大中型企业中部署应用AAA-本地授权篇 推荐

AAA已经在大中型企业中部署应用了，而很多的网友或者工程师对AAA的应用和维护不见得融会贯通了。近日更新的数篇博客，都将以AAA为专题给大家来讲述我在做项目中的实际应用案例。希望兄弟们在茶余饭后过来捧场。 项目需求: 1，某大型客户，从接入层、汇聚层、核心层设备“清一色”全Cisco。公司高管要求对加强设备的安全性，特别要求网络管理人员对设备的维护和操作要求专门人员，专门账号，不同的管理人员登录设备的权限不一样。具体来分析，如果在设备上配置多个管理员账号，而不同的管理人员拥有不同的管理权限，对特殊的人员，限制只能使用Configure terminal 等 需求实现方法： 客户日常管理设备和修改配置文件，大多数都是通过远程Telnet或者SSH方式来完成。配置远程登录用户名和密码 网络拓扑（客户管理人员在办公室需要通过超级终端或者SecureCRTd等软件，来登录），初始配置，就必须先从console登录，配置好远程登录用户名和密码，以后的调试和配置，就不用奔波下楼到机房，插上console线路再调试

实现方法一：（与AAA无关），安全性较低 第一步：利用console线登陆设备，查看IP地址，测试设备与客户办公网络可以互通。客户PC，ip地址为192.168.10.1/24

Center>enable [/b] Center# Center#show ip int brief[/b] Interface IP-Address OK? Method Status Protocol Ethernet0/0 12.0.0.1 YES manual up up Ethernet1/0 192.168.10.2 YES manual up up [/b] Center#ping 192.168.10.1[/b] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! [/b] Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/60 ms Center#

第二步：配置远程登陆的用户名和密码，这里配置两个不同的用户，并且两个用户的级别是不一样的，要求密码在show running-config中，以密文的方式来显示，防止其他用户窥屏（呵呵，看你后面站的那位在干吗了）即使用不同的用户名和密码，登陆到路由器处于不同的模式下。

Center#conf t[/b] Enter configuration commands, one per line. End with CNTL/Z. Center(config)#username zhanggong secret gongzhang> [/b] //[/b]配置一个普通的用户，该用户的级别是默认的1[/b]，用户级别最大是15[/b]，但是使用该用户名，远程登陆之后，只能在用户模式下，并且不对该用户泄漏enable[/b]密码，该用户只有对路由器的工作状态监视查看。[/b] Center(config)#username nopassword! privilege 15 secret passwordccie [/b] //[/b]配置一个高级别的用户，该用户的级别设置为15[/b]，即使用本用户和密码远程登陆到路由器能直接进入到特权模式。 [/b] //[/b]进入VTY[/b]线路配置模式[/b] Center(config)#line vty 0 15 [/b] //[/b]配置本地登陆验证方式，即要求输入用户名和密码，和VTY[/b]线路没有任何关系。[/b] Center(config-line)#login local[/b] Center(config-line)#end[/b] Center# *Mar 1 00:38:38.675: %SYS-5-CONFIG_I: Configured from console by console Center#

第三步：远程登陆测试结果（如图所示1），远程登陆协议：Telnet，端口号：23，主机IP：192.168.10.2，再点击“连接”

第四步：如图2所示，提示输入用户名和密码，我们输入用户名：zhanggong 密码：gongzhang> 回车之后，登录成功了但是在用户模式下，可以紧系基本的调试，用户模式下的命令我就不做过多解释了。

如图3所示，用另外一个用户登录，可以直接进入特权模式，可以进行调试和配置修改，用户的需求实现了。

实现方法二，通过配置了AAA，利用AAA的认证和授权功能来实现，安全级别要高

用户名和密码都保持和原来的一致，再次基础之上只需要配置AAA的认证和授权 Center#conf t Enter configuration commands, one per line. End with CNTL/Z. //[/b]开启AAA [/b] Center(config)#aaa new-model //[/b]配置登陆验证方式有aaa [/b]认证来实现，验证方式为本地 [/b] Center(config)#aaa authentication login default local Center(config)#aaa authorization ? auth-proxy For Authentication Proxy Services cache For AAA cache configuration commands For exec (shell) commands. config-commands For configuration mode commands. configuration For downloading configurations from AAA server console For enabling console authorization exec For starting an exec (shell). ipmobile For Mobile IP services. network For network services. (PPP, SLIP, ARAP) reverse-access For reverse access connections template Enable template authorization //[/b]对本地登陆的用户进行授权，当用户在客户端使用不同的用户名和密码试图登陆，输入的用户名和密码，发送的路由器，路由器查询本地数据库的用户名和密码，如果收到的用户名和密码和本地定义的用户名匹配成功，则用户身份认证通过。完成了认证之后，即使用户的级别是15[/b]，因为已经启用了AAA[/b]，AAA[/b]的安全级别高，要想让这个15[/b]级别的用户能进入到特权模式，还必须通过授权来实现。 [/b] //[/b]配置对exec[/b]授权，授权方式为本地 [/b] Center(config)#aaa authorization exec default local Center(config)#end

第一步：使用不同的用户名和密码，测试AAA认证和授权的过程，在路由器打开debug，分析aaa认证和授权过程。 如图4所示，先要打开debug调试命令，再来远程登录

如图5所示：使用级别为1的用户登录

如图6所示，用户zhanggong,认证和授权结果

如图7所示，使用用户名nopassword!登录成功了

如图8所示，用户nopassword! ，认证通过之后，才是授权，授权用户的级别是15，授权成功，通过使用show users已经查看到有用户登录到本地设备上了，并且对方登录的用户名也能看到。

通过客户的需求，我们给了两套解决方案，从安全性角度来考虑， 第二种实现方法更为科学一些。启用了AAA来是实现，并且还可以和aaa的审计联动起来，对用户的操作命令做了记录，某人，某个时间段，登录设备，执行哪些命令，几点离开的等都可以通过aaa来实现的，如果没有aaa,则要实现对用户的行为进行审计就比较困难了，关键是管理复杂了，客户执行起来非常不便。 下篇文章，将给大家介绍如何搭建Cisco ACS Server来实现认证和授权，审计。