Надо настроить локальную аутентификацию AAA на подключение к маршрутизатору R1 по telnet для пользователей:
1. user12345 пароль pass12345.
2. user23456 пароль pass23456.
3. admin1 пароль adminpass.
Имя списка методов аутентификации example.
В качестве резервного метода аутентификации использовать пароль на вход в привилегированный режим – ciscopass.
Ограничить максимальное число неудачных попыток аутентификации тремя.
R1(config)#enable secret ciscopass
R1(config)#username user12345 secret pass12345
R1(config)#username user23456 secret pass23456
R1(config)#username admin1 secret adminpass
R1(config)#aaa new-model
R1(config)#aaa authentication login example local enable
R1(config)#aaa local authentication attempts max-fail 3
R1(config)#line vty 0 4
R1(config-line)#login authentication example
Результаты настройки
R1#sh run
Building configuration...
…
enable secret 5 $1$mERr$FPJ20VOurz4bQRCfX6TQR/
…
aaa new-model
…
aaa authentication login example local enable
aaa local authentication attempts max-fail 3
…
username admin1 secret 5 $1$mERr$89oFbVUY9tU/mdjv3ClG3.
username user12345 secret 5 $1$mERr$iAVmf7e183tuRhOi42MBS0
username user23456 secret 5 $1$mERr$AoalWO/kbUDx/kKOzGf0w.
…
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
…
interface Serial0/0/0
ip address 192.168.1.1 255.255.255.0
…
line con 0
login
line vty 0 4
login
|
|
login authentication example
!
end
Просмотр установленных сеансов связи
Установим соединение по telnet с рабочей станции WS1 к маршрутизатору R1 по записи admin1. Затем установим соединение по telnet с маршрутизатора R2 к маршрутизатору R1.
Теперь проверим установленные сеансы связи на маршрутизаторе R1 с помощью команды show aaa sessions.
В результате выполнения данной команды мы можем видеть, что с маршрутизатором R1 установлено два сеанса связи.
Telnet – сессия с рабочей станции имеет Id:11 с указанием имени пользователя(admin1) и IP адреса рабочей станции, с которой установлено соединение.
Telnet – сессия с рабочей станции имеет Id:12 с указанием имени пользователя(user12345) и IP адреса маршрутизатора, с которого установлено соединение.
PC>telnet 10.1.1.1
Trying 10.1.1.1...Open
User Access Verification
Username: admin1
Password: <adminpass>
R1>en
Password:<ciscopass>
R1#
R2#telnet 192.168.1.1
Trying 192.168.1.1...Open
User Access Verification
Username: user12345
Password:<pass12345>
R1>en
Password:<ciscopass>
R1#
R1#show aaa sessions
Total sessions since last reload: 7
Session Id:11
Unique Id:11
User Name:admin1
IP Address:10.1.1.2
Idle Time: 0
CT Call Handle: 0
Session Id:12
Unique Id:12
User Name:user12345
IP Address:192.168.1.2
Idle Time: 0
CT Call Handle: 0
Настройка удаленной аутентификации ААА
При использовании аутентификации ААА с помощью удаленной базы данных, необходимо использование сервера защиты TACACS+ или RADIUS.
Для настройки удаленной аутентификации необходимо выполнить следующие шаги:
1. Включите ААА на маршрутизаторе.
2. Определите сервер защиты TACACS+ или RADIUS.
|
|
3. Сформируйте ключ для шифрования сообщений, которыми будут обмениваться сервер сетевого доступа и сервер защиты.
4. Установите списки методов аутентификации.
5. Подключите сформированные списки методов к соответствующим интерфейсам.
Настройка параметров сервера TACACS+ для аутентификации
Для установки параметров сервера TACACS+ используется команда глобального режима конфигурации tacacs-server host. В этой команде обязательно должно быть указано имя или ip-адрес сервера TACACS+.
При этом, желательно установить параметр single-connection, который включает поддержку только одного открытого соединения TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса.
С помощью команды глобального режима конфигурации tacacs-server key устанавливаем ключ для шифрования сообщений между сервером сетевого доступа и сервером защиты.
Так как в сети может быть несколько серверов защиты, то можно сформировать отдельный ключ шифрования для каждого сервера в опциях команды tacacs-server host.
Теперь необходимо в списках методов аутентификации определить аутентификацию с помощью сервера защиты TACACS+. Для этого используется команда aaa authentication login. В поле имени списка можно установить «default», так как это упрощает процесс использования ААА.
В завершении, данный список применяется к соответствующим интерфейсам.
tacacs-server host name [ single-connection ] [ port number] [ timeout ss] [ key string]
name | Имя или ip-адрес сервера защиты |
single-connection | (опционально) поддержка только одно открытое соединение TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса. |
port number | (опционально) определяет номер порта сервера защиты. По умолчанию - порт 49. Можно изменять номера в диапазоне от 1 до 65535. |
timeout ss | (опционально) определяет предельное время в секундах. Можно изменить глобальное значение предельного времени (установленное с помощью команды tacacs-server timeout) для данного сервера. |
key string | (опционально) определяет ключ шифрования (этот ключ должен соответствовать ключу сервера TACACS+). Можно изменить ключ, заданный командой глобальной конфигурации tacacs-server key, для данного сервера. |
tacacs-server key key
key key | определяет ключ шифрования (этот ключ должен соответствовать ключу сервера TACACS+). Задается для всех серверов TACACS+, определенных на данном маршрутизаторе глобально. |
aaa authentication login default group tacacs+