2011-03-11 15:51

1 aaa new-model ------------启用AAA(验证,授权,审计)

 

2 aaa authentication login AAAlogin local

 

aaa authentication {login|ppp|enable} {default|列表名称} {enable|krb5|line|local|none|group radius|group tacacs+}

三种模式:

     aaa authentication login ――――――当有一个登陆行为时进行认证;

     aaa authentication ppp ――――――对基于PPP协议的一些网络应用进行认证;

    aaa authentication enable ――――――对使用enable命令进入特权模式时进行认证;

七种认证方法:

     enable           使用enabel口令认证;

     krb5             使用Kerberos5来认证;

     line             使用线路口令来认证;

     local            使用本地用户数据库来认证;

     none             不认证;

     group radius    使用radius服务器来认证;

     group tacacs+   使用tacacs+服务器来认证;

   每个列表中可以定义最多四种认证方法。

   定义的列表名称需要应用到接口和链路

     line vty 0

     aaa authentication AAAlogin

 

3 aaa authorization network AAAgroup local

  

    aaa authorization {auth-proxy | network |exec | command level |reverse-access |configuration | ip moblie}

 

{default|list-name} [method1[method2...]

    七种授权模式:

    auth-proxy       应用指定的安全策略,基于每用户

    network          应用到network connection,包括ppp,slip,arap连接

    reverse access   应用到反向telnet会话

    exec             应用到与用户terminal session联系的属性。

    commands         应用到exec模式命令给user执行,commands授权。可以有0-15十六个命令集(等级15是全部命令的集合)

    五种认证方法方法:

    tacacs+          用塔克斯给其授权。

    if-authenticated 如果user验证通过了,那么它即被授权了。

    none             无需授权。

    local            用定义了的username授权。

    radius           radius给其授权。

    定义的列表名称需要应用到接口和链路

 

4 crypto isakmp policy 5

   定义ISAKMP策略。最后的数字越小,应用的优先级越高

   内部定义以下命令:

   encr 3des       指定加密算法3DES

   hash md5        指定散列算法

   authentication pre-share 指定验证为预共享

   group 2         指定diffie hellman组为2

 

 

5 crypto isakmp client configuration group  TT_CAVE_Group_remote 组名(配置Ezvpn的拨号客户端所属组名,和对组内部进行配置)

   选择了Local(本地授权方式),必须在路由器上使用以上命令定义组。内部有以下命令。

   key pre_shared_key   创建一个预共享密钥为组认证使用,必须定义组名和这个组的密钥,如果没有定义key,证书将作为设备认证。

   pool pool_name       用来分配给验证通过后的组用户使用的ip地址池,名字必须和定义的ip local pool的名字一样

   domain domain_name   定义指定给远程用户的域名

   dns 1st_DNS_server [2nd_DNS_server] 配置个客户端的dns,用户访问部分内部域名或者外部上网,可同时设置多个

   split-dns domain_name

   wins 1st_WINS_server [2nd_WINS_server] 分配给客户端的wins服务器地址,现在用的比较少

   include-local-lan

   acl ACL_name_or_#    命令允许你建立隧道分离配置,通过这条命令,你可以通过定义一个IP ACL规定哪些流量被保护

   backup-gateway {IP_address | hostname} 12.3(4)T开始, 路由器可以列出10个备份Easy××× Server的地址用来连接远程用户

   save-password        IOS 12.3(2)T中,当打开时,在客户连接完成并且接收IKE mode 配置的策略,在以后链接到服务器时用户允许本地存储扩展认证的密码

   pfs                  IOS 12.3(4)T,允许使用向前完美加密,PFS可以使得更加安全

   max-logins #_of_simultaneous_logins

   max-users #_of_users IOS 12.3(4)T这两个命令出现,对同时最大登陆数和每组的用户会话进行限制

   access-restrict interface_name

   group-lock           命令允许用户在扩展认证的同时对用户名密码和组进行认证

 

6 crypto ipsec transform-set cave_trans_set esp-aes esp-sha-hmac

定义传输数据和完整性验证的策略,名字为cave_trans_set

 

7 crypto dynamic-map cave_dymap 5

定义动态map,名字为cave_dymap

内部有set transform-set cave_trans_set 命令,引用第6步定义的传输集cave_trans_set

 

8 crypto map Smap client authentication list AAAlogin

定义map,名字为Smap

客户端认证引用第2步定义的列表AAAlogin

 

9 crypto map Smap isakmp authorization list AAAgroup

定义map,名字为Smap

客户端授权引用第3步定义的列表AAAgroup

 

10 crypto map Smap client configuration address respond

定义map,名字为Smap

客户端地址配置策略:请求响应类型。还可以选择push地址到客户端

 

11 crypto map Smap 500 ipsec-isakmp dynamic dwhdynmap

定义map,名字为Smap

500            Sequence to insert into crypto map entry的值

ipsec-isakmp   ipsec-isakmpipsec-manual可供选择

cave_dynmap      为引用的第7步定义的动态map的名字

 

12 ip local pool Spool 192.168.100.100 192.168.100.200

定义地址池,在第5步中引用

 

13 ip access-list extended Svpn

      permit ip any any

 

定义ACL,在第5步中引用

 

14 interface FastEthernet0/0

crypto map cave_dymap

 

在接口0/0上启用×××

 

15 username Suser password 0 Suser

在路由器上建立用户和密码

 

16 客户端的配置(Cisco ×××客户端)

 

(1)输入路由器FastEthernet0/0端口的IP地址

(2)输入组的名字,以上第5步配置的组名

(3)针对选择的组,输入组的密码(第5步中配置的Key的密码)

(4)使用Suser连接,输入相应用户的密码就可以了。