AAA 配置介绍

格式：pdf
大小：314.04 KB
文档页数：6

下载文档原格式

AAA认证的配置

AAA（认证Authentication，授权Authorization，记帐Accounting）企业应先制定对客户信用评价的内容、事项和指标体系标准，这套标准应是参阅一定的理论研究资料和大量实践总结出来的客户信用特征的集中体现，在下面“信用评价”部分将较详细的介绍。

然后对照标准，用计分法对客户信用进行评估，可分六个等级。

满分100分，＞90—100分、AAA级，＞80—90分、AA级，＞70—80分、A级，＞60—70分、BBB级，＞50—60分、BB级，＞40—50分、B级。

国际国内通行的企业信用等级是三等九级制或四等十级由于CCC、CC、C和D级是属于信用警示企业和失信企业，因此要避免和这些企业进行信用交易，剩下的可考虑信用交易的企业只是B级以上的六种。

网络安全技术AAA 认证授权与计费协议组Kerberos：网络认证协议（Network Authentication Protocol）RADIUS：远程用户拨入认证系统（Remote Authentication Dial In User Servic e）SSH：安全外壳协议（Secure Shell Protocol）ACS是Cisco出的一个AAA 认证软件，可以对路由器进行用户认证、授权、记账操作。

安装步骤：1．以超级用户登录NT或2000的ACS安装机器2．在CD-ROM中插入ASC的安装光盘3．用鼠标双击Install的图标4．在Software License Agreement 窗口中阅读Software License Agree ment并点击ACCEPT按纽。

5．点击Next按纽，进入下一步。

6．选择属于你的网络配置情况的多选框，在点击Next按纽，进入下一步7．如果ACS软件已经在本机上安装了，那么它会提示你是否覆盖还是保存原来的数据选择Yes，keep existing database 按纽，保存数据，不选择该按纽则新建数据库，再点击下一步在进行接下来的安装8．如果发现有原来的ACS的配置文件，安装程序会提示你是否保存，选择后，再点击下一步在进行接下来的安装9．选择安装都默认的路径请点击Next按纽，进入下一步，选择安装都其他路径请点击Browse按纽，选择路径。

AAA协议配置(迈普)

AAA协议配置手册目录第1章AAA配置简介 (3)第2章AAA基本配置命令 (4)第3章AAA相关命令描述 (6)第4章AAA配置示例 (20)第5章AAA的检测与调试 (22)第1章AAA配置简介本章主要描述如何在路由器上进行AAA的配置。

AAA是认证、授权和统计（Authentication, Authorization and Accounting）的简称。

它是运行于网络访问服务器（NAS）上的客户端程序。

它提供了一个用来对认证、授权和统计这三种安全功能进行配置的一致性框架。

本章主要内容：●配置AAA相关命令描述●AAA配置示例●AAA调试第2章AAA基本配置命令1.命令描述前带“*”符号的表示该命令有配置实例详细说明。

2.配置模式指可以执行该配置命令的模式，如：config、config-if-××（接口名）、config-××（协议名称）等。

第3章AAA相关命令描述⏹aaa new-model在路由器上启动AAA功能。

本命令的no形式用来关闭AAA。

aaa new-modelno aaa new-model【缺省情况】不启动AAA。

【命令模式】全局配置模式。

注：执行了此命令后AAA的其他配置命令才可见。

⏹aaa authentication banner修改当用户登录到路由器上时显示的欢迎信息。

本命令的no形式恢复缺省欢迎信息。

aaa authentication banner bannerno aaa authentication banner语法描述banner 登录到路由器上时显示的欢迎信息。

欢迎信息头尾用相同的字符作为头尾表示符。

如：希望输出的欢迎信息显示为“welcome”，则输入的banner为“^welcome^”。

“^”即是首尾标示符。

【缺省情况】缺省欢迎信息为“User Access Verification”。

【命令模式】全局配置模式。

AAA认证和授权的配置

Page 8
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA-aaa]local-user huawei@huawei password cipher huawei [RTA-aaa]local-user huawei@huawei service-type telnet [RTA-aaa]local-user huawei@huawei privilege level 0
Page 7
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA]aaa [RTA-aaa]authentication-scheme auth1 [RTA-aaa-authen-auth1]authentication-mode local [RTA-aaa-authen-auth1]quit [RTA-aaa]authorization-scheme auth2 [RTA-aaa-author-auth2]authorization-mode local [RTA-aaa-author-auth2]quit [RTA-aaa]domain huawei [RTA-aaa-domain-huawei]authentication-scheme auth1 [RTA-aaa-domain-huawei]authorization-scheme auth2 [RTA-aaa-domain-huawei]quit
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa
Page 9
配置验证
[RTA]display domain name huawei Domain-name Domain-state Authentication-scheme-name Accounting-scheme-name Authorization-scheme-name Service-scheme-name RADIUS-server-template HWTACACS-server-template : huawei : Active : auth1 : default : auth2 : : : -

AAA原理与配置

AAA原理与配置概述 AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现，⽬前华为设备⽀持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA。

