第一章 网络基础知识 实验23 AAA/SSH 23.1 实验过程 实验任务1: Telnet用户本地认证、授权、计费配置 步骤1: 建立物理连接并运行超级终端 步骤2: 配置相关IP地址并验证互通性 步骤3: 配置telnet 首先要在路由器上开启设备的Telnet服务器功能,请在如下的空格中填写完整的配置命令: [RTA]telnet server enable 接下来在路由器上完成了如下配置: [RTA] user-interface vty 0 4 [RTA-ui-vty0-4] authentication-mode scheme 如上配置命令的含义和作用是指定Telnet用户进行AAA授权认证方式 最后在路由器上创建本地telnet用户:用户名telnet,明文密码aabbcc,并设置用户的服务类型。请在如下的空格中填写完整的配置命令: [RTA] local-user telnet [RTA-luser-telnet] service-type telnet [RTA-luser-telnet] password simple aabbcc 在配置Telnet用户时同时配置如下命令: [RTA -luser- telnet]level 3 该命令的含义是:指定本地用户的授权级别为3,也即管理级别。在某些版本上需使用authorization-attribute level命令替代level命令。 步骤4: 配置AAA 在路由器上配置相关的AAA方案为本地认证、授权和计费,请在如下空格中补充完整的配置命令: [RTA] domain data 如上配置命令的含义是创建名为data的域,telnet用户登录的时候,用户名为telnet@data [RTA -isp-data] authentication login local [RTA -isp-data] authorization login local [RTA -isp-data] accounting login local 步骤5: 验证 在PCA上使用Telnet登录时输入用户名为telnet@data,其结果是登录成功而且登录后具有管理员权限 实验任务2: Telnet用户通过RADIUS服务器认证、授权、计费的应用配置 步骤1: 建立物理连接并运行超级终端 步骤2: 配置相关IP地址并验证互通性 步骤3: 配置telnet 首先要在路由器上开启设备的Telnet服务器功能,请在如下的空格中填写完整的配置命令: [RTA] telnet server enable 接下来在路由器上配置Telnet用户登录采用AAA认证方式,请在如下的空格中补充完整的配置命令: [[RTA] user-interface vty 0 4 [RTA-ui-vty0-4] authentication-mode scheme 步骤4: 配置Radius方案 在RTA上完成如下配置: [RTA] radius scheme rad 该配置命令的含义是创建名为rad的RADIUS方案并进入其视图,在该方案中将指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数 接下来配置主RADIUS认证/授权和计费服务器,其端口号分别为1812、1813,请在如下空格中补充正确的完整的配置命令: [RTA-radius-rad] primary authentication 10.10.10.2 1812 [RTA-radius-rad] primary accounting 10.10.10.2 1813 然后配置指定RADIUS认证/授权报文/计费报文的共享密钥均为expert,请在如下空格中补充正确的完整的配置命令: [RTA-radius-rad] key authentication expert [RTA-radius-rad] key accounting expert 由于通过RADIUS服务器对MSR路由器的telnet用户进行验证、授权和计费要使用私有的RADIUS协议的规程和报文格式进行交互,因此需要配置指定extended类型的RADIUS服务器,请在如下空格中补充正确的配置命令: [RTA-radius-rad] server-type extended 最后在路由器上配置了如下命令: [RTA-radius-rad] user-name-format with-domain 如上配置命令的含义是来设置发送给RADIUS服务器的用户名格式为'userid@isp-name'的格式,也即要求发送给RADIUS服务器的用户名带ISP域名 在路由器上配置NAS的IP地址,也即指定发送RADIUS报文使用的源地址,请在如下的空格中补充正确的配置命令: [RTA-radius-rad] nas-ip 10.10.10.1 步骤5: 配置ISP域的AAA方案 在ISP域aaa下为login用户配置认证、授权和计费方案为RADIUS的方案,方案名为rad,请在如下空格中补充完整的配置命令: [RTA] domain aaa [RTA-isp-aaa] authentication default radius-scheme rad [RTA-isp-aaa] authorization default radius-scheme rad [RTA-isp-aaa] accounting default radius-scheme rad 步骤6: 配置RADIUS服务器 需要在RADIUS服务器上配置TELNET登录用户名,并设定其管理权限,同时还要设置与交换机交互RADIUS报文的共享密钥等,相关RADIUS服务器的配置请参考本书附录。 本实验中,设定Telnet用户名为123,密码为456,管理权限为3,也即具有管理员权限。 步骤7: 验证 在Telnet客户端按照提示输入用户名及密码,其结果是成功登录并具有管理员权限 实验任务3: SSH password认证配置 步骤1: 建立物理连接并初始化路由器配置 步骤2: 配置基本IP地址 将路由器连接PC的接口G0/0配置IP地址192.168.1.1/30,那么这种情况下,PC的IP地址应该正确配置为 192.168.1.2/30 步骤3: 创建本地SSH登录用户 在路由器上创建本地用户client,密码使用明文pwdpwd,如果要确保该用户在通过SSH认证登录后具有管理员的权限,那么该用户的访问命令级别为3,请在下面的空格中补充完整的本地用户配置命令: [RTA] local-user client [RTA -luser-client] password simple pwdpwd [RTA -luser-client] service-type ssh [RTA -luser-client] level 3 步骤4: 配置登录用户界面的AAA认证方式 配置SSH客户端登录用户界面的认证方式为AAA认证,同时设置路由器上远程用户登录协议为SSH,请在下面的空格中补充完整的配置命令: [RTB]user-interface vty 0 4 [RTB-ui-vty0-4]authentication-mode scheme [RTB-ui-vty0-4]protocol inbound ssh 步骤5: 配置生成DSA或RSA密钥 服务器端的DSA或RSA密钥对,用于在密钥和算法协商阶段生成会话ID,以及客户端认证服务器,请在正确的视图下配置服务器端生成DSA以及RSA密钥。 配置生成RSA密钥对: [RTA] public-key local create rsa 配置生成DSA密钥对: [RTA] public-key local create dsa 配置使能SSH服务器功能: [RTA] ssh server enable 步骤6: SSH登录验证 使用SSH client软件PuTTY,打开PuTTY.exe程序,出现所示的客户端配置界面。在'Host Name(or IP address)'文本框中输入SSH服务器的IP地址为192.168.1.1,如下: 然后单击【Open】按钮。按提示输入登录用户名及密码,其结果是: 可以成功登录路由器,登录后具有管理员权限 实验23 AAA/SSH 实验任务一: Telnet用户本地认证、授权、计费配置 实验任务二: Telnet用户通过RADIUS服务器认证、授权、计费的应用配置 实验任务三: SSH password认证 证配置 |
|
来自: 昵称11935121 > 《未命名》