如今计算机网络发展日益迅猛,网络技术解决方案各种各样。在网络技术长足发达的今天,网络设备安全也一直是我们网络维护工作人员的重要课题。下面我们将解决如何使路由交换设备做到更加安全地访问,使用外部安全数据库来对合法用户进行验证。那么AAA将很好地解决我们上述需求。

    

网络安全之AAA配置_第1张图片 

    上图client端是以DHCP自动获取的方式得到IP的,地址为192.168.1.2,网关为192.168.1.1,dns-server 是1921.168.2.2.

网络安全之AAA配置_第2张图片

DHCP如何获取配置到时再一起贴出了。 

    本实验要求:client端自动获取IP,telnet上R1时需要AAA服务器进行合法身份验证 username ccna password ccna,R1与AAA共用KEY来交换验证信息,R1 DNS域名为AAA。DHCP已经配置完成,我们还要配置一下AAA服务器兼DNS-SERVER。如下图配置即可。

 

 网络安全之AAA配置_第3张图片

 

网络安全之AAA配置_第4张图片

    AAA方面配置好后,我们需要配置R1,打开AAA功能,在telnet 时进行AAA验证,而不是在本地数据库。具体配置如下(还包括DHCP配置):

Building configuration...

Current configuration : 819 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1

!
enable password ccnp//使能密码配置
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool zenfei
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 192.168.2.2
!
!
aaa new-model!//启用AAA服务。
aaa authentication login radius group radius //AAA验证使用radius服务器。
!

interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
!
!
!
!
radius-server host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP 地址,R1与AAA服务器之间验证时共用的KEY,与端口号。
!
line con 0
 login
line vty 0 4
 password ccnp
 login
 login authentication radius//telnet时使用radius验证。
!
!
!
end
 

基本网络配置都配置好后,确保网络联通性没问题就可以进行如下测试:

测试DNS是否成功:

网络安全之AAA配置_第5张图片

测试AAA验证是否成功:

网络安全之AAA配置_第6张图片


    这样就完成客户端合法telnet网络设备了,加固了网络设备的安全性,为网络安全高效有序的运行提供又一解决方案.