Console AAA认证 scheme aaa认证原理

AAA是一种后台服务，是一种对网络用户进行控制的安全措施。

Authentication 认证  (你是谁)  
认证强度跟元素有关,用于认证的元素越多越安全，元素包括密码，指纹，证书，视网膜等等

 

Authorization 授权（确定你能做什么）
授权用户能够使用的命令
授权用户能够访问的资源
授权用户能够获得的信息

 

Accounting  审计(确定你做了什么)
两类审计：
1、时间审计
2、命令审计

 

为什么要用AAA？
通过AAA技术，我们能对接入网络的用户进行控制，可以控制哪些用户能接入网络，能得到什么样的权限，还能记录用户上来之后做了啥事。

1、跟网络设备数量有关，也就是跟NAS的数量有关
2、跟用户数量有关
3、由于用户的频繁变动

AAA的基本拓扑：

 

NAS–网络访问服务器，或者叫网络接入服务器。其实就是你网络的边缘网关，外部节点需要通过这台路由器来访问你的网络。需要在这台路由器上对接入的用户进行控制。

三大类的需要认证的流量类型client—–NAS(网络访问服务器)
也就是三种到达NAS的流量

1、登入nas telnet/ssh/http/https(也叫网管流量)
2、拔入nas pptp/l2tp/pppoe/ipsec ***…..
3、穿越nas auth-proxy(ios)认证代理/cut-through(pix)

 

AAA安全服务器的选择：

1、本地安全数据库
2、远程安全服务器，也就是AAA服务器

 

本地安全数据库：
本地安全数据库运行在NAS上为一小部分用户提供服务，实现起来容易，但是功能不够强大。

 

特点：
1、在小型网络中使用
2、在CISCO的路由器上存储用户名和密码
3、通过CISCO路由器上的本地安全数据库进行用户验证
4、不需要外部的数据库服务器

 

AAAprotocols:RADIUS和TACACS+
通常在网络中实现AAA，都是通过部署一台单独的AAA服务器来实现，而AAA服务器是需要跟NAS通信的，它们之间通信的协议有两种：RADIUS和TACACS+

TACACS+   基于TCP     cisco标准   端口号49  信息是加密后传送的

RADIUS    基于UDP     国际标准   新端口号1812(authen/author)   1813(account)  
                                旧端口号1645(authen/author)   1646(account)   

RADIUS的信息是明文传送的，只有密码是加密传送的。

注意：RADIUS各厂家是不一样的，有不同的av pair

RADIUS:
有四种消息类型：
access-request   访问请求，客户发给server
access-challenge  挑战信息，查询AAA服务器上的配置 
access-accept 允许访问，查到有这个配置才会允许
access-reject 拒绝访问

ACS—CISCO的访问控制服务器，也就是AAA服务器。只需要在一台服务器上装上CISCO的ACS软件，就得到了一台AAA服务器。这台服务器可以配置为使用tacacs+和NAS通信，也可以配置为使用radius协议与NAS通信。

 

以下是在路由器上配置三A的步骤：

先做准备工作：

1、启用AAA
aaa new-model   注意：启用三A后，路由器上不符合三A的命令会被去掉

2、做保护
aaa authentication login NOACS none  保护-不认证
aaa authorization exec NOACS none  保护-不授权

line console 0     本地线路的保护
  login authentication NOACS     设定对CON口不进行认证，保留最后一个进入的方法,以防万一
  authorization exec NOACS       建议配置，但最好配置上

line aux 0     AUX的保护
  login authentication NOACS
  authorization exec NOACS      

3、client指server的地址
NAS（config）#tacacs-server host 150.100.1.100 key cisco  密码后面千万不要打上空格,敏感的

还要在AAA服务器上增加一个client，并指明client的地址,最好起个环回口让服务器指，在服务器的CMD下加一个路由指向这个环回口。如果server指的是环回口，在client上还要指定一下更新源。
ip tacacs source-interface lo0

4、测试
test aaa group tacacs+ testR5(用户名) cisco（口令） new-code 本命令纯属测试，没别的作用，只是看AAA服务器起没起作用,new-code是在新的IOS中才要用到的。
如果出现user successfully authenticated表示没问题

 

一、认证：

1、开启对login的认证
aaa authentication login FOR_VTY none   不进行认证直接进入
aaa authentication login FOR_VTY line   注意line意思是用line下的密码进行认证
aaa authentication login FOR_VTY local    启用本地数据库,要自定义username和password
aaa authentication login FOR_VTY local-case  用户名大小写敏感
aaa authentication login FOR_VTY enable   使用enable密码进行验证
aaa authentication login FOR_VTY group tacacs+   使用三A服务器进行验证
aaa authentication login FOR_VTY local line none 如果第一种方法没有的话，就用第二种进行认证，如果第二种也没有，就不进行认证直接进入了,因为设了none

需要在线程下调用：
line vty 0 4
  login authenticate FOR_VTY  

2、开启对enable的认证
aaa authentication enable default group tacacs+  在进入enable模式的时候会提示输入用户名和密码，因为tacacs+服务器上定义了用户名和密码。

转载于:https://blog.51cto.com/laogebo/472175