雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 758|回复: 0

[学习/资料] 【SPOTO思博网络】【网工入门基础】安全技术——AAA

[复制链接]
发表于 2022-8-2 10:05:03 | 显示全部楼层 |阅读模式
******想要进入全国网工交流群,结交更多网工,提升技术硬实力?添加微信号 spotoa ,进入全国网工交流40群!********


阅读福利:网工必备60G资料包,回帖即可领取下载链接啦!


游客,如果您要查看本帖隐藏内容请回复



01 什么是AAA?

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。

同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。

后两种可视为“委托认证/授权/计费”方式,因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的,而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。

AAA采用基于用户(可以是所有用户,也可以是特定用户组中的用户)进行认证、授权和计费的方案。

AAA 服务器可以成组,可以使用服务器组来处理某项特定任务。

认证( authentication)可以使用多种方法,包括 RADIUS、 TACACS+、Kerbero 5 以及在路由器本地配置的用户名。

授权( authorization)可以使用RADIUS或TACACS+来授权用户访问可用的服务。

计费( accounting)可以使用 RADIUS或TACACS+来跟踪和记录用户正在使用的服务和网络资源。

同时在路由器和RADIUS或TACACS+服务器上配置共享密钥,能够将所有的交互性流量(包括用户名密码)加密。


02 使用 AAA 认证能做些啥?
(1)创建某种认证类型的方法列表

[defaultl list-name] method1 [me thod2...]

这条命令创建了一个名为list-name的认证方法列表。

其中包含了一个按序进行尝试的登录认证方法列表。关键字default定义了一个在线路和接口上默认使用的认证方法列表。方法列表可应用到的认证类型包括 login(路由器的登录提示)、 enable(访问特权 EXEC 命令级别)、 ppp(通过 PPP 拨号访问)、 nasi ( Netware 异步服务接口)或 arap( AppleTalk 远程访问协议)。

login: enable(使用 enable 密码)、 krb5( Kerberos 5)、 krb5-telnet(用于 Telnet 认证的 Kerberos 5)、 line(使用线路密码)、 local(使用路由器本地的用户名及密码列表)、 local-case(使用路由器的用户名大小写敏感的用户列表)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的 RADIUS 服务器)、group tacacs+(使用所有列出的 TACACS+服务器), 以及 group group-name (仅使用名为 group-name的服务器组中列出的服务器)。

enable:enable(使用 enable 密码)、 line(使用线路密码)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),
以及 group group-name(仅使用名为 group-name 的服务器组中列出的服务器)。

ppp: if-needed(如果用户已经登录到了 TTY 线路上,则无需认证)、krb5( Kerberos 5)、 local(使用路由器本地的用户名及密码列表)、local-case(使用路由器的用户名大小写敏感的用户列表)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),以及 group group-name(仅使用名为 group-name 的服务器组中列出的服务器)。

nasi: enable(使用 enable 密码)、 line(使用线路密码)、 local(使用路由器本地的用户名及密码列表)、 local-case(使用路由器的用户名大小写敏感的用户列表)、 none(不使用认证;所有用户都可以成功认证)、
group radius(使用所有列出的 RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),以及 group group-name(仅使用名为group-name 的服务器组中列出的服务器)。

arap: auth-guest(如果用户具有 EXEC 访问权限,则允许 guest 登录)、guest(允许 guest 登录)、 line(使用线路密码)、 local(使用路由器本地的用户名及密码列表)、 local-case(使用路由器的用户名大小写敏感的用户列表)、 group radius(使用所有列出的 RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),以及 group group-name
(仅使用名为 group-name 的服务器组中列出的服务器)。

(2)将认证方法列表应用到路由器线路或接口上

(仅用于 PPP)在接口上执行认证。

选择一个接口。

(global) interface type slot/number
在接口上启用 PPP 认证。

(interface)ppp authentication {protocol1 [protocol2 …]} [if-needed] [list-name | default] [callin] [one-time]

PPP 认证可以通过一种或多种协议来实现(protocol1, protocol2, …):chap (CHAP)、 ms-chap(Microsoft CHAP) 或 pap(PAP)。如果 TACACS 或 TACACS+已经成功认证了某个用户,关键字 if-needed 可用来避免多余的PAP或CHAP认证。方法列表通过参数 list-name 指定,其中包含了 PPP 按序尝试的一系列认证方法。

如果不需要方法列表,可使用关键字 default让PPP使用默认的方法。使用关键字 callin 将只入站用户(呼叫)进行认证,关键字 one-time 允许用户名和密码同时出现在用户名字段。

(仅用于 Login、 NASI 或 ARAP)在线路上执行认证。
选择一条线路。

(global) line {aux | console | tty | vty} line-number [end-line-number]

具体的某条 Aux、 Console、异步或虚拟 TTY 线路可以通过参数 line-number来选定。加入参数 end-line-number 可以选定一组线路号。

在线路上应用认证。

(line) {login | nasi | arap} authetication {default | list-name}

    认证类型可以是 login、 nasi 或 arap。名为 list-name 的方法列表用来认证线路上的用户。

关键字 default 用于在未指定方法列表时使用默认的 AAA 认证方法。

(3)(可选)使用 AAA 标语及提示符

创建一则登录标语。

(global) aaa authentication banner dstringd
此命令会将定制的标语 string(至多 2996 个字符)显示于用户名登录提示符之前。字符d代表定界符(任何未出现在 string 中的字符),需写在标语字符串的前后两端。

修改密码提示符。

(global) aaa authentication password-prompt string

默认的密码提示符为 Password:用户可以使用此命令将其修改成 string(文本字符串;如果包含空格,则需使用双引号将其括起来)。

创建一则登录失败标语。

(global) aaa authentication fail-message dstringd
如果用户登录认证失败,将会显示这条定制的标语 string(至多 2996 个字符)。

字符d代表定界符(任何未出现在string中的字符),需写在标语字符串的前后两端。



03 配置实例

此例中,在路由器上配置了认证、 授权、计费的所有AAA功能。两台RADIUS服务器分别指定为192.168.161.45和 192.168.150.91,两台具有相同的密钥。

一台TACACS+服务器位于192.168.44.10。最后定义了一个本地的用户名,用作在所有AAA 服务器都不能访问时最后的应对方法(“后门”)。

使用RADIUS服务器对异步接口的PPP访问进行认证,其次是本地认证。还对使用Telnet登录访问路由器的用户进行认证,首选 TACACS+服务器,其次是RADIUS 服务器,最后是本地认证。

使用RADIUS服务器和本地的方式对network和exec功能进行授权。用户通过PPP或Telnet访问网络必须先通过授权。

还对 network和exec资源配置了计费通告功能,使用的是 RADIUS服务器。配置了路由器发送PPP和路由器 EXEC终端会话的计费记录。




——————————————————————————————————
HCIE/CCIE的提升空间有多少?看看群内聊天讨论就知道!



添加老杨老师微信:spotoa,加入全国网工交流群(已建立50+个),获取更多CCIE/HCIE考试一手资讯+考试必备资料,也欢迎添加
网工老杨老师微信:spotoa




【推荐阅读】



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-22 16:49 , Processed in 0.082712 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表