Cisco_ACS--AAA实验(更新).doc

AAA实验一、 实验原理：1. 客户端和边界路由器建立一个连接。2. 路由器和Cisco Secure ACS (server or appliance)通信.3. Cisco Secure ACS 验证远程客户提供的用户名和密码。4. Cisco Secure ACS 验证用户。这个远程客户通过ACS数据信息验证并授权访问网络。二、Cisco Secure ACS（Access control Server） 1产品介绍Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。Cisco Secure ACS 分为Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 两个版本，下表是两个版本所支持的操作系统：版本 所支持的操作系统 Cisco Secure ACS for windows Windows 2000 Server（sp4） Windows 2000 Advanced Server（sp4） Windows Server 2003 标准版 Windows Server 2003 企业版 Cisco Secure ACS for Unix Solaris 2Cisco Secure ACS 安装及基本配置 Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。Cisco Secure ACS for windows 的安装过程如下：步骤1、检查并调整计算机硬件配置，使其满足以下要求：Pentium 550MHz 以上256M 内存250M 以上的剩余硬盘空间步骤2、检查windows 配置，安装Java run time（JRE）。（JRE 的最新版本可以去上下载）建议：Cisco Secure ACS V4.0 使用JRE1.5 版本步骤3、检查服务器到Cisco 设备的网络连接。建议：给主机配置静态地址。步骤4、插入Cisco Secure ACS for windows 光盘，点击“Install”开始安装，然后按照windows 的提示一步步地完成安装。ACS 各导航条配置的选项内容如下：用户设置（User Setup）：查看、创建、编辑、删除用户帐号。组设置（Group Setup）：查看、创建、编辑用户组设置。共享配置组建（Shared Profile Components）：一些可共享的授权组件，它们可以应用与一个或多个用户或用户组。授权组建包括：Network Access Restriction（NAR）、Commandauthorization set 和PIX downloadable ACL。网络配置（Network Configuration）：查看、创建、编辑、删除网络服务器（网络设备，如路由器、交换机等）的参数。系统配置（System Configuration）：启动或停止ACS 服务，创建或删除网络日志，控制ACS数据库同步等。接口配置（Interface Configuration）：配置TACACS+和RADIUS 的选项。管理控制（Administration Control）：查看、创建、编辑、删除ACS 的管理员帐号参数。外部数据库（External User Database）：配置ACS 的外部数据库类型以及未知的用户策略。报告和活动（Report and Activity）：查看TACACS+和RADIUS 的审计报告、Failed Attempts报告以及已经登陆的用户信息等。在线文档（Online Documentation）：提供关于Cisco Secure ACS 的更详细的文档三、实验拓扑四、用GNS3搭建实验拓扑版本：GNS3 0.7 RC11 安装后，在安装目录下建立IOS和temp文件夹，分别保存IOS镜像文件和生成文件。IOS文件夹下的各种型号设备IOS镜像文件：2.软件界面改为中文A:点Edit-Preferences （如下图)选择“简体中文”并点Apply应用。3.首选项设置 A一般选项设置设置调用SecureCRTD:Program FilesSecureCRTSecureCRT.exe /telnet %p以上是调用路径，按自已情况做相应更改即可！工程目录: 路径为你添加的GNS3安装目录下建立的Temp目录Image directory: 路径为你添加的GNS3安装目录下建立的IOS目录BDynamips设置注意运行路径要找到dynamips-wxp.exe程序点击下面的测试，保证Dynamips正常运行C.Capture 设置（可以默认）5. Qemu设置4.手工添加IOS文件第一步：请如下图操作,选“IOS和Hypervisors项注意：新安装的GNS是没有如上图的IOS文件的，需手工添加。1.请在IOS文件”项点浏览图标，找到你放IOS文件的地方，选择相应规格IOS！(比如:C3640)2.选择好后，在“平台”和“型号”选项处做相应选择后，请点下方“保存”按钮，然后点“编辑”，此时会看到“默认RAM”处会显示具体数值。5图标管理选择“编辑”-“图标管理”弹出如下图的窗口1.如上图，在左侧选择“Computer项”，点中间处“”按钮，右侧窗口会出现你刚选择的“Computer项”。2.双击右侧“Computer图标,会出现如下图变化。请按图操作。3.双击后，右上方处”Name“项，请更名为PC4.类型处请选择“Cloud”。5.