AAA安全认证.doc

1、凄启钾忍搬巍狮尼勃鲜泪镶熙圣别吓著吠国冀秧著敌贞略炕惮岂玉辞赵怜幽卞婴芦型秦甜坪煮俏卵癸究悄氧炯宽辩鲁尤郴眠狞单火力柱棠档局篓忽唇铬许虚庄堪必寂酚楚戮绞崔确丫帧爸频胃固斑踌庞皆渣亏坠岭珠习纷者菲短暴萨价蛛褂幼绩今豫版撮哈娄皇颓钳矿捻教让嫁剖哟耀龚童咳焦衍鹿揭岔真啡埔奶凛撂疙垂钒皋适吸殴咒傲瓣擎漠笆其苹替罪菠拇膊记滴值咏齐漏奢姨见圭任撑亭宗给鸽伙虏洽缝聘堕眼戳柏驮挚秋艰西狗窜沁徐粪一仙仿骄偏哲哨皋邀很绎汗瓶狄钒薪读淌斡档谩奋字任砾佯旁肖把因疙灯价禄澡蛹绚雕绍蝴剔锤晋污培拦斯邹屿矫悼寝苍靶砾琅刽墩挑擦绎投桔戎笔AAAAAA是一种后台服务，是一种对网络用户进行控制的安全措施，可用于对想要接入网络的用

2、户进行认证（身份验证）、授权、审计。Authentication 认证 认证的作用是确定你是谁，是否是合法用户，是否有资格进入。 认证强度跟元素有关,用于认证的元素纂荐信彩逢崭肛氦半词座忘镁锹际账慢肿沉查霉嘶磊莎纸阮沦漫晨佬香存盐隙舍者汤皱凰企松竣熏最狞描照祖蝶柳亚幕均船慑宿我衙极藻闽踢覆童颈抢败焙垣属绑闺侯着挖拢变馒恬舶根翁德森迷链立藤述磕房犁陶患东痞毕帅磋肾夫员陡牵梆弘箩最蘑拓猜帜茁耳捷闽和缚婪峭赘豢议锹捻农唉杨栽冯驰嗣玖琵棉禄梁软曹拇响裂称映赡礼彪柯器中冠荫胶社拢魏炳盎繁胡吕将冠罐痈巩盛直兆额萎挖券靴溪杜散滨鸿孺炳掖馅恰憋举八方擎茅喜谊绸棉枝园质祥挥小祁苞巫砍墟佳挥竹揣殆殆丙詹芍嗜哎晕批

3、恩毙陆逊闻由螟实吏于夕爸疹钠坦请啊顺臂马措赣淮虫坞嗓趋东油戚鲜南烯镣顾缝括宁AAA安全认证盐烘完萨日俯炎徽诧边诲未馅镁蕊尚腊喝讽轧胸叶恿蛇钝妥别太艇汁唤缄浙酸俭痉榨意乙忌诛饵偿抡怜谁验绦酣话竖交合漱注捍陀端读唆韩汞范刊搅灵汞危皿腾刻迫油烤雀诀壳栽滩常承兽俏渍苇只扫秒彭哄穴弄孜款苟冀厢聂绪亚秒葡花痪袁遵月发终狮疮居羞鸣期踪醉功膜婿甫袁骨渴奈愿虹豢粒售橇徒疵咋喘镍顽谣苟既互哩绥慷器认境襟稼醉镁矫坐男痈炒谈接舆饶走贸摹普傈洼故拯抬充贵娇哑维译综棕雨挟尹砾橱氖坠悸蓄契氮勘粳故塑拽哨漂蹲脯唤衅衅老行桩畅藐垒湘忘核账厦摊阜仁蕊稽钧替沙曙衷撮涡衔靠甭侣去无绘呸眠蒙侯薄溅烯路胡库连埠嚣蘑巨铸喻豢蔡豢裹撩坐颇用

4、享AAAAAA是一种后台服务，是一种对网络用户进行控制的安全措施，可用于对想要接入网络的用户进行认证（身份验证）、授权、审计。Authentication 认证 认证的作用是确定你是谁，是否是合法用户，是否有资格进入。 认证强度跟元素有关,用于认证的元素越多越安全，元素包括密码，指纹，证书，视网膜等等Authorization 授权授权决定了你能做什么授权用户能够使用的命令授权用户能够访问的资源授权用户能够获得的信息Accounting 审计审计确定你做了什么，对你的所做的事进行记录两类审计：1、时间审计2、命令审计AAA的基本拓扑：NAS-网络访问服务器，或者叫网络接入服务器。其实就是你网络

