ccnp aaa认证、授权、审计基本实验--罪恶的温柔

《ccnp aaa认证、授权、审计基本实验--罪恶的温柔》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、AAA认证、授权、审计基本实验先说下模拟环境的搭建：gns3与物理网卡进行桥接，AAA服务器安装VMware虚拟机中的WindowsServer2003中，虚拟机网卡选择桥接，路由器、WindowsServer2003、物理机同处于一个网段，WindowsServer2003的默认网关指向R1的f0/0。PC的默认网关指向f1/0。确保各个网址都能相互Ping通。1.认证。在ACS上创建两个用户user1密码：cisco，user2密码：cisco这样就创建好了。我们这里再将group1改名为level-1-group，并把user1加入到level-1-group中。进入到user1：这样就

2、将user1加入到level-1-group，user2做同样的设置。在R1上的设置：在全局配置模式下：创建本地数据库，当AAA服务器down掉后就可以启用本地数据库的验证了。接下来是做本地线路的保护：为了防止启用AAA后，导致自已进不了路由器，在console接口下做个保护设置，让console口即使不用密码也能登录。全局模式下：配置特权模式密码启用AAA设置服务器定义列表，加上local参数后当AAA服务器down掉后就可以启用本地数据库的验证了。接下来在vty上调用，当别人telnet到R1上的时候就开启认证了。注意关键字要相同！在ACS上的设置：按照R1相应的信息将AAAclients

3、的信息填好：在PC上telnetR1：可以看到已经启用了认证。2.授权：将user1的用户等级设为1，将user2的用户等级设为2，设置用户等级为1的只能showrun和ping。在ACS上设置用户等级：user2按照同样的方法设置为等级2。在R1上设置用户级别的授权：全局：当权限为2以下的用户登录时需要输入enable的密码，用密码登录特权模式后提升为15级。user2等级为2，不用输enable的密码直接进入特权模式：接下来设置用户等级为1的只能showrun和ping。在ACS中设置：注意几个deny和permit的选项。接下来在R1上配置命令授权的列表：注意：在cisco的路由器上有1

4、6个用户级别（0-15），其中0、1、15级是有命令的，其他的级别默认没有定义任何命令，高级别的用户可以使用低级别的命令。对15级的命令进行授权，在你使用15级的命令时，会先去查询否已有授权，然后才能使用。一般不对0级命令进行授权。用user1进行测试：可以Ping通。可以showrun。可以看到其他命令都授权失败。如果我们不做15级授权的话，单单只做1级授权，那么其他15级的命令就不会被检查了。用user2登录后：可以看到除了0级的命令可以用，其他的都是不行的。因为我们在R1要求了1级和15级发送到服务器去认证，而AAA服务器中Group2没有设置任何命令设置，自然不能通过授权。各等级包括的

5、命令：前面说过高级别的用户可以使用低级别的命令。3.审计第一行是基于时间的审计，会记录所有用户的进出时间。第二行基于命令的审计，会记录所有1级命令的操作.用user1进行测试：接下来在服务器上查看审计：