选好后，点击“Apply，然后再点窗口下方的”OK“，大功告成！下图处出现了我们新加的“PC”图标。6.计算IDLE PC值（此项是核心步骤，否则CPU占用率会长期在100%上。）打开软件操作界面，从左边拽一台已经添加过IOS文件的路由器进来。在路由器上点右键，选“IDLE PC,如下图所示。7 连接实验拓扑用PC连接虚拟机虚拟网卡，VMVare Network Adapte VMnet1 或VMnet8都可。本实验连接的是VMnet1连接好的实验拓扑：路由器R3连接到C1的VMnet1，实际C1就是本地机器上的2003 虚拟机。修改本地机器虚拟网卡VMnet1 IP地址：00打开虚拟机，设置VM设置设置网络连接 选中VMnet1（Host-only）设置2003虚拟机网卡地址： 打开路由器，在f0/0上配置地址，并且ping 通ACS服务器.AAA_client#conf tAAA_client(config)#int f0/0AAA_client(config-if)#ip add AAA_client(config-if)#no shutAAA_client(config-if)#endAAA_client#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:.!Success rate is 80 percent (4/5), round-trip min/avg/max = 20/48/76 m五 、在win2003虚拟机上安装ACSCisco Secure ACS（Access control Server） 1产品介绍Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。Cisco Secure ACS 分为Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 两个版本，下表是两个版本所支持的操作系统：版本 所支持的操作系统 Cisco Secure ACS for windows Windows 2000 Server（sp4） Windows 2000 Advanced Server（sp4） Windows Server 2003 标准版 Windows Server 2003 企业版 Cisco Secure ACS for Unix Solaris 2Cisco Secure ACS 安装及基本配置 Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。Cisco Secure ACS for windows 的安装过程如下：步骤1、检查并调整计算机硬件配置，使其满足以下要求：Pentium 550MHz 以上256M 内存250M 以上的剩余硬盘空间步骤2、检查windows 配置，安装Java run time（JRE）。（JRE 的最新版本可以去上下载）建议：Cisco Secure ACS V4.0 使用JRE1.5 版本步骤3、检查服务器到Cisco 设备的网络连接。建议：给主机配置静态地址。步骤4、插入Cisco Secure ACS for windows 光盘或使用ACS安装文件安装，然后按照windows 的提示一步步地完成安装。ACS 各导航条配置的选项内容如下：用户设置（User Setup）：查看、创建、编辑、删除用户帐号。组设置（Group Setup）：查看、创建、编辑用户组设置。共享配置组建（Shared Profile Components）：一些可共享的授权组件，它们可以应用与一个或多个用户或用户组。授权组建包括：Network Access Restriction（NAR）、Commandauthorization set 和PIX downloadable ACL。网络配置（Network Configuration）：查看、创建、编辑、删除网络服务器（网络设备，如路由器、交换机等）的参数。系统配置（System Configuration）：启动或停止ACS 服务，创建或删除网络日志，控制ACS数据库同步等。接口配置（Interface Configuration）：配置TACACS+和RADIUS 的选项。管理控制（Administration Control）：查看、创建、编辑、删除ACS 的管理员帐号参数。外部数据库（External User Database）：配置ACS 的外部数据库类型以及未知的用户策略。报告和活动（Report and Activity）：查看TACACS+和RADIUS 的审计报告、Failed Attempts报告以及已经登陆的用户信息等。在线文档（Online Documentation）：提供关于Cisco Secure ACS 的更详细的文档六、在AAA_clent路由器配置：AAA 概述通常，访问控制系统由两部分组成：Cisco Secure ACS（AAA Server）和网络访问服务器（AAAClient）。Cisco 设备使用AAA 服务来与Cisco Secure ACS 协同工作以构成一个完整的访问控制系统。AAA 的定义如下：Authentication（认证）：对用户的身份进行验证，决定是否允许该用户访问网络。Authorization（授权）：给不同的用户分配不同的权限，限制每个用户可使用的网络服务。Accounting（统计）：对用户的行为进行审计和计费。