雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3036|回复: 9

AAA配置实例

  [复制链接]
发表于 2011-6-14 14:49:14 | 显示全部楼层 |阅读模式
AAA配置实例

测试目的:通过AAA,实现用户级的授权
测试环境:TACACS+ 1720路由器
测试过程:
实验一:用本地(LOCAL)方法进行验证和授权
配置文件:
version 12.1
!
hostname Router
!
aaa new-model
aaa authentication login myaaa group local !配置授权
aaa authorization exec myauth group local !配置认证
!
username user10 privilege 10 password 0 user10 !给用户分配级别
!
!
privilege exec level 10 ping !给命令分配级别
privilege exec level 10 show frame-relay
privilege exec level 10 traceroute
!
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth !选择TELNET的授权方式
login authentication myaaa !选择TELNET的认证方式
!
no scheduler allocate
end
实验结果:用户user10登录后级别是10,可以执行PINGSHOW FRAME-RELAYTRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令,可以进一步细分命令权限。如:可以SHOW FRAME-RELAY不可以SHOW X25
aaa的配制命令随IOS版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local
可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。
测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。

实验二:用TACSCS+进行验证和授权
version 12.1
!
hostname Router
!
aaa new-model
aaa authentication login myaaa group tacacs+
aaa authorization exec myauth group tacacs+
!
!
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth
login authentication myaaa
!
no scheduler allocate
end
实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器。

综上所述,在对小型网络管理,可以用本地授权的方式,在中心需要用TACACS+进行AAA管理。通过以上两种方式,都可以实现命令参数级的授权管理。
在中行一级网的管理中,可以结合这两种方式,可以配置路由器在进行认证时,先选择TACACS+的方式,同时配置几个本地的用户,作为TACACS+故障时的备份。
通过这样的方式,可实现对一级网的灵活管理策略。给省行一些查找错误,以及在升级软件时的相应权限,同时防止用户错误的配置及某些恶意入侵。


        官方微博:   
     
http://t.qq.com/SPOTOer   
     
http://t.qq.com/BOOTCAMP
     http://weibo.com/SPOTO   
     
http://weibo.com/BOOTCAMP
发表于 2011-6-14 15:07:02 | 显示全部楼层
呵呵,还是宋体子看得舒服
发表于 2011-6-14 20:23:05 | 显示全部楼层
这个是啥字体?
发表于 2011-6-15 09:44:34 | 显示全部楼层
tacacs+的认证还要用到AAA服务器的,所以还需要指服务器的地址!
AAA是一个比较难的知识点,掌握起来不容易。
发表于 2011-6-15 10:41:09 | 显示全部楼层
我发现我的论坛等级好低~~
发表于 2011-6-16 14:00:17 | 显示全部楼层
不错、不错
发表于 2011-6-20 14:51:24 | 显示全部楼层
学习,学习!
发表于 2011-6-30 21:58:33 | 显示全部楼层
好骚动啊。。。不想看
发表于 2011-8-10 15:18:26 | 显示全部楼层
                                                            
发表于 2011-10-14 15:24:22 | 显示全部楼层
AAA~ 记得当初刚学的时候 一不小心就把自己关在了设备外面
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-23 09:20 , Processed in 0.095017 second(s), 23 queries , Gzip On.

快速回复 返回顶部 返回列表