应⽤场景例如，企业总部需要对服务器的资源访问进⾏控制，只有通过认证的⽤户才能访问特定的资源，并对⽤户使⽤资源的情况进⾏记录。

NAS为⽹络接⼊服务器，负责集中收集和管理⽤户的访问请求。

AAA服务器表⽰远端的Radius 或 HWTACACS服务器，负责制定认证、授权和计费⽅案。

认证⽅式AAA有三种认证⽅式：不认证：完全信任⽤户，不对⽤户⾝份进⾏合法性检查。

本地认证：将本地⽤户信息（包括⽤户名、密码和各种属性）配置在NAS上。

缺省为本地认证。

远端认证：将⽤户信息（包括⽤户名、密码和各种属性）配置在认证服务器上。

注：如果⼀个认证⽅案采⽤多种认证⽅式，这些认证⽅式按配置顺序⽣效。

授权⽅式AAA⽀持以下三种授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据NAS上配置的本地⽤户账号的相关属性进⾏授权。

远端授权：　1. HWTACACS授权，使⽤TACACS服务器对⽤户授权。

2. RADIUS授权，对通过RADIUS服务器认证的⽤户授权。

RADIUS协议的认证和授权是绑定在⼀起的，不能单独使⽤RADIUS进⾏授权。

计费⽅式AAA⽀持以下两种计费⽅式：不计费：为⽤户提供免费上⽹服务，不产⽣相关活动⽇志。

远端计费：通过RADIUS服务器或HWTACACS服务器进⾏远端计费。

AAA域设备基于域来对⽤户进⾏管理，每个域都可以配置不同的认证、授权和计费⽅案，⽤于对该域下的⽤户进⾏认证、授权和计费。

AAA基本配置

ACS配置的几个要点：1、在接口配置拦目中选择相应的项目，否则不会在其他拦目中显示出来2、在设备端的示例ACS认证(authentication)：路由器方式和PIX不同Step1>在设备端定义tacacs+服务器地址以及keytacacs-server host 202.101.110.110tacacs-server directed-requesttacacs-server key testStep2>在ACS端定义设备的IP地址Step3>在ACS上面建立用户名和用户组Step4>在设备端配置AAA认证aaa new-modelaaa authentication login default group tacacs+ localaaa authentication enable default group tacacs+ enableline vty 0 4login authentication default授权、记帐：aaa new-modelaaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local line vty 0 4authorization commands 1 defaultauthorization commands 15 defaultaaa accounting exec default start-stop group tacacs+lin vty 0 4accounting exec default如果要记录用户所用的命令，设备端配置为：aaa new-modelaaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ line vty 0 4accounting commands 0 defaultaccounting commands 1 defaultaccounting commands 15 default一、AAA服务器配置：PIX/ASA方式Chicago(config)# username admin password ciscoChicago(config)# aaa-server mygroup protocol radiusChicago(config-aaa-server)# max-failed-attempts 4Chicago(config-aaa-server)# reactivation-mode depletion deadtime 5Chicago(config-aaa-server)# exitChicago(config)# aaa-server mygroup host 172.18.124.11Chicago(config-aaa-server)# retry-interval 3Chicago(config-aaa-server)# timeout 30Chicago(config-aaa-server)# key cisco123Chicago(config-aaa-server)# exitshow running-config aaa-server （显示配置的命令）show aaa-server（显示包括本地数据库在内的AAA服务器详细情况）clear aaa-server statistics [tag [host hostname]]clear aaa-server statistics protocol server-protocolclear configure aaa-server [server-tag]二、配置管理会话的认证：Chicago(config)# aaa authentication telnet console mygroup LOCALChicago(config)# aaa authentication ssh console mygroupChicago(config)# aaa authentication serial console mygroup（物理CONSOLE口）aaa authentication http console mygroupIf this command is not configured, Cisco ASDM users can gain access to the A SA by entering only the enable password, and no username, at the authentica tion prompt三、配置访问AAA：access-list 150 extended permit ip any anyaccess-list 150 extended deny ip host 172.18.124.20 anyaaa authentication match 150 inside mygrouptimeout uauth hh:mm:ss [absolute | inactivity]It is recommended to configure the absolute timeout command value for at le ast 2 minutes. Never configure the timeout uauth duration to 0auth-prompt [prompt | accept | reject] prompt textaccess-list 100 extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255. 255.255.0aaa authorization match 100 inside mygroupaaa authorization command {LOCAL | tacacs_server_tag [LOCAL]}access-group 100 in interface inside per-user-overrideChicago(config)# aaa accounting match 100 inside mygroupChicago(config)# aaa accounting command privilege 15 mygroup 对特权级别15的用户记帐Deploying Cut-Through Proxy Authenticationaccess-list 100 extended permit ip any anyaaa authentication match 100 inside LOCAL实验配置示例：pix525(config)# sh runPIX Version 7.2(1)!hostname pix525domain-name enable password 2KFQnbNIdI.2KYOU encryptednamesname 192.168.10.2 insidehostname 172.16.16.2 bastionhost!interface Ethernet0nameif insidesecurity-level 100ip address 192.168.10.1 255.255.255.0!interface Ethernet1nameif outsidesecurity-level 0ip address 192.1.1.1 255.255.255.0!interface Ethernet2nameif dmzsecurity-level 50ip address 172.16.16.1 255.255.255.0!passwd 5ya5JKHLgY0ZD3KU encrypted TELNET密码access-list 101 extended permit icmp any anyaccess-list 101 extended permit tcp any anyaccess-list aaaacl2 extended permit ip 192.168.10.0 255.255.255.0 any access-list dmzin extended permit ip any host bastionhostglobal (outside) 1 interfaceglobal (dmz) 1 172.16.16.10-172.16.16.20 netmask 255.255.255.0nat (inside) 1 192.168.10.0 255.255.255.0nat (inside) 1 192.168.20.0 255.255.255.0nat (dmz) 1 172.16.16.0 255.255.255.0access-group 101 in interface outsideaccess-group 101 in interface insideaccess-group 101 in interface dmzroute outside 0.0.0.0 0.0.0.0 192.1.1.2 1route inside 192.168.20.0 255.255.255.0 insidehost 1aaa-server配置完成两项：指定协议和AAA服务器地址、KEYaaa-server deng protocol radiusreactivation-mode timedmax-failed-attempts 4aaa-server deng host 192.168.20.206timeout 300key deng本地数据库username dengzhaopeng password nuvFZK3pqSfYnWqN encryptedusername dengyusu password 6SGxhdEZqnTFVjew encryptedaaa authentication telnet console LOCAL 用本地数据库对管理会话做认证aaa authentication match aaaacl2 inside deng 用AAA服务器对指定的网段访问做认证aaa authentication match dmzin inside deng 用AAA服务器对堡垒主机的访问做认证telnet insidehost 255.255.255.255 insidetelnet timeout 5ssh scopy enable 允许SSH访问类似FTP功能，但是进行加密文件传输ssh 192.1.1.2 255.255.255.255 outsidessh insidehost 255.255.255.255 insidessh timeout 5ssh version 2先产生密钥对（SHOW RUN中不显示？），调用域名console timeout 0pix525(config)# sh aaa-sServer Group: dengServer Protocol: radiusServer Address: 192.168.10.206Server port: 1645(authentication), 1646(accounting)Server status: ACTIVE, Last transaction at 13:45:25 UTC Sun Dec 16 2007 Number of pending requests 0Average round trip time 117msNumber of authentication requests 4Number of authorization requests 0Number of accounting requests 0Number of retransmissions 0Number of accepts 1Number of rejects 3Number of challenges 0Number of malformed responses 0Number of bad authenticators 0Number of timeouts 0Number of unrecognized responses 0pix525(config)# sh uauCurrent Most SeenAuthenticated Users 1 1Authen In Progress 0 1user 'dengyusu' at insidehost, authenticated (idle for 0:00:07)absolute timeout: 0:05:00inactivity timeout: 0:00:00pix525(config)# clear uaupix525(config)# sh uauCurrent Most SeenAuthenticated Users 0 1Authen In Progress 0 1重点：最小化配置ACS4.1上此例的配置：1、只需要指定NAS，不需要指定ACS-SERVER。

