认证、授权与审计

AuthenticationAuthorizationAccounting(AAA)什么是AAA?多Authentication:认证今你是谁？能否通过认证？多Authorization:授权分在通过认证后，你能干什么？多Accounting:审计今你干了什么？流量的类型多登录流量：登录到网络设备进行管理的流量；多穿越流量：穿越相关网络设备的流量；多^入流量：例如:VPNrna；3.为什么要使用AAA多跟NAS(AAAClients)的数■相^多跟企业的人数有关令跟企业的人员变动频率有关如:以上几种情况我们可以通过使用站降低管理成本。综述：安全管理工作量越大，越应该集中地实施安全策略。令标准化的协议（TACACS+和心。山$），集中化的管理（CiscoSecureACS）.W备份的方法列表（当某个方法不可用的时候，使用候选的方法）。4.CiscoACSServer的客p端^型:念RollersSw一shesPIX/ASAF_rewa=sVPNconcentrators【VPN»丑aB】TACACS+Qerm-na-Accesscon=fo=erAccessCOIHrosystem1)aludlrnmmw3)aBTCPM害^MTACACS+%B8隽，«□«-49)£ssn■-肖pvisa-♦RADIUS(RemoteAUf-bhenMcaMonDial.llUserservice)2)【善、『堂NETBEUI】3)aBUDIW害霄RADIUSXB8晏m雷：1645a有jg站V•1646Awtv'ss:1812a肖Sv・1813a5)育ss—as•“Router:VTY线路但是此时的Lab5-1：S本AAA配置削。ut/0.0Router:VTY线路但是此时的Step1：K本IP地址KBR1(config)#ints1/1R1(config-if)#ipadd12.0.0.1255.255.255.0R1(config-if)#noshR2(config)#ints1/0R2(config-if)#ipadd12.0.0.2255.255.255.0R2(config-if)#nosh测试基本连通性：R1#ping12.0.0.2Step2:在R2的LineVTY下配置各种认证方法•R1#telnet12.0.0.2出现"passwordrequired,butnoneset”的提示，原E用于承载远程登录流量，此时默认的认证方法是密码认证密码并没有配置。Note:Cisco路由器的"line”1)CTY:ConsoleTYpeline3编号为0，是路由器的第一^个line，处理从consoleline的登录【本地登录】，默认不认证"nologin”。AUX:AUXiliaryline3编号紧接着CTY,该line处理通过Modem+PSTN的远程登录管理【远程登录】，默认需要密码认证"login”。VTY:VirtualTYpeline3处理通过TCP/IP协议簇实施的远程登录流量(例如，SSH、Telnet等).改变旧的VTY认证方法(不认证)：R2(config)#linevty04R2(config-line)#nologin3说明相应线路下的认证方法是"不认证”R2(config-line)#exit测试：R1#telnet12.0.0.23发现可以直接登录，不需要输入密码。TIPs:如果被Telnet的一方没有配置特权模式密码，那么远程登录用户将不能进入其特权模式。解决问题：R2(config)#enablesecretcisco123.改变R2的VTY认证方法(使用本地数据库)：R2(config)#usernameericpasswordcisco0003定义本地用户数据库表项R2(config)#linevty04R2(config-line)#loginlocal3定义认证方法为本地用户数据库认证R2(config-line)#exit测试：R1#telnet12.0.0.2，在输入用户名、密码后可以正常登录。.改变队的VTY认证方法(密码认证)：R2(config)#linevty04R2(config-line)#passwordcisco2343定义认证所使用的密码R2(config-line)#login3定义认证方式位密码认证R2(config-line)#exit测试：R1#telnet12.0.0.2，输入正确密码后，登录成功。Step3:开启AAAR1(config)#aaanew-model测试：R1#telnet12.0.0.23发现此时需要提交用户名和密码R2#showrunning-config|beginlinevty发现VTY线路下的“login”相关命令都消失了输入刚才配置的本地数据库账号，发现登录成功。一旦开启AAA，默认的认证方法就是本地数据库认证。TIPs:查看本地数据库信息R2#showrunning-config|includeusername3“include”表示在配置文件中，包括“username”的配置命令Step4:调整VTY线路下的认证方式•^整LoginU^方法tenableR2(config)#aaaauthenticationloginAUTHENenable■＞定义名为“AUTHEN”的登录认证方法列表，其认证方法是“enable”R2(config)#linevty04R2(config-line)#loginauthenticationAUTHEN3将认证规则应用到特定的线路测试：R1#telnet12.0.0.23此时输入R2上的enable密码，即可登录成功。•调整LoginU证方4Line准备工作：给不同类型的Line配置不同的密码R2(config)#lineconsole0R2(config-line)#passwordcisco010R2(config)#lineaux0R2(config-line)#passwordcisco110R2(config)#linevty04R2(config-line)#passwordcisco111R2(config-line)#exitR2(config)#aaaauthenticationloginVTYline3定义使用相应线路下的密码来实施登录认证R2(config)#linevty04

R2(config-line)#loginauthenticationVTY3在VTY线路下调用该方法(根据名为“VTY”的认证方法列表中的定义)■调整Login认证方法分0奇(本地数据库认证)R2(config)#aaaauthenticationloginDBlocalR2(config)#linevty04R2(config-line)#loginauthenticationDB测试：R1#telnet12.0.0.2发现，在输入正确的用户名和密码后可以正常登录。有趣的小配置1：修改登录提示信息R2(config)#aaaauthenticationusername-promptSHINAGUOR2(config)#aaaauthenticationpassword-promptR2(config)#aaaauthenticationpassword-promptZUOMUODE有趣的小提示2:密码中输入“？〃R2(config)#enablepasswordR2(config)#enablepasswordcisco?123数■调整Login认证方法3Local-Case(本地数据库认证：用户名也区分大小写)R2(config)#aaaauthenticationloginDBlocal-case3“local-case表示用户名大小写敏感R2(config)#linevty04R2(config-line)#loginauthenticationDB测试：数R1#telnet12.0.0.2发现，此时输入的用户名和密码都是大小写敏感的。AAA用户需求：高金(GJ)是一个合法用户，他的工作级别【特权级别】是7级。在管理路由器的时候，高金被批准查看路由器的running-config，配置接口的IP地址，其它工作不能够进行。Step1:定义全局账号数据库中高金的账号【特权级别为7】R2(config)#usernameGJprivilege7passwordcisco333Step2:配置路由器的认证方法【本地数据库认证】R2(config)#aaaauthenticationloginAAAlocalR2(config)#linevty04R2(config-line)#loginauthenticationAAA测试：R1#telnet12.0.0.2，在输入GJ的账户信息登录后，仍然处于级别1。TIPs:R2>showprivilege3查看目前的用户级别UStep3:配置特权级别授权R2(config)#aaaauthorizationexecAUTHORlocal3用本地数据库信息为用户的特权级别授权R2(config)#linevty04R2(config-line)#authorizationexecAUTHOR3调用exec授权策略测试：R1#telnet12.0.0.2，输AGJ的账户信息后，发现路由器提示符为“R2#”，R2#showprivilege发现GJ的特权级别为7级。但是，此时GJ却无法在远程登录后查看一些关键的配置，更无法修改路由器R2的配置。原因：CiscoIOS中，用户权利被分成了从0~15这16个级别，级别数值越高，代表能够执行的命令越多、越关键。在默认情况下，CiscoIOS命令仅分布在0级，1级和15级，常规的“用户模式”属于级别1；常规的“特权模式”属于级别15。规则：某个级别的用户可以执行该级别和该级别以下级别中的命令。Step4:调整相关命令所在的Exec级别R2(config)#privile