下载文档原格式
AAA认证配置、广域网链路引入:通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。
新授:一、AAA认证配置AAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
奏见authentication。
authorization和accounting 常用的AAA协议是Radius另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。
HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。
该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
组合认证模式是有先后顺序的。
例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。
AAA(认证、授权、计费)配置步骤:1.创建域:domain +name2.配置认证方案:authentication +?(可以同时配置radius-scheme(或TACACS+)和local认证方案,但是如果是local或none为第一方案,则不能采用其他认证方案)3.配置授权方案:authorization+?(后面参数与认证一样)4.配置计费方案:accounting+?(后面参数与上面一直)Accounting optional 计费可选Domain default enable +name 配置默认域(系统默认为system)Radius配置配置radius方案:radius scheme +name配置主备认证服务器和计费服务器:Primary authentication / accounting +ipSecondary authentication / accounting +ip配置nas-ipNas-ip +ip或radius nas-ip +ip在不配置时,系统以发送报文的出接口地址为nas-ip,在存在多个出接口的请款下建议配置nas-ip。
配置认证计费密钥Key authentication | accounting +密码配置用户名格式(默认带域名的)User-name-format(with-domain | without-domain)配置服务器类型(默认为standard)Server-type standard|extended 标准的即不带私有属性NAS可以理解为向服务器发起认证的设备,如百度移信的胖ap里的配置,nas-ip就配置成ap的管理地址记得修改默认域。
1.13 AAA典型配置(pèizhì)举例1.13.1 SSH用户(yònghù)的RADIUS认证和授权(shòuquán)配置1. 组网需求(xūqiú)如图1-12所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。
•由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权RADIUS 服务器的职责;• Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813;• Router向RADIUS服务器发送的用户名携带域名;• SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
2. 组网图图1-12 SSH用户RADIUS认证/授权配置组网图3. 配置步骤(1) 配置RADIUS服务器(iMC PLAT 5.0)下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM5.0(E0101)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
•设置与Router交互报文时使用的认证、计费共享密钥为“expert”;•设置认证及计费的端口号分别为“1812”和“1813”;•选择业务类型为“设备管理业务”;•选择(xuǎnzé)接入设备类型为“H3C”;•选择或手工增加(zēngjiā)接入设备,添加IP地址(dìzhǐ)为10.1.1.2的接入设备(shèbèi);•其它参数采用缺省值,并单击<确定>按钮完成操作。
配置简单AAA认证实验总结一、实验目的本次实验旨在深入理解AAA认证的工作原理,并掌握其配置方法。
通过实践,希望能够提升自己在网络安全领域的理解和技能。
二、实验步骤1.了解AAA认证的基本概念和原理,包括认证、授权和账户管理等。
2.选择适当的网络设备和操作系统,根据AAA认证的原理进行配置。
3.通过命令行界面进行配置,包括定义认证类型、授权规则、账户管理等。
4.验证配置结果,包括测试用户认证、授权和账户管理等功能是否正常工作。
5.在配置过程中遇到问题时,查阅相关文档或寻求帮助,尝试解决问题。
6.总结实验结果,分析配置过程中出现的问题和解决方案,撰写实验报告。
三、配置过程在本次实验中,我选择了一个基于Linux系统的网络设备进行AAA认证的配置。
具体步骤如下:1.定义认证类型,选择本地数据库进行用户认证。
