缩写说明:SW(switch)----交换机    RT(router)----路由器 

        第一次原创博文,不好之处,请大家多多包涵。

        在网络设备安全配置当中,相信大家又要用到AAA认证服务。所以我现在只致粗略的介绍下AAA认证:

        AAA认证,即身份验证(Authentication),授权(Authorization),统计(Accounting)。是Cisco开发的一个网络安全系统,常用语网络设备身份安全验证方面。

        AAA认证常见的协议时radius。radius是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,任何运行radius客户端软件的计算机都可以成为radius的客户端。radius协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。radius是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。radius也支持厂商扩充厂家专有属性。

        radius协议,通过在服务器上设置radius服务,在客户端与服务器之间通过共享密钥认证进行相互间交互信息,用户密码采用密文方式在网络上传输。

        在其过程中,我们必须在radius服务器上根据SW或者RT创建相应的客户端账户,并且根据相应的SW和RT具体IP和hostname进行配置。然后在SW或RT上设置相应的AAA认证方式,本地账户等。

 

 

示范性配置如下:

        aaa new-model aaa authentication login auth group radius local  //配置登陆认证的优先级,radius服务器验证方式有限,当服务器无响应时,进行本地数据库认证。注:本地数据库的账号密码在radius服务器运行时,是不能登录的。

语法模板:aaa authentication login {default | list-name} method1 [method2...]

        radius-server host 139.123.252.245 auth-port 1812 acct-port 1813  //配置RADIUS服务器IP地址和端口。 

        radius-server host 139.123.252.244 auth-port 1812 acct-port 1813 

        radius-server retransmit 3 radius-server key ZDBF%51  //配置密码                              

        line vty 0 4 login authentication auth        //设置登录验证方式

 

 

在radius服务下,可能遇见忘记密码的事件,具体可以分为以下情况与处理方式:

        1.忘记本地数据库账号和密码。这个情况可以在远程telnet进入到相应的SW和RT进行修,配置。

        2.忘记radius服务密码。由于radius服务具有优先权,所有就算记住了本地数据库账号还会登陆不上去,所有推荐删除radius服务器上相应的SW或RT的客户端,然后在可以通过console口在本地登录,并且可以在radius服务器上重新设置账号权限。

        3.忘记了本地和radius的账号。这种情况只有利用上述2,号方式,或者在radius上添加新的用户权限即可。