CCSP 学习笔记

cisco ccsp 学习笔记

作者：starshift

时间：2008年11月

SNRS（security networks with routers and swiches ）

AAA model

AAA: authentication(认证) authorization（授权） accounting（审计）

使用AAA model 不一定需要使用AAA服务器，可以在本地做。但是审计功能必须使用路由器。如果不使用AAA服务器，在本地使用用户名和密码。如需要远程网管，需要在ACS上添加管理员。

但是使用AAA服务器可以使用集中式的访问控制和网管，另外最重要的是提供审计功能。使用AAA服务器可以支持外部用户数据库和密码，例如在windows 上做AAA服务器时，可以使用AD作为用户数据库。同时支持多种clients，如FW，VPN等。

所有的授权都是通过av对来实现的。2002， 本地网管的端口号，是固定的。在本地管理时添加远程管理员。AAA服务器必须要安装在server 版操作系统的英文版上。

4.0 对网络准入提供支持。

AAA model 包括两类协议，一个叫TACACS （Terminal Access Controller Access Control System）认证，同时包括授权协议，本协议是Cisco的私有协议，另一个是Radius, remote authentication dial in user Service。是IETF的公开标准，有相应的RFC定义。不同厂商之间各有不同。

• 通信协议上TACACS使用TCP 49，Radius使用UDP『1645 server 用于做认证和授权，1646 用于做审计 新的：1812 用于做认证和授权 1813用于做审计（这个是IETF的标准，通常厂商都会相互支持） 』。Cisco 的AAA服务器叫做ACS(ACCESS　Control Server)。
• TACACS 整个包加密，Radius 使用密码。

 

包括如下内容:

 

authorization: 没有授权的时候默认是1级，在>的用户模式。15级的特权模式，授权定义了你能过做什么，访问什么，15级可以看见所有的命令。

一共有三类流量需要做认证：

1. administration access：console，telnet，aux access
   1. telnet的设备首先是终端服务器，使用八爪鱼console线通过一个路由器去管理其它路由器。
2. remote user network access：Dialup or VPN access
3. through 穿越 NAT 穿越和FW：认证代理

accounting:记录用户登录的时间和使用了哪些命令，审计是审计了最原始的信息。

 

第一课 部署ACS服务器

 

    ACS服务器的架构包括如下三个部分：Cisco ACS for windows, Cisco ACS for UNIX, Cisco Secure Engine。

    Cisco ACS服务器可以使用windows user database, Cisco Secure ACS for windows server database, a token server database, 或者Novell Directory Service（NDS）。ACS可以支持PAP（Password Authentication Protocol），CHAP和MS-CHAP认证模式。

    使用PAP协议进行认证可以访问Windows 2000 用户数据库。

    使用CHAP协议可以访问Cisco Secure ACS user database。推荐使用Cisco Secure ACS user database。它是一种高性能高可扩展性的ACS服务器。可以同时使用TACACS和radius协议。

    

AAA的配置的实验

Globe enable AAA

CCNP 不使用AAA进行配置

三种配置方式：

1. 没有用户密码

   No login

    

2. 本地login

   Login local

   Use

   Username Cisco password Cisco

    

3. telnet

   Line vty 0 4

   Password Cisco

   Login

使用AAA进行配置：

Aaa new model

使用 aaa new model 之后原来的配置都将不在合法。即使vty中没有任何策略，使用telnet 登录的时候将提示username。启用了aaa new model 之后console 口在12.2版本之后不会受到影响 ，之前的版本也会受到影响。

Login authentication

全局命令做login list

Aaa authentication login

Aaa authentication VTY

Aaa authentication VTY none

//使用本地用户名和密码

Aaa authentication VTY local

User cisco password cisco

//使用local case 之后将区分大小写

//使用line 下面的密码做认证, 如果line下面没有设密码，三次错误之后会退出。

Aaa authentication VTY line

 

aaa authentication login local default local

do sh run | b line

// default 将影响没有做命名的line的认证策略

 

 

Aaa authentication login FOR_CON none //解放console 口

先定义认证的名字，然后定于认证的策略，最后定义在vty的line上面。

 

 

前三步骤：

Aaa new-model

Aaa authen logi FOR_CON none

Lin con 0

Login authen FOR_CON

//解放console 口

 

之后配置aaa 服务器，在路由器上制定aaa服务器

Tacacs server host 170.1.1.241 key cisco// 这个地方不要加空格然后回车，称之为自攻

 

在aaa 服务器上制定路由器为客户端

Network configuration 添加aaa 客户端 其中的key 要对应于在路由器中设置的server的key。用于双向互指。