AAA详解档.pdfVIP

[Note] AAA 详解 Authentication:用于验证用户的访问，如login access,ppp network access 等。 Authorization:在Autentication 成功验证后，Authorization 用于限制用户可以执行什么操作，可以访 问什么服务。 Accouting:记录Authentication 及Authorization 的行为。 Part I. 安全协议 1Terminal Access Controller Access Control System Plus (TACACS+) Cisco 私有的协议。加密整个发给tacacs+ server 的消息，用户的keys。 支持模块化AAA，可以将不同的AAA 功能分布于不同的AAA Server 甚至不同的安全协议，从而可以实 现不同的AAA Server/安全协议实现不同的AAA 功能。 配置命令： Router(config)# tacacs-server host IP_address [single-connection] [port {port_#}] [timeout {seconds}] [key {encryption_key}] Router(config)# tacacs-server key {encryption_key} 注： (1)single-connection:为Router 与AAA Server 的会话始终保留一条TCP 链接，而不是默认的每次会 话都打开/关闭TCP 链接。 (2)配置两个tacacs-server host 命令可以实现tacacs+的冗余，如果第一个server fail 了，第二个 server 可以接管相应的服务。第一个tacacs-server host 命令指定的server 为主，其它为备份。 (3)配置inbound acl 时需要permit tacacs+的TCP port 49 。 (4)如果两个tacacs-server 使用不同的key,则需要在tacacs-server host 命令中指定不同的 encryption_key,否则可以使用tacacs-server key 统一定制。但tacacs-server host 命令中的key 定 义优先于tacacs-server key 命令。 Troubleshooting: 命令： #show tacacs #debug tacacs 关于TACACS+ 的操作信息。 #debug tacacs events 比debug tacacs 更详细的信息，包括router 上运行的 TACACS+ processes 消息。 Router# show tacacs Tacacs+ Server : 10.0.0.10/49 Socket opens: 3 Socket closes: 3 Socket aborts: 0 Socket errors: 0 Socket Timeouts: 0 Failed Connect Attempts: 0 Total Packets Sent: 42 Total Packets Recv: 41 Expected Replies: 0 No current connection 2Remote Authentication Dial-In User Service (RADIUS) RADIUS 是一个开放的标准，定义于RFC 2865 和2865。 RADIUS 使用一个共享的密钥，并且只加密用户的keys,而不是TACACS+ 的整个AAA 消息。用户的keys 不会明文在网络上传递。 RADIUS 应用范围： (1)使用multiple vendors 设备，并且需要一个单独的安全协议用于AAA 。 (2)需要实现资源记录，如跟踪用户登录router 多长时间及用户访问网络多长时间。 (3)smart card authentication systems 只支持RADIUS。 (4)在用户初始化访问一个设备时，对他进行preauthentication。 RADIUS 的使用限制： (1)不支持Apple Talks Remote Access Protocol(ARAP)，the NetBIOS Frame Control Protocol(NBFCP)，Ne