需要分析：

某医院在中国北京、上海、广州、青岛等多个地方有分院和诊所，并通过SDH专线进行互联实现信息化连接，来实现办公网、视频会议等信息的传递。该院通过几年信息化，目前全国网络设备(包括交换机、路由器、防火墙、无线控制器等)共有大概200余台。全国共有IT人员十几人。为了管理方便，北京、上海等各城市的网络设备管理各自为阵，由各个地方的IT人员进行管理。而每个地方的所有设备的密码为了方便登录都设备成一致的，例如北京的设备密码都设置为bj001,上海的的设置密码为sh001。考虑到安全问题，密码每三个月需要定期更换一次。目前存在的问题是①每一次更换密码，就需要登录到200多台设备上分别进行更换，费时费力；②每位IT员工知道每台设备的密码，如果有人不慎操作失误，无法记录是谁做的操作。

目前客户的需求是①想要对所有设备实施统一的用户认证，并对用户进行授权②北京的IT人员拥有所有权限，而各个地方的IT人员只能管理各自的网络设备③希望对用户行为进行审计。而客户的这些需求其实正是今天我们要说的AAA。通过AAA服务，可以对设备进行集中认证，并对用户进行授权和审计。

AAA简介

所谓AAA，是指认证(Authentication)、授权(Authorization)和审计(Accounting)。认证是对用户访问网络或设备进行验证，即是否允许你访问，即“你是谁？”。举例来说，一个用户在家使用ADSL上网，需要输入用户名和密码，这就叫做认证；授权是对接入进来的用户进行不同级别的访问限制，给不同的用户分配不同的权限，即“你能做什么”。例如用户A登录一台交换机可以进入特权模式，而用户B则只能停留在用户

模式下；审计是对用户的行为进行记录，即用户“做了什么”。通过审计，可以记录用户什么时候登录的，什么时候下线等。

ACS简介

ACS是思科的一款AAA软件。3.X和4.X的版本是装是一台Windows Server的服务器上，5.X之后，ACS进行了一个大的改版。ACS变为了一个由思科封装的Linux服务器的一个软件。用户购买ACS的形式有2种，一种是直接购买思科出的硬件服务器，该服务器已经预装了ACS5.X；并一种形式是购买许可，然后下载ACS系统(经过Linux封装，我们暂且叫为ACS系统)装在EXSI上的虚机版本。本次实验所使用的是虚拟机版本的ACS5.3。

在ACS和思科设备之间有两种协议可选(只是简单介绍，感兴趣的童鞋可以找找资料)

1.RADIUS

radius协议是公有标准，通常用在非思科设备和对802.1X等用户认证

2.tacacs+

tacacs+是思科私有协议，通常用在用户登录设备认证

以下详细介绍今天的实验

利用ACS服务器实现用户的认证、授权和审计

用户需求：

1. 利用AAA服务器实现对所以网络设备的统一认证，在AAA服务器宕机的情况下能使用本地用户进行登录，在AAA服务器正常的情况下优先使用AAA服务器，且不能使用本地用户；

2. 利用AAA服务器对用户的级别进行授权，例如用户A是级别1的用户，用户B和用户C是级别15的用户；对级别15的命令进行授权，Group1的用户只能使用show、ping、telnet、traceroute命令，不能使用其他命令；Group2的用户能使用所有命令；

3. 对所有用户在网络设备上的登录、拿出、命令操作进行审计，例如用户B在什么时间登录设备，什么时候时间登出，进行了哪些命令的操作，如它使用过show ip interface brief的命令。

拓扑图如下：

基本配置如下：

R1：

R1(config)#int f0/0

R1(config-if)#ip add 12.1.1.1 255.255.255.0

R1(config-if)#no shut

R2:

R2(config)#int f0/0

R2(config-if)#ip add 12.1.1.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int f3/0

R2(config-if)#ip add 192.168.0.10 255.255.255.0

R2(config-if)#no shut

1.认证

R2(config)#aaa new-model

R2(config)#aaa authentication login noacs none

R2(config)#line con 0

R2(config-line)# login authentication noacs

R2(config-line)#line aux 0

R2(config-line)# login authentication noacs

R2(config)#tacacs-server host 192.168.0.100 key cisco

R2(config)#aaa authentication login acs group tacacs+ local

R2(config)#line vty 0 4

R2(config-line)#login authentication acs

配置ACS

Step1:在AAA服务器(ACS)上添加R2

Step2:在ACS上添加用户和组

Step3:

配置完成后，在R2上进行测试

R2#test aaa group tacacs+ user1 cisco new-code

Sending password

User successfully authenticated

在R1上telnet R2，可以成功

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: user1

password:

