Packet Tracer - 在思科路由器上配置 AAA 认证

Packet Tracer - 在思科路由器上配置 AAA 认证

拓扑图

 

地址分配表

设备

接口

IP 地址

子网掩码

默认网关

交换机端口

R1

G0/1

192.168.1.1

255.255.255.0

不适用

S1 F0/1

S0/0/0 (DCE)

10.1.1.2

255.255.255.252

不适用

不适用

R2

G0/0

192.168.2.1

255.255.255.0

不适用

S2 F0/2

S0/0/0

10.1.1.1

255.255.255.252

不适用

不适用

S0/0/1 (DCE)

10.2.2.1

255.255.255.252

不适用

不适用

R3

G0/1

192.168.3.1

255.255.255.0

不适用

S3 F0/5

S0/0/1

10.2.2.2

255.255.255.252

不适用

不适用

TACACS+ 服务器

NIC

192.168.2.2

255.255.255.0

192.168.2.1

S2 F0/6

RADIUS 服务器

NIC

192.168.3.2

255.255.255.0

192.168.3.1

S3 F0/1

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

S1 F0/2

PC-B

NIC

192.168.2.3

255.255.255.0

192.168.2.1

S2 F0/1

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

S3 F0/18

目标

·         在 R1 上配置本地用户账户并使用本地 AAA 在控制台和 vty 线路上配置认证。

·         从 R1 控制台和 PC-A 客户端验证本地 AAA 认证。

·         使用 TACACS+ 配置基于服务器的 AAA 认证。

·         从 PC-B 客户端验证基于服务器的 AAA 认证。

·         使用 RADIUS 配置基于服务器的 AAA 认证。

·         从 PC-C 客户端验证基于服务器的 AAA 认证。

背景/ 场景

网络拓扑中显示路由器 R1、R2 和 R3。目前,所有管理安全性都基于对 启用加密密码的了解情况。您的任务是配置并测试本地和 基于服务器的 AAA 解决方案。

您将创建一个本地用户账户,并在路由器 R1 上配置本地 AAA 以测试控制台和 vty 登录。

o    用户 账户:Admin1,密码:admin1pa55

然后,您将使用 TACACS+ 协议,将路由器 R2 配置为支持基于服务器的 认证。已使用以下信息对 TACACS+ 服务器进行了预配置 :

o    客户端:R2 ,使用关键字 tacacspa55

o    用户 账户:Admin2,密码:admin2pa55

最后,您将使用 RADIUS 协议,将路由器 R3 配置为支持 基于服务器的认证。已使用以下信息对 RADIUS 服务器 进行了预配置:

o    客户端:R3 ,使用关键字 radiuspa55

o    用户 账户:Admin3,密码:admin3pa55

已使用 以下信息对路由器进行了预配置:

o    启用加密 密码:ciscoenpa55

o    使用 MD5 认证的 OSPF 路由协议,密码为:MD5pa55

注意:控制台和 vty 线路尚未 进行预配置。

注意:IOS 版本 15.3 使用 SCRYPT 作为 安全加密散列算法;但是,Packet Tracer 中当前 支持的 IOS 版本使用 MD5。始终使用设备上提供的最安全的选项 。

第 1 部分:为 R1 上的控制台访问配置 本地 AAA 认证

步骤 1:测试 连接。

·         从 PC-A 对 PC-B 执行 ping 操作。

·         从 PC-A 对 PC-C 执行 ping 操作。

·         从 PC-B 对 PC-C 执行 ping 操作。

步骤 2:配置 R1 上的本地用户名。

配置用户名 Admin1,使用加密 密码 admin1pa55

R1(config)#username Admin1 secret admin1pa55

步骤 3:为 R1 上的控制台访问配置 本地 AAA 认证。

在 R1 上启用 AAA 并为 控制台登录配置 AAA 认证以使用本地数据库。

R1(config)#aaa new-model

R1(config)#aaa authentication login default local

步骤 4:配置 线路控制台以使用定义的 AAA 认证方法。

在 R1 上启用 AAA 并为 控制台登录配置 AAA 认证以使用默认方法列表。

R1(config)#line console 0

R1(config-line)#login authentication default

步骤 5:验证 AAA 认证方法。

使用本地数据库验证用户 EXEC 登录。

R1(config-line)#end

R1#

%SYS-5-CONFIG_I: Configured from console by console

R1#exit

R1 con0 is now available

Press RETURN to get started.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.

