Cisco配置aaa验证

最新推荐文章于 2024-04-20 00:25:36 发布
最新推荐文章于 2024-04-20 00:25:36 发布
阅读量1.2w 收藏 48
点赞数 10

Cisco配置aaa验证

当您的网络中部署了一台集中的radius校验服务器(比如我司的SAM,cisco的ACS等),希望对登陆设备的用户身份进行合法性校验,而账号都统一由该radius服务器集中产生与维护,您希望所有的登入操作(比如console口登陆,telnet登陆等)的用户提交的用户名&密码都必须经过该radius服务器验证下,而不是采用设备原来自己配置的本地账号密码的时候,就可以采用该功能,从而保证合法的管理员允许登入设备进行管理,而非法的用户将被一律拒绝。

通常该功能适用于高安全,高敏感性要求的行业,比如金融,政府,运营商行业。

功能简介:

AAA提供认证功能,可以对登陆设备(比如console口登入,telnet登入等)的用户身份进行验证,认证协议采用标准的Radius,这样配合统一的校验服务器(比如我司的SAM,cisco的ACS等)管理账号,验证用户名&密码的合法性,最终实现授权的用户才能管理到设备。

一、组网需求

1、为了便于管理交换机,客户要求登入交换机的用户名和密码从radius服务器上取,如果radius服务器无响应,那么从本地取用户名和密码;

2、为了防止用户在Login认证的时候,使用穷举法破解密码,限制用户Login尝试次数为3次,在Login失败达到3次时,用户将被锁定1小时不能登录(默认情况下,login尝试失败次数为3次,被锁定的时间限制为15小时或15分钟(不同软件版本的锁定时间可能不一样))。

二、组网拓扑

三、配置要点

1、在交换机上需要开启AAA功能,并且配置radius服务器及key等相关参数

2、优化AAA登录的配置(AAA lock)

3、Radius服务器上添加交换机及账户信息

四、配置步骤  

交换机的配置如下:

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#radius-server host 192.168.33.244   ------>配置radius IP

Ruijie(config)#radius-server key ruijie      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login ruijie group radius local   ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication ruijie    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie   ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie         ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密,这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配置限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后,需要等待1小时才能再次尝试登入系统

Ruijie(config)#interface vlan 1

Ruijie(config-if-VLAN 1)#ip add 192.168.33.161 255.255.255.0 

Ruijie(config-if-VLAN 1)#end

Ruijie#write   ------> 确认配置正确,保存配置

radius服务器的配置如下:

这里radius服务器使用SAM,SAM上的配置如下:

1、在系统管理---->设备管理------>添加设备上,添加交换机的IP、key值

 

2、在安全管理---->设备管理权限------>添加设备管理权限,创建交换机的login登入权限名,然后点击增加条目,如下:

3、在安全管理---->设备管理员------>添加设备管理员,创建登入交换机的用户名和密码,这里我输入的用户名是2017,密码是2017

五、功能验证

1、在电脑上开始------>运行------->输入CMD,然后telnet交换机的IP地址

2、敲入回车后,输入用户名和密码,进入Ruijie>模式,输入enable密码后进入Ruijie#模

3、查看登入用户的状态

4、当radius 服务器挂掉后,此时电脑输入用户名2017,密码2017,无法登入到交换机,

5、当连续输错三次密码后,再次输入正确的用户名将无法登入系统

六、补充说明

1、交换机上只要开启了AAA功能,即只要在交换机上配置了Ruijie(config)#aaa new-model命令,那么交换机会自动在line vty 模式下开启AAA认证,要求telnet的用户使用本地的用户名和密码进行的登入,所以此时必须要在交换机的全局配置模式下创建本地用户名和密码,例如创建用户名admin,密码ruijie,命令如下:

Ruijie(config)#username admin password ruijie

2、如果需要实现console口登入也需要使用本地用户名和密码进行登入,可以使用如下命令实现:

