Cisco-ACS-AAA實驗(更新)Word版

1、傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！AAA實驗一、 實驗原理：1. 客戶端和邊界路由器建立一個連接。2. 路由器和Cisco Secure ACS (server or appliance)通信.3. Cisco Secure ACS 驗證遠程客戶提供的用戶名和密碼。4. Cisco Secure ACS 驗證用戶。這個遠程客戶通過ACS數(shù)據(jù)信息驗證并授權(quán)訪問網(wǎng)絡。二、Cisco Secure ACS（Access control Server） 1產(chǎn)品介紹Cisco Secure ACS 是一個用來控制對網(wǎng)絡的訪問的網(wǎng)絡安全軟件，它可以對用戶進行認證、授權(quán)和審計。Cisco

2、 Secure ACS 分為Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 兩個版本，下表是兩個版本所支持的操作系統(tǒng)：版本 所支持的操作系統(tǒng) Cisco Secure ACS for windows Windows 2000 Server（sp4） Windows 2000 Advanced Server（sp4） Windows Server 2003 標準版 Windows Server 2003 企業(yè)版 Cisco Secure ACS for Unix Solaris 2Cisco Secure ACS 安裝及基本配置 C

3、isco Secure ACS 是一個用來控制對網(wǎng)絡的訪問的網(wǎng)絡安全軟件，它可以對用戶進行認證、授權(quán)和審計。Cisco Secure ACS for windows 的安裝過程如下：步驟1、檢查并調(diào)整計算機硬件配置，使其滿足以下要求：Pentium 550MHz 以上256M 內(nèi)存250M 以上的剩余硬盤空間步驟2、檢查windows 配置，安裝Java run time（JRE）。（JRE 的最新版本可以去上下載）建議：Cisco Secure ACS V4.0 使用JRE1.5 版本步驟3、檢查服務器到Cisco 設備的網(wǎng)絡連接。建議：給主機配置靜態(tài)地址。步驟4、插入Cisco Secur

4、e ACS for windows 光盤，點擊“Install”開始安裝，然后按照windows 的提示一步步地完成安裝。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！ACS 各導航條配置的選項內(nèi)容如下：用戶設置（User Setup）：查看、創(chuàng)建、編輯、刪除用戶帳號。組設置（Group Setup）：查看、創(chuàng)建、編輯用戶組設置。共享配置組建（Shared Profile Components）：一些可共享的授權(quán)組件，它們可以應用與一個或多個用戶或用戶組。授權(quán)組建包括：Network Access Restriction（NAR）、Commandauthorization set 和P

5、IX downloadable ACL。網(wǎng)絡配置（Network Configuration）：查看、創(chuàng)建、編輯、刪除網(wǎng)絡服務器（網(wǎng)絡設備，如路由器、交換機等）的參數(shù)。系統(tǒng)配置（System Configuration）：啟動或停止ACS 服務，創(chuàng)建或刪除網(wǎng)絡日志，控制ACS數(shù)據(jù)庫同步等。接口配置（Interface Configuration）：配置TACACS+和RADIUS 的選項。管理控制（Administration Control）：查看、創(chuàng)建、編輯、刪除ACS 的管理員帳號參數(shù)。外部數(shù)據(jù)庫（External User Database）：配置ACS 的外部數(shù)據(jù)庫類型以及未知的用戶

6、策略。報告和活動（Report and Activity）：查看TACACS+和RADIUS 的審計報告、Failed Attempts報告以及已經(jīng)登陸的用戶信息等。在線文檔（Online Documentation）：提供關于Cisco Secure ACS 的更詳細的文檔三、實驗拓撲傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！四、用GNS3搭建實驗拓撲版本：GNS3 0.7 RC11 安裝后，在安裝目錄下建立IOS和temp文件夾，分別保存IOS鏡像文件和生成文件。IOS文件夾下的各種型號設備IOS鏡像文件：2.軟件界面改為中文A:點Edit-Preferences （如下圖)傳

