******想要进入全国网工交流群,结交更多网工,提升技术硬实力?添加微信号 spotoa ,进入全国网工交流40群!********
阅读福利:网工必备60G资料包,回帖即可领取下载链接啦!
01 什么是AAA?
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。
同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。
后两种可视为“委托认证/授权/计费”方式,因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的,而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。
AAA采用基于用户(可以是所有用户,也可以是特定用户组中的用户)进行认证、授权和计费的方案。
AAA 服务器可以成组,可以使用服务器组来处理某项特定任务。
认证( authentication)可以使用多种方法,包括 RADIUS、 TACACS+、Kerbero 5 以及在路由器本地配置的用户名。
授权( authorization)可以使用RADIUS或TACACS+来授权用户访问可用的服务。
计费( accounting)可以使用 RADIUS或TACACS+来跟踪和记录用户正在使用的服务和网络资源。
同时在路由器和RADIUS或TACACS+服务器上配置共享密钥,能够将所有的交互性流量(包括用户名密码)加密。
02 使用 AAA 认证能做些啥?
(1)创建某种认证类型的方法列表
[defaultl list-name] method1 [me thod2...]
这条命令创建了一个名为list-name的认证方法列表。
其中包含了一个按序进行尝试的登录认证方法列表。关键字default定义了一个在线路和接口上默认使用的认证方法列表。方法列表可应用到的认证类型包括 login(路由器的登录提示)、 enable(访问特权 EXEC 命令级别)、 ppp(通过 PPP 拨号访问)、 nasi ( Netware 异步服务接口)或 arap( AppleTalk 远程访问协议)。
login: enable(使用 enable 密码)、 krb5( Kerberos 5)、 krb5-telnet(用于 Telnet 认证的 Kerberos 5)、 line(使用线路密码)、 local(使用路由器本地的用户名及密码列表)、 local-case(使用路由器的用户名大小写敏感的用户列表)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的 RADIUS 服务器)、group tacacs+(使用所有列出的 TACACS+服务器), 以及 group group-name (仅使用名为 group-name的服务器组中列出的服务器)。
enable:enable(使用 enable 密码)、 line(使用线路密码)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器), 以及 group group-name(仅使用名为 group-name 的服务器组中列出的服务器)。
ppp: if-needed(如果用户已经登录到了 TTY 线路上,则无需认证)、krb5( Kerberos 5)、 local(使用路由器本地的用户名及密码列表)、local-case(使用路由器的用户名大小写敏感的用户列表)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),以及 group group-name(仅使用名为 group-name 的服务器组中列出的服务器)。
nasi: enable(使用 enable 密码)、 line(使用线路密码)、 local(使用路由器本地的用户名及密码列表)、 local-case(使用路由器的用户名大小写敏感的用户列表)、 none(不使用认证;所有用户都可以成功认证)、 group radius(使用所有列出的 RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),以及 group group-name(仅使用名为group-name 的服务器组中列出的服务器)。
arap: auth-guest(如果用户具有 EXEC 访问权限,则允许 guest 登录)、guest(允许 guest 登录)、 line(使用线路密码)、 local(使用路由器本地的用户名及密码列表)、 local-case(使用路由器的用户名大小写敏感的用户列表)、 group radius(使用所有列出的 RADIUS 服务器)、 group tacacs+(使用所有列出的 TACACS+服务器),以及 group group-name (仅使用名为 group-name 的服务器组中列出的服务器)。
(2)将认证方法列表应用到路由器线路或接口上
(仅用于 PPP)在接口上执行认证。
选择一个接口。
(global) interface type slot/number 在接口上启用 PPP 认证。
(interface)ppp authentication {protocol1 [protocol2 …]} [if-needed] [list-name | default] [callin] [one-time]
PPP 认证可以通过一种或多种协议来实现(protocol1, protocol2, …):chap (CHAP)、 ms-chap(Microsoft CHAP) 或 pap(PAP)。如果 TACACS 或 TACACS+已经成功认证了某个用户,关键字 if-needed 可用来避免多余的PAP或CHAP认证。方法列表通过参数 list-name 指定,其中包含了 PPP 按序尝试的一系列认证方法。
如果不需要方法列表,可使用关键字 default让PPP使用默认的方法。使用关键字 callin 将只入站用户(呼叫)进行认证,关键字 one-time 允许用户名和密码同时出现在用户名字段。
(仅用于 Login、 NASI 或 ARAP)在线路上执行认证。 选择一条线路。
(global) line {aux | console | tty | vty} line-number [end-line-number]
具体的某条 Aux、 Console、异步或虚拟 TTY 线路可以通过参数 line-number来选定。加入参数 end-line-number 可以选定一组线路号。
在线路上应用认证。
(line) {login | nasi | arap} authetication {default | list-name}
认证类型可以是 login、 nasi 或 arap。名为 list-name 的方法列表用来认证线路上的用户。
关键字 default 用于在未指定方法列表时使用默认的 AAA 认证方法。
(3)(可选)使用 AAA 标语及提示符
创建一则登录标语。
(global) aaa authentication banner dstringd 此命令会将定制的标语 string(至多 2996 个字符)显示于用户名登录提示符之前。字符d代表定界符(任何未出现在 string 中的字符),需写在标语字符串的前后两端。
修改密码提示符。
(global) aaa authentication password-prompt string
默认的密码提示符为 Password:用户可以使用此命令将其修改成 string(文本字符串;如果包含空格,则需使用双引号将其括起来)。
创建一则登录失败标语。
(global) aaa authentication fail-message dstringd 如果用户登录认证失败,将会显示这条定制的标语 string(至多 2996 个字符)。
字符d代表定界符(任何未出现在string中的字符),需写在标语字符串的前后两端。
03 配置实例
此例中,在路由器上配置了认证、 授权、计费的所有AAA功能。两台RADIUS服务器分别指定为192.168.161.45和 192.168.150.91,两台具有相同的密钥。
一台TACACS+服务器位于192.168.44.10。最后定义了一个本地的用户名,用作在所有AAA 服务器都不能访问时最后的应对方法(“后门”)。
使用RADIUS服务器对异步接口的PPP访问进行认证,其次是本地认证。还对使用Telnet登录访问路由器的用户进行认证,首选 TACACS+服务器,其次是RADIUS 服务器,最后是本地认证。
使用RADIUS服务器和本地的方式对network和exec功能进行授权。用户通过PPP或Telnet访问网络必须先通过授权。
还对 network和exec资源配置了计费通告功能,使用的是 RADIUS服务器。配置了路由器发送PPP和路由器 EXEC终端会话的计费记录。
—————————————————————————————————— HCIE/CCIE的提升空间有多少?看看群内聊天讨论就知道!
添加老杨老师微信:spotoa,加入全国网工交流群(已建立50+个),获取更多CCIE/HCIE考试一手资讯+考试必备资料,也欢迎添加网工老杨老师微信:spotoa
【推荐阅读】
|