Cisco 配置步骤
Cisco Tacacs+测试
1、配置Tacacs+服务和认证授权方式
(config)#aaa new-model
(config)#aaa authentication login tac-h0101 group tacacs+ //认证
(config)#aaa authorization exec tac-h0101 group tacacs+ //授权
(config)#tacacs-server host 10.3.3.3 key Aa123456 //tacacs服务
Router(config)#
Router(config)#line vty 1 4
Router(config-line)#login authentication tac-h0101 //至服务器上AAA用户
Router(config-line)#authorization exec tac-h0101
2、在设备上使用ISE服务上的用户和密码进行测试(在ISE上添加了本设备)
3.在设备上开启远程服务;使用ISE中的用户和密码远程到此设备
Router(config)#line vty 1 4 Router(config-line)#transport input all
Cisco Radius测试
1、配置Radius服务和认证授权方式
(config)#aaa new-model
(config)#aaa authentication login h0101-radius group radius //认证
(config)#aaa authorization exec h0101-radius group radius //授权
(config)#radius-server host 10.3.3.3 key Aa123456 //radius服务地址
(config)#line vty 1 4
(config-line)#login
(config-line)#login authentication h0101-radius
(config-line)#authorization exec h0101-radius
Ruijie 配置步骤
enable secret 5 $1$jtHM$yjZU1GByi6Ytgsun2iNF40
username admin privilege 15 secret 5 $1$kXdh$Xdy9UpNdiFP96clB7yz9I1
username ise-test password 7 000B1D0A1D0F1F031C35
aaa new-model //启用aaa认证
aaa authentication login Auth-login group tacacs+ local //配置认证列表名:Auth-login
aaa authentication dot1x default group radius
aaa authorization console
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 3 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 3 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
radius-server dead-criteria time 5 tries 3
radius-server host 10.11.9.13 key 0 gkfsadfda //配置服务器地址及密钥
radius-server host 10.12.1.25 key 0 gkfsadfda
tacacs-server host 10.10.3.133 key 0 gkfsadfda
tacacs-server host 10.11.1.25 key 0 gkfsadfda
dot1x authentication default //dot1x认证使用默认列表
dot1x accounting default //dot1x审计使用默认列表
enable service ssh-server //启用ssh服务
ip ssh version 2
line vty 0 4
exec-timeout 5 0
login authentication Auth-login //调用认证列表名:Auth-login
transport input ssh
exit
line vty 5 15
exec-timeout 5 0
login authentication Auth-login
transport input ssh
exit
lldp enable
errdisable recovery interval 120
ip route 0.0.0.0 0.0.0.0 10.1.16.1
ip access-list extended ACL-DEFAULT
remark DHCP
permit udp any eq bootpc any eq bootps
remark DNS
permit udp any any eq domain
remark PING
permit icmp any any
remark PXE / TFTP
permit udp any any eq tftp
remark Drop rest
deny ip any any
ex
ip access-list extended ACL-WEB-REDIRECT
deny udp any any eq domain
deny ip any host 10.10.3.21
deny ip any host 10.12.0.20
deny ip any host 10.12.1.20
deny ip any host 10.10.3.13
permit ip any any
ex
snmp-server community ruijie RO
ntp server 10.1.90.8
H3C 配置步骤
hwtacacs scheme device-tacacs //配置radius scheme
primary authentication xxx.xxx.xxx.xxx //认证服务器地址
primary authorization xxx.xxx.xxx.xxx //授权服务器地址
key authentication cipher ************ //认证配置密钥
key authorization cipher ************ //授权配置密钥
key accounting cipher ************ //授权配置密钥
user-name-format without-domain //配置不携带域名格式
nas-ip 172.xxx.xxx.xxx //发送源地址(SW-MGMT-IP)
domain device-login //配置设备登录hwtacacs
authentication login hwtacacs-scheme device-tacacs local //认证顺序为tacacs,本地
authorization login hwtacacs-scheme device-tacacs local //授权顺序为tacacs,本地
accounting login hwtacacs-scheme device-tacacs none //审计顺序为tacacs
authorization command hwtacacs-scheme device-tacacs //命令授权为tacacs
super password role network-admin hash “xx” //特权密码
command-privilege level 1 view shell display current-configuration
command-privilege level 1 view shell display device manuinfo
//配置级别1权限
domain default enable device-login //配置默认域
华为 配置步骤
配置HWTACACS认证服务器
Hwtacacs enable //开启Hwtacacs功能
