ciscoaaa工大瑞普授课版

CiscoAAA ACS产品介绍3、AAA概述4、配置AAA5、配置AAA6、配置AAACiscoSecureACSCiscoSecureACSCiscoSecureACSforwindowsCiscoSecureACSforUnix版所支持的操作系CiscoSecureACSforWindows2000Windows2000AdvancedServer（sp4）WindowsServer2003标准版WindowsServer2003CiscoSecureACSforCiscoSecureACSforwindowsversion3.3的管理。意事项以及ACS的基本配置。CiscoSecureACSforwindowsPentiumⅢ550MHz以上tim（JREACS图ACS从上图中，可以看到CiscoSecureACSforwindows的Web页面分为两部分，其左边边出现。例如，用户点击“usersetup”导航条以后，ACS的页面如下图所示：图ACSusersetupSetup组设置（GroupSetup查看、创建、编辑用户组设置。共享配置组建（SharedProfileComponents）：一些可共享的组件，它们可以应用与一个或多个用户或用户组。组建包括：NetworkAccessRestriction（NAR、CommandauthorizationsetPIXdownloadableACL。网络配置（NetworkConfiguration）：查看、创建、编辑、删除网络服务器（网络设备，系统配置（SystemConfiguration启动或停止ACS服务，创建或删除网络日志，控制接口配置（InterfaceConfigurationTACACSRADIUS选项ControlDatabase报告和活动（ReportandActivityTACACS+RADIUS的审计报告、FailedationCiscoSecureACS通常，控制系统由两部分组成：CiscoSecureACS（AAAServer）和网络服务器（AAAClient1、CiscoIOSAAA2、CiscoIOS4、CiscoPIX步骤1、全局开启AAA服务。Router(config)#aaanew-Router(config)#aaanew-AAAClientAAAServerTACACS+协议时：tacacs-serverhostIP_addresstacacs-serverkeyradius-serverhostradius-serverkey图添加AAA处选择该客户端所使用认证协议，最后点击“Submit+Restart”完成服务器设置。步骤4、定义认证的方法列表，常见的认证方法主要有认证方解释与命令aaaauthenticationloginnameaaaauthenticationloginname定义本地数据库令为Usernameusernamepassword使用TATCACS+服务器进行验aaaauthenticationloginnamegroupaaaauthenticationloginnamegroupaaaauthenticationloginnameaaaauthenticationloginexamplegrouptacacs+group备可以使用aaaauthenticationloginexamplegrouptacacs+group『注意』在上面一个例子中，CiscoIOS会先使用tacacs+服务器对用户进行验证，如果设备无法联系到所配置的tacacs+服务器，则开始尝试使用radius服务器对用户进行验步 5、加载认证方法列表，使其对某个线的认证产生作用上会使用默认方法列表（名称为defaultRouter(config)#aaanew-modelRouter(config)#usernameuser1passworduser1Router(config)#usernameuser2passworduser2Router(config)#usernameuser3passwordRouter(config)#aaanew-modelRouter(config)#usernameuser1passworduser1Router(config)#usernameuser2passworduser2Router(config)#usernameuser3passwordACSUserSetup”进入用户管理界面，在空白处输入新用户名，点击Router(config)#tacacs-serverhost99Router(config)#tacacs-serverkeyciscoRouter(config)#radius-serverhost98Router(config)#radius-serverkeyciscoRouter(config)#tacacs-serverhost99Router(config)#tacacs-serverkeyciscoRouter(config)#radius-serverhost98Router(config)#radius-serverkeyciscoRouter(config)#linevtyRouter(config-line)#loginRouter(config)#linevtyRouter(config-line)#loginauthenticationRouter(config)#linevtyRouter(config)#aaaauthenticationlogindefaultlocalRouter(config)#aaaauthenticationloginex1grouptacacs+Router(config)#aaaauthenticationloginex2enableRouter(config)#aaaauthenticationloginex3grouptacacs+noneRouter(config)#aaaauthenticationloginex4grouptacacs+localRouter(config-line)#loginauthenticationRouter(config)#lineRouter(config-line)#loginauthenticationRouter(config)#linevtyRouter(config-line)#loginauthenticationRouter(config)#linevtyRouter(config-line)#loginauthentication采用default方法进行验证。aaa-servergroup_tagprotocol{tacacs+|器，当首选AAA服务器无法时，PIX会将请求转发到下一个AAA服务器。