不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識>路由器>路由器設(shè)置>cisco思科>

cisco如何查看aaa用戶

時間: 春健736 分享

  有網(wǎng)友問小編cisco 路由器如何查看aaa用戶?學(xué)習(xí)啦小編去網(wǎng)上搜索了相關(guān)資料,給大家奉上,希望大家喜歡。

  CISCO路由器AAA介紹及相關(guān)路由配置

  CISCO AAA www.2cto.com

  3A概念:認(rèn)證authentication 授權(quán)authorization 記帳 accounting

  cisco為路由器和交換機(jī)提供多種3A服務(wù)的方法

  1 自包含AAA 路由器/NAS自身包含AAA服務(wù) NAS(網(wǎng)絡(luò)訪問服務(wù)器)

  2 CISCO SECURE ACS 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS系統(tǒng)聯(lián)系

  3 CISCO SECURE ACS SOLUTION ENGINE 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS SOLUTION

  ENGINE系統(tǒng)聯(lián)系

  4 第三方ACS 路由器/NAS上的AAA服務(wù)與外部CISCO認(rèn)可的第三方ACS系統(tǒng)聯(lián)系 radius tacacs+

  cisco secure acs系列是供安全訪問網(wǎng)絡(luò)的一種全面而靈活的平臺。他主要負(fù)責(zé)以下一個方面的安全

  通過CISCO NAS和路由器撥號

  管理員進(jìn)行路由器和交換機(jī)的控制臺及VTY端口訪問

  CISCO PIX防火墻訪問 www.2cto.com

  3000系列集線器(僅用于RADIUS)

  使用CISCO LEAP 和 PEAP的無線局域網(wǎng)支持

  交換機(jī)的無線802.1X認(rèn)證

  邊界路由器AAA配置過程

  1 在vty,異步,aux和tty端口對特權(quán)EXEC和配置模式進(jìn)行安全訪問

  config t

  enable password ***

  service password-encryption

  enable secret ******

  2 在邊界路由器上,用aaa new-model命令啟用AAA。

  config t

  aaa new-model

  username *** password ***

  aaa authentication login default local

  注意點(diǎn),在配置aaa new-model命令的時候,一定要提供一種本地登入方式,防止由于管理性會話失效而引發(fā)

  路由器鎖定。

  3 配置AAA認(rèn)證列表

  aaa authentication login 定義用戶視圖登入到路由器時需要使用哪個認(rèn)證步驟。

  aaa authentication ppp 對于使用PPP的串行接口上的用戶會話,定義了要使用的認(rèn)證步驟。

  aaa authentication enable default 定義了有人試圖通過enable命令進(jìn)去特權(quán)EXEC模式時,應(yīng)該采用的

  認(rèn)證步驟

  在訪問服務(wù)器上全局啟用了AAA之后,還需要定義認(rèn)證方法列表,并將其應(yīng)用到鏈路和接口。這些認(rèn)證方法

  列表指出了服務(wù)(PPP,ARAP,NASI,LOGIN) 和認(rèn)證方法(本地,TACACS+,RADIUS,login 或enable),這里

  建議將本地認(rèn)證作為最后一種方法。

  定義認(rèn)證方法列表

  1規(guī)定服務(wù)(PPP,ARAP,NASI)或登錄認(rèn)證

  2標(biāo)識一個列表名稱或采用缺省

  3規(guī)定認(rèn)證方法,并規(guī)定其中一種不可用時,路由器如何反應(yīng)

  4將其應(yīng)用到一下鏈路或接口之一

  鏈路--tty,vty,console,aux和async鏈路,或者供登入的控制臺端口已經(jīng)供ARA的異步鏈路 www.2cto.com

  接口--同步,異步以及為PPP.SLIP.NASI或ARAP而配置的虛擬接口

  5在全局配置模式下使用aaa authentication命令,以啟用AAA認(rèn)證過程。

  1 aaa authentication login命令

  config t

  aaa authentication login default enable

  aaa authentication login console-in local

  aaa authentication login tty-in line

  console-in和 tty-in是管理員創(chuàng)建的簡單的方法列表名稱。

  aaa authentication login {default | list-name} method1 [method2~~~]

  default 用戶登入時,使用此變量后面列出的認(rèn)證方法,作為缺省的方法列表

  list-name 當(dāng)用戶登錄時,用來命名認(rèn)證方法列表的字符串

  method:

