Packet Tracer - 在思科路由器上配置 AAA 认证
Packet Tracer - 在思科路由器上配置 AAA 认证
拓扑图
地址分配表
设备 |
接口 |
IP 地址 |
子网掩码 |
默认网关 |
交换机端口 |
R1 |
G0/1 |
192.168.1.1 |
255.255.255.0 |
不适用 |
S1 F0/1 |
S0/0/0 (DCE) |
10.1.1.2 |
255.255.255.252 |
不适用 |
不适用 |
|
R2 |
G0/0 |
192.168.2.1 |
255.255.255.0 |
不适用 |
S2 F0/2 |
S0/0/0 |
10.1.1.1 |
255.255.255.252 |
不适用 |
不适用 |
|
S0/0/1 (DCE) |
10.2.2.1 |
255.255.255.252 |
不适用 |
不适用 |
|
R3 |
G0/1 |
192.168.3.1 |
255.255.255.0 |
不适用 |
S3 F0/5 |
S0/0/1 |
10.2.2.2 |
255.255.255.252 |
不适用 |
不适用 |
|
TACACS+ 服务器 |
NIC |
192.168.2.2 |
255.255.255.0 |
192.168.2.1 |
S2 F0/6 |
RADIUS 服务器 |
NIC |
192.168.3.2 |
255.255.255.0 |
192.168.3.1 |
S3 F0/1 |
PC-A |
NIC |
192.168.1.3 |
255.255.255.0 |
192.168.1.1 |
S1 F0/2 |
PC-B |
NIC |
192.168.2.3 |
255.255.255.0 |
192.168.2.1 |
S2 F0/1 |
PC-C |
NIC |
192.168.3.3 |
255.255.255.0 |
192.168.3.1 |
S3 F0/18 |
目标
· 在 R1 上配置本地用户账户并使用本地 AAA 在控制台和 vty 线路上配置认证。
· 从 R1 控制台和 PC-A 客户端验证本地 AAA 认证。
· 使用 TACACS+ 配置基于服务器的 AAA 认证。
· 从 PC-B 客户端验证基于服务器的 AAA 认证。
· 使用 RADIUS 配置基于服务器的 AAA 认证。
· 从 PC-C 客户端验证基于服务器的 AAA 认证。
背景/ 场景
网络拓扑中显示路由器 R1、R2 和 R3。目前,所有管理安全性都基于对 启用加密密码的了解情况。您的任务是配置并测试本地和 基于服务器的 AAA 解决方案。
您将创建一个本地用户账户,并在路由器 R1 上配置本地 AAA 以测试控制台和 vty 登录。
o 用户 账户:Admin1,密码:admin1pa55
然后,您将使用 TACACS+ 协议,将路由器 R2 配置为支持基于服务器的 认证。已使用以下信息对 TACACS+ 服务器进行了预配置 :
o 客户端:R2 ,使用关键字 tacacspa55
o 用户 账户:Admin2,密码:admin2pa55
最后,您将使用 RADIUS 协议,将路由器 R3 配置为支持 基于服务器的认证。已使用以下信息对 RADIUS 服务器 进行了预配置:
o 客户端:R3 ,使用关键字 radiuspa55
o 用户 账户:Admin3,密码:admin3pa55
已使用 以下信息对路由器进行了预配置:
o 启用加密 密码:ciscoenpa55
o 使用 MD5 认证的 OSPF 路由协议,密码为:MD5pa55
注意:控制台和 vty 线路尚未 进行预配置。
注意:IOS 版本 15.3 使用 SCRYPT 作为 安全加密散列算法;但是,Packet Tracer 中当前 支持的 IOS 版本使用 MD5。始终使用设备上提供的最安全的选项 。
第 1 部分:为 R1 上的控制台访问配置 本地 AAA 认证
步骤 1:测试 连接。
· 从 PC-A 对 PC-B 执行 ping 操作。
· 从 PC-A 对 PC-C 执行 ping 操作。
· 从 PC-B 对 PC-C 执行 ping 操作。
步骤 2:配置 R1 上的本地用户名。
配置用户名 Admin1,使用加密 密码 admin1pa55。
R1(config)#username Admin1 secret admin1pa55
步骤 3:为 R1 上的控制台访问配置 本地 AAA 认证。
在 R1 上启用 AAA 并为 控制台登录配置 AAA 认证以使用本地数据库。
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
步骤 4:配置 线路控制台以使用定义的 AAA 认证方法。
在 R1 上启用 AAA 并为 控制台登录配置 AAA 认证以使用默认方法列表。
R1(config)#line console 0
R1(config-line)#login authentication default
步骤 5:验证 AAA 认证方法。
使用本地数据库验证用户 EXEC 登录。
R1(config-line)#end
R1#
%SYS-5-CONFIG_I: Configured from console by console
R1#exit
R1 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin1
Password: admin1pa55
R1>
第 2 部分:为 R1 上的 vty 线路配置 本地 AAA 认证
步骤 1:配置用于 SSH 的 域名和加密密钥。
- 使用 ccnasecurity.com 作为 R1 上的域名。
R1(config)#ip domain-name ccnasecurity.com
- 使用 1024 位创建 RSA 加密密钥。
R1(config)#crypto key generate rsa
The name for the keys will be: R1.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
步骤 2:为 R1 上的 vty 线路配置 命名列表 AAA 认证方法。
配置名为 SSH-LOGIN 的命名列表, 以使用本地 AAA 认证登录。
R1(config)#aaa authentication login SSH-LOGIN local
步骤 3:配置 vty 线路以使用定义的 AAA 认证方法。
配置 vty 线路以使用定义的 AAA 认证方法并且 只允许 SSH 进行远程访问。
R1(config)#line vty 0 4
R1(config-line)#login authentication SSH-LOGIN
R1(config-line)#transport input ssh
