如何使用CISCO ACS认证用户身份？

发布时间:2019-06-11 栏目：干货分享浏览：次

一、基本的设备管理

设备在上架以后，一般会配置远程访问方便管理员调试设备，先看两个最基本的管理方式。

二、通过Telnet管理设备

拓扑如下，VMnet16中有一台ACS5.2设备（Cisco的老产品，现在已由ISE取代，这里为了实验演示采用ACS5.2）。在R1上配置telnet远程访问。在R2上测试。

##IP配置略

1 
2 R1(config)#line vty 0 4 \\进入虚拟线路vty0～4配置
3 R1(config-line)#password cisco \\配置登录密码为Cisco
4 
5 ##在R2上测试
6 R2#telnet 172.16.1.254
7 Trying 172.16.1.254 ... Open
8 
9 
10 User Access Verification
11 
12 Password: 
13 R1>enable
14 % No password set \\由于没有设置enable密码，所以无法进入特权模式
15 R1>
16 
17 ##在R1上配置enable密码
18 R1(config)#enable password cisco \\使用明文的方式存储密码 可以使用show run命令看到
19 R1#show run | in enable password
20 enable password cisco
21 
22 ##这里推荐使用密文的方式存储密码。
23 R1(config)#no enable password cisco \\将之前配置的enable密码去掉
24 R1(config)#enable secret cisco  \\使用密文的方式存储密码
25 R1(config)#do show run | in enable  
26 enable secret 5 $1$3/N0$wqldLLB3LOtZd0DDhfHpj/ \\可以发现这边的密码已经看不到原文了
27 R1(config)#

通过SSH管理设备

以上是Telnet方式管理设备的基本配置，如果做了这个配置，只要telnet客户端和telnet服务器之间的网络能够连通，就可以直接在客户端上使用telnet命令远程管理设备。但是这种方式是明文的。所有的内容都可以被数据包分析软件截获。例如Wireshark。

这样一来网络安全就无法保障了。如果要保障数据的安全性，可以使用SSH的方式登录。

##在R1上配置SSH
1

2 R1(config)#ip domain name cisco \\随便设置一个域名
3 R1(config)#crypto key gen rsa \\生成ssh需要用到的key
4 The name for the keys will be: R1.cisco
5 Choose the size of the key modulus in the range of 360 to 4096 for your
6  General Purpose Keys. Choosing a key modulus greater than 512 may take
7  a few minutes.
8
9 How many bits in the modulus [512]: \\直接回车 这里是key的长度 默认512
10 % Generating 512 bit RSA keys, keys will be non-exportable...
11 [OK] (elapsed time was 1 seconds)
12 
13 R1(config)#
14 *May 24 01:28:36.150:  RSA key size needs to be atleast 768 bits for ssh version 2 \\如果直接回车 会提示 ssh 版本2 需要至少768位的密钥长度 所以这里可以更改一下
15 R1(config)#crypto key gen rsa
16 % You already have RSA keys defined named R1.cisco.
17 % Do you really want to replace them? [yes/no]: yes
18 Choose the size of the key modulus in the range of 360 to 4096 for your
19  General Purpose Keys. Choosing a key modulus greater than 512 may take
20  a few minutes.
21
22 How many bits in the modulus [512]: 768
23 % Generating 768 bit RSA keys, keys will be non-exportable...
24 [OK] (elapsed time was 0 seconds)
25
26 R1(config)#
27 *May 24 01:31:50.641: %SSH-5-ENABLED: SSH 1.99 has been enabled
28 R1(config)#ip ssh version 2 \\将SSH的版本设为V2
29 R1(config)#line vty 0 4 \\进入远程连接的VTY接口
30 R1(config-line)#transp in ssh \\设置远程连接的协议只能是SSH
31 R1(config)#username cisco privilege 0 password cisco \\在服务器上创建一个用户，这里privilege如果不是0，进入时直接就是特权模式，不需要输入特权密码。为了安全起见 将privilege设为0.
32
33 ##在R2上测试
34 R2#ssh -l cisco 172.16.1.254
35 R1>en
36 Password: 
37 R1#

可以看到再进行抓包就抓不到了。

通过AAA管理设备

AAA是什么

Authentication（认证）

对用户的身份进行认证。例如通过用户名和密码，指纹等。

Authorization（授权）

授权用户能够使用的命令

授权用户访问的资源

授权用户获得的信息

主要是在用户都有效的情况下区分普通用户和特权用户

Accounting（审计）

记录用户做了什么事情。类似于生活中的摄像头。

什么情况下使用AAA

在网络特别简单，用户比较少的情况下可以用本地账号认证，不需要AAA。

在有较多NAS（Network Access Server）时。

在登录管理的设备较多的时候。

VPN拨入的时候

Client和NAS可能会用到例如ssh，telnet等协议

还有拨入服务例如 ipsec vpn，pppoe等。

那么在NAS服务器需要做身份验证的时候，就可以找AAA服务器做认证、授权和审计。AAA服务器和NAS服务器之间的通讯使用的是RADIUS或者TACACS+。

AAA的配置

Cisco路由器的AAA配置分为以下几步：

在路由器上指定AAA服务器

在AAA服务器上指定AAA客户端（路由器或者其他网络设备）

##先在R1上配置线下保护策略

1 R1(config)#aaa new-model \\开启AAA
2 R1(config)#aaa authentication login noacs line none 
3 ##解释：
4 login：登录认证策略
5 noacs：策略名字叫noacs
6 策略为先使用线下密码认证（line），如果没有线下密码就不认证
7 该策略的作用是，在网络或者配置出现问题时，Console口始终是可以正常使用的
8
9 ##然后再调用线下策略
10 R1(config)#line con 0
11 R1(config-line)#login authe noacs \\登录策略使用noacs
12 R1(config-line)#password cisco

在配置完线下保护策略以后，就可以指定AAA服务器了。

AAA服务器有两种指定方法

##AAA服务器指定方法一

1 R1(config)#tacacs server ACS
2 R1(config-server-tacacs)#address ipv4 192.168.2.233
3 R1(config-server-tacacs)#key cisco
4 R1(config-server-tacacs)#exit
5
6 ##AAA服务器指定方法二
7 R1(config)#aaa group server tacacs+ T.group
8 R1(config-sg-tacacs+)#server-private 192.168.2.233 key cisco
9
10 ##随便用哪个都行

ACS服务器基本配置

接下来在ACS服务器上添加AAA客户端

随便写个设备名

指定AAA客户端的IP地址

将tacacs+打勾

配置共享密码cisco

提交 submit

然后在ACS服务器上添加用户组和用户

随便添加一个组

再添加一个用户

随便写个用户名

选择用户组点select

设置密码

设置enable密码

设置完用户以后就可以在R1上看看效果了

1 R1#test aaa group T.group acsuser aptx4869 new-code \\测试一下AAA服务器

2 Sending password
3 User successfully authenticated \\测试成功
4
5 USER ATTRIBUTES
6
7 username             0   "acsuser"
8 reply-message        0   "password: "
9
10 ##然后就可以开始配置AAA的策略了
11 R1(config)#aaa authentication login AAA group T.group \\创建一个登录认证用的AAA策略。叫AAA。送到T.group这个AAA认证组。
12
13 R1(config)#line vty 0 4 
14 R1(config-line)#login authe AAA \\登录使用AAA认证策略进行认证。
15 R2#ssh -l acsuser 172.16.1.254
16 password: 
17 R1>en
18 Password: 
19 R1#