原创-学习cisco AAA简单易懂教程(一)

更多请见 [url]http://bbs.wh0553.net/thread-595-1-1.html[/url]

AAA 学习笔记

夏天原创-转载请保留
一、简介
AAA Authentication( 认证)Authorization 授权 Account 记帐的简称;
它们不是必须的也不是要同时一起使用的;
他们可以使用路由器设备本地数据库,也可以使用外部数据库( ACS );
首先我们要认证,即通过密码验证;我们就算没有设置其实也用到了认证,就是登陆路由器要输入的密码,这个叫enable
我们在配置了,username abc password aaa 使用这个帐号的话,叫local;
这二种是本地的数据库,如果要用到认证服务器,如 tacacs+ radius 就属于group 服务器组方式了,这时你必须要在tacacs+ radius 中选一个,同时还最多可选三个其它的认证方式;当然如果你对你的服务器和网络环境有信心的话可以不选。
二、配置教程
一、使用它们都是三个步骤
  1 、建立帐户数据库(本地或认证服务器);
  2 、定义列表;
  3 、应用到接口和链路;

二、首先我们要启用 AAA 功能 

  aaa new-model

三、一般来说第二步定义一个本地数据库防止配置失误造成无法登陆

  Username abc password aaa

四、定义认证配置
  认证相当于在问你是谁,你要回答我是哪个;但不可能不停的在问就算不烦嗓子也疼啊,只有在进门时我会问下你是谁,开保险柜时我在问下你是谁,或者是检查指纹测试瞳孔什么的等等;所以我们要对动作进行认证定义。
      aaa authentication 行为 列表名 认证方法
1、行为主要有以下三种:
   aaa authentication login ――――――当有一个登陆行为时进行认证;
   aaa authentication ppp ――――――对基于PPP 协议的一些网络应用进行认证;
   aaa authentication enable ――――――对使用enable 命令进入特权模式时进行认证;

2、列表名是自己定义的,这样我们可以把各种认证方式互相组合保存成一个个列表,用的时候方便,修改起来也方
  便,我改了一个列表里的认证方式那么所有使用这个列表的地方都改了,不需要去一个个地方去改了。
  Dedautl 列表是一个系统自己建立的列表名作为缺省列表。它与我们自己建的列表没有任何区别,只不过他是系统
  建的而已。
3、认证方法,就是指我们是查口令呢还是看指纹还是其它等等,也就是把我们的回答和谁进行分析比较。主要有以
  下几种:
  
关键字
  
描述
  enable
  使用enabel口令认证;
  krb5
  使用Kerberos5来认证;
  line
  使用线路口令来认证;
  local
  使用本地用户数据库来认证;
  none
  不认证;
  group  radius
  使用radius服务器来认证;
  group  tacacs+
  使用tacacs+服务器来认证;

每个列表中必须定义一种认证方法,最多可以定义四种方法,当第一种认证不通过再使用第二种,以此类推。 
例如我们定义
aaa  authentication  login   二号方案  group tacacs+ local
// 我们定义了一个名叫二号方案认证方式,就是先去tacacs+ 服务器验证,如果不成功在试试用本地帐号来试;
aaa  authentication  login   三号方案 group local enable
// 我们定义了一个名叫三号方案认证方式,就是先用本地帐号验证,如果不成功就用enable 密码来验证;

五、应用到接口和链路

我们上面做了那么多但是还没有效果为什么呢,就好像我们做好了报警器,指纹验证器但没装到门上你说可有效果,那当然是 不行的了,我们是定义了当登陆时就启用一个列表名字叫二号方案的认证方式,但只有我们把他装到门上才能有效果啊,有人说太麻烦应该定义好了就能用,那就惨 了,你给自己家的门上装了二号方案没关系,如果楼道门、院子门,都给装上了那就有问题了,所以我们要把定义好的认证方法列表装到我们需要使用认证的门上, 例如我们可能对Telnet 要认证,但通过console 登陆的就不要认证。
line vty 0 // 我们先要进入接口
aaa authentication 二号方案 // 线路vty0 使用名为二号方案的方式进行认证;
line vty 1
aaa authentication 三号方案

六、配置tacace服务器
可能的情况下还需要告诉路由器认证服务器IP 地址和KEY
Router(config)# tacacs-server host 1.1.1.1   key   cisco12345
如果是Radius服务器的话就使用下面的命令:
Router(config)# radius-server host 1.1.1.1  key  cisco12345
七、整理一下上面的命令看看在路由器上的实际配置情况

Router>en
Router#conf t
Enter configuration commands, one perline.
End with CNTL/Z.
Router(config)#aaa new
Router(config)#aaa new-model
Router(config)#username aaa password abc
Router(config)#aaa authe
Router(config)#aaa authentication log
Router(config)#aaa authentication loginfirst group tac
Router(config)#aaa authentication loginfirst group tacacs+ loc
Router(config)#aaa authentication loginfirst group tacacs+ local
Router(config)#aaa auth
Router(config)#aaa authent
Router(config)#aaa authentication log
Router(config)#aaa authentication loginsecond loc
Router(config)#aaa authentication loginsecond local ena
Router(config)#aaa authentication loginsecond local enable
Router(config)#line vty 0
Router(config-line)#login authenticationfirst
Router(config-line)#line vty 1
Router(config-line)#login authenticationsecond
Router(config-line)#
  至此一个认证的完整配置出来了。但水往低处流,人往高处走;我们可不能学萨科奇,低标准要求自己,有了认证后我们还想让管理更细致些于是我们再学授权和记帐,请看下一回

AAA学习笔记.docx (16.88 KB)