User Access Verification

Username: Admin1

Password: admin1pa55

R1>

第 2 部分:为 R1 上的 vty 线路配置 本地 AAA 认证

步骤 1:配置用于 SSH 的 域名和加密密钥。

  1.      使用 ccnasecurity.com 作为 R1 上的域名。

R1(config)#ip domain-name ccnasecurity.com

  1.      使用 1024 位创建 RSA 加密密钥。

R1(config)#crypto key generate rsa 

The name for the keys will be: R1.ccnasecurity.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

步骤 2:为 R1 上的 vty 线路配置 命名列表 AAA 认证方法。

配置名为 SSH-LOGIN 的命名列表, 以使用本地 AAA 认证登录。

R1(config)#aaa authentication login SSH-LOGIN local

步骤 3:配置 vty 线路以使用定义的 AAA 认证方法。

配置 vty 线路以使用定义的 AAA 认证方法并且 只允许 SSH 进行远程访问。

R1(config)#line vty 0 4

R1(config-line)#login authentication SSH-LOGIN

R1(config-line)#transport input ssh

R1(config-line)#end

步骤 4:验证 AAA 认证方法。

从 PC-A 的 命令提示符验证 R1 的 SSH 配置。

C:\>ssh -l Admin1 192.168.1.1

Password: admin1pa55

R1>

 

第 3 部分:在 R2 上使用 TACACS+ 配置 基于服务器的 AAA 认证

步骤 1:配置 一个名为 Admin 的备份本地数据库条目。

出于备份目的,配置本地用户名 Admin2 ,使用加密密码 admin2pa55

R2(config)#username Admin2 secret admin2pa55

步骤 2:验证 TACACS+ 服务器配置。

点击“TACACS+ Server”(TACACS + 服务器)。在“Services”(服务)选项卡上点击 AAA。请注意,显示 R2 的网络配置条目以及 Admin2 的用户设置条目。

步骤 3:在 R2 上配置 TACACS+ 服务器的具体详细信息。

在 R2 上配置 AAA TACACS 服务器 IP 地址和密钥。

注意:不推荐使用命令 tacacs-server host 和 tacacs-server key。目前,Packet Tracer 不支持新 命令 tacacs server

R2(config)#tacacs-server host 192.168.2.2

R2(config)#tacacs-server key tacacspa55

步骤 4:为 R2 上的控制台访问配置 AAA 登录认证。

在 R2 上启用 AAA,并将所有登录配置为 使用 AAA TACACS+ 服务器进行认证。如果不可用,则使用 本地数据库。

R2(config)#username Admin2 secret admin2pa55

R2(config)#aaa authentication login default group tacacs+ local

步骤 5:配置 线路控制台以使用定义的 AAA 认证方法。

为控制台登录配置 AAA 认证以使用 默认的 AAA 认证方法。

R2(config)#line console 0

R2(config-line)#login authentication default

步骤 6:验证 AAA 认证方法。

使用 AAA TACACS+ 服务器验证用户 EXEC 登录。

R2(config-line)#end

R2#

%SYS-5-CONFIG_I: Configured from console by console

R2#exit

R2 con0 is now available

Press RETURN to get started.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.

