Packet Tracer - Configure AAA Authentication on Cisco Routers

Packet Tracer - 在思科路由器上配置 AAA 认证

地址表

在这里插入图片描述

目标

在R1上配置本地用户账户，并使用本地AAA进行控制台和vty线路的身份验证。
从R1控制台和PC-A客户端验证本地AAA身份验证功能。
配置基于服务器的AAA身份验证，采用TACACS+协议。
从PC-B客户端验证基于服务器的AAA（TACACS+）身份验证。
配置基于服务器的AAA身份验证，采用RADIUS协议。
从PC-C客户端验证基于服务器的AAA（RADIUS）身份验证。

背景/场景

网络拓扑图显示了路由器R1、R2和R3。目前，所有管理安全性都基于enable secret密码。您的任务是配置并测试本地及基于服务器的AAA解决方案。

您将在路由器R1上创建一个本地用户账户，并配置本地AAA以测试控制台和vty登录：

用户账户：Admin1，密码admin1pa55
接下来，将配置路由器R2以支持通过TACACS+协议实现的基于服务器的身份验证。TACACS+服务器已经预先配置了以下信息：
客户端：R2，关键字为tacacspa55
用户账户：Admin2，密码admin2pa55
最后，您将配置路由器R3以支持通过RADIUS协议实现的基于服务器的身份验证。RADIUS服务器已预先配置如下信息：
客户端：R3，关键字为radiuspa55
用户账户：Admin3，密码admin3pa55
此外，路由器还预配置了以下内容：
启用秘密密码：ciscoenpa55
使用MD5认证的OSPF路由协议，密码为：MD5pa55
注意：控制台和vty线路尚未预先配置。

注意：尽管IOS版本15.3使用了更为安全的加密哈希算法SCRYPT，但在Packet Tracer当前支持的IOS版本中仍使用MD5。请始终在您的设备上使用最安全的选项。

第一部分：在R1上配置本地AAA认证以实现控制台访问

步骤1：测试连通性

从PC-A向PC-B执行Ping操作。
从PC-A向PC-C执行Ping操作。
从PC-B向PC-C执行Ping操作。

步骤2：在R1上配置本地用户名

在R1上配置一个名为Admin1的用户名，设置秘密密码为admin1pa55。

R1(config)# username Admin1 secret admin1pa55

步骤3：在R1上为控制台访问配置本地AAA认证

在R1上启用AAA功能，并配置控制台登录时使用本地数据库进行AAA身份验证。

R1(config)# aaa new-model
R1(config)# aaa authentication login default local

步骤4：配置控制台线路使用定义的AAA认证方法

在R1上针对控制台登录启用AAA，并配置其使用默认方法列表进行AAA身份验证。

R1(config)# line console 0
R1(config-line)# login authentication default

步骤5：验证AAA认证方法

使用本地数据库验证用户EXEC登录过程。

通过以上配置后，可以在R1的控制台上用Admin1账户和对应的密码admin1pa55进行登录，验证本地AAA身份验证是否生效。

在这里插入图片描述

第二部分：在R1上配置本地AAA认证以实现vty线路访问

步骤1：配置域名和加密密钥以配合SSH使用
a. 在R1上将ccnasecurity.com设置为域名。
b. 创建一个1024位的RSA加密密钥。

R1(config)#ip domain-name ccnasecurity.com
R1(config)# crypto key generate rsa

R1(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]