配置AAA实验

防火墙技术实验报告

时间：2012-03-13

实验名称： 简单的AAA配置 班 级 网管1001 姓名 陈利剑 实验内容 1、拓扑图： 2、实验设备： 1).用一台PC机桥接到VMware内win server2003服务器； 2).用两台Router c3600，一台做NAS、一台做Client； 3、实验步骤： NAS： NAS(config)#int f1/0 NAS(config-if)#ip add 192.168.139.2 255.255.255.0 NAS(config-if)#no sh NAS(config)#int f0/0 NAS(config-if)#ip add 192.168.2.2 255.255.255.0 NAS(config-if)#no sh NAS(config)#username cisco privilege 15 password cisco

NAS(config)#enable secret cisco NAS(config)#aaa new-model NAS(config)#aaa authen login cisco group tacacs+ local NAS(config)#aaa authen login lhy none NAS(config)#line vty 0 15 NAS(config-line)#login authen cisco NAS(config-line)#exi NAS(config)#line con 0 NAS(config-line)#login authentication lhy NAS(config-line)#exi NAS(config)#tacacs-server host 192.168.139.4 key cisco Client: Client(config)#int f0/0 Client(config-if)#ip add 192.168.2.2 255.255.255.0 Client(config-if)#no sh Client(config)#no ip routing Client(config)#ip default-gateway 192.168.2.2 Client#ping 192.168.139.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.139.2, timeout is 2 seconds: !!!!! 在VMware中配置：

NAS: NAS#test aaa group tacacs+ cisco cisco new-code Trying to authenticate with Servergroup tacacs+ Sending password User successfully authenticated --------认证成功--------- NAS# NAS(config)#aaa authentication enable default group tacacs+ ————将enable加入AAA认证中 NAS(config)#aaa authorization exec default group tacacs+ NAS(config)#aaa accounting exec default start-stop group tacacs+ ————默认审计方式 NAS(config)#aaa accounting commands 15 default start-stop group tacacs+ ————命令审计方式 Client: 将enable加入AAA认证里的验证结果： client#telnet 192.168.139.2 Trying 192.168.139.2 ... Open User Access Verification Username: cisco

Password: NAS>en Password: NAS#conf t NAS(config-if)#end NAS#exi ————验证成功 授权（authorization）验证结果： Client#telnet 192.168.139.2 Trying 192.168.139.2 ... Open Username: cisco Password: NAS# ————直接进入特权模式 NAS#conf t NAS(config)#exi NAS#exi [Connection to 192.168.139.2 closed by foreign host] Client# ————授权成功 审计（accounting）用default验证： Client#telnet 192.168.139.2 Trying 192.168.139.2 ... Open Username: cisco Password: NAS#conf t Enter configuration commands, one per line. End with CNTL/Z. NAS(config)#end NAS#sh running-config NAS#sh version NAS#exi [Connection to 192.168.139.2 closed by foreign host] Client# 审计（accounting）用commands验证： Client#telnet 192.168.139.2 Trying 192.168.139.2 ... Open

Username: cisco Password: NAS#conf t Enter configuration commands, one per line. End with CNTL/Z. NAS(config)#exi NAS#sh running-config NAS#sh version NAS#conf t Enter configuration commands, one per line. End with CNTL/Z. NAS(config)#int lo 0 NAS(config-if)#ip add 2.2.2.2 255.255.255.0 NAS(config-if)#exi NAS(config)#exi NAS#exi 4、实验结果： 审计（accounting）用default验证的结果： 审计（accounting）用commands验证的结果：

5、实验心得： 实验难度大，不容易完成整个实验。AAA的实验命令不熟悉。