AAA学习笔记
一、簡介
AAA是Authentication(認證)Authorization授權 Account記帳的簡稱;
它們不是必須的也不是要同時一起使用的;
他們可以使用路由器設備本地數據庫,也可以使用外部數據庫(ACS);
首先我們要認證,即通過密碼驗證;我們就算沒有設置其實也用到了認證,就是登陸路由器要輸入的密碼,這個叫enable,
我們在配置了,username abc password aaa 使用這個帳號的話,叫local;
這二種是本地的數據庫,如果要用到認證服務器,如 tacacs+ radius 就屬于group 服務器組方式了,這時你必須要在tacacs+ radius中選一個,同時還最多可選三個其它的認證方式;當然如果你對你的服務器和網絡環境有信心的話可以不選。
二、配置教程
一、使用它們都是三個步驟
1、建立帳戶數據庫(本地或認證服務器);
2、定義列表;
3、應用到接口和鏈路;
二、首先我們要啟用AAA功能
aaa new-model
三、一般來說第二步定義一個本地數據庫防止配置失誤造成無法登陸
Username abc password aaa
四、定義認證配置
認證相當于在問你是誰,你要回答我是哪個;但不可能不停的在問就算不煩嗓子也疼啊,只有在進門時我會問下你是誰,開保險柜時我在問下你是誰,或者是檢查指紋測試瞳孔什么的等等;所以我們要對動作進行認證定義。
aaa authentication行為 列表名 認證方法
1、行為主要有以下三種:
aaa authentication login ――――――當有一個登陸行為時進行認證;
aaa authentication ppp ――――――對基于PPP協議的一些網絡應用進行認證;
aaa authentication enable ――――――對使用enable命令進入特權模式時進行認證;
2、列表名是自己定義的,這樣我們可以把各種認證方式互相組合保存成一個個列表,用的時候方便,修改起來也方
便,我改了一個列表里的認證方式那么所有使用這個列表的地方都改了,不需要去一個個地方去改了。
Dedautl列表是一個系統自己建立的列表名作為缺省列表。它與我們自己建的列表沒有任何區別,只不過他是系統
建的而已。
3、認證方法,就是指我們是查口令呢還是看指紋還是其它等等,也就是把我們的回答和誰進行分析比較。主要有以
下幾種:
??
關鍵字? ?
描述
??enable? ?使用enabel口令認證;
??krb5? ?使用Kerberos5來認證;
??line? ?使用線路口令來認證;
??local? ?使用本地用戶數據庫來認證;
??none? ?不認證;
??group? ?radius? ?使用radius服務器來認證;
??group? ?tacacs+? ?使用tacacs+服務器來認證;
每個列表中必須定義一種認證方法,最多可以定義四種方法,當第一種認證不通過再使用第二種,以此類推。
例如我們定義
aaa? ?authentication? ?login??二號方案? ?group tacacs+ local
//我們定義了一個名叫二號方案認證方式,就是先去tacacs+服務器驗證,如果不成功在試試用本地帳號來試;
aaa? ?authentication? ?login? ?三號方案 group local enable
//我們定義了一個名叫三號方案認證方式,就是先用本地帳號驗證,如果不成功就用enable密碼來驗證;
五、應用到接口和鏈路
我們上面做了那么多但是還沒有效果為什么呢,就好像我們做好了報警器,指紋驗證器但沒裝到門上你說可有效果,那當然是不行的了,我們是定義了當登陸時就啟用一個列表名字叫二號方案的認證方式,但只有我們把他裝到門上才能有效果啊,有人說太麻煩應該定義好了就能用,那就慘了,你給自己家的門上裝了二號方案沒關系,如果樓道門、院子門,都給裝上了那就有問題了,所以我們要把定義好的認證方法列表裝到我們需要使用認證的門上,例如我們可能對Telnet要認證,但通過console登陸的就不要認證。
line vty 0 //我們先要進入接口
aaa authentication 二號方案 //線路vty0使用名為二號方案的方式進行認證;
line vty 1
aaa authentication 三號方案
六、配置tacace服務器
可能的情況下還需要告訴路由器認證服務器IP地址和KEY
Router(config)#tacacs-server host 1.1.1.1??key cisco12345
如果是Radius服務器的話就使用下面的命令:
Router(config)#radius-server host 1.1.1.1 key cisco12345
七、整理一下上面的命令看看在路由器上的實際配置情況
Router>en
Router#conf t
Enter configuration commands, one perline.
End with CNTL/Z.
Router(config)#aaa new
Router(config)#aaa new-model
Router(config)#username aaa password abc
Router(config)#aaa authe
Router(config)#aaa authentication log
Router(config)#aaa authentication loginfirst group tac
Router(config)#aaa authentication loginfirst group tacacs+ loc
Router(config)#aaa authentication loginfirst group tacacs+ local
Router(config)#aaa auth
Router(config)#aaa authent
Router(config)#aaa authentication log
Router(config)#aaa authentication loginsecond loc
Router(config)#aaa authentication loginsecond local ena
Router(config)#aaa authentication loginsecond local enable
Router(config)#line vty 0
Router(config-line)#login authenticationfirst
Router(config-line)#line vty 1
Router(config-line)#login authenticationsecond
Router(config-line)#
至此一個認證的完整配置出來了。但水往低處流,人往高處走;我們可不能學薩科奇,低標準要求自己,有了認證后我們還想讓管理更細致些于是我們再學授權和記帳,請看下一回
轉載于:https://blog.51cto.com/kwsnh/388393
創作挑戰賽新人創作獎勵來咯,堅持創作打卡瓜分現金大獎總結
- 上一篇: ubuntu包管理
- 下一篇: 什么是Linux单用户模式?