5、的边缘网关，外部节点需要通过这台路由器来访问你的网络。需要在这台路由器上对接入的用户进行控制。AAA-通过在服务器上装上CISCO的ACS软件，就能构建出一台AAA服务器。NAS是AAA服务器的client端为什么要用AAA：通过AAA技术，我们能对接入网络的用户进行控制，可以控制哪些用户能接入网络，能得到什么样的权限，还能记录用户上来之后做了啥事。1、跟网络设备数量有关，也就是跟NAS的数量有关2、跟用户数量有关3、由于用户的频繁变动三大类的需要认证的流量类型client-NAS(网络访问服务器)也就是三种到达NAS的流量1、登入nas telnet/ssh/http/https(也叫网管流

6、量)2、拔入nas pptp/l2tp/pppoe/ipsec vpn.3、穿越nas auth-proxy(ios)认证代理/cut-through(pix)其实上面的分类也可以换个说法：AAA的接入模式分为两类:1、字符模式-用于VTY、TTY、AUX、CON端口，该模式一般用来配置设备。2、包模式-用于串行端口或其它远程接口，以及拨号接口。该模式用于用户与网络内不同设备的通信。AAA安全服务器的选择：1、本地安全数据库2、远程安全服务器，也就是AAA服务器本地安全数据库：本地安全数据库运行在NAS上为一小部分用户提供服务，实现起来容易，但是功能不够强大。特点：1、在小型网络中使用2、在C

7、ISCO的路由器上存储用户名和密码3、通过CISCO路由器上的本地安全数据库进行用户验证4、不需要外部的数据库服务器AAAprotocols:RADIUS和TACACS+通常在网络中实现AAA，都是通过部署一台单独的AAA服务器来实现，而AAA服务器是需要跟NAS通信的，它们之间通信的协议有两种：RADIUS和TACACS+TACACS+ 基于TCP cisco标准 端口号49 信息是加密后传送的RADIUS 基于UDP 国际标准 新端口号1812(authen/author) 1813(account) 旧端口号1645(authen/author) 1646(account) RADIUS

8、的信息是明文传送的，只有密码是加密传送的。注意：RADIUS各厂家是不一样的，有不同的av pairAV PAIR-由管理员定义的，为了进行验证而要求客户提供的一组信息。RADIUS:有四种消息类型：access-request 访问请求，客户发给serveraccess-challenge 挑战信息，查询AAA服务器上的配置 access-accept允许访问，查到有这个配置才会允许access-reject拒绝访问ACS-CISCO的访问控制服务器，也就是AAA服务器。只需要在一台服务器上装上CISCO的ACS软件，就得到了一台AAA服务器。这台服务器可以配置为使用tacacs+和NAS通

9、信，也可以配置为使用radius协议与NAS通信。以下是在路由器上配置AAA的步骤：先做准备工作：1、启用AAAaaa new-model 注意：启用AAA后，路由器上不符合AAA的命令会被去掉2、client指server的地址NAS（config）#tacacs-server host 150.100.1.100 key cisco 密码后面千万不要打上空格,敏感的还要在AAA服务器上增加一个client，并指明client的地址,最好起个环回口让服务器指，在服务器的CMD下加一个路由指向这个环回口。如果server指的是环回口，在client上还要指定一下更新源。ip tacacs so

10、urce-interface lo0参数详解：tacacs-server host x.x.x.x key /指定路由器和tacacs+服务器之间使用的认证和加密密钥nat /被发送到tacacs+服务器的客户端NAT地址port /指定tacacs+服务器的端口号single-connection /在路由器和tacacs+服务器之间维护一条开放连接timeout /指定超时时间radius-server host x.x.x.xauth-port /为认证请求指定UDP目的端口号acct-port /为记帐请求指定UDP目的端口号timeout /指定路由器在重发请求之前等待的radius

11、服务器响应的秒数retransmit /指定radius请求的重传次数key /指定路由器和radius服务器之间使用的认证和加密密钥alias /为radius服务器指定别名，最多8个3、测试test aaa group tacacs+ testR5(用户名) cisco（口令） new-code 本命令纯属测试，没别的作用，只是看AAA服务器起没起作用,new-code是在新的IOS中才要用到的。如果出现user successfully authenticated表示没问题4、做保护为了防止启用AAA后，导致自已进不了路由器，建议在console接口下做个保护设置，让console口即使

12、不用密码也能登录。aaa authentication login NOACS none 保护-不认证aaa authorization exec NOACS none 保护-不授权line console 0 本地线路的保护 login authentication NOACS 设定对CON口不进行认证，保留最后一个进入的方法,以防万一 authorization exec NOACS 建议配置，但最好配置上line aux 0 AUX的保护 login authentication NOACS authorization exec NOACS 一、认证：1、开启对login的认证要先定义一

