大中型企業中部署應用AAA-本地受權篇

AAA已經在大中型企業中部署應用了，而不少的網友或者工程師對AAA的應用和維護不見得融會貫通了。近日更新的數篇博客，都將以AAA爲專題給你們來說述我在作項目中的實際應用案例。但願兄弟們在茶餘飯後過來捧場。

項目需求:

1，某大型客戶，從接入層、匯聚層、核心層設備「清一色」全Cisco。公司高管要求對增強設備的安全性，特別要求網絡管理人員對設備的維護和操做要求專門人員，專門帳號，不一樣的管理人員登陸設備的權限不同。具體來分析，若是在設備上配置多個管理員帳號，而不一樣的管理人員擁有不一樣的管理權限，對特殊的人員，限制只能使用Configure terminal 等

需求實現方法：

客戶平常管理設備和修改配置文件，大多數都是經過遠程Telnet或者SSH方式來完成。配置遠程登陸用戶名和密碼

網絡拓撲（客戶管理人員在辦公室須要經過超級終端或者SecureCRTd等軟件，來登陸），初始配置，就必須先從console登陸，配置好遠程登陸用戶名和密碼，之後的調試和配置，就不用奔波下樓到機房，插上console線路再調試

實現方法一：（與AAA無關），安全性較低

 

第一步：利用 console 線登錄設備，查看 IP 地址，測試設備與客戶辦公網絡能夠互通。 客戶 PC ， ip 地址爲 192.168.10.1/24

 

Center>enable Center# Center#show ip int brief Interface                  IP-Address      OK? Method Status                Protocol Ethernet0/0                12.0.0.1        YES manual up                    up      Ethernet1/0                192.168.10.2    YES manual up                    up      Center#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/60 ms Center#

第二步：配置遠程登錄的用戶名和密碼，這裏配置兩個不一樣的用戶，而且兩個用戶的級別是不同的，要求密碼在 show running-config 中，以密文的方式來顯示，防止其餘用戶窺屏（呵呵，看你後面站的那位在幹嘛了）即便用不一樣的用戶名和密碼，登錄到路由器處於不一樣的模式下。

Center#conf t Enter configuration commands, one per line.  End with CNTL/Z. Center(config)#username zhanggong secret gongzhang> // 配置一個普通的用戶，該用戶的級別是默認的1 ，用戶級別最大是15 ，可是使用該用戶名，遠程登錄以後，只能在用戶模式下，而且不對該用戶泄漏enable 密碼，該用戶只有對路由器的工做狀態監視查看。 Center(config)#username nopassword! privilege 15 secret passwordccie // 配置一個高級別的用戶，該用戶的級別設置爲15 ，即便用本用戶和密碼遠程登錄到路由器能直接進入到特權模式。 // 進入VTY 線路配置模式 Center(config)#line vty 0 15 // 配置本地登錄驗證方式，即要求輸入用戶名和密碼，和VTY 線路沒有任何關係。 Center(config-line)#login local Center(config-line)#end Center# *Mar  1 00:38:38.675: %SYS-5-CONFIG_I: Configured from console by console Center#

第三步：遠程登錄測試結果（如圖所示 1 ），遠程登錄協議： Telnet ，端口號： 23 ，主機 IP ： 192.168.10.2 ，再點擊「鏈接」

第四步：如圖2所示，提示輸入用戶名和密碼，咱們輸入用戶名：zhanggong 密碼：gongzhang> 回車以後，登陸成功了可是在用戶模式下，能夠緊繫基本的調試，用戶模式下的命令我就不作過多解釋了。

如圖3所示，用另一個用戶登陸，能夠直接進入特權模式，能夠進行調試和配置修改，用戶的需求實現了。

實現方法二，經過配置了AAA，利用AAA的認證和受權功能來實現，安全級別要高

用戶名和密碼都保持和原來的一致，再次基礎之上只須要配置AAA的認證和受權 Center#conf t Enter configuration commands, one per line.  End with CNTL/Z. // 開啓AAA Center(config)#aaa new-model // 配置登錄驗證方式有aaa 認證來實現，驗證方式爲本地 Center(config)#aaa authentication login default local Center(config)#aaa authorization ?   auth-proxy       For Authentication Proxy Services   cache            For AAA cache configuration   commands         For exec (shell) commands.   config-commands  For configuration mode commands.   configuration    For downloading configurations from AAA server   console          For enabling console authorization   exec             For starting an exec (shell).   ipmobile         For Mobile IP services.   network          For network services. (PPP, SLIP, ARAP)   reverse-access   For reverse access connections   template         Enable template authorization // 對本地登錄的用戶進行受權，當用戶在客戶端使用不一樣的用戶名和密碼試圖登錄，輸入的用戶名和密碼，發送的路由器，路由器查詢本地數據庫的用戶名和密碼，若是收到的用戶名和密碼和本地定義的用戶名匹配成功，則用戶身份認證經過。完成了認證以後，即便用戶的級別是15 ，由於已經啓用了AAA ，AAA 的安全級別高，要想讓這個15 級別的用戶能進入到特權模式，還必須經過受權來實現。 // 配置對exec 受權，受權方式爲本地 Center(config)#aaa authorization exec default local Center(config)#end

第一步：使用不一樣的用戶名和密碼，測試AAA認證和受權的過程，在路由器打開debug，分析aaa認證和受權過程。

如圖4所示，先要打開debug調試命令，再來遠程登陸

如圖5所示：使用級別爲1的用戶登陸

如圖6所示，用戶zhanggong,認證和受權結果

如圖7所示，使用用戶名nopassword!登陸成功了

如圖8所示，用戶nopassword! ，認證經過以後，纔是受權，受權用戶的級別是15，受權成功，經過使用show users已經查看到有用戶登陸到本地設備上了，而且對方登陸的用戶名也能看到。

經過客戶的需求，咱們給了兩套解決方案，從安全性角度來考慮，  第二種實現方法更爲科學一些。啓用了AAA來是實現，而且還能夠和aaa的審計聯動起來，對用戶的操做命令作了記錄，某人，某個時間段，登陸設備，執行哪些命令，幾點離開的等均可以經過aaa來實現的，若是沒有aaa,則要實現對用戶的行爲進行審計就比較困難了，關鍵是管理複雜了，客戶執行起來很是不便。

下篇文章，將給你們介紹如何搭建Cisco ACS Server來實現認證和受權，審計。