思科认证CCIE RS4.0版本知识点之网络安全------AAA模型.pdfVIP

版本知识点之网络安全AAA 模型 AAA 使用一种全新的认证模型，它为特定的进程提供认证、授权和记帐一系列的方法。 在RS 中由于不需要配置AAA 服务器，所以仅需要掌握AAA 认证和授权的基本知识。 一、AAA 认证： RS 需要了解的AAA 认证的进程有： 1， 登录进程，比如要通过各种线路来访问设备的时候。 2， 特权模式访问，要进入设备的特权模式时候。 命令：aaa authentication process { default | NAME } List of Methods process用来表示此方式列表用于哪种进程，即上面所说的用于登录还是进入特权 名为“default ”的方法列表会默认应用在所有其它的没有应用明确AAA 列表的子系统上 方法列表指定了用于进行认证的用户名及密码的数据库在哪里。 列表中可用的方法有 1， “Local” 使用本地的用户数据库中的用户名和密码来进行认证 密码不区分大小写 本地用户数据库可由以下命令新建 username password 2， “Local-case ” 同local,区别是密码区分大小写 仅供学习参考，请勿用于商业活动~ 3， “Line” 使用配置在线路接口上的密码来进程认证 4 ， “Enable” 作用全局下的enable 密码及相应的特权等级来进行认证 5， “Group ”TACACS+或RADIUS 使用远程的AAA 服务器组来进行认证 6， “None” 不对用户身份进行核实，直接放行 行为: 一个方法列表中的方法是有顺序的，路由器会按顺序从第一条开始尝试所有的方法. 此种机制给认证带来了冗余性. 1， 若认证失败或返回出错信息， 则尝试下一条认证方法 认证失败是指AAA 服务器无响应等，并非AAA 服务器返回认证失败信息 2， 若认证成功，但服务器返回失败信息 则尝试下一条认证方法 3， 若认证成功，服务器返回通过信息 则认证通过，无需再进行下一方法的认证 二、AAA 授权： AAA 授权是指：1.给一个过程以特定的权力 2. 给一个特定的行为以许可 1 授权的步骤只能对已经经过认证的实体进行 一个对象的唯一标识ID 会用来查找策略以便用来决定其权限 因此授权一般会跟在认证的后面而不会单独出现 不过有时候却会对未鉴定唯一标识的对象授予一些权力 EXEC 授权 此授权行为的目的是给予认证登录的用户以一定的特权等级 aaa authorization exec { default | NAME } List of Methods 应用范围：(同认证一样) 1， default 的列表会应用在全系统上 2， 命名的列表会应用在调用的线路上 通常来说，有三种方法可以提供获取到授权信息 1， 咨询远程的AAA 服务器 aaa authorization exec default group tacacs+ ACACS+将认证行为，和授权行为分开处理 RADIUS 的认证回复包里就包括了授权信息 2， 咨询本地用户数据库 aaa authorization exec default local 3， 使用默认设置: 如果授权的配置允许的话，将使用线路下的默认配置 一般在如下情况中出现 a， 禁用了授权功能:“none”