交换机AAA方案简单实现（IAS+AD方案）

背景：
被审计查了一番，说没有Radius或TACACS+来管理交换机，存在风险之类的云..老大说：改！便开始查资料，之前没有接触过，后来明白，Radius是AAA使用的协议，进一步学习中，我找到了三种方案：
A.Cisco ACS.这种适用于使用cisco设备并且，愿意出钱买cisco的这个软件或者使用不要钱版本（你们懂的）的用户。
B.FreeRadius+Mysql,这二者都是开源软件，适合于不愿出钱的用户，但技术要求稍高。mysql存储密码也有好几种选择，数据库，本地..但是本地的话，好想是明文存储，不太安全。
C.就是本文的主要内容：IAS+AD，这个方案适用于适用window server的用户，且也不再增加开销。

1.启用IAS服务
打开控制面板，添加删除windows程序，选择networking services，点击 Details.



选中Internet Authentication Service(IAS),点击OK,至此IAS的程序安装完成。



2.配置IAS服务
A.在administrator tools中找到IAS的Icon,打开如下页面，选中如图选项，右键，选择register server in active directory.在AD域控中注册该服务，此操作的实质是把域控作为IAS的账号数据库，



B.配置Radius Clients,这里的Clients指的是需要使用该服务的交换机或者路由器，配置结果如下：
Friendly name可以随便取，主要是用于便于识别，IPaddress必须正确，如果添加的是Cisco交换机，Vendor,选项就要选择Cisco,(我有试过选择standard Radius,没能成功，深层次的原理还不知道)
Shared secret 是IAS 和交换机之间的共享密钥，这里的输入和交换机上的配置必须相同。不然，不会成功。



C.配置Remote accesslogging.这里配置的是记录日志的方式，存在本地还远程，要记录什么，默认情况下是存在本地的system日志里面的。下图可以看到，source是IAS的条目就是关于它的日志。







D.配置远程访问策略，Remoteaccess policies.下面是配置登录可用的用户账户，这里配置的是IT XXXX。







还需要配置profile，点击Edit Profile,选择Advanced ,service-Type 的值需要设置成Login,(这个值好像代表的是字符方式登录，如SSH,telnet等)


E,配置connection requestpolicies.下面配置的是允许这些账户可以进行登录的时间，







完成这些配置后基本完成了IAS的配置，其他相关配置与以上配置基本相似。

3.配置交换机
aaa new-model ---启用AAA服务aaa authentication login defaultgroup radius local ---创建登录验证列表，来验证登录服务，验证的方式是优先使用radius，如果失败再使用本地用户名和密码进行验证。ip radius source-interface Vlan60/Vlan50/loopback0 ---指定radius报文的源地址，根据交换机的配置不同，使用不同的命令。radius-server host10.2xx.xx.xx auth-port 1645 acct-port 1646 key manulife ---指定radius服务器的地址，认证所需端口，审计所需端口，以及Radius服务器和交换机之间的共享密钥。密钥必须与服务器上的一致。line vty 0 15login authdefault---在vty端口应用上面创建的认证列表，其实没必要使用这两条命令，因为，default的列表会默认应用到所有端口。
endwr
本文出自 “奋斗的菜鸟” 博客，谢绝转载！