aaa-servergroup_tag(if_name)hostserver_ipkeytimeoutpixfirewall(config)#aaa-servertestprotocoltacacs+pixfirewall(config)#aaa-servertest(inside)host0ciscopixfirewall(config)#aaa-servertestprotocoltacacs+pixfirewall(config)#aaa-servertest(inside)host0ciscopixfirewall(config)#pixfirewall(config)#aaa netconsolepixfirewall(config)#aaaauthenticationserialconsole!通过console口PIX控制台时进行认pixfirewall(config)#aaaauthenticationsshconsolepixfirewall(config)#aaaauthenticationhttpconsolePIXAAA对进站连接和出站连接进行控制。下图就是某单位使用PIX对用户Internet进行控制的例子，当图中/24网段中的用户Internet时，pix会弹出框提示用户输入用户名和。用户输入正确的用户名和后，PIX将允许用户的。pixfirewall(config)#interfacepixfirewall(config-if)#pixfirewall(config)#interfacepixfirewall(config-if)#ipaddresspixfirewall(config-if)#noshutdownpixfirewall(config-if)#nameifINFO:Securitylevelfor"outside"setto0bydefault.pixfirewall(config-if)#interfacee1pixfirewall(config-if)#ipaddresspixfirewall(config-if)#noshutdownpixfirewall(config-if)#nameifINFO:Securitylevelfor"inside"setto100bydefault.pixfirewall(config-if)#exitpixfirewall(config)#nat(inside)1pixfirewall(config)#global(outside)1pixfirewall(config)#pixfirewall(config)#aaa-servertestprotocoltacacs+pixfirewall(config)#aaa-servertest(inside)host0ciscopixfirewall(config)#pixfirewall(config)#access-listaccess-internetextendedpermitipanypixfirewall(config)#aaaauthenticationmatchaccess-internetinside 用web页面对用户进行认证，如下图所示：pixfirewall#showAuthenticatedpixfirewall#showAuthenticated AuthenIn Most11user'wanglinlin'at, timeout:inactivitytimeout:管理员可以使用clearuauth命令清除缓冲区中的所有记录，这样用户在下一次（inactivity 新进行认证。该计时器的缺省值为50。pixfirewall(config)#timeoutuauthpixfirewall(config)#timeoutuauth1:00:00pixfirewall(config)#timeoutuauth0:10:00使用auth-prompt命令可以修改用户登陆的提示信息，语法如下auth-prompt[accept|reject|prompt]pixfirewall(config)#pixfirewall(config)#auth-promptpromptPleaseEnteryourUsernameandPasswordpixfirewall(config)#auth-promptacceptSorry,PleaseTryAgainpixfirewall(config)#auth-promptrejectAuthentication3、PIX可的AAACiscoIOSaaanew-model步骤3、定义方法列表。步 4、加载方法列表，使其对某个线的产生作用下面以在CiscoIOS中配置EXEC会话为例讲述AAA的基本配置，首先需要介绍一IOS命令的权限级别，默认情况下，CiscoIOS设备使用三种权限级别：0：包括5个命令：disable、enable、exit、help、logout。等1：用户模式，提示符为>，它是用户登陆后的默认级别。当用户VTY线路登陆到路由器时，默认可以执行等级01的所有命令；如果用户输入enable命令并且输入了正确的（提示符由>改为#），则他的权限变为等级15。使用showprivilege命令可以查看用户当前的权限级别。Router(config)#aaaRouter(config)#aaanew-工大瑞普实工大瑞普实Router(config)#Router(config)#usernameuser1privilege1passworduser1Router(config)#usernameuser2privilege7passworduser2Router(config)#usernameuser3privilege15passworduser3第二步：配置EXEC会话的方Router(config)#aaaauthorizationexeccisco Router(config)#linevty0Router(config)#privilegeexeclevel7clearRouter(config)#privilegeexeclevel7clear接使用clearline命令。参数。下面，使用一个示例来说明如何配置IOS命令的。route本信息，并且无法进入配置模式对设备的配置进行修改；超级管理员（15）可以使用所有Router(config)#aaanew-Router(config)#usernameciscopasswordciscoRouter(config)#tacacs-serverhostkeyciscoRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaanew-Router(config)#usernameciscopasswordciscoRouter(config)#tacacs-serverhostkeyciscoRouter(config)#aaaauthenticationlogindefaultgrouptacacs+，keycisco，TACACSSubmitRestart图添加AAARouter(config)#aaaauthorizationexecdefaultgrouptacacs+localRouter(config)#aaaauthorizationRouter(config)#aaaauthorizationexecdefaultgrouptacacs+localRouter(config)#aaaauthorizationcommands1defaultgrouptacacs+none Router(config)#aaaauthorizationcommands15defaultgrouptacacs+ 点击“groupsetup”，选择“normal”组，点击“EditSettings”。