close

pic001.png 

說明:建立ACS ( Access Control Server ) 與Router之間的設定,

   今天電腦和設備都和我犯沖,所以這個Show Run是Cater大大的。

   我就盡量的對指令做解釋,有錯再請大家指導。


   這裡除了Router的設定外,要在Windows Server上安裝ACS軟體,

   晚點或有空會再做ACS做截圖,截圖不好搞。


實作條件:

一、RO_A與ACS兩邊設定可以連結

二、當PC對RO_A做Telnet時,用Radius或Tacacs做驗證

三、如果Tacacs不通,就用Local帳號登入

四、user_lv10登入時會有Menu選單

五、IOS Authentication Proxy,使用者要對外做HTTP、FTP、Telnet…等時,

  要先輸入帳號、密碼做驗證。這點做不完全

 

不專業PDF檔下載:點我下載 (載點失效請回報,感謝)

 

RO_A Show Run如下:

Router_A(config)#do show run

Building configuration...


Current configuration : 2261 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router_A

!

boot-start-marker

boot-end-marker

!

AAA之區域

aaa new-model Start aaa

aaa authentication login CONSOLE none Login不用驗證,名稱為CONSOLE

aaa authentication login VTY group tacacs+ local

登入用Tacacs驗證,如果Tacacs不通就用Local帳號登入,名稱為VTY

aaa authorization exec VTY_AUTHO group tacacs+ local exec用Tacacs做設定(不太會翻)

aaa authorization commands 1 VTY_AUTHO_COMMAND group tacacs+

aaa authorization commands 15 VTY_AUTHO_COMMAND group tacacs+

Privilege1、15指令用Tacacs做設定 (不太會翻)

!

aaa session-id common

no network-clock-participate slot 1

no network-clock-participate wic 0

ip cef

!

Auth-proxy之區段

ip auth-proxy max-nodata-conns 3

ip auth-proxy name ACS_PROXY http inactivity-time 60

驗證後60秒閒直就踢?這點不確定,等練習後再改正。

ip admission max-nodata-conns 3

!

User之區段

username coolking password 0 cisco

username user_lv10 privilege 10 password 0 cisco

設定一個user為名稱user_lv10,密碼cisco,Privilege等級為10

username user_lv10 autocommand menu USER_LV10_MENU

user_lv10登入時會去執行USER_LV10_MENU 的Menu

username user_15 privilege 15 password 0 cisco

設定一個user為名稱user_lv15,密碼cisco,Privilege等級為15

!

介面之區段

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface Serial0/0

ip address 10.140.1.2 255.255.255.0

!

interface FastEthernet0/1

ip address 192.168.101.254 255.255.255.0

ip access-group Fa0/1_IN in

ip auth-proxy ACS_PROXY  auth-proxy設定在此介面

duplex auto

speed auto

!

interface Serial0/1

no ip address

shutdown

!

ip forward-protocol nd

!

Ip http之區段

ip http server 啟用ip http

ip http authentication aaa ip http用aaa驗證

no ip http secure-server

!

ACL之區段

ip access-list extended Fa0/1_IN

permit ip any host 192.168.101.254

deny ip any any

設定ACL,只允許到Router,不能到其它地方

!

Meun之區段

menu USER_LV10_MENU title ^C

======== LV_10 Tool =========

^C

menu USER_LV10_MENU prompt ^C

Selection:^C

menu USER_LV10_MENU text 1. Ping ACS Server

menu USER_LV10_MENU command 1. ping 192.168.101.100

menu USER_LV10_MENU text 2. Show Routing Table

menu USER_LV10_MENU command 2. show ip route

menu USER_LV10_MENU text 3. Show Interface

menu USER_LV10_MENU command 3. show ip int brief

menu USER_LV10_MENU text 4. Exit

menu USER_LV10_MENU command 4. exit

此區段小的就不解釋了,自己看應該就了解了

!

Tacacs+和Radius之區段

tacacs-server host 192.168.101.100 key cisco

設定Tacacs Server的IP為192.168.101.100並Key為cisco

radius-server host 192.168.101.100 auth-port 1645 acct-port 1646 key cisco

設定Radius Server的IP為192.168.101.100並Key為cisco,中間的auth-port是自動產生

!

control-plane

!

Line之區段

line con 0

login authentication CONSOLE console登入用aaa的CONSOLE做驗證

line aux 0

line vty 0 4

authorization commands 1 VTY_AUTHO_COMMAND

authorization commands 15 VTY_AUTHO_COMMAND

Telnet進來時,可以用的指令,會用aaa的VTY_AUTHO_COMMAND做驗證

authorization exec VTY_AUTHO

我…不會解釋

login authentication VTY

telnet進來用aaa的VTY做驗證

!

End


備註:

一、設定好測試是否有設定成功可用以下指令

  test aaa group radius/tacacs username userpw legacy

  例:test aaa group radius coolking cisco legacy


Windows Server 下安裝 ACS

一、安裝ACS前請先安裝Java,安裝後再執行ACS的Setup。

pic000.png

二、先確定電腦和Router之間是否Ping的通,再將以下四個選項打勾。

pic001.png

三、帳號要用ACS軟體做管理,還是Windows內建,在此使用ACS軟體來做管理。

pic002.png 

四、正在安裝中。

pic003.png

五、是否要做詳細調整,先略過。

pic004.png

六、嗯…忘了,不需調整。

pic005.png

七、設定密碼,記得至少8碼。

pic006.png

九、快結束囉。

pic007.png

十、安裝後自動開啟網頁,先將127.0.0.1加入信任網站。

pic008.png

十一、你會看到桌面有一個ACS Admin的網頁,按它即可進入ACS軟體。

pic009.png

十二、打開後如下。

pic010.png 

十三、User 設定狀態如下

pic011.png

十四、User_lv10 的 Shell (exec) 設定如下

pic012.png

十五、User_lv15 允許執行的指令如下

pic013.png

十六、RADIUS 和 TACACS 設定清單

pic014.png

十七、Interface Advanced 設定如下

pic015.png

十八、TACACS 設定如下

pic016.png 

 

 

備註:

一、我的ACS網頁開起來按個幾下就給我自動關了,有人有類似的情況嗎?

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 EdisonChang 的頭像
    EdisonChang

    Coolking's CCNP 筆記

    EdisonChang 發表在 痞客邦 留言(1) 人氣()