一、实验拓扑:
二、实验要求:
Radius针对于网络流量:Network,比如访问网页WWW;Tacacs+针对于网管流量:Admin,比如Telnet,它用来远程管理主机;
Radius也可以应用于Telnet,只是它的支持不是很好;
1、R1/R2配置IP地址。
2、配置路由,让PC可通R2。PC是与ACS是可以不通的;
因为流量是由 R2送到ACS上去作认证的,与PC无关。
3、配置R2的远程访问并启用AAA,且做线下保护;
4、配置远程登陆认证
5、配置ACS
6、测试
三、命令部署:
1、R2启用AAA,且做线下保护
R2(config)#aaa new-model
//该命令启用后所有需要用户名密码登陆的操作都会被保护;
所有需要登录的操作都需要用户名和密码,如果本地又没有用户名和密码,它依然要求你输入用户名和密码;
如果没有做线下,一段时间路由器就会超时而退出,而且每次你登录都要你输入用户名、密码,此时只能把IOS干掉了
R2(config)#aaa authentication login nonacs line none
//该命令全局定议所有登陆操作不受保护,如果某个登陆配置了新的登陆方式将不受该命令影响。
在console口调用: R2(config-line)#login authentication nonacs
2、R2配置远程登陆认证 (1) 定义新的登陆操作: R2(config)#aaa authentication login aa group tacacs+ //配置名字为aa的登陆,并将由tacacs+服务器认证 (2)VTY中调用: R2(config)#line vty 0 4 R2(config-line)#login authentication aa (3)定义tacacs+服务器位置,并配置通信流量加密密码: R2(config)#tacacs-server host 10.1.2.254 key bb (4)查看配置 R2#show run | s aaa aaa new-model aaa authentication login nonacs line none aaa authentication login aa group tacacs+ R2#show run | s vty line vty 0 4 login authentication aa
3、配置ACS (1)ACS配置IP地址为:10.1.2.254/24,网关为:10.1.2.2,并且可以Ping通10.1.2.2 (2)ACS所用的虚拟网卡为:VM5,配置地址:10.1.1.2.3/24,网关为:10.1.2.254, GNS3中用云模拟时选择:LAPTOP-RLA6488F,添加VM5虚拟网卡; (3)浏览器打开:https://10.1.2.254,username:acsadmin,password:root, 即可登录进入ACS配置界面。
(4)配置客户端位置,R2地址与通信加密密码:
配置用户名密码供PC远程登陆时使用:
4、测试R2与与ACS用户名密码是否成功: R2#test aaa group tacacs+ aa bbbb new-code //aa是用户名,bbbb是登录密码 Trying to authenticate with Servergroup tacacs+ Sending password User successfully authenticated
5、PC端Telnet测试
PC3#telnet
PC3#telnet 12.1.1.2
Trying 12.1.1.2 ... Open
username: aa
password:
R2>
如果配置用户名密码时钩选了修改密码,刚登陆时需修改新的密码。
现在只是做了验证,没有做授权;
可以设置没有enable,或者有enable,但是进去以后只能敲部分命令,这叫授权;
可以监控你敲了哪些命令,这叫审计。