R2>en

R2(config)#username local password local

R2(config)#int f3/0

R2(config-if)#shut

*Mar 1 02:02:02.131: %LINK-5-CHANGED: Interface FastEthernet3/0, changed state to administratively down

*Mar 1 02:02:03.131: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/0, changed state to down

R2(config-if)#end

R2#ping

*Mar 1 02:02:05.431: %SYS-5-CONFIG_I: Configured from console by console192.168.0.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.100, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

在假设服务器不可达的情况下，使用本地账户进行登录成功

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

User Access Verification

Username: local

Password:

R2>show users

Line User Host(s) Idle Location

0 con 0 idle 00:00:19

*226 vty 0 local idle 00:00:00 12.1.1.1

Interface User Mode Idle Peer Address

在ACS好的情况下不能使用本地的用户进行登录

R2(config)#int f0/0

R2(config-if)#int f3/0

R2(config-if)#no shut

R2(config-if)#end

R2#ping 192.168.

*Mar 1 07:58:32.350: %SYS-5-CONFIG_I: Configured from console by console0.100

*Mar 1 07:58:33.346: %LINK-3-UPDOWN: Interface FastEthernet3/0, changed state to up

*Mar 1 07:58:34.346: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/0, changed state to up

R2#ping 192.168.0.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.100, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/21/48 ms

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: local

password:

% Authentication failed

2.授权

级别授权

将Group1的用户设置为Level 1,Group2的用户设置为Level15。

此处举例说明把Group1的用户关联至Level1，把Group2的用户关联至Level15大同小意。

在R2上的操作：

R2(config)#aaa authorization exec level-author group tacacs+ none

R2(config-line)#authorization exec level-author

在R1上进行测试：

测试用户user1

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: user1

password:

R2>show privilege

Current privilege level is 1

测试用户user2

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: user2

password:

R2#show priv

R2#show privilege

Current privilege level is 15

命令授权

对级别15的用户进行命令授权，Group2和Group3的用户级别都是15，但是Group2的用户可以使用所有的命令，而Group3的用户只能使用所有的show 命令、telnet命令、ping命令。

1.建立允许所有命令的命令集

2.建立只允许show命令的命令集

Group2的设置

Group3的建立和设置

R2上的配置：

R2(config)#aaa authorization commands 15 command-author group tacacs+ none

R2(config)#line vty 0 4

R2(config-line)#authorization commands 15 command-author

测试：

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: user2

password:

R2#show privi

Current privilege level is 15

R2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#end

User3进行测试

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: user3

password:

R2#show privi

R2#show privilege

Current privilege level is 15

R2#conf t

Command authorization failed.

R2#write

Command authorization failed.

R2#show run int f0/0

Building configuration...

Current configuration : 93 bytes

!

interface FastEthernet0/0

ip address 12.1.1.2 255.255.255.0

duplex auto

speed auto

end

3.审计

登入登出审计

R2(config)#aaa accounting exec vty-accounting start-stop group tacacs+

R2(config)#line vty 0 4

R2(config-line)#accounting exec vty-accounting

测试并查看：

在R1上分别使用user2和user3用户登录到R2上。

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

rname: user2

password:

R2>exit

[Connection to 12.1.1.2 closed by foreign host]

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

rname: user3

password:

R2>exit

[Connection to 12.1.1.2 closed by foreign host]

再次查看ACS上的审计报告

在新弹出的窗口下查看审计行为

命令审计

在R2设置对级别0、1、15的命令审计

R2(config)#aaa accounting commands 0 vty start-stop group tacacs+

R2(config)#aaa accounting commands 1 vty start-stop group tacacs+

R2(config)#aaa accounting commands 15 vty start-stop group tacacs+

R2(config)#line vty 0 4

R2(config-line)#accounting commands 0 vty

R2(config-line)#accounting commands 1 vty

R2(config-line)#accounting commands 15 vty

测试并查看

R1#telnet 12.1.1.2

Trying 12.1.1.2 ... Open

username: user2

password:

R2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#int f0/0

R2(config-if)#exit

R2(config)#end

R2#show ip int bri

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 12.1.1.2 YES manual up up

FastEthernet0/1 unassigned YES unset administratively down down

FastEthernet1/0 unassigned YES unset administratively down down

FastEthernet2/0 unassigned YES unset administratively down down

FastEthernet3/0 192.168.0.10 YES manual up up

R2#exit

[Connection to 12.1.1.2 closed by foreign host]

R1#

查看对命令的审计