Cisco AAA 服务器-协创教育

栏目导航Sobre los Cursos

最新动态Noticias 更多

最新课程New Course 更多

您所在的位置：首页 > 文章集萃

Cisco AAA 服务器

2011-1-25

投稿人：admin

1、AAA是什么？
authentication 识别用户 WHO
authorization 由一系列的属性限定用户能够有什么权利
accounting 统计用户在什么时间，什么地方做什么
2、为什么要用3A
1、跟NAS的数量（互联网接入点）
2、跟人数有关
3、跟人员变动的频率
可扩展性，标准性的协议备份系统（METHORD LISTS）

3、3A的基本协议 Client-----nas-----AAA
---------------------------------
启用 aaa new-model
在show run
line vty 0 4
NO LOGIN （没有了）

r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_CON none
r1(config)#line con 0
r1(config-line)#login authentication FOR_CON
CONSOLE 口不需要验证

r1(config)#aaa authentication login FOR_VTY none
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET 不需要验证，但要在3A里面授权
r1(config)#aaa authentication login FOR_VTY local
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名不区分大小写）
r1(config)# aaa authentication login FOR_VTY local-case
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名区分大小写）
r1(config)#enable password ccie
r1(config)#aaa authentication login FOR_VTY enable
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的enable 密码
r1(config)#aaa authentication login FOR_VTY line
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
假设R1没有设置密码
当R2 TELNET 的时候出现
r2#telnet 12.12.12.1
Trying 12.12.12.2 ... Open
% Authentication failed
% Authentication failed
% Authentication failed
假设已经在LINE下设置了密码
[Connection to 12.12.12.2 closed by foreign host]
r1#telnet 12.12.12.2
Trying 12.12.12.2 ... Open
User Access Verification
Password:
r2>
可以正常 TELNET
--------------------------
1、网管
2、穿越 AUTH-PROCY
3、拨入
TACAS+ 与 RADIUS的区别
                 TACAS                    DADIUS
            separater AAA           authentication and authorization
transport   tcp 49                 udp   old 1645 authen/authori
protocol                                     1646 accouning
                                         new 1812 authen/authori
                                             1813 accouning
CHAP        Bidirectional                 Undirectional
PROTOCOL     Multiprotocol               NO ARA
SURPORT         support                  NO NETBFUZ
encry        encry packet encry          password encry
accounting       imited                   extensive
-------------------------
802.1x (TACAS 支持)
----------------------------------
定义服务器
r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_VTY group tacacs+
r1#test aaa group tacas+ test1 cisco new-code
当看到SUCCESS 才向下做
SUCCESS 说明3A服务器正常
证明 use pass 在3A里面（test1 cisco）
用到GROUP 说明在使用3A服务器
RADIUS 一样做法
-----------------------
授权
r1(config)#aaa authorization commands 0 FOR_VTY group tacacs+
r1(config)#line VTY 0 4
r1(config-line)#authorization commands 0 FOR_VTY
授权0级，最低级，什么也不能用，不要用在console口上
r1(config)#aaa authorization commands 15 FOR_VTY group tacacs+
授权15级
r1(config)#aaa authorization config-commands
可以用 conf t
审计
r1(config)#aaa accounting exec default none 全部启用
r1(config)#aaa accounting exec WORD （起个名字，需要调用)

出处：Cisco网站

上一篇：无线局域网端口类型大荟萃

下一篇：OSPF虚链路（virtual-link）配置实例 + 详细验证过程(3)

您的评论

评论者：	请填写您的姓名，方便我们联系您
评论内容：
	请填写您的评论内容, 内容不能超过200字哟！有您的支持，是我们不断前进的动力，感谢您的支持！

欢迎光临重庆协创IT国际认证中心!

就业指导

认证培训

Cisco AAA 服务器

您的评论