說明:建立ACS ( Access Control Server ) 與Router之間的設定,
今天電腦和設備都和我犯沖,所以這個Show Run是Cater大大的。
我就盡量的對指令做解釋,有錯再請大家指導。
這裡除了Router的設定外,要在Windows Server上安裝ACS軟體,
晚點或有空會再做ACS做截圖,截圖不好搞。
實作條件:
一、RO_A與ACS兩邊設定可以連結
二、當PC對RO_A做Telnet時,用Radius或Tacacs做驗證
三、如果Tacacs不通,就用Local帳號登入
四、user_lv10登入時會有Menu選單
五、IOS Authentication Proxy,使用者要對外做HTTP、FTP、Telnet…等時,
要先輸入帳號、密碼做驗證。這點做不完全
不專業PDF檔下載:點我下載 (載點失效請回報,感謝)
RO_A Show Run如下:
Router_A(config)#do show run
Building configuration...
Current configuration : 2261 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router_A
!
boot-start-marker
boot-end-marker
!
AAA之區域
aaa new-model Start aaa
aaa authentication login CONSOLE none Login不用驗證,名稱為CONSOLE
aaa authentication login VTY group tacacs+ local
登入用Tacacs驗證,如果Tacacs不通就用Local帳號登入,名稱為VTY
aaa authorization exec VTY_AUTHO group tacacs+ local exec用Tacacs做設定(不太會翻)
aaa authorization commands 1 VTY_AUTHO_COMMAND group tacacs+
aaa authorization commands 15 VTY_AUTHO_COMMAND group tacacs+
Privilege1、15指令用Tacacs做設定 (不太會翻)
!
aaa session-id common
no network-clock-participate slot 1
no network-clock-participate wic 0
ip cef
!
Auth-proxy之區段
ip auth-proxy max-nodata-conns 3
ip auth-proxy name ACS_PROXY http inactivity-time 60
驗證後60秒閒直就踢?這點不確定,等練習後再改正。
ip admission max-nodata-conns 3
!
User之區段
username coolking password 0 cisco
username user_lv10 privilege 10 password 0 cisco
設定一個user為名稱user_lv10,密碼cisco,Privilege等級為10
username user_lv10 autocommand menu USER_LV10_MENU
user_lv10登入時會去執行USER_LV10_MENU 的Menu
username user_15 privilege 15 password 0 cisco
設定一個user為名稱user_lv15,密碼cisco,Privilege等級為15
!
介面之區段
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
ip address 10.140.1.2 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.101.254 255.255.255.0
ip access-group Fa0/1_IN in
ip auth-proxy ACS_PROXY auth-proxy設定在此介面
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
ip forward-protocol nd
!
Ip http之區段
ip http server 啟用ip http
ip http authentication aaa ip http用aaa驗證
no ip http secure-server
!
ACL之區段
ip access-list extended Fa0/1_IN
permit ip any host 192.168.101.254
deny ip any any
設定ACL,只允許到Router,不能到其它地方
!
Meun之區段
menu USER_LV10_MENU title ^C
======== LV_10 Tool =========
^C
menu USER_LV10_MENU prompt ^C
Selection:^C
menu USER_LV10_MENU text 1. Ping ACS Server
menu USER_LV10_MENU command 1. ping 192.168.101.100
menu USER_LV10_MENU text 2. Show Routing Table
menu USER_LV10_MENU command 2. show ip route
menu USER_LV10_MENU text 3. Show Interface
menu USER_LV10_MENU command 3. show ip int brief
menu USER_LV10_MENU text 4. Exit
menu USER_LV10_MENU command 4. exit
此區段小的就不解釋了,自己看應該就了解了
!
Tacacs+和Radius之區段
tacacs-server host 192.168.101.100 key cisco
設定Tacacs Server的IP為192.168.101.100並Key為cisco
radius-server host 192.168.101.100 auth-port 1645 acct-port 1646 key cisco
設定Radius Server的IP為192.168.101.100並Key為cisco,中間的auth-port是自動產生
!
control-plane
!
Line之區段
line con 0
login authentication CONSOLE console登入用aaa的CONSOLE做驗證
line aux 0
line vty 0 4
authorization commands 1 VTY_AUTHO_COMMAND
authorization commands 15 VTY_AUTHO_COMMAND
Telnet進來時,可以用的指令,會用aaa的VTY_AUTHO_COMMAND做驗證
authorization exec VTY_AUTHO
我…不會解釋
login authentication VTY
telnet進來用aaa的VTY做驗證
!
End
備註:
一、設定好測試是否有設定成功可用以下指令
test aaa group radius/tacacs username userpw legacy
例:test aaa group radius coolking cisco legacy
Windows Server 下安裝 ACS
一、安裝ACS前請先安裝Java,安裝後再執行ACS的Setup。
二、先確定電腦和Router之間是否Ping的通,再將以下四個選項打勾。
三、帳號要用ACS軟體做管理,還是Windows內建,在此使用ACS軟體來做管理。
四、正在安裝中。
五、是否要做詳細調整,先略過。
六、嗯…忘了,不需調整。
七、設定密碼,記得至少8碼。
九、快結束囉。
十、安裝後自動開啟網頁,先將127.0.0.1加入信任網站。
十一、你會看到桌面有一個ACS Admin的網頁,按它即可進入ACS軟體。
十二、打開後如下。
十三、User 設定狀態如下
十四、User_lv10 的 Shell (exec) 設定如下
十五、User_lv15 允許執行的指令如下
十六、RADIUS 和 TACACS 設定清單
十七、Interface Advanced 設定如下
十八、TACACS 設定如下
備註:
一、我的ACS網頁開起來按個幾下就給我自動關了,有人有類似的情況嗎?