adsl服务器客户端配置cisco_基于ISE对Cisco网络设备部署AAA
基于ISE对Cisco网络设备部署AAA
上期小武老师我教你们安装了ISE服务器,那么现在服务器安装好了,AAA如何部署实现呢?现在我就来教你们!
跟着小武我开始吧……
一、ISE初始化配置
1.1、ISE启用设备管理
点击编辑,勾选此项,点击保存。
1.2、关闭系统密码策略
去掉所有勾选,然后保存。
再将这三个取消勾选。(关闭用户认证的密码策略)
二、在ISE中添加Cisco网络设备(NAS)
点击Add添加。
输入Name,IP地址,并且勾选相应的AAA标准,配置预共享密钥为cisco,最后点击提交。
添加其它设备的方式以此类推。
三、创建用户组与用户,将用户加入到相应的组中
3.1、创建用户组
选择User用户组,点击Add创建用户组。
创建一个用户组,名为Admin,最后点击提交。
创建其它用户组的方式,以此类推。
3.2、创建用户,并将用户加入到相应的组中去。
创建一个名为Nova的用户,并设置Login密码为cisco,将Nova添加到Admin组中去;最后点击提交。
其它用户的创建,以此类推。
- 部署AAA(基于RADIUS)
4.1、认证策略可以不用配置,因为有一个default策略(拿ISE中的所有用户来做匹配)
4.2、做授权策略(Radius对授权支持的不是很好,只能进行权限等级的授权,不支持对命令行的授权)
首先要去创建授权策略配置文件(就是一个模板,待会我们用来进行调用)
找到Authorization Profiles,点击Add添加一个模板。
Radius的授权,在Cisco中我们可以使用AV变量值来进行。
选择Cisco的av-pair,填入shell:priv-lvl=15
这个AV变量的含义表示,授予一个15级的用户权限等级。
其它的一些AV变量值,可以去Cisco官网可查!
最后,点击提交。
模板创建好后,这个授权并没有生效,因为我们还没有调用这个模板,我们需要去创建一个授权策略然后进行调用,针对特定的用户组来进行生效。
我们使用这个默认的 Default Policy即可,当然也可以单独创建一个。
点击一下这个像大于号的按钮。
这里面创建的认证策略和授权策略是会直接生效的,我们选择Authorization Policy授权策略。(这里面有一些预配的认证策略+授权策略)
点击+号,我们创建一条授权策略。
输入Rule的名字,然后指定这条策略应用到那一个用户组中,点击Conditions选择用户组。后面的Results Profiles中,就是调用我们刚刚创建的权限等级授权模板的地方,选择好我们刚刚创建的那个模板。
鼠标单击即可,我们先选择条件
我们选择组的名字。
在list中我们选择好我们刚刚创建的那个Admin用户组
最后点击保存即可,Radius的授权就大功告成了。
这就是创建好的样子了。
4.3、最后一A审计部分在ISE中我们不需要去配置,审计我们待会在网络设备上开启即可,
审计部分我们在最后面统一讲解吧。
五、部署TACACS+的AAA策略
Tacacs+的AAA和Radius的AAA,它们两个部署的位置在ISE中是不同的地方哈。
5.1、还是老样子,Tacacs+的认证策略我们也不用配置,使用默认的Default Policy即可;
Tacacs+的认证策略和Radius是一样的。
5.2、做Tacacs+的授权,Tacacs+在授权这块的功能,支持的比Radius要好,Tacacs+除了可以做用户权限等级的授权外,还可以做基于命令行的授权。(就是允许你敲什么命令,不允许你敲什么命令)
在做授权之前,我们也是老样子,也要先去创建授权策略的配置文件,创建后好,再去调用就行了。
选择Results,Tacacs+这里有两个创建授权配置文件的地方,Command Sets就是做基于命令行的授权了,Profiles就是做用户权限等级的授权。
我们先去做一个15级用户权限等级的授权策略配置文件,点击Add新建。
Privilege权限选择为15,然后点击保存。
ok,再接再厉,我们再去创建一个基于命令行授权的配置文件。
选择TACACS Command Sets,点击Add新建。
我们创建2个命令行的授权策略
第一个能敲所有命令
第二个只能敲show,exit命令。
Permit any command that is not listed below,我们勾选此项。
允许下面没有列出的任何命令,ok,这样我们第一条就做好了,点击提交。
我们再去Add新建一条,做第二条。
只允许show,exit命令
ok,到这,我们的授权配置文件模板就通通创建完毕了,接下来就剩调用了!
