AAA服务器

AAA服务器

2010-03-23 21:07:38

　标签： AAA 服务器　　　 [ 推送到技术圈]

1、AAA是什么？
authentication 识别用户 WHO
authorization 由一系列的属性限定用户能够有什么权利
accounting 统计用户在什么时间，什么地方做什么

2、为什么要用3A
1、跟NAS的数量（互联网接入点）
2、跟人数有关
3、跟人员变动的频率

可扩展性，标准性的协议备份系统（METHORD LISTS）

3、3A的基本协议 Client-----nas-----AAA

---------------------------------
启用 aaa new-model

在show run
line vty 0 4
NO LOGIN （没有了）

r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_CON none
r1(config)#line con 0
r1(config-line)#login authentication FOR_CON
CONSOLE 口不需要验证

r1(config)#aaa authentication login FOR_VTY none
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET 不需要验证，但要在3A里面授权

r1(config)#aaa authentication login FOR_VTY local
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名不区分大小写）

r1(config)# aaa authentication login FOR_VTY local-case
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名区分大小写）

r1(config)#enable password ccie
r1(config)#aaa authentication login FOR_VTY enable
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的enable 密码

r1(config)#aaa authentication login FOR_VTY line
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY

假设R1没有设置密码
当R2 TELNET 的时候出现
r2#telnet 12.12.12.1
Trying 12.12.12.2 ... Open

% Authentication failed

假设已经在LINE下设置了密码

[Connection to 12.12.12.2 closed by foreign host]
r1#telnet 12.12.12.2
Trying 12.12.12.2 ... Open

User Access Verification

Password:

r2>

可以正常 TELNET
--------------------------
1、网管
2、穿越 AUTH-PROCY
3、拨入

TACAS+ 与 RADIUS的区别

TACAS DADIUS
separater AAA authentication and authorization

transport tcp 49 udp old 1645 authen/authori
protocol 1646 accouning

new 1812 authen/authori
1813 accouning

CHAP Bidirectional Undirectional

PROTOCOL Multiprotocol NO ARA
SURPORT support NO NETBFUZ

encry encry packet encry password encry

accounting imited extensive

-------------------------

802.1x (TACAS 支持)
----------------------------------
定义服务器
r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_VTY group tacacs+
r1#test aaa group tacas+ test1 cisco new-code
当看到SUCCESS 才向下做
SUCCESS 说明3A服务器正常
证明 use pass 在3A里面（test1 cisco）

用到GROUP 说明在使用3A服务器

RADIUS 一样做法
-----------------------
授权

r1(config)#aaa authorization commands 0 FOR_VTY group tacacs+
r1(config)#line VTY 0 4
r1(config-line)#authorization commands 0 FOR_VTY
授权0级，最低级，什么也不能用，不要用在console口上

r1(config)#aaa authorization commands 15 FOR_VTY group tacacs+
授权15级
r1(config)#aaa authorization config-commands
可以用 conf t

审计
r1(config)#aaa accounting exec default none 全部启用
r1(config)#aaa accounting exec WORD （起个名字，需要调用）

AAA服务器

AAA服务器

1、AAA是什么？authentication 识别用户 WHOauthorization 由一系列的属性限定用户能够有什么权利accounting 统计用户在什么时间，什么地方做什么

2、为什么要用3A 1、跟NAS的数量（互联网接入点） 2、跟人数有关 3、跟人员变动的频率

可扩展性，标准性的协议备份 系统（METHORD LISTS）

3、3A的基本协议 Client-----nas-----AAA

---------------------------------启 用 aaa new-model

在show run line vty 0 4 NO LOGIN （没有了）

r1(config)#aaa new-modelr1(config)#aaa authentication login FOR_CON noner1(config)#line con 0r1(config-line)#login authentication FOR_CONCONSOLE 口不需要验证

r1(config)#aaa authentication login FOR_VTY noner1(config)#line vty 0 4r1(config-line)#login authentication FOR_VTY当R2 TELNET 不需要验证，但要在3A里面授权

r1(config)#aaa authentication login FOR_VTY localr1(config)#line vty 0 4r1(config-line)#login authentication FOR_VTY当R2 TELNET的时候 需要输入R1的USER、PASS （用户名不区分大小写）

r1(config)# aaa authentication login FOR_VTY local-caser1(config)#line vty 0 4r1(config-line)#login authentication FOR_VTY当R2 TELNET的时候 需要输入R1的USER、PASS （用户名区分大小写）

r1(config)#enable password ccier1(config)#aaa authentication login FOR_VTY enabler1(config)#line vty 0 4r1(config-line)#login authentication FOR_VTY当R2 TELNET的时候 需要输入R1的enable 密码

r1(config)#aaa authentication login FOR_VTY liner1(config)#line vty 0 4r1(config-line)#login authentication FOR_VTY

