AAA认证配置

AAA认证配置、广域网链路引入：通过讲述路由器配置的安全性，为何需要对路由器进行安全认证，限制远程用户的非法连接与授权等，实现网络安全管理。

新授：一、AAA认证配置AAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。

奏见authentication。

authorization和accounting 常用的AAA协议是Radius另外还有HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。

HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。

该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

组合认证模式是有先后顺序的。

例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

AAA(认证、授权、计费)配置步骤：1.创建域：domain +name2.配置认证方案：authentication +？（可以同时配置radius-scheme（或TACACS+）和local认证方案，但是如果是local或none为第一方案，则不能采用其他认证方案）3.配置授权方案：authorization+？（后面参数与认证一样）4.配置计费方案：accounting+？（后面参数与上面一直）Accounting optional 计费可选Domain default enable +name 配置默认域（系统默认为system）Radius配置配置radius方案：radius scheme +name配置主备认证服务器和计费服务器：Primary authentication / accounting +ipSecondary authentication / accounting +ip配置nas-ipNas-ip +ip或radius nas-ip +ip在不配置时，系统以发送报文的出接口地址为nas-ip，在存在多个出接口的请款下建议配置nas-ip。

配置认证计费密钥Key authentication | accounting +密码配置用户名格式(默认带域名的)User-name-format（with-domain | without-domain）配置服务器类型（默认为standard）Server-type standard|extended 标准的即不带私有属性NAS可以理解为向服务器发起认证的设备，如百度移信的胖ap里的配置，nas-ip就配置成ap的管理地址记得修改默认域。

1.13 AAA典型配置(pèizhì)举例1.13.1 SSH用户(yònghù)的RADIUS认证和授权(shòuquán)配置1. 组网需求(xūqiú)如图1-12所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。

•由一台iMC服务器（IP地址为10.1.1.1/24）担当认证/授权RADIUS 服务器的职责；• Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813；• Router向RADIUS服务器发送的用户名携带域名；• SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。

2. 组网图图1-12 SSH用户RADIUS认证/授权配置组网图3. 配置步骤(1) 配置RADIUS服务器（iMC PLAT 5.0）下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM5.0(E0101)），说明RADIUS服务器的基本配置。

# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

•设置与Router交互报文时使用的认证、计费共享密钥为“expert”；•设置认证及计费的端口号分别为“1812”和“1813”；•选择业务类型为“设备管理业务”；•选择(xuǎnzé)接入设备类型为“H3C”；•选择或手工增加(zēngjiā)接入设备，添加IP地址(dìzhǐ)为10.1.1.2的接入设备(shèbèi)；•其它参数采用缺省值，并单击<确定>按钮完成操作。

