rsa
16 % You already have RSA keys defined named R1.cisco.
17 % Do you really want to replace them? [yes/no]: yes
18 Choose the size of the key modulus in the range of 360 to 4096 for your
19  General Purpose Keys. Choosing a key modulus greater than 512 may take
20  a few minutes.
21
22 How many bits in the modulus [512]: 768
23 % Generating 768 bit RSA keys, keys will be non-exportable...
24 [OK] (elapsed time was 0 seconds)
25
26 R1(config)#
27 *May 24 01:31:50.641: %SSH-5-ENABLED: SSH 1.99 has been enabled
28 R1(config)#ip ssh version 2 \\将SSH的版本设为V2
29 R1(config)#line vty 0 4 \\进入远程连接的VTY接口
30 R1(config-line)#transp in ssh \\设置远程连接的协议只能是SSH
31 R1(config)#username cisco privilege 0 password cisco \\在服务器上创建一个用户,这里privilege如果不是0,进入时直接就是特权模式,不需要输入特权密码。为了安全起见 将privilege设为0.
32
33 ##在R2上测试
34 R2#ssh -l cisco 172.16.1.254
35 R1>en
36 Password: 
37 R1#
 
 
可以看到再进行抓包就抓不到了。
 
通过AAA管理设备
AAA是什么
 
Authentication(认证)
对用户的身份进行认证。例如通过用户名和密码,指纹等。
Authorization(授权)
授权用户能够使用的命令
授权用户访问的资源
授权用户获得的信息
主要是在用户都有效的情况下区分普通用户和特权用户
Accounting(审计)
记录用户做了什么事情。类似于生活中的摄像头。
什么情况下使用AAA
 
在网络特别简单,用户比较少的情况下可以用本地账号认证,不需要AAA。
 
在有较多NAS(Network Access Server)时。
 
在登录管理的设备较多的时候。
 
VPN拨入的时候
 
Client和NAS可能会用到例如ssh,telnet等协议
 
还有拨入服务例如 ipsec vpn,pppoe等。
 
那么在NAS服务器需要做身份验证的时候,就可以找AAA服务器做认证、授权和审计。AAA服务器和NAS服务器之间的通讯使用的是RADIUS或者TACACS+。
 
AAA的配置
 
Cisco路由器的AAA配置分为以下几步:
 
在路由器上指定AAA服务器
在AAA服务器上指定AAA客户端(路由器或者其他网络设备)

 
 ##先在R1上配置线下保护策略
1 R1(config)#aaa new-model \\开启AAA
2 R1(config)#aaa authentication login noacs line none 
3 ##解释:
4 login:登录认证策略
5 noacs:策略名字叫noacs
6 策略为先使用线下密码认证(line),如果没有线下密码就不认证
7 该策略的作用是,在网络或者配置出现问题时,Console口始终是可以正常使用的
8
9 ##然后再调用线下策略
10 R1(config)#line con 0
11 R1(config-line)#login authe noacs \\登录策略使用noacs
12 R1(config-line)#password cisco
 
 
在配置完线下保护策略以后,就可以指定AAA服务器了。
 
AAA服务器有两种指定方法
   ##AAA服务器指定方法一
1 R1(config)#tacacs server ACS
2 R1(config-server-tacacs)#address ipv4 192.168.2.233
3 R1(config-server-tacacs)#key cisco
4 R1(config-server-tacacs)#exit
5
6 ##AAA服务器指定方法二
7 R1(config)#aaa group server tacacs+ T.group
8 R1(config-sg-tacacs+)#server-private 192.168.2.233 key cisco
9
10 ##随便用哪个都行
 
 
ACS服务器基本配置
 
接下来在ACS服务器上添加AAA客户端
 
随便写个设备名
指定AAA客户端的IP地址
将tacacs+打勾
配置共享密码cisco
提交 submit
 
然后在ACS服务器上添加用户组和用户
 
随便添加一个组
 
 
再添加一个用户
 
随便写个用户名
 
选择用户组 点select
设置密码
设置enable密码
 
 
设置完用户以后就可以在R1上看看效果了
 
   1  R1#test aaa group T.group acsuser aptx4869 new-code \\测试一下AAA服务器
2 Sending password
3 User successfully authenticated \\测试成功
4
5 USER ATTRIBUTES
6
7 username             0   "acsuser"
8 reply-message        0   "password: "
9
10 ##然后就可以开始配置AAA的策略了
11 R1(config)#aaa authentication login AAA group T.group \\创建一个登录认证用的AAA策略。叫AAA。送到T.group这个AAA认证组。
12
13 R1(config)#line vty 0 4 
14 R1(config-line)#login authe AAA \\登录使用AAA认证策略进行认证。
15 R2#ssh -l acsuser 172.16.1.254
16 password: 
17 R1>en
18 Password: 
19 R1#
 
 
本文作者:Lee Xu
CCIE-R&S、CCIE-Security、HCIP
个人介绍:
具有丰富的企业实战项目经验及教学经验。
专业知识的学习以及系统实践,
使李老师在IE级别高级工程师项目经验和IE级别
教学经验方面积累了丰富扎实的工作经验。
讲授课程:
CCNA、CCNP、HCNA、HCNP、MCSE、RHCE
项目经验:
孝感市土地局项目实施
长江航道局宜昌分局项目实施
武汉市公路归费征稽处项目实施
湖北省劳动教养工作管理局项目实施
湖北省国土资源厅项目实施
教学理念:
致力于培养学员的个人技术、独立思考能力、
反应能力、工作及适应能力。
“知行合一,止于至善”是李老师的信条。
 
相关推荐

总公司地址:北京市海淀区阜外亮甲店1号恩济西园产业园15号楼B座303
武汉分公司地址:湖北省武汉市洪山区虎泉街凯乐桂园A座9层(虎泉地铁站A出口右手边)
咨询报名电话:18672341218(微信同号)   武汉金信润天:027-87538126   北京金信润天:010-88134881
教学就业监督电话:027-87538125    网站地图   备案号:鄂ICP备15010789号-2
姓名
手机
电话咨询 在线咨询 QQ客服