如今計算機網絡發展日益迅猛,網絡技術解決方案各種各樣。在網絡技術長足發達的今天,網絡設備安全也一直是我們網絡維護工作人員的重要課題。下面我們將解決如何使路由交換設備做到更加安全地訪問,使用外部安全數據庫來對合法用戶進行驗證。那麼AAA將很好地解決我們上述需求。
上圖client端是以DHCP自動獲取的方式得到IP的,地址爲192.168.1.2,網關爲192.168.1.1,dns-server 是1921.168.2.2.
DHCP如何獲取配置到時再一起貼出了。
本實驗要求:client端自動獲取IP,telnet上R1時需要AAA服務器進行合法身份驗證 username ccna password ccna,R1與AAA共用KEY來交換驗證信息,R1 DNS域名爲AAA。DHCP已經配置完成,我們還要配置一下AAA服務器兼DNS-SERVER。如下圖配置即可。
AAA方面配置好後,我們需要配置R1,打開AAA功能,在telnet 時進行AAA驗證,而不是在本地數據庫。具體配置如下(還包括DHCP配置):
Building configuration...
Current configuration : 819 bytes
!
version 12.4
no service
timestamps log datetime msec
no service timestamps debug datetime msec
no
service password-encryption
!
hostname R1
!
enable password ccnp//使能密碼配置
!
ip dhcp excluded-address
192.168.1.1
!
ip dhcp pool zenfei
network 192.168.1.0
255.255.255.0
default-router 192.168.1.1
dns-server
192.168.2.2
!
!
aaa new-model!//啓用AAA服務。
aaa authentication login
radius group radius //AAA驗證使用radius服務器。
!
interface
FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex
auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1
255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip
address
shutdown
!
ip classless
!
!
!
!
radius-server
host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP
地址,R1與AAA服務器之間驗證時共用的KEY,與端口號。
!
line con 0
login
line vty 0
4
password ccnp
login
login authentication
radius//telnet時使用radius驗證。
!
!
!
end
基本網絡配置都配置好後,確保網絡聯通性沒問題就可以進行如下測試:
測試DNS是否成功:
測試AAA驗證是否成功:
這樣就完成客戶端合法telnet網絡設備了,加固了網絡設備的安全性,爲網絡安全高效有序的運行提供又一解決方案.
本文出自 “晨溪” 博客,請務必保留此出處http://zenfei.blog.51cto.com/763386/399694