7、播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！選擇“簡體中文”并點Apply應用。3.首選項設置 A一般選項設置設置調(diào)用SecureCRTD:Program FilesSecureCRTSecureCRT.exe /telnet %p以上是調(diào)用路徑，按自已情況做相應更改即可！工程目錄: 路徑為你添加的GNS3安裝目錄下建立的Temp目錄Image directory: 路徑為你添加的GNS3安裝目錄下建立的IOS目錄傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！BDynamips設置注意運行路徑要找到dynamips-wxp.exe程序點擊下面的測試，保證Dy

8、namips正常運行C.Capture 設置（可以默認）傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！5. Qemu設置4.手工添加IOS文件第一步：請如下圖操作,選“IOS和Hypervisors項注意：新安裝的GNS是沒有如上圖的IOS文件的，需手工添加。1.請在IOS文件”項點瀏覽圖標，找到你放IOS文件的地方，選擇相應規(guī)格IOS！(比如:C3640)2.選擇好后，在“平臺”和“型號”選項處做相應選擇后，請點下方“保存”按鈕，然后點“編輯”，此時會看到“默認RAM”處會顯示具體數(shù)值。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！5圖標管理選擇“編輯”-“圖標管理”彈出如下

9、圖的窗口1.如上圖，在左側(cè)選擇“Computer項”，點中間處“”按鈕，右側(cè)窗口會出現(xiàn)你剛選擇的“Computer項”。2.雙擊右側(cè)“Computer圖標,會出現(xiàn)如下圖變化。請按圖操作。3.雙擊后，右上方處”Name“項，請更名為PC4.類型處請選擇“Cloud”。5.選好后，點擊“Apply，然后再點窗口下方的”O(jiān)K“，大功告成！下圖處出現(xiàn)了我們新加的“PC”圖標。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！6.計算IDLE PC值（此項是核心步驟，否則CPU占用率會長期在100%上。）打開軟件操作界面，從左邊拽一臺已經(jīng)添加過IOS文件的路由器進來。在路由器上點右鍵，選“IDLE

10、PC,如下圖所示。7 連接實驗拓撲用PC連接虛擬機虛擬網(wǎng)卡，VMVare Network Adapte VMnet1 或VMnet8都可。本實驗連接的是VMnet1傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！連接好的實驗拓撲：路由器R3連接到C1的VMnet1，實際C1就是本地機器上的2003 虛擬機。修改本地機器虛擬網(wǎng)卡VMnet1 IP地址：00傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！打開虛擬機，設置VM設置設置網(wǎng)絡連接 選中VMnet1（Host-only）傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！設置2003虛擬機網(wǎng)卡地址：19

11、 打開路由器，在f0/0上配置地址，并且ping 通ACS服務器.AAA_client#conf t傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！AAA_client(config)#int f0/0AAA_client(config-if)#ip add AAA_client(config-if)#no shutAAA_client(config-if)#endAAA_client#ping Type escape sequence to abort.

12、Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:.!Success rate is 80 percent (4/5), round-trip min/avg/max = 20/48/76 m五 、在win2003虛擬機上安裝ACSCisco Secure ACS（Access control Server） 1產(chǎn)品介紹Cisco Secure ACS 是一個用來控制對網(wǎng)絡的訪問的網(wǎng)絡安全軟件，它可以對用戶進行認證、授權(quán)和審計。Cisco Secure ACS 分為Cisco Secure ACS for w

13、indows 和Cisco Secure ACS for Unix 兩個版本，下表是兩個版本所支持的操作系統(tǒng)：版本 所支持的操作系統(tǒng) Cisco Secure ACS for windows Windows 2000 Server（sp4） Windows 2000 Advanced Server（sp4） Windows Server 2003 標準版 Windows Server 2003 企業(yè)版 Cisco Secure ACS for Unix Solaris 2Cisco Secure ACS 安裝及基本配置 Cisco Secure ACS 是一個用來控制對網(wǎng)絡的訪問的網(wǎng)絡安全軟件

