Порядок выполнения работы
Предварительная настройка сетевого оборудования
Соберите сетевую топологию согласно рисунку 2.4.1. Топология содержит 2 ПК, коммутатор (Cisco 2960), маршрутизатор (Cisco 1841, AAA-client), для которого необходимо создать удаленное подключение, и сервер (AAA-server).
Рисунок 2.4.1. Топология сети
Назначьте всем устройствам сетевые адреса согласно таблице 2.4.1.
Таблица 2.4.1
Сетевые адреса устройств
Сетевой элемент |
IP-адрес |
Маска подсети |
PC0 |
192.168.1.2 |
255.255.255.0 (24 бита) |
PC1 |
192.168.1.3 |
255.255.255.0 (24 бита) |
Router0 |
192.168.1.1 |
255.255.255.0 (24 бита) |
Server |
192.168.1.4 |
255.255.255.0 (24 бита) |
Для того чтобы назначить сетевые адреса компьютерам и серверу, один раз нажмите левой кнопкой мыши на устройстве и перейдите в закладку Desktop, а затем нажмите на IP Configurations. Введите IP-адрес и маску подсети в соответствующие поля, как это показано на рисунке 2.4.2 для PC0.
Рисунок 2.4.2. Конфигурация PC0
Необходимо удостовериться в правильности введенных настроек. Для этого один раз нажмите левой кнопкой мыши на устройстве и перейдите в закладку Desktop, а затем нажмите на Command Prompt. Введите команду:
C:\>ipconfig
Сделайте снимок экрана. Повторите для другого PC и сервера.
Настройте маршрутизатор, для этого один раз нажмите по устройству и перейдите во вкладку CLI, на задаваемый вопрос введите no, затем вводите следующие команды (для завершения команды нажмите клавишу Tab):
Router>enable (при этом происходит переход в привилегированный режим)
Router#configure terminal
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#end
Router#write memory
Настройка Local Data Base на маршрутизаторе (первый способ организации доступа к оборудованию)
На маршрутизаторе сначала настройте пароль для входа в привилегированный режим (пароль cisco):
Router#configure terminal
Router(config)#enable secret cisco (пароль с шифрованием)
Теперь необходимо создать пользователя для локальной базы (admin с паролем cisco и уровнем привилегий 15):
Router(config)#username admin privilege 15 secret cisco
Укажите, что при аутентификации необходимо использовать локальную базу пользователей:
Router(config)#line console 0
Router(config-line)#login local
Теперь проверьте правильность настроек (рисунок 2.4.3):
Router(config-line)#exit
Router(config)#exit
Router#exit
Введите данные пользователя (пароль во время ввода не отображается):
Рисунок 2.4.3. Проверка правильности настроек по первому методу
Настройте тоже самое для Telnet соединения:
Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#login local
С PC0 сначала проверьте доступность маршрутизатора командой ping 192.168.1.1, а затем подключитесь к нему по Telnet. Для этого один раз нажмите левой кнопкой мыши на устройстве и перейдите в закладку Desktop, а затем нажмите на Command Prompt (рисунок 2.4.4).
Рисунок 2.4.4. Подключение к маршрутизатору с PC0 при помощи Telnet
Настройка Local Data Base на маршрутизаторе (второй способ организации доступа к оборудованию по технологии AAA)
Сначала перезагрузите маршрутизатор, чтобы заново произвести настройку с использованием новой технологии:
Router#reload
Точно также задайте пароль на привилегированный режим, создайте пользователя:
Router>enable
Router#configure terminal
Router(config)#enable secret cisco
Router(config)#username admin privilege 15 secret cisco
Теперь используем новую модель AAA:
Router(config)#aaa new-model
Создайте метод-лист, т.е. список методов подключения к оборудованию с использованием локальной базы:
Router(config)#aaa authentication login default local
Проверьте правильность настроек (рисунки 2.4.5 и 2.4.6):
Router(config)#exit
Router#exit
Введите данные пользователя в CLI (рисунок 2.4.5), а затем при удаленном подключении по Telnet с PC0 (рисунок 2.4.6):
Рисунок 2.4.5. Подключение к маршрутизатору в CLI
Рисунок 2.4.6. Подключение к маршрутизатору с PC0 при помощи Telnet
Настройка AAA-сервера
Один раз нажмите правой кнопкой мыши на устройстве, затем перейдите во вкладку Services и выберете AAA. Включите AAA-сервер (Service в положение «On») Введите в поля значения согласно рисунку 2.4.7 и добавьте клиента, нажав «Add».
