CISCO AAA命令详解

ACS访问原理ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。

这其中包括：•Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]）•Cisco PIX防火墙（还有ASA/FWSM ）•Cisco VPN 3000系列集中器不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。

运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案：•启用权利(Enable priviledges)•AAA命令授权Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。

在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。

为改变缺省特权级别，您必须运行启用命令，提供用户的启用口令和请求的新特权级别。

如果口令正确，即可授予新特权级别。

请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。

这些等级缺省是有命令集的，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。

其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。

缺省级别：特权级别说明0 包括disable, enable, exit, help和logout命令1 包括router>提示值时的所有用户级命令15 包括router#提示值时的所有启用级命令可修改这些级别并定义新级别：enable password level 10 pswd10privilege exec level 10 clear lineprivilege exec level 10 debug ppp chapprivilege exec level 10 debug ppp errorprivilege exec level 10 debug ppp negotiation每个设备上都有静态本地口令与特权级别相关联，这样有一个重要的内在缺陷：每个用户的启用口令必须在用户需访问的每个设备上进行配置。

思科路由器命令大全(完整版)思科路由器命令大全(完整版)本文档旨在提供思科路由器命令的详细说明和使用指南，包括路由器配置、网络管理、安全性设置等内容。

每个章节都详细介绍了不同的命令和参数，以帮助用户更好地理解和使用思科路由器。

1：路由器基本配置1.1 主机名设置1.2 用户名和密码设置1.3 IP 地址和子网掩码配置1.4 默认网关配置2：接口配置2.1 以太网接口配置2.2 串行接口配置2.3 子接口配置2.4 虚拟局域网 (VLAN) 配置3：路由协议配置3.1 静态路由配置3.2 动态路由配置3.2.1 RIP 配置3.2.2 OSPF 配置3.2.3 BGP 配置4：网络管理4.1 SNMP 配置4.2 NetFlow 配置4.3 Syslog 配置4.4 路由器时间设置5：安全性配置5.1 访问控制列表 (ACL) 配置5.2 VPN 配置5.3 防火墙配置5.4 AAA 配置附件：本文档附带的附件包括示例配置文件、命令输出示例等，以帮助读者更好地理解和应用文档中的内容。

法律名词及注释：本文档所涉及的法律名词及其注释如下：1：主机名：指路由器的主机标识名称，用于在网络中识别路由器。

2：用户名和密码：用于登录和管理路由器的凭证信息。

3： IP 地址：网络协议中用于唯一标识设备的数字地址。

4：子网掩码：用于标识 IP 地址中网络部分和主机部分的分界线。

5：默认网关：用于转发网络流量的下一跳路由器。

6：以太网接口：用于连接局域网设备的物理接口。

7：串行接口：用于连接广域网设备的物理接口。

8：子接口：在一个物理接口上创建多个逻辑接口，用于实现VLAN 分隔等功能。

9：虚拟局域网 (VLAN)：用于将局域网划分成多个逻辑网络的技术。

10：静态路由：手动配置的路由表项，用于指定数据包传输的路径。

11：动态路由：根据路由协议动态学习和更新的路由表项，用于自动路由选择。

12： RIP：路由信息协议，一种距离向量路由协议。

如何在Cisco设备上来配置AAA的认证?实验设备:cisco 3640路由器1台，PC一台，Console线缆一根，交叉线一根实验拓扑：实验过程：第一步：通过console线缆，使用超级终端或者SecureCRT登录路由器，完成基本配置，同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1，掩码255.255.255.0 Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#no ip domain-lookupRouter(config)#line console 0Router(config-line)#no exec-tRouter(config-line)#logg syn3640(config)#host R3640R3640(config)#int e1/0R3640(config-if)#ip add 192.168.10.3 255.255.255.0R3640(config-if)#no shR3640(config-if)#end*Mar 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by consoleR3640#ping 192.168*Mar 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up *Mar 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to upR3640#ping 192.168.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms第二步：启用AAA，并配置登录验证为localR3640#conf tEnter configuration commands, one per line. End with CNTL/Z.R3640(config)#aaa ?new-model Enable NEW access control commands and functions.(Disables OLDcommands.)R3640(config)#aaa new-model全局启用AAA功能R3640(config)#aaa authentication login ?当用户登录时启用AAA认证功能，并且定义认证时调用的名字是默认的”default”,还是自己随便定义1个WORD Named authentication list.default The default authentication list.R3640(config)#aaa authentication login default ?指定用哪种认证方式 enable Use enable password for authentication. 使用特权密码group Use Server-group 使用Radius或者Tacacs+协议krb5 Use Kerberos 5 authentication. 使用Kerberoskrb5-telnet Allow logins only if already authenticated via Kerberos VTelnet.line Use line password for authentication. 使用线路认证方式 local Use local username authentication.使用本地认证方式，需配置用户名和密码local-case Use case-sensitive local username authentication.none NO authentication. 不做认证配置当用户登录设备时，使用aaa本地登录认证方式，认证调用的名字为default,认证方式为localR3640(config)#aaa authentication login default local配置本地登录时，使用的用户名和密码。

