Не помню где, но где-то в комментариях обещал, что расскажу как настроить aaa на активном сетевом оборудовании Cisco. Не буду здесь рассказывать о настройке 802.1x — об этом нужно писать отдельную статью. Расскажу о том, как настроить доступ к оборудованию через RADIUS сервер, то есть аутентификацию и авторизацию. Это базовая настройка aaa, но предполагается, что читатель знаком с aaa, а если это не так, то очень коротко можно об этом почитать в этой статье. Кроме того, уже должен быть настроен сам RADIUS сервер и на нем заведено оборудование. Как его настроить, я опишу в следующей статье. А пока настройка самого активного оборудования. Итак, заходим на коммутатор/маршрутизатор, переходим в режим конфигурирования и вводим:
aaa new-model
Команда означает включение сервиса ааа. Далее определяем RADIUS сервера. Их может быть несколько.
radius-server host 192.168.0.66 auth-port 1812 acct-port 1813 key my-key
radius-server host 192.168.0.21 auth-port 1812 acct-port 1813 key my-key
Где my-key — ключ для RADIUS сервера, который подтверждает, что это наше оборудование, а не чье-то, кто захотел воспользоваться нашим сервером для аутентификации. Как видите, для аутентификации и аккаунтинга по-умолчанию используются порты 1812 и 1813 соответственно. Вы можете указать любые другие порты. Но надо соответственно сконфигурировать и RADIUS.
После этого можно определить сервера в группу для дальнейшего использования в правилах настройки. То есть, одну группу можно использовать, например, для аутентификации через консоль COM/USB, другую для аутентификации через vty или еще как-нибудь извратиться 🙂 . Определим наших два сервера в одну группу.
aaa group server radius RADIUS-SERVER
server 192.168.0.66 auth-port 1812 acct-port 1813
server 192.168.0.21 auth-port 1812 acct-port 1813
exit
Теперь у нас есть группа, на которую можно дальше распространять свои политики — RADIUS-SERVER. А вот это определение метода аутентификация через нашу группу:
aaa authentication login RADIUS-METHOD group RADIUS-SERVER
и авторизация (если прошла аутентификация):
aaa authorization exec RADIUS-METHOD group RADIUS-SERVER if-authenticated
Здесь нужно понимать, что вы можете настроить просто аутентификацию без авторизации, тогда авторизация должна быть настроена локально. Ну, и применение метода на терминал:
line vty 0 4
authorization exec RADIUS-METHOD
login authentication RADIUS-METHOD
exit
exit
wr mem
Более подробно можно рассмотреть настройку aaa в официальной документации Cisco.
Удачи!