一、回顾登录安全配置命令
1.登录特权模式的命令
outer(config)#enable ?
password Assign the privilegedlevel password //明码
secret Assign the privilegedlevel secret //密钥加密
Router(config)#enable passwordlevel ?
<1-15> Level number //代表加密的级别,1级是最低的,15级是最高级别,默认是15级,15级相当于超级管理员,1-14级系统设置了默认的不同级别的管理权限。
2.登录特权模式的实例
(1)配置并登录到级别为12的特权模式
Router(config)#enable secretlevel 12 123a //设置登录权限为12级时的密码;
登录方式:
Router>enable 12 //12是标明登录的权限级别
(2)配置并登录到级别为15的特权模式
Router(config)#enable secretlevel 15 123a //设置登录权限为15级时的密码;
登录的方式1:
Router>enable 15 //15是标明登录的权限级别
登录的方式2:
Router>enable //登录到默认的权限级别(默认是15)
(3)登录到未设置密钥的登录级别
Router>enable 10 //10是标明登录的权限级别(未给该级别设置登录密钥)
结论:在没有未对某个权限级别设置密钥时,登录显示不成功;
3.设置用户名和密钥
Router(config)#username R1secret R1 //设置用户名为R1和密钥为R1
在一个网络设备上可以同时配置多个用户名和密码;在配置用户名和密钥时要注意该设备在网络中所代表的含义。
4.配置控制口和远程登录的密钥
Router(config)#line console 0
Router(config-line)#password R1//第一种常见的配置方法,使用自行配置的密钥进行登录
Router(config-line)#login local//第二种常见的配置方法,使用本地用户名及其密钥进行登录;
Router(config-line)#loginauthentication 权限名//第三种常见的配置方式,使用AAA配置命令进行登录;
注意:三种方式不能够同时在一台网络设备上使用;
5.加密参数说明
R2(config)#enable password ?
0 Specifies an UNENCRYPTED password will follow
7 Specifies a HIDDEN password will follow
LINE The UNENCRYPTED(cleartext) 'enable' password
level Set execlevel password
R2(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
LINE TheUNENCRYPTED (cleartext) 'enable' secret
level Set execlevel password
注意这里:0 5 7 的 含义不同;0 为不加密,5 为MD5加密,7 为Cisco自有加密算法(不牢靠,容易被破解)。
二、AAA的工作原理
AAA是Authentication Authorizationand Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架。AAA以模块方式提供以下服务:
认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+协议或Local(本地)等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。
授权:授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现,这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也可以远程存放在安全服务器上。
记账:记录用户使用网络资源的情况。当AAA记账被启用时,网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。
尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样,AAA提供更高级别的安全保护。
三、拓扑图
四、配置要求
1.完成网络设备的基本配置,包括设备名、用户名和密码、接口的IP地址等;
2.根据拓扑图配置OSPF协议(配置loop 100地址,作为ID号);
3.在R1和R2上实现虚拟网关配置,R2作为192.168.22.0网段的主要网关,同时也作为192.168.33.0网关的备用网关;R3作为192.168.33.0网段的主要网关,同时也作为192.168.22.0网关的备用网关;
4.验证网络的连通性并进行排查错误;
5.配置AAA服务,完成控制口和远程登录的配置;
五、配置过程
1.完成网络设备的基本配置,包括设备名、用户名和密码、接口的IP地址等;注意所有PC机的网关地址均用*.254;
(1)R1的基本配置
Router(config)#hostname R1 //配置设备名
R1(config)#interfaceGigabitEthernet0/0 //进入接口
R1(config-if)#no shutdown //打开接口
R1(config-if)#ip address192.168.11.254 255.255.255.0 //配置接口的IP地址和子网掩码
R1(config-if)#exit //退出接口配置界面
R1(config)#interface Serial0/0/0//进入接口
R1(config-if)#no shutdown //打开接口
R1(config-if)#ip address192.168.13.1 255.255.255.0 //配置接口的IP地址和子网掩码
R1(config-if)#exit //退出接口配置界面
R1(config)#interface Serial0/0/1//进入接口
R1(config-if)#no shutdown //打开接口
