网络安全之AAA配置（1）

                                                             网络安全之AAA配置（1）

                如今计算机网络发展日益迅猛，网络技术解决方案各种各样。在网络技术长足发达的今天，网络设备安全也一直是我们网络维护工作人员的重要课题。下面我们将解决如何使路由交换设备做到更加安全地访问，使用外部安全数据库来对合法用户进行验证。那么AAA将很好地解决我们上述需求。

               首先还是来一个简单的拓朴吧，

上图client端是以DHCP自动获取的方式得到IP的，地址为192.168.1.2，网关为192.168.1.1,dns-server 是1921.168.2.2.

<a target="_blank" href="http://blog.51cto.com/attachment/201009/224316101.jpg"></a>

DHCP如何获取配置到时再一起贴出了。 

           本实验要求：client端自动获取IP，telnet上R1时需要AAA服务器进行合法身份验证 username ccna password ccna,R1与AAA共用KEY来交换验证信息，R1 DNS域名为AAA。

DHCP已经实验，我们还要配置一下AAA服务器兼DNS-SERVER。如下图配置即可。

<a target="_blank" href="http://blog.51cto.com/attachment/201009/225305909.jpg"></a>

<a target="_blank" href="http://blog.51cto.com/attachment/201009/230619522.jpg"></a>

           AAA方面配置好后，我们需要配置R1，打开AAA功能，在telnet 时进行AAA验证，而不是在本地数据库。具体配置如下（还包括DHCP配置）：

Building configuration...

Current configuration : 819 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname R1

enable password ccnp//使能密码配置

ip dhcp excluded-address 192.168.1.1

ip dhcp pool zenfei

 network 192.168.1.0 255.255.255.0

 default-router 192.168.1.1

 dns-server 192.168.2.2

aaa new-model!//启用AAA服务。

aaa authentication login radius group radius //AAA验证使用radius服务器。

interface FastEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 duplex auto

 speed auto

interface FastEthernet0/1

 ip address 192.168.2.1 255.255.255.0

interface Vlan1

 no ip address

 shutdown

ip classless

radius-server host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP 地址，R1与AAA服务器之间验证时共用的KEY，与端口号。

line con 0

 login

line vty 0 4

 password ccnp

 login authentication radius//telnet时使用radius验证。

end

基本网络配置都配置好后，确保网络联通性没问题就可以进行如下测试：

测试DNS是否成功：

<a target="_blank" href="http://blog.51cto.com/attachment/201009/230118520.jpg"></a>

测试AAA验证是否成功：

<a target="_blank" href="http://blog.51cto.com/attachment/201009/230327494.jpg"></a>

一切都OK！！！

这样我们就完成客户端合法telnet网络设备了，加固了网络设备的安全性，为网络安全高效有序的运行提供又一解决方案，呵呵，今天就小聊到这啦。下次见！

本文转自 Bruce_F5 51CTO博客，原文链接:http://blog.51cto.com/zenfei/399694