14、，它可以對用戶進行認證、授權(quán)和審計。Cisco Secure ACS for windows 的安裝過程如下：步驟1、檢查并調(diào)整計算機硬件配置，使其滿足以下要求：Pentium 550MHz 以上256M 內(nèi)存250M 以上的剩余硬盤空間步驟2、檢查windows 配置，安裝Java run time（JRE）。（JRE 的最新版本可以去上下載）建議：Cisco Secure ACS V4.0 使用JRE1.5 版本步驟3、檢查服務器到Cisco 設備的網(wǎng)絡連接。建議：給主機配置靜態(tài)地址。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！步驟4、插入Cisco Secure ACS for

15、 windows 光盤或使用ACS安裝文件安裝，然后按照windows 的提示一步步地完成安裝。ACS 各導航條配置的選項內(nèi)容如下：用戶設置（User Setup）：查看、創(chuàng)建、編輯、刪除用戶帳號。組設置（Group Setup）：查看、創(chuàng)建、編輯用戶組設置。共享配置組建（Shared Profile Components）：一些可共享的授權(quán)組件，它們可以應用與一個或多個用戶或用戶組。授權(quán)組建包括：Network Access Restriction（NAR）、Commandauthorization set 和PIX downloadable ACL。傳播優(yōu)秀Word版文檔 ，希望對您有幫助

16、，可雙擊去除！網(wǎng)絡配置（Network Configuration）：查看、創(chuàng)建、編輯、刪除網(wǎng)絡服務器（網(wǎng)絡設備，如路由器、交換機等）的參數(shù)。系統(tǒng)配置（System Configuration）：啟動或停止ACS 服務，創(chuàng)建或刪除網(wǎng)絡日志，控制ACS數(shù)據(jù)庫同步等。接口配置（Interface Configuration）：配置TACACS+和RADIUS 的選項。管理控制（Administration Control）：查看、創(chuàng)建、編輯、刪除ACS 的管理員帳號參數(shù)。外部數(shù)據(jù)庫（External User Database）：配置ACS 的外部數(shù)據(jù)庫類型以及未知的用戶策略。報告和活動（Repo

17、rt and Activity）：查看TACACS+和RADIUS 的審計報告、Failed Attempts報告以及已經(jīng)登陸的用戶信息等。在線文檔（Online Documentation）：提供關于Cisco Secure ACS 的更詳細的文檔六、在AAA_clent路由器配置：AAA 概述通常，訪問控制系統(tǒng)由兩部分組成：Cisco Secure ACS（AAA Server）和網(wǎng)絡訪問服務器（AAAClient）。Cisco 設備使用AAA 服務來與Cisco Secure ACS 協(xié)同工作以構(gòu)成一個完整的訪問控制系統(tǒng)。AAA 的定義如下：Authentication（認證）：對用戶的

18、身份進行驗證，決定是否允許該用戶訪問網(wǎng)絡。Authorization（授權(quán)）：給不同的用戶分配不同的權(quán)限，限制每個用戶可使用的網(wǎng)絡服務。Accounting（統(tǒng)計）：對用戶的行為進行審計和計費。AAA 服務支持的安全協(xié)議有：TACACS+、RADIUS、Kerberos，我們可以使用RADIUS 和TACACS+協(xié)議讓Cisco 設備和Cisco Secure ACS 協(xié)同工作，下面是一個常見的網(wǎng)絡拓撲：Cisco IOS AAA 認證基本配置在Cisco IOS 中配置AAA 認證的過程不算復雜，主要步驟如下：步驟1、全局開啟AAA 服務。要使用AAA，就必須使用aaa new-model

19、全局配置命令啟用AAA 服務。AAA_client(config)#aaa new-model#步驟2、配置ACS 服務器的地址和AAA client 密碼，其命令格式如AAA(config)#tacacs-server host key cisco # AAA Client 和AAA Server 之間使用TACACS+協(xié)議時AAA(config)# radius-server host key ciscoAAA Client 和AAA Server 之間使用RADIUS 協(xié)議步驟3、配置Cisco Secure ACS 服務器傳播優(yōu)秀Word

