什么是AAA?
认证authentication:验证用户的身份与可使用的网络服务。
授权authorization:依据认证结果开放网络服务给用户。
审计accounting:记录用户对各种网络服务的用量,并提供给计费系统。
以上三个功能简称AAA系统。
AAA分为server端与client端。
为什么需要AAA?
AAA基本概念
AAA使用两个主要安全协议TACACS+与RADIUS
简单的AAA环境
AAA服务器端的实现:
1.cisco ACS软件
2.JAVA平台
客户端配置
设备上开启AAA
aaa new-model
配置AAA验证方式
aaa authentication type {default|list-name} method1 […[method4]]
常见的type有:
login 为想进入到exec命令行模式的用户验证
enable 决定用户是否可以访问特权命令级
ppp 在运行ppp的串行口上指定认证
local-override 用于某些特殊用户快速登录,先使用本地数据库,如果失败后再使用后面的认证方式。
list type:
一种是default,一种是命令list,用来指代后面的认证方式列表method1 […[method4]]
Method:
不同的type对应不同的Method,可定义多个method,后者method只有当前面的认证方式返回了一个出错信息时使用(最多四种Method),而不是在前面的method失败时使用。
例如:
aaa authentication login default group radius local
配置AAA授权
TYPE(常用):
commands level For exec (shell) commands. (0-15的所有命令)
config-commands For configuration mode commands.
configuration For downloading configurations from AAA server
console For enabling console authorization
exec For starting an exec (shell).
network For network services. (PPP, SLIP, ARAP)
reverse-access For reverse access connections
例如:
aaa authorization exec default local
配置AAA审计
TYPE:
commands level For exec (shell) commands.
connection For outbound connections. (telnet, rlogin)
exec For starting an exec (shell).
network For network services. (PPP, SLIP, ARAP)
system For system events. 如重启
配置汇总
interface Ethernet0
ip address 192.168.1.220 255.255.255.0
exit
aaa new-model
tacacs-server host 192.168.1.2
tacacs-server key ccie
激活AAA,并指定AAA服务器地址和与服务器建立连接时候使用的key
aaa authentication login default group tacacs+ local none
/*所有用户登录时使用Tacacs+服务器进行认证,并当Tacacs+服务器出错时才采用Client本地数据库进行认证
aaa authentication enable default group tacacs+ enable none
/*允许某些帐号拥有Enable最高权限,某些帐号只拥有Enable 权限,密码均保存在Tacacs+服务器中
aaa accounting exec default start-stop group tacacs+
/*为EXE会话进行记帐,进程开始和结束时发给Tacacs+服务器
aaa authentication login no_pass none
/*定义无需AAA验证的列表
line con 0
login authentication no_pass
/*在从控制台登录时不用AAA验证(保留设备最后一层管控界面)
interface Serial0/0/0
encapsulation ppp
ip address 12.1.1.1 255.255.255.0
no peer neighbor-route
ppp chap hostname R2
ppp chap password CCIE
interface Serial0/0/0
encapsulation ppp
ip address 12.1.1.2 255.255.255.0
no peer neighbor-route
ppp authentication chap
!
aaa new-model
aaa authentication ppp default group radius local-case
radius-server host 3.3.44.200 key CISCO
Username R2 password 0 CCIE