2.创建用户账户,并为其分配相应的权限和角色。
3.配置防火墙规则,确保只有经过认证的用户才能访问特定的网络资源。
4.配置计费系统,记录用户的网络使用情况。
四、验证过程为了验证AAA认证的配置是否正确,我进行了以下测试:1.使用已创建的用户账户登录设备,确保认证功能正常工作。
2.测试用户访问特定网络资源的权限,验证授权功能是否正常工作。
3.查看计费系统记录的用户网络使用情况,验证计费功能的正确性。
4.在不同用户之间进行切换,测试多用户环境的AAA认证功能。
五、问题解决在配置过程中,我遇到了一些问题,例如:防火墙规则无法正常应用、计费系统数据异常等。
针对这些问题,我通过查阅相关文档和寻求帮助,找到了解决方案:1.防火墙规则无法正常应用:检查规则配置是否有误,并尝试重新应用规则。
如果是由于本地数据库的问题,需要检查用户账户的创建和授权情况。
2.计费系统数据异常:检查计费系统的数据源是否正确,以及是否有其他系统或应用干扰了计费数据的记录。
如果是由于数据源问题,需要修正数据源配置。
如果是由于其他系统或应用干扰了计费数据的记录,需要调整相关设置或升级系统版本。
AAA(认证Authentication,授权Authorization,记帐Accounting)企业应先制定对客户信用评价的内容、事项和指标体系标准,这套标准应是参阅一定的理论研究资料和大量实践总结出来的客户信用特征的集中体现,在下面“信用评价”部分将较详细的介绍。
然后对照标准,用计分法对客户信用进行评估,可分六个等级。
满分100分,>90—100分、AAA级,>80—90分、AA级,>70—80分、A级,>60—70分、BBB级,>50—60分、BB级,>40—50分、B级。
国际国内通行的企业信用等级是三等九级制或四等十级由于CCC、CC、C和D级是属于信用警示企业和失信企业,因此要避免和这些企业进行信用交易,剩下的可考虑信用交易的企业只是B级以上的六种。
网络安全技术AAA 认证授权与计费协议组Kerberos:网络认证协议(Network Authentication Protocol)RADIUS:远程用户拨入认证系统(Remote Authentication Dial In User Servic e)SSH:安全外壳协议(Secure Shell Protocol)ACS是Cisco出的一个AAA 认证软件,可以对路由器进行用户认证、授权、记账操作。
安装步骤:1.以超级用户登录NT或2000的ACS安装机器2.在CD-ROM中插入ASC的安装光盘3.用鼠标双击Install的图标4.在Software License Agreement 窗口中阅读Software License Agree ment并点击ACCEPT按纽。
5.点击Next按纽,进入下一步。
6.选择属于你的网络配置情况的多选框,在点击Next按纽,进入下一步7.如果ACS软件已经在本机上安装了,那么它会提示你是否覆盖还是保存原来的数据选择Yes,keep existing database 按纽,保存数据,不选择该按纽则新建数据库,再点击下一步在进行接下来的安装8.如果发现有原来的ACS的配置文件,安装程序会提示你是否保存,选择后,再点击下一步在进行接下来的安装9.选择安装都默认的路径请点击Next按纽,进入下一步,选择安装都其他路径请点击Browse按纽,选择路径。
最简单的AAA认证-授权-审计-配置防火墙技术实验报告时间:2012-03-13实验名称:简单的AAA配置班级计算机网络技术100# 姓名#实验内容1、拓扑图:2、实验设备:1).用一台PC机桥接到VMware内win server2003服务器;2).用两台Router c3600,一台做NAS、一台做Client;3、实验步骤:NAS:NAS(config)#int f1/0NAS(config-if)#ip add 192.168.139.254 255.255.255.0NAS(config-if)#no shutNAS(config)#int f0/0NAS(config-if)#ip add 192.168.2.254 255.255.255.0NAS(config-if)#no shutNAS(config)#username cisco privilege 15 password ciscoNAS(config)#enable secret cisco --------配置enable密码--------NAS(config)#aaa new-model --------开启AAA功能--------NAS(config)#aaa authen login cisco group tacacs+ localNAS(config)#aaa authen login lhy noneNAS(config)#line vty 0 15NAS(config-line)#login authen ciscoNAS(config-line)#exiNAS(config)#line con 0NAS(config-line)#login authentication lhyNAS(config-line)#exiNAS(config)#tacacs-server host 192.168.139.4 key cisco ----配置共享key----Client:Client(config)#int f0/0Client(config-if)#ip add 192.168.2.2 255.255.255.0Client(config-if)#no shutClient(config)#no ip routingClient(config)#ip default-gateway 192.168.2.254Client#ping 192.168.139.254Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.139.254, timeout is 2 seconds:!!!!!