網(wǎng)工必備技能-交換機(jī)認(rèn)證

交換機(jī)認(rèn)證交換機(jī)的認(rèn)證功能可對用戶訪問交換機(jī)的方式進(jìn)行控制。交換機(jī)默認(rèn)使用本地定義的username密碼及enable密碼進(jìn)行身份認(rèn)證。可以配置交換機(jī)使用認(rèn)證服務(wù)器來執(zhí)行認(rèn)證功能，例如 RADIUS或TACACS+服務(wù)器。在配置了RADIUS或TACACS+之后，如果認(rèn)證服務(wù)器發(fā)生故障，啟用本地認(rèn)證的方式登錄交換機(jī)尤為重要。有時(shí)，安全 Shell（ SSH）登錄及802.1X端口認(rèn)證需要配置身份認(rèn)證功能。
配置交換機(jī)認(rèn)證功能指定了在允許用戶訪問用戶模式或特權(quán)模式CLI提示符之前，核實(shí)用戶身份的方法。認(rèn)證方式可以使用交換機(jī)上的本地密碼，也可以通過TACACS或RADIUS服務(wù)器來實(shí)現(xiàn)來授權(quán)用戶?？墒褂孟铝忻顏砜刂平粨Q機(jī)上的用戶身份認(rèn)證功能。1．配置本地認(rèn)證。默認(rèn)的認(rèn)證操作由交換機(jī)上的密碼來處理。本章節(jié)列出的命令給出了如何啟用或停用默認(rèn)的認(rèn)證方式。即使使用了服務(wù)器來進(jìn)行認(rèn)證，也不應(yīng)該停用本地認(rèn)證功能，因?yàn)槿绻J(rèn)證服務(wù)器發(fā)生故障，本地認(rèn)證可為其提供“后門”，或者說成另外一種認(rèn)證選擇。交換機(jī)具有兩級的身份認(rèn)證：用戶級別和特權(quán)級別。以下命令給給出了針對每種級別控制身份認(rèn)證的方法。a．全局啟用AAA功能。（global）aaa new-model（global）aaa authentication login {default | list-name} method1 [method2…]
此命令用來在交換機(jī)上全局地啟用本地AAA認(rèn)證功能，并在交換機(jī)上針對特定的訪問方式啟用用戶級別的本地認(rèn)證功能。
b．在線口上啟用身份認(rèn)證功能。(global) line [aux I consolel tty I vty] line- number [ ending- line- number ](global)login authentication [default I list-name]此命令用來在特定的線口上啟用 AAA 身份認(rèn)證功能。2．配置TACACS認(rèn)證。還可以配置交換機(jī)使用TACACS服務(wù)器上的數(shù)據(jù)庫對用戶進(jìn)行身份認(rèn)證。使用這種方法，必須在TACACS服務(wù)器上配置用戶名和密碼。服務(wù)器配置完成后，可使用下面的命令來提供TACACS認(rèn)證功能。
a． 配置TACACS服務(wù)器。（global） tacacs-server host hostname [single-connection] [port integer] [timeout integer] [key string]此命令用于指定TACACS服務(wù)器。前提是交換機(jī)已經(jīng)配置了管理IP及網(wǎng)關(guān)來到達(dá)認(rèn)證服務(wù)器?？梢灾付ǘ嗯_(tái)服務(wù)器，以防某臺(tái)服務(wù)器功能出現(xiàn)故障。
b．啟用用戶級別的TACACS認(rèn)證功能。(global) aaa authentication login (default I list -name] method1 [method2...]在指定了服務(wù)器地址之后，便可以使用tacacs選項(xiàng)針對對特定的訪問方式啟用用戶級別的認(rèn)證功能。如果連續(xù)指定多個(gè)認(rèn)證選項(xiàng)，當(dāng)?shù)谝环N認(rèn)證出現(xiàn)故障 2后，將嘗試使用下一種方式認(rèn)證，比如本地認(rèn)證方式。c．定義TACACS密鑰。(global) tacacs-server key key由于TACACS服務(wù)器與交換機(jī)之間的信息是加密的，所以用戶必須使用該命令，在交換機(jī)上定義TACACS守護(hù)進(jìn)程加密所使用的密鑰key。3．配置RADIUS認(rèn)證。除了本地認(rèn)證或 TACACS 服務(wù)器認(rèn)證方式之外，還可以配置交換機(jī)使用RADIUS 服務(wù)器上的數(shù)據(jù)庫對用戶進(jìn)行身份認(rèn)證。使用這種方法，必須在 RADIUS服務(wù)器上配置用戶名和密碼。服務(wù)器配置完成后，可使用下面的命令來提供RADIUS 認(rèn)證功能。
a．配置RADIUS服務(wù)器。(global) radius-server host [hostname | ip-address] [ auth-port port-number] [ acct-port port-number] [key string]
此命令用于指定RADIUS服務(wù)器。前提是交換機(jī)已經(jīng)配置了管理 IP 及網(wǎng)關(guān)來到達(dá)認(rèn)證服務(wù)器。可以指定多臺(tái)服務(wù)器，以防某臺(tái)服務(wù)器功能出現(xiàn)故障。b． 啟用用戶級別的RADIUS認(rèn)證功能。（global） aaa authentication login {default | list-name} method1 [method2…]在指定了服務(wù)器地址之后，便可以使用 radius 選項(xiàng)針對對特定的訪問方式啟用用戶級別的認(rèn)證功能。如果連續(xù)指定多個(gè)認(rèn)證選項(xiàng)，當(dāng)?shù)谝环N認(rèn)證出現(xiàn)故障后，將嘗試使用下一種方式認(rèn)證，比如本地認(rèn)證方式。c． 定義RADIUS密鑰。（global） radius-server key string
由于RADIUS服務(wù)器與交換機(jī)之間的信息是加密的，所以用戶必須使用該命令，在交換機(jī)上定義RADIUS守護(hù)進(jìn)程加密所使用的密鑰 key。

驗(yàn)證配置
可使用下列命令來驗(yàn)證身份認(rèn)證的配置。（privileged） show radius statistics（privileged） show tacacs

配置實(shí)例此例給出的是一臺(tái)配置了身份認(rèn)證功能的交換機(jī)。其使用地址為 192.68.1.10的 RADIUS 服務(wù)器作為Telnet用戶的首選認(rèn)證方法，還使用了地址為 192.168.1.8 的TACACS 服務(wù)器作為console用戶的首選認(rèn)證方法。TACACS的密鑰為abc123，RADIUS的密鑰為789xyz。

配置如下。

Switch# conf t

Switch(config)# aaa new-modelSwitch(config)# ip radius source-interface loopback 0Switch(config)# radius-server host 192.168.1.10Switch(config)# aaa authentication login ConSOLE group radiusSwitch(config)# radius-server key 789xyzSwitch(config)# line console 0Switch(config-line)# login authentication ConSOLESwitch(config-line)# exitSwitch(config)# ip tacacs source-interface loopback 0Switch(config)# tacacs-server host 192.168.1.8Switch(config)# aaa authentication login TELNET group tacacs+Switch(config)# tacacs-server key abc123Switch(config)# line vty 0 4Switch(config-line)# login authentication TELNET

985大學(xué) 211大學(xué) 全國院校對比 專升本