User Access Verification

Username: Admin2

Password: admin2pa55

R2>

第 4 部分:在 R3 上使用 TACACS+ 配置 基于服务器的 AAA 认证

步骤 1:配置 一个名为 Admin 的备份本地数据库条目。

出于备份目的,配置本地用户名 Admin3 ,使用加密密码 admin3pa55

R3(config)#username Admin3 secret admin3pa55

步骤 2:验证 RADIUS 服务器的配置。

点击“RADIUS Server”(RADIUS 服务器)。在“Services(服务)”选项卡上点击 AAA。 请注意,显示 R3 的网络配置条目以及 Admin3 的用户设置条目。

步骤 3:在 R3 上配置 RADIUS 服务器的具体详细信息。

在 R3 上配置 AAA RADIUS 服务器 IP 地址和密钥。

注意:不推荐使用命令 radius-server host 和 radius-server key。目前,Packet Tracer 不支持新 命令 radius server

R3(config)#radius-server host 192.168.3.2

R3(config)#radius-server key radiuspa55

步骤 4:为 R3 上的控制台访问配置 AAA 登录认证。

在 R3 上启用 AAA,并将所有登录配置为 使用 AAA RADIUS 服务器进行认证。如果不可用,则使用 本地数据库。

R3(config)#aaa new-model

R3(config)#aaa authentication login default group radius local

步骤 5:配置 线路控制台以使用定义的 AAA 认证方法。

为控制台登录配置 AAA 认证以使用 默认的 AAA 认证方法。

R3(config)#line console 0

R3(config-line)#login authentication default

步骤 6:验证 AAA 认证方法。

使用 AAA RADIUS 服务器验证用户 EXEC 登录。

R3(config-line)#end

R3#

%SYS-5-CONFIG_I: Configured from console by console

R3#exit

R3 con0 is now available

Press RETURN to get started.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.

User Access Verification

Username: Admin3

Password: admin3pa55

R3>

步骤 7:检查结果。

完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已 完成的所需组件。

实验具体步骤:

R1:

R1>en

Password: ciscoenpa55

R1#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#username Admin1 secret admin1pa55

R1(config)#aaa new-model

R1(config)#aaa authentication login default local

R1(config)#line console 0

R1(config-line)#login authentication default

R1(config-line)#end

R1#

%SYS-5-CONFIG_I: Configured from console by console

R1#exit

R1 con0 is now available

Press RETURN to get started.

*********** AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.

User Access Verification

Username: Admin1

Password: admin1pa55

R1>en

Password: ciscoenpa55

R1#

R1#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#ip domain-name ccnasecurity.com

R1(config)#crypto key generate rsa

The name for the keys will be: R1.ccnasecurity.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.



How many bits in the modulus [512]: 1024

R1(config)#aaa authentication login SSH-LOGIN local

R1(config)#line vty 0 4

R1(config-line)#login authentication SSH-LOGIN

R1(config-line)#transport input ssh

R1(config-line)#end

R1#

R2配置:

R2>en

Password: ciscoenpa55

R2#

R2#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#username Admin2 secret admin2pa55

R2(config)#tacacs-server host 192.168.2.2

R2(config)#tacacs-server key tacacspa55

R2(config)#username Admin2 secret admin2pa55

R2(config)#aaa authentication login default group tacacs+ local

R2(config)#line console 0

R2(config-line)#login authentication default

R2(config-line)#end

R2#

%SYS-5-CONFIG_I: Configured from console by console

R2#exit

R2 con0 is now available



Press RETURN to get started.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.



User Access Verification



Username: Admin2

Password: admin2pa55

R2>

R3配置:

R3>en

Password: ciscoenpa55

R3#conf

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

R3(config)#username Admin3 secret admin3pa55

R3(config)#radius-server host 192.168.3.2

R3(config)#radius-server key radiuspa55

R3(config)#aaa new-model

R3(config)#aaa authentication login default group radius local

R3(config)#line console 0

R3(config-line)#login authentication default

R3(config-line)#end

R3#

%SYS-5-CONFIG_I: Configured from console by console

R3#exit



R3 con0 is now available

ess RETURN to get started.

************ AUTHORIZED ACCESS ONLY *************

UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.