华为交换机AAA配置与管理系统

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC 方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

AAA配置实例+注解

AAA配置实例+注解cisco上配置AAA，AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。

Authentication(认证)：对用户的身份进行认证，决定是否允许此用户访问网络设备。

Authorization（授权）:针对用户的不同身份，分配不同的权限，限制每个用户的操作Accounting（计费）：对每个用户的操作进行审计和计费我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。

RADIUS是标准的协议，很多厂商都支持。

TACACS+是cisco私有的协议，私有意味只有cisco可以使用，TACACS+增加了一些额外的功能。

当用户的身份被认证服务器确认后，用户在能管理交换机或者才能访问网络；在访问设备的时候，我们可以针对这个用户授权，限制用户的行为；最后我们将记录用在设备的进行的操作。

在认证的时候，有一下这些方法：1.在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的收，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性。

2.使用一台或多台（组）外部RADIUS服务器认证3.使用一台或多台（组）外部TACACS+服务器认证用一个配置实例，说明交换机上操作username root secret cisco#在交换机本地设置一个用户，用户名是root，密码是cisco。

aaa new-model#在交换机上激活AAAaaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序，先到tacacs+服务器认证，如果tacacs+服务器出现了故障，不能使用tacacs+认证，我们可以使用交换机的本地数据库认证，也就是用户名root密码ciscoaaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证，那么用户就能获得服务器的允许，运行交换机的EXEC对话aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可，如果tacacs+出现故障，则要通过本地数据库许可aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间，记录的过程是从开始到结束aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+!tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为ciscoline vty04login authentication defaultauthorization exec defaultaccounting exec default最近在搭建公司的ACS，总结了一些经验写在这里。

华为交换机AAA配置与管理

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如***************就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

