本文为大家介绍cisco路由器配置acl(cisco aaa),下面和小编一起看看详细内容吧。
cisco路由器aaa介绍及相关路由配置
思科aaa www.ttep.cn
3a概念:authentication authentication authorization authorization accounting
思科为路由器和交换机提供多种3a服务方式:
1 self-contained aaa router/nas self-contained aaa service nas (network access server)
2 cisco secure acs 路由器/nas 上的aaa 服务联系外部cisco secure acs 系统
3 cisco secure acs solution engine 路由器/nas 上的aaa 服务,带有外部cisco secure acs solution
发动机系统触点
4 路由器/nas 上的第三方acs aaa 服务联系外部cisco 认可的第三方acs 系统radius tacacs+
cisco secure acs 系列是用于安全访问网络的综合且灵活的平台。他主要负责以下其中一项的安全
通过cisco nas和路由器拨号
管理员对路由器和交换机的控制台和vty 端口访问
cisco pix防火墙访问www.ttep.cn
vpn3000 系列集线器(仅适用于radius)
使用cisco leap 和peap 的wlan 支持
交换机的无线802.1x 身份验证
边界路由器aaa配置流程
1 安全访问特权exec 并在vty、async、aux 和tty 端口上配置模式
配置
启用密码***
服务密码加密
启用秘密******
2 在边界路由器上,使用aaa new-model 命令启用aaa。
配置
aaa新模型
用户名密码***
aaa认证登录默认本地
注意,配置aaa new-model命令时,必须提供本地登录方式,防止管理会话失败
路由器锁定。
3 配置aaa认证列表
aaa authentication login 定义用户视图登录路由器需要使用的认证步骤。
aaa authentication ppp 对于使用ppp 的串行接口上的用户会话,定义要使用的身份验证过程。
aaa authentication enable default 定义当有人试图通过enable 命令进入特权exec 模式时应该使用什么
认证步骤
在接入服务器上全局启用aaa 后,需要定义一个身份验证方法列表并将其应用于链路和接口。这些认证方式
该列表指示服务(ppp、arap、nasi、login)和身份验证方法(本地、tacacs+、radius、登录或启用),此处
建议将本地身份验证作为最后的手段。
定义身份验证方法列表
1 指定服务(ppp、arap、nasi)或登录认证
2 确定列表名称或使用默认值
3 指定身份验证方法,并指定当其中一种方法不可用时路由器如何响应
4 将其应用于以下链接或接口之一
链接- tty、vty、console、aux 和异步链接,或用于登录的控制台端口已用于ara www.ttep.cn 的异步链接
接口- 为ppp、slip、nasi 或arap 配置的同步、异步和虚拟接口
5 在全局配置模式下运行aaa authentication 命令以启用aaa 身份验证过程。
1 aaa认证登录命令
配置
aaa认证登录默认启用
aaa 身份验证登录控制台-在本地
aaa 身份验证登录tty-in 行
console-in 和tty-in 是管理员创建的简单方法列表名称。
aaa 认证登录{默认| list-name} method1 [method2~~~]
默认用户登录时,使用该变量后面列出的认证方式作为默认方式列表
list-name 用户登录时用于命名认证方式列表的字符串
方法:
(enable) 使用enable密码进行认证
(krb5) 使用kerberos 5 进行身份验证
(krb5-telnet) 通过telnet 连接到路由器时使用kerberos 5 telnet 身份验证协议
(行)使用链接密码进行身份验证
(本地)使用本地用户名数据库进行身份验证
(无)无身份验证
(group-radius) 使用所有radius 服务器的列表进行身份验证
(group tacacs+) 使用所有tacacs+ 服务器的列表进行身份验证
(group group-name) 使用aaa 组中定义的radius 或tacacs+ 服务器子集进行身份验证
服务器radius 或aaa 组服务器tacacs+ 命令
2 aaa认证ppp命令
aaa authentication ppp (default list-name) method1 [method2~~~]
默认用户登录时,使用该变量后面列出的认证方式作为默认方式列表
list-name 用户登录时用于命名认证方式列表的字符串
方法:
(if-needed 如果用户在tty 链接上通过了身份验证,则不需要进一步的身份验证
(krb5 使用kerberos 5 进行身份验证
(本地使用本地用户名数据库进行认证
(本地案例
(无无身份验证
(组组名使用aaa 组中定义的radius 或tacacs+ 服务器子集进行身份验证
服务器radius 或aaa 组服务器tacacs+ 命令
3 aaa authentication enable default命令
aaa认证启用默认方法1 [方法2~~~]
方法:
启用使用启用密码进行身份验证
行使用链接密码进行身份验证
无无认证
group radius 使用所有radius 服务器的列表进行身份验证
group tacacs+ 使用所有tacacs+ 服务器的列表进行身份验证
group group-name 使用aaa 组中定义的radius 或tacacs+ 服务器子集进行身份验证
服务器radius 或aaa 组服务器tacacs+ 命令
4 将认证命令应用于链路和接口
配置
aaa 新模型启用aaa
aaa authentication login default enable 使用启用密码作为默认登录方式
aaa 身份验证登录console-in group tacacs+ local 每当使用名为console-in 的列时
表,全部使用tacacs+认证,如果tacacs+认证失败,使用本地用户名和密码
aaa 身份验证登录拨入组tacacs+ 每当使用名为拨入的列表时,
使用tacacs+ 身份验证。
username *** password **** 创建本地用户名和密码,很可能使用列出的控制台登录方法
与表一起使用
line console 0 进入链接控制台配置模式
login authentication console-in 使用console-in 列表作为控制台端口0 的登录验证
s3/0行
好了,cisco路由器配置acl(cisco aaa)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。