基于GNS3的AAA服务器的授权

最新推荐文章于 2024-04-22 14:57:33 发布
最新推荐文章于 2024-04-22 14:57:33 发布
阅读量1.4k 收藏 6
点赞数 2
文章标签: 网络 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stephen_jj/article/details/105121494
版权

基于GNS3的AAA服务器的授权

续上篇的AAA服务的登入认证,本篇讲一个续集,AAA服务的授权,用于控制登录AAA账号密码登录的权限。还是在GNS3做,方便模拟本地物理网卡。

授权配置命令

授权:
R2(config)#aaa authorization exec Admin group ccie local //定义一个名为admin的用户对ccie组的授权,Admin为自己命名,下面的也一样,可不为一致。
R2(config)#aaa authorization commands 1 Admin group ccie
R2(config)#aaa authorization commands 15 Admin group ccie
R2(config)#aaa authorization config-commands //对命令进行审计
R2(config)#line vty 0 4
R2(config-line)#login authentication ccie
R2(config-line)#authorization exec Admin
R2(config-line)#authorization commands 1 Admin
R2(config-line)#authorization commands 15 Admin //调用

实例举例

不说废话,这种还是直接上操作。
在这里插入图片描述
要求: R2远程登录R1时,R1使用AAA服务器对R2的登录 进行认证并授权以下命令且3A服务器无法工作时(即R1与ACS链路断掉),回退本地认证。
show version
show privilege
configure terminal
interface

路由器配置:

首先,先配置好IP地址,保证网络的连通性,这里不再介绍,包括桥接物理网卡。
其次,对路由器配置认证与及授权,认证的话和上次配置的差不多,配置线下保护,设置策略以及调用。而授权的的看下面配置。
认证:
R2(config)#aaa new-model //开启3A认证
R2(config)#aaa authentication login noacs line none //启用线下保护
R2(config)#line console 0 //进入console口
R2(config-line)#password cisco //设置console密码
R2(config-line)#login authentication cheng //调用3A线下保护策略
R2(config)#aaa group server tacacs+ cjc //定义3A tacacs+ 服务器组名字为lsj
R2(config-sg-radius)#server-private key cisco //指定3A服务器地址并配置路由器与3A之间的预共享密钥为cisco
R2(config)#aaa authentication login cjc group ccie //定义一个3A登录认证策略。名字为ccie使用group ccie 内的3A服务器认证或本地用户数据库认证。
授权:
R2(config)#aaa authorization exec Admin group ccie
R2(config)#aaa authorization commands 1 Admin group ccie
R2(config)#aaa authorization commands 15 Admin group ccie
R2(config)#aaa authorization config-commands
R2(config)#line vty 0 4
R2(config-line)#login authentication ccie
R2(config-line)#authorization exec Admin
R2(config-line)#authorization commands 1 Admin
R2(config-line)#authorization commands 15 Admin
R2(config)#username ccie privilege 15 password cisco

ACS服务器web配置

配置路由器,开始在web页面对AAA服务器操作,建议使用世界之窗浏览器,其他浏览器个人测试过Google,360,IE,或多或少存在BUG,导致无法达到效果。
新建设备组,这里新建一个inside作为内部区域。
在这里插入图片描述
在这里插入图片描述
新建网络设置类型
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
新建NSA设备,添加NAS设备。名字为R2.地址为10.1.1.2使用tacacs+协议与共享密钥为cisco.确定保存
在这里插入图片描述

新建认证用户信息,用户名为cjc,密码自定义,这里是cisco123,确定保存。
在这里插入图片描述
新建shell Profil,自定义名字,授权级别默认15级别,最大15级别。确认保存

在这里插入图片描述
在这里插入图片描述
新建command 策略,定义策略名字。定义授权命令,参数,添加。确认保存
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
新建服务选择规则。定义名字、协议、服务。注意若是多个的话需将其以上最上方。这里只有一个,所以无需移动。

在这里插入图片描述
在这里插入图片描述
设置认证条件。

在这里插入图片描述
在这里插入图片描述
设置授权条件和授权内容。
在这里插入图片描述
在这里插入图片描述
测试认证以及授权,让R2telnetR1。输出AAA的认证用户和密码。(cjc cisco123)
结果直接进入特权模式,即认证与授权成功。
在这里插入图片描述

