欢迎来到天天文库
浏览记录
ID:1413909
大小:558.36 KB
页数:14页
时间:2017-11-11
《ccnp aaa认证、授权、审计基本实验--罪恶的温柔》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、AAA认证、授权、审计基本实验先说下模拟环境的搭建:gns3与物理网卡进行桥接,AAA服务器安装VMware虚拟机中的WindowsServer2003中,虚拟机网卡选择桥接,路由器、WindowsServer2003、物理机同处于一个网段,WindowsServer2003的默认网关指向R1的f0/0。PC的默认网关指向f1/0。确保各个网址都能相互Ping通。1.认证。在ACS上创建两个用户user1密码:cisco,user2密码:cisco这样就创建好了。我们这里再将group1改名为level-1-group,并把user1加入到level-1-group中。进入到user1:这样就
2、将user1加入到level-1-group,user2做同样的设置。在R1上的设置:在全局配置模式下:创建本地数据库,当AAA服务器down掉后就可以启用本地数据库的验证了。接下来是做本地线路的保护:为了防止启用AAA后,导致自已进不了路由器,在console接口下做个保护设置,让console口即使不用密码也能登录。全局模式下:配置特权模式密码启用AAA设置服务器定义列表,加上local参数后当AAA服务器down掉后就可以启用本地数据库的验证了。接下来在vty上调用,当别人telnet到R1上的时候就开启认证了。注意关键字要相同!在ACS上的设置:按照R1相应的信息将AAAclients
3、的信息填好:在PC上telnetR1:可以看到已经启用了认证。2.授权:将user1的用户等级设为1,将user2的用户等级设为2,设置用户等级为1的只能showrun和ping。在ACS上设置用户等级:user2按照同样的方法设置为等级2。在R1上设置用户级别的授权:全局:当权限为2以下的用户登录时需要输入enable的密码,用密码登录特权模式后提升为15级。user2等级为2,不用输enable的密码直接进入特权模式:接下来设置用户等级为1的只能showrun和ping。在ACS中设置:注意几个deny和permit的选项。接下来在R1上配置命令授权的列表:注意:在cisco的路由器上有1
4、6个用户级别(0-15),其中0、1、15级是有命令的,其他的级别默认没有定义任何命令,高级别的用户可以使用低级别的命令。对15级的命令进行授权,在你使用15级的命令时,会先去查询否已有授权,然后才能使用。一般不对0级命令进行授权。用user1进行测试:可以Ping通。可以showrun。可以看到其他命令都授权失败。如果我们不做15级授权的话,单单只做1级授权,那么其他15级的命令就不会被检查了。用user2登录后:可以看到除了0级的命令可以用,其他的都是不行的。因为我们在R1要求了1级和15级发送到服务器去认证,而AAA服务器中Group2没有设置任何命令设置,自然不能通过授权。各等级包括的
5、命令:前面说过高级别的用户可以使用低级别的命令。3.审计第一行是基于时间的审计,会记录所有用户的进出时间。第二行基于命令的审计,会记录所有1级命令的操作.用user1进行测试:接下来在服务器上查看审计:
此文档下载收益归作者所有