15。如上图所示，在“SCommandAuthorizationSet”中设置该组所能执行令以及参数，最后点击“Submit+Restart”。“super”组的权限设置和“normal”组基本类似，唯独不同的就是“SCommandAuthorizationSet”部分，下图显示了normal组的“SCommandAuthorizationSet”设Router#shipCodes:C-connected,S-static,I-IGRP,R-RIP,M-Router#shipCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea<OutputRouter#shinterfaceEthernet0isup,lineprotocolisHardwareisLance,addressis0060.09c4.2c94(bia0060.09c4.2c94)Internetaddressis/24<OutputRouter#shCommandauthorizationRouter#confCommandauthorizationRouter#shCommandauthorization从输出中可以看到，test1用户只能执行“showiproute”和“showinterface”命 令时，IOS会提示“Commandauthorizationfailed.”。4.4.3CiscoIOS图使用IOS认 Router(config)#aaanew-Router(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthorizationauth-proxydefaultgrouptacacs+Router(config)#Router(config)#aaanew-Router(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthorizationauth-proxydefaultgrouptacacs+Router(config)#tacacs-serverhost0keyAAAIOS第四步，在ACS中添加用户，并且将用户分配到相应的组中。图配置用户文proxyacl#1=permittcpanyanyeqwwwproxyacl#2=permittcpanyanyeq20proxyacl#3=permittcpanyanyeq21proxyacl#1=permittcpanyanyeqwwwproxyacl#2=permittcpanyanyeq20proxyacl#3=permittcpanyanyeq21Router(config)#access-list101denyipanyanyRouter(config)#interfaceRouter(config-if)#ipaccess-groupRouter(config)#access-list101denyipanyanyRouter(config)#interfaceRouter(config-if)#ipaccess-group101Router(config)#Router(config)#doshaccess-listExtendedIPaccesslist10110permittcphost0eqtacacshost(15020denyipanyany(1378Router(config)#access-list1permit Router(config)#ipauth-proxynameciscoRouter(config)#access-list1permit Router(config)#ipauth-proxynameciscohttplistRouter(config)#iphttpRouter(config)#interfacefa0/1Router(config-if)#ipauth-proxyciscoRouter(config-if)#Router(config)#interfacefa0/1Router(config-if)#ipauth-proxyciscoRouter(config-if)#图webRouter#shipauth-proxycacheAuthenticationProxyCacheRouter#shipauth-proxycacheAuthenticationProxyCacheClientNamewanglinlin,ClientIP00,Port1042,timeout60,TimeRemainingstateRouter(config)#Router(config)#doshowaccess-listStandardIPaccesslist110permit,wildcardbits55(44ExtendedIPaccesslistpermittcphost00anyeqwww(810permittcphost0eqtacacshost(150matches)20denyipanyany(1331matches)（inactivity 新进行认证。该计时器的缺省值为0，即不使用该计时器。Router(config)#ipauth-proxyinactivity-timer60absolute-timeripRouter(config)#ipauth-proxyinactivity-timer60absolute-timerRouter#shipauth-proxyconfigurationAuthenticationglobalcachetimeis60minutesAuthenticationglobalabsolutetimeis0Router#shipauth-proxyconfigurationAuthenticationglobalcachetimeis60minutesAuthenticationglobalabsolutetimeis0minutesAuthenticationProxySessionra imitis100AuthenticationProxyWatch-listisdisabledAuthenticationProxyRuleConfigurationAuth-proxynameciscohttplist1inactivity-timer60Router(config)#ipauth-proxyauth-proxy-bannerhttp&Pelaseenteryourusernameandpassword&使用ipauth-proxyRouter(config)#ipauth-proxyauth-proxy-bannerhttp&Pelaseenteryourusernameandpassword&在“CiscoPIX网络认证”一节中，介绍到如何使用PIX对进站连接和出站连接进pixfirewall(config)#aaaauthorizationmatchaccess-internetinsidepixfirewall(config)#aaaauthorizationmatchaccess-internetinside图配置用户组的权限，“http“Arguments选择“permit”，这中配置代表允许改组用户所有的HTTP服务器。