R1(config-line)#end
步骤 4:验证 AAA 认证方法。
从 PC-A 的 命令提示符验证 R1 的 SSH 配置。
C:\>ssh -l Admin1 192.168.1.1
Password: admin1pa55
R1>
第 3 部分:在 R2 上使用 TACACS+ 配置 基于服务器的 AAA 认证
步骤 1:配置 一个名为 Admin 的备份本地数据库条目。
出于备份目的,配置本地用户名 Admin2 ,使用加密密码 admin2pa55。
R2(config)#username Admin2 secret admin2pa55
步骤 2:验证 TACACS+ 服务器配置。
点击“TACACS+ Server”(TACACS + 服务器)。在“Services”(服务)选项卡上点击 AAA。请注意,显示 R2 的网络配置条目以及 Admin2 的用户设置条目。
步骤 3:在 R2 上配置 TACACS+ 服务器的具体详细信息。
在 R2 上配置 AAA TACACS 服务器 IP 地址和密钥。
注意:不推荐使用命令 tacacs-server host 和 tacacs-server key。目前,Packet Tracer 不支持新 命令 tacacs server。
R2(config)#tacacs-server host 192.168.2.2
R2(config)#tacacs-server key tacacspa55
步骤 4:为 R2 上的控制台访问配置 AAA 登录认证。
在 R2 上启用 AAA,并将所有登录配置为 使用 AAA TACACS+ 服务器进行认证。如果不可用,则使用 本地数据库。
R2(config)#username Admin2 secret admin2pa55
R2(config)#aaa authentication login default group tacacs+ local
步骤 5:配置 线路控制台以使用定义的 AAA 认证方法。
为控制台登录配置 AAA 认证以使用 默认的 AAA 认证方法。
R2(config)#line console 0
R2(config-line)#login authentication default
步骤 6:验证 AAA 认证方法。
使用 AAA TACACS+ 服务器验证用户 EXEC 登录。
R2(config-line)#end
R2#
%SYS-5-CONFIG_I: Configured from console by console
R2#exit
R2 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin2
Password: admin2pa55
R2>
第 4 部分:在 R3 上使用 TACACS+ 配置 基于服务器的 AAA 认证
步骤 1:配置 一个名为 Admin 的备份本地数据库条目。
出于备份目的,配置本地用户名 Admin3 ,使用加密密码 admin3pa55。
R3(config)#username Admin3 secret admin3pa55
步骤 2:验证 RADIUS 服务器的配置。
点击“RADIUS Server”(RADIUS 服务器)。在“Services(服务)”选项卡上点击 AAA。 请注意,显示 R3 的网络配置条目以及 Admin3 的用户设置条目。
步骤 3:在 R3 上配置 RADIUS 服务器的具体详细信息。
在 R3 上配置 AAA RADIUS 服务器 IP 地址和密钥。
注意:不推荐使用命令 radius-server host 和 radius-server key。目前,Packet Tracer 不支持新 命令 radius server。
R3(config)#radius-server host 192.168.3.2
R3(config)#radius-server key radiuspa55
步骤 4:为 R3 上的控制台访问配置 AAA 登录认证。
在 R3 上启用 AAA,并将所有登录配置为 使用 AAA RADIUS 服务器进行认证。如果不可用,则使用 本地数据库。
R3(config)#aaa new-model
R3(config)#aaa authentication login default group radius local
步骤 5:配置 线路控制台以使用定义的 AAA 认证方法。
为控制台登录配置 AAA 认证以使用 默认的 AAA 认证方法。
R3(config)#line console 0
R3(config-line)#login authentication default
步骤 6:验证 AAA 认证方法。
使用 AAA RADIUS 服务器验证用户 EXEC 登录。
R3(config-line)#end
R3#
%SYS-5-CONFIG_I: Configured from console by console
R3#exit
R3 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin3
Password: admin3pa55
R3>
步骤 7:检查结果。
完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已 完成的所需组件。
实验具体步骤:
R1:
R1>enPassword: ciscoenpa55R1#confConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.R1(config)#username Admin1 secret admin1pa55R1(config)#aaa new-modelR1(config)#aaa authentication login default localR1(config)#line console 0R1(config-line)#login authentication defaultR1(config-line)#endR1#%SYS-5-CONFIG_I: Configured from console by consoleR1#exitR1 con0 is now availablePress RETURN to get started.*********** AUTHORIZED ACCESS ONLY *************UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.