2.1 掌握ACS4.1安装
安装前准备
4.0:操作系统为服务器版(Windows NT/Linux OS),最好为英文版,一定要安装JAVA软件。
5.0: 操作系统为Linux OS,硬件要求:CPU,双核 硬盘500G,内存4GB。
向Cisco购买方式
1.光盘(带有安装文件)
2.安装完毕的服务器
5.0:
1.光盘(VM ESX)
2.安装完毕的服务器
注:可以说ACSv4到ACSv5又是一个变格,就像PIX 6.0到7.0变格。个人感觉ACSv5更人性化。
安装文件大家可以从网上下载,或者向我所取。
2.2 配置ACS用户名与密码认证
aaa new-model
注:默认Router/Switch上是AAA是禁用的。
aaa authentication login noau line none
注:配置一个线下认证策略,名字为noau。线下有密码需要认证,无密码不认证。
建议:当我们在工程中配置AAA时,存在危险性的,一定要注意几点
1.记得做线下保护,保证Console、Aux口不受影响。
2.不要随时保存你的配置,一切测试完毕方可保存。
3.最好本地通过Console来配置,如远程通过Telnet/SSH配置时,建议挂2-3个会话(线下exec-timeout 0 0 )。
line con 0
login authentication noau
line aux 0
login authentication noau
tacacs-server host 202.100.1.241 key cisco
radius-server host 202.100.1.241 key cisco上
aaa group server tacacs+ 3AT
server-private 202.100.1.241 key cisco
aaa group server radius 3AR
server-private 202.100.1.241 key cisco
注:定义AAA服务器有两组命令,上为老命令,下为新命令。
ACS上创建NAS Client部分略,当我们创建完毕后,记得测试,保证到AAA的连通性
AAA#test aaa group tacacs+ test cisco new-code
Sending password
User successfully authenticated
AAA#test aaa group tacacs+ test cisco legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
注:测试时,new-code与legacy两个命令集哪个都可以,没有太大的区别。
aaa authentication login vty group tacacs+ local
line vty 0 4
login authentication vty
注:定义AAA认证策略时,我们可以做个本地备份,也就是local关键字。也就是说当AAA服务器宕机了,
本地创建用户会生效。我个人不建议做本地备份,因为多多少少会影响咱们设备的性能。强烈建议做服务器备份。
AAA Policy分为name与default的,name刚才配置我们已经看到了,需要调用,后者不需要,自动运用
到支持这种策略的接口。
如果一台设备上同时配置name与default的,name是优先于default的。什么时候default策略呢?
当我们配置802.1技术,×××技术,或者是H.323技术时,就会用到default策略.
2.3 配置与安装SDM
username http privilege 15 password http
username https privilege 15 password https
ip http server
ip http secure-server
ip http authentication local
安装文件大家可以从网上下载,或者向我所取,SDM安装部分省略。
2.4 配置Auto Secure
AAA#auto secure
AAA#sh fl
System CompactFlash directory:
File Length Name/status
1 2804 pre_autosec.cfg
[2868 bytes used, 134214856 available, 134217724 total]
131072K bytes of ATA System CompactFlash (Read/Write)
注:当我们配置完成后,在flash:下会生成一个pre_autosec.cfg 配置文件,我们可以通过这个配置文件,
恢复原始配置,有两组命令
AAA#configure replace flash:pre_autosec.cfg
This will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: yes
Overwriting with a file sized 50% or less than running config's. Proceed? [no]: yes
注意:有些配置是不可以恢复的,必须还要手工的NO掉。
AAA#copy flash:pre_autosec.cfg running-config
auto secure两大功能
1.禁用适当的IP服务,防止网络攻击。
2.打开IP服务与特性,协助抵御攻击。
2.5 配置Syslog
logging on
注:默认Router/Switch启用。
logging trap notifications
logging 202.100.1.241
logging能够更好的帮助我们排错,更好的分析事件关联。在工程当时也是相当重要的一部分。
logging 级别0-7,级别越高,产生的事件越不重要,越低越重要。
logging分类:1.Console(logging console) 2.VTY Line (terminal monitor )
3.Buffer(logging buffered ) 4.SNMP Server 5.Syslog Server
2.6 配置SNMPv1/v2/v3
snmp-server location GZ
snmp-server contact ZL
snmp-server enable trap
注:在项目中不建议直接trap,比如我们想查看设备CPU利用率,直接后面跟CPU就可以。
snmp-server host 202.100.1.100
snmp-server community GZ ro
snmp-server community GZ rw
snmp-server engineID local 8888888888 (可选配置)
snmp-server engineID remote 202.100.1.100 1234567890(可选配置)
snmp-server group G1 v3 priv read test write test
snmp-server view test mib-2 included
snmp-server user user1 G1 v3 auth md5 cisco123 pri des cisco
snmp-server host 202.100.1.200 version 3 priv user1
项目中比较常见的SNMP软件:CACTI、Ciscoworks2000、MTRG、PRTG等。
2.7 配置SSHV2
host SSH-Server
ip domain name cisco.com
crypto key generate rsa
注:建议产生的key选择1024,如果512,则SSHv2不能登陆。
username ssh password cisco
line vty 0 4
login local
transport input ssh
测试
AAA#ssh -l ssh 202.100.1.2
Password:
SSH-Server>
SSH-Server#sh ssh
Connection Version Mode Encryption Hmac State Username
98 1.99 IN aes128-cbc hmac-sha1 Session started ssh
SSH-Server#who
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
98 vty 0 ssh idle 00:00:28 202.100.1.1
SSH-Server#clear line 98
[confirm]
[OK]
建议在项目上做对设备网管时,配置SSH,不要配置telnet,因为telnet流量是明文的。
2.8 配置NTPv3
clock timezone GMT +8
NTP-Server#clock set 19:58:58 july 5 2011
ntp authentication-key 1 md5 cisco123
ntp authenticate
ntp trusted-key 1
ntp master 2
clock timezone GMT +8
ntp authentication-key 1 md5 cisco123
ntp authenticate
ntp trusted-key 1
ntp server 202.100.1.1 key 1
NTP同步时间,是无法同步时区的,所建议配置时配置时区。
测试:NTP.Client#sh ntp status
Clock is synchronized, stratum 3, reference is 202.100.1.1
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
reference time is D0338279.FB58B659 (23:57:45.981 GMT Thu Sep 9 2010)
clock offset is -5.4901 msec, root delay is 19.68 msec
root dispersion is 15880.54 msec, peer dispersion is 15875.02 msec