cisco路由器配置acl(cisco aaa)

發(fā)布時(shí)間：2024-03-10

本文為大家介紹cisco路由器配置acl(cisco aaa)，下面和小編一起看看詳細(xì)內(nèi)容吧。
cisco路由器aaa介紹及相關(guān)路由配置
思科aaa www.ttep.cn
3a概念：authentication authentication authorization authorization accounting
思科為路由器和交換機(jī)提供多種3a服務(wù)方式：
1 self-contained aaa router/nas self-contained aaa service nas (network access server)
2 cisco secure acs 路由器/nas 上的aaa 服務(wù)聯(lián)系外部cisco secure acs 系統(tǒng)
3 cisco secure acs solution engine 路由器/nas 上的aaa 服務(wù)，帶有外部cisco secure acs solution
發(fā)動(dòng)機(jī)系統(tǒng)觸點(diǎn)
4 路由器/nas 上的第三方acs aaa 服務(wù)聯(lián)系外部cisco 認(rèn)可的第三方acs 系統(tǒng)radius tacacs+
cisco secure acs 系列是用于安全訪問網(wǎng)絡(luò)的綜合且靈活的平臺(tái)。他主要負(fù)責(zé)以下其中一項(xiàng)的安全
通過cisco nas和路由器撥號(hào)
管理員對(duì)路由器和交換機(jī)的控制臺(tái)和vty 端口訪問
cisco pix防火墻訪問www.ttep.cn
vpn3000 系列集線器（僅適用于radius）
使用cisco leap 和peap 的wlan 支持
交換機(jī)的無線802.1x 身份驗(yàn)證
邊界路由器aaa配置流程
1 安全訪問特權(quán)exec 并在vty、async、aux 和tty 端口上配置模式
配置
啟用密碼***
服務(wù)密碼加密
啟用秘密******
2 在邊界路由器上，使用aaa new-model 命令啟用aaa。
配置
aaa新模型
用戶名密碼***
aaa認(rèn)證登錄默認(rèn)本地
注意，配置aaa new-model命令時(shí)，必須提供本地登錄方式，防止管理會(huì)話失敗
路由器鎖定。
3 配置aaa認(rèn)證列表
aaa authentication login 定義用戶視圖登錄路由器需要使用的認(rèn)證步驟。
aaa authentication ppp 對(duì)于使用ppp 的串行接口上的用戶會(huì)話，定義要使用的身份驗(yàn)證過程。
aaa authentication enable default 定義當(dāng)有人試圖通過enable 命令進(jìn)入特權(quán)exec 模式時(shí)應(yīng)該使用什么
認(rèn)證步驟
在接入服務(wù)器上全局啟用aaa 后，需要定義一個(gè)身份驗(yàn)證方法列表并將其應(yīng)用于鏈路和接口。這些認(rèn)證方式
該列表指示服務(wù)（ppp、arap、nasi、login）和身份驗(yàn)證方法（本地、tacacs+、radius、登錄或啟用），此處
建議將本地身份驗(yàn)證作為最后的手段。
定義身份驗(yàn)證方法列表
1 指定服務(wù)（ppp、arap、nasi）或登錄認(rèn)證
2 確定列表名稱或使用默認(rèn)值
3 指定身份驗(yàn)證方法，并指定當(dāng)其中一種方法不可用時(shí)路由器如何響應(yīng)
4 將其應(yīng)用于以下鏈接或接口之一
鏈接- tty、vty、console、aux 和異步鏈接，或用于登錄的控制臺(tái)端口已用于ara www.ttep.cn 的異步鏈接
接口- 為ppp、slip、nasi 或arap 配置的同步、異步和虛擬接口
5 在全局配置模式下運(yùn)行aaa authentication 命令以啟用aaa 身份驗(yàn)證過程。
1 aaa認(rèn)證登錄命令
配置
aaa認(rèn)證登錄默認(rèn)啟用
aaa 身份驗(yàn)證登錄控制臺(tái)-在本地
aaa 身份驗(yàn)證登錄tty-in 行