在VMware中配置:NAS:NAS#test aaa group tacacs+ cisco cisco new-codeTrying to authenticate with Servergroup tacacs+Sending passwordUser successfully authenticated --------认证成功---------NAS#NAS(config)#aaa authentication enable default group tacacs+--------将enable加入AAA认证中---------NAS(config)#aaa authorization exec default group tacacs+NAS(config)#aaa accounting exec default start-stop group tacacs+ -----默认审计方式------NAS(config)#aaa accounting commands 15 default start-stop group tacacs+ -----命令审计方式------Client:将enable加入AAA认证里的验证结果:lient#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUser Access VerificationUsername: ciscoPassword:NAS>enPassword:NAS#conf tNAS(config-if)#endNAS#exi--------------------验证成功--------------------[Connection to 192.168.139.254 closed by foreign host]Client#授权(authorization)验证结果:Client#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUsername: ciscoPassword:NAS# -----------直接进入特权模式-------------- NAS#conf tNAS(config)#exiNAS#exi[Connection to 192.168.139.254 closed by foreign host]Client# ----------授权成功--------------------审计(accounting)用default验证:Client#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUsername: ciscoPassword:NAS#conf tEnter configuration commands, one per line. End with CNTL/Z.NAS(config)#endNAS#sh running-configNAS#sh versionNAS#exi[Connection to 192.168.139.254 closed by foreign host]Client#审计(accounting)用commands验证:Client#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUsername: ciscoPassword:NAS#conf tEnter configuration commands, one per line. End with CNTL/Z. NAS(config)#exiNAS#sh running-configNAS#sh versionNAS#conf tEnter configuration commands, one per line. End with CNTL/Z. NAS(config)#int lo 0NAS(config-if)#ip add 2.2.2.2 255.255.255.0NAS(config-if)#exiNAS(config)#exiNAS#exi[Connection to 192.168.139.254 closed by foreign host]Client#实验结果:审计(accounting)用default验证的结果:审计(accounting)用commands验证的结果:实验心得:感觉还不错!1.看了一遍的录频,第一次做时授权失败,查不出是什么原因;2.然后把思路调整了下、重做,终于做出来了;3.也明白了为什么第一次授权为什么失败!。
