好文档就是一把金锄头!
欢迎来到金锄头文库![会员中心]
电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

认证、授权与审计.docx

12页
  • 卖家[上传人]:人***
  • 文档编号:555769409
  • 上传时间:2023-09-18
  • 文档格式:DOCX
  • 文档大小:66.09KB
  • / 12 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • Authentication AuthorizationAccounting (AAA)1■什么是AAA?參Authentication :认证9你是谁?能否通过认证?奇Authorization :授权9在通过认证后,你能干什么?參Accounting :审计9你干了什么?2.流量的类型⑥登录流量:登录到网络设备进行管理的流量;⑥穿越流量:穿越相关网络设备的流量;⑥拨入流量:例如:VPN流量;3.为什么要使用AAA穷跟NAS(AAA Clients)的数■相关跟企业的人数有关⑥跟企业的人员变动频率有关Tip:以上几种情况我们可以通过使用AAA降低管理成本综述:安全管理工作量越大,越应该集中地实施安全策略⑥ 标准化的协议(TACACS+和RADIUS),集中化的■理(Cisco SecureACS)、可备份的方法列表(当某个方法不可用的时候,使用候选的方法)4. Cisco ACS Server的客户端类型:警竄I-frBRlamwlffilg翁 Routers@ Switches参 PIX/ASAz!『ew9L_s參 VPN Concentrators【VPN»«鵰】TACACS+QerminSLAccess comro=er Access comro- system pcs)1) eg 赞ww

      Note : Cisco 路由器的 “line”1) CTY : Console TYpe lineT编号为 0,是路由器的第一^个 line,处 理从console line的登录【本地登录】,默认不认证“no login"2) AUX : AUXiliary line—编号紧接着CTY ,该line处理通过Modem+PSTN 的远程登录管理【远程登录】,默认需要密码认证 “login”3) VTY : Virtual TYpe lineT处理通过TCP/IP协议簇实施的远程登录 流量(例如,SSH、Telnet等)•改变R2的VTY认证方法(不认证):R2(config)#line vty 0 4R2(config-line)#no login T说明相应线路下的认证方法是“不认证”R2(config-line)#exit测试:R1#telnet 12.0.0.2 T发现可以直接登录,不需要输入密码TIPs :如果被Telnet的一方没有配置特权模式密码,那么远程登录用户将不能进入其特权模式解决问题:R2(config)#enable secret cisco123•改变R2的VTY认证方法(使用本地数据库):R2(config)#username eric password ciscoOOO T定义本地用户数据 库表项R2(config)#line vty 0 4测试:R1#telnet 12.0.0.2,在输入用户名、密码后可以正常登录。

      •改变R2的VTY认证方法(密码认证):R2(config)#line vty 0 4R2(config-line)#password cisco234 T定义认证所使用的密码R2(config-line)#login T定义认证方式位密码认证 R2(config-line)#exit测试:R1#telnet 12.0.0.2,输入正确密码后,登录成功Step3: 开启 AAAR1(config)#aaa new-model测试:R1#telnet 12.0.0.2 T发现此时需要提交用户名和密码R2#show running-config | begin line vty 发现VTY线路下的“login”相关命令都消失了 输入刚才配置的本地数据库账号,发现登录成功一旦开启AAA,默认 的认证方法就是本地数据库认证TIPs :查看本地数据库信息配置文件中,包括“username”的配置命令Step4:调整VTY线路下的认证方式•调整Login认证方法TenableR2(config)#aaa authentication login AUTHEN enable T定义名为“AUTHEN”的登录认证方法列表,其认证方法是“enable”R2(config)#line vty 0 4R2(config-line)#login authentication AUTHEN T将认证规则应用到特定的线路测试:R1#telnet 12.0.0.2 T此时输入R2上的enable密码,即可登录成功。

      •调整Login认证方法TLine准备工作:给不同类型的Line配置不同的密码R2(config)#line console 0R2(config-line)#password cisco010R2(config)#line aux 0R2(config-line)#password cisco110R2(config)#line vty 0 4R2(config-line)#password cisco111R2(config-line)#exit线路下的密码来实施登录认证R2(config-line)#login authentication VTY T 在 VTY 线路下调用该方 法(根据名为“ VTY ”的认证方法列表中的定义)调整Login认证方法TLocal(本地数据库认证)R2(config)#aaa authentication login DB localR2(config)#line vty 0 4R2(config-line)#login authentication DB测试:R1#telnet 12.0.0.2发现,在输入正确的用户名和密码后可以正常登录有趣的小配置1:修改登录提示信息R2(config)#aaa authentication username-prompt SHINAGUOR2(config)#aaa authentication password-prompt ZUOMUODE■R2(config)#enable password cisco?123R2(config)#aaa authentication login DB local-caseT “local-case”表示用户名大小写敏感R2(config)#line vty 0 4R2(config-line)#login authentication DB 测试:R1#telnet 12.0.0.2 发现,此时输入的用户名和密码都是大小写敏感的。

      AAA用户需求:高金(GJ)是一个合法用户,他的工作级别【特权级别】是 7级在管理路由器的时候,高金被批准查看路由器的running-config,配置 接口的IP地址,其它工作不能够进行Step1 :定义全局账号数据库中高金的账号【特权级别为刀R2(config)#username GJ privilege 7 password cisco333Step2 :配置路由器的认证方法【本地数据库认证】R2(config)# aaa authentication login AAA localR2(config)#line vty 0 4R2(config-line)#login authentication AAA测试:R1#telnet 12.0.0.2,在输入GJ的账户信息登录后,仍然处于级别1TIPs: R2>show privilege T查看目前的用户级另0Step3 :配■特权级别授权R2(config)#aaa authorization exec AUTHOR local T用本地数据库 信息为用户的特权级别授权R2(config)#line vty 0 4测试:R1#telnet 12.0.0.2,输入GJ的账户信息后,发现路由器提示符 为“R2#” , R2#show privilege 发现GJ的特权级别为7级。

      但是, 此时 GJ 却无法在远程登录后查看一些关键的配置,更无法修改路由器 R2的配置原因:Cisco IOS中,用户权利被分成了从0 ~15这16个级别,级别 数值越高,代表能够执行的命令越多、越关键在默认情况下,Cisco IOS 命令仅分布在0级, 1级和15级,常规的“用户模式”属于级别1;常 规的“特权模式”属于级别15规则:某个级别的用户可以执行该级别 和该级别以下级别中的命令Step4 :调整相关命令所在的Exec级别R2(config)#privilege exec level 7 show running-configR2(config)#privilege exec level 7 configure terminalR2(config)#privilege configure level 7 interfaceR2(config)#privilege interface level 7 ip address测试:R1#telnet 12.0.0.2,用GJ的账户登录后,输入各种命令,理解命令的 级别和特区级别的关系。

      点击阅读更多内容
      关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
      手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
      ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.