前言

上一篇讲了本地AAA的知识和相关配置，接下来将讲解基于服务器的AAA认证。本地AAA和基于服务器的AAA到底有什么区别呢？他们分别适用于什么什么样的环境？

本地AAA

本地实现的AAA对于非常小的网络来说比较合适，但是本地认证的扩展性不好。

大多数公司有多台路由器、交换机和其他基础设备，而且还有许多网络管理员和成百上千个需要接入公司局域网的用户。因此，在每台设备上为这么大规模的网络维护本地数据库是不可行的。

基于服务器的AAA

为了解决大规模网络的管理，可以使用一台或者多台AAA服务器来管理整个公司网络得到用户访问和管理访问需求。

基于服务器AAA的通信协议

TACACS+ 和RADIUS简介

TACACS+ 和RADIUS都是用来与AAA服务器进行通信的认证协议，但两者的功能不同。
TACACS+是Cisco的私有协议，RADIUS是公有协议。

TACACS+关键性因素：

认证和授权分离
加密所有通信
使用TCP端口49

RAUDIS关键性因素：

将RAUDIS认证和授权结合成一个过程
只加密密码
使用UDP
支持远程访问技术、802.X和会话初始协议（SIP）

基于服务器的AAA认证

配置基于服务器的AAA认证

网络拓扑

TACACS+服务器配置

第一步：全局启用AAA

RA(config)#aaa new-model

第二步：指定TACACS+服务器IP地址

RA(config)#tacacs-server host 192.168.10.254

第三步：配置加密秘钥

RA(config)#tacacs-server key ciscotacacs     秘钥为ciscotacacs

第四步：配置AAA认证的方法列表

创建了两个方法列表
第一个默认的方法列表，第一个方法为TACACS+服务器认证，第二个方法为特权EXEC密码认证
第二个名为CONSOLE的方法列表，第一个也是TACACS+认证，第二个为本地数据库认证

RA(config)#aaa authentication login default group tacacs+ enable
RA(config)#aaa authentication login CONSOLE group tacacs+ local

为了验证两个方法列表的第二这个方法，先创建本地数据库（用户名密码）和特权EXEC密码

RA(config)#username cisco secret admin       用户名cisco密码admin
RA(config)#enable secret class              加密密码class

将CONSOLE的方法列表用在console口

RA(config)#line console 0
RA(config-line)#login authentication CONSOLE

验证

1、使用telnet远程登录
用户名：adminT
密码：ciscoT

2、使用console线登录
用户名：adminT
密码：ciscoT

注：不知道console口的可以去看：0基础学RS（四）路由器交换机安全管理访问telnet、ssh配置

关闭TACACS+服务器验证

1、使用telnet远程登录
用户名：123（随便输）
密码：class（特权EXEC密码）
输入密码后需要反应一下才进入路由器（可能是路由器在和TACACS+服务器建立连接，服务器没有给予回复，路由器判断第一个方法失效，使用第二个方法认证）

2、使用console线登录
用户名：cisco
密码：admin
输入密码后需要反应一下才进入路由器

RADIUS服务器配置

第一步：全局启用AAA

RB(config)#aaa new-model

第二步：配置RADIUS

RA(config)#radius server ra      进入ra命名的radius
RB(config-radius-server)#address ipv4 192.168.30.254    配置radius服务器IP地址

第三步：配置加密秘钥

RB(config-radius-server)#key ciscoradius     秘钥为ciscoradius

第四步：配置AAA认证的方法列表

创建了两个方法列表
第一个默认的方法列表，第一个方法为RADIUS服务器认证，第二个方法为本地数据库认证
第二个名为CONSOLE的方法列表，第一个也是RADIUS服务器认证，第二个方法为不认证

RA(config)#aaa authentication login default group radius none
RA(config)#aaa authentication login CONSOLE group radius local

为了验证第一个方法列表的第二这个方法，创建本地数据库（用户名密码）

RB(config)#username admin secret radius      用户名admin密码radius

将CONSOLE的方法列表用在console口

RB(config)#line console 0
RB(config-line)#login authentication CONSOLE

验证

1、使用telnet远程登录
用户名：adminR
密码：ciscoR

2、使用console线登录
用户名：adminR
密码：ciscoR

关闭TACACS+服务器验证

1、使用telnet远程登录
用户名：123（随便输）
密码：没有密码直接按回车
和TACACS+一样输入密码后需要反应一下才进入路由器

2、使用console线登录
用户名：admin
密码：radius
和TACACS+一样输入密码后需要反应一下才进入路由器

0基础学RS（十）思科AAA认证基于服务器的AAA认证（TACACS+配置，RADIUS配置）相关推荐

0基础学RS（九）思科AAA认证的本地AAA认证
AAA概述 AAA是认证(Authentication).授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证.授权和计费三种安 ...
0基础学RS（十四）VTP（VLAN中继协议）作用及配置
前言在前面讲了VLAN的配置,在一台或几台交换机上配置相同的VLAN信息还是挺容易的.如果在一个大型企业中有数百台交换机需要配置VLAN信息,那一定是个枯燥的工作.然而VTP(VLAN中继协议)就可 ...
0基础学RS（十九）以太网通道链路聚合
链路聚合在一些对带宽和冗余要求比较高的场合中,可以在设备之间连接多条链路来增加带宽和提高冗余.如果将8条100兆物理接口聚合成一个逻辑接口,这个逻辑接口可提供800兆带宽. 通常情况下2层设备都会启 ...
0基础学RS（一）Packet Tracer 思科模拟器的使用以及下载
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录 Packet Tracer概述 Packet Tracer界面设备区设备介绍路由器交换机终端设备线缆视图逻辑 ...
0基础学RS（五）分析思科路由器的路由表
实验拓扑 ip address table 分析路由表 1.路由表直连路由:当路由器接口配置ip地址并激活时,路由器就会添加直连路由远程路由:这些路由是连接到其他路由器的远程网络,通向远程网络的路 ...
0基础学RS（二十七）ACL访问控制列表
一.概述访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃. ACL分为基本ACL和高级ACL. 二.基本ACL 基本ACL针对网络 ...
0基础学RS（三）路由器基本配置
路由器基本配置注:输入命令时可以用Tab来补齐,如果按Tab没有反应就试试在后面加个"?"看看是否存在你想输入的命令点击路由器就可以看到下面这个界面了新路由器刚启动时会问你是 ...
0基础学RS（十一）VLAN知识点,VLAN的类型,VLAN中继(trunk)，本征VLAN
VLAN概述 VLAN定义 VLAN(Virtual Local Area Network):虚拟局域网,在交换网际网络中通过vlan可以灵活地进行分段和组织.VLAN可以将LAN(局域网)中的设备分 ...
视频教程-网络工程师入门CCNA 0基础学网络视频课程【精华版】-思科认证
网络工程师入门CCNA 0基础学网络视频课程[精华版] 新任帮主,双CCIE(CCIE R&S,CCIE Security):2011年前在国内知名培训机构担任CCIE R&S讲师:因 ...

0基础学RS（十）思科AAA认证基于服务器的AAA认证（TACACS+配置，RADIUS配置）

前言

本地AAA

基于服务器的AAA

基于服务器AAA的通信协议

TACACS+ 和RADIUS简介

基于服务器的AAA认证

配置基于服务器的AAA认证

网络拓扑

TACACS+服务器配置

验证

关闭TACACS+服务器验证

RADIUS服务器配置

验证

关闭TACACS+服务器验证

0基础学RS（十）思科AAA认证基于服务器的AAA认证（TACACS+配置，RADIUS配置）相关推荐

最新文章

热门文章