0基础学RS(十)思科AAA认证基于服务器的AAA认证(TACACS+配置,RADIUS配置)
前言
上一篇讲了本地AAA的知识和相关配置,接下来将讲解基于服务器的AAA认证。本地AAA和基于服务器的AAA到底有什么区别呢?他们分别适用于什么什么样的环境?
本地AAA
本地实现的AAA对于非常小的网络来说比较合适,但是本地认证的扩展性不好。
大多数公司有多台路由器、交换机和其他基础设备,而且还有许多网络管理员和成百上千个需要接入公司局域网的用户。因此,在每台设备上为这么大规模的网络维护本地数据库是不可行的。
基于服务器的AAA
为了解决大规模网络的管理,可以使用一台或者多台AAA服务器来管理整个公司网络得到用户访问和管理访问需求。
基于服务器AAA的通信协议
TACACS+ 和RADIUS简介
TACACS+ 和RADIUS都是用来与AAA服务器进行通信的认证协议,但两者的功能不同。
TACACS+是Cisco的私有协议,RADIUS是公有协议。
TACACS+关键性因素:
- 认证和授权分离
- 加密所有通信
- 使用TCP端口49
RAUDIS关键性因素:
- 将RAUDIS认证和授权结合成一个过程
- 只加密密码
- 使用UDP
- 支持远程访问技术、802.X和会话初始协议(SIP)
基于服务器的AAA认证
配置基于服务器的AAA认证
网络拓扑
TACACS+服务器配置
第一步:全局启用AAA
RA(config)#aaa new-model
第二步:指定TACACS+服务器IP地址
RA(config)#tacacs-server host 192.168.10.254
第三步:配置加密秘钥
RA(config)#tacacs-server key ciscotacacs 秘钥为ciscotacacs
第四步:配置AAA认证的方法列表
创建了两个方法列表
第一个默认的方法列表,第一个方法为TACACS+服务器认证,第二个方法为特权EXEC密码认证
第二个名为CONSOLE的方法列表,第一个也是TACACS+认证,第二个为本地数据库认证
RA(config)#aaa authentication login default group tacacs+ enable
RA(config)#aaa authentication login CONSOLE group tacacs+ local
为了验证两个方法列表的第二这个方法,先创建本地数据库(用户名密码)和特权EXEC密码
RA(config)#username cisco secret admin 用户名cisco密码admin
RA(config)#enable secret class 加密密码class
将CONSOLE的方法列表用在console口
RA(config)#line console 0
RA(config-line)#login authentication CONSOLE
验证
1、使用telnet远程登录
用户名:adminT
密码:ciscoT
2、使用console线登录
用户名:adminT
密码:ciscoT
注:不知道console口的可以去看:0基础学RS(四)路由器交换机安全管理访问telnet、ssh配置
关闭TACACS+服务器验证
1、使用telnet远程登录
用户名:123(随便输)
密码:class(特权EXEC密码)
输入密码后需要反应一下才进入路由器(可能是路由器在和TACACS+服务器建立连接,服务器没有给予回复,路由器判断第一个方法失效,使用第二个方法认证)
2、使用console线登录
用户名:cisco
密码:admin
输入密码后需要反应一下才进入路由器
RADIUS服务器配置
第一步:全局启用AAA
RB(config)#aaa new-model
第二步:配置RADIUS
RA(config)#radius server ra 进入ra命名的radius
RB(config-radius-server)#address ipv4 192.168.30.254 配置radius服务器IP地址
第三步:配置加密秘钥
RB(config-radius-server)#key ciscoradius 秘钥为ciscoradius
第四步:配置AAA认证的方法列表
创建了两个方法列表
第一个默认的方法列表,第一个方法为RADIUS服务器认证,第二个方法为本地数据库认证
第二个名为CONSOLE的方法列表,第一个也是RADIUS服务器认证,第二个方法为不认证
RA(config)#aaa authentication login default group radius none
RA(config)#aaa authentication login CONSOLE group radius local
为了验证第一个方法列表的第二这个方法,创建本地数据库(用户名密码)
RB(config)#username admin secret radius 用户名admin密码radius
将CONSOLE的方法列表用在console口
RB(config)#line console 0
RB(config-line)#login authentication CONSOLE
验证
1、使用telnet远程登录
用户名:adminR
密码:ciscoR
2、使用console线登录
用户名:adminR
密码:ciscoR
关闭TACACS+服务器验证
1、使用telnet远程登录
用户名:123(随便输)
密码:没有密码直接按回车
和TACACS+一样输入密码后需要反应一下才进入路由器
2、使用console线登录
用户名:admin
密码:radius
和TACACS+一样输入密码后需要反应一下才进入路由器
0基础学RS(十)思科AAA认证基于服务器的AAA认证(TACACS+配置,RADIUS配置)相关推荐
- 0基础学RS(九)思科AAA认证的本地AAA认证
AAA概述 AAA是认证(Authentication).授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证.授权和计费三种安 ...
