摘要 : ACScisco的一个安全访问控制系统ACS=accesscontrolsystemACS是Cisco出的一个AAA认证软件,可以对路由器进行用户认证、授权、记账操作。AAA的认证AAA是认证授权统计的总称。一般是先认证,然后授权,再统计被认证授权 ...
ACS cisco的一个安全访问控制系统 ACS= access control system ACS是Cisco出的一个 AAA 认证软件,可以对路由器进行用户认证、授权、记账操作。 AAA的认证 AAA是认证授权统计的总称。一般是先认证,然后授权,再统计被认证授权的用户对资源的访问情况。 下面路由器作为认证服务器来做AAA,认证的实验。 如下图: 下面来做AAA认证试验: 首先搭建环境: 在R6路由器上-----AAAserver Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#host R6 R6(config)#enable password 123 R6(config)#line vty 0 4 R6(config-line)#password 456 R6(config-line)#login R6(config-line)#exit R6(config)#int fa2/0 R6(config-if)#ip add 192.168.1.1 255.255.255.0 R6(config-if)#no shut R6(config-if)# R6(config-if)#end R6# 在计算机上设置好IP:192.168.1.2C:\>ping 192.168.1.1 Pinging 192.168.1.1 with 32 bytes of data: Reply from 192.168.1.1: bytes=32 time=79ms TTL=255 Reply from 192.168.1.1: bytes=32 time=21ms TTL=255 Reply from 192.168.1.1: bytes=32 time=65ms TTL=255 Reply from 192.168.1.1: bytes=32 time=27ms TTL=255 Ping statistics for 192.168.1.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 21ms, Maximum = 79ms, Average = 48ms C:\> 网络连通,在计算机上开始telnet登录R6。 C:\>telnet 192.168.1.1 User Access Verification Password: R6>enable Password: R6#config t Enter configuration commands, one per line. End with CNTL/Z. R6(config)# 顺利的登录了R6,并且可获取配置权限。 刚才的 telnet登录的时候,并没有需要用户名。下面我们来做AAA的认证: 在R6上: R6(config)#aaa new-model 开启AAA认证功能 R6(config)#aaa authentication login xiaoxiao local AAA采用本地数据进行登陆认证;建立认证数据库xiaoxiao R6 (config)#username jintian password 123 开始建立数据库数据 R6 (config)#username mingtian password 123 R6(config)#username houtian password 123 R6 (config)#line vty 0 4 指定登陆认证采用的数据库名称 R6 (config-line)#login authentication xiaoxiao 客户端测试: PC上: 认证试验成功 下面做:授权 R6(config)#aaa new-model R6(config)#aaa authorization exec xiaobai local AAA授权 cmd模式下登陆采用本地数据授权 R6(config)#username xiao2 privilege 4 password 123 R6(config)#username xiao3 privilege 7 password 123 R6(config)#username xiao4 privilege 15 password 123 R6(config)#line vty 0 4 R6(config-line)#authorization exec xiaobai R6(config-line)# R6(config-line)# R6(config-line)# R6(config-line)#end 开始在PC上测试 做授权: 首先完成认证或者授权: R6---FA2/0-------------pc 192.168.1.1 192.168.1.55 Router : Enable Config t Int fa2/0 Ip add 192.168.1.1 255.255.255.0 No shutdown Exit Aaa new-model Aaa authentication login default local Line vty 0 4 Password 456 Login Exit Aaa new-model 统计认证或者授权信息 aaa accounting commands 15 exit debug aaa accounting 试验完成 下面做基于系统的ACS软件生成的TACACS+服务器和radius服务器来实现:AAA认证 PCC: 192.168.1.55 Gw:192.168.1.254 R6: Enable Config t Hostname R6 Int fa2/0 Ip add 192.168.1.254 255.255.255.0 No shutdown Exit Int s1/2 Ip add 192.168.2.1 255.255.255.0 No shutdown Exit Router rip Network 192.168.1.0 Network 192.168.2.0 End R7: Enable Config t Hostname R7 Int s1/5 Ip add 192.168.2.2 255.255.255.0 No shutdown Exit Int fa2/0 Ip add 192.168.3.254 255.255.255.0 No shutdown Exit Router rip
|