AAA认证

管理性访问方式:

line [ console , vty ( telnet or ssh ) , aux] , ip http server 用户流量性访问方式: dialup , VPN

配置位置 在线路上生效 在接口上生效 时作验证。

AAA协议 传输层协议

TACACS+ TCP 49

RADIUS 标准的

访问方式 管理性访问tty, vty, aux, con

验证方式 登陆时作验证，检

做VPN连接

查用户有没有权限执行exec，有哪些命令

用户流量性访问async, BRI, PRI, serial, dialer profiles

RADIUS服务器:UDP 1812(认证，授权)，UDP 1813(计费)（ASC则是

UDP1645/1646）

标准 标准

cisco主导的草案

IETF的RFC只用key加授权是认证

加密 在client,server上设置key，将整个数据包加密 密数据包中的密码部分 可以把认证和授权分开做 的一部分，无法独立进行认证或授权(授权信息由access-accept消息携带) [WIN2000 server自带Internet Authentication Servie的RADIUS server]

RADIUS的四种消息类型 access-request access-challenge access-accept acces-reject

RADIUS是利用属性AV来表示认证和授权信息的。标准属性有50多种，厂商可以有自己的扩展属性

[RADIUS,TACACS+流程，书5-215，5-219]

RADIUS中，授权权限是在认证完成时由server全部传递给client的，而在TACACS+中，在用户做操作时，clinet设备会向server询问是否有此权限，server才把授权信息，即属性AV(登陆用户的acl, ip地址等)传递给client。

默认情况下，TACACS+会为每个AAA认证请求创建一个新的TCP连接，比较耗server的廉洁数资源，可以在client上指定所有认证请求使用相同的TCP连接。

认证的配置

# aaa new-model //激活AAA功能，没有激活AAA的时候telnet登陆，默认使用line密码；一旦激活AAA后登陆，默认使用local本地数据库。所以要养成习惯，启

用AAA后要建立user # tacacs-server host address [single-connection(即对所有认证使用同一个TCP连接)] //配置server地址

# tacacs-server key value //配置key，用于与server间RACACS+认证消息的加密 # aaa authentication login default [group tacacs+] [local] [line] //通过line登陆，http访问验证，VPN的登陆验证，都是用关键字login.

//使用default时，默认应用在所有的line和interface上（新IOS上已把console从default中独立出来了）

//第一种方法出错(无响应，或AAA server返回错误消息)时，会

使用第二种方法。但返回认证失败的时候，不会使用第二种方法。 //对于local验证，如果输入本地没有的用户名，出错，会使用下一种方法

[必须注意给console登陆留一个后路，# aaa authentication login console group tacacs+ local，这样AAA server不可用时，能够使用本地数据库认证，不至于无法登陆]

*[# aaa authentication login default local none, 这样如果随意输入一个本地没有的用户名，可以登陆；如果输入本地有的用户名，但密码输错，不可以登陆

# aaa authentication login default local enable, 如果输入一个本地没有的用户名（出错，使用enable方式认证），需要在输入enable口令，才能够登陆]

授权的配置

# aaa authorization exec default local

# aaa authorization enable default local

# aaa authorization command level default group tacacs+ local if-authenticated //if-authenticated,如果用户已经通过身份认证，则不需要检查用户是否有权限

计费的配置

# aaa accounting command level default start-stop group tacacs+ //对等级level的命令进行计费，或对exec的命令进行计费。用TACACS+服务器进行计费

//start-stop对用户的登陆和退出时间进行纪录，stop-only只对用户的退出时间进行记录，wait-start同样记录开始和退出时间，但在start

accounting notice被server响应之前，用户不能完成操作