登录站点

用户名

密码

CISCO AAA

12已有 11293 次阅读  2013-12-21 19:25

AAA的实验注意点:


(1) 系统必须安装java虚拟机,否则在Cisco Secure ACS软件中有的网页打不开.


(2) 在SF的实验室环境下,PC机的默认IP是  : 192.168.1.10   255.255.255.0
                     为PC机添加一个辅助IP : 172.16.10.10   255.255.255.0


    辅助IP当成AAA服务器的IP,AAA服务器不需要网关.


这样PC机就有2个IP地址,默认IP地址能telnet到机架上,而辅助IP可以用来做AAA实验.


(3) Client(路由器)上配置:  int e0
                           ip add 172.16.10.1   255.255.255.0
                           no shut
                           tacacs-server host 172.16.10.10  (指向服务器IP)
                           tacacs-server key spoto          

    开启AAA认证 :  aaa new-model

           配置 :  aaa authentication login default group tacacs+ local none
                   aaa authentication enable default group tacacs+ enable
                   //如果没有设置密码认证,AAA服务器默认用系统认证口令,若也没设置系统口令,则                       telnet 172.16.10.1 后,不管输入权限是15或者权限是0的用户名和密码 ,进到用                      户模式后都进不去特权模式.故此密码认证最好需要设置.
                   aaa accounting exec default start-stop group tacacs+
                   aaa authentication login no_pass none
                   enable secret 5 $1$LGe2$aEHxrUgHa5K/ovvBV1dHl0                   


(4) 创建列表 : aaa authenticaiton login no_pass(自己输入的字符串) none
        应用 : li co 0
               login authe no_pass


这样从console口登录就不需要密码认证.


(5) Cisco Secure ACS配置中的注意点:
    <1> 进入 Interface Configuration  配置添加TACACS+的高级属性.
    <2> 进入 User Setup               配置添加用户并设置权限.
    <3> 进入 Group Setup              查看用户分组情况.
    <4> 进入 Netword Configuration    查看AAA客服端和AAA服务器的配置情况.


(6) 测试: 在PC机上-->cmd-->telnet 172.16.10.1(路由器)
    username:abc(权限设置为15)   或者    xyz(权限设置为0)
    password:ccna                        ccna   
   
    r1>en                                r1>en
    password:ccna                        password:
    r1#                                  % Error in authentication.
                                         r1>


分析:权限为0的用户无法登录到路由器的特权模式下.


(7) 在Cisco Secure ACS上点击Reports and Activity   查看TACACS+ Accounting 信息.
    注:必须有    r1(config)#aaa accounting  exec default  start-stop  group tacacs+ 
                 才会有统计信息.     
                                     

小结:刚开始做的时候把client端的IP设置成192.168.1.111 即和终端2511的IP是一样的,导致登陆2511       后提示 : password required,but not set  -.-!  后来头点重新恢复了2511 的配置 总算可以       登进去了,看来以后不能乱设置Ip了.

分享 举报