本篇重点讲解一下AAA的线下保护,防止我们在开启AAA服务的时候本地的用户登录被洗掉,再讲一下如何使用acs认证登录,用来体现数据包的加密。@[TOC]
首先我们先讲一下什么是线下保护,这里我们以实例来讲解一下。
在R1上配置特权模式登录密码保护: line console 0 password cisco login 这时候我们退出特权什么,再进入特权模式密码时,就需要密码了。 而我们开启AAA服务之后,退出,再进入特权模式则无须密码了。很明显,我们之前配置的线下密码直接被洗掉了,这样我们也无法用密码登录了。所以需要配置AAA的线下保护。若是没配置线下保护,我们将无法控制这台路由器了,所以这是很危险的操作。 aaa new-model //开启AAA服务 再来看telnet的情况,没开启AAA服务之前我们使用的是线下密码登录,telnet之后直接输入密码。 开启aaa服务之后,telnet则变成了需要用户名和密码登录了。而我们又没设置用户名和密码,这样就无法登录进去了。 再来看个现象,我们开启AAA之后,我们全局调用ACS的组,而又不去配置R1与ACS服务器之间的关联。退出再进入特权模式,这时候我们会发现无法进入特权模式,原因是调用ACS中的组,而R1又无配置,所以调用失败,始终无法进入特权模式,这时候我们只能通过重启路由器了。 R1: aaa authentication login default group ccie //开启默认的策略组登录 综上所示,线下保护配置是我们开启AAA之后必须配置的,不然将洗掉本地的用户登录设置。 线下保护配置设置: R1:启动线下保护 R1(config)#aaa new-model //开启AAA R1(config)#aaa authentication login cheng line none //启用线下保护,定义一个cheng的认证策略线下密码认证 R1(config)#line console 0 //进入console口 R1(config-line)#login authentication cheng //调用线下保护 这里配置线下认证之后,我们再次退出登录特权模式,发现又需要线下密码登录了,不会直接被洗掉了。
首先保证路由器可以ping通acs服务器,并且在页面上可以打开服务器。 在开启线下保护的前提下,关联路由器与acs服务器。 R1(config)#aaa group server tacacs+ ccie //定义一个tacacs+组。名字为ccie R1(config-sg-tacacs+)#server-private 192.168.106.150 key cisco //指定AAA服务器地址,并启用验证, key为cisco R1(config)#aaa authentication login cjc group ccie //定义个名字为cjc的策略,AAA登录认证 策略,认证方式使用group ccie来认证。 R1(config)#line vty 0 4 //进入vty链路 R1(config-line)#login authentication cjc //调用名字为cjc的认证策略来为这个链路认证。
再在acs服务器添加认证 用户为CJC 密码为cisco123 最后,测试这个账号是否能正常使用,以及NAS(R1)到达ACS服务器的链路是否可达。 R1#test aaa group ccie cjc cisco123 new-code //测试aaa组ccie,用户名为cjc密码为cisco123 结果测试成功。再来看R2能否通过cjc这个账号远程登录 结果也是可以,测试成功。
最后再来查看数据包,R2telnetR1,抓取R2的f0/0口,我们发现,数据包已经使用AAA的tacacs+认证服务,一样无法获取有效信息。
到此,内容讲完了,下面我们考虑上面的情况,对R2的F0/1口抓包,那么会有什么情况呢,这里买个关子,感兴趣的同学可以自己尝试,后面我们再来讲述。
京公网安备 11010802041100号