实用标准文案界面预览：CiscoSecure ACS安装略。

1 CiscoSecure ACS如果出现上面的界面则说明安装成功。

添加用户：2 user setup点击界面左侧按钮，界面如图所示：1图精彩文档．实用标准文案 Add/Edit按钮，界面如图所示：点输入用户aaa-user1,2图提交，点击Submit123456输入密码随便输入，123456，确认输入一次。

Name/DescriptionReal List all User。

点击可以查看所有已经配置的用户。

1出现图3图精彩文档．实用标准文案添加客户端3. nerwork configuration，出现下图：点击界面左侧4图按钮，出现下图：下点击AAA ClientsAdd Entry精彩文档．实用标准文案图5AAA Client Hostname:客户端主机名AAA Client IP Address:客户端IP地址，也就是路由器的IP地址Key:客户机用来加密数据Autenticate Using:认证方法。

这里保持默认TACACS+其余选项保持默认。

点击Submit+Apply提交并应用按钮，出现下图：精彩文档．实用标准文案6图已经添加成功。

表明R1路由器预配置IP 192.168.2.1/24 配置接口1.AAA全局启用2. R1(config)#aaa new-model服务器指定AAA3. R1(config)#tacacs-server host 192.168.2.10 key client_key身份测试服务器以用户aaa_user14. R1#test aaa group tacacs+ aaa-user1 123456 legacyAttempting authentication test to server-group tacacs+ using tacacs+User was successfully authenticated.123456通过服务器认证。

思科网络设备3A认证的开启及命名3A认证的配制方法一．3A认证概述在Cisco设备中，许多接口，许多地方，为了安全，都需要开启认证服务，比如我们通常配置的console下的密码，进入Privileged EXEC模式的enable密码，VTY线路下的密码，以及其它二层接口的认证密码等等。

这些密码配置在哪里，那里就开启了相应的认证服务。

并且这些认证服务方式是单一的，也没有备份认证方式，更重要的是，这些密码只能读取本地，却不可以通过读取远程服务器的认证方式来给自己提供认证服务。

要想将一个接口的认证方式调用到另外一个接口，或者让某接口使用远程服务器的认证方式，那就需要AAA中的认证来实现。

AAA中的认证可以给设备提供更多的认证方式，AAA认证就相当于一个装有认证方式的容器一样，里面可以有多个认证方式，当这个容器被安装在某个接口，那么这个接口也就拥有了容器中所有的认证方式。

而几乎所有的认证方式都可以被放入这个容器中，包含远程服务器的认证方式。

二．常见的3A认证配置方法（1）tacacs服务器和密码的宣告通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置，配置命令如图1所示。

图1 全局下tacacs服务器及密码的宣告方法在宣告tacacs服务器时，为了3A认证的冗余性，我们可以在全局模式下同时宣告多个tacacs服务器地址。

配置了多个tacacs服务器地址后，在进行3A认证时，设备会根据tacacs服务器配置的先后顺序逐一进行认证，直到找到一台可用的tacacs服务器，3A认证成功为止。

如图2。

图2 配置多个tacacs服务器这种宣告方式有一个缺陷，虽然我们可以同时宣告多个tacacs服务器，但是却只能宣告一个密码，也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码，这样不利于网络设备的安全管理。

为了解决这一问题，我们可以将tacacs服务器与密码同时进行宣告，如图3.图3 tacacs服务器与密码同时宣告这种宣告方式解决了全局模式下只能宣告一个密码的问题，并且这种方式同样也可以同时宣告多条，和传统的宣告方式一样，这种新的宣告方式也会根据先后顺序进行逐条的调用。

