Cisco AAA 基础

最新推荐文章于 2023-08-17 13:14:48 发布
最新推荐文章于 2023-08-17 13:14:48 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 安全设备 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/121374007
版权

1. 配置本地认证登录管理:

1) R1通过VTY和Console登录R2,验证本地用户名密码认证与授权;

username admin privilege 15 password 0 Cisc0123

line con 0

logging synchronous

login local

2) 简述Console、AUX和VTY默认策略。

  • console:默认不需认证即可登录
  • aux:默认login 必须认证才能登录
  • vty:默认login 必须认证才能登录

2. 配置Cisco登录增强条件:

1) 若密码输入错误,则停顿3秒后才可以进行下一次输入;

2) 如果在60秒内有3次密码输入错误的情况,则挂起15分钟;

3) 如果登录成功,则产生log日志;

4) 如果登录失败,也将产生log日志。

login delay 3

login block-for 900 attempts 3 within 60

login on-failure log

login on-success log

3. 配置SSH认证:

1) 创建本地用户名和密码,赋予15级权限;

2) RSA秘钥对长度2048位;

3) SSH使用版本2;

4) 配置适当的访问策略只允许Windows10(192.168.1.100)可以登录。

  • ip domain name http://qytang.com
  • crypto key generate rsa modulus 2048
  • username admin privilege 15 password 7 020700560208
  • ip ssh rsa keypair-name http://R2.qytang.com
  • ip ssh version 2
  • !
  • access-list 10 permit 192.168.1.100 0.0.0.0
  • line vty 0 4
  • access-class 10 in
  • login local
  • transport input ssh

4. 根据拓扑完成AAA设备管理:

1) 在R1路由器上启用AAA认证,并开启线下保护

2) 使用ISE作为TACACS+服务器,与R1路由器互相关联

3) 在ISE上创建用户XXX(自己名字的拼音),并在R1上测试TACACS+服务器;

4) 在ISE上创建策略给予用户15级的访问权限,验证现象并查看ISE日志信息;

