AAA

Authentication  认证

Authorization 授权

Accouting 审计

 

Authentication

知道什么

---密码

---用户名和密码

拥有什么

---银行卡

---数字证书

你是谁

---指纹

---视网膜

注意：认证的强度与元素有关

 

Authorization

授权用户能够使用的命令

授权用户访问的资源

授权用户获得的信息

注意：授权的主要作用是在用户都有效的情况下，区分特权用户和普通用户。

 

Accouting

---什么人

---什么时间

---做了什么事情

非常类似生活中的摄像头

 

 

 

Client 和NAS基本协议：

Client 和NAS之间三大协议

l  登入NAS telnet/ssh/http/https

l  拨入NAS pptp/l2tp/pppoe/ipsec *** ……

l  穿越NAS auth-proxy(IOS)/cut-through (ASA)

注意：这时AAA 技术的因。

 

两大AAA通讯协议

NAS和AAA服务器之间的两个通讯协议：

l  Radius

l  Tacacs+

注意：这时AAA技术的果。

拓扑图：

需求：

客户端远程telnet 登录路由器，需要通过AAA 认证，才可以远程访问。

 

配置：

1、基本telnet 管理

Ø  仅仅只配置接口IP

默认情况下，客户端telnet 登录路由器，需要密码。

注意：VTY/AUX默认为login线路，一定需要认证才能登录。

Show run | s line

Ø  基本telnet登录配置

Step1：配置VTY线下密码

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#password cisco

CSR-1000v(config-line)#login

Step2：配置enable密码

CSR-1000v(config)#enable password cisco

 

这时telnet 路由器显示如下，需要输入线下密码，输入enable密码。

2、本地用户名密码认证

Step1：创建用户及密码

CSR-1000v(config)#username admin password cisco

Step2：VTY线下启用本地用户名密码认证

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#login local 

注意：默认登录级别为1级

 

 

CSR-1000v#show run | s line vty

line vty 0

 password cisco

 login local

line vty 1

 password cisco  //注意线下密码依然存在，本地认证优于线下密码认证。

 login local

 length 0

line vty 2 4

 password cisco

 login local

 

此时telnet登录如下：

Step3：配置本地用户级别

CSR-1000v(config)#username admin privilege 15 

Step4：通过本地授权，用户获取15级权限

CSR-1000v#show privilege  //查看用户级别

Current privilege level is 15

3、AAA设备管理

Step1：线下保护，此时没有Radius 或者Tacacs 服务器。

 

CSR-1000v(config)#aaa new-model  //开启AAA认证

CSR-1000v(config)#aaa authentication login NOISE local line none  //使用AAA认证登录

注意：

先使用AAA的用户名和密码登录，如果没有则使用本地密码认证，如果没有本地密码，则使用线下密码登录，如果没有线下密码，不需要认证，直接登录。NONE 是开启后门，防止被锁在门外。

 

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#login authentication NOISE  //线下使用AAA认证

 

此时telnet 如下：

Step2：定义Tacacs+服务器

CSR-1000v(config)#aaa group server tacacs+ Renzhen  //定义AAA组，名称为Renzhen

CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 ?

  key                per-server encryption key (overrides default)

  nat                To send client's post NAT address to tacacs+ server

  port               TCP port for TACACS+ server (default is 49)

  single-connection  Multiplex all packets over a single tcp connection to

                     server (for CiscoSecure)

  timeout            Time to wait for this TACACS server to reply (overrides

                     default)

  <cr>

 

CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 key cisco //指定tacacs+服务及密钥

 

Step3：激活Device Admin Service

登录ISE，进行关联网络设备。

Step4：创建用户

用户名：test

密码：Cisc0123

Step5：测试Tacacs+服务器

Step6：配置AAA认证策略

CSR-1000v(config)#aaa authentication login TEST group Renzhen local line none //先使用AAA服务器里面的用户进行认证，如果AAA服务器连接失败，则使用本地用户认证，次之使用线下认证，最后无认证。

CSR-1000v(config)#username admin privilege 15 password 0 cisco

CSR-1000v(config)#enable password cisco

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#login authentication TEST  //调用AAA 认证 TEST

 

Step7：测试AAA设备管理

使用ISE里面的用户名和密码进行登录测试。

此时通过用户名test远程访问，顺利通过认证。

查看ISE日志

如果通过不在ISE user 组里的用户去登录，则不允许登录，测试如下：

另外：可以断开ISE连接，测试切换到本地数据库。