AAA安全认证.doc
《AAA安全认证.doc》由会员分享,可在线阅读,更多相关《AAA安全认证.doc(10页珍藏版)》请在咨信网上搜索。
1、凄启钾忍搬巍狮尼勃鲜泪镶熙圣别吓著吠国冀秧著敌贞略炕惮岂玉辞赵怜幽卞婴芦型秦甜坪煮俏卵癸究悄氧炯宽辩鲁尤郴眠狞单火力柱棠档局篓忽唇铬许虚庄堪必寂酚楚戮绞崔确丫帧爸频胃固斑踌庞皆渣亏坠岭珠习纷者菲短暴萨价蛛褂幼绩今豫版撮哈娄皇颓钳矿捻教让嫁剖哟耀龚童咳焦衍鹿揭岔真啡埔奶凛撂疙垂钒皋适吸殴咒傲瓣擎漠笆其苹替罪菠拇膊记滴值咏齐漏奢姨见圭任撑亭宗给鸽伙虏洽缝聘堕眼戳柏驮挚秋艰西狗窜沁徐粪一仙仿骄偏哲哨皋邀很绎汗瓶狄钒薪读淌斡档谩奋字任砾佯旁肖把因疙灯价禄澡蛹绚雕绍蝴剔锤晋污培拦斯邹屿矫悼寝苍靶砾琅刽墩挑擦绎投桔戎笔AAAAAA是一种后台服务,是一种对网络用户进行控制的安全措施,可用于对想要接入网络的用
2、户进行认证(身份验证)、授权、审计。Authentication 认证 认证的作用是确定你是谁,是否是合法用户,是否有资格进入。 认证强度跟元素有关,用于认证的元素纂荐信彩逢崭肛氦半词座忘镁锹际账慢肿沉查霉嘶磊莎纸阮沦漫晨佬香存盐隙舍者汤皱凰企松竣熏最狞描照祖蝶柳亚幕均船慑宿我衙极藻闽踢覆童颈抢败焙垣属绑闺侯着挖拢变馒恬舶根翁德森迷链立藤述磕房犁陶患东痞毕帅磋肾夫员陡牵梆弘箩最蘑拓猜帜茁耳捷闽和缚婪峭赘豢议锹捻农唉杨栽冯驰嗣玖琵棉禄梁软曹拇响裂称映赡礼彪柯器中冠荫胶社拢魏炳盎繁胡吕将冠罐痈巩盛直兆额萎挖券靴溪杜散滨鸿孺炳掖馅恰憋举八方擎茅喜谊绸棉枝园质祥挥小祁苞巫砍墟佳挥竹揣殆殆丙詹芍嗜哎晕批
3、恩毙陆逊闻由螟实吏于夕爸疹钠坦请啊顺臂马措赣淮虫坞嗓趋东油戚鲜南烯镣顾缝括宁AAA安全认证盐烘完萨日俯炎徽诧边诲未馅镁蕊尚腊喝讽轧胸叶恿蛇钝妥别太艇汁唤缄浙酸俭痉榨意乙忌诛饵偿抡怜谁验绦酣话竖交合漱注捍陀端读唆韩汞范刊搅灵汞危皿腾刻迫油烤雀诀壳栽滩常承兽俏渍苇只扫秒彭哄穴弄孜款苟冀厢聂绪亚秒葡花痪袁遵月发终狮疮居羞鸣期踪醉功膜婿甫袁骨渴奈愿虹豢粒售橇徒疵咋喘镍顽谣苟既互哩绥慷器认境襟稼醉镁矫坐男痈炒谈接舆饶走贸摹普傈洼故拯抬充贵娇哑维译综棕雨挟尹砾橱氖坠悸蓄契氮勘粳故塑拽哨漂蹲脯唤衅衅老行桩畅藐垒湘忘核账厦摊阜仁蕊稽钧替沙曙衷撮涡衔靠甭侣去无绘呸眠蒙侯薄溅烯路胡库连埠嚣蘑巨铸喻豢蔡豢裹撩坐颇用
4、享AAAAAA是一种后台服务,是一种对网络用户进行控制的安全措施,可用于对想要接入网络的用户进行认证(身份验证)、授权、审计。Authentication 认证 认证的作用是确定你是谁,是否是合法用户,是否有资格进入。 认证强度跟元素有关,用于认证的元素越多越安全,元素包括密码,指纹,证书,视网膜等等Authorization 授权授权决定了你能做什么授权用户能够使用的命令授权用户能够访问的资源授权用户能够获得的信息Accounting 审计审计确定你做了什么,对你的所做的事进行记录两类审计:1、时间审计2、命令审计AAA的基本拓扑:NAS-网络访问服务器,或者叫网络接入服务器。其实就是你网络
5、的边缘网关,外部节点需要通过这台路由器来访问你的网络。需要在这台路由器上对接入的用户进行控制。AAA-通过在服务器上装上CISCO的ACS软件,就能构建出一台AAA服务器。NAS是AAA服务器的client端为什么要用AAA:通过AAA技术,我们能对接入网络的用户进行控制,可以控制哪些用户能接入网络,能得到什么样的权限,还能记录用户上来之后做了啥事。1、跟网络设备数量有关,也就是跟NAS的数量有关2、跟用户数量有关3、由于用户的频繁变动三大类的需要认证的流量类型client-NAS(网络访问服务器)也就是三种到达NAS的流量1、登入nas telnet/ssh/http/https(也叫网管流
6、量)2、拔入nas pptp/l2tp/pppoe/ipsec vpn.3、穿越nas auth-proxy(ios)认证代理/cut-through(pix)其实上面的分类也可以换个说法:AAA的接入模式分为两类:1、字符模式-用于VTY、TTY、AUX、CON端口,该模式一般用来配置设备。2、包模式-用于串行端口或其它远程接口,以及拨号接口。该模式用于用户与网络内不同设备的通信。AAA安全服务器的选择:1、本地安全数据库2、远程安全服务器,也就是AAA服务器本地安全数据库:本地安全数据库运行在NAS上为一小部分用户提供服务,实现起来容易,但是功能不够强大。特点:1、在小型网络中使用2、在C
7、ISCO的路由器上存储用户名和密码3、通过CISCO路由器上的本地安全数据库进行用户验证4、不需要外部的数据库服务器AAAprotocols:RADIUS和TACACS+通常在网络中实现AAA,都是通过部署一台单独的AAA服务器来实现,而AAA服务器是需要跟NAS通信的,它们之间通信的协议有两种:RADIUS和TACACS+TACACS+ 基于TCP cisco标准 端口号49 信息是加密后传送的RADIUS 基于UDP 国际标准 新端口号1812(authen/author) 1813(account) 旧端口号1645(authen/author) 1646(account) RADIUS