配置简单AAA认证实验总结一、实验目的本次实验旨在深入理解AAA认证的工作原理，并掌握其配置方法。

通过实践，希望能够提升自己在网络安全领域的理解和技能。

二、实验步骤1.了解AAA认证的基本概念和原理，包括认证、授权和账户管理等。

2.选择适当的网络设备和操作系统，根据AAA认证的原理进行配置。

3.通过命令行界面进行配置，包括定义认证类型、授权规则、账户管理等。

4.验证配置结果，包括测试用户认证、授权和账户管理等功能是否正常工作。

5.在配置过程中遇到问题时，查阅相关文档或寻求帮助，尝试解决问题。

6.总结实验结果，分析配置过程中出现的问题和解决方案，撰写实验报告。

三、配置过程在本次实验中，我选择了一个基于Linux系统的网络设备进行AAA认证的配置。

具体步骤如下：1.定义认证类型，选择本地数据库进行用户认证。

2.创建用户账户，并为其分配相应的权限和角色。

3.配置防火墙规则，确保只有经过认证的用户才能访问特定的网络资源。

4.配置计费系统，记录用户的网络使用情况。

四、验证过程为了验证AAA认证的配置是否正确，我进行了以下测试：1.使用已创建的用户账户登录设备，确保认证功能正常工作。

2.测试用户访问特定网络资源的权限，验证授权功能是否正常工作。

3.查看计费系统记录的用户网络使用情况，验证计费功能的正确性。

4.在不同用户之间进行切换，测试多用户环境的AAA认证功能。

五、问题解决在配置过程中，我遇到了一些问题，例如：防火墙规则无法正常应用、计费系统数据异常等。

针对这些问题，我通过查阅相关文档和寻求帮助，找到了解决方案：1.防火墙规则无法正常应用：检查规则配置是否有误，并尝试重新应用规则。

如果是由于本地数据库的问题，需要检查用户账户的创建和授权情况。

2.计费系统数据异常：检查计费系统的数据源是否正确，以及是否有其他系统或应用干扰了计费数据的记录。

如果是由于数据源问题，需要修正数据源配置。

如果是由于其他系统或应用干扰了计费数据的记录，需要调整相关设置或升级系统版本。

AAA（认证Authentication，授权Authorization，记帐Accounting）企业应先制定对客户信用评价的内容、事项和指标体系标准，这套标准应是参阅一定的理论研究资料和大量实践总结出来的客户信用特征的集中体现，在下面“信用评价”部分将较详细的介绍。

然后对照标准，用计分法对客户信用进行评估，可分六个等级。

满分100分，＞90—100分、AAA级，＞80—90分、AA级，＞70—80分、A级，＞60—70分、BBB级，＞50—60分、BB级，＞40—50分、B级。

国际国内通行的企业信用等级是三等九级制或四等十级由于CCC、CC、C和D级是属于信用警示企业和失信企业，因此要避免和这些企业进行信用交易，剩下的可考虑信用交易的企业只是B级以上的六种。

网络安全技术AAA 认证授权与计费协议组Kerberos：网络认证协议（Network Authentication Protocol）RADIUS：远程用户拨入认证系统（Remote Authentication Dial In User Servic e）SSH：安全外壳协议（Secure Shell Protocol）ACS是Cisco出的一个AAA 认证软件，可以对路由器进行用户认证、授权、记账操作。

安装步骤：1．以超级用户登录NT或2000的ACS安装机器2．在CD-ROM中插入ASC的安装光盘3．用鼠标双击Install的图标4．在Software License Agreement 窗口中阅读Software License Agree ment并点击ACCEPT按纽。

5．点击Next按纽，进入下一步。

6．选择属于你的网络配置情况的多选框，在点击Next按纽，进入下一步7．如果ACS软件已经在本机上安装了，那么它会提示你是否覆盖还是保存原来的数据选择Yes，keep existing database 按纽，保存数据，不选择该按纽则新建数据库，再点击下一步在进行接下来的安装8．如果发现有原来的ACS的配置文件，安装程序会提示你是否保存，选择后，再点击下一步在进行接下来的安装9．选择安装都默认的路径请点击Next按纽，进入下一步，选择安装都其他路径请点击Browse按纽，选择路径。

