使用域账号统一管理cisco网络设备

1. 
思科设备和微软系统整合的背景：

公司内部有一定数量的客户端，为了实现统一化，在管理内部部署了域架构，这样可以通过组策略对客户端

进行批量化管理，提高了管理的效率。同样公司内部有一定数量的网络设备（交换机，路由器，防火墙等），

在远程管理的时候是通过Telnet方式。

在本案例中，希望用户远程管理网络设备的时候通过到微软的DC（域控制器）上进行身份验证，这样实现了

身份验证的单一化，避免维护多套身份验证的架构，大大的简化了公司IT的管理。

2. 
搭建模拟环境：

如图：搭建的环境核心就为上图所示，一台DC域控制器（对网络进行域管理）、一台RADIUS服务器（提供cisco设备认证和微软环境兼容整合）、一台交换机、一台路由器、一台PC客户机。

（此实验涉及到思科与微软综合实验系列之一：cisco模拟器GNS3和虚拟机VMware的整合中的环境搭建步骤）

1)  
首先在GNS3模拟器中搭建下图环境：交换机的位置我们用云来替代，按照系列之一的方式把云与我们

的虚拟机网卡VMnet1桥接起来。（具体步骤见cisco模拟器GNS3和虚拟机VMware的整合）

2)  
再在VMware中开启三台虚拟机：a）03Server1；b）03Server2；c）XP1，分别依次模拟a）DC域控制器；

b）RADIUS服务器；c）Alice客户机。把三台网卡桥接到VMnet1上，使他们与GNS3中的云连接起来，

成功构造出我们要搭建的环境。（具体步骤见cisco模拟器GNS3和虚拟机VMware的整合）

3)  
在路由器R1中配置f0/0接口的IP地址和掩码：

R1(config)#int f0/0

R1(config-if)#ip add 10.0.0.11 255.255.255.0

R1(config-if)#no shutdown

4)  
在三台虚拟机中配置IP地址：10.0.0.x、子网掩码：255.255.255.0、默认网关：10.0.0.11、

首选DNS服务器：10.0.0.2，这里DNS服务器就是DC域控制器。

5)  
如果在进行互相ping命令检测时发现XP1的10.0.0.100总是ping不通，那么把XP1上的防火墙功能关闭后，

再ping。

3. 
具体实现步骤：

第1步： 
把03Server1服务器提升为DC域控制器：

a)  
开始——>运行——>输入dcpromo——>确定

b)  
进入Active Directory安装向导：

c)  
一直点击下一步直到出现下图——>创建一个新域并输入域名：例如ilync.cn——>下一步

d)  
一直点击下一步直到出现下图——>输入配置的密码——>下一步

e)  
一直点击下一步——>等待安装向导完成——>点击完成——>点击重新启动计算机——>等待重启

第2步： 
在03Server1上创建用户Alice：

a)  
开始——>管理工具——>Active Directory用户和计算机——>点击

“在当前容器中创建一个新的组织单位”按钮——>进入新建对象-组织单位对话框

b)  
输入要创建的组织单位名称：如sales（销售部）——>确定

c)  
在Active Directory用户和计算机中出现sales——>点击“sales”——>点击

“在当前容器中创建一个新用户”按钮——>进入新建对象-用户对话框

d)  
输入要添加的用户名称：如Alice——>下一步

e)  
输入用户登录的密码并且勾选红框中的信息——>下一步——>完成

f)  
在Active Directory用户和计算机中出现Alice用户——>点击“在当前容器中创建一个新组”

按钮——>输入组名——>确定——>在Active Directory用户和计算机中出现一个创建的telnet新组

g)  
把Alice用户加入到telnet组内——>双击telnet组——>进入telnet属性对话框——>

在成员选项卡下——>添加——>进入选择用户、联系人或计算机对话框——>输入要加入改组的用户名称，

如Alice——>点击“位置”按钮——>选择ilync.cn——>确定——>确定

第3步： 
03Server2和XP1加入03Server1创建的域ilync：

a)  
在03Server2和XP1中右击我的电脑——>属性——>点击计算机名选项卡——>更改

——>出现计算机名称更改对话框。

b)  
在对话框中点击域选项——>在框中输入要加入的域名称——>确定——>出现计算机名更改对话框。

c)  
在对话框中输入加入该域的账户名和密码——>确定——>出现“欢迎加入ilync域”字样对话框

——>确定——>出现重新启动计算机对话框——>确定——>原来的系统属性对话框点击确定——>

重新启动计算机——>是

（注：在03Server2上操作）

在xp1上操作

d)  
重新启动计算机后登陆到域环境下——>点击“选项”——>登录到：下拉框选择“ILYNC”

——>输入用户名——>输入密码——>确定

第4步： 
在03Server2上添加RADIUS组件服务：

a)  
开始——>控制面板——>添加或删除程序——>添加/删除windows组件（A）——>

进入“windows组件向导”对话框——>网络服务——>详细信息

b)  
进入网络服务对话框——>Internet 验证服务——>确定——>下一步——>完成

c)  
开始——>管理工具——>Internet验证服务——>右击Internet验证服务（本地）——>

点击“在Active Directory中注册服务器”——>确定——>确定

d)  
右击RADIUS客户端——>点击新建RADIUS客户端——>出现新建RADIUS客户端对话框

e)  
在新建RADIUS客户端对话框中输入添加的客户端名称和IP地址，如：我们环境中的R1路由器

和它的IP——>下一步

f)  
输入配置AAA认证中的key，也就是登陆R1时要输入的密码——>完成

g)  
右击“远程访问策略”——>新建远程访问策略——>下一步——>选择“设置自定义策略”，

并填写策略名——>下一步

h)  添加——>选择Windows-Group类型——>添加

i)  
在组对话框中点击添加——>进入选择组对话框——>点击“位置”——>选择ilync.cn——>

输入要添加的对象名称——>确定——>确定——>下一步

j)  
在权限中选择“授予远程访问权限”——>下一步——>编辑配置文件——>身份验证选项卡下——>

勾选未加密的身份验证——>确定——>是——>直接关闭出现的“路由和远程访问对话框”——>

下一步——>完成

第5步： 
在R1上配置AAA的身份验证到RADIUS  Server上：

R1(config)#aaa new-model

R1(config)#radius-server host 10.0.0.3 key 123.com

R1(config)#aaa authentication login telnet group radius

R1(config)#aaa authentication enable default none

R1(config)#line vty 0 4

R1(config-line)#login authentication telnet

第6步： 
验证主机XP1远程访问R1：

a)  
XP1上点击开始——>运行——>输入cmd——>telnet 10.0.0.11

b)  
进入telnet下——>输入用户名：（域名用户名）模式——>输入配置在R1上的AAA认证的密码

可以看到结果：XP1远程访问R1失败！

c)  
在03Server2上的事件查看器中查看失败原因:在03Server2中点击开始——>管理工具——>

事件查看器——>系统——>在右面的事件中产生的警告条目上双击——>出现事件属性对话框

——>可以看到用户被拒绝访问信息

d)  
解决方法是：在03Server1上设置用户允许访问:在03Server1中打开Active Directory用户和计算机对话框

——>双击Alice用户——>出现用户属性对话框——>在拨入选项卡下——>勾选允许访问——>确定

e)  
再次在XP1上telnet R1验证远程访问：

可以看到结果：XP1远程访问R1成功！

f)  
在03Server2上的事件查看器中查看：事件条目中没出现警告信息，双击最上面的信息查看——>

可以看到用户被授予了访问权