在博客中的《Cisco PacketTracer　5.2模擬器的Easy ×××實(shí)驗(yàn)指南》，所才用接入用戶認(rèn)證是路由器上的用戶名密碼的本地認(rèn)證。今天的實(shí)驗(yàn)我使用PacketTracer　5.2（軟件下載見(jiàn)我的博客文章《PacketTracer　5.2的IPsec ×××實(shí)驗(yàn)說(shuō)明(附PacketTracer　5.2下載地址)》）中自帶的AAA服務(wù)功能來(lái)認(rèn)證授權(quán)Easy ×××。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

所謂，AAA就是認(rèn)證（Authentication），授權(quán)（Authorization），審計(jì)（Accounting）這三個(gè)英文單詞的縮寫(xiě)。（在國(guó)內(nèi)，審計(jì)常被稱(chēng)為計(jì)費(fèi)。一切向“錢(qián)”看啊！）。簡(jiǎn)單講AAA的基本工作原理就是，一個(gè)事件先必須通過(guò)認(rèn)證才能接入進(jìn)來(lái)；然后根據(jù)相應(yīng)的授權(quán)策略，下發(fā)相應(yīng)的權(quán)限；審計(jì)則記錄發(fā)生的每件事情。

Easy ×××的講解見(jiàn)我博客《Cisco PacketTracer　5.2模擬器的Easy ×××實(shí)驗(yàn)指南》。本次就在《Cisco PacketTracer　5.2模擬器的Easy ×××實(shí)驗(yàn)指南》的基礎(chǔ)上采用AAA服務(wù)器，實(shí)驗(yàn)的基本連通性配置，也見(jiàn)那篇文章。本次試驗(yàn)重點(diǎn)講解AAA。

實(shí)驗(yàn)拓?fù)?#xff1a; 左下角的AAA服務(wù)器配置如下：

??? 雙擊服務(wù)器圖標(biāo)，選擇Config，在選擇AAA：

AAA服務(wù)器配置簡(jiǎn)單說(shuō)明：Clientname是隨意的，Client IP是你所要管理的路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備的IP地址。Secret是AAA服務(wù)器與管理的網(wǎng)絡(luò)設(shè)備之間的密鑰。ServiceType是協(xié)議內(nèi)型，Radius是國(guó)際標(biāo)準(zhǔn)，Tacacs是cisco專(zhuān)有協(xié)議。本實(shí)驗(yàn)使用的Radius。配置用戶名和密碼如圖所示，點(diǎn)“+”添加。

? 總部路由的AAA Easy ××× 配置：

aaa new-model

aaa authentication login eza group radius （使用AAA認(rèn)證）

aaa authorization network ezo group radius

?

radius-server host 192.168.1.1 auth-port 1645 key 123（指點(diǎn)AAA服務(wù)器的IP地址和密鑰，1645是Radius的默認(rèn)端口號(hào)）

?

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

exit

?

crypto ipsec transform-set tim esp-3des esp-md5-hmac

?

ip local pool ez 192.168.3.1 192.168.3.100

crypto isakmp client configuration group myez

?key 123

?pool ez

?

crypto dynamic-map ezmap 10

?set transform-set tim

?reverse-route

??? exit

?

crypto map tom client authentication list eza

crypto map tom isakmp authorization list ezo

crypto map tom client configuration address respond

crypto map tom 10 ipsec-isakmp dynamic ezmap

?

interface fa 0/1

crypto map tom

exit

?

測(cè)試：

在遠(yuǎn)端筆記本的×××中輸入如下信息：

?

GroupName：myez

?????? Group key：123

?????? Host IP(server IP)：100.1.1.2

?????? Username：xiaoT

?????? Password：123

點(diǎn)擊connect，就會(huì)提示連接上去，此時(shí)會(huì)顯示下發(fā)的IP地址。（若沒(méi)馬上連上去，在配置沒(méi)錯(cuò)的前提下，Ipsec ×××協(xié)商時(shí)，前面幾個(gè)包是不通的，解決方法，在ping一下100.1.1.2，再連接Easy ×××）。Easy ×××接入后，就可ping總部的任何地址了！

?

（附件中有基本連通性和最終完成PKT文件）。

?

轉(zhuǎn)載于:https://blog.51cto.com/478239/197816

總結(jié)

以上是生活随笔為你收集整理的PacketTracer　5.2基于AAA的Easy ×××实验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。