最简单的AAA认证-授权-审计-配置防火墙技术实验报告时间：2012-03-13实验名称：简单的AAA配置班级计算机网络技术100# 姓名#实验内容1、拓扑图：2、实验设备：1).用一台PC机桥接到VMware内win server2003服务器；2).用两台Router c3600，一台做NAS、一台做Client；3、实验步骤：NAS：NAS(config)#int f1/0NAS(config-if)#ip add 192.168.139.254 255.255.255.0NAS(config-if)#no shutNAS(config)#int f0/0NAS(config-if)#ip add 192.168.2.254 255.255.255.0NAS(config-if)#no shutNAS(config)#username cisco privilege 15 password ciscoNAS(config)#enable secret cisco --------配置enable密码--------NAS(config)#aaa new-model --------开启AAA功能--------NAS(config)#aaa authen login cisco group tacacs+ localNAS(config)#aaa authen login lhy noneNAS(config)#line vty 0 15NAS(config-line)#login authen ciscoNAS(config-line)#exiNAS(config)#line con 0NAS(config-line)#login authentication lhyNAS(config-line)#exiNAS(config)#tacacs-server host 192.168.139.4 key cisco ----配置共享key----Client:Client(config)#int f0/0Client(config-if)#ip add 192.168.2.2 255.255.255.0Client(config-if)#no shutClient(config)#no ip routingClient(config)#ip default-gateway 192.168.2.254Client#ping 192.168.139.254Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.139.254, timeout is 2 seconds:!!!!!在VMware中配置：NAS:NAS#test aaa group tacacs+ cisco cisco new-codeTrying to authenticate with Servergroup tacacs+Sending passwordUser successfully authenticated --------认证成功---------NAS#NAS(config)#aaa authentication enable default group tacacs+--------将enable加入AAA认证中---------NAS(config)#aaa authorization exec default group tacacs+NAS(config)#aaa accounting exec default start-stop group tacacs+ -----默认审计方式------NAS(config)#aaa accounting commands 15 default start-stop group tacacs+ -----命令审计方式------Client:将enable加入AAA认证里的验证结果：lient#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUser Access VerificationUsername: ciscoPassword:NAS>enPassword:NAS#conf tNAS(config-if)#endNAS#exi--------------------验证成功--------------------[Connection to 192.168.139.254 closed by foreign host]Client#授权（authorization）验证结果：Client#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUsername: ciscoPassword:NAS# -----------直接进入特权模式-------------- NAS#conf tNAS(config)#exiNAS#exi[Connection to 192.168.139.254 closed by foreign host]Client# ----------授权成功--------------------审计（accounting）用default验证：Client#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUsername: ciscoPassword:NAS#conf tEnter configuration commands, one per line. End with CNTL/Z.NAS(config)#endNAS#sh running-configNAS#sh versionNAS#exi[Connection to 192.168.139.254 closed by foreign host]Client#审计（accounting）用commands验证：Client#telnet 192.168.139.254Trying 192.168.139.254 ... OpenUsername: ciscoPassword:NAS#conf tEnter configuration commands, one per line. End with CNTL/Z. NAS(config)#exiNAS#sh running-configNAS#sh versionNAS#conf tEnter configuration commands, one per line. End with CNTL/Z. NAS(config)#int lo 0NAS(config-if)#ip add 2.2.2.2 255.255.255.0NAS(config-if)#exiNAS(config)#exiNAS#exi[Connection to 192.168.139.254 closed by foreign host]Client#实验结果：审计（accounting）用default验证的结果：审计（accounting）用commands验证的结果：实验心得：感觉还不错！1.看了一遍的录频，第一次做时授权失败，查不出是什么原因；2.然后把思路调整了下、重做，终于做出来了；3.也明白了为什么第一次授权为什么失败！。

思科网络设备3A认证的开启及命名3A认证的配制方法一．3A认证概述在Cisco设备中，许多接口，许多地方，为了安全，都需要开启认证服务，比如我们通常配置的console下的密码，进入Privileged EXEC模式的enable密码，VTY线路下的密码，以及其它二层接口的认证密码等等。

这些密码配置在哪里，那里就开启了相应的认证服务。

并且这些认证服务方式是单一的，也没有备份认证方式，更重要的是，这些密码只能读取本地，却不可以通过读取远程服务器的认证方式来给自己提供认证服务。

要想将一个接口的认证方式调用到另外一个接口，或者让某接口使用远程服务器的认证方式，那就需要AAA中的认证来实现。

AAA中的认证可以给设备提供更多的认证方式，AAA认证就相当于一个装有认证方式的容器一样，里面可以有多个认证方式，当这个容器被安装在某个接口，那么这个接口也就拥有了容器中所有的认证方式。

而几乎所有的认证方式都可以被放入这个容器中，包含远程服务器的认证方式。

二．常见的3A认证配置方法（1）tacacs服务器和密码的宣告通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置，配置命令如图1所示。