20、版文檔 ，希望對您有幫助，可雙擊去除！在ACS 導航條中選擇“Network Configuration”，點擊右邊欄的“Add Entry”進入以下界面：如上圖所示，在“AAA Client Hostname”處填入AAA 客戶端的名稱，在“AAA client IP Address”處填入AAA 客戶端的地址，在“key”處填入AAA 客戶端的密碼，在“authentication Using”處選擇該客戶端所使用認證協(xié)議，最后點擊“Submit + Restart”完成服務器設置。在ACS 的導航條中選擇“User Setup”進入用戶管理界面，在空白處輸入新用戶名，點擊“Add/Edi

21、t”添加新用戶。用戶名：zhang 密碼：cisco傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！測試AAA服務器AAA#test aaa group tacacs+ zhang cisco new-codeTrying to authenticate with Servergroup tacacs+Sending passwordUser successfully authenticated測試成功表示，前期準備（1.IOS添加服務器2.ACS添加AAA客戶端3.創(chuàng)建用戶和密碼）完全正確。步驟4、定義認證的方法列表，常見的認證方法主要有：認證方法解釋與命令示例enable 使用ena

22、ble 口令進行身份驗證 aaa authentication login name enable local 使用本地數(shù)據(jù)庫進行身份驗證 aaa authentication login name local 定義本地數(shù)據(jù)庫的命令為：Username username password password TACACS+ 使用T ATCACS+服務器進行身份驗證 aaa authentication login name group tacacs+ RADIUS 使用RADIUS 服務器進行身份驗證 aaa authentication login name group radius none

23、 不進行身份驗證 aaa authentication login name none 1.配置線下保護策略AAA(config)#aaa authentication login noacs line none#解釋：login(登錄)認證策略 策略名為noacs 策略為先使用線下密碼認證（line）,如果線下沒有密碼就不認證（none）.策略任務：保障Console/Aux不受影響（1.網(wǎng)絡問題2.配置問題），始終可以登陸。調(diào)用線下保護策略AAA(config)#line con 0AAA(config-line)#login authentication noacsAAA(config-

24、line)#line aux 0AAA(config-line)#login authentication noacs其他技巧：1.最好本地調(diào)試2.不要存盤3.留后門(起多個連接線路)#2.定義named login 認證策略定義login 認證策略方法一AAA(config)#aaa authentication login vty.authen group tacacs+AAA(config)#line vty 0 15AAA(config-line)#login authentication vty.authen #調(diào)用認證策略傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！AAA

25、#telnet Trying . OpenUsername: zhangPassword: AAAqConnection to closed by foreign host定義login認證策略方法二（本地備份） 網(wǎng)絡不通，服務器down等情況時，本地認證AAA(config)#username localback password localback AAA(config)#aaa authentication login vty.authen group tacacs+ local注意：當服務器Error（不能提供服務，

26、網(wǎng)絡故障）才能切換到本地數(shù)據(jù)庫認證定義login 認證策略方法三（調(diào)用aaa group ）AAA(config )#aaa authentication login vty.authen group T.Group local3.Default 策略（不建議使用）Default策略全局配置并且自動運用到這個設備所有支持這種類型策略接口（例如：login authentication策略就會被自動運用到console/AUX/VTY/HTTP）.注意：命名的（named）策略優(yōu)先于Default策略。使用推薦：1.強烈建議使用named策略 2.不清楚named策略運用命令（H.323） 3.

27、不支持named策略（802.1X,auth-proxy）AAA(config)#aaa authentication login default group tacacs+ 步驟5、在線路上加載認證方法列表，使其對某個線路上的認證產(chǎn)生作用。用戶可以將不同的方法列表應用于不同的線路，值得注意的是：如果不特別指明，每個線路下面是一個在不同的VTY 線路上應用不同的身份驗證方法列表的實例：第一步：啟用AAA，配置本地數(shù)據(jù)庫以及ACS 用戶數(shù)據(jù)庫：Router(config)#aaa new-modelRouter(config)#username user1 password user1Route