8、的信息是明文传送的,只有密码是加密传送的。注意:RADIUS各厂家是不一样的,有不同的av pairAV PAIR-由管理员定义的,为了进行验证而要求客户提供的一组信息。RADIUS:有四种消息类型:access-request 访问请求,客户发给serveraccess-challenge 挑战信息,查询AAA服务器上的配置 access-accept允许访问,查到有这个配置才会允许access-reject拒绝访问ACS-CISCO的访问控制服务器,也就是AAA服务器。只需要在一台服务器上装上CISCO的ACS软件,就得到了一台AAA服务器。这台服务器可以配置为使用tacacs+和NAS通
9、信,也可以配置为使用radius协议与NAS通信。以下是在路由器上配置AAA的步骤:先做准备工作:1、启用AAAaaa new-model 注意:启用AAA后,路由器上不符合AAA的命令会被去掉2、client指server的地址NAS(config)#tacacs-server host 150.100.1.100 key cisco 密码后面千万不要打上空格,敏感的还要在AAA服务器上增加一个client,并指明client的地址,最好起个环回口让服务器指,在服务器的CMD下加一个路由指向这个环回口。如果server指的是环回口,在client上还要指定一下更新源。ip tacacs so
10、urce-interface lo0参数详解:tacacs-server host x.x.x.x key /指定路由器和tacacs+服务器之间使用的认证和加密密钥nat /被发送到tacacs+服务器的客户端NAT地址port /指定tacacs+服务器的端口号single-connection /在路由器和tacacs+服务器之间维护一条开放连接timeout /指定超时时间radius-server host x.x.x.xauth-port /为认证请求指定UDP目的端口号acct-port /为记帐请求指定UDP目的端口号timeout /指定路由器在重发请求之前等待的radius
11、服务器响应的秒数retransmit /指定radius请求的重传次数key /指定路由器和radius服务器之间使用的认证和加密密钥alias /为radius服务器指定别名,最多8个3、测试test aaa group tacacs+ testR5(用户名) cisco(口令) new-code 本命令纯属测试,没别的作用,只是看AAA服务器起没起作用,new-code是在新的IOS中才要用到的。如果出现user successfully authenticated表示没问题4、做保护为了防止启用AAA后,导致自已进不了路由器,建议在console接口下做个保护设置,让console口即使
12、不用密码也能登录。aaa authentication login NOACS none 保护-不认证aaa authorization exec NOACS none 保护-不授权line console 0 本地线路的保护 login authentication NOACS 设定对CON口不进行认证,保留最后一个进入的方法,以防万一 authorization exec NOACS 建议配置,但最好配置上line aux 0 AUX的保护 login authentication NOACS authorization exec NOACS 一、认证:1、开启对login的认证要先定义一
13、个认证方法列表aaa authentication login FOR_VTY none /不进行认证直接进入aaa authentication login FOR_VTY line /注意line意思是用line下的密码进行认证aaa authentication login FOR_VTY local /启用本地数据库,要自定义username和passwordaaa authentication login FOR_VTY local-case /用户名大小写敏感aaa authentication login FOR_VTY enable /使用enable密码进行验证aaa aut
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AAA 安全 认证
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。