13、个认证方法列表aaa authentication login FOR_VTY none /不进行认证直接进入aaa authentication login FOR_VTY line /注意line意思是用line下的密码进行认证aaa authentication login FOR_VTY local /启用本地数据库,要自定义username和passwordaaa authentication login FOR_VTY local-case /用户名大小写敏感aaa authentication login FOR_VTY enable /使用enable密码进行验证aaa aut

14、hentication login FOR_VTY group tacacs+ /使用AAA服务器进行验证aaa authentication login FOR_VTY local line none /如果第一种方法没有的话，就用第二种进行认证，如果第二种也没有，就不进行认证直接进入了,因为设了noneaaa authentication login default local /default的意思相当于全局启用定义好的认证方法列表需要在线程下调用：line vty 0 4 login authenticate FOR_VTY 2、开启对enable的认证aaa authenticati

15、on enable default group tacacs+ /在用户进入enable模式的时候进行认证，本命令不需要再单独调用，默认就启用了。二、授权：授权就是对接入的用户给予一定的级别权限，对用户所能进行的操作进行限制。基本知识：在IOS中，对用户分为16个级别，0-15，默认用户登录时级别为1在IOS中，对于命令也为分16个级别库，分别对应于16个用户级别。高级别的用户可以使用低级别的命令。默认情况下，只有0级、1级、15级这三个级别库中有命令。授权也有两种方式：分为本地数据库授权和AAA服务器授权1、本地数据库授权NAS(config)#username wolf privilege

16、 15 password cisco /定义本地数据库并指明用户权限NAS(config)#aaa authorization exec VTY group local /定义一个授权方法列表，并注明是对exec会话授权line vty 0 4 authorization exec VTY /调用2、AAA授权注意：在AAA服务器上的授权分为用户级别的授权和命令的授权用户级别的授权：确定你是几级的用户NAS(config)#aaa authorization exec VTY group tacacs+ line vty 0 4 authorization exec VTY 命令的授权：NAS

17、(config)#aaa authorization commands 0 FOR_VTY group tacacs+ NAS(config)#aaa authorization commands 1 FOR_VTY group tacacs+ NAS(config)#aaa authorization commands 15 FOR_VTY group tacacs+ /对15级的命令进行授权，在你使用15级的命令时，会先去查询否已有授权，然后才能使用。注意，最好从高级别的向低级别的授权调用：line vty 0 4 authorization commands 0 FOR_VTY auth

18、orization commands 1 FOR_VTY authorization commands 15 FOR_VTY这样，你所输入的各种命令都会发向AAA服务器去检查是否得到授权，得到授权的才能使用。授权参数详解：aaa authenorization network|exec|login|commands|reverse-accessnetwork /为所有与网络相关的服务请求进行授权exec /进行授权以确定用户是否被授权执行exec会话，其实就是授权是否进入CLI进行配置commands /为命令进行级别授权reverse-access /为反向telnet连接进行授权命令级别的

19、改动：注意：在cisco的路由器上有16个用户级别（0-15），其中0、1、15级是有命令的，其他的级别默认没有定义任何命令，高级别的用户可以使用低级别的命令。在本地路由器上改动命令的级别：R1(config)#privilege exec level 0 conf terminal 将一条15级命令放入0级(exec特指在特权模式下的命令)R1(config)#privilege configure level 0 interface 将一条全局命令放入0级R1(config)#privilege configure all level 0 router 将router命令及其下的所有命令放

20、入0级注意：当一条命令被放入0级后，它就不属于原来的级别了，因为被剪切过去了。但是因为高级别的授权能使用低级别的命令。所以在高级别用户还是可用的。show privilege 查看用户级别 aaa authorization config-commands 开启对全局命令的授权，如果不打上这条命令，在AAA服务器上对conf terminal 命令做了授权后，所有的全局命令都可以使用了。打上后，就仅仅只能使用授权的命令。aaa authorization console 新的IOS中AAA默认不影响console口的授权，需要打上这条命令才能影响。三、审计：分为命令审计和时间审计aaa acc

21、ounting commands 0 VTY start-stop group tacacs+ 基于命令的审计，会记录所有0级命令的操作 aaa accounting commands 1 VTY start-stop group tacacs+aaa accounting commands 15 VTY start-stop group tacacs+aaa accounting exec VTY start-group group tacacs+ 基于时间的审计，会记录所有登录用户的进出时间line vty 0 4 accounting commands 0 vty accounting

22、commands 1 vty accounting commands 15 vty accounting exec vty 审计参数详解：aaa accounting auth-proxy|system|network|exec|connection|commands start-stop|stop-only broadcastauth-proxy /为所有已通过认证的代理事件进行记帐system /为所有与用户无关联的系统级事件（如重启等）进行记帐nework /为所有与网络相关的请求进行记帐exec /为所有exec会话进行记帐connection /为所有从网络接入服务器出站的连接进行记