28、r(config)#username user2 password user2Router(config)#username user3 password user3在ACS 的導航條中選擇“User Setup”進入用戶管理界面，在空白處輸入新用戶名，點擊“Add/Edit”添加新用戶傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！第二步：配置TACACS+和Radius 服務器的地址和密碼：Router(config)#tacacs-server host Router(config)#tacacs-server key ciscoRouter(config)#

29、radius-server host Router(config)#radius-server key cisco有一種配置方法。第三步：配置登陸身份驗證的方法列表：Router(config)#aaa authentication login default localRouter(config)#aaa authentication login ex1 group tacacs+Router(config)#aaa authentication login ex2 enableRouter(config)#aaa authentication login ex3 gr

30、oup tacacs+ noneRouter(config)#aaa authentication login ex4 group tacacs+ local第四步：在虛擬終端線路上應用列表：Router(config)#line vty 0Router(config-line)#login authentication ex1Router(config-line)#exitRouter(config)#line vty 1Router(config-line)#login authentication ex2Router(config-line)#exitRouter(config)#lin

31、e vty 2Router(config-line)#login authentication ex3Router(config-line)#exitRouter(config)#line vty 3Router(config-line)#login authentication ex4Router(config-line)#exit在此列中，我們特別規(guī)定了03 號VTY 鏈路上的身份驗證方法。其他沒有特別規(guī)定線路將采用default 方法進行身份驗證。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！實驗二、配置AAA 授權(quán)本節(jié)將采用以下實例來講述Cisco IOS 和PIX OS 中A

32、AA 授權(quán)的配置方法：1、使用AAA 在Cisco IOS 中對用戶的等級進行授權(quán)2、使用AAA 在Cisco IOS 中對用戶可使用的命令進行授權(quán)3、PIX 可下載的ACL1 使用AAA 在Cisco IOS 中對用戶的等級進行授權(quán)在Cisco IOS 中配置AAA 授權(quán)主要步驟如下：步驟1、全局開啟AAA 服務。由于“授權(quán)”一般是在“認證”之后實施的，因此在配置授權(quán)時aaa new-model 通常是打開的。步驟2、配置ACS 服務器的地址和AAA client 密碼，此步驟和AAA 認證中的相應步驟類似。步驟3、定義授權(quán)方法列表。步驟4、在線路上加載授權(quán)方法列表，使其對某個線路上的授權(quán)產(chǎn)

33、生作用。下面以在Cisco IOS 中配置EXEC 會話授權(quán)為例講述AAA 授權(quán)的基本配置，首先需要介紹一下IOS 命令的權(quán)限級別，默認情況下，Cisco IOS 設備使用三種權(quán)限級別：等級0：包括5 個命令：disable、enable、exit、help、logout。等級1：用戶模式，提示符為，它是用戶登陸后的默認級別。等級15：特權(quán)模式，提示符為#，它擁有最高的權(quán)限。當用戶通過VTY 線路登陸到路由器時，默認可以執(zhí)行等級0 和等級1 的所有命令；如果用戶輸入enable 命令并且輸入了正確的密碼（提示符由改為#），則他的權(quán)限變?yōu)榈燃?5。使用showprivilege 命令可以查看用戶

34、當前的權(quán)限級別。下面時一個使用AAA 配置EXEC 會話的全過程：第一步：啟用AAA，配置本地數(shù)據(jù)庫，為不同的用戶設置不同的權(quán)限Router(config)#aaa new-modelRouter(config)#username user1 privilege 1 password user1Router(config)#username user2 privilege 7 password user2Router(config)#username user3 privilege 15 password user3第二步：配置EXEC 會話授權(quán)的方法Router(config)#aaa au

35、thorization exec cisco local第三步：在虛擬終端線路上應用授權(quán)Router(config)#line vty 0 4Router(config-line)#authorization exec ciscoRouter(config)#username user1 privilege 1 password user1Router(config)#username user2 privilege 7 password user2Router(config)#username user3 privilege 15 password user3第二步：配置EXEC 會話授權(quán)的

