AAA基礎知識

AAA采用C/S結構，用戶端運作于NAS上，伺服器上集中管理使用者資訊

使用者想通路網絡資源，進而和網關建立連接配接，網關把使用者的認證、授權、計費資訊透傳給radius伺服器審計計費

AAA中的NAS指的是Network Access Server，網絡接入伺服器（指的是路由器交換機等網絡裝置）

網絡裝置到AAA伺服器使用的是Radius協定，1812認證端口、1813計費端口

Radius工作環節

<a href="https://s2.51cto.com/wyfs02/M00/8E/33/wKiom1i4DJWAzPX1AAHhxY-DGUI486.jpg" target="_blank"></a>

radius伺服器的組成:User、Clients、Dictionary

user:用于使用者存儲使用者資訊（如使用者名、密碼以及使用的協定、ip位址等配置資訊）

clients:用于存儲radius用戶端資訊（如接入裝置的共享密鑰、IP位址等）

dictionary:用于存儲radius協定中的屬性和屬性值含義的資訊

radius用戶端和radius伺服器之間認證消息的互動式通過共享密鑰完成的，共享密鑰不能通過網絡傳輸，增加了資訊互動的安全性

為了防止使用者密碼在不安全的網絡上傳遞時被竊取，在傳輸過程中對密碼進行了加密

封包格式：

<a href="https://s2.51cto.com/wyfs02/M01/8E/31/wKioL1i4Dj_gHWwFAAD0MqNxLgk986.jpg" target="_blank"></a>

認證方式:

1、不認證：對使用者非常信任，不對其認證，一般情況不采用這種方式

2、本地認證：将使用者資訊配置在接入伺服器上。優點:速度快，成本低  缺點:硬體條件受限

3、遠端認證：與radius協定配合使用，接入伺服器作為用戶端，與radius伺服器通信

授權方式:

1、直接授權:直接授權通過

2、本地授權:根據本地伺服器上的賬号配置進行相關授權

3、TACACS授權:由Tacacs伺服器對使用者授權

4、If-authenticated授權:

5、RADIUS認證授權:radius協定的認證和授權是綁定在一起的，不能單獨使用RADIUS進行授權

計費方式:審計動作

1、不計費

2、遠端計費:通過RADIUS伺服器或TACACS伺服器進行遠端計費

AAA采用C/S、client是被管理的資源、server集中存放使用者資訊

RADIUS:遠端認證撥号使用者服務：保護網絡不受未授權通路的幹擾，常被應用在要求較高的安全性、又要求維持遠端使用者通路的各種網絡環境中

配置AAA

建立AAA域并配置相關屬性

1、配置使用者使用的AAA方案

2、建立ISP域

3、配置ISP域的狀态

4、配置可接入使用者數量的最大值

5、配置計費可選開關

radius scheme AAA #建立radius方案名稱

 primary authentication 172.16.18.1 1812#配置主認證伺服器IP位址

 primary accounting 172.16.18.1 1813 #配置主審計伺服器IP位址

 key authentication cipher 123456 #與認證伺服器互動封包時的共享密鑰為123456

 key accounting cipher 123456 #與審計伺服器互動封包時的共享密鑰為123456

 user-name-format without-domain #不攜帶域名接入使用者通常是以“userid@isp-name”格式

 nas-ip 172.16.18.254 本裝置位址(Radius用戶端位址)

 server-type extended #服務類型為擴充

security-policy-server 172.16.18.253 部署安全政策伺服器

domain ISP #建立域名為ISP

 authentication default radius-scheme AAA #認證入口

 authorization default radius-scheme AAA #授權入口

 accounting default radius-scheme AAA #審計入口

user-interface vty 0 4

 authentication-mode scheme

AAA 在路由器上可以完成認證、授權功能

CiscoAAA配置資訊

Router(config)#aaa new-model     啟用aaa  

Router(config)#aaa authentication attempts login 2  嘗試登陸2次

Router(config)#aaa authentication  fail-message C   輸入錯誤密碼報錯資訊

Enter TEXT message.  End with the character 'C'.

login invalid!

C

Router(config)#aaa authentication password-prompt  logininvalid!  

aaa認證密碼提示為:logininvalid! （輸入認證密碼即可）

Router(config)#aaa authentication  username-prompt passwd:         

aaa認證使用者名提示為:passwd:（輸入使用者名即可）

Router(config)#aaa authentication login  local local       aaa認證本地認證方式

*May 16 09:55:57.240: %AAAA-4-BADMETHNAME: Bad authentication method-list name "local" (this is only a warning)

Router(config)#username ma password guangjie  使用者名ma 密碼guangjie

Router(config)#line vty  0 4         

Router(config-line)#login authentication local  登入認證為local（local為aaa登入方式的名稱）

AAA: Warning authentication list "local" is not defined for LOGIN.

Router(config-line)#transport input telnet   隻允許telnet

Router(config-line)#rotary xx （X表示數字，修改後的端口以3000為基數再加上X，假設X=10，則登陸telnet端口是3010）

Router(config-line)#privilege level 15       權限為15級别

Router(config)#access-list 100 deny tcp any any eq telnet 定義網段

Router(config)#access-list 100 permit ip any any

Router(config-line)#access-class 100 in     調用

很多時候我們操作太快很容易操作失誤，遠端斷開連接配接，沒儲存裝置重新開機一下即可，遠端配置不要急于求快（斷開不要老想往人家哪裡跑）

原因:

1、裝置數量有關、使用者名密碼不一緻、不能集中化管理

2、使用者數量、使用者多、不能集中化管理

3、使用者頻繁變動 

RADIUS和HWTACACS差別：

<a href="https://s5.51cto.com/wyfs02/M02/8E/31/wKioL1i4Df_i8iKCAAQPyMGgHD4517.jpg" target="_blank"></a>

本文轉自 周小玉 51CTO部落格，原文連結：http://blog.51cto.com/maguangjie/1795047，如需轉載請自行聯系原作者