AAA服务器的配置

AAA服务器的配置第一步：启用线下保护【重要提示】在被网管设备启用AAA认证时，一定要给自己预留“后门”，即线下保护，保障Console/AUX不受影响（1.网络问题 2.配置问题），始终可以登录1、启用AAADMZ(config)#aaa new-model2、配置线下保护策略DMZ(config)#aaa authentication login xhacs line none命令解释：login （登陆）需要认证策略名为 xhacs策略为先使用线下密码认证（line）如果线下没有密码就不认证（none）3、调用线下保护策略DMZ(config)#line console 0DMZ(config-line)#login authentication xhacsDMZ(config)#line aux 0DMZ(config-line)#login authentication xhacs第二步：指定AAA服务器、认证协议、及与AAA服务器通讯使用的密码DMZ(config)#tacacs-server host 172.16.123.199 key cisco（或 raidus-server host 172.16.123.199 key cisco）第三步：在AAA服务器上添加网络（认证）设备-AAA Client第四步：在AAA服务器上创建用户第五步：测试与AAA服务器的通讯注意：1)、时间保持一致2)、实验环境别受本机防火墙影响设置时间：第六步：应用--在VTY线路下启用AAA认证DMZ(config)#aaa authentication login vtypolicy group ?WORD Server-group nameradius Use list of all Radius hosts.tacacs+ Use list of all Tacacs+ hosts.DMZ(config)#aaa authentication login vtypolicy group tacacs+ local DMZ(config)#line vty 0 4DMZ(config-line)#login authentication vtypolicy。

CISCO交换机AAA配置

CISCO交换机AAA配置一、RADIUS相关配置【必要命令】全局模式switch(config)# aaa new-model注：启用AAA认证switch(config)# aaa authentication dot1x default group radius local注：启用AAA通过RADIUS服务器做认证switch(config)# aaa authorization network default group radius local注：启用AAA通过RADIUS服务器做授权switch(config)# dot1x system-auth-control注：开启全局dot1x控制switch(config)# dot1x guest-vlan supplicant注：允许dot1x验证失败后加入guestvlanswitch(config)# radius-server host 10.134.1.207 auth-port 1812 acct-port 1813 key 123456注：指定NPS服务器的ip地址、认证和授权端口、以及通信密码switch(config)# radius-server vsa send authentication注：允许交换机识别和使用IETF规定的VSA值，用于接受NPS 分配vlanswitch(config)# ip radius source-interface vlan 2注：当交换机有多个IP时，只允许该vlan段的IP作为发送给RADIUS服务器的IP地址端口模式switch(config)# interface FastEthernet0/10注：进入端口模式（批量端口配置命令：interface range FastEthernet0/1 - 48）switch(config-if)# switchport mode access注：端口配置dot1x前必须设置为access模式switch(config-if)# mab（IOS 12.2之前的版本命令：dot1x mac-auth-bypass）注：当dot1x验证超时后会以mac为用户名密码发起验证switch(config-if)# dot1x pae authenticator注：设置交换机的pae模式switch(config-if)# authentication port-control auto（IOS 12.2之前的版本命令：dot1x port-control auto）注：设置dot1x端口控制方式，auto为验证授权switch(config-if)# authentication event no-response action authorize vlan 3（IOS 12.2之前的版本命令：dot1x guest-vlan 3）注：NPS验证失败时放置的vlan【可选命令】全局模式switch(config)# radius-server retransmit 2注：交换机向RADIUS服务器发送报文的重传次数switch(config)# radius-server timeout 2注：交换机向RADIUS服务器发送报文的超时时间端口模式switch(config-if)# dot1x timeout tx-period 2注：交换机向dot1x端口定期多长时间发报文switch(config-if)# dot1x timeout supp-timeout 2注：交换机向客户端发送报文，客户端未回应，多长时间后重发switch(config-if)# dot1x timeout server-timeout 2注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发二、其他【必要命令】SNMP设置switch(config)# snmp-server community skylark RW注：用于管理交换机，接收交换机相关信息DHCP中继代理（在网关交换机上配置）switch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip helper-address 10.134.1.207注：设置DHCP地址，使不同vlan的客户端可以获取IP地址【可选命令】DHCP SNOOPINGswitch(config)# ip dhcp snooping注：开启全局DHCP SNOOPYING功能switch(config)# ip dhcp snooping vlan 2注：指定DHCP SNOOPYING范围switch(config)# interface g0/1注：进入接口（配置级联端口和连接DHCP服务器的端口为信任端口）switch(config-if)# ip dhcp snooping trust注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARDswitch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip verify source port-security注：动态绑定DHCP-SNOOPING表项，过滤掉其它数据(无port-security则只绑定ip，有port-security则是绑定ip+mac)相关命令show ip dhcp snooping bindingSTP生成树Switch(config-if)# spanning-tree portfast注：生成树的端口快速转发，更加快速从DHCP获取IP地址端口错误检测switch(config)# errdisable recovery cause all注：防止交换机端口因异常被关闭，恢复其正常状态switch(config)# errdisable recovery interval 30注：设置交换机端口故障关闭时间，过后关闭的端口自动打开。

AAA配置教案

AAA认证配置、广域网链路引入：通过讲述路由器配置的安全性，为何需要对路由器进行安全认证，限制远程用户的非法连接与授权等，实现网络安全管理。

新授：一、AAA认证配置AAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。

奏见authentication。

authorization和accounting 常用的AAA协议是Radius另外还有HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。

HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。

该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

组合认证模式是有先后顺序的。

例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

AAA认证设置

AAA认证一、准备条件1.1windows 虚拟机一台1.2路由器一台（我采用的是CISCO3600）1.3要求windows虚拟机与真机进行连通1.4拓扑如下二、基本配置2.1 WinRadius服务器基本配置第一步、登陆windows 虚拟机，配置IP地址为：192.168.1.7第二步、打开“WinRadius”软件，并解压缩第三步、在解压缩的文件里，打开“”服务，出现如下图所示：“加载账户数据失败”第四步、点击《设置——数据库》出现下图，在点击图中的《自动配置ODBC》第五步、根据上图日志提示：重新启动“WinRadius”服务，服务器启动正常第六步、点击《设置——系统》出现下图，确定认证端口：1812，计费端口：1813第七步、点击《设置——多重密钥》出现下图，其中对于IP[NAS]填写：AAA路由器与交换机的管理地址，采用密钥填写：交换机、路由器与WinRadius服务器之间的认证密钥。

在此，我以路由器192.168.1.1，密钥为123 为例。

最后点击“添加”。

第八步、点击《操作——添加账号》。

此处以用户名：wang ，口令为：wang第九步、查看新增加的账号：wang 《操作——查询——查用户信息》2.2 路由器基本配置首先、对路由器的接口F0/0配置IP地址并激活该端口Router#sh run inter f0/0Building configuration...Current configuration : 96 bytes!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed autoendRouter#其次、测试路由器与WinRadius服务器之间的网络是否正常通讯Router#ping 192.168.1.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/36 ms Router#最后、测试路由器与客户机（telnet该路由器的客户端）能否正常通讯Router#ping 192.168.1.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/12/48 msRouter#三、AAA认证配置Router(config)#aaa new-model （启用AAA认证）Router(config)#username xiong password xiong （创建本地用户与口令）aaa authentication login haha group radius local （先进行radius服务器认证，在radius 服务器不可达时，采用本地认证）aaa authentication login hehe none （登陆不进行认证）no radius-server host 192.168.1.7 auth-port 1645 acct-port 1646 （关闭默认的认证、授权端口与审计端口）radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 （改写通用的认证、授权端口与审计端口，同时配置路由器与radius服务器之间的口令123）Router(config)#line vty 0 4Router(config-line)#login authentication haha （当用户telnet该路由器时，调用认证haha进行认证）Router(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication hehe （当用户con该路由器时，调用认证heh 进行认证）Router(config-line)#end路由器具体配置如下：Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!aaa new-model!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!!username xiong password 0 xiong!!!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!aaa new-model!!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!username xiong password 0 xiong!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#四、测试4.1 用客户机telnet该路由器成功（用radius服务器的用户wang进行验证）同时在WinRadius服务器上查看相应的日志4.2 当WinRadius服务器出现异常，我们在用“wang”登陆时，就失败了，同时，只能采用本地账户“xiong”登陆来进行管理该路由器路由器PING不同WinRadius服务器客户机用wang登陆失败采用本地xiong登陆成功五、用密文进行认证Router(config)#enable secret 123456用sh run 查看刚配置的口令enable secret 5 $1$cGdg$Um3fHK8td9KRSKAG.5Lst.把上面记录好的密钥口令保存好，同时要记住它所对应的明文口令在路由器上修改与服务器之间的认证：Router(config)#radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key $1$cGdg$Um3fHK8td9KRSKAG.5Lst.最后，一样正常登陆采用同样的方式对服务器上用户wang的密码进行更换成密文的口令（只要确定在20个字符以内）。

AAA典型配置指导

目录第1章 AAA典型配置指导 .......................................................................................................... 1-11.1 AAA简介............................................................................................................................. 1-11.2 Telnet用户通过HWTACACS服务器认证、授权、计费典型配置指导 ................................ 1-21.2.1 组网图...................................................................................................................... 1-21.2.2 应用要求.................................................................................................................. 1-21.2.3 适用产品、版本....................................................................................................... 1-21.2.4 配置过程和解释....................................................................................................... 1-31.2.5 完整配置.................................................................................................................. 1-31.2.6 配置注意事项........................................................................................................... 1-41.3 Telnet用户通过local认证、HWTACACS授权、RADIUS计费的应用配置.......................... 1-41.3.1 组网图...................................................................................................................... 1-41.3.2 应用要求.................................................................................................................. 1-41.3.3 配置过程和解释....................................................................................................... 1-51.3.4 完整配置.................................................................................................................. 1-61.3.5 配置注意事项........................................................................................................... 1-7第1章 AAA典型配置指导1.1 AAA简介AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

