為了學習 Cisco 交換機 Tacacs + 遠程登陸驗證功能, 搭建以下測試環境

目的:

學習 AAA 驗證模式, 設置成以下登陸方式

1) Console 口不需要驗證

2) vty 0 本地驗證

3) vty 1  5   遠程驗證

實現步驟:

一、安裝 Windows Server 2003 sp2

過程省略

二、安裝 Java 環境

jre-7u40-windows-i586.exe

三、安裝/配置 Cicso ACS 4.0

1) 下載并安裝 CiscoSecure ACS 4.0 (步驟略)

2) 配置 AAA Client

點擊

  按鈕 進入 AAA Client 管理界面

點擊 Add Entry 按鈕添加 AAA Clients

填入交換機 IP 地址和 key  (配置交換機時還會用到)后， 點擊Submit + Apply 按鈕

3)配置賬號

點擊

 按鈕進入用戶管理畫面

輸入  User 點擊 Add/Edit 按鈕

輸入  Real Name 和 Password (test) 點擊 Submit 按鈕

四、配置交換機

1) 建立本地賬號

Switch(config)#user cisco password cisco

2) 配置 aaa server 和 key

Switch(config)#aaa new-model

Switch(config)#tacacs-server host 192.168.101.100

Switch(config)#tacacs-server key cisco

3) 配置驗證方案 noverify:不驗證 local 本地驗證 server 遠程驗證

Switch(config)#aaa authentication login noverify none

Switch(config)#aaa authentication login local local

Switch(config)#aaa authentication login server group tacacs+

其中 noverify/local/server 只是一個名稱，可能隨便改

none 表示不驗證, local:表示本地驗證, group tacacs+ 表示 ACS 驗證

4) 分套方案到對應的接口

Switch(config)#line con 0

Switch(config-line)#login authentication noverify

Switch(config-line)#line vty 0

Switch(config-line)#login authentication local

Switch(config-line)#line vty 1 5

Switch(config-line)#login authentication server

Switch(config-line)#end

Switch#wr

Building configuration...

[OK]

五、驗證

1) 終端機主控臺登入不驗證

2) vty 0 登入時本地驗證 (之前已建好賬號 cisco)

3) vty 1 登入時通過 ACS4.0 驗證 (之前已建好賬號 test)

筆記：

1) 在 Network Configuration 界面中, AAA Clients 中配置交機的IP地址，且 key 值要和交換機中的 key 值保持一致。

2) 實際情況下，以下命令可以讓 tacacs 驗證失敗后再進行本地驗證 (估計是為了避免服務器出現故障時無法驗證吧)

Switch(config)#aaa authentication login server group tacacs+ local

3) tacacs + 驗證功能在虛擬機(vmware station 10.0)環境下測試失敗, 所以本文采用實體機

4) 常用的驗證除了 login 外還有 enable (即當開啟特權模式時進行驗證,防止交換機配置被更改), 配置方法相同

5) windows 對應的 java 環境安裝程序版本不一樣, 從 jre-8 開始取消了安全配置中的中安全級別，只有高，和非常高.

遠程登陸 acs 4.0 主控臺時，需要在 java 控制臺中添加信任列表才可以正常訪問