36、方法Router(config)#aaa authorization exec cisco local第三步：在虛擬終端線路上應用授權(quán)Router(config)#line vty 0 4Router(config-line)#authorization exec cisco用戶還可以對Cisco CLI 的命令權(quán)限級別進行修改，例如：clear line 命令的默認級別為傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！15，但是我們可以使用privilege exec 命令將其權(quán)限修改為級別7。Router(config)# privilege exec level 7 clear l

37、ine通過以上設置，如果用戶使用user2 進行登陸的話，他就可以在不進入特權(quán)模式的情況下直接使用clear line 命令。2 使用AAA 在Cisco IOS 中對用戶可使用的命令進行授權(quán)Cisco Secure ACS 支持IOS 命令的授權(quán)，它可以限制管理用戶所能夠使用的命令以及命令參數(shù)。下面，我們使用一個示例來說明如何配置IOS 命令的授權(quán)。如上圖所示，管理員希望使用ACS 實現(xiàn)以下功能：普通管理員（等級15）只能使用“show ip route”、“show interface”命令查看設備的基本信息，并且無法進入配置模式對設備的配置進行修改；超級管理員（等級15）可以使用所有命令

38、。第一步：在IOS 設備上啟動AAA，并且配置AAA 認證（授權(quán)之前必須先通過認證）。Router(config)# aaa new-modelRouter(config)# username cisco password ciscoRouter(config)# tacacs-server host key ciscoRouter(config)# aaa authentication login default group tacacs+ local第二步：在ACS 管理頁面上點擊“Network Configuration”，添加一個AAA client，地址為10.1

39、.1.1，key 為cisco，協(xié)議使用TACACS +，最后點擊“Submit + Restart”完成設置。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！圖 添加AAA 客戶端第三步：點擊“group setup”，將“group 1”重命名為“normal”，將“group 2”重命名為“super”。第四步：點擊“user setup”添加用戶test1 和test2，其中test1 屬于“normal”組，test2屬于“super”組。圖 將用戶分配到相應的組。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！第五步：在IOS 設備上配置命令授權(quán)。Router(conf

40、ig)# aaa authorization exec default group tacacs+ localRouter(config)# aaa authorization commands 1 default group tacacs+ none！對等級1 的命令進行授權(quán)Router(config)# aaa authorization commands 15 default group tacacs+ none！對等級15 的命令進行授權(quán)第六步：在Cisco Secure ACS 的“group setup”中按照要求設置組的權(quán)限。點擊“group setup”，選擇“normal”組

41、，點擊“Edit Settings”如上圖所示，在TACACS +選項組中選擇“shell（exec）”，并且將“privilege Level”設置為15。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！如上圖所示，在“Shell Command Authorization Set”中設置該組所能執(zhí)行的命令以及參數(shù)，最后點擊“Submit + Restart”。“super”組的權(quán)限設置和“normal”組基本類似，唯獨不同的就是“Shell CommandAuthorization Set”部分，下圖顯示了normal 組的“Shell Command Authorization S

42、et”設置。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！第七步：測試。在遠程管理PC 上telnet 進行測試，當使用test2 帳號登陸時，用戶可以執(zhí)行所有命令，當使用test1 帳號登陸時，執(zhí)行命令的界面如下：從輸出中我們可以看到，test1 用戶只能執(zhí)行“show ip route”和“show interface”命令，當執(zhí)行其他命令時，IOS 會提示“Command authorization failed.”。實驗三、Cisco IOS 認證代理：認證代理是Cisco IOS 12.3 防火墻特性集中的一個功能，它可以在用戶訪問Internet 時對用戶

43、進行認證和授權(quán)。下圖就是一個使用IOS 的認證代理功能控制用戶訪問Internet 的例子。傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！用GNS3搭建的實驗拓撲：注意：選擇可以做安全實驗的IOS版本。C1 裝有ACS的2003 虛擬機(連接VMnet)，C2連接真機(連接loopback)。圖中的 為 Cisco Secure ACS 服務器，路由器使用Tacacs+協(xié)議與服務器通信。當用戶輸入正確用戶名和密碼后，路由器從ACS 上獲取用戶的訪問配置文件，并且加入到相應的訪問控制列表中。下面列出主要的實現(xiàn)步驟：第一步，啟動AAA，設置認證和授權(quán)方法，并且配置Ta