AAA原理及配置

AAA原理及配置AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。

⽀持的认证⽅式：不认证，本地认证，远端认证⽀持的授权⽅式：不授权，本地授权，远端授权⽀持的授权⽅式：不计费，远端计费如果⼀个认证⽅案采⽤多种认证⽅式，这些认证⽅式按配置顺序⽣效user privilege level 0 1 2 3⼏个级别的区别level 0参观ping、tracert、telnet、rsh、super、language-mode、display、quitlevel 1监控0级命令、msdp-tracert、mtracert、reboot、reset、send、terminal、undo、upgrade、debugginglevel 2系统所有配置命令（管理级的命令除外）和0、1级命令level 3管理所有命令1.远程管理⽹络设备的两种验证⽅式：telnet（不安全）、SSH/stelent⾸先得开启Telent功能：telnet server enable2.配置 Telnet ⽅式登录时的密码：[Huawei] user-interface vty 0 4 //进⼊0-4个终端[Huawei-ui-vty0-4] authentication-mode password/aaa //启⽤密码验证或AAA验证[Huawei-ui-vty0-4] set authentication password simple/cipher xxxx //以明⽂或密⽂⽅式加密（交换机）[Huawei-ui-vty0-4] set authentication password cipher xxxx //此为路由器配置命令，路由器只能是密⽂加密[Huawei-ui-vty0-4]protocol inbound telnet//设置哪些服务可以通过此test⽤户进⾏验证，设置telnet 服务[Huawei-ui-vty0-4] user privilege level 3 //设置当前⽤户权限级别3.配置 Telnet以⽤户名+密码⽅式登录时的密码：进⼊AAA模式命令⾏下：[Huawei]aaa[Huawei-aaa]local-user huawei level 3 password cipher xxxx //添加新⽤户为：huawei 密码为：xxxx 加密模式为：cipher 密⽂加密,⽤户级别为3[Huawei-aaa]local-user huawei service-type http ssh telnet web //在⽤户huawei下设置登录允许使⽤的协议[Huawei-aaa]local-user huawei privilege level 3 //远程登录时能够使⽤的级别命令路由器以telnet⽅式访问路由器：<Huawei>telnet xxxxx4.以SSH⽅式实现加密的远程连接[Huawei]aaa[Huawei-aaa]local-user xxxx password cipher xxxx privilege level 3 //配置本地⽤户[Huawei-aaa]local-user xxxx service-type ssh[Huawei]ssh user xxxx authentication-type password //添加ssh⽤户名和密码[Huawei]stelnet server enable //开启stelnet服务[Huawei]rsa local-key-pair create //⽣成密钥对信息[Huawei]user-interface vty 0 4 //进⼊虚拟⽤户界⾯端⼝0-4[Huawei-ui-vty0-4]authentication-mode aaa[Huawei-ui-vty0-4]protocol inbound ssh //配置允许登录接⼊⽤户类型的协议客户端CRT远程连接即可路由器以ssh⽅式连接路由器：[Huawei]ssh client first-time enable //⽤来使能SSH客户端⾸次认证[Huawei]stelnet xxxxx5.配置 Console ⽅式登录时的密码：[Huawei]user-interface console 0 //进⼊控制接⼝console只有0[Huawei-ui-console0]authentication-mode password //设置console登录验证⽅式为密码⽅式[Huawei-ui-console0]set authentication password simple xxxx //simple设置明⽂密码，cipher为密⽂密码[Huawei-ui-console0]user privilege level 3 //指定console连接的⽤户级别⽤户级别为0-15,0、1、2分别对应命令级别的0、1、2。

防火墙AAA的配置

防火墙AAA的配置asa(config)# aaa-server [aaa服务器的名子] protocol [radius/tacacs+]指明AAA服务器的名子和使用的协议asa(config)# aaa-server [aaa服务器的名子] [连接server的接口名] host [server的IP地址] key [密钥] 指明AAA服务器所在的地址和keyasa(config)# aaa authentication [要验证的协议] console [aaa服务器的名子]配置AAA要验证的协议和使用哪一个服务器做验证，需要验证的协议有enable 对enable验证serial 对线路口验证sshtelnet 对telnet的验证流量验证，用ACL定义需要验证的流量asa(config)# aaa authentication match [acl] [outside] [aaa服务器的名子]来自外部接口的流量，如果匹配ACL做验证,不匹配不做验证直接通过。

代理验证的配置如果协议本身无法做验证，使用virtual做代理验证。

virtual telnet [192.168.0.9] IP为防火墙的IP或同网段的。

例：include和exclude的使用方法aaa authentication include包含要求验证/exclude不要求验证例：aaa authentication include [ftp] [outside] [源IP] [mask] [目的] [name]来自外部接口的ftp流量都需要找aaa-server验证asa(config)# aaa local authentication attempts max-fail [3] 最大失效尝试次数验证代理超时时间的设置asa(config)# timeout uauth 0:10:10 inactivity 非活跃超时时间asa(config)# timeout uauth 0:10:10 absolute 绝对超时时间AAA的授权的配置asa(config)# aaa authorization match [acl] [inside] [aaa]匹配ACL，来自内部接口的流量交给名子为aaa的AAA服务品做授权AAA的审计的配置asa(config)# aaa accounting match acl inside aaa匹配ACL，来自内部接口的流量交给名子为aaa的AAA服务品做审计。

实验9AAA典型配置(精)

