身份验证服务器（Authenticationserver）.pptVIP

AAA Authentication, Authorization, and Accounting AAA Network Configuration Authentication(验证) 确定身份验证是否合法 Authorization(授权) 指定用户允许哪些操作 Accounting(统计) 确定用户做了哪些操作 AAA 认证流程的角色 CISCO 的AAA 认证流程的角色： AAA user:远程访问者 AAA client:RAS接入 服务器 AAA server:ACS 服务器（或在RAS 服务器本地验证） AAA database:数据库服务器（或在ACS 服务器上、或RAS 服务器本地） 接入服务器和访问控制服务器可使用以下安全协议: TACACS+:运行于TCP之上,cisco私有,能将验证和授权分开 RADIUS:运行于UDP上,开放的协议,不可将验证和授权分开 Supported AAA Servers TACACS+ RADIUS Cisco Secure ACS 安装及基本配置 步骤1、检查并调整计算机硬件配置，使其满足以下要求： Pentium Ⅲ 550MHz 以上 256M 内存 250M 以上的剩余硬盘空间 步骤2、检查windows 配置，安装Java run time（JRE）。 步骤3、检查服务器到Cisco 设备的网络连接。 步骤4、插入Cisco Secure ACS for windows 光盘，点击“Install”开始安装，然后按照windows 的提示一步步地完成安装 步骤5、在浏览器的地址栏里输入“http://hostname or IP address :2002”访问ACS 的web 配置页面。 web 配置页面 ACS 各导航条配置 Cisco IOS AAA 认证基本配置 步骤1、全局开启AAA 服务。 要使用AAA，就必须使用aaa new-model 全局配置命令启用AAA 服务。 Router(config)# aaa new-model 步骤2、配置ACS 服务器的地址和AAA client 密码，其命令格式如下： AAA Client 和AAA Server 之间使用TACACS+协议时： tacacs-server host IP_address tacacs-server key key AAA Client 和AAA Server 之间使用RADIUS 协议时： radius-server host IP_address radius-server key key 配置Cisco Secure ACS 服务器 定义认证的方法列表，常见的认证方法主要有： 配置与应用Authentication ＡＡＡ身份验证 Authorization－－授权选项 Authorization－－授权方法 Configuring Authorization 对用户的等级进行授权 Cisco IOS 认证代理 第一步，启动AAA Router(config)# aaa new-model Router(config)# aaa authentication login default group tacacs+ Router(config)# aaa authorization auth-proxy default group tacacs+ Router(config)# tacacs-server host 0 key cisco 第二步，在ACS 上将路由器设置为AAA client 第三步，在ACS 上配置代理服务 第四,五步，在ACS 中添加用户，并配置用户授权文件 第六步，在路由器上定义进站访问控制列表，只允许到路由器的AAA 流量 Router(config)#access-list 101 permit tcp host 0 eq tacacs host Router(config)#access-list 101 deny ip any any Router(config-if)# access-list 100 permit tcp any eq tacacs any Router(config)#interface fa0/1 Router(config-if)#ip access-group 101 in 第七步，打开路由器的HTTP 服务器 第九步，测试 Accounting- 统计 Configuring Accounting ＡＡＡ统计 802.1X Port-Based Authentication(基于端口的访问控制协议) Restricts unauthorized clients from connecting t