开始应用授权策略:(黄色的小箭头有点刺眼)
这个地方就是Tacacs+做策略的地方,我们直接使用默认自带的Default Policy吧。
新建一条授权策略吧。
还是跟Radius同样的配方,同样的味道。
Rule name随便指定一个名字
Conditions选择好相应的用户组(你打算把这条授权规则应用到那个用户组中去?)
Command Sets这个是调用基于命令行的授权配置文件的,具体作用你们懂的。
Shell Profiles 这个是调用用户权限等级授权配置文件的。
反正,把我们刚刚创建的授权配置文件,调用进来就可以了。
第一条Admin这一条授权规则的作用我给大家解释一下:
当Admin用户组的用户登录网络设备时,我们授予15级的用户权限等级,命令行授权能敲所有的命令。其实这个都是我们刚刚创建配置文件模板所定义好的。
下面,这是第二条。
当Manager用户组的用户登录网络设备时,我们也授予15级的用户权限等级,但是命令行授权只能敲show,exit命令。
ok,到这我们ISE的配置就彻底完成了。
其实说实话,ISE的配置非常简单,大家别被E文吓坏了,里面的E文都是一些简单的计算机专业英语,看到不懂的查词典即可,ISE的配置的难点不在于E文,而在于逻辑原理,以及套路。
5.3、最后一A审计部分在ISE中我们不需要去配置,审计我们待会在网络设备上开启即可,
审计部分我们在最后面统一讲解吧。
六、Cisco路由器的配置(启用AAA,关联AAA)
6.1、路由器关联Radius服务器
Router(config)#aaa new-model //全局启用AAA功能,这是AAA的一个开关。
路由器关联Radius服务器192.168.80.200
Router(config)#radius server ISE
Router(config-radius-server)# address ipv4 192.168.80.200 auth-port 1812 acct-port 1813
Router(config-radius-server)#key cisco
Router(config)#aaa server radius dynamic-author
Router(config-locsvr-da-radius)#client 192.168.80.200 server-key cisco
创建Radius服务器组,将Radius服务器加入到组中。
Router(config)#aaa group server radius ISE-Radius
Router(config-sg-radius)#server name ISE
向Radius服务器发送相关属性提供相关参数:(防止AAA异常,以及802.1X异常)
Router(config)#radius-server vsa send authentication
Router(config)#radius-server vsa send accounting
Router(config)#radius-server attribute 6 on-for-login-auth
Router(config)#radius-server attribute 8 include-in-access-req
Router(config)#radius-server attribute 25 access-request include
应用AAA:(Default方法列表不需要调用,命令式方法列表需要进行调用)
6.1.1、认证:1A
先给Console和Enable留个后门(console,enable认证不受AAA管辖)
Router(config)#aaa authentication login NOISE line none
(命名式方法列表,优先使用line线下密码进行认证,如果没配线下密码就none不进行认证)
Router(config)#aaa authentication enable default enable none
(enable密码,优先使用配置的enable密码进行认证,如果没配置enable密码,就none不进行认证)
在line下进行调用,因为命名式的方法列表需要手工进行调用
Router(config)#line con 0
Router(config-line)#login authentication NOISE
给vty接口下的服务启用认证(telnet、ssh)
Router(config)#aaa authentication login ISE group ISE-Radius local-case
(authentication表示认证,login做登录认证,优先使用服务器组中的AAA服务器做身份认证,如果AAA服务器无响应就使用local本地用户数据库认证)
6.1.2、授权:2A
aaa authorization 做授权的命令
基于用户权限等级的授权:
Router(config)#aaa authorization exec ISE group ISE-Radius local
Router(config)#aaa authorization config-commands //开启命令行授权
做完认证,授权后,先不着急在接口下进行调用,先ping一下与ISE的连通性。
Router#ping 192.168.80.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.80.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
可以在路由器上用命令来测试与AAA服务器是否能正常进行认证,授权工作
Router#test aaa group ISE-Radius Nova cisco legacy //传统方式
Router#test aaa group ISE-Radius Nova cisco new-code //新型方式
测试都没问题的话,我们就可以在接口下正式启用AAA了!
