网络安全之AAA配置(1)
如今计算机网络发展日益迅猛,网络技术解决方案各种各样。在网络技术长足发达的今天,网络设备安全也一直是我们网络维护工作人员的重要课题。下面我们将解决如何使路由交换设备做到更加安全地访问,使用外部安全数据库来对合法用户进行验证。那么AAA将很好地解决我们上述需求。
首先还是来一个简单的拓朴吧,
上图client端是以DHCP自动获取的方式得到IP的,地址为192.168.1.2,网关为192.168.1.1,dns-server 是1921.168.2.2.
DHCP如何获取配置到时再一起贴出了。
本实验要求:client端自动获取IP,telnet上R1时需要AAA服务器进行合法身份验证 username ccna password ccna,R1与AAA共用KEY来交换验证信息,R1 DNS域名为AAA。
DHCP已经实验,我们还要配置一下AAA服务器兼DNS-SERVER。如下图配置即可。
AAA方面配置好后,我们需要配置R1,打开AAA功能,在telnet 时进行AAA验证,而不是在本地数据库。具体配置如下(还包括DHCP配置):
Building configuration...
Current configuration : 819 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
enable password ccnp//使能密码配置
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool zenfei
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.2.2
!
!
aaa new-model!//启用AAA服务。
aaa authentication login radius group radius //AAA验证使用radius服务器。
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
!
!
!
radius-server host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP 地址,R1与AAA服务器之间验证时共用的KEY,与端口号。
!
line con 0
login
line vty 0 4
password ccnp
login
login authentication radius//telnet时使用radius验证。
!
!
!
end
基本网络配置都配置好后,确保网络联通性没问题就可以进行如下测试:
测试DNS是否成功:
测试AAA验证是否成功:
一切都OK!!!
这样我们就完成客户端合法telnet网络设备了,加固了网络设备的安全性,为网络安全高效有序的运行提供又一解决方案,呵呵,今天就小聊到这啦。下次见!
本文转自 Bruce_F5 51CTO博客,原文链接:http://blog.51cto.com/zenfei/399694