hwtacacs-server template device-tacacs //建立服务模板
配置HWTACACS认证服务器
hwtacacs-server authentication xxx.xxx.xxx.xxx
hwtacacs-server authorization xxx.xxx.xxx.xxx
hwtacacs-server accounting xxx.xxx.xxx.xxx
hwtacacs-server source-ip 172.xxx.xxx.xxx.xxx //交换机管理地址
hwtacacs-server timer response-timeout 2
配置HWTACACS服务器密钥
hwtacacs-server shared-key cipher ************
配置认证方案,配置认证方案hwtacacs,认证模式为先进行HWTACACS认证,后进行本地认证
aaa
authentication-scheme hwtacacs
authentication-mode hwtacacs local
配置授权方案,配置授权方案hwtacacs1,授权模式为先进行HWTACACS授权,后进行本地授权
authorization-scheme hwtacacs1
authorization-mode hwtacacs local
authorization-cmd 15 hwtacacs local
配置计费方案,配置计费方案hwtacacs1,计费模式为先进行HWTACACS
accounting-scheme hwtacacs1
accounting-mode hwtacacs
accounting start-fail online
accounting interim-fail online
配置hwtacacs域
domain hwtacacs
authentication-scheme hwtacacs
accounting-scheme hwtacacs1
authorization-scheme hwtacacs1
hwtacacs-server device-tacacs
配置全局默认管理域
domain hwtacacs admin
远程登入授权
user-interface vty 0 4
authentication-mode aaa
只读账号登入授权
command-privilege level 1 view system display current-configuration
command-privilege level 1 view shell display device manufacture-info
command-privilege level 1 view shell display logbuffer
---------------------------------
补充:
Cisco接入配置实例:
1、激活3A,同时将免3A认证部署在交换机VTY/console接口
aaa new-model
aaa authentication login protect line none
line vty 0 4
login authentication protect
2、使用radius协议,指定3A服务器以及组名
radius server ISE-MAster #ISE-Master组名字自定义,方便后续调用 address ipve 10.1.1.10 key cisco
aaa group server radius ISE-Master server name ISE-Master
3、SNMPV3配置
#创建SNMPV3组SNMP-GROUP,安全级别选择最高的priv,即认证、完整性检查、加密均部署使用
snmp-server group SNMP-Group v3 priv
#创建用于认证的用户SNMP-User,隶属于SNMP-Group
#启用完整性,password为cisco
#启用加密,password为Cisco
snmp-server user SNMP-User SNMP-Group v3 auth md5 cisco priv des Cisco
激活SNMP-Trap
snmp-server enable traps
#指定SNMP管理中心和使用的版本即认证用户
snmp-server host 10.1.1.10 version 3 priv SNMP-User
4、ISE上创建设备组
5、交换机注册到ISE
6、接入设备配置802.1x认证、授权、审计
aaa authentication dot1x default group ISE-Master
aaa authorization network default group ISE-Master
aaa accounting dot1x default start-stop group ISE-Master
7、启用CoA,灵活授权
aaa server radius dynamic-author
client 10.1.1.10 server-key cisco
8、全局启用802.1x
dot1x system-auth-control
#全局802.1x使能后,后续具体的接口配置也要开启才算有效,未开启的不进行AAA认证
9、参数配置
#激活IP地址追踪
ip device tracking
#对应6:接入请求中加入服务类字节(区分不同认证)
#对应8:在请求中发送请求设备的IP地址
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
#超过3*5=15秒服务器没有响应标记radius服务器失效
radius-ser dead-criteria time 5 tries 3
#厂商私有属性,不配置可能导致DACL失效
radius-server vsa send accounting
radius-server vsa sned authenticaion
10、默认流量放行ACL
ip access-list extended ACL-DEFAULT
11.接口配置
a.常规配置
#配置VLAN和端口快速
int g1/0/9
description TO-TP phone
switchport access vlan 20
switchport mode access
spanning-tree portfast
#下列为高可用部分
#结合#超过3*5=15秒服务器没有响应标记radius服务器失效形成高可用
#当3A服务器故障时,使用本地授权VLAN20,
authentication event server dead action authorize vlan 20
#当3A服务器恢复则重新执行准入(先关闭接口)
authentication event server alive actionn reinitialize
#激活接口认证
authentication port-conrol auto
#开启dot1x有MAB认证
dot1x pae authenticator
mab
b.open认证
#启用认证open,搭配列表ACL-DEFAULT使用
authentication open
ip access-group ACL-DEFAULT in
c.主机模式
#配置认证模式为host-mode,有4种认证
authentication host-mode multi-auth
#配置惩罚机制为restrict
authentication violation restric
d.语音和数据VLAN
e.认证轮询
#先执行MAB后执行802.1X,认证一个即可,若都通过优先使用802.1x
authentication orader mab dot1x
authentication priority dot1x mab
authentication event fail action next-method
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5990.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
