^{<noscript id="ghwi6"></noscript>}

如何實現路由器的本地驗證和授權

2019-11-05 00:54:33

字體：大中小

來源：轉載

供稿：網友

　　1. 概述:

在中小規模的網絡中,網絡中心的網絡治理員往往需要對一個遠程站點的治理員進行一定程度的授權,而不想讓站點治理員使用所有的路由器特權口令,本文就以上問題做一個簡單的分析和討論.

2. 路由器本地驗證和授權

cisco路由器支持集中的AAA(驗證/授權/記帳)功能,但是需要部署一臺cisco ACS(訪問控制服務器),假如網絡設備數量不多,就可以利用cisco路由器的本地驗證和授權的功能來實現驗證和授權,而且不需要部署cisco ACS.以下是一個實現對路由器r1的telnet訪問的本地驗證和授權的例子:

(1)為telnet用戶設置一個帳號和口令(aaa用戶的級別為1最低級別):
hostname r1
username aaa passWord cisco

(2)設置一個級別為2的特權口令(缺省為15,具有所有權限)
enable secret level 2 CISCO

(3)為級別是2的特權用戶授權(只答應執行router和network命令)
PRivilege exec level 2 configure terminal

答應執行特權命令config t
privilege configure level 2 router

答應執行全局命令: router
privilege router level 2 network

答應執行路由進程命令: network

(4)指定對路由器r1進行telnet訪問的驗證方法(使用本地用戶數據庫驗證)
line vty 0 4
login local

(5)結果

當對r1進行telnet訪問時,首先會提示輸入username和password,這時用戶aaa是用戶模式(1級用戶),只能執行很少的命令集(用戶模式命令集).

使用enbale 2命令并且輸入正確的口令后,可以有權限執行config t,router和network命令,但是其他命令不能執行,本地驗證和授權成功.

上一篇：輕松9步加強路由器安全

下一篇：談談路由器的參數設置和功能詳解