Здесь опишу настройку аутентификации на роутерах cisco с импользованием серверовRadius/Tacacs. Все перечисленные действия проводились на стенде Packet tracer 5.2 (ввиду отсутствия у меня оборудования, как такового 🙂 ) и могут быть выполнены на реальном оборудовании. Иследования проводил на cisco router 1841, 2621, 2811.
1)Настройка Radius/Tacacs сервера.
Опишу лишь общие моменты, так как реализации на разном обрудовании будет разное.
– заводим юзеров и назначаем им пароли
– описываем клиентов, которым разрешён доступ к нашему серверу, а так же ключевую фразу (key)
За юзера взял user, за пароль взял test. За key возмём cisco_key.
Адрес сервера 192.168.0.10
2)Настройка роутера.
Предпологается, что роутер предварительно настроен (обязательно имеет IP адрес, и установлен непустой пароль на enable – эти 2 требования являются обязательными).
Создаём новую модель аутентификации (группу srv_auth для использования аутентификации):
– для Radius-сервера
conf t
aaa new-model
aaa authentication login srv_auth group radius
указывает сам Radius-сервер и параметры:
radius-server host 192.168.0.10 auth-port 1645 key cisco_key
а теперь включает аутентификацию через консоль и telnet (используем ту группу, что описывали вaaa):
line con 0
login
login authentication srv_auth
line vty 0 4
login
login authentication srv_auth
line vty 5 15
login
login authentication srv_auth
– для Tacacs-сервера
conf t
aaa new-model
aaa authentication login srv_auth group tacacs+
указывает сам Tacacs-сервер и параметры:
tacacs-server host 192.168.0.10 key cisco_key
а теперь включает аутентификацию через консоль и telnet (используем ту группу, что описывали вaaa):
line con 0
login
login authentication srv_auth
line vty 0 4
login
login authentication srv_auth
line vty 5 15
login
login authentication srv_auth
А теперь полный конфиг (пример для Radius-сервера):
Router#sh run
Building configuration...
Current configuration : 746 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable secret 5 $1$mERr$/Q/mbs3O9oHsKR7rNG4e81
!
!
!
aaa new-model
!
aaa authentication login rad group radius
!
interface FastEthernet0/0
ip address 192.168.0.3 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
!
!
!
!
radius-server host 192.168.0.10 auth-port 1645 key cisco
!
!
!
line con 0
login
login authentication rad
line vty 0 4
login
login authentication rad
line vty 5 15
login
login authentication rad
!
!
!
end
Всё.
