Cisco AAA 配置.doc

如何在Cisco設(shè)備上來配置AAA的認(rèn)證? 實(shí)驗(yàn)設(shè)備:cisco 3640路由器1臺(tái)，PC一臺(tái)，Console線纜一根，交叉線一根實(shí)驗(yàn)拓?fù)洌簩?shí)驗(yàn)過程：第一步：通過console線纜，使用超級終端或者SecureCRT登錄路由器，完成基本配置，同時(shí)將交叉線連接到路由器E1/0,t在PC的接口上配置IP為192.168.10.1，掩碼255.255.255.0Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#line console 0 Router(config-line)#no exec-t Router(config-line)#logg syn 3640(config)#host R3640 R3640(config)#int e1/0 R3640(config-if)#ip add 192.168.10.3 255.255.255.0 R3640(config-if)#no sh R3640(config-if)#end *Mar 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console R3640#ping 192.168 *Mar 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up *Mar 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up R3640#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: .!Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms第二步：啟用AAA，并配置登錄驗(yàn)證為localR3640#conf t Enter configuration commands, one per line. End with CNTL/Z. R3640(config)#aaa ? new-model Enable NEW access control commands and functions.(Disables OLD commands.) R3640(config)#aaa new-model 全局啟用AAA功能 R3640(config)#aaa authentication login ?當(dāng)用戶登錄時(shí)啟用AAA認(rèn)證功能，并且定義認(rèn)證時(shí)調(diào)用的名字是默認(rèn)的”default”,還是自己隨便定義1個(gè) WORD Named authentication list. default The default authentication list. R3640(config)#aaa authentication login default ? 指定用哪種認(rèn)證方式 enable Use enable password for authentication. 使用特權(quán)密碼 group Use Server-group 使用Radius或者Tacacs+協(xié)議 krb5 Use Kerberos 5 authentication. 使用Kerberos krb5-telnet Allow logins only if already authenticated via Kerberos V Telnet. line Use line password for authentication. 使用線路認(rèn)證方式 local Use local username authentication. 使用本地認(rèn)證方式，需配置用戶名和密碼 local-case Use case-sensitive local username authentication. none NO authentication. 不做認(rèn)證配置當(dāng)用戶登錄設(shè)備時(shí)，使用aaa本地登錄認(rèn)證方式，認(rèn)證調(diào)用的名字為default,認(rèn)證方式為localR3640(config)#aaa authentication login default local配置本地登錄時(shí)，使用的用戶名和密碼。密碼我配置的為經(jīng)過 MD5加密的secret密碼。安全性高，在show running-config顯示的是密文的。不建議配置明文的用戶名和密碼如（R3640(config)#username admin password admin）密碼建議配置復(fù)雜一點(diǎn)，要有大小寫，特殊字符，和數(shù)字，長度大于8位以上。如:Pssw0rd R3640(config)#username nousername secret nopassword第三步：啟用認(rèn)證調(diào)試，觀察debug 現(xiàn)象R3640#debug aaa authentication AAA Authentication debugging is on R3640#第四步：如圖1所示，在PC上使用telnet，遠(yuǎn)程登錄路由器第五步：如圖2所示，輸入剛才再配置，登錄的用戶名nousername 和密碼nopassword。輸入的密碼是不會(huì)顯示的，不然怎么叫密碼了，登錄成功之后，在當(dāng)前路由器的用戶模式。說明我們已經(jīng)完成了aaa的認(rèn)證功能， 并沒有配置VTY的密碼，而是使用aaa完成的認(rèn)證第六步：如圖3所示，輸入enable，嘗試進(jìn)入特權(quán)模式，路由器提示如下認(rèn)證錯(cuò)誤。為什么了？第七步：當(dāng)輸入enable,嘗試登錄時(shí)，查看路由器的上的debug現(xiàn)象R3640# *Mar 1 00:38:49.347: AAA: parse name=tty130 idb type=-1 tty=-1 *Mar 1 00:38:49.347: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0 *Mar 1 00:38:49.347: AAA/MEMORY: create_user (0x637810BC) user=nousername（登錄的用戶名和密碼） ruser=NULL ds0=0 port=tty130 rem_addr=192.168.10.1（PC IP地址） authen_type=ASCII service=ENABLE priv=15 initial_task_id=0, vrf= (id=0) *Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): port=tty130 list= action=LOGIN