补充内容:

以题意的需求,我们这里涉及到一个回退的知识点,就是当AAA失效的话,那么回退到使用本地认证来登录,是不是有点像虚拟机的快照,以及我们做割接的回退一个道理,而不是当AAA一失效,直接导致链路设备不可控制。而这样的话配置很简单,只需再对应配置的认证和授权命令最后加上local。所以上述的命令都加上local,下面我们先来看一下现象。
链路完整的情况下,telnet正常,调用AAA的用户及密码认证。
在这里插入图片描述
将R1与acs服务器的链路down掉,再来查看,发现很明显无法通过AAA登录了,这时候telnet,也只会去访问AAA的认证,不会考虑到本地的认证。(这是配置里还未加入local)很显然,此时我们以及丧失对设备的控制权。
在这里插入图片描述
将R2上配置的认证以及授权加上对应的local,再来查看。
aaa authentication login cjc group ccie local
aaa authorization exec Admin group ccie local
aaa authorization commands 1 Admin 1 group local
aaa authorization commands 15 Admin group local
在这里插入图片描述
这里我们再添加一个新的本地登录用户和密码
username cjc privilege 15 password cjc
可以发现,我们使用AAA的账户和密码是无法登录进去的,而使用本地账号就能够登录了,实现AAA故障返回本地登录的效果。

最后

AAA的授权到这就结束了,通过页面去控制去设置不仅仅是用户账号和密码,也能够控制组属以及给对应的权限。不仅使我们通信更加安全,也更加具体实施化。感谢支持,若有问题可留言讨论。