AAA 服务支持的安全协议有：TACACS+、RADIUS、Kerberos，我们可以使用RADIUS 和TACACS+协议让Cisco 设备和Cisco Secure ACS 协同工作，下面是一个常见的网络拓扑：Cisco IOS AAA 认证基本配置在Cisco IOS 中配置AAA 认证的过程不算复杂，主要步骤如下：步骤1、全局开启AAA 服务。要使用AAA，就必须使用aaa new-model 全局配置命令启用AAA 服务。AAA_client(config)#aaa new-model#步骤2、配置ACS 服务器的地址和AAA client 密码，其命令格式如AAA(config)#tacacs-server host key cisco # AAA Client 和AAA Server 之间使用TACACS+协议时AAA(config)# radius-server host key ciscoAAA Client 和AAA Server 之间使用RADIUS 协议步骤3、配置Cisco Secure ACS 服务器在ACS 导航条中选择“Network Configuration”，点击右边栏的“Add Entry”进入以下界面：如上图所示，在“AAA Client Hostname”处填入AAA 客户端的名称，在“AAA client IP Address”处填入AAA 客户端的地址，在“key”处填入AAA 客户端的密码，在“authentication Using”处选择该客户端所使用认证协议，最后点击“Submit + Restart”完成服务器设置。在ACS 的导航条中选择“User Setup”进入用户管理界面，在空白处输入新用户名，点击“Add/Edit”添加新用户。用户名：zhang 密码：cisco测试AAA服务器AAA#test aaa group tacacs+ zhang cisco new-codeTrying to authenticate with Servergroup tacacs+Sending passwordUser successfully authenticated测试成功表示，前期准备（1.IOS添加服务器2.ACS添加AAA客户端3.创建用户和密码）完全正确。步骤4、定义认证的方法列表，常见的认证方法主要有：认证方法解释与命令示例enable 使用enable 口令进行身份验证 aaa authentication login name enable local 使用本地数据库进行身份验证 aaa authentication login name local 定义本地数据库的命令为：Username username password password TACACS+ 使用T ATCACS+服务器进行身份验证 aaa authentication login name group tacacs+ RADIUS 使用RADIUS 服务器进行身份验证 aaa authentication login name group radius none 不进行身份验证 aaa authentication login name none 1.配置线下保护策略AAA(config)#aaa authentication login noacs line none#解释：login(登录)认证策略 策略名为noacs 策略为先使用线下密码认证（line）,如果线下没有密码就不认证（none）.策略任务：保障Console/Aux不受影响（1.网络问题2.配置问题），始终可以登陆。调用线下保护策略AAA(config)#line con 0AAA(config-line)#login authentication noacsAAA(config-line)#line aux 0AAA(config-line)#login authentication noacs其他技巧：1.最好本地调试2.不要存盘3.留后门(起多个连接线路)#2.定义named login 认证策略定义login 认证策略方法一AAA(config)#aaa authentication login vty.authen group tacacs+AAA(config)#line vty 0 15AAA(config-line)#login authentication vty.authen #调用认证策略AAA#telnet Trying . OpenUsername: zhangPassword: AAAqConnection to closed by foreign host定义login认证策略方法二（本地备份） 网络不通，服务器down等情况时，本地认证AAA(config)#username localback password localback AAA(config)#aaa authentication login vty.authen group tacacs+ local注意：当服务器Error（不能提供服务，网络故障）才能切换到本地数据库认证定义login 认证策略方法三（调用aaa group ）AAA(config )#aaa authentication login vty.authen group T.Group local3.Default 策略（不建议使用）Default策略全局配置并且自动运用到这个设备所有支持这种类型策略接口（例如：login authentication策略就会被自动运用到console/AUX/VTY/HTTP）.