分享好友 最新资讯首页 最新资讯分类 切换频道
游仙区专业网站建设价格/百度热搜榜今日头条排名
2024-12-29 02:08

当有位大虾,试图通过 console线缆来登录路由器或者交换机,我们怎么保证该用户登录的是安全的,它是合法的管理员,而不是入侵者,有的人说,只需要设置Console接 口登录密码,以及特权模式密码。如果这位大虾,要通过网络访问,如(SSH,Telnet),还需要设置远程登录的密码。这样一来,这位大虾本地,和远程 管理和调试网络设备,需要记忆多个密码。而且你这个密码不一定是安全的。
那为什么要使用AAA,而不是只配置一个密码解决问题了。使用 AAA的好处是什么
1,配置简单,管理方便
2,安全性高,用户名和密码等,可以通过加密之后在网络中传输,防止嗅探和欺骗
3,用户记忆少,操作灵活,AAA可以与其他的技术综合使用,如PPP认证由AAA完成等
而配置密码,只是一个单一的安全性。
如何在Cisco设备上来配置AAA的认证? 
实验设备:
cisco 3640路由器1台,PC一台,Console线缆一根,交叉线一根
实验拓扑

实验过程
第一步:通过console线缆,使用超级终端或者 SecureCRT登录路由器,完成基本配置,同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.1.243,掩码 255.255.255.0
Router#conf t 
Enter configuration commands, one per line.  End with CNTL/Z. 
Router(config)#no ip domain-lookup 
Router(config)#line console 0 
Router(config-line)#no exec-t 
Router(config-line)#logg syn 
Router(config)#host R1 
R1(config)#int e1/0 
R1(config-if)#ip add 192.168.1.244 255.255.255.0 
R1(config-if)#no sh 
R1(config-if)#end 
*Mar  1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console 
R1#ping 192.168 
*Mar  1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up 
*Mar  1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up 
R1#ping 192.168.1.243
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.243, timeout is 2 seconds: 
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms

第二步:启用AAA,并配置登录验证为local
R1#conf t 
Enter configuration commands, one per line.  End with CNTL/Z. 
R1(config)#aaa ?    
  new-model  Enable NEW access control commands and functions.(Disables OLD  commands.) 
R1(config)#aaa new-model 全局启用AAA功能 
R1(config)#aaa authentication login ? 当用户登录时启用AAA认证功能,并且定义认证时调用的名字是默认的”default”,还是自己随便定义1个 
  WORD     Named authentication list. 
  default  The default authentication list. 
R1(config)#aaa authentication login default ? 指定用哪种认证方式 
  enable         Use enable password for authentication. 使用特权密码 
  group          Use Server-group 使用Radius或者Tacacs+协议 
  krb5            Use Kerberos 5 authentication. 使用Kerberos 
  krb5-telnet  Allow logins only if already authenticated via Kerberos V Telnet. 
  line             Use line password for authentication. 使用线路认证方式 
  local           Use local username authentication.  使用本地认证方式,需配置用户名和密码 
  local-case    Use case-sensitive local username authentication. 
  none          NO authentication. 不做认证

配置当用户登录设备时,使用aaa本地登录认证方式,认证调用的名字为default,认证方式为local
R1(config)#aaa authentication login default local
配 置本地登录时,使用的用户名和密码。密码我配置的为经过MD5加密的secret密码。安全性高,在show running-config显示的是密文的。不建议配置明文的用户名和密码如(R1(config)#username admin password admin
密码建议配置复杂一点,要有大小写,特殊字符,和数字,长度大于8位以上。如:P@ssw0rd 
R1(config)#username nousername secret nopassword
第三步:启用认证调试,观察debug 现象
R1#debug aaa authentication 
AAA Authentication debugging is on 
R1#
第四步:如图1所示,在PC上使用telnet,远程登录路由器

