分类:
2011-10-11 10:30:11
1. 利用Packet Tracer搭建的环境
路由器上aaa authentication配置:
enable password qwer
!
aaa new-model
!
aaa authentication login default group radius local none
!
username luser1 password 0 lcisco
!
radius-server host 192.168.1.1 auth-port 1645 key abc
!
line vty 0 4
login authentication default
!
Radius Server上的配置:
2. 解释radius->local->none
aaa authentication login default group radius local none
按照书本上解释认证的顺序为:先进行radius验证,如果无法连接到radius server,就采取本地用户验证(login local),本地无法验证就不用验证。这样解释非常笼统,有些细节还是需要通过实验来验证一下。
通过本地用户luser1进行验证,正确输入密码后,登录成功
Username: luser1
Password: lcisco
Router>
通过本地用户luser1进行验证,输入错误密码,登录失败
Username: luser1
Password: dsdgsdg
% Login invalid
通过radius用户ruser1进行验证,无论密码输入是否正确,发现均能能够正常登录router
Username: ruser1
Password: kjj
Router>
Username: ruser1
Password: rcisco
Router>
通过一个在router本地和radius server上均不存在的用户名,随便输入密码,发现也可以正常登录
Username: cisco
Password: jjjkkk
Router>
aaa authentication login default group radius local none
这样的验证方式,由于最后验证采用none模式(即不验证),在radius验证失败的情况下,local验证过程中只对本地存在的用户进行验证(密码不对就不能登录),如果用户不存在反而可以直接通过验证。感觉radius local none的方式中local验证有些多余。
可以对比一下,华为的验证方式就没有local none的组合。
authentication-mode { hwtacacs | hwtacacs-local | hwtacacs-none | local | local-hwtacacs | local-radius | none | radius | radius-local | radius-none }
3. radius -> enable的验证方式:
配置如下:
aaa authen login default group radius enable(其他配置和上面案例一样)
在radius验证失败的情况下(Router和radius server不能建立连接),就会通过enable密码来进行验证,但要注意的是出现的登录界面依然是username:,但此时只有输入了enable password之后才能验证成功。比如输入一个不存在的用户cisco,只有输入enable password才能通过验证。
Username: cisco
Password: cisco
% Login invalid
Username: cisco
Password: qwer
Router>en
Password:
