Cisco AAA配置
當您的網路中部署了一臺集中的radius校驗伺服器(比如我司的SAM,cisco的ACS等),希望對登陸裝置的使用者身份進行合法性校驗,而賬號都統一由該radius伺服器集中產生與維護,您希望所有的登入操作(比如console口登陸,telnet登陸等)的使用者提交的使用者名稱&密碼都必須經過該radius伺服器驗證下,而不是採用裝置原來自己配置的本地賬號密碼的時候,就可以採用該功能,從而保證合法的管理員允許登入裝置進行管理,而非法的使用者將被一律拒絕。
通常該功能適用於高安全,高敏感性要求的行業,比如金融,政府,運營商行業。
功能簡介:
AAA提供認證功能,可以對登陸裝置(比如console口登入,telnet登入等)的使用者身份進行驗證,認證協議採用標準的Radius,這樣配合統一的校驗伺服器(比如我司的SAM,cisco的ACS等)管理賬號,驗證使用者名稱&密碼的合法性,最終實現授權的使用者才能管理到裝置。
一、組網需求
1、為了便於管理交換機,客戶要求登入交換機的使用者名稱和密碼從radius伺服器上取,如果radius伺服器無響應,那麼從本地取使用者名稱和密碼;
2、為了防止使用者在Login認證的時候,使用窮舉法破解密碼,限制使用者Login嘗試次數為3次,在Login失敗達到3次時,使用者將被鎖定1小時不能登入(預設情況下,login嘗試失敗次數為3次,被鎖定的時間限制為15小時或15分鐘(不同軟體版本的鎖定時間可能不一樣))。
二、組網拓撲
三、配置要點
1、在交換機上需要開啟AAA功能,並且配置radius伺服器及key等相關引數
2、優化AAA登入的配置(AAA lock)
3、Radius伺服器上新增交換機及賬戶資訊
四、配置步驟
交換機的配置如下:
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>開啟AAA功能
Ruijie(config)#radius-server host 192.168.33.244 ------>配置radius IP
Ruijie(config)#radius-server key ruijie ------>配置與radius通訊的key
Ruijie(config)#aaa authentication login ruijie group radius local ------>設定登入方法認證列表為ruijie,先用radius組認證,如果radius無法響應,將用本地使用者名稱和密碼登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication ruijie ------>vty模式下應用login認證
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地使用者名稱和密碼
Ruijie(config)#enable password ruijie ------>配置enable密碼
Ruijie(config)#service password-encryption ------>對密碼進行加密,這樣show run就是密文顯示配置的密碼
Ruijie(config)#aaa local authentication attempts 3 ------>配置限制使用者嘗試次數為3次,如果3次輸入對了使用者名稱但是輸錯了密碼,將會無法登入交換機
Ruijie(config)#aaa local authentication lockout-time 1 ------>如果無法登入後,需要等待1小時才能再次嘗試登入系統
Ruijie(config)#interface vlan 1
Ruijie(config-if-VLAN 1)#ip add 192.168.33.161 255.255.255.0
Ruijie(config-if-VLAN 1)#end
Ruijie#write ------> 確認配置正確,儲存配置
radius伺服器的配置如下:
這裡radius伺服器使用SAM,SAM上的配置如下:
1、在系統管理---->裝置管理------>新增裝置上,新增交換機的IP、key值
2、在安全管理---->裝置管理許可權------>新增裝置管理許可權,建立交換機的login登入許可權名,然後點選增加條目,如下:
3、在安全管理---->裝置管理員------>新增裝置管理員,建立登入交換機的使用者名稱和密碼,這裡我輸入的使用者名稱是2017,密碼是2017
五、功能驗證
1、在電腦上開始------>執行------->輸入CMD,然後telnet交換機的IP地址
2、敲入回車後,輸入使用者名稱和密碼,進入Ruijie>模式,輸入enable密碼後進入Ruijie#模式
3、檢視登入使用者的狀態
4、當radius 伺服器掛掉後,此時電腦輸入使用者名稱2017,密碼2017,無法登入到交換機,
5、當連續輸錯三次密碼後,再次輸入正確的使用者名稱將無法登入系統
六、補充說明
1、交換機上只要開啟了AAA功能,即只要在交換機上配置了Ruijie(config)#aaa new-model命令,那麼交換機會自動在line vty 模式下開啟AAA認證,要求telnet的使用者使用本地的使用者名稱和密碼進行的登入,所以此時必須要在交換機的全域性配置模式下建立本地使用者名稱和密碼,例如建立使用者名稱admin,密碼ruijie,命令如下:
Ruijie(config)#username admin password ruijie
2、如果需要實現console口登入也需要使用本地使用者名稱和密碼進行登入,可以使用如下命令實現:
Ruijie(config)#aaa new-model ------>開啟AAA功能
Ruijie(config)#aaa authentication login local ------>設定登入方法認證列表為ruijie,用本地使用者名稱和密碼登入
Ruijie(config)#username admin password ruijie
Ruijie(config)#line console 0
Ruijie(config-line)#login authentication ruijie
Ruijie(config-line)#end
3、如果需要實現enable登入也需要使用本地使用者名稱和密碼進行登入,可以使用如下命令實現:
Ruijie(config)#aaa new-model ------>開啟AAA功能
Ruijie(config)#aaa authentication enable default local ------>設定enable認證使用用本地使用者名稱和密碼登入
Ruijie(config)#username admin password ruijie
4、如果需要實現telnet交換機不需要輸入enable密碼,可以將本地使用者名稱的許可權改為15,如下:
Ruijie(config)#username admin password ruijie
Ruijie(config)#username admin privilege 15
5、如果需要實現不需要任何使用者名稱和密碼就能telnet登入交換機,可以使用如下命令實現:
注:交換機如上設定後就不需要任何使用者名稱和密碼就能遠端telnet到交換機#號模式,這樣交換機很危險,我們不建議這麼做。
Ruijie(config)#aaa new-model
Ruijie(config)#aaa authentication login default none
Ruijie(config)#line vty 0 4
Ruijie(config-line)#privilege level 15
Ruijie(config-line)#end