思科网络设备3A认证的开启及命名3A认证的配制方法一.3A认证概述在Cisco设备中,许多接口,许多地方,为了安全,都需要开启认证服务,比如我们通常配置的console下的密码,进入Privileged EXEC模式的enable密码,VTY线路下的密码,以及其它二层接口的认证密码等等。
这些密码配置在哪里,那里就开启了相应的认证服务。
并且这些认证服务方式是单一的,也没有备份认证方式,更重要的是,这些密码只能读取本地,却不可以通过读取远程服务器的认证方式来给自己提供认证服务。
要想将一个接口的认证方式调用到另外一个接口,或者让某接口使用远程服务器的认证方式,那就需要AAA中的认证来实现。
AAA中的认证可以给设备提供更多的认证方式,AAA认证就相当于一个装有认证方式的容器一样,里面可以有多个认证方式,当这个容器被安装在某个接口,那么这个接口也就拥有了容器中所有的认证方式。
而几乎所有的认证方式都可以被放入这个容器中,包含远程服务器的认证方式。
二.常见的3A认证配置方法(1)tacacs服务器和密码的宣告通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置,配置命令如图1所示。
图1 全局下tacacs服务器及密码的宣告方法在宣告tacacs服务器时,为了3A认证的冗余性,我们可以在全局模式下同时宣告多个tacacs服务器地址。
配置了多个tacacs服务器地址后,在进行3A认证时,设备会根据tacacs服务器配置的先后顺序逐一进行认证,直到找到一台可用的tacacs服务器,3A认证成功为止。
如图2。
图2 配置多个tacacs服务器这种宣告方式有一个缺陷,虽然我们可以同时宣告多个tacacs服务器,但是却只能宣告一个密码,也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码,这样不利于网络设备的安全管理。
为了解决这一问题,我们可以将tacacs服务器与密码同时进行宣告,如图3.图3 tacacs服务器与密码同时宣告这种宣告方式解决了全局模式下只能宣告一个密码的问题,并且这种方式同样也可以同时宣告多条,和传统的宣告方式一样,这种新的宣告方式也会根据先后顺序进行逐条的调用。
华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。
这种结构既具有良好的可扩展性,⼜便于集中管理⽤户信息。
如图1所⽰。
图 1 AAA 的基本构架⽰意图认证:不认证:对⽤户⾮常信任,不对其进⾏合法检查,⼀般情况下不采⽤这种⽅式。
本地认证:将⽤户信息配置在⽹络接⼊服务器上。
本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。
远端认证:将⽤户信息配置在认证服务器上。
⽀持通过 RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS(HuaWei Terminal Access Controller Access Control System)协议进⾏远端认证。
授权: AAA ⽀持以下授权⽅式:不授权:不对⽤户进⾏授权处理。
本地授权:根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。
HWTACACS 授权:由 HWTACACS 服务器对⽤户进⾏授权。
if-authenticated 授权:如果⽤户通过了认证,⽽且使⽤的认证模式是本地或远端认证,则⽤户授权通过。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在⼀起的,不能单独使⽤ RADIUS 进⾏授权。
计费:AAA ⽀持以下计费⽅式:不计费:不对⽤户计费。
远端计费:⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。
⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS(Remote Authentication Dial-In User Service)是⼀种分布式的、客户端/服务器结构的信息交互协议,能保护⽹络不受未授权访问的⼲扰,常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。
该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制,并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。
44AAA配置访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。
身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。
44.1AAA基本原理AAA是Authentication Authorization and Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。
AAA以模块方式提供以下服务:⏹认证:验证用户是否可获得访问权,可选择使用RADIUS协议、TACACS+协议或Local(本地)等。