假设R1没有设置密码当R2 TELNET 的时候 出现r2#telnet 12.12.12.1Trying 12.12.12.2 ... Open

% Authentication failed

% Authentication failed

% Authentication failed

假设已经在LINE下设置了 密码

[Connection to 12.12.12.2 closed by foreign host]r1#telnet 12.12.12.2Trying 12.12.12.2 ... Open

User Access Verification

Password:

r2>

可以正常 TELNET--------------------------1、 网管2、穿越 AUTH-PROCY3、拨入

TACAS+ 与 RADIUS的区别

TACAS DADIUS separater AAA authentication and authorization

transport tcp 49 udp old 1645 authen/authoriprotocol 1646 accouning

new 1812 authen/authori 1813 accouning

CHAP Bidirectional Undirectional

PROTOCOL Multiprotocol NO ARASURPORT support NO NETBFUZ

encry encry packet encry password encry

accounting imited extensive

-------------------------

用到GROUP 说明在使用3A服务器

RADIUS 一样做法-----------------------授 权

r1(config)#aaa authorization commands 0 FOR_VTY group tacacs+r1(config)#line VTY 0 4 r1(config-line)#authorization commands 0 FOR_VTY授权0级，最低 级，什么也不能用，不要用在console口上

r1(config)#aaa authorization commands 15 FOR_VTY group tacacs+授权15级r1(config)#aaa authorization config-commands可以用 conf t

审计r1(config)#aaa accounting exec default none 全部启用r1(config)#aaa accounting exec WORD （起个名字，需要调用）

你可能感兴趣的:(职场,服务器,休闲,AAA)

1、AAA是什么？
authentication 识别用户 WHO
authorization 由一系列的属性限定用户能够有什么权利
accounting 统计用户在什么时间，什么地方做什么

2、为什么要用3A
1、跟NAS的数量（互联网接入点）
2、跟人数有关
3、跟人员变动的频率

可扩展性，标准性的协议备份系统（METHORD LISTS）

---------------------------------
启用 aaa new-model

在show run
line vty 0 4
NO LOGIN （没有了）

r1(config)#aaa new-model
r1(config)#aaa authentication login FOR_CON none
r1(config)#line con 0
r1(config-line)#login authentication FOR_CON
CONSOLE 口不需要验证

r1(config)#aaa authentication login FOR_VTY none
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET 不需要验证，但要在3A里面授权

r1(config)#aaa authentication login FOR_VTY local
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名不区分大小写）

r1(config)# aaa authentication login FOR_VTY local-case
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的USER、PASS （用户名区分大小写）

r1(config)#enable password ccie
r1(config)#aaa authentication login FOR_VTY enable
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY
当R2 TELNET的时候需要输入R1的enable 密码

r1(config)#aaa authentication login FOR_VTY line
r1(config)#line vty 0 4
r1(config-line)#login authentication FOR_VTY

假设R1没有设置密码
当R2 TELNET 的时候出现
r2#telnet 12.12.12.1
Trying 12.12.12.2 ... Open

假设已经在LINE下设置了密码

[Connection to 12.12.12.2 closed by foreign host]
r1#telnet 12.12.12.2
Trying 12.12.12.2 ... Open

可以正常 TELNET
--------------------------
1、网管
2、穿越 AUTH-PROCY
3、拨入

TACAS DADIUS
separater AAA authentication and authorization

transport tcp 49 udp old 1645 authen/authori
protocol 1646 accouning

new 1812 authen/authori
1813 accouning

PROTOCOL Multiprotocol NO ARA
SURPORT support NO NETBFUZ

RADIUS 一样做法
-----------------------
授权

r1(config)#aaa authorization commands 0 FOR_VTY group tacacs+
r1(config)#line VTY 0 4
r1(config-line)#authorization commands 0 FOR_VTY
授权0级，最低级，什么也不能用，不要用在console口上

r1(config)#aaa authorization commands 15 FOR_VTY group tacacs+
授权15级
r1(config)#aaa authorization config-commands
可以用 conf t

审计
r1(config)#aaa accounting exec default none 全部启用
r1(config)#aaa accounting exec WORD （起个名字，需要调用）