第十步:输入正确的用户名和密码
*Jul 16 09:20:29.983: AAA: parse name=tty0 idb type=-1 tty=-1
*Jul 16 09:20:29.983: AAA: name=tty0 flags=0x11 type=4 shelf=0 slot=0 adapter=0 port=0 channel=0
*Jul 16 09:20:29.983: AAA/MEMORY: create_user (0x6503A7E0) user='cisco' ruser='NULL' ds0=0 port='tty0' rem_addr='async' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)
*Jul 16 09:20:29.983: AAA/AUTHEN/START (108160739): port='tty0' list='' action=LOGIN service=ENABLE
*Jul 16 09:20:29.983: AAA/AUTHEN/START (108160739): console enable - default to enable password (if any)
*Jul 16 09:20:29.983: AAA/AUTHEN/START (108160739): Method=ENABLE
R1#
*Jul 16 09:20:29.983: AAA/AUTHEN(108160739): Status=GETPASS
R1#
*Jul 16 09:20:31.039: AAA/AUTHEN/CONT (108160739): continue_login (user='(undef)')
*Jul 16 09:20:31.039: AAA/AUTHEN(108160739): Status=GETPASS
*Jul 16 09:20:31.043: AAA/AUTHEN/CONT (108160739): Method=ENABLE
*Jul 16 09:20:31.075: AAA/AUTHEN(108160739): Status=PASS
*Jul 16 09:20:31.075: AAA/MEMORY: free_user (0x6503A7E0) user='NULL' ruser='NULL' port='tty0' rem_addr='async' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
进入特权模式之后,用户的级别是在15,思考,在用户模式级别是多少?通过什么命令可以查看到你当前所处的模式,是那个级别? 

总结
本地登录认证配置有两种方法
第一种
R1#conf t
R1(config)#aaa new-model 
R1(config)#aaa authentication login default local
R1(config)#username cisco password cisco
R1(config)#enable password cisco

R1(config)#line vty 0 4 
R1(config)#login authentication default

第二种
R1(config)#username cisco secret cisco
R1(config)#aaa new-model 
R1(config)#aaa authentication login CISCO local
R1(config)#line console 0
R1(config-line)#login authentication CISCO
R1(config-line)#line vty 0 4
R1(config-line)#login authentication CISCO 

最新文章
罗永浩新公司准备招人,AI写一篇代码文档只需2步,如何优雅地乱搞Python代码、一大波数学资料来袭!AI前沿论文 | ShowMeAI资讯日报
https://github.com/mintlify/writer 科研进展2022.06.30『计算机视觉』LaserMix for Semi-Supervised LiDAR Semantic Segmentat
百度指数中的搜索指数算法的用法-创新互联
今天就跟大家聊聊有关百度指数中的搜索指数算法的用法,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,
最新奇迹手游排行榜-最新奇迹手游排行榜前十名
在手机游戏持续火热的今天,各类游戏层出不穷,尤其是奇迹类手游更是备受玩家们的青睐。这类游戏通常结合了丰富的剧情、炫酷的技
北京宸园(售楼处)朝阳北京宸园2024最新首页-楼盘详情-百度百科
北京朝阳区北京宸园售楼处电话:400-8844-804【营销中心】朝阳区酒仙桥北京宸园售楼处位置:400-8844-804【官方电话】如有问题欢
毕业设计 深度学习图像搜索算法-图像搜索引擎(源码分享)
今天学长向大家分享一个毕业设计项目 毕业设计 深度学习图像搜索算法-图像搜索引擎(源码分享) 项目运行效果:项目获取
美团搜索排序设计方案
一、线上篇随着业务的发展,美团的商家和团购数正在飞速增长。这一背景下,搜索排序的重要性显得更加突出:排
淘宝竞品sku销量怎么看?作者:小果 时间:2024-12-17 阅读:4823
淘宝竞品SKU销量怎么看与如何分析在电商领域中,了解竞争对手的销售情况是至关重要的。对于淘宝商家而言,掌握竞品的SKU(库存保
运营必备:哪些数据分析工具最有效?
在运营这片充满挑战与机遇的战场上,数据无疑是我们最强大的盟友。作为一名深耕运营领域多年的老兵,我深知数据分析工具对于精准
SEO站内优化八大要素
百度的算法已经悄悄地发生了变化,新的规则对于各位SEO的思维和手法有了更高的要求。百度更喜欢系统化用户体验偏向性的优化,站
深圳宝安seo外包
深圳宝安SEO外包服务,旨在帮助企业在网络环境中提升品牌知名度和吸引潜在客户。通过专业的SEO技术和策略,外包公司能够优化企业