图1 全局下tacacs服务器及密码的宣告方法在宣告tacacs服务器时，为了3A认证的冗余性，我们可以在全局模式下同时宣告多个tacacs服务器地址。

配置了多个tacacs服务器地址后，在进行3A认证时，设备会根据tacacs服务器配置的先后顺序逐一进行认证，直到找到一台可用的tacacs服务器，3A认证成功为止。

如图2。

图2 配置多个tacacs服务器这种宣告方式有一个缺陷，虽然我们可以同时宣告多个tacacs服务器，但是却只能宣告一个密码，也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码，这样不利于网络设备的安全管理。

为了解决这一问题，我们可以将tacacs服务器与密码同时进行宣告，如图3.图3 tacacs服务器与密码同时宣告这种宣告方式解决了全局模式下只能宣告一个密码的问题，并且这种方式同样也可以同时宣告多条，和传统的宣告方式一样，这种新的宣告方式也会根据先后顺序进行逐条的调用。

华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。

这种结构既具有良好的可扩展性，⼜便于集中管理⽤户信息。

如图1所⽰。

图 1 AAA 的基本构架⽰意图认证：不认证：对⽤户⾮常信任，不对其进⾏合法检查，⼀般情况下不采⽤这种⽅式。

本地认证：将⽤户信息配置在⽹络接⼊服务器上。

本地认证的优点是速度快，可以为运营降低成本，缺点是存储信息量受设备硬件条件限制。

远端认证：将⽤户信息配置在认证服务器上。

⽀持通过 RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进⾏远端认证。

授权： AAA ⽀持以下授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。

HWTACACS 授权：由 HWTACACS 服务器对⽤户进⾏授权。

if-authenticated 授权：如果⽤户通过了认证，⽽且使⽤的认证模式是本地或远端认证，则⽤户授权通过。

RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在⼀起的，不能单独使⽤ RADIUS 进⾏授权。

计费：AAA ⽀持以下计费⽅式：不计费：不对⽤户计费。

远端计费：⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。

⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS（Remote Authentication Dial-In User Service）是⼀种分布式的、客户端/服务器结构的信息交互协议，能保护⽹络不受未授权访问的⼲扰，常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。

该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制，并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。

实施前准备：-挂线：以15级权限telnet/SSH上要配置的设备，配置：line vty 0 15exec-timeout 0 0然后保持telnet/SSH会话不退出。

等待配置完成且测试通过后，再配置exec-timeout 10 0(或者改成期望值，默认是10 0)。

这样做的目的是避免因为意外或者操作问题将用户自己锁在路由器外。

配置步骤(以下若无具体说明，均为全局模式配置，命令行红色字体为自定义值)：1、开启aaa：aaa new-model2、配置tacacs+服务器：tacacs-server host 192.168.1.200 key I0$pAs$w0rd3、配置ACS，配置client和user：-登录ACS：浏览器输入：192.168.1.200:2002，其中192.168.1.200为ACS的IP地址。

--client配置：在左边点击进入network config视图：点击下图的Add Entry：会弹出以下界面，hostname填写设备名称(也可以自定义)，IP地址填写网络设备的IP，key要和路由器上配置的key相同，使用tacacs+(cisco ios)，然后点击submit+apply。

如下图：--user配置：点击左边，会进入user setup界面，如下图：输入要建立的username，点击add/edit：在user编辑界面，在user setup界面输入密码，选择属于的组，然后点击最下方的submit即可。

作为例子，这里配置了4个用户：4、测试路由器和ACS连通性：特权模式：test aaa group tacacs cisco7 cisco7 new-code，如果通过会有以下输出：注意：如果不能通过，请确认两端是否能通信(ping)，两端的密码是否相同(比如路由器端的密码是否多了空格，空格也被认为是密码string)。

5、定义aaa method-list，名字为ios-manage：aaa new-modelaaa authentication login ios-manage group tacacs local //定义登录的认证方法为tacacs+，当ACS不可达时使用本地验证aaa authorization exec ios-manage group tacacs local //当通过登录认证后，授权登录用户能访问cli界面。

cisco AAA认证服务器及设备配置AAA代表Authentication、Authorization、Accounting，意为认证、授权、记帐，其主要目的是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记帐。