注意：命名的（named）策略优先于Default策略。使用推荐：1.强烈建议使用named策略 2.不清楚named策略运用命令（H.323） 3.不支持named策略（802.1X,auth-proxy）AAA(config)#aaa authentication login default group tacacs+ 步骤5、在线路上加载认证方法列表，使其对某个线路上的认证产生作用。用户可以将不同的方法列表应用于不同的线路，值得注意的是：如果不特别指明，每个线路下面是一个在不同的VTY 线路上应用不同的身份验证方法列表的实例：第一步：启用AAA，配置本地数据库以及ACS 用户数据库：Router(config)#aaa new-modelRouter(config)#username user1 password user1Router(config)#username user2 password user2Router(config)#username user3 password user3在ACS 的导航条中选择“User Setup”进入用户管理界面，在空白处输入新用户名，点击“Add/Edit”添加新用户第二步：配置TACACS+和Radius 服务器的地址和密码：Router(config)#tacacs-server host Router(config)#tacacs-server key ciscoRouter(config)#radius-server host Router(config)#radius-server key cisco有一种配置方法。第三步：配置登陆身份验证的方法列表：Router(config)#aaa authentication login default localRouter(config)#aaa authentication login ex1 group tacacs+Router(config)#aaa authentication login ex2 enableRouter(config)#aaa authentication login ex3 group tacacs+ noneRouter(config)#aaa authentication login ex4 group tacacs+ local第四步：在虚拟终端线路上应用列表：Router(config)#line vty 0Router(config-line)#login authentication ex1Router(config-line)#exitRouter(config)#line vty 1Router(config-line)#login authentication ex2Router(config-line)#exitRouter(config)#line vty 2Router(config-line)#login authentication ex3Router(config-line)#exitRouter(config)#line vty 3Router(config-line)#login authentication ex4Router(config-line)#exit在此列中，我们特别规定了03 号VTY 链路上的身份验证方法。其他没有特别规定线路将采用default 方法进行身份验证。实验二、配置AAA 授权本节将采用以下实例来讲述Cisco IOS 和PIX OS 中AAA 授权的配置方法：1、使用AAA 在Cisco IOS 中对用户的等级进行授权2、使用AAA 在Cisco IOS 中对用户可使用的命令进行授权3、PIX 可下载的ACL1 使用AAA 在Cisco IOS 中对用户的等级进行授权在Cisco IOS 中配置AAA 授权主要步骤如下：步骤1、全局开启AAA 服务。由于“授权”一般是在“认证”之后实施的，因此在配置授权时aaa new-model 通常是打开的。步骤2、配置ACS 服务器的地址和AAA client 密码，此步骤和AAA 认证中的相应步骤类似。步骤3、定义授权方法列表。步骤4、在线路上加载授权方法列表，使其对某个线路上的授权产生作用。下面以在Cisco IOS 中配置EXEC 会话授权为例讲述AAA 授权的基本配置，首先需要介绍一下IOS 命令的权限级别，默认情况下，Cisco IOS 设备使用三种权限级别：等级0：包括5 个命令：disable、enable、exit、help、logout。等级1：用户模式，提示符为，它是用户登陆后的默认级别。等级15：特权模式，提示符为#，它拥有最高的权限。当用户通过VTY 线路登陆到路由器时，默认可以执行等级0 和等级1 的所有命令；如果用户输入enable 命令并且输入了正确的密码（提示符由改为#），则他的权限变为等级15。使用showprivilege 命令可以查看用户当前的权限级别。