CISCO AAA命令详解.docVIP

AAA详解 收藏 Authentication:用于验证用户的访问，如login access,ppp network access等。 Authorization:在Autentication成功验证后，Authorization用于限制用户可以执行什么操作，可以访问什么服务。 Accouting:记录Authentication及Authorization的行为。 Part I. 安全协议 1Terminal Access Controller Access Control System Plus (TACACS+) Cisco私有的协议。加密整个发给tacacs+ server的消息，用户的keys。 支持模块化AAA，可以将不同的AAA功能分布于不同的AAA Server甚至不同的安全协议，从而可以实现不同的AAA Server/安全协议实现不同的AAA功能。 配置命令： Router(config)# tacacs-server host IP_address [single-connection] [port {port_#}] [timeout {seconds}] [key {encryption_key}] Router(config)# tacacs-server key {encryption_key} 注： (1)single-connection:为Router与AAA Server的会话始终保留一条TCP链接，而不是默认的每次会话都打开/关闭TCP链接。 (2)配置两个tacacs-server host命令可以实现tacacs+的冗余，如果第一个server fail了，第二个server可以接管相应的服务。第一个tacacs-server host命令指定的server为主，其它为备份。 (3)配置inbound acl时需要permit tacacs+的TCP port 49。 (4) 如果两个tacacs-server使用不同的key,则需要在tacacs-server host命令中指定不同的encryption_key,否则可以使用tacacs-server key统一定制。但tacacs-server host命令中的key定义优先于tacacs-server key命令。 Troubleshooting: 命令： #show tacacs #debug tacacs 关于TACACS+的操作信息。 #debug tacacs events 比debug tacacs更详细的信息，包括router上运行的 TACACS+ processes消息。 Router# show tacacs Tacacs+ Server : 0/49 Socket opens: 3 Socket closes: 3 Socket aborts: 0 Socket errors: 0 Socket Timeouts: 0 Failed Connect Attempts: 0 Total Packets Sent: 42 Total Packets Recv: 41 Expected Replies: 0 No current connection 2Remote Authentication Dial-In User Service (RADIUS) RADIUS是一个开放的标准，定义于RFC 2865和2865。 RADIUS使用一个共享的密钥，并且只加密用户的keys,而不是TACACS+的整个AAA消息。用户的keys不会明文在网络上传递。 RADIUS应用范围： (1)使用multiple vendors设备，并且需要一个单独的安全协议用于AAA。 (2)需要实现资源记录，如跟踪用户登录router多长时间及用户访问网络多长时间。 (3)smart card authentication systems只支持RADIUS。 (4)在用户初始化访问一个设备时，对他进行preauthentication。 RADIUS的使用限制： (1) 不支持Apple Talks Remote Access Protocol(ARAP)，the NetBIOS Frame Control Protocol(NBFCP)，Ne