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa authentication login local   ------>设置登入方法认证列表为ruijie,用本地用户名和密码登入

Ruijie(config)#username admin password ruijie

Ruijie(config)#line console 0

Ruijie(config-line)#login authentication ruijie

Ruijie(config-line)#end

3、如果需要实现enable登入也需要使用本地用户名和密码进行登入,可以使用如下命令实现:

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa authentication enable default local   ------>设置enable认证使用用本地用户名和密码登入

Ruijie(config)#username admin password ruijie

4、如果需要实现telnet交换机不需要输入enable密码,可以将本地用户名的权限改为15,如下:

Ruijie(config)#username admin password ruijie

Ruijie(config)#username admin privilege 15

5、如果需要实现不需要任何用户名和密码就能telnet登入交换机,可以使用如下命令实现:

注:交换机如上设置后就不需要任何用户名和密码就能远程telnet到交换机#号模式,这样交换机很危险,我们不建议这么做。

Ruijie(config)#aaa new-model  

Ruijie(config)#aaa authentication login default none

Ruijie(config)#line vty 0 4

Ruijie(config-line)#privilege level 15

Ruijie(config-line)#end

漂亮的刀爷
关注
  • 10
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
配置AAA认证和授权
青红造了个大白之成长记
04-02 1万+
一、 目的 1、掌握AAA认证的工作原理。 2、掌握使用Cisco Secure ACS服务器实现AAA认证授权的方法。 二、网络拓扑 三、认证部分实验要求 配置和测试本地和基于认证服务器的AAA认证。 1、在R1上创建本地帐号,配置本地AAA认证登录console和VTY。 2、配置和测试本地和基于认证服务器的AAA认证。 1、在R1上创建本地帐号(用户名:A...
0基础学RS(九)思科AAA认证的本地AAA认证
weixin_45816894的博客
04-11 7684
AAA概述 AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。 AAA认证模式 本地AAA认证 基于服务器的AAA认证 本地AAA认证 本地AAA会在网络设备(如思科路由器)本地保存用户名和密码。用户向本地数据库认证自己的身份,如图所示。本地 AAA 是小型网络的理想选择。 使用CLI配置本地AAA认证 配置本地AAA认证步骤 配置用户名和密码 在路由器上全
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
热门推荐
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
思科AAA配置
最新发布
2301_79021209的博客
04-20 651
R1(config-line)#login authentication yuancheng #调用认证模式yuancheng。R1(config)#enable secret 1234 #配置本地认证密码1234(用户模式到特权模式密码为1234)R1(config)#aaa authentication login default local #登录模式为默认。R1(config)#aaa new-model #开启AAA认证。R1(config)#do wr # 保存。
Packet Tracer - 在思科路由器上配置 AAA 认证
傻傻的心动的博客
05-05 8254
Packet Tracer - 在思科路由器上配置 AAA 认证
Cisco Packet Tracer配置AAA认证
m0_64598287的博客
04-06 730
client ip 配置成RADIUS服务器的默认网关地址。连接TACAS的路由器做同样配置配置 RADIUS 服务器。配置 TACACS+ 服务器。RADIUS服务器的配置配置本地账户作为备用方法。Tacas服务器配置
【割接梳理】Cisco设备替换为Huawei/H3C的安全准入(AAA/Radius/Dot1X/MAC绑定)配置梳理
m0_51770049的博客
07-04 2742
某局点需要将数台Cisco Catalyst 2960接入交换机替换为Huawei S5731/H3C S5130交换机。本人的职责是负责检查及补充由Cisco翻译后的Huawei/H3C配置,现场支持设备割接。
Cisco AAA 认证 总结
weixin_34370347的博客
07-10 1263
