1. 配置本地认证登录管理:
1) R1通过VTY和Console登录R2,验证本地用户名密码认证与授权;
username admin privilege 15 password 0 Cisc0123
line con 0
logging synchronous
login local
2) 简述Console、AUX和VTY默认策略。
- console:默认不需认证即可登录
- aux:默认login 必须认证才能登录
- vty:默认login 必须认证才能登录
2. 配置Cisco登录增强条件:
1) 若密码输入错误,则停顿3秒后才可以进行下一次输入;
2) 如果在60秒内有3次密码输入错误的情况,则挂起15分钟;
3) 如果登录成功,则产生log日志;
4) 如果登录失败,也将产生log日志。
login delay 3
login block-for 900 attempts 3 within 60
login on-failure log
login on-success log
3. 配置SSH认证:
1) 创建本地用户名和密码,赋予15级权限;
2) RSA秘钥对长度2048位;
3) SSH使用版本2;
4) 配置适当的访问策略只允许Windows10(192.168.1.100)可以登录。
- ip domain name http://qytang.com
- crypto key generate rsa modulus 2048
- username admin privilege 15 password 7 020700560208
- ip ssh rsa keypair-name http://R2.qytang.com
- ip ssh version 2
- !
- access-list 10 permit 192.168.1.100 0.0.0.0
- !
- line vty 0 4
- access-class 10 in
- login local
- transport input ssh
4. 根据拓扑完成AAA设备管理:
1) 在R1路由器上启用AAA认证,并开启线下保护
2) 使用ISE作为TACACS+服务器,与R1路由器互相关联
3) 在ISE上创建用户XXX(自己名字的拼音),并在R1上测试TACACS+服务器;
4) 在ISE上创建策略给予用户15级的访问权限,验证现象并查看ISE日志信息;
- aaa group server tacacs+ qytang-ta-group
- server-private 192.168.1.241 key cisco
- !
- aaa authentication login noacs line none
- aaa authentication login qyt-vty group qytang-ta-group local
- aaa authorization exec qyt-vty group qytang-ta-group local
- aaa accounting exec qyt-vty start-stop group qytang-ta-group
- !
- line vty 0 4
- authorization exec qyt-vty
- accounting exec qyt-vty
- login authentication qyt-vty
- transport input all