************ AUTHORIZED ACCESS ONLY *************UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.User Access VerificationUsername: Admin1Password: admin1pa55R1>enPassword: ciscoenpa55R1#R1#confConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.R1(config)#ip domain-name ccnasecurity.comR1(config)#crypto key generate rsaThe name for the keys will be: R1.ccnasecurity.comChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.How many bits in the modulus [512]: 1024R1(config)#aaa authentication login SSH-LOGIN localR1(config)#line vty 0 4R1(config-line)#login authentication SSH-LOGINR1(config-line)#transport input sshR1(config-line)#endR1#
R2配置:
R2>enPassword: ciscoenpa55R2#R2#confConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.R2(config)#username Admin2 secret admin2pa55R2(config)#tacacs-server host 192.168.2.2R2(config)#tacacs-server key tacacspa55R2(config)#username Admin2 secret admin2pa55R2(config)#aaa authentication login default group tacacs+ localR2(config)#line console 0R2(config-line)#login authentication defaultR2(config-line)#endR2#%SYS-5-CONFIG_I: Configured from console by consoleR2#exitR2 con0 is now availablePress RETURN to get started.************ AUTHORIZED ACCESS ONLY *************UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.User Access VerificationUsername: Admin2Password: admin2pa55R2>
R3配置:
R3>enPassword: ciscoenpa55R3#confConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.R3(config)#username Admin3 secret admin3pa55R3(config)#radius-server host 192.168.3.2R3(config)#radius-server key radiuspa55R3(config)#aaa new-modelR3(config)#aaa authentication login default group radius localR3(config)#line console 0R3(config-line)#login authentication defaultR3(config-line)#endR3#%SYS-5-CONFIG_I: Configured from console by consoleR3#exitR3 con0 is now availableess RETURN to get started.************ AUTHORIZED ACCESS ONLY *************UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.User Access VerificationUsername: Admin3Password: admin3pa55R3>
实验脚本:
!!!R1
config tusername Admin1 secret admin1pa55aaa new-modelaaa authentication login default localline console 0login authentication default!!!Part 2ip domain-name ccnasecurity.comcrypto key generate rsa1024aaa authentication login SSH-LOGIN localline vty 0 4login authentication SSH-LOGINtransport input ssh
!!!R2
conf tusername Admin2 secret admin2pa55tacacs-server host 192.168.2.2tacacs-server key tacacspa55aaa new-modelaaa authentication login default group tacacs+ localline console 0login authentication default
!!!R3
conf tusername Admin3 secret admin3pa55radius-server host 192.168.3.2radius-server key radiuspa55aaa new-modelaaa authentication login default group radius localline console 0login authentication default
实验链接:https://pan.baidu.com/s/1F8suBBA48T6LcZUvFyBBoA?pwd=3612
提取码:3612
--来自百度网盘超级会员V2的分享
Packet Tracer - 在思科路由器上配置 AAA 认证相关推荐
- Packet Tracer - 在 VTY 线路上配置 ACL
Packet Tracer - 在 VTY 线路上配置 ACL 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 路由器 F0/0 10.0.0.254 255.0.0.0 不适用 PC NIC ...
