Cisco配置aaa验证

当您的网络中部署了一台集中的radius校验服务器（比如我司的SAM，cisco的ACS等），希望对登陆设备的用户身份进行合法性校验，而账号都统一由该radius服务器集中产生与维护，您希望所有的登入操作（比如console口登陆，telnet登陆等）的用户提交的用户名&密码都必须经过该radius服务器验证下，而不是采用设备原来自己配置的本地账号密码的时候，就可以采用该功能，从而保证合法的管理员允许登入设备进行管理，而非法的用户将被一律拒绝。

通常该功能适用于高安全，高敏感性要求的行业，比如金融，政府，运营商行业。

 

功能简介：

AAA提供认证功能，可以对登陆设备(比如console口登入，telnet登入等)的用户身份进行验证，认证协议采用标准的Radius，这样配合统一的校验服务器（比如我司的SAM，cisco的ACS等）管理账号，验证用户名&密码的合法性，最终实现授权的用户才能管理到设备。

 

 

一、组网需求

1、为了便于管理交换机，客户要求登入交换机的用户名和密码从radius服务器上取，如果radius服务器无响应，那么从本地取用户名和密码；

2、为了防止用户在Login认证的时候，使用穷举法破解密码，限制用户Login尝试次数为3次，在Login失败达到3次时，用户将被锁定1小时不能登录（默认情况下，login尝试失败次数为3次，被锁定的时间限制为15小时或15分钟（不同软件版本的锁定时间可能不一样））。

 

 

二、组网拓扑

三、配置要点

 

1、在交换机上需要开启AAA功能，并且配置radius服务器及key等相关参数

2、优化AAA登录的配置（AAA lock）

3、Radius服务器上添加交换机及账户信息

 

四、配置步骤  

交换机的配置如下：

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#radius-server host 192.168.33.244   ------>配置radius IP

Ruijie(config)#radius-server key ruijie      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login ruijie group radius local   ------>设置登入方法认证列表为ruijie，先用radius组认证，如果radius无法响应，将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication ruijie    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie   ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie         ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密，这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配置限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后，需要等待1小时才能再次尝试登入系统

Ruijie(config)#interface vlan 1

Ruijie(config-if-VLAN 1)#ip add 192.168.33.161 255.255.255.0 

Ruijie(config-if-VLAN 1)#end

Ruijie#write   ------> 确认配置正确，保存配置

 

radius服务器的配置如下：

这里radius服务器使用SAM，SAM上的配置如下：

1、在系统管理---->设备管理------>添加设备上，添加交换机的IP、key值

2、在安全管理---->设备管理权限------>添加设备管理权限，创建交换机的login登入权限名，然后点击增加条目，如下：

3、在安全管理---->设备管理员------>添加设备管理员，创建登入交换机的用户名和密码，这里我输入的用户名是2017，密码是2017

五、功能验证

1、在电脑上开始------>运行------->输入CMD，然后telnet交换机的IP地址

2、敲入回车后，输入用户名和密码，进入Ruijie>模式，输入enable密码后进入Ruijie#模式

3、查看登入用户的状态

4、当radius 服务器挂掉后，此时电脑输入用户名2017，密码2017，无法登入到交换机，

5、当连续输错三次密码后，再次输入正确的用户名将无法登入系统

 

六、补充说明

1、交换机上只要开启了AAA功能，即只要在交换机上配置了Ruijie(config)#aaa new-model命令，那么交换机会自动在line vty 模式下开启AAA认证，要求telnet的用户使用本地的用户名和密码进行的登入，所以此时必须要在交换机的全局配置模式下创建本地用户名和密码，例如创建用户名admin，密码ruijie，命令如下：

Ruijie(config)#username admin password ruijie

2、如果需要实现console口登入也需要使用本地用户名和密码进行登入，可以使用如下命令实现：

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa authentication login local   ------>设置登入方法认证列表为ruijie，用本地用户名和密码登入

Ruijie(config)#username admin password ruijie

Ruijie(config)#line console 0

Ruijie(config-line)#login authentication ruijie

Ruijie(config-line)#end

3、如果需要实现enable登入也需要使用本地用户名和密码进行登入，可以使用如下命令实现：

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa authentication enable default local   ------>设置enable认证使用用本地用户名和密码登入

Ruijie(config)#username admin password ruijie

4、如果需要实现telnet交换机不需要输入enable密码，可以将本地用户名的权限改为15，如下：

Ruijie(config)#username admin password ruijie

Ruijie(config)#username admin privilege 15

5、如果需要实现不需要任何用户名和密码就能telnet登入交换机，可以使用如下命令实现：

注：交换机如上设置后就不需要任何用户名和密码就能远程telnet到交换机#号模式，这样交换机很危险，我们不建议这么做。

Ruijie(config)#aaa new-model  

Ruijie(config)#aaa authentication login default none

Ruijie(config)#line vty 0 4

Ruijie(config-line)#privilege level 15

Ruijie(config-line)#end