網絡安全之AAA配置(1)
如今計算機網絡發展日益迅猛,網絡技術解決方案各種各樣。在網絡技術長足發達的今天,網絡裝置安全也一直是我們網絡維護從業人員的重要課題。下面我們将解決如何使路由交換裝置做到更加安全地通路,使用外部安全資料庫來對合法使用者進行驗證。那麼AAA将很好地解決我們上述需求。
首先還是來一個簡單的拓樸吧,
上圖client端是以DHCP自動擷取的方式得到IP的,位址為192.168.1.2,網關為192.168.1.1,dns-server 是1921.168.2.2.
<a target="_blank" href="http://blog.51cto.com/attachment/201009/224316101.jpg"></a>
DHCP如何擷取配置到時再一起貼出了。
本實驗要求:client端自動擷取IP,telnet上R1時需要AAA伺服器進行合法身份驗證 username ccna password ccna,R1與AAA共用KEY來交換驗證資訊,R1 DNS域名為AAA。
DHCP已經實驗,我們還要配置一下AAA伺服器兼DNS-SERVER。如下圖配置即可。
<a target="_blank" href="http://blog.51cto.com/attachment/201009/225305909.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201009/230619522.jpg"></a>
AAA方面配置好後,我們需要配置R1,打開AAA功能,在telnet 時進行AAA驗證,而不是在本地資料庫。具體配置如下(還包括DHCP配置):
Building configuration...
Current configuration : 819 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
hostname R1
enable password ccnp//使能密碼配置
ip dhcp excluded-address 192.168.1.1
ip dhcp pool zenfei
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.2.2
aaa new-model!//啟用AAA服務。
aaa authentication login radius group radius //AAA驗證使用radius伺服器。
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
interface Vlan1
no ip address
shutdown
ip classless
radius-server host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP 位址,R1與AAA伺服器之間驗證時共用的KEY,與端口号。
line con 0
login
line vty 0 4
password ccnp
login authentication radius//telnet時使用radius驗證。
end
基本網絡配置都配置好後,確定網絡聯通性沒問題就可以進行如下測試:
測試DNS是否成功:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/230118520.jpg"></a>
測試AAA驗證是否成功:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/230327494.jpg"></a>
一切都OK!!!
這樣我們就完成用戶端合法telnet網絡裝置了,加強了網絡裝置的安全性,為網絡安全高效有序的運作提供又一解決方案,呵呵,今天就小聊到這啦。下次見!
本文轉自 Bruce_F5 51CTO部落格,原文連結:http://blog.51cto.com/zenfei/399694