AAA测试方案(史上最全,包含Nexus和ASR路由器).doc

AAA测试方案设备列表1. ACS 5.4虚拟机2. Nexus 6001，软件版本6.0(2)N2(3)3. ASR 1002，软件版本Version 03.10.03.S测试配置依据1. 由于Nexus系列交换机的AAA配置与IOS不同，行里的Nexus基线并不太准确，本次测试配置依据为Cisco的官方文档，并参照建行Nexus AAA配置形成。2. ASR1002运行的IOS-XE，AAA配置和IOS出入不大，因此本次测试配置主要依据行内AAA配置形成。测试场景一：使用ACS5.4测试Nexus 6001的AAA测试配置以下是Nexus上的配置和ACS5.4上的配置：测试认证（Authentication）测试项一：使用服务器认证过程测试项当设备能够和ACS服务器通信时，测试能否使用ACS上配置的用户登录设备。预期结果只有ACS上配置的用户才能登录。测试过程1、 测试设备和ACS服务器的连通性2、 当使用ACS上配置的用户，输入的用户名和密码均正确时，认证成功；在设备上查看：在ACS服务器上查看：3、 当使用ACS上配置的用户，输入的用户名正确，密码错误时，认证失败；在设备上查看：在ACS上查看：4、 当使用ACS不存在的用户时，认证失败，并且无法登入；在设备上查看：在ACS上查看：尝试登录：结论当设备能和认证服务器正常通信时，只能使用ACS上配置的用户和密码登录设备。测试项二：服务器失效时认证过程测试项当设备无法和ACS服务器通信时，测试能否使用本地配置用户登录设备。预期结果能使用本地用户登录设备。测试过程1、 测试设备和ACS的连通性2、 使用设备上配置的用户尝试登录设备结论若ACS失效，本地配置的用户能够正常登录设备测试授权（Authorization）测试项一：使用服务器授权过程测试项当设备能够和ACS服务器通信时，测试能否按照ACS上配置的权限授权预期结果不同用户登录设备，会按照ACS上配置的权限授权测试过程1、 测试设备和ACS的连通性2、 使用high_user（ACS上设置权限级别是15，能够使用所有的命令）登录：登录后查看权限：能够查看配置：能够进入配置模式：能够添加和删除配置：3、 使用middle_user（ACS上设置权限级别是10，能够查看配置；仅能对接口进行shutdown/no shutdown操作，不能进行其他类型的配置）登录：登录后查看权限：能够查看配置：能够进入配置模式：能够shutdown/no shutdown端口：不能做其他配置：4、 使用low_user（ACS上设置权限级别是5，不能查看配置；仅能查看某些内容，不能进入配置模式）登录：登录后查看权限：不能够查看配置：能够使用其他查看命令：不能够进入配置模式： 结论当设备能和认证服务器正常通信时，能够使用授权服务器对设备进行授权，测试项二：服务器失效时授权过程测试项当设备无法和ACS服务器通信时，设备使用本地授权。预期结果能使用本地授权测试过程A. 使用本地用户登录，观察现象1、 测试设备和ACS的连通性2、 使用高权限用户登录设备。admin（系统默认最高权限）。登录后查看权限能进入配置模式，并添加删除配置：在测试中，由于设备在执行每一条命令前都尝试和授权服务器连接，因此会有执行命令慢的现象但并不影响命令最终执行：3、 使用低级别用户登录设备。user（设备本地配置用户角色为priv-5，privilege为5）。登录后查看权限能够使用show命令：、不能执行某些命令：B. 使用外部用户登录，观察授权服务器失效前后的现象1、 测试联通性2、 登录后查看权限3、 测试命令执行4、 断开和服务器通信，上面原本可执行的命令不再备本地授权结论若ACS失效，本地授权代替授权服务器，对用户进行授权，但是由于每执行一条命令设备都尝试连接授权服务器，会造成执行命令慢的现象。测试审计（Accounting）测试项当设备能够和ACS服务器通信时，测试服务器上是否有记录设备的操作；本地是否有记录设备的操作。预期结果服务器上会记录设备的所有操作（用户登录、登出、命令执行情况）；本地会记录设备的所有操作（用户登录、登出、命令执行情况）。