通过本实验了解CISCO交换机的验证方法,防止非法用户访问交换机<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

初始配置

Switch
Conf t
Int f 0/1
No sw
Ip ad 10.1.1.2 255.255.255.0
End

 

 

Router
Conf t
Int e 0
Ip ad 10.1.1.1 255.255.255.0
No shut

 

 

Server IP address 10.1.2.1/24

测试

sw1#ping 10.1.1.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 12/52/116 ms

 

1,  RouterTELNET 命令,访问Switch

 
Switch

Conf t

No service password-recovey

Enable secret ccie

Line vty 0 15

Login

Password ccie

End

Router上校验

R1#telnet 10.1.1.2

Trying 10.1.1.2 ... Open

 

 

User Access Verification

 

Password: <ccie> 被隐藏

sw1>en

Password: <ccie> 被隐藏

sw1#           进入交换机特权模式

sw1#quit

 

[Connection to 10.1.1.2 closed by foreign host]

R1#           回到Router

 

 

2,  配置usernamepassword

这个配置使username password存储在本地交换机中,在switch上配置

Conf t

Username cisco password ccie

Line vty 0 15

Login local

End

Router上校验

R1#telnet 10.1.1.2

Trying 10.1.1.2 ... Open

 

 

User Access Verification

 

Username: cisco

Password: <ccie> 被隐藏

sw1>en

Password: <ccie> 被隐藏

sw1#quit

 

[Connection to 10.1.1.2 closed by foreign host]

R1#

 

 

3,  配置多种特权等级

在交换机上配置用户,并对用户单独进行授权

Conf t

Username cisco privilege 2 password 0 ccie

Router上校验

R1#telnet 10.1.1.2

Trying 10.1.1.2 ... Open

 

 

User Access Verification

 

Username: cisco

Password:

sw1#conf t

       ^

% Invalid input detected at '^' marker.

为什么会出错呢?因为我们没有对此用户的访问进行授权,现在交换机上进一步配置

Privilege exec level 2 conf t

Privilege configure level 2 interface

Privilege interface level 2 no switchport

Privilege interface level 2 ip address

Privilege interface level 2 no shut

Router上校验

sw1#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

sw1(config)#int f 0/2

sw1(config-if)#no sw

sw1(config-if)#ip ad 10.1.2.2 255.255.255.0

sw1(config-if)#shut

sw1(config-if)#no shut

sw1(config-if)#^Z

sw1#quit

 

[Connection to 10.1.1.2 closed by foreign host]

R1#

 

 

4,  在交换机上配置本地AuthenticationAuthorization服务,在本地交换机上AAA验证

Conf t

Aaa new-model

Aaa authentication login default local

Aaa authorization exec default local

Aaa authorization network default local

Username cisco password ccie

 

Router上校验

Username: cisco

Password:

 

sw1>en

Password:

sw1#config t

Enter configuration commands, one per line.  End with CNTL/Z.

sw1(config)#^Z
sw1#quit

 

[Connection to 10.1.1.2 closed by foreign host]

R1#

 
下面来讨论TACACS+ SERVERRADIUS SERVER的验证授权和统计。

1,  配置TACACS+ SERVER

 Conf t

Tacacs-server host 10.1.2.1

Aaa new-model

Aaa group server tacacs+ group cisco

Server 10.1.2.1

Exit

 

2,  配置TACACS+登录验证

aaa authentication login default group tacacs+

Line vty 0 15

Login authentication default

exit

 

3,  配置TACACS+EXEC访问和network授权

aaa authorization exec defaut group tacacs+

aaa authorization network defaut group tacacs+

 

4,  配置TACACS+的统计

Aaa accounting network default start-stop group tacacs+

Aaa accounting exec default start-stop group tacacs+
 
 
 
1,  配置RADIUS SERVER

Conf t

Radius-server host 10.1.2.1

Aaa new-model

Aaa group server radius group cisco

Server 10.1.2.1

Exit

 

2,  配置RADIUS登录验证

Aaa authentication login default group radius

Line vtp 0 15

Login authentication default

Exit

 

3,配置RADIUSEXEC访问和network授权

Aaa authorization network default group radius

Aaa authorization exec default group radius

 

3,  配置RADIUS的统计

Aaa accounting network default start-stop group radius

Aaa accounting exec default start-stop group radius

 

4,  配置RADIUS服务器

Radius-server key ccie

Redius-server retransmit 3

Radius-server tiomout 60

Radius-server deadtime 10

 
©著作权归作者所有:来自51CTO博客作者cj231210的原创作品,谢绝转载,否则将追究法律责任
交换机 职场 路由 CCIE

0

收藏

上一篇:NTP (network tim... 下一篇:配置802.1X验证
noavatar_middle.gif
cj231210

85篇文章,50W+人气,0粉丝

noavatar_middle.gif

Ctrl+Enter 发布

发布

取消

推荐专栏更多

602d0cf94f108fd7ace3225fbc0b0be0.png
网络安全入门到实战,让SQLmap子弹飞一会儿

9本网络安全实战书籍精华

共23章 | simeon2005
¥51.00 830人订阅
订   阅
2810ca683899f6932ce0424b536b8992.png
Web网站安全评估分析及防御

企业级网安运维

共30章 | simeon2005
¥51.00 408人订阅
订   阅
629650e188ddde78b213e564c2e9ebff.jpg
负载均衡高手炼成记

高并发架构之路

共15章 | sery
¥51.00 507人订阅
订   阅

猜你喜欢

我的友情链接 防火墙状态检测工作机制 思科路由交换部分命令大全。 Windows路由表详解 让VMware ESXi虚拟交换机支持VLAN 不同VLAN之间相互通信的两种方式(单臂路由、三层交换) 免费的上网行为管理系统和软路由系统推荐。 双网卡同时上内外网的路由设置 华为5700系列交换机常用配置示例 Vmware vSphere 5.0系列教程之四 vSphere网络原理及vSwitch简介 华为交换机基本命令配置:建立VLAN,把端口划分到对于vlan上 Cisco交换机QOS(限速)详解 Kali Linux安装dvwa本地shentou测试环境 道路千万条,安全第一条——一次服务器安全处理经过 Hydra破解SSH端口 浅谈QOS服务访问质量 Cisco防火墙基础介绍及配置 【SRX】RE与PFE策略不同步,导致Commit失败-----案例分析 蚁剑xss漏洞,获取者shell GandCrab5.0.9样本详细分析
f92360e227f9d91cdff7ea95120630ef.png
left-qr.jpg

扫一扫,领取大礼包

0

15
分享
qr-url?url=https%3A%2F%2Fblog.51cto.com%2Fmatthewyin%2F14638
cj231210
noavatar_middle.gif