下面时一个使用AAA 配置EXEC 会话的全过程：第一步：启用AAA，配置本地数据库，为不同的用户设置不同的权限Router(config)#aaa new-modelRouter(config)#username user1 privilege 1 password user1Router(config)#username user2 privilege 7 password user2Router(config)#username user3 privilege 15 password user3第二步：配置EXEC 会话授权的方法Router(config)#aaa authorization exec cisco local第三步：在虚拟终端线路上应用授权Router(config)#line vty 0 4Router(config-line)#authorization exec ciscoRouter(config)#username user1 privilege 1 password user1Router(config)#username user2 privilege 7 password user2Router(config)#username user3 privilege 15 password user3第二步：配置EXEC 会话授权的方法Router(config)#aaa authorization exec cisco local第三步：在虚拟终端线路上应用授权Router(config)#line vty 0 4Router(config-line)#authorization exec cisco用户还可以对Cisco CLI 的命令权限级别进行修改，例如：clear line 命令的默认级别为15，但是我们可以使用privilege exec 命令将其权限修改为级别7。Router(config)# privilege exec level 7 clear line通过以上设置，如果用户使用user2 进行登陆的话，他就可以在不进入特权模式的情况下直接使用clear line 命令。2 使用AAA 在Cisco IOS 中对用户可使用的命令进行授权Cisco Secure ACS 支持IOS 命令的授权，它可以限制管理用户所能够使用的命令以及命令参数。下面，我们使用一个示例来说明如何配置IOS 命令的授权。如上图所示，管理员希望使用ACS 实现以下功能：普通管理员（等级15）只能使用“show ip route”、“show interface”命令查看设备的基本信息，并且无法进入配置模式对设备的配置进行修改；超级管理员（等级15）可以使用所有命令。第一步：在IOS 设备上启动AAA，并且配置AAA 认证（授权之前必须先通过认证）。Router(config)# aaa new-modelRouter(config)# username cisco password ciscoRouter(config)# tacacs-server host key ciscoRouter(config)# aaa authentication login default group tacacs+ local第二步：在ACS 管理页面上点击“Network Configuration”，添加一个AAA client，地址为，key 为cisco，协议使用TACACS +，最后点击“Submit + Restart”完成设置。图 添加AAA 客户端第三步：点击“group setup”，将“group 1”重命名为“normal”，将“group 2”重命名为“super”。第四步：点击“user setup”添加用户test1 和test2，其中test1 属于“normal”组，test2属于“super”组。图 将用户分配到相应的组。第五步：在IOS 设备上配置命令授权。Router(config)# aaa authorization exec default group tacacs+ localRouter(config)# aaa authorization commands 1 default group tacacs+ none！对等级1 的命令进行授权Router(config)# aaa authorization commands 15 default group tacacs+ none！对等级15 的命令进行授权第六步：在Cisco Secure ACS 的“group setup”中按照要求设置组的权限。点击“group setup”，选择“normal”组，点击“Edit Settings”如上图所示，在TACACS +选项组中选择“shell（exec）”，并且将“privilege Level”设置为15。如上图所示，在“Shell Command Authorization Set”中设置该组所能执行的命令以及参数，最后点击“Submit + Restart”。“super”组的权限设置和“normal”组基本类似，唯独不同的就是“Shell CommandAuthorization Set”部分，下图显示了normal 组的“Shell Command Authorization Set”设置。第七步：测试。在远程管理PC 上telnet 进行测试，当使用test2 帐号登陆时，用户可以执行所有命令，当使用test1 帐号登陆时，执行命令的界面如下：从输出中我们可以看到，test1 用户只能执行“show ip route”和“show interface”命令，当执行其他命令时，IOS 会提示“Command authorization failed.”。实验三、Cisco IOS 认证代理：认证代理是Cisco IOS 12.3 防火墙特性集中的一个功能，它可以在用户访问Internet 时对用户进行认证和授权。下图就是一个使用IOS 的认证代理功能控制用户访问Internet 的例子。用GNS3搭建的实验拓扑：注意：选择可以做安全实验的IOS版本。