身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。
⏹授权:授权用户可使用哪些服务。
AAA授权通过定义一系列的属性对来实现,这些属性对描述了用户被授权执行的操作。
这些属性对可以存放在网络设备上,也可以远程存放在安全服务器上。
⏹记账:记录用户使用网络资源的情况。
当AAA记账被启用时,网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。
每个记账记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。
部分产品的AAA仅提供认证功能。
所有涉及产品规格的问题,可以通过向福建星网锐捷网络有限公司市场人员或技术支援人员咨询得到。
尽管AAA是最主要的访问控制方法,锐捷产品同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。
不同之处在于它们提供对网络保护程度不一样,AAA提供更高级别的安全保护。
使用AAA有以下优点:⏹灵活性和可控制性强⏹可扩充性⏹标准化认证⏹多个备用系统44.1.1AAA基本原理AAA 可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记账类型。
通过创建方法列表来定义身份认证、记账、授权类型,然后将这些方法列表应用于特定的服务或接口。
44.1.2 方法列表由于对用户进行认证、授权和记账可以使用不同的安全方法,您需要使用方法列表定义一个使用不同方法对用户进行认证、授权和记账的前后顺序。
方法列表可以定义一个或多个安全协议,这样可以确保在第一个方法失败时,有备用系统可用。
锐捷产品使用方法列表中列出的第一个方法时,如果该方法无应答,则选择方法列表中的下一个方法。
这个过程一直持续下去,直到与列出的某种安全方法成功地实现通信或用完方法列表。
如果用完方法列表而还没有成功实现通信,则该安全功能宣告失败。
只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。
例如在身份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他的身份认证方法。
图 11. 典型的AAA 网络配置图上图说明了一个典型的AAA 网络配置,它包含两台安全服务器:R1和R2是RADIUS 服务器。
假设系统管理员已定义了一个方法列表,在这个列表中,R1首先被用来获取身份信息,然后是R2,最后是访问服务器上的本地用户名数据库。
如果一个远程PC 用户试图拨号进入网络,网络访问服务器首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向网络访问服务器发出一个ACCEPT 应答,这样用户即获准访问网络。
如果R1返回的是REJECT 应答,则拒绝用户访问网络,断开连接。
如果R1无应答,网络访问服务器就将它看作TIMEOUT ,并向R2查询身份认证信息。
这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。
如果所有的方法返回TIMEOUT ,则认证失败,连接将被断开。
REJECT 应答不同于TIMEOUT 应答。
REJECT 意味着用户不符合可用身份认证数据库中包含的标准,从而未能通过身份认证,访问请求被拒绝。
TIMEOUT 则意味着安全服务器对身份认证查询未作应答,当检测到一个TIMEOUT 时,AAA 选择身份认证方法列表中定义的下一个身份认证方法将继续进行身份认证过程。
在本文中,与AAA安全服务器相关的认证、授权和记账配置,均以RADIUS为例,而与TACACS+有关的内容请另外参考“配置TACACS+”。
44.2AAA配置基本步骤首先您必须决定要采用哪种安全解决方案,而且需要评估特定网络中的潜在安全风险,并选择适当的手段来阻止未经授权的访问。
我们建议,在可能的情况下,尽量使用AAA确保网络安全。
44.2.1AAA配置过程概述如果理解了AAA运作的基本过程,配置AAA就相对简单了。
在锐捷网络设备上配置AAA 地步骤如下:⏹启用AAA,使用全局配置层命令aaa new-model。
⏹如果决定使用安全服务器,请配置安全协议的参数,如RADIUS。
⏹定义身份认证方法列表,使用aaa authentication命令。
⏹如有需要,可将该方法列表应用于特定的接口或线路。
在应用特定方法列表时,如果没有明确指定使用命名的方法列表,则使用默认的身份认证方法列表进行身份认证。
因此,如果不准备使用默认的身份认证方法列表,则需要指定特定的方法列表。
对于本章中使用的命令的完整描述,请参见安全配置命令参考中的相关章节。
44.2.2启用AAA要使用AAA安全特性,必须首先启用AAA。
要启用AAA,在全局配置模式下执行以下命令:Step 144.2.3停用AAA要停用AAA,在全局配置模式下执行以下命令:Step 144.2.4后续的配置过程启用AAA以后,便可以配置与安全方案相关的其他部分,下表说明了可能要完成的配置任务以及相关内容所在的章节。
