AAA原理及应用..docVIP

AAA原理及应用1 AAA简介 3 1.1 什么是AAA 3 1.2 AAA的优点 3 2 AAA认证 3 2.1 AAA认证的功能 3 2.2 AAA认证的方法 4 2.2.1常见的认证方式（默认对所有用户生效/default） 4 2.2.2定义方法列表名(list-name) 5 2.3 AAA认证应用举例 5 2.3.1登陆管理认证 5 对所有登陆用户都进行认证 5 对不同用户群进行不同的认证（Line） 6 使用RADIUS对telnet 登陆的用户进行验证 6 2.3.3对于PPP的认证 8 典型的L2TP 8 使用PAP的认证方式 8 使用CHAP的认证方式 10 2.4 AAA认证常见的应用问题 12 2.4.1忘记密码的应对方法 12 2.4.2 关于console登陆密码问题 13 2.4.3 AAA认证设置不当的影响 13 3 AAA授权 13 3.1 AAA授权的功能 13 3.2 AAA授权的方法 14 3.2.1常见的授权方式（默认对所有用户生效/default） 14 3.2.2定义方法列表名(list-name) 14 4 AAA记帐 15 4.1 AAA记帐的功能 15 4.2 AAA记帐的条件 15 4.3 AAA记帐的方法 16 4.3.1常见的记帐方式（默认对所有用户生效/default） 16 4.3.2定义方法列表名(list-name) 16 4.4 实验：使用Radius数据库对出站连接进行记帐 16 4.4.1计费系统端的配置： 17 4.4.2 网关的配置： 17 5 测试小结 21 1 AAA简介 1.1 什么是AAA AAA是一种访问控制机制，它决定什么样的用户被允许访问网络服务器，以及他们能够得到哪些服务。AAA使用相同方式，配置三种独立的安全功能来实现一种结构,提供认证、授权、计费（Authentication、Authorization、Accounting）功能。 1.2 AAA的优点 灵活易控 标准化的认证方法 多重备用系统 1.3 AAA 计费：记录用户使用网络资源的情况。 2 AAA认证 2.1 AAA认证的功能 对enable进行认证： 用户从用户态转入到特权状态时，网络设备需要安全认证的一种方法对login进行认证： 用户从未登录到登陆状态进行配置时需要进行的操作。 对ppp进行认证： 链路建立阶段进行的认证，验证成功之后才会进入NCP（如IPCP、IPXCP、BCP）的协商过程。包括chap 和pap认证，chap认证是在整个通信过程进行，pap 认证则是在PPP建立连接时进行。 AAA认证的方法 .1常见的认证方式（默认对所有用户生效/default） 1、Enable：使用enable密码进行认证 aaa authentication zzz default enable //zzz指enable、login、ppp等，下同 enable password xxx 2、Local：使用本地用户数据库进行认证 aaa authentication zzz default local username xxx password xxx 3、Local-case：使用本地用户数据库进行认证，但区分大小写字符 aaa authentication ZZZ default local-case 4、None：不进行任何认证 aaa authentication zzz default none 5、Line：使用line密码进行认证 vty：虚拟终端，一般指telnet方式 aaa authentication zzz default line line vty 0 4 password xxx tty：实终端，通常对应固定终端的应用 aaa authentication zzz default line line tty 0 7 password xxx cty：监控口/Console line console 0 （通常路由器都只有一个console ） password xxx 6、Radius：使用RADIUS服务器进行认证 aaa authentication zzz default group radius radius-server host A.B.C.D auth-port 1812 acct-port 1813 //Radius的认证和计费通讯端口建议使用默认值 radius-server key xxx 7、Tacacs+: 使用tacacs+服务器进行认证 方法与RADIUS类同，且Tacacs+为CISCO的私有协议，BDCOM路由器正式发布版本中不包含该功能。 8、Group: 使用Radius、T