当您的网络中部署了一台集中的radius校验服务器(比如我司的SAM,cisco的ACS等),希望对登陆设备的用户身份进行合法性校验,而账号都统一由该radius服务器集中产生与维护,您希望所有的登入操作(比如console口登陆,telnet登陆等)的用户提交的用户名&密码都必须经过该radius服务器验证下,而不是采用设备原来自己配置的本地账号密码的时候,就可以采用该功能,从而保证合法的管理员允许登入设备进行管理,而非法的用户将被一律拒绝。
通常该功能适用于高安全,高敏感性要求的行业,比如金融,政府,运营商行业。
功能简介:
AAA提供认证功能,可以对登陆设备(比如console口登入,telnet登入等)的用户身份进行验证,认证协议采用标准的Radius,这样配合统一的校验服务器(比如我司的SAM,cisco的ACS等)管理账号,验证用户名&密码的合法性,最终实现授权的用户才能管理到设备。
一、组网需求
1、为了便于管理交换机,客户要求登入交换机的用户名和密码从radius服务器上取,如果radius服务器无响应,那么从本地取用户名和密码;
2、为了防止用户在Login认证的时候,使用穷举法破解密码,限制用户Login尝试次数为3次,在Login失败达到3次时,用户将被锁定1小时不能登录(默认情况下,login尝试失败次数为3次,被锁定的时间限制为15小时或15分钟(不同软件版本的锁定时间可能不一样))。
二、组网拓扑
三、配置要点
1、在交换机上需要开启AAA功能,并且配置radius服务器及key等相关参数
2、优化AAA登录的配置(AAA lock)
3、Radius服务器上添加交换机及账户信息
四、配置步骤
交换机的配置如下:
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#radius-server host 192.168.33.244 ------>配置radius IP
Ruijie(config)#radius-server key ruijie ------>配置与radius通信的key
Ruijie(config)#aaa authentication login ruijie group radius local ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication ruijie ------>vty模式下应用login认证
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地用户名和密码
Ruijie(config)#enable password ruijie ------>配置enable密码
Ruijie(config)#service password-encryption ------>对密码进行加密,这样show run就是密文显示配置的密码
Ruijie(config)#aaa local authentication attempts 3 ------>配置限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机
Ruijie(config)#aaa local authentication lockout-time 1 ------>如果无法登入后,需要等待1小时才能再次尝试登入系统
Ruijie(config)#interface vlan 1
Ruijie(config-if-VLAN 1)#ip add 192.168.33.161 255.255.255.0
Ruijie(config-if-VLAN 1)#end
Ruijie#write ------> 确认配置正确,保存配置
radius服务器的配置如下:
这里radius服务器使用SAM,SAM上的配置如下:
1、在系统管理---->设备管理------>添加设备上,添加交换机的IP、key值
2、在安全管理---->设备管理权限------>添加设备管理权限,创建交换机的login登入权限名,然后点击增加条目,如下:
3、在安全管理---->设备管理员------>添加设备管理员,创建登入交换机的用户名和密码,这里我输入的用户名是2017,密码是2017
五、功能验证
1、在电脑上开始------>运行------->输入CMD,然后telnet交换机的IP地址
2、敲入回车后,输入用户名和密码,进入Ruijie>模式,输入enable密码后进入Ruijie#模式
3、查看登入用户的状态
4、当radius 服务器挂掉后,此时电脑输入用户名2017,密码2017,无法登入到交换机,
5、当连续输错三次密码后,再次输入正确的用户名将无法登入系统
六、补充说明
1、交换机上只要开启了AAA功能,即只要在交换机上配置了Ruijie(config)#aaa new-model命令,那么交换机会自动在line vty 模式下开启AAA认证,要求telnet的用户使用本地的用户名和密码进行的登入,所以此时必须要在交换机的全局配置模式下创建本地用户名和密码,例如创建用户名admin,密码ruijie,命令如下:
Ruijie(config)#username admin password ruijie
2、如果需要实现console口登入也需要使用本地用户名和密码进行登入,可以使用如下命令实现:
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa authentication login local ------>设置登入方法认证列表为ruijie,用本地用户名和密码登入
Ruijie(config)#username admin password ruijie
Ruijie(config)#line console 0
Ruijie(config-line)#login authentication ruijie
Ruijie(config-line)#end
3、如果需要实现enable登入也需要使用本地用户名和密码进行登入,可以使用如下命令实现:
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa authentication enable default local ------>设置enable认证使用用本地用户名和密码登入
Ruijie(config)#username admin password ruijie
4、如果需要实现telnet交换机不需要输入enable密码,可以将本地用户名的权限改为15,如下:
Ruijie(config)#username admin password ruijie
Ruijie(config)#username admin privilege 15
5、如果需要实现不需要任何用户名和密码就能telnet登入交换机,可以使用如下命令实现:
注:交换机如上设置后就不需要任何用户名和密码就能远程telnet到交换机#号模式,这样交换机很危险,我们不建议这么做。
Ruijie(config)#aaa new-model
Ruijie(config)#aaa authentication login default none
Ruijie(config)#line vty 0 4
Ruijie(config-line)#privilege level 15
Ruijie(config-line)#end
- H3C、Huawei、Cisco网络设备AAA TACACS认证配置
TACACS技术白皮书 摘要:TACACS是实现AAA功能的一种安全协议,主要是通过TACACS客户端与TACACS服务器通信来实现多种用户的AAA功能. HWTACACS采用TCP协议承载报文,TC ...