AAA访问控制安全解决方案方法如果使用AAA实现身份认证,请参考“配置认证”中的相关部分。
44.3配置认证身份认证是在允许用户使用网络资源以前对其进行识别,在大多数情况下,身份认证是通过AAA安全特性来实现的。
我们建议,在可能的情况下,最好使用AAA来实现身份认证。
44.3.1定义AAA认证方法列表要配置AAA身份认证,首先得定义一个身份认证方法的命名列表,然后各个应用使用已定义列表进行认证。
方法列表定义了身份认证的类型和执行顺序。
对于已定义的身份认证方法,必须有特定的应用才会被执行。
默认方法列表是唯一的例外。
所有应用在未进行配置时使用默认方法列表。
方法列表仅是定义将要被依次查询的、并用于认证用户身份的一系列安全方法。
方法列表使您能够指定一个或多个用于身份认证的安全协议,这样确保在第一种方法失败的情况下,可以使用身份认证备份系统。
我司产品使用第一种方法认证用户的身份,如果该方法无应答,将选择方法列表中的下一种方法。
这个过程一直持续下去,直到与列出的某种身份认证方法成功地实现通信或用完方法列表。
如果用完方法列表而还没有成功实现通信,则身份认证宣告失败。
只有在前一种方法没有应答的情况下,锐捷产品才会尝试下一种方法。
如果在身份认证过程中,某种方法拒绝了用户访问,则身份认证过程结束,不再尝试其他的身份认证方法。
44.3.2 方法列表举例在典型AAA 网络配置图中,它包含2个服务器:R1和R2是RADIUS 服务器。
假设系统管理员已选定一个安全解决方案,NAS 认证采用一个身份认证方法对Telnet 连接进行身份认证:首先使用R1对用户进行认证,如果无应答,则使用R2进行认证;如果R1、R2都没有应答,则身份认证由访问服务器的本地数据库完成,要配置以上身份认证列表,执行以下命令:Step 1 Step 2如果系统管理员希望该方法列表仅应用于一个特定的Login 连接,必须创建一个命名方法列表,然后将它应用于特定的连接。
下面的例子说明了如何将身份认证方法列表仅应用于线路2:Step 1 Step 2 Step 3 Step 4 Step 5当远程PC 用户试图Telnet 访问网络设备(NAS),NAS 首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向NAS 发出一个ACCEPT 应答,这样用户即获准访问网络。
如果R1返回的是REJECT 应答,则拒绝用户访问网络,断开连接。
如果R1无应答,NAS 就将它看作TIMEOUT ,并向R2查询身份认证信息。
这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。
如果所有的服务器(R1、R2)返回TIMEOUT ,则认证由NAS 本地数据库完成。
REJECT 应答不同于TIMEOUT 应答。
REJECT 意味着用户不符合可用的身份认证数据库中包含的标准,从而未能通过身份认证,访问请求被拒绝。
TIMEOUT 则意味着安全服务器对身份认证查询未作应答,当验证TIMEOUT 时,AAA 选择认证方法列表中定义的下一个认证方法继续进行认证过程。
44.3.3 认证类型我司产品目前支持以下认证类型:⏹Login(登录)认证⏹Enable认证⏹PPP认证⏹DOT1X(IEEE802.1x)认证⏹Web认证其中Login认证针对的是用户终端登录到NAS上的命令行界面(CLI),在登录时进行身份认证;Enable认证针对的是用户终端登录到NAS上的CLI界面以后,提升CLI执行权限时进行认证;PPP认证针对PPP拨号用户进行身份认证;DOT1X认证针对IEEE802.1x接入用户进行身份认证。
Web认证时针对内置ePortal的情况下进行身份认证。
44.3.4配置AAA身份认证的通用步骤要配置AAA身份认证,都必须执行以下任务:⏹使用aaa new-model 全局配置命令启用AAA。
⏹如果要使用安全服务器,必须配置安全协议参数,如RADIUS和TACACS+。
具体的配置请参见“配置RADIUS和“配置TACACS+”。
⏹使用aaa authentication 命令定义身份认证方法列表。
⏹如果可能,将方法列表应用于某个特定的接口或线路。
我司产品DOT1X认证目前不支持TACACS+。
44.3.5配置AAA Login认证本节将具体介绍如何配置锐捷产品所支持的AAA Login(登录)身份认证方法:只有在全局配置模式下执行aaa new-model 命令启用AAA,AAA安全特性才能进行配置使用(下同)。
关于更详细的内容,请参见“AAA概述”。
在很多情况下,用户需要通过Telnet访问网络访问服务器(NAS),一旦建立了这种连接,就可以远程配置NAS,为了防止网络未经授权的访问,要对用户进行身份认证。
AAA安全服务使网络设备对各种基于线路的Login(登录)身份认证变得容易。
不论您要决定使用哪种Login认证方法,只要使用aaa authentication login命令定义一个或多个身份认证方法列表,并应用于您需要进行Login认证的特定线路就可以了。
要配置AAA Login认证,在全局配置模式下执行以下命令:Step 1Step 2Step 3 Step 4 Step 5关键字list-name 用来命名创建身份认证方法列表,可以是任何字符串;关键字method 指的是认证实际算法。