测试过程1、 测试设备和ACS的连通性2、 清理设备本地的审计内容：3、 使用ACS上配置的用户登录、登出，查看审计服务器上的记录：查看设备本地有记录：4、 使用配置命令，查看审计服务器上的记录：结论当设备能和认证服务器正常通信时，审计内容即在服务器上有，在本地存放审计内容。 测试场景二：使用ACS5.4测试ASR1002的AAA测试配置以下是ASR1002上的配置和ACS5.4上的配置：测试认证（Authentication）测试项一：使用服务器认证过程测试项当设备能够和ACS服务器通信时，测试能否使用ACS上配置的用户登录设备。预期结果只有ACS上配置的用户才能登录。测试过程1、 测试设备和ACS服务器的连通性2、 当使用ACS上配置的用户，输入的用户名和密码均正确时，认证成功；在设备上查看：在ACS服务器上查看：3、 当使用ACS上配置的用户，输入的用户名正确，密码错误时，认证失败；在设备上查看：在ACS上查看：4、 当使用ACS不存在的用户时，认证失败，并且无法登入；在设备上查看：在ACS上查看：尝试登录：结论当设备能和认证服务器正常通信时，只能使用ACS上配置的用户和密码登录设备。测试项二：服务器失效时认证过程测试项当设备无法和ACS服务器通信时，测试能否使用本地配置用户登录设备。预期结果能使用本地用户登录设备。测试过程3、 测试设备和ACS的连通性4、 使用设备上配置的用户尝试登录设备登录成功：结论若ACS失效，本地配置的用户能够正常登录设备测试授权（Authorization）测试项一: 使用服务器授权过程测试项当设备能够和ACS服务器通信时，测试能否按照ACS上配置的权限授权预期结果不同用户登录设备，会按照ACS上配置的权限授权测试过程5、 测试设备和ACS的连通性6、 使用high_user（ACS上设置权限级别是15，能够使用所有的命令）登录：登录后查看权限：能够查看配置（show命令已经被定义为属于级别7）：能够进入配置模式（conf t属于级别15）：能够添加和删除配置（以下命令运行级别被定义为小于15，且在设备配置中对于除级别2、7、15的命令都不审计），命令能够执行，服务器上没有授权内容：7、 使用middle_user（ACS上设置权限级别是10，能够查看设备状态（不能查看配置），不能进入配置模式）登录：登录后查看权限：不能够查看配置(show run被设置为15级，因此无法识别)：不能够进入配置模式(conf t被设置为15级，因此无法识别)：能够show其他内容：8、 使用low_user（ACS上设置权限级别是5，设备上配置show命令级别为7，因此本用户无法使用show命令，能够使用ping命令）登录：登录后无法使用show privilege查看权限，在ACS上显示：不能够查看命令(show命令被设置为7级)：不能够进入配置模式：能够使用其他级别低的命令且服务器授权通过的命令（例如ping）：不能够使用级别低但服务器授权不通过的命令（debug 被设置7）（例如）：结论当设备能和认证服务器正常通信时，能够使用授权服务器对设备进行授权。且授权受到两方面控制：1、 能够执行的命令必须匹配用户权限级别和命令级别。2、 若是设备指定某级别的命令需要授权，则该命令还受到授权服务器的限制。测试项二：服务器失效时授权过程测试项当设备无法和ACS服务器通信时，设备使用本地授权。预期结果能使用本地授权测试过程1、 测试设备和ACS的连通性2、 使用设备上配置的admin（系统默认最高权限）用户登录设备登录后查看权限能进入配置模式，并添加删除配置：在测试中，由于设备在执行需要授权的命令前都尝试和授权服务器连接，因此会有执行命令慢的现象但并不影响命令最终执行：3、 使用设备上配置的user（privilege为10）用户登录设备：登录后查看权限能够使用show（show run除外）命令：、不能执行某些命令：结论若ACS失效，本地授权代替授权服务器，对用户进行授权，但是由于执行需要授权的命令设备都尝试连接授权服务器，会造成执行命令慢的现象。且本地授权的依据主要是用户的privilege和命令的优先级要匹配。测试审计（Accounting）测试项当设备能够和ACS服务器通信时，测试服务器上是否有记录设备的操作预期结果服务