本篇重點講解一下aaa的線下保護,防止我們在開啟aaa服務的時候本地的使用者登入被洗掉,再講一下如何使用acs認證登入,用來體現資料報的加密。@[toc]
首先我們先講一下什麼是線下保護,這裡我們以例項來講解一下。
在r1上配置特權模式登入密碼保護:
line console 0
password cisco
login
這時候我們退出特權什麼,再進入特權模式密碼時,就需要密碼了。
而我們開啟aaa服務之後,退出,再進入特權模式則無須密碼了。很明顯,我們之前配置的線下密碼直接被洗掉了,這樣我們也無法用密碼登入了。所以需要配置aaa的線下保護。若是沒配置線下保護,我們將無法控制這台路由器了,所以這是很危險的操作。
aaa new-model //開啟aaa服務
再來看telnet的情況,沒開啟aaa服務之前我們使用的是線下密碼登入,telnet之後直接輸入密碼。
開啟aaa服務之後,telnet則變成了需要使用者名稱和密碼登入了。而我們又沒設定使用者名稱和密碼,這樣就無法登入進去了。
再來看個現象,我們開啟aaa之後,我們全域性呼叫acs的組,而又不去配置r1與acs伺服器之間的關聯。退出再進入特權模式,這時候我們會發現無法進入特權模式,原因是呼叫acs中的組,而r1又無配置,所以呼叫失敗,始終無法進入特權模式,這時候我們只能通過重啟路由器了。
r1:aaa authentication login default group ccie //開啟預設的策略組登入
綜上所示,線下保護配置是我們開啟aaa之後必須配置的,不然將洗掉本地的使用者登入設定。
線下保護配置設定:
r1:啟動線下保護
r1(config)#aaa new-model //開啟aaa
r1(config)#aaa authentication login cheng line none //啟用線下保護,定義乙個cheng的認證策略線下密碼認證
r1(config)#line console 0 //進入console口
r1(config-line)#login authentication cheng //呼叫線下保護
這裡配置線下認證之後,我們再次退出登入特權模式,發現又需要線下密碼登入了,不會直接被洗掉了。
首先保證路由器可以ping通acs伺服器,並且在頁面上可以開啟伺服器。
在開啟線下保護的前提下,關聯路由器與acs伺服器。
r1(config)#aaa group server tacacs+ ccie //定義乙個tacacs+組。名字為ccie
r1(config-sg-tacacs+)#server-private 192.168.106.150 key cisco //指定aaa伺服器位址,並啟用驗證,
key為cisco
r1(config)#aaa authentication login cjc group ccie //定義個名字為cjc的策略,aaa登入認證
策略,認證方式使用group ccie來認證。
r1(config)#line vty 0 4 //進入vty鏈路
r1(config-line)#login authentication cjc //呼叫名字為cjc的認證策略來為這個鏈路認證。
再在acs伺服器新增認證
使用者為cjc 密碼為cisco123
最後,測試這個賬號是否能正常使用,以及nas(r1)到達acs伺服器的鏈路是否可達。
r1#test aaa group ccie cjc cisco123 new-code //測試aaa組ccie,使用者名為cjc密碼為cisco123
結果測試成功。再來看r2能否通過cjc這個賬號遠端登入
結果也是可以,測試成功。
最後再來檢視資料報,r2telnetr1,抓取r2的f0/0口,我們發現,資料報已經使用aaa的tacacs+認證服務,一樣無法獲取有效資訊。
到此,內容講完了,下面我們考慮上面的情況,對r2的f0/1口抓包,那麼會有什麼情況呢,這裡買個關子,感興趣的同學可以自己嘗試,後面我們再來講述。
路由器使用無線功能橋接之要點
副路由器的ip位址不能與主路由器位址相同,它只在橋接中,起到乙個管理途徑之功能 如果有多個與此主路由器橋接的副路由器,這些副路由器之間的ip位址可以相同。主路由器的設定,如果用了很長時間,那也基本上不需要任何改動,除非主路由器占用了過量的位址池範圍。不論是主副路由器,位址池相互 都 不能產生交集。副...
路由器保護內網的安全設定
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全裝置之一。一般來說,大多數網路都有乙個主要的接入點。這就是通常與專用防火牆一起使用的 邊界路由器 經過恰當的設定,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設定...
如何保護你的家用路由器
網路犯罪分子如何攻擊家庭網路?在某些情況下,黑客已經可以藉由一些不起眼的路由器臭蟲來攻擊系統和取得訪問許可權。如何保護你的家用路由器 加強家用路由器安全,防止或儘量減少攻擊,以下是一些基本建議 1 變更預設的管理設定 管理者許可權和密碼是攻擊者會嘗試破解的第一目標。2 關閉網路和使用加密 開啟路由器...