AAA的線下保護以及路由器使用ACS認證登入

本篇重點講解一下aaa的線下保護，防止我們在開啟aaa服務的時候本地的使用者登入被洗掉，再講一下如何使用acs認證登入，用來體現資料報的加密。@[toc]

首先我們先講一下什麼是線下保護，這裡我們以例項來講解一下。

在r1上配置特權模式登入密碼保護：

line console 0

password cisco

這時候我們退出特權什麼，再進入特權模式密碼時，就需要密碼了。

而我們開啟aaa服務之後，退出，再進入特權模式則無須密碼了。很明顯，我們之前配置的線下密碼直接被洗掉了，這樣我們也無法用密碼登入了。所以需要配置aaa的線下保護。若是沒配置線下保護，我們將無法控制這台路由器了，所以這是很危險的操作。

aaa new-model //開啟aaa服務

再來看telnet的情況，沒開啟aaa服務之前我們使用的是線下密碼登入，telnet之後直接輸入密碼。

開啟aaa服務之後，telnet則變成了需要使用者名稱和密碼登入了。而我們又沒設定使用者名稱和密碼，這樣就無法登入進去了。

再來看個現象，我們開啟aaa之後，我們全域性呼叫acs的組，而又不去配置r1與acs伺服器之間的關聯。退出再進入特權模式，這時候我們會發現無法進入特權模式，原因是呼叫acs中的組，而r1又無配置，所以呼叫失敗，始終無法進入特權模式，這時候我們只能通過重啟路由器了。

r1:aaa authentication login default group ccie //開啟預設的策略組登入

綜上所示，線下保護配置是我們開啟aaa之後必須配置的，不然將洗掉本地的使用者登入設定。

線下保護配置設定：

r1：啟動線下保護

r1(config)#aaa new-model //開啟aaa

r1(config)#aaa authentication login cheng line none //啟用線下保護,定義乙個cheng的認證策略線下密碼認證

r1(config)#line console 0 //進入console口

r1(config-line)#login authentication cheng //呼叫線下保護

這裡配置線下認證之後，我們再次退出登入特權模式，發現又需要線下密碼登入了，不會直接被洗掉了。

首先保證路由器可以ping通acs伺服器，並且在頁面上可以開啟伺服器。

在開啟線下保護的前提下，關聯路由器與acs伺服器。

r1(config)#aaa group server tacacs+ ccie //定義乙個tacacs+組。名字為ccie

r1(config-sg-tacacs+)#server-private 192.168.106.150 key cisco //指定aaa伺服器位址，並啟用驗證，

key為cisco

r1(config)#aaa authentication login cjc group ccie //定義個名字為cjc的策略，aaa登入認證

策略，認證方式使用group ccie來認證。

r1(config)#line vty 0 4 //進入vty鏈路

r1(config-line)#login authentication cjc //呼叫名字為cjc的認證策略來為這個鏈路認證。

再在acs伺服器新增認證

使用者為cjc 密碼為cisco123

最後，測試這個賬號是否能正常使用，以及nas（r1）到達acs伺服器的鏈路是否可達。

r1#test aaa group ccie cjc cisco123 new-code //測試aaa組ccie，使用者名為cjc密碼為cisco123

結果測試成功。再來看r2能否通過cjc這個賬號遠端登入

結果也是可以，測試成功。

最後再來檢視資料報，r2telnetr1，抓取r2的f0/0口，我們發現，資料報已經使用aaa的tacacs+認證服務，一樣無法獲取有效資訊。

到此，內容講完了，下面我們考慮上面的情況，對r2的f0/1口抓包，那麼會有什麼情況呢，這裡買個關子，感興趣的同學可以自己嘗試，後面我們再來講述。