aaa三A认证审计实验.docVIP

aaa 认证审计 前言： 首先我们要知道AAA是做什么用的， 我们会在什么情况下使用，到认证以及审计， 那我们首要了解互联访问接入服务（NAS），我们是通过拔入（adsl）还是通过穿越（如防火墙），这时我们都会用到认证以及审计，其实用通俗的话来说就是，你有什么，你需要要我给你什么，但是这是有条件的，以及我给了你以后你都做了一些什么，这一切AAA都能给你记录出来的，比如说：你登录了了什么网站，做什么事情，他还可以授与你能做这样的事不能做那样的事，下面我就为大家演示一下AAA的基本操作 实验拓朴图： AAA SERVER Fa0/0Fa0/1 Fa0/1 AAA SERVER Fa0/0 Fa0/1 Fa0/1 PC1 /24 PC1 /24 两台路由器上的基本配置如下现在是本地实证的 Server#show run hostname Server vpdn enable username cisco password 0 cisco virtual-template 1（我用的是老命令新命令是 bba-group pppoe global “新命令我不熟悉”但我们敲了老命令系统会帮你转为新命令） ! interface FastEthernet0/0 ip address no shutdown speed auto ! interface FastEthernet0/1 no shutdown pppoe enable ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool ippool ppp authentication pap ip local pool ippool 00 client#show run hostname client Interface fastethernet 0/0 Ip add no shutdown Ip nat inside ip virtual-reassembly interface FastEthernet0/1 no ip address no shutdown pppoe enable pppoe-client dial-pool-number 1 interface Dialer1 mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username cisco password 0 cisco ip route Dialer1 permanent ip nat inside source list 1 inter Dialer1 overload access-list 1 permit 55 下面我来看一看本地认证吧 本地认证成功， 下面我们来通过AAA认证吧 我们把server 上面的设置的用户给删掉 no username cisco 我们启动AAA aaa new-model 这个时候我们的客户机已经连接不上了 定义服务器的位置 tacacs-server host key cisco 我们定义了服务器，同样服务器也要定义客户我们到AAA上定义客户 这是在我的AAA服务器定义好的情况下，下面我来定义一个用户允许他拔入： 我给用户增加密码 查看用户是否存在了 下面我要定义客户， 大家可以看到，我这里只定义了一个客户，所以我要把我刚才建的客户也要与服务器关联起来 增加关联 这样user这个用户也关联上了，我们去验证一下吧 路由器能通过验证 说明我们的AAA 服务器没有问题了，下面我们可以来进入主题 我们在SERVER上启用AAA　审计，验证功能， 　(config)# aaa authentication ppp wg0701 group tacacs+ 然后将它应该到inter vir-tem 1 这个虚模块上 (config)#inter virtual-template 1server(config-if)#ppp authentication pap wg0701 其实这是个时候客户机应该能联上了我们来看一看哦 下面我们来做审计，让服务器知道这个客户机都做了一些什么 （config)#aaa authentication ppp wg0701 group tacacs+ （con