CCNAS_Chp3_PTActA_AAA实验指导二

实验二使用AAA和RADIUS保护管理性访问(第三章)CCNAS_Chp3_PTActA_AAA中文实验指导地址表DeviceInterfaceIPAddressSubnetMaskR1Fa0/0192.168.1.1255.255.255.0S0/0/010.1.1.2255.255.255.252R2S0/0/010.1.1.1255.255.255.252Fa0/0192.168.2.1255.255.255.0S0/0/110.2.2.1255.255.255.252R3S0/0/110.2.2.2255.255.255.252Fa0/0192.168.3.1255.255.255.0TACACS+ServerNIC192.168.2.2255.255.255.0RADIUSServerNIC192.168.3.2255.255.255.0PC-ANIC192.168.1.3255.255.255.0PC-BNIC192.168.2.3255.255.255.0PC-CNIC192.168.3.3255.255.255.0实验目标：在R1上配置本地帐户，在控制台和VTY终端使用该本地帐户进行认证。从R1控制台、PC-A客户端进行本地AAA认证用TACACS+配置基于服务器的AAA认证从PC-B验证基于服务器的AAA认证用RADIUS配置基于服务器的AAA认证从PC-C验证基于服务器的AAA认证简介网络拓扑图如左图，有3个路由器R1,R2,R3。本实验中，所有监管安全均建立在已知使能加密密码的基础。本实验的任务是配置和测试本地认证。本实验中：1.创建一个本地用户的帐户，在路由器R1上配置本地AAA，并测试控制台和虚拟终端的AAA。用户帐户：Admin1密码:admin1pa552.配置路由器R2为：基于服务器的AAA认证，使用TACACS+协议。TACACS+服务器已预配置了：客户端：R2，使用密码tacacspa55用户帐户：Admin2密码：admin2pa553.配置路由器R3为：基于服务器的AAA认证，使用RADIUS协议。RADIUS服务器已预配置了：客户端：R3，使用密码radiuspa55用户帐户：Admin3密码：admin3pa55另外，所有路由器也已预设置为：Enable密码：ciscoenpa55RIP版本：2注意：控制台模式和VTY行模式未预配置。任务1：配置本地AAA认证，控制访问R1步骤1：测试连接性：PingfromPC-AtoPC-BPingfromPC-AtoPC-CPingfromPC-BtoPC-C方法：进入主机PC-A的命令行窗口，输入：ping192.168.2.3(应该可以测通)ping192.168.3.3(应该可以测通)进入主机PC-B的命令行窗口，输入：ping192.168.3.3(应该可以测通)步骤2：配置R1，建立一个本地用户创建一个用户Admin1,密码为admin1pa55方法：进入路由器R1的CLI界面，输入：R1(config)#usernameAdmin1passwordadmin1pa55步骤3：配置R1上全局配置模式下的本地AAA认证启用AAA认证，配置AAA参数：全局配置模式下的登录认证方法。方法：R1(config)#aaanew-modelR1(config)#aaaauthenticationlogindefaultlocal步骤4：用已定义的AAA认证方法，设置行配置模式下的登录认证启用AAA认证，配置AAA参数：行配置模式下的登录认证方法为default认证方法列表方法：R1(config)#lineconsole0R1(config-line)#loginauthenticationdefault步骤5：检验AAA认证模式用本地路由器数据库，验证用户执行登录。方法：R1#exit退出enable模式，屏幕显示：R1con0isnowavailablePressRETURNtogetstarted.UserAccessVerificationUsername:Admin1Password:admin1pa55R1enablePassword:ciscoenpa55R1#conft任务2：为R1上的VTY端口配置本地AAA认证步骤1：为R1上的VTY端口，配置AAA认证方法列表用本地AAA，建立一个名为TELNET-LOGIN认证方法列表。方法：R1(config)#aaaauthenticationloginTELNET-LOGINlocal步骤2：用已定义的AAA认证模式，配置VTY用已定义的AAA认证模式配置VTY方法：R1(config)#linevty04R1(config-line)#loginauthenticationTELNET-LOGIN步骤3：验证AAA认证模式检验Telnet配置，方法：从PC-A的命令提示符Telnet到R1。方法：单击PC-ADeskTop选项卡CommandPrompt按钮：PCtelnet192.168.1.1用户名：Admin1密码：admin1pa55任务3：用TACACS+协议，在R2上配置基于服务器的AAA认证步骤1：配置备份本地数据库入口，名Admin为备份目的，建立一个本地用户，名Admin，密码adminpa55方法：R2(config)#usernameAdminpasswordadminpa55步骤2：验证TACACS+服务器配置选择TACACS+服务器，在其Config选项卡，单击AAA，注意，有一个R2网络配置子窗口，和一个Admin2用户设置子窗口。步骤3：在R2上配置：指定TACACS+服务器为认证服务器在R2上，配置AAATACACS服务器的IP地址和加密密钥。方法：R2(config)#tacacs-serverhost192.168.2.2R2(config)#tacacs-serverkeytacacspa55步骤4：配置R2上全局配置模式下的AAA登录认证在R2上启动AAA，配置所有登录认证都使用AAATACACS+服务器，及如果不可用，使用本地数据库登录。方法：R2(config)#aaanew-modelR2(config)#aaaauthenticationlogindefaultgrouptacacs+local步骤5：用已定义的AAA认证方法(即上一步中定义的)，设置行配置模式下的登录认证用default默认认证方法列表，设置行配置模式下的登录认证。方法：R2(config)#lineconsole0R2(config-line)#loginauthenticationdefault步骤6：验证AAA认证模式验证用户登录认证，用AAATACACS+服务器执行认证。方法：在PC-B的命令提示符下：PCtelnet192.168.2.1Trying192.168.2.1...Open************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin2Password:admin2pa55任务4：在R3上配置一个RADIUSAAA认证服务器步骤1：配置备份本地数据库入口，名Admin为备份目的，建立一个本地用户，名Admin，密码adminpa55方法：R3(config)#usernameAdminpasswordadminpa55步骤2：验证RADIUS服务器配置选中RADIUS服务器。从Config选项卡，点击AAA按钮，注意，有一个已配置好的R3网络配置子窗口，和一个Admin3用户设置子窗口。步骤3：在R3上配置：指定RADIUS服务器为认证服务器。在R3上，配置AAARADIUS服务器的IP地址和加密密钥。方法：R3(config)#radius-serverhost192.168.3.2R3(config)#radius-serverkeyradiuspa55步骤4：配置R3上全局配置模式下的AAA登录认证在R3上启动AAA，配置所有登录认证都使用AAARADIUS服务器，及如果不可用，使用本地数据库登录。方法：R2(config)#aaanew-modelR2(config)#aaaauthenticationlogindefaultgroupradiuslocal步骤5：用已定义的AAA认证方法(即上一步中定义的)，设置行配置模式下的登录认证用default默认认证方法列表，设置行配置模式下的登录认证。方法：R2(config)#lineconsole0R2(config-line)#loginauthenticationdefault步骤6：验证AAA认证模式验证用户登录认证，用AAARADIUS服务器执行认证。方法：在PC-C的命令提示符下：(用Admin也行，用Admin3也行)PCtelnet192.168.3.1Trying192.168.2.1...Open************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin3Password:admin3pa55