  (enable) 使用enable口令來認(rèn)證

  (krb5) 用kerberos 5來認(rèn)證

  (krb5-telnet) 當(dāng)借助telnet連接路由器時,使用kerberos 5 telnet認(rèn)證協(xié)議

  (line) 用鏈路口令來認(rèn)證

  (local) 用本地用戶名數(shù)據(jù)庫來認(rèn)證

  (none) 不用認(rèn)證

  (group- radius) 使用包含所有RADIUS服務(wù)器的一個列表來認(rèn)證

  (group tacacs+) 使用包含所有TACACS+服務(wù)器的一個列表來認(rèn)證

  (group group-name) 用RADIUS或TACACS+服務(wù)器的一個子集來認(rèn)證 這些服務(wù)器定義在aaa group

  server radius或aaa group server tacacs+命令中

  2 aaa authentication ppp命令

  aaa authentication ppp (default |list-name) method1 [method2~~~]

  default 用戶登入時,使用此變量后面列出的認(rèn)證方法,作為缺省的方法列表

  list-name 當(dāng)用戶登錄時,用來命名認(rèn)證方法列表的字符串

  method:

  (if-needed 如果用戶在TTY鏈路上認(rèn)證了,就不需要再認(rèn)證

  (krb5 用kerberos 5來認(rèn)證

  (local 用本地用戶名數(shù)據(jù)庫來認(rèn)證

  (local-case

  (none 不用認(rèn)證

  (group group-name 用RADIUS或TACACS+服務(wù)器的一個子集來認(rèn)證 這些服務(wù)器定義在aaa group

  server radius或aaa group server tacacs+命令中

  3 aaa authentication enable default命令

  aaa authentication enable default method1 [method2~~~]

  method:

  enable 使用enable口令來認(rèn)證

  line 用鏈路口令來認(rèn)證

  none 不用認(rèn)證

  group radius 使用包含所有RADIUS服務(wù)器的一個列表來認(rèn)證

  group tacacs+ 使用包含所有TACACS+服務(wù)器的一個列表來認(rèn)證

  group group-name 用RADIUS或TACACS+服務(wù)器的一個子集來認(rèn)證 這些服務(wù)器定義在aaa group

  server radius或aaa group server tacacs+命令中

  4 對鏈路和接口應(yīng)用認(rèn)證命令

  config t

  aaa new-model 啟用AAA

  aaa authentication login default enable 將enable口令作為缺省的登入方式

  aaa authentication login console-in group tacacs+ local 無論何時使用名為console-in的列

  表,都使用TACACS+認(rèn)證,如果TACACS+認(rèn)證失敗,己用本地用戶名和口令

  aaa authentication login dial-in group tacacs+ 無論何時使用名為dial-in的列表,都

  使用TACACS+認(rèn)證.

  username *** password **** 建立一個本地用戶名和口令,最可能與console-in登錄方法列

  表一起使用

  line console 0 進(jìn)入鏈路控制臺配置模式

  login authentication console-in 使用console-in列表作為控制臺端口0的登錄認(rèn)證

  line s3/0

  ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證

  4 配置供用戶通過認(rèn)證之后的AAA授權(quán)

  aaa authorization 命令

  aaa authorization {network|exec|commands level|reverse-access|configuration} {default

  |list-name} method1 [method2~~~]

  network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請求進(jìn)行授權(quán),包括SLIP,PPP,PPP NCP和ARA

  exec 使用授權(quán),以確定是否用戶可以運(yùn)行一個EXEC shell.

  commands 為所有處于規(guī)定的特權(quán)級別的命令使用授權(quán)

  level 規(guī)定應(yīng)該被授權(quán)的命令級別,有效值 0-15

  reverse-access 為反向訪問連接使用授權(quán),例如反向Telnet

  configuration 從AAA服務(wù)器上下載配置

  default 使用此變量后列出的認(rèn)證方法,作為缺省方法列表供認(rèn)證

  listname 用來命令認(rèn)證方法列表的字符串

  method 規(guī)定以下關(guān)鍵字的至少一種

  group 用radius或tacacs+服務(wù)器的一個子集來認(rèn)證,這些服務(wù)器定義在aaa group server radius

  或aaa group server tacacs+命令中

  if-authenticated 如果用戶為認(rèn)證,允許用戶訪問請求的功能;

  krb5-instance 使用被kerberos instance map命令定義的實(shí)例;

  local 用本地用戶名數(shù)據(jù)庫來授權(quán)

  none 不用授權(quán)

  例子:

  enable secret level 1 *** 為級別1的用戶建立一個enable secret口令

  enable secret level 15 *** 為級別15的用戶建立一個enable secret口令

  aaa new-model 啟用AAA

  aaa authentication login default enable 將enable口令作為缺省的登入方式

  aaa authentication login console-in group tacacs+ local 無論何時使用名為console-in的列

  表,都使用TACACS+認(rèn)證,如果TACACS+認(rèn)證失敗,己用本地用戶名和口令

  aaa authentication login dial-in group tacacs+ 無論何時使用名為dial-in的列表,都使用

  TACACS+認(rèn)證.

