經過WindowsServer2008R2 NPS完成對Cisco設備的Telnet/SSH 的Radius認證

你們知道對於一個稍具規模的公司來講，網絡設備幾乎都在幾十臺到上百臺，對於平常的管理來講若是隻經過本地帳號管理設備登錄是很是繁瑣的，尤爲是網絡工程師流動性比較大的公司。對於入離職流程過程當中的帳號增刪改不是一個小的工做量，因此咱們就須要一個統一的登錄方式好比經過Raidus。

下面是拿Cisco和Windows NPS 來舉例說明：

Cisco  SSH 配置：

第一步開啓交換機的SSH：

enable secret password

ip domain-name contosoc.om

username user privilege 15 secret password  
crypto key generate rsa general-keys modulus 1024

ip ssh version 2

第二步：開啓AAA認證：

aaa new-model

aaa group server radius NPSserver  
server-private NPSServerIP auth-port 1645 acct-port 1646 key password

exit  
aaa authentication login default group NPSserver local    
aaa authorization exec default group NPSserver local

radius-server timeout 30

line vty 0 4

transport input ssh  
login authentication default

do write

ip radius source-interface vlan1 若是交換機有多個Ip接口須要手動指定一個源接口做爲認證 接口。好比你的管理IP，若是就一個這條命令可寫可不寫

第三步：開啓console本地認證(做爲設備登錄的最後一個關口 Console認證咱們採用本地認證，在Radius出現問題的時候咱們還能夠登錄)，關閉Telnet

aaa authentication login console local  
aaa authorization exec console local

line console 0

no password

login authentication console

authorization exec console

exit

line vty 0 4

no password

line vty 5 15

no password

transport input none

do write

第二種認證方式：Cisco Telnet設置：

enable secret password

username user secret password

aaa new-model  
aaa authentication login NPSserver group radius local    
aaa authorization exec NPSserver group radius local

ip radius source-interface vlan1  
radius-server host NPSServerIP auth-port 1812 acct-port 1813 key ourgame    
radius-server timeout 30    
line vty 0 4    
login authentication NPSserver    
authorization exec NPSserver

do write

 

NPS 配置：

第三步：配置NPS

新建網絡策略：

選擇用戶組