AAA:认证 授权 记帐
VPN:在公共网络上,用一种加密的技术,建立一条逻辑的隧道。
IDS:一般是设计在旁路上,使用镜像技术。
IPS:一般是设计在主干上,让数据通过的时候先经过IPS
CISCO安全选项:
访问服务器的protocol:PPP ; CHAP ; PAP ; MS-CHAP
访问服务器CISCO IOS:ACL NAT ; PER-USER ACL;  LOCK AND KEY ;  L2F L2TP ; KERBEROS
protocol: TACACS+ ; RADIUS ; Kerberos V
一般多会有多台访问路由器(ACCESS SERVERS),但是认证会通过专门的一台认证服务器来做认证。
1A认证:who are you?
2A授权:what can you do?
3A记帐:what did you do and how long did you do it?
路由器的访问方法:
模式  字符模式    TTY(异步串口模式) VTY(TELNET) AUX CONSOLE        login.exec  nasi,connection,enable,command
      包模式     async,group-async,BRI,PRI,serial dialer, profiles      PPP,network
3A协议:TACACS+    cisco专有的      整个包都加密    第四层使用TCP(可靠传输协议)  效率比较低
        RADIUS     公开的           仅仅加密密码    第四层使用UDP(不可靠传输协议) 效率比较高  目前来讲比较适用
3A配置方法:
启动3A并指明ACS服务器
TACACS+
router(config)#aaa new-model
router(config)#tacacs-server host 192.168.229.76 single-connection(指定它们的连接数,可用可不用)
router(config)#tacacs-server key sharedl  
RADIUS
router(config)#aaa new-model
router(config)#radius-server host 192.168.229.76  指明ACS的IP地址
router(config)#radius-server key sharedl  指明共享的KEY值
这里的KEY值和AAA 服务器(ACS)上是相同的,是ACS用来对路由器的合法身份进行验证
AAA认证命令
router(config)#aaa authentication login defualt group tacacs+ local line
group关键字后面的参数为验证顺序,当一个环节无法验证(不是验证失败),会执行下一个环节的验证。这里是先查看ACS,如果ACS无法连接,则查看LOCAL本地,如果也没有,则查询LINE.
字符模式认证示例
router(config)#aaa authentication login defualt group tacacs+ local
router(config)#aaa authentication login defualt user local tacacs+
router(config)#line console 0
router(config-line)#login authentication user
router(config-line)#line 1 48
router(config-line)#login authentication user
router(config-line)#line vty o 4(this implies "defualt" list)
router(config-line)#login authentication defualt 该命令敲与不敲一样
AAA授权命令
router(config)#aaa authorization exec default group radius local none
exec:用户交互模式
group和AAA认证命令中GROUP作用一样。
字符模式授权示例
AAA记帐命令
router(config)#aaa accounting login defualt group tacacs+ local