R1(config-if)#ip address192.168.12.1 255.255.255.0 //配置接口的IP地址和子网掩码
(2)R2的基本配置
Router(config)#hostname R2 //配置设备名
R2(config)#interface Serial0/0/1//进入接口
R2(config-if)#no shutdown //打开接口
R2(config-if)#ip address192.168.12.2 255.255.255.0 //配置接口的IP地址和子网掩码
R2(config-if)#exit //退出接口配置界面
R2(config)#interface GigabitEthernet0/0//进入接口
R2(config-if)#no shutdown //打开接口
R2(config-if)#ip address192.168.22.252 255.255.255.0 //配置接口的IP地址和子网掩码
R2(config-if)#exit //退出接口配置界面
R2(config)#interfaceGigabitEthernet0/1 //进入接口
R2(config-if)#no shutdown //打开接口
R2(config-if)#ip address192.168.33.252 255.255.255.0 //配置接口的IP地址和子网掩码
(3)R3的基本配置
Router(config)#hostname R3 //配置设备名
R3(config)#interface Serial0/0/0//进入接口
R3(config-if)#no shutdown //打开接口
R3(config-if)#ip address192.168.13.3 255.255.255.0 //配置接口的IP地址和子网掩码
R3(config-if)#exit //退出接口配置界面
R3(config)#interfaceGigabitEthernet0/0 //进入接口
R3(config-if)#no shutdown //打开接口
R3(config-if)#ip address192.168.33.253 255.255.255.0 //配置接口的IP地址和子网掩码
R3(config-if)#exit //退出接口配置界面
R3(config)#interfaceGigabitEthernet0/1 //进入接口
R3(config-if)#no shutdown //打开接口
R3(config-if)#ip address192.168.22.253 255.255.255.0 //配置接口的IP地址和子网掩码
2.根据拓扑图配置OSPF协议(配置loop 100地址,作为ID号);
(1)在R1上配置router-id的地址
R1(config)#int loop 100 //进入接口
R1(config-if)#ip add192.168.100.1 255.255.255.0 //配置接口的IP地址和子网掩码
(2)在R1上查看该设备的直连网段信息
(3)在R1上配置OSPF路由信息
R1(config-if)#router ospf 1 //指定OSPF进程号
R1(config-router)#router-id192.168.100.1 //配置router-id值
R1(config-router)#network192.168.11.0 0.0.0.255 area 11 //声明直连网段
R1(config-router)#network192.168.12.0 0.0.0.255 area 0 //声明直连网段
R1(config-router)#network192.168.13.0 0.0.0.255 area 0 //声明直连网段
(4)在R2上配置router-id的地址
R2(config)#int loop 100 //进入接口
R2(config-if)#ip add192.168.100.2 255.255.255.0 //配置接口的IP地址和子网掩码
(5)在R2上查看该设备的直连网段信息
(6)在R2上配置OSPF路由信息
R2(config-if)#router ospf 2 //指定OSPF进程号
R2(config-router)#router-id192.168.100.2 //配置router-id值
R2(config-router)#network192.168.22.0 0.0.0.255 area 22 //声明直连网段
R2(config-router)#network192.168.33.0 0.0.0.255 area 33 //声明直连网段
R2(config-router)#network192.168.12.0 0.0.0.255 area 0 //声明直连网段
(7)在R3上配置router-id的地址
R3(config)#int loop 100 //进入接口
R3(config-if)#ip add192.168.100.3 255.255.255.0 //配置接口的IP地址和子网掩码
(8)在R3上查看该设备的直连网段信息
(9)在R2上配置OSPF路由信息
R3(config-if)#router ospf 3 //指定OSPF进程号
R3(config-router)#router-id192.168.100.3 //配置router-id值
R3(config-router)#network192.168.33.0 0.0.0.255 area 33 //声明直连网段
R3(config-router)#network192.168.22.0 0.0.0.255 area 22 //声明直连网段
R3(config-router)#network192.168.13.0 0.0.0.255 area 0 //声明直连网段
(10)在R1上查看路由表情况
(11)在R2上查看路由表情况
(12)在R3上查看路由表情况
3.在R1和R2上实现虚拟网关配置,R2作为192.168.22.0网段的主要网关,同时也作为192.168.33.0网关的备用网关;R3作为192.168.33.0网段的主要网关,同时也作为192.168.22.0网关的备用网关。
(1)在R2上实现虚拟网关的配置,实现R2作为192.168.22.0网段的主要网关;
