S A L E H S A I D A
B E L L I M A M W A L I D
P R O F E S S E U R : M R . A N O U A R A B T O Y
G S T R 3 / 2 0 2 2 - 2 0 2 3
R A P P O R T T P 2
C O N F I G U R E A A A
A U T H E N T I C A T I O N O N C I S C O
R O U T E R S
S O U S C I S C O P A C K E T T R A C E R
Sécurité Réseaux
Module
Introduction
Les noms d’utilisateur et mots de passe configurés localement peuvent devenir
un cauchemar administratif si vous avez un réseau avec de nombreux
périphériques réseau. Chaque fois que vous voulez ajouter un nom d’utilisateur
ou changer un mot de passe, vous devez vous connecter à chaque appareil un
par un pour ajouter ou modifier quelque chose. Il est préférable de travailler avec
un serveur AAA central pour l’authentification. Sur ce serveur, vous ajoutez tous
vos noms d’utilisateur et mots de passe. Vous configurez vos routeurs et
commutateurs pour utiliser ce serveur AAA pour l’authentification.
Sur Cisco IOS, vous pouvez configurer précisément la façon dont vous souhaitez
utiliser le serveur AAA pour l’authentification. Vous pouvez l’utiliser pour accéder
à la console ou VTY mais aussi pour activer le mode (privilégié) et d’autres options
comme l’authentification PPP.
Définitions
Les protocoles AAA (Authentication, Authorization, Accounting -
Authentification, Autorisation et Traçabilité) tels que RADIUS (RFC 2865) et
TACACS+, qui ont été développé par Cisco, ont été créés pour faire face à ces
défis. L’architecture AAA permet aux utilisateurs d’accéder aux périphériques
en réseau qui leur ont été attribués et protège le réseau contre les accès non
autorisés.
Authentification : Ce processus consiste à vérifier les identifiants donnés
par les utilisateurs pour voir leur crédibilité et se connecter ainsi que
d’accorder les services pour eux. Si les identifiants correspondent, le client
est authentifié et peut accéder aux services réseau sinon l’accès est refusé.
Autorisation : Cette étape fait référence au processus de décision des types
d’autorisations et de services qui devraient être autorisés aux utilisateurs.
Par exemple, certains employés d’une entreprise n’ont peut-être pas un
niveau d’autorisation plus élevé pour certains renseignements, de sorte que
lorsqu’ils essaient d’y accéder, l’utilisateur serait refusé.
Traçabilité : Il enregistre l’utilisation des ressources utilisées par l’utilisateur
lorsqu’il accède aux services réseau tels que la quantité de données utilisées,
la quantité de données envoyées et reçues et plus encore.
Configuration d'un compte utilisateur local sur R1 et s’authentifier sur la console
et les lignes VTY en utilisant AAA local.
Vérification de l’authentification AAA locale à partir de la console R1 et du client
PC-A.
Configuration d'une authentification AAA sur serveur à l’aide de TACACS+.
Vérification de l’authentification AAA sur serveur à partir du client PC-B.
Configuration d'une authentification AAA basée sur le serveur en utilisant
RADIUS.
Vérification de l’authentification AAA sur serveur à partir du client PC-C.
Objectifs de ce TP
Table d'adressage
Topologie du réseau
Compte utilisateur : Admin1 et mot de passe admin1pa55
Client : R2 en utilisant le mot-clé tacacspa55
Compte utilisateur : Admin2 et mot de passe admin2pa55
Client : R3 en utilisant le mot-clé radiuspa55
Compte utilisateur : Admin3 et mot de passe admin3pa55
Enable secret password : ciscoenpa55
RIP version 2
La topologie du réseau montre les routeurs R1, R2 et R3. Actuellement, toute la sécurité
administrative est basée sur la connaissance du mot de passe secret enable. Nous
allons configurer et tester des solutions AAA locales et basées sur serveur.
Nous allons créer un compte utilisateur local et configurer AAA local sur le routeur R1
pour tester les connexions console et VTY.
On configure ensuite le routeur R2 pour prendre en charge l’authentification sur
serveur à l’aide du protocole TACACS+. Le serveur TACACS+ a été préconfiguré avec les
éléments suivants :
Enfin, nous allons configurer le routeur R3 pour prendre en charge l’authentification
basée sur le serveur en utilisant le protocole RADIUS. Le serveur RADIUS a été
préconfiguré avec les éléments suivants :
Les routeurs ont également été préconfigurés avec les éléments suivants :
Sommaire
Task 1 : Configure Local AAA Authentication for Console Access on R1
Task 2 : Configure Local AAA Authentication for VTY Lines on R1
Task 3 : Configure Server-Based AAA Authentication Using TACACS+ on R2
Task 4 : Configure Server-Based AAA Authentication Using RADIUS on R3
Task 1 : Configure Local AAA Authentication for Console
Access on R1
Ping from PC-A
to PC-B.
Ping from PC-A
to PC-C.
Step 1.Test connectivity.
Ping from PC-B
to PC-C.
6
7
8
9
10
11
12
1
/
12
100%