- Packet Tracer - 在 VTY 线路上配置 IPv4 ACL
拓扑 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 路由器 F0/0 10.0.0.254 255.0.0.0 不适用 PC NIC 10.0.0.1 255.0.0.0 10.0.0.25 ...
- 实训九 思科路由器上配置RIPv2
原理 RIP(Routing Information Protocols,路由信息协议)是应用较早.使用较普遍的IGP(Interior Gateway Protocol,内部网关协议),适用于小型同 ...
- Cisco Packet Tracer Student的路由器接口配置
状态: Router> 用户模式 Router# 特权模式,可以使用show命令 Router(config)# 配置模式,可以进行全局配置,本次实验用不着 Route ...
- Cisco路由器上配置3A认证的故障调试
AAA故障与调试在路由器的AAA配置中,是否认证,认证.授权及记账情况如何,在配置阶段少不了调试,在出现故障时,借助调试信息能很好地定位故障点. 1.Debug AAA Authentication命 ...
- 思科配置成网站服务器,思科路由器的配置NTP服务器的基本方法
在任何大量存在交换机.服务器和路由器的公网或者私网中,网络设备的时间同步对于保证业务正常运行和减少误码率都是十分关键的.解决的办法往往就是在思科路由器上配置NTP服务器,实现网内的各种操作系统间的舌尖 ...
- H3C、思科路由器简单配置
进入配置模式:sys ip address:这个基本是一样的. int gi1/1/1 ip address 192.168.1.2 30 undo shutdown 配置loopback: int ...
- 在思科路由器上做 _限速
大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行.对BT软件,我们可以尝试封它的端口.一般情况下,BT软件使用的是6880-689 ...
- 使用网络模拟器 Packet Tracer和交换机的端口配置与管理及Telnet远程登陆配置
实验一 实验名称 使用网络模拟器Packet Tracer 实验目的 1. 掌握安装和配置网络模拟器PacketTracer的方法: 2. 掌握使用PacketTracer模拟网络场景的基本方法,加深 ...
最新文章
- ActivePython2.7 +Firefly1.2.2+WIN7服务器搭建过程(已通过)
- 1154:LETTERS
- ActiveReports 9 新功能:借助目录(TOC)控件为报表添加目录功能
- 拦截导弹(信息学奥赛一本通-T1289)
- 20170829,记我第一次电面
- 2021最新Java零基础自学教程,java从入门到精通
- DETR目标检测新范式带来的思考
- 运筹学 matlab实现单纯形法
- 疲劳检测方法总结_计算机视觉
- mysql 登录 无密码_重置mysql的密码/无密码登录mysql
- 深度linux怎样设置显卡,在Deepin系统中安装英伟达NVIDIA显卡驱动的方法
- Python大法之告别脚本小子系列—信息资产收集类脚本编写(下)
- ubuntu 16.04安装QQ 8.X
- csdn里的KaTex 公式语法
- 2020写给未来 100w 粉丝的年终总结
- [09]微信之itchat库
- mysql 数据库视图,Mysql数据库中的视图
- 如此行事的人怎能不优秀?
- mysql read rnd next_16.9.6. 实施rnd_next()函数
- Auto.js 一个同一张图片多次多点找色的例子ColorMapping.findMultiColors