Cisco AAA 服务器-文章集萃-重庆协创IT国际认证中心

设为首页

加入收藏

联系我们

+ 最新公告

+ 更多

导航分类

数据正在添加中！

厂商认证

·微软MCP考试信息
·致已购买非正常渠道思科折扣号的
·关于对微软考生身份证件的政策
·7月1日起微软将不再免费寄发纸
·ITIL 考后证书需重新申请
·重庆协创思科授权培训中心(重庆
·证书丢了怎么办

文章集萃

Cisco AAA 服务器

发布者：发布时间：2011/1/25 11:41:35 阅读：1280次【字体：大中小】

1、AAA是什么？
authentication 识别用户 WHO
authorization 由一系列的属性限定用户能够有什么权利
accounting 统计用户在什么时间，什么地方做什么
2、为什么要用3A
1、跟NAS的数量（互联网接入点）
2、跟人数有关
3、跟人员变动的频率
可扩展性，标准性的协议备份系统（METHORD LISTS）

3、3A的基本协议 Client-----nas-----AAA
---------------------------------
启用 aaa new-model
在show run
line vty 0 4
NO LOGIN （没有了）

r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_CON none
r1(config)#line con 0
r1(config-line)#login authentication FOR_CON
CONSOLE 口不需要验证

r1(config)#aaa authentication login FOR_VTY none
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET 不需要验证，但要在3A里面授权
r1(config)#aaa authentication login FOR_VTY local
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名不区分大小写）
r1(config)# aaa authentication login FOR_VTY local-case
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名区分大小写）
r1(config)#enable password ccie
r1(config)#aaa authentication login FOR_VTY enable
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的enable 密码
r1(config)#aaa authentication login FOR_VTY line
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
假设R1没有设置密码
当R2 TELNET 的时候出现
r2#telnet 12.12.12.1
Trying 12.12.12.2 ... Open
% Authentication failed
% Authentication failed
% Authentication failed
假设已经在LINE下设置了密码
[Connection to 12.12.12.2 closed by foreign host]
r1#telnet 12.12.12.2
Trying 12.12.12.2 ... Open
User Access Verification
Password:
r2>
可以正常 TELNET
--------------------------
1、网管
2、穿越 AUTH-PROCY
3、拨入
TACAS+ 与 RADIUS的区别
                 TACAS                    DADIUS
            separater AAA           authentication and authorization
transport   tcp 49                 udp   old 1645 authen/authori
protocol                                     1646 accouning
                                         new 1812 authen/authori
                                             1813 accouning
CHAP        Bidirectional                 Undirectional
PROTOCOL     Multiprotocol               NO ARA
SURPORT         support                  NO NETBFUZ
encry        encry packet encry          password encry
accounting       imited                   extensive
-------------------------
802.1x (TACAS 支持)
----------------------------------
定义服务器
r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_VTY group tacacs+
r1#test aaa group tacas+ test1 cisco new-code
当看到SUCCESS 才向下做
SUCCESS 说明3A服务器正常
证明 use pass 在3A里面（test1 cisco）
用到GROUP 说明在使用3A服务器
RADIUS 一样做法
-----------------------
授权
r1(config)#aaa authorization commands 0 FOR_VTY group tacacs+
r1(config)#line VTY 0 4
r1(config-line)#authorization commands 0 FOR_VTY
授权0级，最低级，什么也不能用，不要用在console口上
r1(config)#aaa authorization commands 15 FOR_VTY group tacacs+
授权15级
r1(config)#aaa authorization config-commands
可以用 conf t
审计
r1(config)#aaa accounting exec default none 全部启用
r1(config)#aaa accounting exec WORD （起个名字，需要调用)

出处：Cisco网站