AAA基础知识-创新互联

AAA采用C/S结构,客户端运行于NAS上,服务器上集中管理用户信息
用户想访问网络资源,从而和网关建立连接,网关把用户的认证、授权、计费信息透传给radius服务器审计计费
AAA中的NAS指的是Network Access Server,网络接入服务器(指的是路由器交换机等网络设备)
网络设备到AAA服务器使用的是Radius协议,1812认证端口、1813计费端口

田东网站制作公司哪家好,找创新互联建站!从网页设计、网站建设、微信开发、APP开发、自适应网站建设等网站项目制作,到程序开发,运营维护。创新互联建站成立与2013年到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联建站

Radius工作环节


AAA基础知识

radius服务器的组成:User、Clients、Dictionary
user:用于用户存储用户信息(如用户名、口令以及使用的协议、ip地址等配置信息)
clients:用于存储radius客户端信息(如接入设备的共享密钥、IP地址等)
dictionary:用于存储radius协议中的属性和属性值含义的信息


radius客户端和radius服务器之间认证消息的交互式通过共享密钥完成的,共享密钥不能通过网络传输,增加了信息交互的安全性
为了防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密


报文格式:


AAA基础知识

认证方式:

1、不认证:对用户非常信任,不对其认证,一般情况不采用这种方式

2、本地认证:将用户信息配置在接入服务器上。优点:速度快,成本低 缺点:硬件条件受限
3、远程认证:与radius协议配合使用,接入服务器作为客户端,与radius服务器通信

授权方式:
1、直接授权:直接授权通过

2、本地授权:根据本地服务器上的账号配置进行相关授权

3、TACACS授权:由Tacacs服务器对用户授权
4、If-authenticated授权:
5、RADIUS认证授权:radius协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权

计费方式:审计动作
1、不计费
2、远端计费:通过RADIUS服务器或TACACS服务器进行远端计费

AAA采用C/S、client是被管理的资源、server集中存放用户信息

RADIUS:远程认证拨号用户服务:保护网络不受未授权访问的干扰,常被应用在要求较高的安全性、又要求维持远程用户访问的各种网络环境中


配置AAA
创建AAA域并配置相关属性
1、配置用户使用的AAA方案

2、创建ISP域

3、配置ISP域的状态
4、配置可接入用户数量的大值
5、配置计费可选开关



radius scheme AAA #创建radius方案名称
 primary authentication 172.16.18.1 1812#配置主认证服务器IP地址
 primary accounting 172.16.18.1 1813 #配置主审计服务器IP地址
 key authentication cipher 123456 #与认证服务器交互报文时的共享密钥为123456
 key accounting cipher 123456 #与审计服务器交互报文时的共享密钥为123456
 user-name-format without-domain #不携带域名接入用户通常是以“userid@isp-name”格式

 nas-ip 172.16.18.254 本设备地址(Radius客户端地址)
 server-type extended #服务类型为扩展

security-policy-server 172.16.18.253 部署安全策略服务器



domain ISP #创建域名为ISP
 authentication default radius-scheme AAA #认证入口
 authorization default radius-scheme AAA #授权入口
 accounting default radius-scheme AAA #审计入口
user-interface vty 0 4
 authentication-mode scheme


display domain
display domain name default_admin
display authentication-scheme default
display accounting-scheme default
service-scheme 授权方式

AAA 在路由器上可以完成认证、授权功能

CiscoAAA配置信息


Router(config)#aaa new-model    启用aaa  
Router(config)#aaa authentication attempts login 2 尝试登陆2次
Router(config)#aaa authentication fail-message C  输入错误密码报错信息
Enter TEXT message. End with the character 'C'.
login invalid!
C
Router(config)#aaa authentication password-prompt logininvalid!


aaa认证密码提示为:logininvalid! (输入认证密码即可)
Router(config)#aaa authentication username-prompt passwd:


aaa认证用户名提示为:passwd:(输入用户名即可)
Router(config)#aaa authentication login local local      aaa认证本地认证方式

*May 16 09:55:57.240: %AAAA-4-BADMETHNAME: Bad authentication method-list name "local" (this is only a warning)
Router(config)#username ma password guangjie 用户名ma 密码guangjie
Router(config)#line vty 0 4        
Router(config-line)#login authentication local 登录认证为local(local为aaa登录方式的名称)
AAA: Warning authentication list "local" is not defined for LOGIN.
Router(config-line)#transport input telnet  只允许telnet

Router(config-line)#rotary xx (X表示数字,修改后的端口以3000为基数再加上X,假设X=10,则登陆telnet端口是3010)

Router(config-line)#privilege level 15      权限为15级别
Router(config)#access-list 100 deny tcp any any eq telnet 定义网段

Router(config)#access-list 100 permit ip any any

Router(config-line)#access-class 100 in    调用

很多时候我们操作太快很容易操作失误,远程断开连接,没保存设备重启一下即可,远程配置不要急于求快(断开不要老想往人家哪里跑)


原因:
1、设备数量有关、用户名密码不一致、不能集中化管理
2、用户数量、用户多、不能集中化管理
3、用户频繁变动

RADIUS和HWTACACS区别:

AAA基础知识

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


当前题目:AAA基础知识-创新互联
URL链接:http://scyanting.com/article/decggo.html