交換機認證
交換機的認證功能可對用戶訪問交換機的方式進行控制���。
交換機默認使用本地定義的username密碼及enable密碼進行身份認證�。
可以配置交換機使用認證服務器來執行認證功能�����,例如 RADIUS或TACACS+服務器����。
在配置了RADIUS或TACACS+之后�,如果認證服務器發生故障����,啟用本地認證的方式登錄交換機尤為重要����。
有時�����,安全 Shell( SSH)登錄及802.1X端口認證需要配置身份認證功能�。
配置
交換機認證功能指定了在允許用戶訪問用戶模式或特權模式CLI提示符之前�����,核實用戶身份的方法�。認證方式可以使用交換機上的本地密碼�����,也可以通過TACACS或RADIUS服務器來實現來授權用戶�??墒褂孟铝忻顏砜刂平粨Q機上的用戶身份認證功能�����。
1.配置本地認證����。
默認的認證操作由交換機上的密碼來處理�。本章節列出的命令給出了如何啟用或停用默認的認證方式���。即使使用了服務器來進行認證���,也不應該停用本地認證功能����,因為如果認證服務器發生故障����,本地認證可為其提供“后門”�����,或者說成另外一種認證選擇�����。交換機具有兩級的身份認證:用戶級別和特權級別���。以下命令給給出了針對每種級別控制身份認證的方法���。
a.全局啟用AAA功能��。
(global)aaa new-model
(global)aaa authentication login {default | list-name} method1 [method2…]
此命令用來在交換機上全局地啟用本地AAA認證功能����,并在交換機上針對特定的訪問方式啟用用戶級別的本地認證功能�����。
b.在線口上啟用身份認證功能�。
(global) line [aux I consolel tty I vty] line- number [ ending- line- number ]
(global)login authentication [default I list-name]
此命令用來在特定的線口上啟用 AAA 身份認證功能����。
2.配置TACACS認證���。
還可以配置交換機使用TACACS服務器上的數據庫對用戶進行身份認證�。使用這種方法�,必須在TACACS服務器上配置用戶名和密碼�。服務器配置完成后��,可使用下面的命令來提供TACACS認證功能���。
a. 配置TACACS服務器���。
(global) tacacs-server host hostname [single-connection] [port integer] [timeout integer] [key string]
此命令用于指定TACACS服務器�。前提是交換機已經配置了管理IP及網關來到達認證服務器����?���?梢灾付ǘ嗯_服務器����,以防某臺服務器功能出現故障��。
b.啟用用戶級別的TACACS認證功能��。
(global) aaa authentication login (default I list -name] method1 [method2...]
在指定了服務器地址之后�,便可以使用tacacs選項針對對特定的訪問方式啟用用戶級別的認證功能�����。如果連續指定多個認證選項���,當第一種認證出現故障 2后��,將嘗試使用下一種方式認證�����,比如本地認證方式�����。
c.定義TACACS密鑰�����。
(global) tacacs-server key key
由于TACACS服務器與交換機之間的信息是加密的�,所以用戶必須使用該命令���,在交換機上定義TACACS守護進程加密所使用的密鑰key�。
3.配置RADIUS認證����。
除了本地認證或 TACACS 服務器認證方式之外���,還可以配置交換機使用RADIUS 服務器上的數據庫對用戶進行身份認證����。使用這種方法��,必須在 RADIUS服務器上配置用戶名和密碼�。服務器配置完成后����,可使用下面的命令來提供RADIUS 認證功能�����。
a.配置RADIUS服務器����。
(global) radius-server host [hostname | ip-address] [ auth-port port-number] [ acct-port port-number] [key string]
此命令用于指定RADIUS服務器���。前提是交換機已經配置了管理 IP 及網關來到達認證服務器����?���?梢灾付ǘ嗯_服務器���,以防某臺服務器功能出現故障��。
b. 啟用用戶級別的RADIUS認證功能�����。
(global) aaa authentication login {default | list-name} method1 [method2…]
在指定了服務器地址之后�����,便可以使用 radius 選項針對對特定的訪問方式啟用用戶級別的認證功能�。如果連續指定多個認證選項��,當第一種認證出現故障后���,將嘗試使用下一種方式認證�����,比如本地認證方式�。
c. 定義RADIUS密鑰�。
(global) radius-server key string
由于RADIUS服務器與交換機之間的信息是加密的����,所以用戶必須使用該命令��,在交換機上定義RADIUS守護進程加密所使用的密鑰 key��。
驗證配置
可使用下列命令來驗證身份認證的配置����。
(privileged) show radius statistics
(privileged) show tacacs
配置實例
此例給出的是一臺配置了身份認證功能的交換機��。其使用地址為 192.68.1.10的 RADIUS 服務器作為Telnet用戶的首選認證方法���,還使用了地址為 192.168.1.8 的TACACS 服務器作為console用戶的首選認證方法��。TACACS的密鑰為abc123���,
RADIUS的密鑰為789xyz�����。
配置如下�。
Switch# conf t
Switch(config)# aaa new-model
Switch(config)# ip radius source-interface loopback 0
Switch(config)# radius-server host 192.168.1.10
Switch(config)# aaa authentication login CONSOLE group radius
Switch(config)# radius-server key 789xyz
Switch(config)# line console 0
Switch(config-line)# login authentication CONSOLE
Switch(config-line)# exit
Switch(config)# ip tacacs source-interface loopback 0
Switch(config)# tacacs-server host 192.168.1.8
Switch(config)# aaa authentication login TELNET group tacacs+
Switch(config)# tacacs-server key abc123
Switch(config)# line vty 0 4
Switch(config-line)# login authentication TELNET
18922156670
