一般在管控Cisco網路設備，都只有設定enable的密碼，並透過Telnet方式進行遠端管理，一旦設備陸續增加，管理將愈來愈麻煩，主要是因為沒有集中的帳號密碼管理，而在現在資訊安全的要求愈來愈高，許多企業也因如此，開始導入ISO機制，將帳號權限進行管控，網管人員也分級管理，操作者僅限於有View的權限，相對管理者就有管控的權限。

本篇主要也是針對管控上的需求而作的紀錄的，相關的設定步驟如下：

ㄧ．Windows 2008 Network Policy Server 設定

1. 安裝RADIUS 服務：

1.1 Windows 2008的RADIUS 為 NPS (Network Policy Server)，點選開始 > 系統管理工具 > 伺服器管理員，點選新增角色

1.2 選擇網路原則與存取服務，點選下一步

1.3 在角色服務部分，選擇網路原則伺服器，點選下一步後執行安裝到完成

2. 設定NPS

2.1 開啟NPS，點選開始 > 系統管理工具 > 網路原則伺服器，新增RADIUS用戶端，按滑鼠右鍵點選新增

2.2 輸入用戶端(Cisco設備)的資料及共用密碼

2.3 新增網路原則，為區分管理者與操作者，故要設定兩個網路原則，本例設定為為NetworkManager及NetworkOperator，先做NetworkManager設定

2.4 輸入原則名稱，設定為NetworkManager，網路存取伺服器類型使用預設直，執行下一步

2.5 指定條件部分，新增此原則的使用者群組，並授與存取權

 

2.6 此選項要選擇未加密驗證(PAP,SPAP)，因Cisco IOS需求為未加密

2.7 此項目不需要調整，直接選擇下一步

2.8 RADIUS屬性部分，將預設的Framed-Protocol 移除，並修改Service-Type的值為Login

2.9 特定廠商部分，需增加特定屬性，如下設定

2.10 特定廠商選擇Cisco，並點選 “是，符合”即設定屬性

屬性號碼：1，格式為：字串，屬性值：shell:priv-lvl=15，設定後確定離開此設定

2.11 在依照精靈模式進行下一步到完成設定

以上即完成NetworkManager的網路原則設定，而NetworkOperator設定方式與NetworkManager相同，只有一個地方不一樣，就是在特定廠商的屬性值(2.9~2.10步驟)要改為 shell:priv-lvl=5

以上Windows RADIUS即完成設定，接下來就是Cisco 設備設定

———————————————————————————————————————————-

二．Cisco 設定設定

利用Console連接Cisco設備，開啓終端機登入，設定如下：

#config terminal

enable secret xxx  –> 設定enable 密碼

username alex privilege 15 secret xxx  –> 新增本機管理者帳號，權限15為最高權限

username op1 privilege 5 secret xxx  –> 新增本機操作者，權限5

aaa new-model

radius-server host radius ip auth-port 1812 acct-port 1813 key xxx –>新增Radius Server 並設定共用密碼(與Windows設定同一個密碼)

aaa authentication login net-auth group radius local  –> 新增login 驗證，先Radius，後Local
aaa authorization console  –> 啟用Console 權限
aaa authorization exec net-auth group radius local  –> 設定權限，先Radius，後Local

—————————————————————————————————————————-

# 設定操作者 Privilege level 5 可使用的權限

privilege interface level 5 shutdown
privilege interface level 5 ip address
privilege interface level 5 ip
privilege interface level 5 bandwidth
privilege configure level 5 interface
privilege exec level 5 show interface
privilege exec level 5 show logging
privilege exec level 5 show running
privilege exec level 5 debug all

—————————————————————————————————————————-

# 設定Console 及遠端登入驗證來源及權限

line con 0
exec-timeout 3 0
authorization exec net-auth
logging synchronous
login authentication net-auth
line vty 0 15
exec-timeout 3 0
authorization exec net-auth
logging synchronous
login authentication net-auth
transport input all

# 存檔

write memory

以上即完成Cisco設定

三．測試驗證

使用Telnet 方式測試，如下：

從畫面中可看到，管理者與操作者登入後的權限是依據RADIUS上的定義的網路存取原則，此即可滿足管理的需求

 

呼～～終於完成這篇文章～