0
点赞
收藏
分享

微信扫一扫

思科路由器关联RADIUS服务器配置命令

1.关联RADIUS服务器

Cisco(config)#aaa new-model  //全局启用aaa功能

Cisco(config-radius-server)#address ipv4 10.1.1.100 auth-port 1812 acct-port 1813  //配置radius服务器的地址、认证和审计端口

Cisco(config-radius-server)#key abc123

Cisco(config)#aaa server radius dynamic-author  

Cisco(config-locsvr-da-radius)#client 10.1.1.10 server-key abc123

2.创建radius服务器组,将radius服务器加入组中

Cisco(config)#aaa group server radius s1-radius

Cisco(config-sg-radius)#server name s1

3.向radius服务器发送相关属性参数,防止aaa异常,以及802.1X异常

Cisco(config)#radius-server vsa send authentication  

Cisco(config)#radius-server vsa send accounting  

Cisco(config)#radius-server attribute 6 on-for-login-auth

Cisco(config)#radius-server attribute 8 include-in-access-req  

Cisco(config)#radius-server attribute 25 access-request include

4.应用aaa-认证

(1)给console和enable留后门,不受aaa认证控制

Cisco(config)#aaa authentication login nos1 line none  //认证时先使用line下密码认证,没配置线下认证就不认证

Cisco(config)#aaa authentication enable default enable none  //enable密码,优先使用配置的enable密码,如果没有密码,就不认证

Cisco(config)#line console 0

Cisco(config-line)#login authentication nos1  //在line口调用

(2)在vty口下的服务启用认证(Telnet、ssh)

Cisco(config)#aaa authentication login s1 group s1-group local-case  //登录认证优先使用服务器组中的aaa服务器组身份认证,如果aaa服务器无响应就使用local本地用户数据库认证

5.应用认证-授权

(1)基于用户权限等级的授权

Cisco(config)#aaa authorization exec s1 group s1-group local  

Cisco(config)#aaa authorization config-commands  //开启命令行授权

6.做完认证和授权先ping与s1的连通性

Cisco#ping 10.1.1.10

7.测试与aaa服务器能否正常认证和授权

Cisco#test aaa group s1-group a1 abc123 legacy  //传统方式

Cisco#test aaa group s1-group a1 abc123 new-code  //新方式

8.在接口启用aaa

Cisco(config)#line vty 0 4  

Cisco(config-line)#login authentication s1

Cisco(config-line)#authorization exec s1

Cisco(config-line)#transport input all

举报

相关推荐

0 条评论