RADIUS服务器的概论
RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
配置EDGER远程访问SSHv2
登录用户通过AAA服务器上的RADISU提供
预共享密码为“CISCO”
在AAA上创建RADIUS账户“radmin”密码“CISCO”
基本配置: 各设备配置IP地址,三层交换机开启ip routing路由功能,三层交换机是连接服务器和路由器的, 它的路由表里面有这两个网断,路由器上面只有10.10.10.0的网段,没有AAA服务器的192.168.99 .0的网段,需要写一个静态路由,让三个设备能够通信,在路由器上面做静态路由 ip route 192.168.99.0 255.255.255.0 10.10.10.1
服务器设置共享名称和密码
三层交换机和路由器配置SSH密钥
三层交换机配置
3-SW1(config)#ip domain-name worldskills.cn #做ssh之前一定要添加域名,不添加域名是不能做SSH的密钥的 3-SW1(config)#crypto key generate rsa #生成一个SSH的key密钥 The name for the keys will be: 3-SW1.worldskills.cnChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 #默认为512位加密密钥,给1024位密钥 % Generating 1024 bit RSA keys, keys will be non-exportable... [OK]3-SW1(config)#*3? 1 0:18:7.448: %SSH-5-ENABLED: SSH 1.99 has been enabled #给了1024位之后它就会有ssh的版本为1.99,也就是ssh版本为2的版本 3-SW1(config)#
路由器配置
R1-2911(config)#ip domain-name worldskills.cn #做ssh之前一定要添加域名,不添加域名是不能 做SSH的密钥的 R1-2911(config)#crypto key generate rsa #生成一个SSH的key密钥 The name for the keys will be: R1-2911.worldskills.cnChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 #默认为512位加密密钥,给1024位密钥% Generating 1024 bit RSA keys, keys will be non-exportable... [OK]R1-2911(config)#*3? 1 0:17:51.901: %SSH-5-ENABLED: SSH 1.99 has been enabled #给了 1024位之后它就会有ssh的版本为1.99,也就是ssh版本为2的版本 R1-2911(config)#
路由器配置AAA认证
aaa new-model #开启AAA认证 aaa authentication login RADIUS group radius 第二行各命令意思如下 aaa #进入aaa模式 authentication #身份验证 login RADIUS #设置登录名称为RADIUS group #使用服务器用户组 radius #使用服务器的AAA认证服务里面的radius账户登录
路由器配置RADIUS
radius-server host 192.168.99.100 auth-port 1645 #radius的主机IP地址是服务器的IP地址,后面接上AAA服务中的radius的默认端口号1645 radius-server key CISC0 #共享密钥为CISC0,与服务端一致
路由器配置SSH
line vty 0 4 #是指进入Line 模式对vty 0~4线路进行配置。0指vty 0线路。4指vty 4线路 login authentication RADIUS #登录身份验证为RADIUS与AAA服务器的模板绑定在一起 transport input ssh #只能使用ssh登录 login #登录 exit #退出line模式 enable password CISCO #设置登录之后由用户模式进入特权模式的密码
验证
三层交换机登录路由器,用AAA服务器的账号和密码登录路由器
3-SW1#ssh -v 2 -l radmin 10.10.10.2 ssh #远程登录 -v 2 #指定ssh的版本为2 -l radmin #使用radmin用户登录 10.10.10.2 #填上路由器的IP地址也就是客户端的IP地址 Open #打开Password: #输入radmin的密码为CISC0 R1-2911>enable #进入特权模式,默认登录进来是进不去的,所以需要去路由器上面设置特权密码 Password: #输入路由器的特权密码为CISC0 R1-2911#conf t #进入配置模式Enter configuration commands, one per line. End with CNTL/Z.
效果图