User Access Verification



Username: Admin3

Password: admin3pa55

R3>

实验链接:https://pan.baidu.com/s/1F8suBBA48T6LcZUvFyBBoA?pwd=3612

提取码:3612

--来自百度网盘超级会员V2的分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/17218.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

(四)Kubernetes - 手动部署(二进制方式安装)

Kubernetes - 手动部署 [ 3 ] 1 部署work node1.1 创建工作目录并拷贝二进制文件1.2 部署kubelet1.2.1 创建配置文件1.2.2 配置文件1.2.3 生成kubelet初次加入集群引导kubeconfig文件1.2.4 systemd管理kubelet1.2.5 启动并设置开机启动1.2.6 允许kubelet证书申请并加入集群 1.3…

JAVA-异常

文章目录 1.异常的体系1.3异常的分类 2.异常的处理2.2异常的抛出throw2.3异常的捕获2.3.1异常声明throws2.3.2 try-catch捕获并处理2.3.3 finally 2.4 异常的处理流程 3.自定义异常类 1.异常的体系 Throwable:是异常体系的顶层类,其派生出两个重要的子类…

人员拥挤检测系统 yolov5

人员拥挤检测系统通过YOLOv5网络模型算法技术,人员拥挤检测系统算法模型对校园/厂区车间/街道等场景的异常的人群聚集(出现拥挤情况)时,立刻抓拍存档并通知相关人员及时处理。在介绍Yolo算法之前,首先先介绍一下滑动窗…

ES是如何解决高可用

https://www.cnblogs.com/crazymakercircle/p/15433680.html ES是一个分布式全文检索框架,隐藏了复杂的处理机制,核心数据分片机制、集群发现、分片负载均衡请求路由。 ES的高可用架构,总体如下图: 说明:本文会以pdf…

Java 基础入门篇(一)—— Java 概述

文章目录 一、Java 概述二、Java 的产品 JDK2.1 JDK 安装2.2 Java与 Javac 介绍2.3 Java 程序的开发步骤 三、Java 程序的执行原理四、JDK 的组成五、Java 的跨平台工作原理 一、Java 概述 Java 是 sun 公司在 1995 年推出的一门计算机高级编程语言,其语言风格接近人…

深度学习卷积神经网络学习小结2

简介 经过大约两周左右的学习,对深度学习有了一个初步的了解,最近的任务主要是精读深度学习方向的文献,由于搭建caffe平台失败而且比较耗费时间就没有再尝试,所以并没有做实践方面的工作,本文只介绍了阅读文献学到的知…

外卖项目优化-02-mysql主从复制、读写分离(shardingJdbc)、Nginx(反向代理,负载均衡)

文章目录 瑞吉外卖项目优化-Day02课程内容前言1. MySQL主从复制1.1 介绍1.2 搭建1.2.1 准备工作1.2.2 主库配置1.2.3 从库配置 1.3 测试 2. 读写分离案例 (shardingJdbc)2.1 背景介绍2.2 ShardingJDBC介绍2.3 数据库环境2.4 初始工程导入2.5 读写分离配置2.6 测试 3. 项目实现读…

基于ATECLOUD的航电系统可灵活扩展自动化测试平台

随着电子技术的发展,航电系统在飞机整机中的重要性飞速提升。据统计,近年来航电系统在飞机出厂成本中的比例直线上升,航电系统研发成本已占飞机研制总成本的近30%,并保持着持续扩大的趋势。测试保障作为航电产业链至关重要的一环&…

基于JavaWeb实现的寻码网文章资讯管理系统

一、技术结构 前端:html ajax 后端:SpringBootMybatis-plus 环境:JDK1.8 | Mysql | Maven | Redis 二、功能简介 数据库与代码截图 后端管理-登录页 后端管理-首页 后端管理-文章管理-发布文章 后端管理-文章管理-文章列表 后端管理-文…