44、cacs+服務器的參數(shù)。Router(config)# aaa new-modelRouter(config)# aaa authentication login default group tacacs+Router(config)# aaa authorization auth-proxy default group tacacs+傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！Router(config)# tacacs-server host 0 key cisco第二步，在ACS 上將路由器設置為AAA client。在ACS 導航欄中點擊“Network

45、Configuration”，在AAA client 中點擊“Add Entry”添加AAA 客戶端，如下圖所示：圖 將路由器設置為AAA client在ACS 導航欄中點擊User setup ,Add 用戶zhang ,密碼superman .Router#test aaa group tacacs+ zhang superman new-codeTrying to authenticate with Servergroup tacacs+Sending passwordUser successfully authenticated測試成功表示，前期準備（1.IOS添加服務器2.ACS添加

46、AAA客戶端3.創(chuàng)建用戶和密碼）完全正確。第三步，在ACS 上配置代理服務。在ACS 導航欄中點擊“Interface Configuration”，點擊“Tacacs +（Cisco IOS）”進入以下界面：傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！在new Services 中添加一個新的服務，名稱為“auth-proxy”，如上圖所示。第四步，在ACS 中添加用戶，并且將用戶分配到相應的組中。第五步，配置用戶授權(quán)文件。在ACS 導航欄中點擊“Group Setup”，選中相應的組，點擊“Edit Settings”，將滾動菜單下拉到以下界面：傳播優(yōu)秀Word版文檔 ，希望對您

47、有幫助，可雙擊去除！如上圖所示，選中auth-proxy 和Custom Attributes 復選框，在Custom Attributes 的文本框中輸入該組用戶的授權(quán)文件。用戶授權(quán)文件其實就是將來路由器要加載的ACL，每條語句使用proxyacl#n 的形式來表示，并且只能包含permit 語句。路由器下載授權(quán)文件后，它會自動將每條語句中的源地址（any）替換成用戶的源IP 地址。下面是一個授權(quán)文件的實例：proxyacl#1=permit tcp any any eq wwwproxyacl#2=permit tcp any any eq 20proxyacl#3=permit tcp

48、any any eq 21priv-lvl=15注意授權(quán)文件的最后一行必須以priv-lvl=15 結(jié)尾。第六步，在路由器上定義進站訪問控制列表，只允許到路由器的AAA 流量。Router(config)#access-list 101 permit tcp host eq tacacs host 00Router(config)#access-list 101 deny ip any anyRouter(config)#interface fa0/0Router(config-if)#ip access-group 101 in使用show ac

49、cess-list 檢查ACL：Router#sh access-listsExtended IP access list 101 10 permit tcp host eq tacacs host 00 20 deny ip any any (18 matches)第七步，打開路由器的HTTP 服務器。Router(config)#ip http serverRouter(config)#ip http authentication aaa第八步，配置認證代理規(guī)則。Router(config)# ip auth-proxy name cisco

50、http Router(config)# interface fa0/1Router(config-if)# ip auth-proxy ciscoRouter(config-if)# exit第九步，測試。在路由器上創(chuàng)建loopback 0 接口：Router(config)#int loopback 0Router(config-if)#ip add #配置地址，模擬外網(wǎng)服務器首先，在內(nèi)網(wǎng)主機PC 0上ping外網(wǎng)服務器 C:Documents and SettingsAdministratorping

51、 Pinging with 32 bytes of data:Reply from : bytes=32 time=89ms TTL=255Reply from : bytes=32 time=70ms TTL=255Reply from : bytes=32 time=85ms TTL=255Reply from : bytes=32 time=123ms TTL=255Ping statistics for :傳播優(yōu)秀Word版文檔 ，希望對您有幫助，可雙擊去除！ Packets: Sent = 4, Received = 4, Lo