“userid”作为用于身份认证的用户名，将“isp-name”作为域名。
在多个 ISP 的应用环境中，同一个接入设备接入的有可能是不同 ISP 的用户。由于各ISP用户的用户属性（例如用户名及密码构成、服务类型
/权限等）有可能各不相同，因此有必要通过设置ISP 域的方法把它们
区别开。在ISP域视图下，可以为每个ISP域配置包括使用的AAA策略（使用的R
报文时的共享密钥均为 expeHWTACACS 服务器的用户名中不带域名。 z 在HWTACACS 服务器上设置与Switch 交互报文时的共享密钥为expert 。
专业务实
学以致用
典型企业网络互联结构图
专业务实
学以致用
第一堂课-课程介绍
配置命令： # 开启Switch 的Telnet 服务器功能。 <Switch> system-view 配置Telnet 用户登录采用 AAA 认证方式。 [Switch] user-interface vty 0 4 [Switch-ui-vty0-4] authentication-mode scheme [Switch-ui-vty0-4] quit # 配置HWTACACS 方案。 [Switch] hwtacacs scheme hwtac [Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49 [Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49 [Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49 [Switch-hwtacacs-hwtac] key authentication expert [Switch-hwtacacs-hwtac] key authorization expert [Switch-hwtacacs-hwtac] key accounting expert [Switch-hwtacacs-hwtac] user-name-format without-domain [Switch-hwtacacs-hwtac] quit # 配置ISP 域的AAA 方案。 [Switch] domain 1 [Switch-isp-1] authentication login hwtacacs-scheme hwtac local [Switch-isp-1] authorization login hwtacacs-scheme hwtac local [Switch-isp-1] accounting login hwtacacs-scheme hwtac local [Switch-isp-1] quit # 创建本地用户telnet 。 [Switch] local-user telnet [Switch-luser-telnet] service-type telnet [Switch-luser-telnet] password simple telnet 专业务实学以致用

AAA配置详细手册

目录
1 AAA配置 ............................................................................................................................................ 1-1 1.1 AAA简介............................................................................................................................................ 1-1 1.1.1 概述 ........................................................................................................................................ 1-1 1.1.2 RADIUS协议简介.................................................................................................................... 1-2 1.1.3 HWTACACS协议简介 ............................................................................................................ 1-7 1.1.4 基于域的用户管理................................................................

AAA认证配置

AAA认证配置44AAA配置访问控制是⽤来控制哪些⼈可以访问⽹络服务器以及⽤户在⽹络上可以访问哪些服务的。

⾝份认证、授权和记账（AAA）是进⾏访问控制的⼀种主要的安全机制。

44.1AAA基本原理AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进⾏配置的⼀致性框架，锐捷⽹络设备产品⽀持使⽤AAA。

AAA以模块⽅式提供以下服务：认证：验证⽤户是否可获得访问权，可选择使⽤RADIUS协议、TACACS+协议或Local（本地）等。

⾝份认证是在允许⽤户访问⽹络和⽹络服务之前对其⾝份进⾏识别的⼀种⽅法。

授权：授权⽤户可使⽤哪些服务。

AAA授权通过定义⼀系列的属性对来实现，这些属性对描述了⽤户被授权执⾏的操作。

这些属性对可以存放在⽹络设备上，也可以远程存放在安全服务器上。

记账：记录⽤户使⽤⽹络资源的情况。

当AAA记账被启⽤时，⽹络设备便开始以统计记录的⽅式向安全服务器发送⽤户使⽤⽹络资源的情况。

每个记账记录都是以属性对的⽅式组成，并存放在安全服务器上，这些记录可以通过专门软件进⾏读取分析，从⽽实现对⽤户使⽤⽹络资源的情况进⾏记账、统计、跟踪。

部分产品的AAA仅提供认证功能。

所有涉及产品规格的问题，可以通过向福建星⽹锐捷⽹络有限公司市场⼈员或技术⽀援⼈员咨询得到。

尽管AAA是最主要的访问控制⽅法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地⽤户名⾝份认证、线路密码⾝份认证等。

不同之处在于它们提供对⽹络保护程度不⼀样，AAA提供更⾼级别的安全保护。

使⽤AAA有以下优点：灵活性和可控制性强可扩充性标准化认证多个备⽤系统44.1.1AAA基本原理AAA 可以对单个⽤户（线路）或单个服务器动态配置⾝份认证、授权以及记账类型。

通过创建⽅法列表来定义⾝份认证、记账、授权类型，然后将这些⽅法列表应⽤于特定的服务或接⼝。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