console-in 和tty-in 是管理員創(chuàng)建的簡(jiǎn)單方法列表名稱。
aaa 認(rèn)證登錄{默認(rèn)| list-name} method1 [method2~~~]
默認(rèn)用戶登錄時(shí)，使用該變量后面列出的認(rèn)證方式作為默認(rèn)方式列表
list-name 用戶登錄時(shí)用于命名認(rèn)證方式列表的字符串
方法：
(enable) 使用enable密碼進(jìn)行認(rèn)證
(krb5) 使用kerberos 5 進(jìn)行身份驗(yàn)證
(krb5-telnet) 通過telnet 連接到路由器時(shí)使用kerberos 5 telnet 身份驗(yàn)證協(xié)議
（行）使用鏈接密碼進(jìn)行身份驗(yàn)證
（本地）使用本地用戶名數(shù)據(jù)庫進(jìn)行身份驗(yàn)證
（無）無身份驗(yàn)證
(group-radius) 使用所有radius 服務(wù)器的列表進(jìn)行身份驗(yàn)證
(group tacacs+) 使用所有tacacs+ 服務(wù)器的列表進(jìn)行身份驗(yàn)證
(group group-name) 使用aaa 組中定義的radius 或tacacs+ 服務(wù)器子集進(jìn)行身份驗(yàn)證
服務(wù)器radius 或aaa 組服務(wù)器tacacs+ 命令
2 aaa認(rèn)證ppp命令
aaa authentication ppp (default list-name) method1 [method2~~~]
默認(rèn)用戶登錄時(shí)，使用該變量后面列出的認(rèn)證方式作為默認(rèn)方式列表
list-name 用戶登錄時(shí)用于命名認(rèn)證方式列表的字符串
方法：
（if-needed 如果用戶在tty 鏈接上通過了身份驗(yàn)證，則不需要進(jìn)一步的身份驗(yàn)證
（krb5 使用kerberos 5 進(jìn)行身份驗(yàn)證
（本地使用本地用戶名數(shù)據(jù)庫進(jìn)行認(rèn)證
（本地案例
（無無身份驗(yàn)證
（組組名使用aaa 組中定義的radius 或tacacs+ 服務(wù)器子集進(jìn)行身份驗(yàn)證
服務(wù)器radius 或aaa 組服務(wù)器tacacs+ 命令
3 aaa authentication enable default命令
aaa認(rèn)證啟用默認(rèn)方法1 [方法2~~~]
方法：
啟用使用啟用密碼進(jìn)行身份驗(yàn)證
行使用鏈接密碼進(jìn)行身份驗(yàn)證
無無認(rèn)證
group radius 使用所有radius 服務(wù)器的列表進(jìn)行身份驗(yàn)證
group tacacs+ 使用所有tacacs+ 服務(wù)器的列表進(jìn)行身份驗(yàn)證
group group-name 使用aaa 組中定義的radius 或tacacs+ 服務(wù)器子集進(jìn)行身份驗(yàn)證
服務(wù)器radius 或aaa 組服務(wù)器tacacs+ 命令
4 將認(rèn)證命令應(yīng)用于鏈路和接口
配置
aaa 新模型啟用aaa
aaa authentication login default enable 使用啟用密碼作為默認(rèn)登錄方式
aaa 身份驗(yàn)證登錄console-in group tacacs+ local 每當(dāng)使用名為console-in 的列時(shí)
表，全部使用tacacs+認(rèn)證，如果tacacs+認(rèn)證失敗，使用本地用戶名和密碼
aaa 身份驗(yàn)證登錄撥入組tacacs+ 每當(dāng)使用名為撥入的列表時(shí)，
使用tacacs+ 身份驗(yàn)證。
username *** password **** 創(chuàng)建本地用戶名和密碼，很可能使用列出的控制臺(tái)登錄方法
與表一起使用
line console 0 進(jìn)入鏈接控制臺(tái)配置模式
login authentication console-in 使用console-in 列表作為控制臺(tái)端口0 的登錄驗(yàn)證
s3/0行
好了，cisco路由器配置acl(cisco aaa)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。