- 0基础学RS(十四)VTP(VLAN中继协议)作用及配置
前言 在前面讲了VLAN的配置,在一台或几台交换机上配置相同的VLAN信息还是挺容易的.如果在一个大型企业中有数百台交换机需要配置VLAN信息,那一定是个枯燥的工作.然而VTP(VLAN中继协议)就可 ...
- 0基础学RS(十九)以太网通道链路聚合
链路聚合 在一些对带宽和冗余要求比较高的场合中,可以在设备之间连接多条链路来增加带宽和提高冗余.如果将8条100兆物理接口聚合成一个逻辑接口,这个逻辑接口可提供800兆带宽. 通常情况下2层设备都会启 ...
- 0基础学RS(一)Packet Tracer 思科模拟器的使用以及下载
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 Packet Tracer概述 Packet Tracer界面 设备区 设备介绍 路由器 交换机 终端设备 线缆 视图 逻辑 ...
- 0基础学RS(五)分析思科路由器的路由表
实验拓扑 ip address table 分析路由表 1.路由表 直连路由:当路由器接口配置ip地址并激活时,路由器就会添加直连路由 远程路由:这些路由是连接到其他路由器的远程网络,通向远程网络的路 ...
- 0基础学RS(二十七)ACL访问控制列表
一.概述 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃. ACL分为基本ACL和高级ACL. 二.基本ACL 基本ACL针对网络 ...
- 0基础学RS(三)路由器基本配置
路由器基本配置 注:输入命令时可以用Tab来补齐,如果按Tab没有反应就试试在后面加个"?"看看是否存在你想输入的命令 点击路由器就可以看到下面这个界面了 新路由器刚启动时会问你是 ...
- 0基础学RS(十一)VLAN知识点,VLAN的类型,VLAN中继(trunk),本征VLAN
VLAN概述 VLAN定义 VLAN(Virtual Local Area Network):虚拟局域网,在交换网际网络中通过vlan可以灵活地进行分段和组织.VLAN可以将LAN(局域网)中的设备分 ...
- 视频教程-网络工程师入门CCNA 0基础学网络视频课程【精华版】-思科认证
网络工程师入门CCNA 0基础学网络视频课程[精华版] 新任帮主,双CCIE(CCIE R&S,CCIE Security):2011年前在国内知名培训机构担任CCIE R&S讲师:因 ...
最新文章
- HRegionServer异常下线问题
- 删除唯一性约束unique
- 如何做好配电室、临时用电安全管理?
- jtree和mysql_java 已经获取某个mysql数据库的所有表名 创建JTree
- sap模块介绍_小迈说|SAP究竟有多少模块?
- 例1:反转一个三位整数
- 47. Python socket编程 2
- Glassnode:比特币正迎来多年以来最大的流动性枯竭
- mybatis plus 使用函数_mybatis-plus的使用 ------ 入门
- linux sed 不输出,linux-使用awk和sed消除不必要的输出
- 传奇服务器+技能cd修改器,CD登陆器KEY文件修改教程+配套工具_【传奇爱好者】...
- 解决QQ聊天自动转成表情
- 如何写一份好的软件开发的需求分析
- “历史的教训”之软件测试
- android平板改成电视盒子,【当贝市场】废旧手机改造成电视盒子详细教程
- 热烈祝贺重庆大学75周年校庆
- C语言数组练习-摘苹果
- Java 环境下使用 AES 加密的特殊问题处理
- 老师,你确定Java注释不会被执行吗?
- matlab主成分分析散点图_基于matlab的主成分分析与因子分析