AAA服务器、路由器和三层交换机SSH配置 - 安全认证、审计和密钥管理
AAA服务器、路由器和三层交换机SSH配置 - 安全认证、审计和密钥管理
本文详细介绍如何在AAA服务器、路由器和三层交换机上进行相应的配置,以实现安全、可靠的SSH远程登录,并进行审计和密钥管理。
目标:
- 将SSH版本设置为2,并配置统一的域名 'zzz.com'。
- 设置SSH的RSA密钥长度为1024位。
- 通过Radius认证才能远程登录路由器,并设置本地账号为备选认证方式。
- 通过Tacacs+认证才能远程登录三层交换机,并设置本地账号为备选认证方式,使用单连接模式。
- 对远程登录行为(启动和停止)进行审计。
- 与Radius或Tacacs+服务器通信时使用统一的密钥 'zzz'。
- 设置远程登录连接超时时间。
- 在AAA服务器上创建的账号名称统一为'姓名拼音首字母',密码为序号。
- 设置特权密码为'cisco'。
AAA服务器配置:
radius server AAA-RADIUS
address ipv4 10.0.0.1 auth-port 1812 acct-port 1813
key zzz
tacacs server AAA-TACACS
address ipv4 10.0.0.2 port 49
key zzz
single-connection
aaa new-model
aaa authentication login default group radius local
aaa authentication login SSH_LOGIN group radius local
aaa authentication login TACACS_LOGIN group tacacs+ local
aaa authorization exec default group radius local
aaa authorization exec SSH_EXEC group radius local
aaa authorization exec TACACS_EXEC group tacacs+ local
aaa accounting exec default start-stop group radius
aaa accounting exec SSH_EXEC start-stop group radius
aaa accounting exec TACACS_EXEC start-stop group tacacs+
username wzy password 1 // 姓名为王振宇,密码为1
username lhy password 2 // 姓名为刘慧颖,密码为2
username lwd password 3 // 姓名为李文东,密码为3
username yl password 4 // 姓名为杨龙,密码为4
username admin privilege 15 password cisco
ip domain-name zzz.com
crypto key generate rsa modulus 1024
ip ssh version 2
ip ssh rsa keypair-name SSH-KEY
line vty 0 15
transport input ssh
login authentication SSH_LOGIN
exec-timeout 30 0
accounting exec SSH_EXEC
路由器配置:
aaa new-model
aaa authentication login default group radius local
aaa authentication login SSH_LOGIN group radius local
aaa authorization exec default group radius local
aaa authorization exec SSH_EXEC group radius local
aaa accounting exec default start-stop group radius
aaa accounting exec SSH_EXEC start-stop group radius
username admin privilege 15 password cisco
ip domain-name zzz.com
crypto key generate rsa modulus 1024
ip ssh version 2
ip ssh rsa keypair-name SSH-KEY
line vty 0 15
transport input ssh
login authentication SSH_LOGIN
exec-timeout 30 0
accounting exec SSH_EXEC
三层交换机配置:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login TACACS_LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization exec TACACS_EXEC group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting exec TACACS_EXEC start-stop group tacacs+
username wzy password 1 // 姓名为王振宇,密码为1
username lhy password 2 // 姓名为刘慧颖,密码为2
username lwd password 3 // 姓名为李文东,密码为3
username yl password 4 // 姓名为杨龙,密码为4
username admin privilege 15 password cisco
ip domain-name zzz.com
crypto key generate rsa modulus 1024
ip ssh version 2
ip ssh rsa keypair-name SSH-KEY
line vty 0 15
transport input ssh
login authentication TACACS_LOGIN
exec-timeout 30 0
accounting exec TACACS_EXEC
注意:
- 以上配置仅供参考,请根据实际环境进行调整。
- 在实际部署中,建议使用更安全的密码策略,并定期更新密钥。
- 确保AAA服务器和网络设备的时间同步,以便于进行审计和故障排查。
原文地址: https://www.cveoy.top/t/topic/oica 著作权归作者所有。请勿转载和采集!