在接入服务器上配置基本AAA-Cisco.PDFVIP

在接入服务器上配置基本 AAA 目录 简介 开始使用前 规则 先决条件 使用的组件 网络图 一般 AAA 配置 启用 AAA 指定外部 AAA 服务器 AAA 服务器配置 配置身份验证 登录认证 PPP 身份验证 配置特权 Exec 授权 网络授权 配置计帐 配置记帐示例 相关信息 简介 本文档介绍了如何使用 Radius 或 TACACS+ 协议在 Cisco 路由器上配置身份验证、授权和记帐 (AAA)。本文档的目标不是涵盖所有的 AAA 功能，而是对主要的命令加以介绍并提供一些示例和指 南。 注意： 在了解 Cisco IOS® 配置前，请阅读关于一般 AAA 配置的部分。如果不这样做，可能导致 配置错误并因此锁定。 开始使用前 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 先决条件 有关 AAA 的概述以及 AAA 命令和选项的完整详细信息，请参阅 IOS 12.2 安全配置指南：验证、 授权和记账。 使用的组件 本文档中的信息基于 Cisco IOS 软件版本 12.1 主线。 本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您是在真实网络上操作，请确保您在使用任何命令前已经了解其潜在影响。 网络图 一般 AAA 配置 启用 AAA 要启用 AAA，需要在全局配置模式下配置 aaa new-model 命令。 注意： 在该命令启用前，其他所有 AAA 命令都是隐藏的。 警告： aaa new-model 命令立即对所有线路和接口（控制台线路 line con 0 除外）应用本地身份验 证。如果启用此命令后向路由器打开了 Telnet 会话（或者在因连接超时而必须重新连接的情况下 ），用户必须使用路由器的本地数据库进行身份验证。为避免锁定路由器的情况，我们建议您在开 始 AAA 配置前先在接入服务器上定义一个用户名和相应的口令。请按如下所示进行操作： Router(config)# username xxx password yyy 提示 ： 在配置 AAA 命令前，先保存您的配置。只有在完成所有 AAA 配置（并对其运行状况感到满 意）后，您才能再次保存配置。这样您就可以（在保存配置之前）通过重新加载路由器从意外的锁 定状况中恢复过来。 指定外部 AAA 服务器 在全局配置模式下，定义与 AAA 一起使用的安全协议（Radius 和 TACACS+）。如果您不想使用 这两种协议，也可以使用路由器上的本地数据库。 如果使用 TACACS+，请发出 tacacs-server host IP address of the AAA server key 命令。 如果使用 Radius，则发出 radius-server host IP address of the AAA server key 命令。 AAA 服务器配置 在 AAA 服务器上，配置以下参数： 接入服务器的名称。 接入服务器用来与 AAA 服务器通信的 IP 地址。注意： 如果两个设备在同一个以太网中，则默 认情况下接入服务器在发送 AAA 数据包时会使用以太网接口上定义的 IP 地址。当路由器有多 个接口（因此有多个地址）时，这个问题就很重要。 在接入服务器中配置的完全一样的密钥 key。注意： 密钥的名称区分大小写。 接入服务器使用的协议（TACACS+ 或 Radius）。 有关用于配置上述参数的具体步骤，请参阅 AAA 服务器文档。如果 AAA 服务器配置有误，从 NAS 发出的 AAA 请求将遭到 AAA 服务器的忽略，并且可能无法连接。 AAA 服务器必须拥有一个接入服务器可到达的 IP 地址（执行 ping 测试可验证连接）。 配置身份验证 身份验证是在允许用户访问网络和网络服务之前先对其进行验证（通过授权进行检验）。 要配置 AAA 身份验证，请执行以下步骤： 1. 首先，（在全局配置模式下）定义包含身份验证方法的命名列表。 2. （在接口配置模式下）将此列表应用于一个或多个接口。 唯一的例外是默认方法列表（命名为“default”的列表）。默认方法列表自动应用于所有接口，但那 些拥有明确定义的命名方法列表的接口除外。定义的方法列表将覆盖默认方法列表。 下面的身份验证示例使用 Radius、登录和点对点协议 (PPP) 身份验证（最常用），解释了方法和 命名列表等概念。在所有示例中，均可使用 TACACS+ 替代 Radius 或本地身份验证。 C