Router(config)#line vty 0 4
Router(config-line)#login authentication ISE
Router(config-line)#authorization exec ISE
Router(config-line)#transport input all
ok,到此为止Raidus部署全部完成,使用telnet测试一下AAA
使用Nova用户来登录
Nova用户一登录就直接进入到特权模式下,因为是一个15级的最高权限级别
而使用Frank用户去登录的话,那就是一个默认的1级用户权限等级了,登录后不能直接进入到特权模式下,而是默认的用户模式下。
6.2、路由器关联Tacacs+服务器
Router(config)#aaa new-model //全局启用AAA功能,这是AAA的一个开关。
路由器关联Tacacs+服务器192.168.80.200
Router(config)#tacacs server ISE
Router(config-server-tacacs)#address ipv4 192.168.80.200
Router(config-server-tacacs)#key cisco
创建Tacacs+服务器组,将Tacacs+服务器加入到组中。
Router(config)#aaa group server tacacs+ ISE-Tacacs
Router(config-sg-tacacs+)#server name ISE
Tacacs+的AAA应用部署:
6.2.1、认证:1A
先给Console和Enable留个后门(console,enable认证不受AAA管辖)
Router(config)#aaa authentication login NOISE line none
(命名式方法列表,优先使用line线下密码进行认证,如果没配线下密码就none不进行认证)
Router(config)#aaa authentication enable default enable none
(enable密码,优先使用配置的enable密码进行认证,如果没配置enable密码,就none不进行认证)
在line下进行调用,因为命名式的方法列表需要手工进行调用
Router(config)#line con 0
Router(config-line)#login authentication NOISE
给vty接口下的服务启用认证(telnet、ssh)
Router(config)#aaa authentication login ISE group ISE-Tacacs local-case
(authentication表示认证,login做登录认证,优先使用服务器组中的AAA服务器做身份认证,如果AAA服务器无响应就使用local本地用户数据库认证)
6.2.2、授权:2A
aaa authorization 做授权的命令
基于用户权限等级的授权:
Router(config)#aaa authorization exec ISE group ISE-Tacacs local
基于命令行的授权:
Router(config)#aaa authorization config-commands
Router(config)#aaa authorization commands 0 ISE group ISE-Tacacs local
Router(config)#aaa authorization commands 1 ISE group ISE-Tacacs local
Router(config)#aaa authorization commands 15 ISE group ISE-Tacacs local
//对用户权限等级为0、1、15的命令行进行授权
最后测试一下与AAA服务器的连通性,然后在接口下进行调用即可。
Router(config)#line vty 0 4
Router(config-line)#login authentication ISE
Router(config-line)#authorization exec ISE
Router(config-line)#authorization commands 0 ISE
Router(config-line)#authorization commands 1 ISE
Router(config-line)#authorization commands 15 ISE
Router(config-line)#transport input all
ok,到此为止Tacacs+部署全部完成,使用telnet测试一下AAA
最后,去telnet测试一下,看看Frank用户是不是只能敲show命令?
Nova用户可以敲所有命令。
七、完成最后一A,审计accounting
aaa accounting做审计的命令
审计只能在AAA服务器上去部署,在路由器是做不了本地审计的。
7.1、Tacacs+服务器的审计:
Router(config)#aaa accounting exec default start-stop group ISE-Tacacs
Router(config)#aaa accounting connection default start-stop group ISE-Tacacs
Router(config)#aaa accounting system default start-stop group ISE-Tacacs
exec(用户开始和中止exec会话的时间记录)
connection(用户发起外部连接的时间,地址,数据包多少等信息记录,比如telnet、ssh等)
system(系统重启,禁用AAA等系统信息)等系统事件的记录
Router(config)#aaa accounting commands 0 default start-stop group ISE-Tacacs
Router(config)#aaa accounting commands 1 default start-stop group ISE-Tacacs
Router(config)#aaa accounting commands 15 default start-stop group ISE-Tacacs
对0级、1级、15级命令行进行审计。
(Tacacs+支持对命令行进行审计,也就是说能知道用户在设备上执行了那些命令?)
ok,Tacacs+的审计就配置完成啦。
在ISE中去查看Tacacs+的审计信息就行了。
审计信息在ISE上的查看。
7.2、Radius服务器的审计:
Router(config)#aaa accounting exec default start-stop group ISE-Tacacs
Router(config)#aaa accounting connection default start-stop group ISE-Tacacs
Router(config)#aaa accounting system default start-stop group ISE-Tacacs
exec(用户开始和中止exec会话的时间记录)
connection(用户发起外部连接的时间,地址,数据包多少等信息记录,比如telnet、ssh等)
system(系统重启,禁用AAA等系统信息)等系统事件的记录
Radius对审计支持的也不是很好,不支持审计用户敲了那些命令行。
ok,那到这,我们的Radius服务器的审计也配置成功了。
在ISE中去查看Radius的审计信息吧。
查看Radius的审计信息。
OK,到这,我们整个3A就算真真正正的完成啦,1A不少1A不多,整整3A,我是小武,很高兴能与您分享。(联系方式+微信:HB19990113)
adsl服务器客户端配置cisco_基于ISE对Cisco网络设备部署AAA相关推荐
- adsl服务器客户端配置cisco_【干货】Cisco路由排错经典案例分析
关注我,你的眼睛会怀孕 对于网工来说,熟悉与掌握路由排错的思路和技巧是非常必要的.接下来,将对三例典型的路由故障排错案例进行分析. 一.不堪重负,路由器外网口关闭 1.网络环境 某单位使用的是Cisc ...