，PIXdownloadableDownloadableACL在认证和方面的配置和上一节中介绍的差不多，唯独不同的是：downloadableACL必须使用radius为认证协议。本节将介绍三种方法来实现downloadableACL功能。不管使用哪种方法，AAA认证部分的配置都是一样的，主要配置如下：pixfirewall(config)#aaa-servertestprotocolradiuspixfirewall(config)#aaa-servertest(inside)hostpixfirewall(config)#aaa-servertestprotocolradiuspixfirewall(config)#aaa-servertest(inside)host0ciscopixfirewall(config)#access-listaccess-internetextendedpermitipanyanypixfirewall(config)#aaaauthenticationmatchaccess-internetinsidetest三种方法的不同之处在于Radius服务器的配置不同，下面对三种方法进行详细的介绍。1第法的思路是：事先在PIX上定义好ACL，当用户通过PIX认证时，radius服务器将该用户对应的ACL名称告诉PIX，然后PIX将ACL加载到用户的会话上。该方法的优点是实现起来相对简单，缺点是必须事先在PIXACL写好。主要实现步骤如下：pixfirewall(config)#access-listwtestpixfirewall(config)#access-listwtestpermitipanyhostpixfirewall(config)#access-listwtestdenyipanyACS的导航栏中点击“networkconfiguration”，添加一AAAclient，认证协议选“RADIUS（CiscoIOS/PIXFilter-Id,写入该组用户使用的ACL的名字，如下图：最后点击“Submit+Restart”保存组配置。第二种方法的思路是：使用CiscoAVPair，在radius服务器上定义attribute-value(也vendor-specific-attribute，VSA)，AVpair中定义用户对应的ACL。这种方法的缺点是ACL的大小过4096字节。主要实现步骤如下：“RADIUS（CiscoIOS/PIXip:inacl#100=permitipanyip:inacl#100=permitipanyip:inacl#200=denyipany最后点击“Submit+Restart”保存组配置。好ACL，当用户认证时，让PIX自己与用户所对应的ACL。主要实现步骤如下：协议选“RADIUS（CiscoIOS/PIX中其中“User-LevelDownloadableACL”和“Group-LevelDownloadableACL添加ACL，例如：图新建最后，点击“submit”提交ACL配置。在“DownloadableACLs”部分，选中“AssignIPACLACL，如下图：图为用户组分配 的ACL，例如pixfirewall#showaccess-access-listcachedACLlogflows:total0,denied0 的ACL，例如pixfirewall#showaccess-access-listcachedACLlogflows:total0,denied0(deny-flow-max4096)alert-interval300access-listaccess-internet;1access-listaccess-internetline1extendedpermitipanyany( access-list#ACSACL#-IP-wlltest-44000b48;2elements(dynamic)access-list#ACSACL#-IP-wlltest-44000b48line1extendedpermitipanyhost access-list#ACSACL#-IP-wlltest-44000b48line2extendeddenyipanyany pixfirewall#show Mostaccess-list#ACSACL#-IP-wlltest-44000b48 timeout:inactivitytimeout:Authenticated11AuthenIn01user'wanglinlin'IEEE802.1x名为基于端口的控制协议（Portbasednetworkaccesscontrolprotocol（EAPOW图802.1xswitch(config)#switch(config)#aaanew-switch(config)#usernamejuniperpasswordciscoswitch(config)#aaaauthenticationlogindefaultlocallogin802.1xswitch(config)#aaaauthenticationdot1xdefaultgroupradiusswitch(configaaaauthorizationnetworkdefaultgroupradius//配置认证和方法switch(config)#radius-serverswitch(config)#radius-serverhost0keyciscoswitch(config)#radius-servervsasendswitch(config)#switch(config)#dot1xsystem-switch(config)#interfacerangefa0/1–20switch(config-if-range)#switchportmodeaccessswitch(config-if-range)#spanning-treeportfastswitch(config-if-range)#dot1xport-controlRadius（IETFAAA2、在ACS导航条中点击“InterfaceConfiguration”，点击Radius（IETF”进入以下选中“[064]Tunnel-Type”、“[065]Tunnel-Medium-Type”、“[081]4、在ACS导航条中点击“GroupSetup”编辑组设置，将“[064]Tunnel-Type”1的值设置为“VLAN”，将“[065]Tunnel-Medium-Type”1的值设置为“802”，将“[081]Tunnel-Private-Group-ID”1VLANID。如下图所示：目前802.1xwindows作系统Windows2000sp4WindowsxpWindowsser