1、认证：验证用户是否可以获得访问权限——“你是谁？”2、授权：授权用户可以使用哪些资源——“你能干什么？”3、记帐：记录用户使用网络资源的情况——“你干了些什么？”好的，简单的了解理论知识后，接下来我们还是以实验的方式来进行讲解：为网络提供AAA服务的，主要有TACACS+和RADIUS协议，我们主要介绍是TACACS+协议，因为它运行在TCP协议基础之上，更适合大型网络，特别是融合型网络一、实验拓扑介绍该实验主要完成R1路由通过ACS服务器实现AAA认证，包括验证、授权和记帐，同时还包括PPP验证和计时通过cisco ACS实验二、安装cisco ACS1、硬软件要求硬件：Pentium IV 处理器， 1.8 GHz 或者更高操作系统：Windows 2000 ServerWindows 2000 Advanced Server (Service Pack 4)Windows Server 2003， Enterprise Edition or StandardEdition (Service Pack 1)内存：最小1GB虚拟内存：最小1GB硬盘空间：最小1GB可用空间，实际大小根据日志文件的增长，复制和备份的需求而定。

浏览器：Microsoft Internet Explorer 6 或者更高版本JAVA运行环境：Sun JRE 1.4.2_04 或更高版本网络要求：在CISCO IOS 设备上为了全面的支持TACACS+ 和 RADIUS，AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。

非CISCO IOS 设备上必须用TACACS+，RADIUS或者两者一起配置。

AAA认证一、准备条件1.1windows 虚拟机一台1.2路由器一台（我采用的是CISCO3600）1.3要求windows虚拟机与真机进行连通1.4拓扑如下二、基本配置2.1 WinRadius服务器基本配置第一步、登陆windows 虚拟机，配置IP地址为：192.168.1.7第二步、打开“WinRadius”软件，并解压缩第三步、在解压缩的文件里，打开“”服务，出现如下图所示：“加载账户数据失败”第四步、点击《设置——数据库》出现下图，在点击图中的《自动配置ODBC》第五步、根据上图日志提示：重新启动“WinRadius”服务，服务器启动正常第六步、点击《设置——系统》出现下图，确定认证端口：1812，计费端口：1813第七步、点击《设置——多重密钥》出现下图，其中对于IP[NAS]填写：AAA路由器与交换机的管理地址，采用密钥填写：交换机、路由器与WinRadius服务器之间的认证密钥。

在此，我以路由器192.168.1.1，密钥为123 为例。

最后点击“添加”。

第八步、点击《操作——添加账号》。

此处以用户名：wang ，口令为：wang第九步、查看新增加的账号：wang 《操作——查询——查用户信息》2.2 路由器基本配置首先、对路由器的接口F0/0配置IP地址并激活该端口Router#sh run inter f0/0Building configuration...Current configuration : 96 bytes!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed autoendRouter#其次、测试路由器与WinRadius服务器之间的网络是否正常通讯Router#ping 192.168.1.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/36 ms Router#最后、测试路由器与客户机（telnet该路由器的客户端）能否正常通讯Router#ping 192.168.1.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/12/48 msRouter#三、AAA认证配置Router(config)#aaa new-model （启用AAA认证）Router(config)#username xiong password xiong （创建本地用户与口令）aaa authentication login haha group radius local （先进行radius服务器认证，在radius 服务器不可达时，采用本地认证）aaa authentication login hehe none （登陆不进行认证）no radius-server host 192.168.1.7 auth-port 1645 acct-port 1646 （关闭默认的认证、授权端口与审计端口）radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 （改写通用的认证、授权端口与审计端口，同时配置路由器与radius服务器之间的口令123）Router(config)#line vty 0 4Router(config-line)#login authentication haha （当用户telnet该路由器时，调用认证haha进行认证）Router(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication hehe （当用户con该路由器时，调用认证heh 进行认证）Router(config-line)#end路由器具体配置如下：Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!aaa new-model!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!!username xiong password 0 xiong!!!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!aaa new-model!!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!username xiong password 0 xiong!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#四、测试4.1 用客户机telnet该路由器成功（用radius服务器的用户wang进行验证）同时在WinRadius服务器上查看相应的日志4.2 当WinRadius服务器出现异常，我们在用“wang”登陆时，就失败了，同时，只能采用本地账户“xiong”登陆来进行管理该路由器路由器PING不同WinRadius服务器客户机用wang登陆失败采用本地xiong登陆成功五、用密文进行认证Router(config)#enable secret 123456用sh run 查看刚配置的口令enable secret 5 $1$cGdg$Um3fHK8td9KRSKAG.5Lst.把上面记录好的密钥口令保存好，同时要记住它所对应的明文口令在路由器上修改与服务器之间的认证：Router(config)#radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key $1$cGdg$Um3fHK8td9KRSKAG.5Lst.最后，一样正常登陆采用同样的方式对服务器上用户wang的密码进行更换成密文的口令（只要确定在20个字符以内）。

