AAA已经在大中型企业中部署应用了,而很多的网友或者工程师对AAA的应用和维护不见得融会贯通了。近日更新的数篇博客,都将以AAA为专题给大家来讲述我在做项目中的实际应用案例。希望兄弟们在茶余饭后过来捧场。
项目需求:
1,某大型客户,从接入层、汇聚层、核心层设备“清一色”全Cisco。公司高管要求对加强设备的安全性,特别要求网络管理人员对设备的维护和操作要求专门人员,专门账号,不同的管理人员登录设备的权限不一样。具体来分析,如果在设备上配置多个管理员账号,而不同的管理人员拥有不同的管理权限,对特殊的人员,限制只能使用Configure terminal 等
需求实现方法:
客户日常管理设备和修改配置文件,大多数都是通过远程Telnet或者SSH方式来完成。配置远程登录用户名和密码
网络拓扑(客户管理人员在办公室需要通过超级终端或者SecureCRTd等软件,来登录),初始配置,就必须先从console登录,配置好远程登录用户名和密码,以后的调试和配置,就不用奔波下楼到机房,插上console线路再调试
1
实现方法一:(与AAA无关),安全性较低
 
第一步:利用console线登陆设备,查看IP地址,测试设备与客户办公网络可以互通。客户PCip地址为192.168.10.1/24
 
Center>enable
Center#
Center#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                12.0.0.1        YES manual up                    up     
Ethernet1/0                192.168.10.2    YES manual up                    up     
Center#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/60 ms
Center#
第二步:配置远程登陆的用户名和密码,这里配置两个不同的用户,并且两个用户的级别是不一样的,要求密码在show running-config中,以密文的方式来显示,防止其他用户窥屏(呵呵,看你后面站的那位在干吗了)即使用不同的用户名和密码,登陆到路由器处于不同的模式下。
Center#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Center(config)#username zhanggong secret gongzhang>
//配置一个普通的用户,该用户的级别是默认的1,用户级别最大是15,但是使用该用户名,远程登陆之后,只能在用户模式下,并且不对该用户泄漏enable密码,该用户只有对路由器的工作状态监视查看。
Center(config)#username nopassword! privilege 15 secret passwordccie
//配置一个高级别的用户,该用户的级别设置为15,即使用本用户和密码远程登陆到路由器能直接进入到特权模式。
//进入VTY线路配置模式
Center(config)#line vty 0 15
//配置本地登陆验证方式,即要求输入用户名和密码,和VTY线路没有任何关系。
Center(config-line)#login local
Center(config-line)#end
Center#
*Mar  1 00:38:38.675: %SYS-5-CONFIG_I: Configured from console by console
Center#
第三步:远程登陆测试结果(如图所示1),远程登陆协议:Telnet,端口号:23,主机IP192.168.10.2,再点击“连接”
Snap12
第四步:如图2所示,提示输入用户名和密码,我们输入用户名:zhanggong 密码:gongzhang> 回车之后,登录成功了但是在用户模式下,可以紧系基本的调试,用户模式下的命令我就不做过多解释了。
Snap14
如图3所示,用另外一个用户登录,可以直接进入特权模式,可以进行调试和配置修改,用户的需求实现了。
Snap18
实现方法二,通过配置了AAA,利用AAA的认证和授权功能来实现,安全级别要高
用户名和密码都保持和原来的一致,再次基础之上只需要配置AAA的认证和授权
Center#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
//开启AAA
Center(config)#aaa new-model
//配置登陆验证方式有aaa 认证来实现,验证方式为本地
Center(config)#aaa authentication login default local
Center(config)#aaa authorization ?
  auth-proxy       For Authentication Proxy Services
  cache            For AAA cache configuration
  commands         For exec (shell) commands.
  config-commands  For configuration mode commands.
  configuration    For downloading configurations from AAA server
  console          For enabling console authorization
  exec             For starting an exec (shell).
  ipmobile         For Mobile IP services.
  network          For network services. (PPP, SLIP, ARAP)
  reverse-access   For reverse access connections
  template         Enable template authorization
//对本地登陆的用户进行授权,当用户在客户端使用不同的用户名和密码试图登陆,输入的用户名和密码,发送的路由器,路由器查询本地数据库的用户名和密码,如果收到的用户名和密码和本地定义的用户名匹配成功,则用户身份认证通过。完成了认证之后,即使用户的级别是15,因为已经启用了AAAAAA的安全级别高,要想让这个15级别的用户能进入到特权模式,还必须通过授权来实现。
//配置对exec授权,授权方式为本地
Center(config)#aaa authorization exec default local
Center(config)#end
第一步:使用不同的用户名和密码,测试AAA认证和授权的过程,在路由器打开debug,分析aaa认证和授权过程。
如图4所示,先要打开debug调试命令,再来远程登录
Snap18
如图5所示:使用级别为1的用户登录
Snap20
如图6所示,用户zhanggong,认证和授权结果
Snap21
如图7所示,使用用户名nopassword!登录成功了
Snap23
如图8所示,用户nopassword! ,认证通过之后,才是授权,授权用户的级别是15,授权成功,通过使用show users已经查看到有用户登录到本地设备上了,并且对方登录的用户名也能看到。
Snap22
通过客户的需求,我们给了两套解决方案,从安全性角度来考虑,  第二种实现方法更为科学一些。启用了AAA来是实现,并且还可以和aaa的审计联动起来,对用户的操作命令做了记录,某人,某个时间段,登录设备,执行哪些命令,几点离开的等都可以通过aaa来实现的,如果没有aaa,则要实现对用户的行为进行审计就比较困难了,关键是管理复杂了,客户执行起来非常不便。
下篇文章,将给大家介绍如何搭建Cisco ACS Server来实现认证和授权,审计。