AAA本地授权篇.docVIP

大中型企业中部署应用AAA-本地授权篇 AAA已经在大中型企业中部署应用了，而很多的网友或者工程师对AAA的应用和维护不见得融会贯通了。近日更新的数篇博客，都将以AAA为专题给大家来讲述我在做项目中的实际应用案例。希望兄弟们在茶余饭后过来捧场。 项目需求: 1，某大型客户，从接入层、汇聚层、核心层设备“清一色”全Cisco。公司高管要求对加强设备的安全性，特别要求网络管理人员对设备的维护和操作要求专门人员，专门账号，不同的管理人员登录设备的权限不一样。具体来分析，如果在设备上配置多个管理员账号，而不同的管理人员拥有不同的管理权限，对特殊的人员，限制只能使用Configure terminal 等 需求实现方法： 客户日常管理设备和修改配置文件，大多数都是通过远程Telnet或者SSH方式来完成。配置远程登录用户名和密码 网络拓扑（客户管理人员在办公室需要通过超级终端或者SecureCRTd等软件，来登录），初始配置，就必须先从console登录，配置好远程登录用户名和密码，以后的调试和配置，就不用奔波下楼到机房，插上console线路再调试 实现方法一：（与AAA无关），安全性较低 ? console线登陆设备，查看IP地址，测试设备与客户办公网络可以互通。客户PC，ip地址为192.168.10.1/24 ? Centergt;enable Center# Center#show ip int brief Interface????????????????? IP-Address????? OK? Method Status??????????? ??? Protocol Ethernet0/0??????????????? 12.0.0.1??????? YES manual up??????????????????? up????? Ethernet1/0??????????????? 192.168.10.2??? YES manual up??????????????????? up????? Center#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/60 ms Center# 第二步：配置远程登陆的用户名和密码，这里配置两个不同的用户，并且两个用户的级别是不一样的，要求密码在show running-config中，以密文的方式来显示，防止其他用户窥屏（呵呵，看你后面站的那位在干吗了）即使用不同的用户名和密码，登陆到路由器处于不同的模式下。 Center#conf t Enter configuration commands, one per line.? End with CNTL/Z. Center(config)#username zhanggong secret gongzhanggt; //配置一个普通的用户，该用户的级别是默认的1，用户级别最大是15，但是使用该用户名，远程登陆之后，只能在用户模式下，并且不对该用户泄漏enable密码，该用户只有对路由器的工作状态监视查看。 Center(config)#username nopassword! privilege 15 secret passwordccie //配置一个高级别的用户，该用户的级别设置为15，即使用本用户和密码远程登陆到路由器能直接进入到特权模式。 //进入VTY线路配置模式 Center(config)#line vty 0 15 //配置本地登陆验证方式，即要求输入用户名和密码，和VTY线路没有任何关系。 Center(config-line)#login local Center(config-line)#end Center# *Mar? 1 00:38:38.675: %SYS-5-CONFIG_I: Configured from console by console Center# 第三步：远程登陆测试结果（如图所示1），远程登陆协议：Telnet，端口号：23，主机IP：192.168.10.2，再点击“连接” 第四步：如图2所示，提示输入用户名和密码，我们输入用户名：zhanggong 密码：gongzhanggt; 回车之后，登录成功了但是在用户模式下，可以紧系基本的调试，用户模式下的命令我就不做过多解释了。 如图3所示，用另外一个