- adsl服务器客户端配置cisco_windows下,Kiwi_Syslog日志服务器的搭建
最近在运维项目中遇到了需要用日志服务器来存储防火墙日志,问了好多人都不会搭建,没办法只能自己百度找教程,却没找到比较好的. 下面是我自己总结的比较简单的搭建方法: 一.Kiwi_Syslog的安装 下 ...
- 虚拟ldap服务器,ldap服务器 客户端配置
ldap服务器 客户端配置 内容精选 换一换 云桌面支持通过瘦终端(TC).软终端(中标麒麟.UOS.Windows 7和Windows 10操作系统)以及浏览器方式接入,多种登录方式可让您灵活存取文 ...
- k3服务器端的虚拟,k3服务器 客户端配置
k3服务器 客户端配置 内容精选 换一换 选择Windows开发环境下,安装Eclipse,安装JDK.请安装JDK1.8及以上版本.Eclipse使用支持JDK1.8及以上的版本,并安装JUnit插 ...
- K3服务器端可用电脑系统,k3服务器 客户端配置
k3服务器 客户端配置 内容精选 换一换 Kudu是专为Apache Hadoop平台开发的列式存储管理器.Kudu具有Hadoop生态系统应用程序的共同技术特性:可水平扩展,并支持高可用性操作.已安 ...
- sql 服务器 客户端配置文件,sql 服务器 客户端配置
sql 服务器 客户端配置 内容精选 换一换 在进行二次开发时,要准备的开发环境如表1所示.同时需要准备运行调测的Linux环境,用于验证应用程序运行正常.选择Windows开发环境下,安装Eclip ...
- ifix虚拟服务器,IFIX5.1环境下的IFIX服务器,客户端配置.docx
- -! 本实验是在IFIX5.1版本下做的IFIX服务器.客户端配置,实现IFIX客户端 对IFIX服务器的读.写,并且两台服务器互为备用(主机故障,自动切换到备用 机,此时的备用机转化成主机,主机 ...
- OpenShift 4 - 为客户端配置使用基于CA证书的kubeconfig实现无密码登录
<OpenShift 4.x HOL教程汇总> 说明:本文已经在OpenShift 4.7环境中验证 文章目录 OpenShift的身份认证方式 为客户端配置认证CA证书 参考 OpenS ...
- 使用zerotier planet自建服务器客户端配置方法
1.客户端配置 客户端主要为Windows, Mac, Linux, Android 1.1 Windows 配置 1.在本页下载zerotier客户端 2.将 planet 文件覆盖粘贴到C:\Pr ...
最新文章
- 成都Uber优步司机奖励政策(1月20日)
- boost::geometry::index::detail::union_content用法的测试程序
- win7 git 添加 ssh key
- 2017.9.24 虔诚的墓主人 思考记录
- ShadeGraph教程之节点详解4:Master Nodes
- java线程 创建与启动_浅析Java中线程的创建和启动
- Java实例---flappy-bird实例[最终版]
- 360分拆计划生变,临时剥离四大业务
- 微信公众号、小程序项目开发模板源码
- 程式CMS V4黑色炫酷DJ音乐门户网站源码模板
- Java - JDBC Best Practices
- 高德足迹地图在哪里_高德地图怎么点亮城市 足迹地图查看方法
- Linux中xtp文件上传不了,xtp_api_java: 中泰证券xtp java api for win\linux\mac https://xtp.zts.com.cn...
- neko vm 数据包装翻译
- 大数据学习之 ElasticSearch 练习
- CocoaPods制作第三方库,管理自己的私有库以及发布官方库(模块化与组件化)
- 英特尔投资部宣布增投10家新创公司,他们都有哪些能耐?---ESM
- 计算机数控机床工作原理,数控机床的组成和工作原理概述(PDF 37页)
- idea 隐藏XML tag has empty body警告
- windows7计算机窗口介绍,windows7使用技巧详细介绍【图解】
热门文章
- python opencv image 转 c++ avframe
- 图像的低频是轮廓,高频是噪声和细节 小波变换
- Attempted relative import in non-package
- laravel5.0升级到5.1
- 青龙羊毛——飞鸽花转省毛毛(搬运)
- CentOS7的firewall和安装iptables
- c 调用java的dll_Windows下java调用c的dll动态库--Dev_Cpp编译c生成dll
- sublimelinter校验php,代码校验工具 SublimeLinter 的安装与使用
- php 协程怎么用,PHP yield 协程 生成器用法的了解
- mysql安装了很久_mysql-5.7.21-winx64安装过程(整了好久原因是没关闭防火墙)