[ACS培训资料.pptVIP

网络维护工作中经常发生的…… 为每个值班人员分配username和password 需要值班人员经常查看设备的运行状态 (接口、路由、CPU) 简单的控制命令:shutdown, no shutdown 值班人员的supervisor设备控制能力 错误的操作，带来设备reload 无意中删除关键配置，网络中断 ……，所以 定义username和password/每个设备 定义privilege0-15 command set 将username与privilege关联 缺点： 在所有设备上实施同样的配置 没有操作记录能力 管理和控制复杂 二、使用AAA实现网络设备的安全管理 RADIUS 协议特性 RADIUS 协议规范 (RFC2865) 和 RADIUS 记帐标准 (RFC 2866) 均是标准协议 一个 网络访问服务器 (NAS) 和 一个RADIUS服务器之间的网络通讯基于UDP协议:认证授权端口1812; 计费端口1813 RADIUS是一个客户/服务器模式协议 RADIUS 服务器收到用户的连接请求, 对用户进行认证,然后返回一个用户必须提交此服务的配置信息 一个RADIUS 服务器 能够作为另一个RADIUS 服务器或其他种类认证服务器的代理服务器 最大数据包长度为4096 bytes RADIUS Process TACACS+ Features TACACS+ 含有三个明显的功能模块 (Authentication认证, Authorization授权 and Accounting记帐) TACACS+ 支持高级认证的综合命令授权, 例如： Data Encryption Standard (DES) and One-Time Password (OTP) key协议等。 TACACS+ 支持 16 种不同优先级 (0–15) TACACS+ 允许对服务进行控制, 例如： Point-to-Point Protocol (PPP), shell命令行, 标准登陆, enable特权, 和 AppleTalk 远程访问协议 (ARA) TACACS+ 允许阻止某些服务的特地端口的访问, 例如： 一个路由器上端口的TTY 或 VTY TACACS+ Process RADIUS vs. TACACS+ RADIUS RADIUS 使用 UDP协议1812、1813 RADIUS 仅仅加密数据包中的密码 RADIUS结合了认证和授权 工业标准 (created by Livingston) RADIUS 协议不支持 ARA access, Net BIOS Frame Protocol Control protocol, NASI, and X.25 PAD connections RADIUS 不支持用户在操作路由器时控制用户的命令输出 TACACS+ TACACS+ 使用 TCP协议 TACACS+ 加密数据包的整体 TACACS+ 使用AAA的特性, 即：独立的认证、授权、记帐 Cisco drafts based on TACACS TACACS+ 多协议支持特性 TACACS+ 对于命令的控制支持两种实现方式: 基于用户、基于用户组 CAS command flow CAS command flow CAS command flow CAS command flow CAS command flow CAS command flow CAS command flow CAS command flow UserGroup---管理员分类 NDG(network device group)---设备集合 Shell Command Sets--- 操作权限 四、AAA网络设备配置命令 AAA on Catalyst Switch set authentication login tacacs enable all primary ；验证通过console或telenet方式的login过程 set authentication login local enable console ；定义console下的”后门” set localuser username password pwd privilege 15 set localuser authentication enable ! set authorization exec enable both ；enable normal命令授权 set authorization enable enable both