分区 SNRS 的第 2 页
R 2(config)#aaa a uthorization c onfig-commands （conf t后面的命令默认不受aaa命令授权的影响，敲上这条以后开始影响。）
Per user command authorization 标示基于用户的命令授权。第一组permit or deny 是指未匹配的ios命令，比如show 第二组 permit or deny 是指框里未罗列的命令比如privilege 当前配置表示，除了show命令其他命令deny，show 后面除了privilege 其他deny。配置时间审计 R2(config)#aaa accounting exec vty start -stop group tacacs+ （定义一条时间审计策略叫做vty） R2(config)#line vty 0 4 R2(config-line)#accounting exec vty（在vty调用时间审计策略）配置命令审计 R2(config)#aaa accounting commands 0 vty start -stop group tacacs+ R2(config)#aaa accounting commands 1 vty start -stop group tacacs+ R2(config)#aaa accounting commands 15 vty start-stop group tacacs+ R2(config)#aaa accounting commands 5 vty start -stop group tacacs+ （定义0,1,5,15级命令审计） R2(config)#line vty 0 4 R2(config-line)#accounting commands 0 vty R2(config-line)#accounting commands 1 vty R2(config-line)#accounting commands 15 vty R2(config-line)#accounting commands 5 vty （调用0,1,5,15命令审计策略。）
配置级别授权
R2(config)#aaa authorization exec vty group tacacs+ （定义一条叫做vty的级别授权策略） R2(config)#line vty 0 4 R2(config-line)#authorization exec vty（在vty下调用级别授权策略，这时如果想登入vty线路不但需要认证还需要级别授权）
认证，授权/审计
认证，授权/审计
4.只有16bit的密钥是加密的
5.使用单一信道
6.不能够支持基于用户的命令授权技术。
7,dot1x，和download ACL技术只支持radius协议。
AV-pair 成对的属性参数。
分区 SNRS 的第 1 页
认证授权
审计
登入认证（telnet）级别授权命令授权本地命令授权
AAA命令授权时间审计命令审计
AAA配置
R2(config)#aaa new-model （开启aaa服务请注意开启aaa以后应该马上保护本地线路包括con和aux） R2(config)#aaa authentication login noauth none （设置一条aaa 登入认证策略叫做noauth，策略为不认证） R2(config)#aaa authorization exec noauth none （定义一条级别授权名字叫noauth，策略为不授权）
R2(config)#line 0 R2(config-line)#login authentication noauth （调用认证保护） R2(config-line)#authorization exec noauth （调用授权保护） %Authorization without the global command 'aaa authorization console' is useless （新版本IOS默认并不影响console下授权，如果想影响需要在全局配置模式下输入“aaa authorization console”）
NAS最终配置 R2#s hostname R2 ! aaa new-model !
分区 SNRS 的第 3 页
! aaa authentication login noauth none aaa authentication login vty group tacacs+ aaa authorization config-commands aaa authorization exec noauth none aaa authorization exec vty group tacacs+ aaa authorization commands 0 vty group tacacs+ aaa authorization commands 1 vty group tacacs+ aaa authorization commands 5 vty group tacacs+ aaa authorization commands 15 vty group tacacs+ aaa accounting exec vty start-stop group tacacs+ aaa accounting commands 0 vty start-stop group tacacs+ aaa accounting commands 1 vty start-stop group tacacs+ aaa accounting commands 5 vty start-stop group tacacs+ aaa accounting commands 15 vty start-stop group tacacs+ ! ! ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 duplex auto speed auto ! ! ! tacacs-server host 10.1.1.242 key cisco ! ! ! privilege configure all level 5 interface privilege exec level 5 configure terminal privilege exec level 5 configure ! line con 0 authorization exec noauth login authentication noauth line aux 0 line vty 0 4 password cisco authorization commands 0 vty authorization commands 1 vty authorization commands 5 vty authorization commands 15 vty authorization exec vty accounting commands 0 vty accounting commands 1 vty accounting commands 5 vty accounting commands 15 vty accounting exec vty login authentication vty ! ! end
Tacacs+ 1.更专注于对设备的控制。 2.Cisco 私有协议
3.TCP 49 4.完整的流加密通讯 5.使用多信道传输
Radius
1.更专注于对用户的管理。
2.公有协议：最早也是一个私有协议，后来被
IETF公有化，所以Radius协议拥有两组端口号
3. UDP 1645/1646
1812/1813
R2(config)#tacacs-server host 10.1.1.241 key cisco （指定tacacs服务器地址和key 注意key后面空格敏感）
R2#test aaa gr ta cisco cisco new （测试nas与aaa服务器的通讯） Sending password User successfully authenticated （完成这步测试以后说明nas与aaa的tacacs通讯正常并且user cisco的用户名密码正确。）
配置aaa命令授权
R2(config)#aaa authorization commands 0 vty group tacacs+ （定义 0,1,5,15级命令授权策略） R2(config)#aaa authorization commands 1 vty group tacacs+ R2(config)#aaa authorization commands 15 vty group tacacs+ R2(config)#aaa authorization commands 5 vty group tacacs+ R2(config)#line vty 0 4 R2(config-line)#authorization command 0 vty R2(config-line)#authorization command 1 vty R2(config-line)#authorization command 15 vty R2(config-line)#authorization command 5 vty （在 vty下调用0,1,5,15级授权策略，也就是说此时登入到vty的用户敲得每一条命令都需要aaa授权。）
ACS服务器需要进行的配置。 1,定义client （network configuration，add a client） 2，定义user（user add user） 3，定义级别授权（user 下设置privilege level） 4，定义命令授权（user下做基于用户的命令授权per user common authorization） 5，查看审计（report，fail 审计用于aaa的排错。时间审计用于查看登入与登出时间，命令审计，用于记录和2