  username *** password **** 建立一個本地用戶名和口令,最可能與console-in登錄方法列

  表一起使用

  aaa authorization commands 1 alpha local 用本地用戶名數(shù)據(jù)庫來為所有級別1命令的使用進(jìn)行

  授權(quán) www.2cto.com

  aaa authorization commands 15 bravo if-authenticated group tacplus local 如果用戶已經(jīng)認(rèn)

  證了,讓其運(yùn)行級別15的命令,如果還未認(rèn)證,在允許其訪問級別15的命令之前,必須基于tacplus組中的

  TACACS+服務(wù)器來認(rèn)證

  aaa authorization network charlie local none 使用本地數(shù)據(jù)庫來對所有網(wǎng)絡(luò)服務(wù)的使用授權(quán),

  如果本地服務(wù)器不可用,此命令執(zhí)行并不授權(quán),用戶能使用所有的網(wǎng)絡(luò)服務(wù)

  aaa authorization exec delta if-authenticated group tacplus 如果用戶已經(jīng)認(rèn)證,讓其運(yùn)行

  EXEC過程,如果沒有認(rèn)證,在允許EXEC之前,必須基于tacplus組中的TACACS+服務(wù)器來認(rèn)證

  privilege exec level 1 ping 為級別1的用戶啟用PING

  line console 0

  login authentication console-in 使用console-in列表作為控制臺端口0的登錄認(rèn)證

  line s3/0

  ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證

  5 配置規(guī)定如何寫記帳記錄的AAA記帳

  aaa accounting [auth-proxy |system |network |exec |connection |commands level]{default

  |list-name} [vrf vrf-name] [start-stop|stop-only|none][broadcast][method][method2]

  auth-proxy 提供有關(guān)所有認(rèn)證代理用戶事件的信息

  system 為所有非用戶相關(guān)的系統(tǒng)級事件執(zhí)行記帳

  network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請求運(yùn)行記帳

  exec 為EXEC shell會話運(yùn)行記帳。

  connection 提供所有有關(guān)源子NAS的外出連接的信息

  commands 為所有處于特定特權(quán)級別的命令運(yùn)行記帳,有效的特權(quán)級別取值0-15

  default 使用本參數(shù)之后列出的記帳方式

  list-name 用來命令記帳方式列表的字符串

  vrf vrf-name 規(guī)定一個VRF配置

  start-stop 在一個過程的開端,發(fā)送一個開始記帳通知,在過程結(jié)束時,發(fā)送一個停止記帳通知

  。

  stop-only 在被請求用戶工程結(jié)束時發(fā)送一個停止記帳通知

  none 禁止此鏈路或接口上的記帳服務(wù)

  broadcast 啟用發(fā)送記帳記錄到多個3A服務(wù)器,同時向每個組中第一臺服務(wù)器發(fā)送記帳記

  錄 www.2cto.com

  method 規(guī)定一下關(guān)鍵子中的至少一個

  group radius 用所有RADIUS服務(wù)器列表作為記帳

  group tacacs+ 用所有列出的TACACS+服務(wù)器來記帳

  group group-name 用RADIUS或TACACS+服務(wù)器的一個子集作為記帳

  在路由器上啟用下列命令以啟用幾張

  aaa accounting system wait-start local 用記帳方法審計系統(tǒng)事件

  aaa accounting network stop-only local 當(dāng)網(wǎng)絡(luò)服務(wù)中斷,發(fā)送停止記錄通知

  aaa accounting exec start-stop local 當(dāng)EXEC過程開始時,發(fā)送一個開始記錄通知,結(jié)束時,發(fā)

  送停止記錄

  aaa accounting commands 15 wait-start local 在任何級別15的命令開始之前,發(fā)送一個開始記錄通

  知,并等待確認(rèn),當(dāng)命令中止時,發(fā)送一個停止記錄通知。

  6 校驗配置

  debug aaa authentication 顯示有關(guān)認(rèn)證功能的調(diào)試信息

  debug aaa authorization 顯示有關(guān)授權(quán)功能的調(diào)試信息

  debug aaa accounting 顯示有關(guān)記帳功能的調(diào)試信息

  以上內(nèi)容來源互聯(lián)網(wǎng),希望對大家有所幫助。

cisco如何查看aaa用戶

有網(wǎng)友問小編cisco 路由器如何查看aaa用戶?學(xué)習(xí)啦小編去網(wǎng)上搜索了相關(guān)資料,給大家奉上,希望大家喜歡。 CISCO路由器AAA介紹及相關(guān)路由配置 CISCO AAA www.2cto.com 3A概念:認(rèn)證authentication 授權(quán)authorization 記帳 accounting cis
推薦度:
點(diǎn)擊下載文檔文檔為doc格式
554439