R2(config)#interface gigabitEthernet0/0 //进入接口
R2(config-if)#standby 22 ip192.168.22.254 //设置虚拟网关地址
R2(config-if)#standby 22priority 110 //设置优先级
R2(config-if)#standby 22 preempt //开启抢占
R2(config-if)#standby 22 tracks0/0/1 //设置跟踪接口
R2(config-if)#exit //退出配置平台
(2)在R2上实现虚拟网关的配置,实现R2作为192.168.33.0网段的备用网关;
R2(config)#interfacegigabitEthernet 0/1 //进入接口
R2(config-if)#standby 33 ip192.168.33.254 //设置虚拟网关地址
R2(config-if)#standby 33priority 105 //设置优先级
R2(config-if)#standby 33preempt //开启抢占
R2(config-if)#standby 33 tracks0/0/1 //设置跟踪接口
R2(config-if)#exit //退出配置平台
(3)在R3上实现虚拟网关的配置,实现R2作为192.168.33.0网段的主要网关;
R3(config)#interfacegigabitEthernet 0/0 //进入接口
R3(config-if)#standby 33 ip192.168.33.254 //设置虚拟网关地址
R3(config-if)#standby 33 priority110 //设置优先级
R3(config-if)#standby 33preempt //开启抢占
R3(config-if)#standby 33 tracks0/0/0 //设置跟踪接口
R3(config-if)#exit //退出配置平台
(4)在R3上实现虚拟网关的配置,实现R2作为192.168.22.0网段的备用网关;
R3(config)#interfacegigabitEthernet 0/1 //进入接口
R3(config-if)#standby 22 ip 192.168.22.254 //设置虚拟网关地址
R3(config-if)#standby 22priority 105 //设置优先级
R3(config-if)#standby 22preempt //开启抢占
R3(config-if)#standby 22 tracks0/0/0 //设置跟踪接口
R3(config-if)#exit //退出配置平台
(5)在R2上查看虚拟网关的配置情况
(6)在R3上查看验证虚拟网关的配置情况
(7)在PC11上查看正常情况下路由跟踪情况
(8)在PC22上查看正常情况下路由跟踪情况
(9)假设R3的s0/0/0节点出现故障
R3(config)#interface Serial0/0/0 //进入接口
R3(config-if)#shutdown //关闭接口
(10)在R3上查看虚拟网关的配置情况
(11)在R2上查看虚拟网关的配置情况
(12)在PC11上查看路由跟踪情况
4.网络安全配置-AAA服务的应用【本地验证】
(1)设置本地验证的方式,实现AAA服务
R1(config)#username R1 secret R1//配置用户名和密码,用户和密码必须具有一定的含义
R1(config)#aaa new-model //启用AAA服务
R1(config)#aaa authenticationlogin R1-AAA local //设置采用本地登录的方式验证,R1-AAA是AAA服务的名称
(2)在控制口上应用AAA服务
R1(config)#line console 0 //进入控制口
R1(config-line)#loggingsynchronous //设置光标同步
R1(config-line)#exec-timeout 10//设置系统自动退出的时间
R1(config-line)#loginauthentication R1-AAA //以AAA服务为登录权限
(3)验证控制口的AAA服务
第一步:点击【Terminal】
第二步:设置终端登录方式
第三步:验证登录情况
(4)在远程登录上应用AAA服务
R1(config)#line vty 0 4 //设置远程登录模式
R1(config-line)#loggingsynchronous //设置光标同步
R1(config-line)#exec-timeout 10 //设置设备休眠时间
R1(config-line)#loginauthentication R1-AAA //设置远程登录验证方式
(5)验证远程登录的AAA服务
5.网络安全配置-AAA服务的应用【服务器验证】
(1)配置Radius服务信息
R3(config)#aaa new-model //开启AAA服务
R3(config)#radius-server host192.168.33.100 //配置radius的IP地址
R3(config)#radius-server keycisco //配置与radius通信的KEY
R3(config)#aaa authenticationlogin cisco group radius local //设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入
(2)配置本地登录信息
R3(config)#username admin secretcisco //设置用户名和密码
R3(config)#enable secret cisco//设置进入特权的密码
(3)在远程登录下启用AAA登录验证
R3(config)#line vty 0 4 //设置远程登录模式
R3(config-line)#loggingsynchronous //设置信息同步
R3(config-line)#exec-timeout 10 //设置休眠时间
R3(config-line)#loginauthentication cisco //设置远程登录验证模式
(4)在服务器上启用AAA服务并进行配置
注意:这里填写的信息为与之相连的网络设备的接口IP地址和在设备上配置的用户名和密码。
联系客服