AAA(身份验证、授权和计费)配置(本地)
先决条件 - AAA(身份验证、授权和记帐)
为了提供访问网络资源的安全性,使用了 AAA。 AAA 是一个基于标准的框架,用于控制谁被允许使用网络资源(通过身份验证)、他们被授权做什么(通过授权)并捕获在访问网络时执行的操作(通过记帐)。
AAA 可以通过使用本地数据库(设备的运行配置)或使用外部 ACS 服务器来实现。在这里,我们将仅在本地讨论设备上的 AAA 配置。
AAA 配置 –
现在,在此示例中,我们正在路由器上配置 AAA 身份验证。它包括以下步骤:-
1.在路由器上启用AAA
router1(config)#aaa new-model
AAA 通过命令 aaa new-model 启用。
2.创建默认认证列表——
router1(config)#aaa authentication
login default local
它通过命令 aaa authentication login default local 启用。
在此命令中,default 表示我们将使用默认方法列表,local 表示我们将使用本地数据库。
3. 将列表应用于 vty 行 –
router1(config)#line vty 0 4
router1(config)#login authentication default
router1(config)#exit
创建默认方法列表后,我们必须将其应用到 vty 行,这样每当用户尝试通过 SSH 或 telnet 访问路由器时,用户必须提供配置的凭据。
4. 在路由器上创建本地用户 –
router1(config)#username GeeksforGeeks
privilege 15 password saurabh
这是最重要的一步,因为我们必须创建一个本地数据库,在其中我们提供用户名(如 geeksforgeeks)、权限级别 15 和密码(如 saurabh)。
注意 –我们在 vty 线路上应用的默认方法列表将强制用户(想要访问路由器)在他想要通过 telnet 或 ssh 进行远程访问时输入这些凭据。
5.调试aaa认证——
我们可以通过命令“debug aaa authentication”看到AAA认证信息。
router1#debug aaa authentication
router2# telnet 10_1_1_1
Trying 10_1_1_1 .... Open
User Access Verification
Username: geeksforgeeks
Password:
router1>
现在,我们将从路由器 2(IP 地址 - 10.1.1.2/24)远程登录路由器 1(IP 地址 - 10.1.1.1/24),它会要求提供如图所示的凭据。
一旦用户输入凭据,我们就可以看到身份验证消息。除此之外,如果我们想在请求凭据之前应用横幅,我们可以使用显示的命令应用它。
router1(config)#aaa authentication
banner " welcome to our network"
如果我们想添加用户名和密码提示,我们可以使用如下所示的命令来应用它。
router1(config)#aaa authentication
username-prompt "enter your username"
router1(config)#aaa authentication
password-prompt "enter your password"
此外,如果我们想在用户输入的凭据错误时显示一条消息,那么我们可以使用下面显示的命令来显示。
router1(config)#aaa authentication
fail-message "wrong username or password.
Please try again..."
此外,我们可以限制用户输入错误凭据的尝试次数。第三次尝试输入凭据后,会话将自动终止。
router1(config)#aaa authentication
attempts login 3