在Cisco ASA上启用AAA

在本指南中，我们暂时讨论了在Cisco路由器和交换机上启用AAA的问题。正如前面提到的，我很新的思科民用航空运输协定，因为我的旧环境是纯粹的路由和交换。防火墙由IT安全部门处理，防火墙不是ASA。说完这一切之后，每当有机会我都喜欢和ASA一起玩。几天前，我开始使用CLI自学，因为我一直使用ASDM进行更改。我偶尔会使用CLI，但不是很重要，因为我仍然是使用ASA的新手。如果您遇到与我相同的情况，那么对非全职网络安全工程师非常有帮助的一本书就是  Cisco ASA for Accidental Administrators：一个图解的逐步ASA学习和配置指南。我没有这本书的经验，所以请仔细阅读评论，以确保它是你需要的。

当我在教自己如何使用CLI从头开始配置ASA时，我决定使用AAA，因为我需要让我们的生产ASA与我们的TACACS +服务器进行通信。在使用它并阅读思科ASA的AAA部分：一体化防火墙，IPS，Anti-X和VPN自适应安全设备之后，我想出了一种配置，它将成为构建ASA时的标准配置。

不再拖延，以下是使用CLI在ASA上启用AAA的步骤：

此命令启用TACACS +协议，并使用名称TACACS +作为AAA服务器组。

指定在停用该服务器之前该组中任何服务器允许的最大故障数。默认值为3。

ASA中有两种不同的AAA服务器重新激活模式：定时模式和耗尽模式。以下命令是定时模式。使用定时模式，它会在30秒的停机时间后重新激活发生故障的服务器。在我的有限测试中，当我将TACACS +服务器关闭时，它在30秒后不断尝试重新激活服务器。

使用下面显示的耗尽模式，发生故障的TACACS +服务器将保持关闭状态，直到组中的所有服务器都处于故障状态。默认的死区时间是10分钟。

检查特定ASA上TACACS +服务器的状态。

此命令指定TACACS +服务器的IP地址。如果您注意到命令中有（内部）关键字。这基本上告诉ASA哪个接口发送TACACS +流量。如果TACACS +服务器实际上在外部接口上，那么您只需将其更改为外部。在这种情况下，TACACS +是内部网络的一部分。

通过发出此命令，它指示ASA首先使用存储在TACACS +服务器中的用户启用密码，然后在TACACS +服务器不可用时使用本地启用密码作为备份。

不要对关键字控制台和串行控制台感到困惑。串行是ASA中的实际物理控制台端口。如果不发出此命令，ASA将使用用户本地用户数据库进行身份验证。与上述相同，如果TACACS +可用，则在使用本地帐户之前，它将始终使用服务器上存储的帐户。

如果要使用ASDM管理ASA，最好启用此功能。与上述相同，如果TACACS +可用，则在使用本地帐户之前，它将始终使用服务器上存储的帐户。

这是用于使用SSH管理您的ASA。与上述相同，如果TACACS +可用，则在使用本地帐户之前，它将始终使用服务器上存储的帐户。如果要使用telnet管理ASA，只需将ssh关键字更改为telnet即可。老实说，我不建议使用telnet。

验证部分完成后，现在需要启用授权。这告诉ASA哪些命令可用于经过身份验证的用户。要启用授权，请发出以下命令。同样，如果TACACS +可用，那么在使用本地帐户之前，它将始终使用服务器上存储的帐户。

完成授权后，您可能希望监视已在ASA中发出的命令。要启用记帐，请发出以下命令。此命令仅监视权限级别15中列出的已发布命令。如果要监视所有命令，请随意将级别更改为1。

在那里，您可以获得有关如何在Cisco ASA上启用AAA的分步指南。如果您可以免费获得TACACS +服务器，那么没有充分的理由不启用AAA ！

我希望这对你有所帮助，谢谢你的阅读！

喜欢 (0) 打赏 分享

感谢您的支持，我会继续努力的!

扫码打赏，你说多少就多少

打开支付宝扫一扫，即可进行扫码打赏哦