【iOS KVO(下) KVO的内部结构和源码】

前言 学习KVO的过程,我分为了KVO的实现过程分析和内部结构的学习,学习了实现过程,接下来看KVO是通过何种内部结构实现如此通知📢和监听。 1 KVO的存储结构 KVO的实现过程离不开合理的存储结构,用到了如下几个类 GS…

智能安防系统-视频监控系统

一、智能安防系统 1、智能安防系统介绍 安全防范系统成为了智慧城市与物联网行业应用中的一个非常重要的子系统。 安防系统主要包括:视频监控系统、入侵报警系统、出入口控制系统、电子巡查系统以及智能停车场管理系统等5个子系统。 AI人工智能安防系统功能&#xf…

Java8中DateTimeFormatter真的是线程安全的吗?

文章目录 [toc] 1.背景2.解决办法2.1办法一:换姿势或者升级JDK的版本2.1办法二:更换文件名称字生成策略 Java8中DateTimeFormatter真的是线程安全的吗? 答案是否定的 1.背景 由于之前写了一个旷世的ocr的服务,接入了旷世的FaceID的人脸比对…

C++笔记——第十六篇 异常

目录 1.C语言传统的处理错误的方式 2. C异常概念 3. 异常的使用 3.1 异常的抛出和捕获 在函数调用链中异常栈展开匹配原则 3.2异常安全 4.异常的优缺点 1.C语言传统的处理错误的方式 传统的错误处理机制: 1. 终止程序,如assert,缺陷&a…

04-Vue技术栈之组件化编程

目录 1、模块与组件、模块化与组件化1.1 模块1.2 组件1.3 模块化1.4 组件化1.5 传统方式编写应用1.6 组件方式编写应用 2、非单文件组件2.1 基本使用2.2 几个注意点2.3 组件的嵌套2.4 VueComponent2.5 一个重要的内置关系2.6 总结 3、单文件组件3.1 一个.vue 文件的组成(3 个部…

【玩转Git三剑客笔记】第一章 Git基础

第一章 Git基础 1.综述2.安装Git3.使用Git之前需要做的最小配置4.创建第一个仓库并配置local用户信息1.创建Git仓库2.设置Git最小配置 5.通过几次commit来认识工作区和暂存区1.将工作区中所有已经被git追踪的文件一起添加到暂存区2.git log查看提交日志 6.给文件重命名的简便方…

权限提升:不带引号服务路径 || 不安全的服务权限.

权限提升:不带引号服务路径 || 不安全的服务权限. 权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动…

探讨Redis缓存问题及解决方案:缓存穿透、缓存击穿、缓存雪崩与缓存预热(如何解决Redis缓存中的常见问题并提高应用性能)

Redis是一种非常流行的开源缓存系统,用于缓存数据以提高应用程序性能。但是,如果我们不注意一些缓存问题,Redis也可能会导致一些性能问题。在本文中,我们将探讨Redis中的一些常见缓存问题,并提供解决方案。 一、缓存穿…

了解MSIL汇编和IL汇编评估堆栈

.assembly extern mscorlib {}.assembly Test{.ver 1:0:1:0}.module test.exe.method static void main() cil managed{.maxstack 1.entrypointldstr "I am from the IL Assembly Language..."call void [mscorlib]System.Console::WriteLine (string)ret} 这是MSIL…

1、Flutter使用总结(RichText、Container)

1、创建Flutter项目 flutter create DemoName 2、运行项目 flutter run -d ‘iPhone 14 Pro Max’ 注: 当运用Android Studio时、选择安卓模拟器运行项目、如果项目路径有中文名称: 那么运行报错、如果直接在项目路径下,采用终端运行安卓模拟器、可执行如下命令 flutter ru…

C语言复习笔记2

1.变量命名只能以数字、字母、下划线组成并且不能以数字开头。 #include<stdio.h> #include<unistd.h>//变量名只能由数字字母下划线组成&#xff0c;不能以数字开头 int main() {//int 2b;return 0; }2.内存中保存的是补码 0的补码取反得补码再求源码是-1。 源码…