| 为防止网络设备滥用,网络设备对用户身份进行认证。用户需要提供正确口令才能使用网络设备资源。目前,市场上的网络设备提供Console口令、AUX口令、VTY口令、user口令、privilege-level口令等多种形式的口令认证。以路由器为例,Console口令的使用过程如下:
|
|
|
|
|
| 网络设备对于Console、AUX和VTY口令的口令认证配置文件如下:
|
|
|
|
|
| 为了便于网络安全管理,交换机、路由器等网络设备支持TACACS+(Terminal Access Controller Access Control System)认证、RADIUS(Remote Authentication Dial In User Service)认证。TACACS+认证的过程如下图所示。
|
|
|
|
|
|
|
| 假定服务器的密钥是MyTACACSkey,配置网络设备使用TACACS+服务器的步骤如下:
|
|
|
| (1)使用aaa new-model命令启用AAA;
|
|
|
| (2)使用tacacs-server host命令指定网络设备能用的TACACS+服务器;
|
|
|
| (3)使用tacacs-server key命令告知网络设备TACACS+服务器的密钥;
|
|
|
| (4)定义默认的AAA认证方法,并将本地认证作为备份;
|
|
|
|
|
| 现以路由器通过AUX、VTY使用TACACS+进行认证为例,其中,TACACS+服务器的IP地址为X.Y.Z.10,服务器的密钥是MyTACACSkey。其配置过程如下所示:
|
|
|
|
|
| TACACS+要求用户提供用户名和口令进行认证,认证通过后再进行授权操作和审计。相比于TACACS+,RADIUS的认证过程简单,如下图所示。
|
|
|
|
|
|
|
|
|
| (1)使用aaa new-model命令启用AAA;
|
|
|
| (2)使用radius-server host命令指定网络设备能用的RADIUS服务器;
|
|
|
| (3)使用radius-server key命令告知网络设备RADIUS服务器的密钥;
|
|
|
| (4)定义默认的AAA认证方法,并将本地认证作为备份;
|
|
|
|
|
| 现以路由器通过VTY使用RADIUS进行认证为例,其中,RADIUS服务器的IP地址为X.Y.Z.5,服务器的密钥是MyRADIUSkey,其配置过程如下所示:
|
|
|
|
|
