大家知道对于一个稍具规模的公司来说,网络设备几乎都在几十台到上百台,对于日常的管理来说如果只通过本地账号管理设备登陆是非常繁琐的,尤其是网络工程师流动性比较大的公司。对于入离职流程过程中的账号增删改不是一个小的工作量,所以我们就需要一个统一的登陆方式比如通过Raidus。
下面是拿Cisco和Windows NPS 来举例说明:
Cisco SSH 配置:
第一步开启交换机的SSH:
enable secret password
ip domain-name contosoc.om
username user privilege 15 secret password
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
第二步:开启AAA认证:
aaa new-model
aaa group server radius NPSserver
server-private NPSServerIP auth-port 1645 acct-port 1646 key password
exit
aaa authentication login default group NPSserver local
aaa authorization exec default group NPSserver local
radius-server timeout 30
line vty 0 4
transport input ssh
login authentication default
do write
ip radius source-interface vlan1 如果交换机有多个Ip接口需要手动指定一个源接口作为认证 接口。比如你的管理IP,如果就一个这条命令可写可不写
第三步:开启console本地认证(作为设备登陆的最后一个关口 Console认证我们采用本地认证,在Radius出现问题的时候我们还可以登陆),关闭Telnet
aaa authentication login console local
aaa authorization exec console local
line console 0
no password
login authentication console
authorization exec console
exit
line vty 0 4
no password
line vty 5 15
no password
transport input none
do write
第二种认证方式:Cisco Telnet设置:
enable secret password
username user secret password
aaa new-model
aaa authentication login NPSserver group radius local
aaa authorization exec NPSserver group radius local
ip radius source-interface vlan1
radius-server host NPSServerIP auth-port 1812 acct-port 1813 key ourgame
radius-server timeout 30
line vty 0 4
login authentication NPSserver
authorization exec NPSserver
do write
NPS 配置:
第三步:配置NPS
新建网络策略:
选择用户组
