Chủ đề: router authenticaion, including username and password.

mình có một thắc mắc mong mọi người giải đáp.

trước giờ đi lab ccna, thầy dạy kết nối qua telnet hoặc theo cổng console. khi đó mình chỉ thấy router nó xác thực mỗi password đăng nhập thôi. như thế thì nó làm sao mà biết được ai là quản trị bình thường, ai là người quản trị có quyền cao nhất??

bây giờ nếu mình muốn cấu hình cho nó xác thực cả username và pasword (và các user được phân quyền theo cấp) thì có được không? và phải cấu hình thế nào?

cảm ơn mọi người

Để xác thực truy cập vào router có phân quyền người ta có thể làm theo 1 trong hai cách.

Cách 1: cấu hình username/password trên bản thân router (local database)
Cách 2: cấu hình xác thực nhờ user database ở ngoài (thường dùng cisco ACS)

Phần này mình trình bày cách 1 trước.
Khi truy cập vào router; các user được phân quyền làm 16 mức. Mức 0 ít quyền nhất chính là người dùng ở user mode. Mức 15 quyền to nhất là người dùng ở mức enable. Các level còn lại cho phép admin tự định nghĩa các level với các quyền khác nhau; các lệnh khác nhau. Ví dụ: ai làm về định tuyến thì chỉ được gõ router rip/router ospf....còn ai làm về voip có thể gõ các lệnh dial-peer voip; dial-peer pots.....Để biết mình đang ở level nào; các bạn dùng lệnh show level.


Việc xác thực; phân quyền được thực hiện nhờ tính năng an ninh AAA (authentication; authorization và accounting) trên router.

Các bước xác thực dùng local database

Step 1: Enables AAA features
config t
aaa new-model

Step 2: Create a new local username and secret password account
config t
username admin privillege 15 secret ipmac@123


Step 3: Configure AAA login authentication to use the enable password
(config)# aaa authentication login default local

Step 4: Log out of the router console.

Step 5: Access the router console port. You should be prompted for a password.

Khi cấu hình AAA nếu như chúng ta không chỉ rõ áp dụng xác thực cho line vty hay line console thì mặc định (login default local) khi log in vào router theo bất kì line nào cũng đều phải nhập user/pass là admin/ipmac@123

Nguyên văn bởi anhnv

Để xác thực truy cập vào router có phân quyền người ta có thể làm theo 1 trong hai cách.

Cách 1: cấu hình username/password trên bản thân router (local database)
Cách 2: cấu hình xác thực nhờ user database ở ngoài (thường dùng cisco ACS)

Phần này mình trình bày cách 1 trước.
Khi truy cập vào router; các user được phân quyền làm 16 mức. Mức 0 ít quyền nhất chính là người dùng ở user mode. Mức 15 quyền to nhất là người dùng ở mức enable. Các level còn lại cho phép admin tự định nghĩa các level với các quyền khác nhau; các lệnh khác nhau. Ví dụ: ai làm về định tuyến thì chỉ được gõ router rip/router ospf....còn ai làm về voip có thể gõ các lệnh dial-peer voip; dial-peer pots.....Để biết mình đang ở level nào; các bạn dùng lệnh show level.


Việc xác thực; phân quyền được thực hiện nhờ tính năng an ninh AAA (authentication; authorization và accounting) trên router.

Các bước xác thực dùng local database

Step 1: Enables AAA features
config t
aaa new-model

Step 2: Create a new local username and secret password account
config t
username admin privillege 15 secret ipmac@123


Step 3: Configure AAA login authentication to use the enable password
(config)# aaa authentication login default local

Step 4: Log out of the router console.

Step 5: Access the router console port. You should be prompted for a password.

Khi cấu hình AAA nếu như chúng ta không chỉ rõ áp dụng xác thực cho line vty hay line console thì mặc định (login default local) khi log in vào router theo bất kì line nào cũng đều phải nhập user/pass là admin/ipmac@123

thanks so much, let me check.

thanks, once again!