CISCO AAA的配置关联ISE

AAA

Authentication  认证

Authorization 授权

Accouting 审计

 

Authentication

知道什么

---密码

---用户名和密码

拥有什么

---银行卡

---数字证书

你是谁

---指纹

---视网膜

注意:认证的强度与元素有关

 

Authorization

授权用户能够使用的命令

授权用户访问的资源

授权用户获得的信息

注意:授权的主要作用是在用户都有效的情况下,区分特权用户和普通用户。

 

Accouting

---什么人

---什么时间

---做了什么事情

非常类似生活中的摄像头

 

 

 

Client NAS基本协议:

Client 和NAS之间三大协议

l  登入NAS telnet/ssh/http/https

l  拨入NAS pptp/l2tp/pppoe/ipsec *** ……

l  穿越NAS auth-proxy(IOS)/cut-through (ASA)

注意:这时AAA 技术的因。

 

两大AAA通讯协议

NAS和AAA服务器之间的两个通讯协议:

l  Radius

l  Tacacs+

注意:这时AAA技术的果。

CISCO  AAA的配置关联ISE

拓扑图:

CISCO  AAA的配置关联ISE

需求:

客户端远程telnet 登录路由器,需要通过AAA 认证,才可以远程访问。

 

配置:

1、基本telnet 管理

Ø  仅仅只配置接口IP

默认情况下,客户端telnet 登录路由器,需要密码。

CISCO  AAA的配置关联ISE

注意:VTY/AUX默认为login线路,一定需要认证才能登录。

Show run | s line

CISCO  AAA的配置关联ISE

Ø  基本telnet登录配置

Step1:配置VTY线下密码

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#password cisco

CSR-1000v(config-line)#login

Step2:配置enable密码

CSR-1000v(config)#enable password cisco

 

这时telnet 路由器显示如下,需要输入线下密码,输入enable密码。

CISCO  AAA的配置关联ISE

2、本地用户名密码认证

Step1:创建用户及密码

CSR-1000v(config)#username admin password cisco

Step2:VTY线下启用本地用户名密码认证

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#login local 

注意:默认登录级别为1

 

 

CSR-1000v#show run | s line vty

line vty 0

 password cisco

 login local

line vty 1

 password cisco  //注意线下密码依然存在,本地认证优于线下密码认证。

 login local

 length 0

line vty 2 4

 password cisco

 login local

 

此时telnet登录如下:

CISCO  AAA的配置关联ISE

Step3:配置本地用户级别

CSR-1000v(config)#username admin privilege 15 

Step4:通过本地授权,用户获取15级权限

CISCO  AAA的配置关联ISE

CSR-1000v#show privilege  //查看用户级别

Current privilege level is 15

3、AAA设备管理

Step1:线下保护,此时没有Radius 或者Tacacs 服务器。

 

CSR-1000v(config)#aaa new-model  //开启AAA认证

CSR-1000v(config)#aaa authentication login NOISE local line none  //使用AAA认证登录

注意:

先使用AAA的用户名和密码登录,如果没有则使用本地密码认证,如果没有本地密码,则使用线下密码登录,如果没有线下密码,不需要认证,直接登录。NONE 是开启后门,防止被锁在门外。

 

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#login authentication NOISE  //线下使用AAA认证

 

此时telnet 如下:

CISCO  AAA的配置关联ISE

Step2:定义Tacacs+服务器

CSR-1000v(config)#aaa group server tacacs+ Renzhen  //定义AAA组,名称为Renzhen

CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 ?

  key                per-server encryption key (overrides default)

  nat                To send client's post NAT address to tacacs+ server

  port               TCP port for TACACS+ server (default is 49)

  single-connection  Multiplex all packets over a single tcp connection to

                     server (for CiscoSecure)

  timeout            Time to wait for this TACACS server to reply (overrides

                     default)

  <cr>

 

CSR-1000v(config-sg-tacacs+)#server-private 172.18.0.211 key cisco //指定tacacs+服务及密钥

 

Step3:激活Device Admin Service

登录ISE,进行关联网络设备。

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

Step4:创建用户

用户名:test

密码:Cisc0123

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

Step5:测试Tacacs+服务器

CISCO  AAA的配置关联ISE

Step6:配置AAA认证策略

CSR-1000v(config)#aaa authentication login TEST group Renzhen local line none //先使用AAA服务器里面的用户进行认证,如果AAA服务器连接失败,则使用本地用户认证,次之使用线下认证,最后无认证。

CSR-1000v(config)#username admin privilege 15 password 0 cisco

CSR-1000v(config)#enable password cisco

CSR-1000v(config)#line vty 0 4

CSR-1000v(config-line)#login authentication TEST  //调用AAA 认证 TEST

 

Step7:测试AAA设备管理

使用ISE里面的用户名和密码进行登录测试。

CISCO  AAA的配置关联ISE

此时通过用户名test远程访问,顺利通过认证。

查看ISE日志

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

如果通过不在ISE user 组里的用户去登录,则不允许登录,测试如下:

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

CISCO  AAA的配置关联ISE

另外:可以断开ISE连接,测试切换到本地数据库。


上一篇:ISE初始化


下一篇:Vmmem 进程(WSL2)消耗内存巨大