1、實驗拓撲
2、不通網段間的ping通測試
從pc-a ping到pc-b
從pc-a ping到pc-c
從pc-b ping到pc-c
3、配置過程
a.在路由器R1上配置一個本地用戶賬號並且利用本地AAA通過console線和VTY連接認證
R1(config)#username admin1 password admin1
R1(config)# aaa new-model
R1(config)#aaa authentication login default local
R1(config)#line console 0
R1(config-line)#login authentication default
------VTY連接認證
R1(config)# aaa authentication login telnet-login local
R1(config)# line vty 0 4
R1(config-line)# login authentication telnet-login
b.用TACACS+完成服務器上的AAA認證配置
R2(config)#username admin2 password admin2
R2(config)#tacacs-server host 192.168.2.2
R2(config)#tacacs-server key admin2
R2(config)#aaa new-model
R2(config)#aaa authentication login default group tacacs+ local
R2(config)#line console 0
R2(config-line)#login authentication default
--------------------------------------------------------
TACACS+服務器配置
c.用RADIUS完成基於服務器的AAA驗證的配置
R3(config)#username admin3 password admin3
R3(config)#tacacs-server host 192.168.3.2
R3(config)#tacacs-server key admin3
R3(config)#aaa new-model
R3(config)#aaa authentication login default group radius local
R3(config)#line console 0
R3(config-line)#login authentication default
------------------------------------------------------------
RADIUS服務器配置
4、驗證過程
a.驗證AAA認證(驗證用戶EXEC登入使用本地數據庫)
b.驗證AAA認證(驗證Telnet配置)
讓PC-A telnet AR1
c.用AAA TAACACS+服務器驗證用戶EXEC的登入
----------
d.用AAA RADIUS服務器驗證用戶EXEC的登入
5.實驗總結:
本次實驗總的來說可以分為三個部分,首先第一個就是本地的AAA認證,另外兩個就是基於服務器的,分別是TACACS+和RADIUS。
本地AAA認證主要是利用本地路由器數據庫來進行用戶的認證,而另外兩種基於服務器AAA卻結合了服務器來進行認證服務。TACACS+是單獨的AAA,利用TCP,加密整個數據包,計費功能有限,但是只有Cisco支持。RADIUS結合了認證和授權,利用UDP,只對口令加密,有詳細幾張的功能,而且該標准是開放的,使用可能更廣泛。
------------------------------------------------------ 帥帥的結束分割線----------------------------------------------------------