  • aaa group server tacacs+ qytang-ta-group
  • server-private 192.168.1.241 key cisco
  • aaa authentication login noacs line none
  • aaa authentication login qyt-vty group qytang-ta-group local
  • aaa authorization exec qyt-vty group qytang-ta-group local
  • aaa accounting exec qyt-vty start-stop group qytang-ta-group
  • line vty 0 4
  • authorization exec qyt-vty
  • accounting exec qyt-vty
  • login authentication qyt-vty
  • transport input all
期待未来的男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
思科安全AAA配置详解
05-29
入门的AAA配置步骤,适合考网络工程师及学习网络安全方面参考
思科路由与交换基础.zip
03-17
本文将深入探讨"思科路由与交换基础"的相关知识点,帮助初学者理解这一领域的核心概念。 1. **路由器与交换机的基本概念** - **路由器**: 路由器是网络层设备,负责不同网络间的通信,通过查找最佳路径将数据包...
Cisco AAA 详解
weixin_34032779的博客
06-02 1903
Authentication:用于验证用户的访问,如login access,ppp network access等。Authorization:在Autentication成功验证后,Authorization用 于限制用户可以执行什么操作,可以访问什么服务。Accouting:记录Authentication及Authorization的 行为。Part I. 安...
CISCO交换机配置AAA、802.1X以及VACL(Security)
weixin_34200628的博客
07-17 1010
CISCO交换机配置AAA、802.1X以及VACL(Security) CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh ...
CISCO网络设备用户权限级别
热门推荐
MySpace
09-03 2万+
CISCO网络设备用户权限级别     在思科路由器中定义用户权限级别有两种方式: 第一种是直接定义不同级别的enable密码,用户都用默认的级别level 1, 然后用户在登陆时用相应级别的enable密码即可进入相应的特权级; 第二种是在定义用户时直接设定此用户的特权级,此时用这组用户名和 密码登陆即可直接进入到此级别下。 要
如何远程交换机路由器(思科)
小正子
10-28 1598
1.需要用到的命令: switch(config)#enable secret 密码 #设置交换机权限的密码。 switch(config-if)#line vty 0 4 #配置远程,允许同时远程该交换机的电脑数最大为4个。 switch(config-if)#login local #用本地的账户密码登录。 switch(config)#username 账...
Cisco路由器安全基础
03-06
Cisco路由器安全基础:SNMP v3与AAA协议详解》 Cisco路由器在网络安全领域扮演着至关重要的角色,其中SNMP(简单网络管理协议)v3和AAA(Authentication, Authorization, and Accounting,即认证、授权、计费)...
CISCO无线控制器配置基础
09-25
5. **使用ACS进行AAA认证**:通过Cisco的Authentication, Authorization, and Accounting(AAA)服务器,如Cisco Secure Access Control Server(ACS),实现更高级的身份验证、授权和审计功能。 **基本设备** ...
cisco ssh登录设置
eighteenxu的博客
05-19 453
(config)#service password-encryption #开启密文保护 (config)#username admin password 0 admin (config)#enable secret admin (config)#crypto key generate rsa (config)#line vty 0 4 (config-line)#login local (config-line)#transport input ssh
Cisco设备设置通过用户名密码方式登陆
kepa520的博客
09-04 1万+
1.配置console口 username cisco privilege 15 password cisco line con 0 login local 2.配置telnet登陆 line vty 0 4 login local 设置加密密码,show running时以加密方式显示密码  service password-encryption
思科路由器登陆模式介绍
weixin_34293246的博客
08-31 820
Console端口线路配置: Router(config)#hostname R1 R1(config)#int f0/0 R1(config-if)#ip add 192.168.1.254 255.255.255.0 R1(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/0, changed...
设置思科设备console密码、enable密码、vty登录密码
最新发布
m0_57442337的博客
08-17 3859
SW2(config-line)#login local //开启本地用户认证,使用本地用户数据库。SW2(config)service password-encryption //明文密码加密。SW2(config-line)#login //启用密码认证,默认没有,需要加上去。SW2(config-line)#login local //本地开启用户认证。SW2(config-line)no login //不需要密码就可登陆。transport input ssh //只允许以ssh方式登入,
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
CCNA 认证学习(二)
weixin_33912638的博客
12-05 723
一、设备管理管理设备: 也就是管理文件,定期备份,冗余备份, 灾难恢复需要备份的文件:FLASH :IOS 镜像文件NVRAM : startup-config 启动配置文件RAM:running-config 运行配置文件备份方式:tftp 、网络方式或者U盘进行备份或恢复TFTP 服务器软件3CDaemon 建议应用...
cisco交换机配置方法
weixin_39802884的博客
08-08 7388
PS: 1.如代码能缩写尽量缩写节省时间 命令唯一才可以使用缩写方式 比如:config terminal 缩写为 conf t 即可 2.查看配置信息,只能在特权模式下查看 3.如果代码只记得前几位,直接按tab键补全,或者?查找一下 4.翻看show的信息 按空格一屏一屏翻看,按回车一行一行查看 5.取消任何操作,在输入的代码开头添加no 1.用户模式: Switch> 2.特权模式: Switch>enable 缩写en 返回结果:Swith# 3.全局配置模式:
路由器上串口、以太网口、控制口和VTY口的区别
tyutzhangyukang的博客
11-24 1万+
串口专为广域网设计,它可以做ISDN,PPP,帧中继等网络类型的连接可以接很多网络类型,要使用它必须设置时钟频率(DCE、DTE),路由表的算法也在此接口上形成。以太网口是对局域网内的,它只有拥有局域网所需要的所有功能。没有广域网接口所需要的功能,而广域网串口也没有局域网以太网口接口的功能,所以两个接口是不能对调的1、serial 口:路由器连接路由器就要用路由器上的Serial端口连接,不过现在的
关于username password 及级别问题
weixin_33725270的博客
07-30 1445
今天做题,本来以为没什么问题的username password,出错,看来还是理解的不够透彻。打开Packet瞧一瞧 console口及vty口登陆的时,可以设定两种登陆,一种是login local一种是login authentication 前者是调用本地用户数据库,后者是调用认证数据库,一般常用有tacacs+,radius认证协议 先分享下通过vty远程登陆设...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值