service=ENABLE 輸入enable （沒有enable密碼） *Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): non-console enable - default to enable password *Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): Method=ENABLE R3640# *Mar 1 00:38:49.351: AAA/AUTHEN(509980843): cant find any passwords 沒有發(fā)現(xiàn)enable 密碼 *Mar 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR （認(rèn)證狀態(tài)發(fā)生錯(cuò)誤） *Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): no methods left to try *Mar 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR *Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): failed to authenticate 認(rèn)證失敗，原因是沒有配置enable密碼 *Mar 1 00:38:49.355: AAA/MEMORY: free_user (0x637810BC) user=nousername ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) R3640#第七步：如果要想遠(yuǎn)程登錄能進(jìn)入到特權(quán)模式，完成配置，還需要在路由器上配置enable 密碼。如果希望讓某個(gè)大蝦，只活動(dòng)用戶模式下，那暫且可以不配，但是沒有enable那不是不科學(xué)的，不敢保證，永遠(yuǎn)也不需要遠(yuǎn)程調(diào)試路由器，如果需要調(diào) 試，那肯定就需要enable密碼才可以進(jìn)入，如圖4所示，第八步：如圖5所示，輸入剛配置的enable secret密碼，可以登錄到特權(quán)模式。思考上圖中為什么出現(xiàn)以下錯(cuò)誤提示：R3640>enable Password: % Access denied R3640>enable Password: % Password: timeout expired! % Error in authentication.輸入enable密碼，進(jìn)入特權(quán)模式時(shí)，authentication debug 消息*Mar 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) R3640# *Mar 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1 *Mar 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0 *Mar 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user=nousername ruser=NULL ds0=0 port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 initial_task_id=0, vrf= (id=0) *Mar 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port=tty130 list= action=LOGIN service=ENABLE *Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password *Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE R3640# *Mar 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS 認(rèn)證通過 R3640# *Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user=(undef) *Mar 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS *Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE *Mar 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS *Mar 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) R3640#第九步：剛才我們驗(yàn)證的是遠(yuǎn)程登錄，再來驗(yàn)證一下，本地登錄認(rèn)證這種方式，從console接口能否登陸，如圖6所示：提示需要，用戶名和密碼第十步：輸入正確的用戶名和密碼*Mar 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) R3640# *Mar 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1 *Mar 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0 *Mar 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user=nousername ruser=NULL ds0=0 port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 initial_task_id=0, vrf= (id=0) *Mar 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port=tty130 list= action=LOGIN service=ENABLE *Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password *Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE R3640# *Mar 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS R3640# *Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user=(undef) *Mar 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS *Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE *Mar 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS *Mar 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)進(jìn)入特權(quán)模式之后，用戶的級別是在15，思考，在用戶模式級別是多少？