交换机SSH+NPS+802.1x登陆配置

2014年12月8日 | 分类: 杂享 | 标签:

在之前的公司使用过此方法来管理交换机,不过网络设备都是华为的,现在的公司大部分使用cisco设备,配置方法跟之前差不多,贴上来供大家参考吧。对于交换机的管理来说,nps为交换机提供外部的认证,可以为不同组建立不同权限,但是具体到视图权限的控制还是要在交换机上设定。

一、前提条件

服务器:Windows Server 2012 R2 NPS服务

交换机:Cisco3560

二、配置

1.配置NPS服务器

1.1安装角色

添加角色“网络策略和访问服务”中的网络策略服务器;

1.2添加网络策略

未加密的身份验证(PAP,SPAP)(S),其他都用默认即可。

保存重启服务器后才生效

1.3修改网络策略

a.概述->忽略用户账户的拨入属性

b.设置->Radius属性->标准只保留以下两项:

Service-Type->其他->Login

Login-Service->SSH

1.4添加Radius客户端

 34 5

 

2.交换机配置

TIDE-CISCO3560#show run

Building configuration…

Current configuration : 14132 bytes

!

! Last configuration change at 13:42:15 BJ Tue Dec 2 2014 by wangchao3

! NVRAM config last updated at 13:42:13 BJ Tue Dec 2 2014 by wangchao3

!

version 12.2

no service pad

no service timestamps debug uptime

service timestamps log datetime msec

no service password-encryption

!

hostname TIDE-CISCO3560

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$T4Dh$cv/NDd0lGC86ifSjl3obD/

!

username admin privilege 5 secret 5 $1$O6Fj$Cdt5ifcPnRmpOl3PWjR4.1

!

!

aaa new-model

!

!

aaa group server radius Nps01

server-private 10.1.200.23 auth-port 1645 acct-port 1646 key 7 095C4F1A0A1218000F

!

aaa authentication login default group Nps01 local

aaa authorization exec default group Nps01 local

!

!

!

aaa session-id common

clock timezone BJ 0 8

system mtu routing 1500

ip routing

!

!

ip dhcp snooping vlan 144

ip dhcp snooping

no ip domain-lookup

ip domain-name tidepharm.com

ip arp inspection vlan 144

ip radius source-interface Loopback0

!

privilege interface level 5 switchport

privilege interface level 5 ip arp

privilege interface level 5 ip address

privilege configure level 5 interface

privilege configure level 5 vlan

privilege exec level 5 configure terminal

privilege exec level 5 show running

!

line con 0

line vty 0 4

exec-timeout 15 0

transport input ssh

line vty 5 15

exec-timeout 0 1

transport input ssh

 

Written by Wang11

目前还没有任何评论.
注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。