基於服務器的AAA配置實驗（Cisco PT）

1、實驗拓撲

 

2、網絡地址分配

Device	Interface	IP Address	Subnet Mask
R1	Fa0/0	192.168.1.1	255.255.255.0
	S0/0/0	10.1.1.2	255.255.255.252
R2	S0/0/0	10.1.1.1	255.255.255.252
	Fa0/0	192.168.2.1	255.255.255.0
	S0/0/1	10.2.2.1	255.255.255.252
R3	S0/0/1	10.2.2.2	255.255.255.252
	Fa0/0	192.168.3.1	255.255.255.0
TRCACS+ Server	NIC	192.168.2.2	255.255.255.0
RADIUS Server	NIC	192.168.3.2	255.255.255.0
PC-A	NIC	192.168.1.3	255.255.255.0
PC-B	NIC	192.168.2.3	255.255.255.0
PC-C	NIC	192.168.3.3	255.255.255.0

3、不一樣網段間互Ping測試

一、PC-A ping PC-B（互通）：

 

二、PC-A ping PC-C（互通）：

 

三、PC-B ping PC-C（互通）：

 

4、配置過程

一、在路由器R1上配置一個本地用戶帳號，經過AAA和console線和VTY鏈接認證

（1）AAA認證：

R1(config)#username admin1 password admin1
R1(config)# aaa new-model
R1(config)#aaa authentication login default local
R1(config)#line console 0
R1(config-line)#login authentication default

（2）VTY鏈接認證：

R1(config)# aaa authentication login telnet-login local
R1(config)# line vty 0 4
R1(config-line)# login authentication telnet-login

二、在路由器R2上配置基於TACACS+服務器上的AAA認證

R2(config)#username admin2 password admin2
R2(config)#tacacs-server host 192.168.2.2
R2(config)#tacacs-server key admin2
R2(config)#aaa new-model
R2(config)#aaa authentication login default group tacacs+ local
R2(config)#line console 0
R2(config-line)#login authentication default

TACACS+服務器配置

三、在路由器R3配置基於RADIUS服務器的AAA認證

R3(config)#username admin3 password admin3
R3(config)#tacacs-server host 192.168.3.2
R3(config)#tacacs-server key admin3
R3(config)#aaa new-model
R3(config)#aaa authentication login default group radius local
R3(config)#line console 0
R3(config-line)#login authentication default

Radius服務器配置

5、驗證結果

一、驗證用戶登陸使用本地數據庫的AAA認證：

二、驗證Telnet配置的AAA認證（PC-A telnet R1）：

三、用AAA驗證用戶登陸TACACS+服務器：

四、用AAA驗證用戶登陸Radius服務器：