網絡安全之AAA配置

   現在計算機網絡發展日益迅猛，網絡技術解決方案各類各樣。在網絡技術長足發達的今天，網絡設備安全也一直是咱們網絡維護工做人員的重要課題。下面咱們將解決如何使路由交換設備作到更加安全地訪問，使用外部安全數據庫來對合法用戶進行驗證。那麼AAA將很好地解決咱們上述需求。

    

 

    上圖client端是以DHCP自動獲取的方式獲得IP的，地址爲192.168.1.2，網關爲192.168.1.1,dns-server 是1921.168.2.2.

DHCP如何獲取配置到時再一塊兒貼出了。 

    本實驗要求：client端自動獲取IP，telnet上R1時須要AAA服務器進行合法身份驗證 username ccna password ccna,R1與AAA共用KEY來交換驗證信息，R1 DNS域名爲AAA。DHCP已經配置完成，咱們還要配置一下AAA服務器兼DNS-SERVER。以下圖配置便可。

 

 

 

    AAA方面配置好後，咱們須要配置R1，打開AAA功能，在telnet 時進行AAA驗證，而不是在本地數據庫。具體配置以下（還包括DHCP配置）：

Building configuration...

Current configuration : 819 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1

!
enable password ccnp//使能密碼配置
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool zenfei
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 192.168.2.2
!
!
aaa new-model!//啓用AAA服務。
aaa authentication login radius group radius //AAA驗證使用radius服務器。
!

interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
!
!
!
!
radius-server host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP 地址，R1與AAA服務器之間驗證時共用的KEY，與端口號。
!
line con 0
 login
line vty 0 4
 password ccnp
 login
 login authentication radius//telnet時使用radius驗證。
!
!
!
end
 

基本網絡配置都配置好後，確保網絡聯通性沒問題就能夠進行以下測試：

測試DNS是否成功：

測試AAA驗證是否成功：

    這樣就完成客戶端合法telnet網絡設備了，加固了網絡設備的安全性，爲網絡安全高效有序的運行提供又一解決方案.

本文出自 「晨溪」 博客，請務必保留此出處http://zenfei.blog.51cto.com/763386/399694