大中型企业中部署应用AAA-本地受权篇

AAA已经在大中型企业中部署应用了，而不少的网友或者工程师对AAA的应用和维护不见得融会贯通了。近日更新的数篇博客，都将以AAA为专题给你们来说述我在作项目中的实际应用案例。但愿兄弟们在茶余饭后过来捧场。

项目需求:

1，某大型客户，从接入层、汇聚层、核心层设备“清一色”全Cisco。公司高管要求对增强设备的安全性，特别要求网络管理人员对设备的维护和操做要求专门人员，专门帐号，不一样的管理人员登陆设备的权限不同。具体来分析，若是在设备上配置多个管理员帐号，而不一样的管理人员拥有不一样的管理权限，对特殊的人员，限制只能使用Configure terminal 等

需求实现方法：

客户平常管理设备和修改配置文件，大多数都是经过远程Telnet或者SSH方式来完成。配置远程登陆用户名和密码

网络拓扑（客户管理人员在办公室须要经过超级终端或者SecureCRTd等软件，来登陆），初始配置，就必须先从console登陆，配置好远程登陆用户名和密码，之后的调试和配置，就不用奔波下楼到机房，插上console线路再调试

实现方法一：（与AAA无关），安全性较低

 

第一步：利用 console 线登录设备，查看 IP 地址，测试设备与客户办公网络能够互通。 客户 PC ， ip 地址为 192.168.10.1/24

 

Center>enable Center# Center#show ip int brief Interface                  IP-Address      OK? Method Status                Protocol Ethernet0/0                12.0.0.1        YES manual up                    up      Ethernet1/0                192.168.10.2    YES manual up                    up      Center#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/60 ms Center#

第二步：配置远程登录的用户名和密码，这里配置两个不一样的用户，而且两个用户的级别是不同的，要求密码在 show running-config 中，以密文的方式来显示，防止其余用户窥屏（呵呵，看你后面站的那位在干嘛了）即便用不一样的用户名和密码，登录到路由器处于不一样的模式下。

Center#conf t Enter configuration commands, one per line.  End with CNTL/Z. Center(config)#username zhanggong secret gongzhang> // 配置一个普通的用户，该用户的级别是默认的1 ，用户级别最大是15 ，可是使用该用户名，远程登录以后，只能在用户模式下，而且不对该用户泄漏enable 密码，该用户只有对路由器的工做状态监视查看。 Center(config)#username nopassword! privilege 15 secret passwordccie // 配置一个高级别的用户，该用户的级别设置为15 ，即便用本用户和密码远程登录到路由器能直接进入到特权模式。 // 进入VTY 线路配置模式 Center(config)#line vty 0 15 // 配置本地登录验证方式，即要求输入用户名和密码，和VTY 线路没有任何关系。 Center(config-line)#login local Center(config-line)#end Center# *Mar  1 00:38:38.675: %SYS-5-CONFIG_I: Configured from console by console Center#

第三步：远程登录测试结果（如图所示 1 ），远程登录协议： Telnet ，端口号： 23 ，主机 IP ： 192.168.10.2 ，再点击“链接”

第四步：如图2所示，提示输入用户名和密码，咱们输入用户名：zhanggong 密码：gongzhang> 回车以后，登陆成功了可是在用户模式下，能够紧系基本的调试，用户模式下的命令我就不作过多解释了。

如图3所示，用另一个用户登陆，能够直接进入特权模式，能够进行调试和配置修改，用户的需求实现了。

实现方法二，经过配置了AAA，利用AAA的认证和受权功能来实现，安全级别要高

用户名和密码都保持和原来的一致，再次基础之上只须要配置AAA的认证和受权 Center#conf t Enter configuration commands, one per line.  End with CNTL/Z. // 开启AAA Center(config)#aaa new-model // 配置登录验证方式有aaa 认证来实现，验证方式为本地 Center(config)#aaa authentication login default local Center(config)#aaa authorization ?   auth-proxy       For Authentication Proxy Services   cache            For AAA cache configuration   commands         For exec (shell) commands.   config-commands  For configuration mode commands.   configuration    For downloading configurations from AAA server   console          For enabling console authorization   exec             For starting an exec (shell).   ipmobile         For Mobile IP services.   network          For network services. (PPP, SLIP, ARAP)   reverse-access   For reverse access connections   template         Enable template authorization // 对本地登录的用户进行受权，当用户在客户端使用不一样的用户名和密码试图登录，输入的用户名和密码，发送的路由器，路由器查询本地数据库的用户名和密码，若是收到的用户名和密码和本地定义的用户名匹配成功，则用户身份认证经过。完成了认证以后，即便用户的级别是15 ，由于已经启用了AAA ，AAA 的安全级别高，要想让这个15 级别的用户能进入到特权模式，还必须经过受权来实现。 // 配置对exec 受权，受权方式为本地 Center(config)#aaa authorization exec default local Center(config)#end

第一步：使用不一样的用户名和密码，测试AAA认证和受权的过程，在路由器打开debug，分析aaa认证和受权过程。

如图4所示，先要打开debug调试命令，再来远程登陆

如图5所示：使用级别为1的用户登陆

如图6所示，用户zhanggong,认证和受权结果

如图7所示，使用用户名nopassword!登陆成功了

如图8所示，用户nopassword! ，认证经过以后，才是受权，受权用户的级别是15，受权成功，经过使用show users已经查看到有用户登陆到本地设备上了，而且对方登陆的用户名也能看到。

经过客户的需求，咱们给了两套解决方案，从安全性角度来考虑，  第二种实现方法更为科学一些。启用了AAA来是实现，而且还能够和aaa的审计联动起来，对用户的操做命令作了记录，某人，某个时间段，登陆设备，执行哪些命令，几点离开的等均可以经过aaa来实现的，若是没有aaa,则要实现对用户的行为进行审计就比较困难了，关键是管理复杂了，客户执行起来很是不便。

下篇文章，将给你们介绍如何搭建Cisco ACS Server来实现认证和受权，审计。