Рисунок 2.4.7. Настройки аутентификации для клиента
Создайте базу пользователей согласно таблице 2.4.2.
Таблица 2.4.2
Используемые данные пользователей
Логин |
Пароль |
Расположение |
admin |
cisco |
Router 1841 |
student |
cisco |
AAA-server |
test |
cisco |
AAA-server |
Заполните поля Username и Password, а потом нажмите «Add» (рисунок 2.4.8).
Рисунок 2.4.8. Создание базы пользователей на AAA-сервере
Перейдите в настройки маршрутизатора и выведете на экран уже примененные настройки:
Router#show running-config (после введения команды используйте клавиши «Пробел» или «Enter» для просмотра настроек).
Необходимо поправить метод-лист по умолчанию, для этого найдите в выведенных настройках строчку aaa authentication login default local. Перейдите к концу вывода настроек и затем введите команды:
Router#configure terminal
Router(config)#no aaa authentication login default local
Создайте новый метод-лист, где в качестве первого метода аутентификации используется AAA-сервер по протоколу RADIUS, а в качестве второго – локальная база пользователей:
Router(config)#aaa authentication login default group radius local
Router(config)#end
Router#configure terminal
Настройте RADIUS-сервер, укажите IP-адрес AAA-сервера и ключ:
Router(config)#radius-server host 192.168.1.4 key cisco
Router(config)#end
Попробуйте пройти аутентификацию (рисунок 2.4.9):
Router#exit затем «Enter» и введите данные локального пользователя, которые хранятся в локальной базе маршрутизатора:
Рисунок 2.4.9. Отказ в доступе по данным локального пользователя
Мы получили отказ в доступе, т.к. настроили аутентификацию через AAA-сервер. Он доступен, а там данных такого пользователя нет. При вводе данных для пользователей student или test, которые хранятся на AAA-сервере, доступ к оборудованию будет получен (рисунки 2.4.10 и 2.4.11).
Рисунок 2.4.10. Успешный доступ к маршрутизатору для пользователя student
Рисунок 2.4.11. Успешный доступ к маршрутизатору для пользователя test
Повторите подключение к маршрутизатору по Telnet с PC0 (рисунок 2.4.12):
Рисунок 2.4.12. Подключение к маршрутизатору по протоколу Telnet с PC0 для разных пользователей
Разорвите соединение с AAA-сервером (рисунок 2.4.13).
Рисунок 2.4.13. Обрыв соединения с AAA-сервером
Проверьте соединение, послав эхо-запрос на AAA-сервер с маршрутизатора (рисунок 2.4.14):
Рисунок 2.4.14. Отсутствие связности с AAA-сервером
Выйдете из привилегированного режима и попробуйте зайти под пользователем student или test (рисунок 2.4.15):
Рисунок 2.4.15. Отказ в доступе пользователю student при отсутствии соединения с AAA-сервером
Под именами этих пользователей невозможно подключиться к маршрутизатору, т.к. нет возможности аутентифицировать данные с AAA-сервером. Теперь попробуйте подключиться под пользователем admin (рисунок 2.4.16):
Рисунок 2.4.16. Успешный доступ к оборудованию для пользователя admin при отсутствии соединения с AAA-сервером
Доступ к маршрутизатору успешно получен, т.к. данные пользователя admin хранятся на маршрутизаторе. Попробуйте подключиться к маршрутизатору по протоколу Telnet с PC0.