通過什么命令可以查看到你當(dāng)前所處的模式，是那個(gè)級別？ 總結(jié)：本地登錄認(rèn)證配置有兩種方法：第一種：如圖7所示第二種：如圖8所示第二種配置方式，認(rèn)證調(diào)用的名字是自定義的，那就需要在console和VTY接口下，調(diào)用才可以。第一種配置在命令上會(huì)少一 些，如果配置登錄認(rèn)證名字為默認(rèn)“default”，是不需要在VTY和Console，再次調(diào)用一下，因?yàn)樵趫?zhí)行認(rèn)證就會(huì)去查詢本地名稱 default，如果配置認(rèn)證是名字為自定義的，如”hackerjx“，就必須到VTY和Console執(zhí)行調(diào)用才可以認(rèn)證通過。不然這個(gè)配置，當(dāng)從 console登錄根本就沒有對console做安全認(rèn)證。但是這兩配置AAA本地的認(rèn)證方法，沒有必要同時(shí)在一臺(tái)設(shè)備上配置，大家可以根據(jù)自己的情況來配置。一、簡介AAA是Authentication(認(rèn)證)Authorization授權(quán) Account記帳的簡稱；它們不是必須的也不是要同時(shí)一起使用的；他們可以使用路由器設(shè)備本地?cái)?shù)據(jù)庫，也可以使用外部數(shù)據(jù)庫（ACS）；首先我們要認(rèn)證，即通過密碼驗(yàn)證；我們就算沒有設(shè)置其實(shí)也用到了認(rèn)證，就是登陸路由器要輸入的密碼，這個(gè)叫enable，我們在配置了，username abc password aaa 使用這個(gè)帳號的話，叫l(wèi)ocal;這二種是本地的數(shù)據(jù)庫，如果要用到認(rèn)證服務(wù)器，如tacacs+ radius 就屬于group 服務(wù)器組方式了，這時(shí)你必須要在tacacs+ radius中選一個(gè)，同時(shí)還最多可選三個(gè)其它的認(rèn)證方式；當(dāng)然如果你對你的服務(wù)器和網(wǎng)絡(luò)環(huán)境有信心的話可以不選。二、配置教程一、使用它們都是三個(gè)步驟1、建立帳戶數(shù)據(jù)庫（本地或認(rèn)證服務(wù)器）；2、定義列表；3、應(yīng)用到接口和鏈路；二、首先我們要啟用AAA功能aaa new-model三、一般來說第二步定義一個(gè)本地?cái)?shù)據(jù)庫防止配置失誤造成無法登陸Username abc password aaa四、定義認(rèn)證配置認(rèn)證相當(dāng)于在問你是誰，你要回答我是哪個(gè)；但不可能不停的在問就算不煩嗓子也疼啊，只有在進(jìn)門時(shí)我會(huì)問下你是誰，開保險(xiǎn)柜時(shí)我在問下你是誰，或者是檢查指紋測試瞳孔什么的等等；所以我們要對動(dòng)作進(jìn)行認(rèn)證定義。aaa authentication行為列表名認(rèn)證方法1、行為主要有以下三種：aaa authentication login 當(dāng)有一個(gè)登陸行為時(shí)進(jìn)行認(rèn)證；aaa authentication ppp 對基于PPP協(xié)議的一些網(wǎng)絡(luò)應(yīng)用進(jìn)行認(rèn)證；aaa authentication enable 對使用enable命令進(jìn)入特權(quán)模式時(shí)進(jìn)行認(rèn)證；2、列表名是自己定義的，這樣我們可以把各種認(rèn)證方式互相組合保存成一個(gè)個(gè)列表，用的時(shí)候方便，修改起來也方便，我改了一個(gè)列表里的認(rèn)證方式那么所有使用這個(gè)列表的地方都改了，不需要去一個(gè)個(gè)地方去改了。Dedautl列表是一個(gè)系統(tǒng)自己建立的列表名作為缺省列表。它與我們自己建的列表沒有任何區(qū)別，只不過他是系統(tǒng)建的而已。3、認(rèn)證方法，就是指我們是查口令呢還是看指紋還是其它等等，也就是把我們的回答和誰進(jìn)行分析比較。主要有以下幾種： 關(guān)鍵字 描述 enable 使用enabel口令認(rèn)證； krb5 使用Kerberos5來認(rèn)證； line 使用線路口令來認(rèn)證； local 使用本地用戶數(shù)據(jù)庫來認(rèn)證； none 不認(rèn)證； group radius 使用radius服務(wù)器來認(rèn)證； group tacacs+ 使用tacacs+服務(wù)器來認(rèn)證； 每個(gè)列表中必須定義一種認(rèn)證方法，最多可以定義四種方法，當(dāng)?shù)谝环N認(rèn)證不通過再使用第二種，以此類推。例如我們定義aaa authentication login 二號方案 group tacacs+ local/我們定義了一個(gè)名叫二號方案認(rèn)證方式，就是先去tacacs+服務(wù)器驗(yàn)證，如果不成功在試試用本地帳號來試；aaa authentication login 三號方案 group local enable/我們定義了一個(gè)名叫三號方案認(rèn)證方式，就是先用本地帳號驗(yàn)證，如果不成功就用enable密碼來驗(yàn)證；五、應(yīng)用到接口和鏈路我們上面做了那么多但是還沒有效果為什么呢，就好像我們做好了報(bào)警器，指紋驗(yàn)證器但沒裝到門上你說可有效果，那當(dāng)然是不行的了，我們是定義了當(dāng)?shù)顷憰r(shí)就啟用一個(gè)列表名字叫二號方案的認(rèn)證方式，但只有我們把他裝到門上才能有效果啊，有人說太麻煩應(yīng)該定義好了就能用，那就慘了，你給自己家的門上裝了二號方案沒關(guān)系，如果樓道門、院子門，都給裝上了那就有問題了，所以我們要把定義好的認(rèn)證方法列表裝到我們需要使用認(rèn)證的門上，例如我們可能對Telnet要認(rèn)證，但通過console登陸的就不要認(rèn)證。line vty 0 /我們先要進(jìn)入接口aaa authentication 二號方案 /線路vty0使用名為二號方案的方式進(jìn)行認(rèn)證；line vty 1aaa authentication 三號方案六、配置tacace服務(wù)器可能的情況下還需要告訴路由器認(rèn)證服務(wù)