本帖最后由 宅男女神 于 2015-12-21 11:59 编辑
AAA详解
课程介绍、目录及截图:
Authentication:用于验证用户的拜访,如login access,ppp network access 等。
Authorization:在Autentication 成功验证后,Authorization 用于约束用户能够履行啥操作,
能够拜访啥效劳。
Accouting:记载Authentication 及Authorization 的行动。
Part I. 安全协议
1>Terminal Access ControllerAccess Control System Plus (TACACS+)
Cisco 私有的协议。加密悉数发给tacacs+ server 的音讯,用户的keys。
支撑模块化AAA,能够将不一样的AAA 功用分布于不一样的AAA Server 乃至不一样的安全协议,
从而能够完结不一样的AAA Server/安全协议完结不一样的AAA 功用。
装备指令:
Router(config)# tacacs-server host IP_address [single-connection] [port {port_#}] [timeout
{seconds}] [key {encryption_key}]
Router(config)# tacacs-server key {encryption_key} 注:
(1)single-connection:为Router 与AAA Server 的会话始终保存一条TCP 连接,而不是默许的
每次会话都打开/封闭TCP 连接。
(2)装备两个tacacs-server host 指令能够完结tacacs+的冗余,假如第一个server fail 了,第二
个server 能够接收相应的效劳。第一个tacacs-server host 指令指定的server 为主,其它为备
份。
(3)装备inbound acl 时需求permit tacacs+的TCP port 49。
(4) 假如两个tacacs-server 运用不一样的key,则需求在tacacs-server host 指令中指定不一样的
encryption_key,不然能够运用tacacs-server key 统一定制。但tacacs-server host 指令中的key
界说优先于tacacs-server key 指令。
Troubleshooting:
指令:
#show tacacs
#debug tacacs 对于TACACS+的操作信息。
#debug tacacs events 比debug tacacs 更具体的信息,包括router 上运转的TACACS+ processes
音讯。
Router# show tacacs
Tacacs+ Server : 10.0.0.10/49
Socket opens: 3
Socket closes: 3
Socket aborts: 0
Socket errors: 0
Socket Timeouts: 0
Failed Connect Attempts: 0
Total Packets Sent: 42
Total Packets Recv: 41
Expected Replies: 0
No current connection
攻城狮论坛 bbs.vlan5.com #^_^# 版 权 归.原作者一切 本材料只供试读
攻城狮论坛(技能+日子)群 2258097
2>Remote Authentication Dial-In User Service (RADIUS)
RADIUS 是一个开放的规范,界说于RFC 2865和2865。
RADIUS 运用一个同享的密钥,并且只加密用户的keys,而不是TACACS+的悉数AAA 音讯。
用户的keys 不会明文在网络上传递。
RADIUS 运用规模:
(1)运用multiple vendors 设备,并且需求一个独自的安全协议用于AAA。
(2)需求完结资本记载,如盯梢用户登录router 多长时间及用户拜访网络多长时间。
(3)smart card authentication systems 只支撑RADIUS。
(4)在用户初始化拜访一个设备时,对他进行preauthentication。
RADIUS 的运用约束:
(1) 不支撑Apple Talk's Remote Access Protocol(ARAP) , the NetBIOS Frame Control
Protocol(NBFCP),NetWare's Asynchronous Serveices Interface(NASI)及X.25 PAD 连接。
(2)RAIUDS 不支撑模块化AAA 操作,即只能够运用RADIUS 来完结悉数的AAA 操作。
(3)只支撑one-way authentication.不支撑two-way authentication(如:两个router 之间的PPP
CHAPAuthentication).
(4)RADIUS 将Authentication 及Authorization 功用集变成"Authentication"。
装备指令:
Router(config)# radius-server host IP_address [auth-port {port_#}] [acct-port {port_#}] [timeout
{seconds}] [retransmit {retries}] [key {key_value}] [alias {hostname | IP_address}]
Router(config)# radius-server timeout {seconds}
Router(config)# radius-server retransmit {retries}
Router(config)# radius-server key {key_value}
注:
(1)RADIUS Server daemon 监听Authentication 音讯默许运用UDP 1645.Authorization 音讯默
认运用UDP 1646.
(2)装备inbound acl 以permit UDP 1645/1646。
(3)RFC 2026中指出,RADIUS 也可能运用UDP 1812/1813,一些新的RADIUS Server 一起监
听UDP 1645/1646及UDP 1812/1813。所以装备router inbound acl 以permit 相应的端口。
(4)RADIUS 默许timeout 为5s,retransmit 为3.
Troubleshooting:
show radius statistics
debug radius [brief]
加上brief 参数功用类似于debug tacacs 指令,不加则类似于debug tacacs event 指令。
Router# show radius statistics
Auth. Acct. Both
Maximum inQ length: NA NA 1
Maximum waitQ length: NA NA 1
Maximum doneQ length: NA NA 1
Total responses seen: 5 0 5
下载链接:
论坛便捷链接:
能帮助您和更多的人找到自己想要的资料并取得更大进步,是我们最大的愿望。 |
|
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