- 基于思科模拟器的AAA配置与验证
拓扑图: 地址表如图所示 三个路由器之间采用ospf协议达到互通 先做ping通测试 由ApingB 由ApingC 配置AAA认证 在R1上 R1(config)#username shuaiqiy ...
- 在思科路由器上配置AAA实验(Cisco PT)
1.拓扑图 Addressing Table 地址表 Device Interface IP Address Subnet Mask R1 Fa0/0 192.168.1.1 ...
- 详解Cisco ACS AAA认证-1(转)
转自:http://www.360doc.com/content/12/0611/17/8797027_217495523.shtml作者:luobo2012 近来,有些同学会问到关于AAA认证的问题 ...
- 在思科模拟器上配置AAA认证
1.实验拓扑 2.检测用户之间连通性 PC2 ping PC-A PC-C ping PC-A 3.路由及服务器配置 R1:在路由器R1上配置一个本地用户账号并且利用本地AAA通过console ...
- 在思科路由器上配置AAA认证
1.实验拓扑 网络情况 PC-A PING PC-B PC-A PING PC-C PC-B PING PC-C 2.R1的配置 a.console线 R1(config)#username admi ...
- 【Mongodb】3.X 配置身份验证
配置身份验证详解: 开启认证: 启动MongoDB./mongodb --syslog --fork --port 20000 --auth 1.如果不添加参数:auth,表明用默认的root的权限 ...
- vb6-很简单的配置密码验证提示
'很简单的配置密码验证提示 Dim add As String add = Trim(InputBox("请输入配置密码", "报表配置")) If add = ...
- Java工具类——通过配置XML验证Map
Java工具类--通过配置XML验证Map 背景 在JavaWeb项目中,接收前端过来的参数时通常是使用我们的实体类进行接收的.但是呢,我们不能去决定已经搭建好的框架是怎么样的,在我接触的框架中有一种 ...
随机推荐
- AOP及spring AOP的使用
介绍 AOP是一种概念(思想),并没有设定具体语言的实现. AOP是对oop的一种补充,不是取而代之. 具体思想:定义一个切面,在切面的纵向定义处理方法,处理完成之后,回到横向业务流. 特征 散布于应 ...
- React-Native 学习笔记-Android开发平台-开发环境搭建
详细步骤请查看官网对应文档,BUT,有些注意事项请注意! 1,优先安装Node.js,因为后面可以使用npm安装软件, 2,注意不要使用CNPM!!!!!!!!! 3,Android Studio 请 ...
- IntelliJ IDEA 17和Maven构建javaWeb项目
前言 电脑又断电了,眼看着写好的东西就没有了,这是第二次犯这个错误了.很难受呀!还是回到正题吧,我们来使用IDEA和Maven构建一个JavaWeb项目 软件环境: IDEA:2017.2.1 JDK ...
- MySQL数据库全备
#function:MYSQL自动全备 #version:1.0.0 #author:wangyanlin #date:2017/08/03 #---------------------------- ...
- c语言字符相关函数
1.fgetc(getc)fputc(putc)区别: getc和putc都是针对标准输入输出的,而fgetc和fputc可以对任意的文件操作,也可以用fgetc和fputc对标准输入输出操作fget ...
- [国嵌攻略][174][CGI快速入门-网页控制LED]
CGI程序(Common Gate Way Interface) 在服务器外部供服务器调用的程序,CGI程序与服务器配合后能让服务器完成更强大的功能. 1.浏览器通过HTML表单或超链接请求指向一个C ...
- [国嵌攻略][107][Linux进程管理子系统]
进程与程序 1.程序:存放在磁盘上的一系列代码和数据的可执行映像,是一个静止的实体. 2.进程:是一个执行中的程序,它是一个动态的实体. 进程四要素 1.有一段程序供其执行.这段程序不一定是某个进程所 ...
- JavaScript实现职责链模式
什么是职责链模式 职责链模式的定义是:使多个对象都有机会处理请求,从而避免请求的发送者和接收者之间的耦合关系,将这些对象连成一条链,并沿着这条链传递该请求,直到有一个对象处理它为止.举个例子:当你从公 ...
- 把自己的js模块兼容到AMD CMD CommonJS
为了让同一个模块可以运行在前后端,在写作过程中需要考虑兼容前端也实现了模块规范的环境.为了保持前后端的一致性,类库开发者需要将类库代码包装在一个闭包内.以下代码演示如何将hello()方法定义到不同的 ...
- vmstat & mpstat & w
vmstat # vmstat 3 2procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu----- ...