C1 装有ACS的2003 虚拟机(连接VMnet)，C2连接真机(连接loopback)。图中的 为 Cisco Secure ACS 服务器，路由器使用Tacacs+协议与服务器通信。当用户输入正确用户名和密码后，路由器从ACS 上获取用户的访问配置文件，并且加入到相应的访问控制列表中。下面列出主要的实现步骤：第一步，启动AAA，设置认证和授权方法，并且配置Tacacs+服务器的参数。Router(config)# aaa new-modelRouter(config)# aaa authentication login default group tacacs+Router(config)# aaa authorization auth-proxy default group tacacs+Router(config)# tacacs-server host 0 key cisco第二步，在ACS 上将路由器设置为AAA client。在ACS 导航栏中点击“Network Configuration”，在AAA client 中点击“Add Entry”添加AAA 客户端，如下图所示：图 将路由器设置为AAA client在ACS 导航栏中点击User setup ,Add 用户zhang ,密码superman .Router#test aaa group tacacs+ zhang superman new-codeTrying to authenticate with Servergroup tacacs+Sending passwordUser successfully authenticated测试成功表示，前期准备（1.IOS添加服务器2.ACS添加AAA客户端3.创建用户和密码）完全正确。第三步，在ACS 上配置代理服务。在ACS 导航栏中点击“Interface Configuration”，点击“Tacacs +（Cisco IOS）”进入以下界面：在new Services 中添加一个新的服务，名称为“auth-proxy”，如上图所示。第四步，在ACS 中添加用户，并且将用户分配到相应的组中。第五步，配置用户授权文件。在ACS 导航栏中点击“Group Setup”，选中相应的组，点击“Edit Settings”，将滚动菜单下拉到以下界面：如上图所示，选中auth-proxy 和Custom Attributes 复选框，在Custom Attributes 的文本框中输入该组用户的授权文件。用户授权文件其实就是将来路由器要加载的ACL，每条语句使用proxyacl#n 的形式来表示，并且只能包含permit 语句。路由器下载授权文件后，它会自动将每条语句中的源地址（any）替换成用户的源IP 地址。下面是一个授权文件的实例：proxyacl#1=permit tcp any any eq wwwproxyacl#2=permit tcp any any eq 20proxyacl#3=permit tcp any any eq 21priv-lvl=15注意授权文件的最后一行必须以priv-lvl=15 结尾。第六步，在路由器上定义进站访问控制列表，只允许到路由器的AAA 流量。Router(config)#access-list 101 permit tcp host eq tacacs host 00Router(config)#access-list 101 deny ip any anyRouter(config)#interface fa0/0Router(config-if)#ip access-group 101 in使用show access-list 检查ACL：Router#sh access-listsExtended IP access list 101 10 permit tcp host eq tacacs host 00 20 deny ip any any (18 matches)第七步，打开路由器的HTTP 服务器。Router(config)#ip http serverRouter(config)#ip http authentication aaa第八步，配置认证代理规则。Router(config)# ip auth-proxy name cisco http Router(config)# interface fa0/1Router(config-if)# ip auth-proxy ciscoRouter(config-if)# exit第九步，测试。在路由器上创建loopback 0 接口：Router(config)#int loopback 0Router(config-if)#ip add #配置地址，模拟外网服务器首先，在内网主机PC 0上ping外网服务器 C:Documents and SettingsAdministratorping Pinging with 32 bytes of data:Reply from : bytes=32 time=89ms TTL=255Reply from : bytes=32 time=70ms TTL=255Reply from : bytes=32 time=85ms TTL=255Reply from : bytes=32 time=123ms TTL=255Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in mil