成禾
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用GNS3进行ACL访问控制列表的配置
橘子女侠
11-26 2770
一、基本网络的配置(未使用ACL): 1. 实验拓扑图: 下图中标注了各个接口,以及IP地址的设置,可以更加方便的操作实验。 2. 路由器的配置: 2.1> R1路由器的基本网络配置:  configure terminal   interface f0/0    ip address 202.100.10.1 255.255.255.0     no shutdown    e...
基于GNS3模拟器的IDS设备
09-14
基于GNS3模拟器的IDS设备
GNS3+VMware做AAA授权,审计实验
weixin_33859231的博客
04-14 198
实验环境,拓扑图见这个认证实验http://3824597.blog.51cto.com/3814597/1172212 授权一般是在认证配置好了的前提下在配置的! ACS上的客服端 服务器配置见认证实验文章! 接下来点击“group setup”,将“group 1”重命名为“normal”,将“group 2”重命名 为“super”。 然后点击“u...
GNS3+VMware做AAA认证实验
weixin_33716557的博客
04-06 536
首先感谢各位数不相识的网友的各种教程指导,没有你们的教程我也完不成这个实验,非常感谢,发自内心的感谢!希望我写的这个教程也能帮到很多网友们!我会很详细的,我本是一个小白,所以一定要详细,这样才能让其他和我一样是小白的一看就懂,然后节约大把的时间! 提醒下:从来还没做过AAA实验的同学,请先用cisco packet tracer做下,熟悉下命令,这里我也写了个教程:htt...
服务器配置记录(三)虚拟机服务器配置(GNS3
weixin_43439761的博客
07-03 1167
基于GNS3搭建虚拟机服务器
AAA服务器配置详解
12-04
AAA服务器的详细配置过程:认证 认证:①radius认证: 使用udp 1645(认证、授权)、1646(审计)端口 udp 1812(认证、授权)、1813(审计)端口 Radius支持和PPPoe拨入 ②tacacs+/tacacs认证:是cisco专有,使用tcp 49 端口
思科cisco网络模拟器
03-24
思科cisco网络模拟器,可以模拟网络设备,进行组网,配置路由器 交换机等设备
思科网络设备配置AAA认证
dingcu8103的博客
04-07 875
思科网络设备配置AAA认证登陆,登陆认证后直接进入#特权模式,下面以Cisco 3750G-24TS-S为例,其他设备配置完全是一样的,进入config terminal后命令如下: 前面是加2个不同级别的帐号,然后用本地认证 username admin privilege 15 password adminusername user privilege 14 password u...
aaa服务器是如何提供授权信息到nas的,配置AAA命令之授权相关命令
weixin_35915157的博客
08-12 832
aaa authorization commands对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no形式关闭AAA命令授权功能。aaa authorization commandslevel {default| list-name}met...
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
热门推荐
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
ACS基本配置-权限等级管理
weixin_34250434的博客
04-04 436
1, ACS基本配置 ACS的安装这里不讲了,网上google一下就有很多。这里主要讲一下ACS的基本配置,以便于远程管理访问。 ACS正确安装后应该可以通过[url]http://ip:2002/[/url]远程访问,当然要确保中间是否有防火墙等策略。然后就是通过正确的帐号和密码进行登录管理。下面是建立ACS管理帐户的图示。 a,本地登录ACS界面,点击左边的“...
基于GNS3模拟器的ASA硬件防火墙
09-14
基于GNS3模拟器的ASA硬件防火墙
GNS3 镜像文件 c7200
04-25
GNS3 镜像文件 c7200
gns3 路由器镜像文件
05-08
C7200
GNS3 RIPng配置
05-22
Pv6 RIP(RIPng) ​ IPv6的RIP,所有路由规则与IPv4 RIPv2基本相同,不同之处是IPv4 RIPv2使用UDP端口520,而RIPng使用UDP端口521,IPv4 RIPv2数据包更新使用的地址224.0.0.9,而RIPng使用的更新地址是FF02::9。...
网络安全之反弹Shell
小飞的博客
04-12 1515
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
webman 事务回滚失效问题记录
juan9872的博客
04-21 536
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Verilog 不可综合部分
最新发布
Arthur...J的博客
04-22 355
Verilog中存在部分用于仿真验证的子集,只在仿真时使用,因为没有对应的硬件元件,因此不可综合。
TCP和UDP
hay23455的博客
04-19 349
UDP是一种“随性的协议”,它会把你要发送的信息直接扔到网络上,不太关心是否准确送到,就像丢一颗石头进湖里,不会在意湖里有没有人接住。TCP是一种“细心的协议”,它负责确保你发送的信息能够完整、按顺序地到达目的地,就像快递员送货一样,肯定要确认收货人收到了。当你下载文件、发邮件或者浏览网页时,通常会使用TCP来保证数据传输完整、有序。在一些对速度要求高、能容忍少量数据丢失的应用中使用,比如视频会议、在线游戏等。
基于ensp和gns3企业网络规划混合组网
12-09
很抱歉,根据您提供的引用内容,我无法直接回答您的问题。因为引用内容主要介绍了HCL和MSR810-W设备的相关信息,并没有提到如何基于ensp和gns3进行企业网络规划混合组网的内容。但是,我可以为您提供一些有关ensp和gns3的信息,希望能对您有所帮助。 首先,ensp是华为公司推出的一款网络仿真软件,可以模拟华为设备的各种功能和特性,支持多种协议和技术的仿真,如路由、交换、安全、QoS、MPLS等。通过ensp,用户可以在PC上搭建虚拟化的网络环境,进行网络拓扑设计、配置、调试和故障排除等操作。 其次,gns3是一款开源的网络仿***用户可以在PC上搭建虚拟化的网络环境,进行网络拓扑设计、配置、调试和故障排除等操作。 基于ensp和gns3进行企业网络规划混合组网,可以通过以下步骤实现: 1.设计网络拓扑,包括物理拓扑和逻辑拓扑,确定网络设备的数量、型号和位置,以及各个设备之间的连接方式和协议。 2.在ensp中创建虚拟网络设备,如路由器、交换机、防火墙等,根据设计好的拓扑进行配置和连接,模拟真实的网络环境。 3.在gns3中创建虚拟网络设备,如路由器、交换机、防火墙等,根据设计好的拓扑进行配置和连接,模拟真实的网络环境。 4.将ensp和gns3中的虚拟网络设备进行连接,实现混合组网,可以通过物理连接或者虚拟连接的方式进行。 5.进行网络测试和调试,验证网络的可用性和性能,排除故障和问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值