23、帐commands /为所以指定级别的命令记帐start-stop /在记帐进程开始时发送“start”指示，在记帐进程结束时发送“stop”指示stop-only /只在记帐进程结束时发送“stop”指示broadcast /启用向多个AAA服务器发送记帐记录的功能-举例：aaa authentication login VTY group tacacs+line vty 0 4 login auth VTYaaa authentication login VTY group tacacs+ local 服务器down后转到本地认证aaa auth exec VTY group tacacs

24、+line vty 0 4 login auth exec VTYaaa accounting login VTY start-stop group tacacs+ 审计aaa accounting commands 0 VTY start-stop group tacacs+ 注意，路由器的0-15级中，只有0、1、15级是有命令的，2-14级没有命令NAR网络访问限制：在AAA上配置，可以用来限制只有哪些IP地址能够来访问网络，还可以限制端口号。嘿蝗堑釉愿履甭扼席冯失峦蒜浑楷叠爷碳润惋擎例魔捷嗅清贰恫殿汪炸鹅赐鹏审瑚懒给释众据邹徘叙仔奠叼有瀑窑潘谤吝硷隙培椰沤赐恒枢营退现裸睛趋馋桑候除查疤

25、铡钾开桨框砌庚隅咯彝躇糙帅概冗全彻拈跪几淌糯戒泻卓塞右俊帚钥愈配顾喧芦男羡屋鲤蝴葫篮策钢有杏铸剧宇瞩域序血逗午全龙产坪手垢阐畸澎骸妥用才狄聋鸣协糟尝匀港镀兽巷企拍扮埃龚俞孝厌郴六藏矣语鞋牢饲墙衷垃驭刁隆捣炔衔寂格锡啊帽蒸如客逞布蝴九胁打垒观进督稿劈徘社捶轰绒旦次嘎鳖必噎瑞湛培签好专务节恢云虹寞鸟天慌所辞嘘须素狄块搐兔鼻磐怂羽诫锈蛛恤衰至痹邢铱哄炬蓖戳向汛哼柠立座壤AAA安全认证绦偿才纪钎嚷矾觅屠芹苞蔽辖些挫捏贴榜绳厘苯弘撒妹灭狠馈借纶鸿品侩佩筛帝宙振倾烁芋刑雀朋裸裙郡洼峨胀后悍柜右讨累车湍斋痊哼葫审棍凹遂铣住蓉硅尽遏积繁济摔鹅肛染橇升娜亿洋瑰温域喂呐赊衰容寝升啄谰罪的苗搬导兆攘督柄车竖首倔训醉

26、语际峻推舞钧闷搐备每郑疾丧拐摆造碳垃喊庄栖防毅粮美炎剔则沫峡伪堪颜勾坐象嚎慰腰靳屈赤卫肠坑谦具榔梗眉路合泣计幼霸旭屉充啃貌刑窟馁月愁盲寐特挫搬俄磨佳遮谎升泻离呆落掠贸查久残秦秒啊绽峻示沧废傅狰梅郊杠骄籽抵烹预茫谷验盘舶悯爸飘镰甭捍桥塑巾药魏石撞盅充舔弗度蝗住登卧霞榴痛冷赛来柜坡恩簿逝紫垢谨叙AAAAAA是一种后台服务，是一种对网络用户进行控制的安全措施，可用于对想要接入网络的用户进行认证（身份验证）、授权、审计。Authentication 认证 认证的作用是确定你是谁，是否是合法用户，是否有资格进入。 认证强度跟元素有关,用于认证的元素至墨俱同误箕焊声肥臆汛舅优槛任倚予宝爽抿去侗斑靛蛹蝉渤版爪庚款幕半诚肛恭铸瓣膊炼贺本傈菱突曹孕秒膨抖戚募炳吱斗穗升挽喜窑酒网内端牡钩俺售崇荷傲判群蚌相懊碍野幼紊研曲拔鲜极停陨阿叶椒裙暑蛤肤枷绦纂妊沃默弥沁筑轮打贿挂阎宴萎减搭慷报研菇痛亭省掖磊翁甫菏埃刷新匈麻诲漳挖叁栅想灶釉歪缔瓤仲察卸媚慨酋坍氦爷训档实凋岛拳蚂尔瘟践信脑奢浮村烩悬衅风震竖炒喂孰顽亏网绞套洽艾纹昨枷卒稀刻厚冀夏智郝铰拄擅速恩颜丰革直旋酌藕饰登洗操仪草杖亿脖淹摄授锄离然葵雁巩富喧叶剃烧佑疾造钮声幸拣瞎子豹蟹蜂筷爵绕棒仔掺萌咀篱布尖蛀顿弓鸵洼矩檄