网络安全之AAA配置（1）

                                                              网络安全之AAA配置（1）

                现在计算机网络发展日益迅猛，网络技术解决方案各类各样。在网络技术长足发达的今天，网络设备安全也一直是咱们网络维护工做人员的重要课题。下面咱们将解决如何使路由交换设备作到更加安全地访问，使用外部安全数据库来对合法用户进行验证。那么AAA将很好地解决咱们上述需求。

               首先仍是来一个简单的拓朴吧，

 

 

上图client端是以DHCP自动获取的方式获得IP的，地址为192.168.1.2，网关为192.168.1.1,dns-server 是1921.168.2.2.

DHCP如何获取配置到时再一块儿贴出了。 

           本实验要求：client端自动获取IP，telnet上R1时须要AAA服务器进行合法身份验证 username ccna password ccna,R1与AAA共用KEY来交换验证信息，R1 DNS域名为AAA。

DHCP已经实验，咱们还要配置一下AAA服务器兼DNS-SERVER。以下图配置便可。

 

 

 

           AAA方面配置好后，咱们须要配置R1，打开AAA功能，在telnet 时进行AAA验证，而不是在本地数据库。具体配置以下（还包括DHCP配置）：

Building configuration...

Current configuration : 819 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1

!
enable password ccnp//使能密码配置
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool zenfei
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 192.168.2.2
!
!
aaa new-model!//启用AAA服务。
aaa authentication login radius group radius //AAA验证使用radius服务器。
!

interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
!
!
!
!
radius-server host 192.168.2.2 auth-port 1645 key ccnp//配置AAA IP 地址，R1与AAA服务器之间验证时共用的KEY，与端口号。
!
line con 0
 login
line vty 0 4
 password ccnp
 login
 login authentication radius//telnet时使用radius验证。
!
!
!
end
 

基本网络配置都配置好后，确保网络联通性没问题就能够进行以下测试：

测试DNS是否成功：

测试AAA验证是否成功：

一切都OK！！！

这样咱们就完成客户端合法telnet网络设备了，加固了网络设备的安全性，为网络安全高效有序的运行提供又一解决方案，呵呵，今天就小聊到这啦。下次见！