Authentication 认证 一:使用本地数据库 R1>en R1(config)#aaa new-model(打开aaa认证) R1(config)#aaa authentication login default local 配置任何登入采用Local本地用户数据库 R1(config)#username bd...
思科的AAA认证配置超详细
06-05
本文将深入探讨如何在思科网络设备上配置AAA认证,以确保网络资源的安全访问。 **一、AAA的基本概念** 1. **身份验证(Authentication)**:验证用户的身份,通常通过用户名和密码、数字证书、智能卡等方式。 2. *...
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2....
思科安全AAA配置详解
05-29
入门的AAA配置步骤,适合考网络工程师及学习网络安全方面参考
配置本地和基于服务器的AAA
03-14
配置Local AAA和服务器基于AAA认证后,我们可以使用PC-A客户端连接到路由器R1,并验证Local AAA和服务器基于AAA认证的有效性。 通过本实验,我们可以了解如何配置Local AAA和服务器基于AAA认证,以提高网络设备的...
Freeradius和cisco ssh身份验证
08-28
FreeRADIUS+cisco 交换机ssh aaa认证。网上介绍FreeRADIUS安装配置的资料都比较旧,大部分是基于2.x版本的。本文档中涉及到的软件,都是比较新的版本,如FreeRADIUS是3.0版的,操作系统是Debian10.0.2,希望能对你有...
AAA验证、授权、统计)服务器配置案例
12-15
实验环境: 一台CISCO2501路由器作为AAA客户端,一台内网PC作为AAA服务器端,PC机上安装有CISCO SECURE ACS 服务器端软件
Cisco EOU
weixin_34293141的博客
02-22 643
aaa new-model /起用aaa认证aaa authentication login default line none /定义认证方式aaa authentication eou default group radius /定义EOU认证aaa authorization network default group radius/定义认证服务器ip admission name NAC-...
关于Cisco Packet Tracer中CHAP认证配置
weixin_58235104的博客
05-15 1760
步骤1:路由ip配置(省略) 步骤2:CHAP配置 路由r1 r1(config)#username r2password cisco //用户名为对端路由名,双方密码需一致 r1(config)#int s1/0 r1(config-if)#encapsulation ppp r1(config-if)#ppp authentication chap r1(config-if)#exit 路由r2 r2(config)#username r1 password ci...
cisco部分版本交换机配置AAA本地认证后,设备提示AAA: Warning authentication list “default“ is not defined for LOGIN
网络工程师日常的博客
09-19 532
cisco交换机配置AAA本地认证后,设备提示AAA: Warning authentication list "default" is not defined for LOGIN,console和vty认证不生效,console可以直接进入设备配置界面无需输入账号密码。
思科aaa配置命令
qq_42437085的博客
06-14 4894
我们将继续使用cisco Packet Tracer进行拓扑搭建,如图所示: 然后我们进入到路由器进行相关配置, Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#line console 0 Router(config-line)#no exec-timeout Router
cisco模拟器aaa配置实验
06-06
好的,我可以帮你解答关于cisco模拟器aaa配置的实验。 请注意,这是一个模拟实验,不要在生产环境中进行。 首先,你需要了解AAA的意思,即身份验证、授权和账户管理。AAA配置包括三个部分:认证(authentication)、授权(authorization)和账户管理(accounting)。 以下是一个基本的AAA配置示例: 首先,配置认证方式: ``` aaa authentication login default local ``` 以上命令将使用本地用户名和密码进行登录认证。你也可以使用其他的认证方式,如TACACS或RADIUS。 其次,配置授权方式: ``` aaa authorization exec default local ``` 以上命令将使用本地用户进行授权。你也可以使用其他的授权方式,如TACACS或RADIUS。 最后,配置账户管理: ``` aaa accounting exec default start-stop local ``` 以上命令将使用本地账户进行账户管理。你也可以使用其他的账户管理方式,如TACACS或RADIUS。 以上是一个基本的AAA配置示例。你可以根据需要进行修改和调整。 希望这能帮助你完成cisco模拟器aaa配置实验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值