Cisco ASA 命令总结Cisco ASA 命令总结2014-12-11 思科企业网络 阅读 6091.清除现有所有配置：clear configure all2.基础配置wr保存配置hostname asa主机名enable password xxxxx特权密码passwd xxxxx远程密码3.设置网卡interface GigabitEthernet0/0nameif outsidesecurity-level 0-100duplex fullspeed 100ip address 192.168.100.188 255.255.255.0no shutdown4.设置ssh登录：ssh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30aaa authentication ssh console LOCAL设置SSH使用本地用户认证username xxx password xxx添加一个本地用户admin,并为其设置密码,同样可以更改密码show aaa local user查看当前本地用户5.默认路由设置：route outside-1 0.0.0.0 0.0.0.0 124.xx.xx.193 1 124.xx.xx.193为运营商的给的网关6.nat 设置：静态nat：hostname(config)# object network myWebServ定义一个objecthostname(config-network-object)# host 10.1.2.27此为内网需要映射出去的Iphostname(config-network-object)# nat (inside,outside) static 209.xx.xx.10动态nat：hostname(config)# object network myNatPool定义一个object,这个特殊地方是个Ip池hostname(config-network-object)# range 209.xx.201.20 209.xx.201.30ip池范围hostname(config)# object network myInsNet定义一个内网的objecthostname(config-network-object)# subnet 10.1.2.0 255.255.255.0内网地址范围hostname(config-network-object)# nat (inside,outside) dynamic myNatPool或者 nat (inside,outside-1) dynamic interfacehostname(config)# object network myWebServ定义一个web服务器的objecthostname(config-network-object)# host 209.xx.xx.12这里和静态nat 不同是外网Iphostname(config-network-object)# nat (outside,inside) static 10.1.2.20注意括号里面inside 和outside 变换了位置端口nat：hostname(config)# object network FTP_SERVER定义一个objecthostname(config-network-object)# host 10.1.2.27此为内网Iphostname(config-network-object)# nat (inside,outside) static 209.xx.xx.3 service tcp ftp ftp 对应外网Ip7.ACL 设置：在ASA上配置ACL有两个作用：一是允许入站连接；二是控制出战连接的流量标准ACL：asa（config）#access-list acl-name [standrad] {permit | deny } ip_addr maskaccess-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1扩展ACL：Asa（config）#access- list acl_name [extended] {permit | deny } protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]access-list out-in-ser extended permit tcp any host 192.168.1.141 eq https将ACL应用到接口：asa（config）#access-group acl_name {in | out} interface interface_nameaccess-list aa extended permit tcp any host 192.168.10.88access-list aa extended permit tcp any object obj-192.168.10.6 eq wwwaccess-list aa extended permit tcp any object obj-192.168.10.6 eq httpsaccess-list aa extended permit tcp any object obj-192.168.10.8 eq 3306access-list aa extended permit tcp any object obj-192.168.10.171 eq 797access-list aa extended permit tcp any object obj-192.168.10.171 eq 873access-list aa extended permit tcp any object obj-192.168.10.169 eq 78788.允许ping：access-list my-list extended permit icmp any any9.开启snmpsnmp-server host inside 192.168.100.210 community publicinsid后面跟的IP是你监控机器的IP,community是公用提名,建议不要用public。

第一步：IOS设备线下保护策略任务：保障console不受影响（1、网络问题2、配置问题），始终可以登陆启用AAAAAA(config)# aaa new-model配置线下保护策略AAA(config)# aaa authentication login noacs line none命令解释：login（登陆）认证策略策略为先使用线下密码认证（line），如果没有线下密码就不认证策略名叫做noacs调用线下保护策略AAA(config)# line console 0AAA(config-line)# login authentication noacs第二步：定义AAA SERVER传统定义AAA服务器命令（推荐）AAA(config)# tacacs-server host 192.168.1.241 key ciscoAAA(config)# radius-server host 192.168.1.241 key cisco新定义AAA服务器命令aaa group server radius R.Groupserver-private 192.168.1.241 key ciscoaaa group server tacacs+ T.Groupserver-private 192.168.1.241 key cisco第三步：ACS定义AAA客户端“network configuration”-->“add entry”，定义AAA clients：填入route的IP和配置的文档“hostname”可以随便，只有本地意义：点击“submit+apply”确认：第四步：ACS定义AAA用户点击“user setep”→“user”，填入要创建的用户名，然后点击“add/edit”：输入密码：然后点击“submit”：第五步：测试AAA用户测试AAA服务器AAA# test aaa group tacacs+ cisco cisco new-codesending passwordusersuccessfilly authenticated测试成功表示前期准备正确：里边的cisco cisco代表用户名和密码。

Username backuser secret gmcc123aaa new-modelaaa authentication login default noneaaa authentication login vty-authen group tacacs+ localaaa authorization config-commandsaaa authorization commands 0 default noneaaa authorization commands 0 vty-author group tacacs+ noneaaa authorization commands 1 default noneaaa authorization commands 1 vty-author group tacacs+ noneaaa authorization commands 15 default noneaaa authorization commands 15 vty-author group tacacs+ noneaaa accounting commands 0 default start-stop group tacacs+aaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+aaa accounting system default start-stop group tacacs+aaa accounting connection default start-stop group tacacs+ //设备外部连接利用tacacs进行日志记录aaa accounting exec default start-stop group tacacs+ //EXEC模式设备管理利用tacacs进行日志记录aaa group server tacacs+ vty-authen// tacacs+ server-group配置，，要加组名。