在思科路由器上配置AAA认证在思科路由器上配置AAA认证⼀、实验拓扑⼆、地址表三、AAA配置过程1.在R1配置本地⽤户名并为console配置本地AAA认证和VTY连接认证R1(config)#username admin1 password admin1R1(config)# aaa new-modelR1(config)#aaa authentication login default localR1(config)#line console 0R1(config-line)#login authentication default验证⽤户EXEC登⼊使⽤本地数据库------VTY连接认证R1(config)# aaa authentication login telnet-login localR1(config)# line vty 0 4R1(config-line)# login authentication telnet-login验证Telnet配置。

让PC-Aping通R12.在R2进⾏有关TACACS+服务器的详细配置R2(config)#username admin2 password admin2R2(config)#tacacs-server host 192.168.2.2R2(config)#tacacs-server key admin2R2(config)#aaa new-modelR2(config)#aaa authentication login default group tacacs+ localR2(config)#line console 0R2(config-line)#login authentication defaultTACACS+服务器配置⽤AAA TACACS+服务器验证⽤户EXEC的登⼊3.在R3⽤RADIUS配置基于服务器的AAA认证R3(config)#username admin3 password admin3R3(config)#tacacs-server host 192.168.3.2R3(config)#tacacs-server key admin3R3(config)#aaa new-modelR3(config)#aaa authentication login default group radius local R3(config)#line console 0R3(config-line)#login authentication defaultRADIUS服务器配置四、⽹络测试1.PC-A ping PC-B2.PC-A ping PC-C3.PC-C ping PC-B。

AAA认证一、准备条件1.1windows 虚拟机一台1.2路由器一台（我采用的是CISCO3600）1.3要求windows虚拟机与真机进行连通1.4拓扑如下二、基本配置2.1 WinRadius服务器基本配置第一步、登陆windows 虚拟机，配置IP地址为：192.168.1.7第二步、打开“WinRadius”软件，并解压缩第三步、在解压缩的文件里，打开“”服务，出现如下图所示：“加载账户数据失败”第四步、点击《设置——数据库》出现下图，在点击图中的《自动配置ODBC》第五步、根据上图日志提示：重新启动“WinRadius”服务，服务器启动正常第六步、点击《设置——系统》出现下图，确定认证端口：1812，计费端口：1813第七步、点击《设置——多重密钥》出现下图，其中对于IP[NAS]填写：AAA路由器与交换机的管理地址，采用密钥填写：交换机、路由器与WinRadius服务器之间的认证密钥。

在此，我以路由器192.168.1.1，密钥为123 为例。

最后点击“添加”。

第八步、点击《操作——添加账号》。

此处以用户名：wang ，口令为：wang第九步、查看新增加的账号：wang 《操作——查询——查用户信息》2.2 路由器基本配置首先、对路由器的接口F0/0配置IP地址并激活该端口Router#sh run inter f0/0Building configuration...Current configuration : 96 bytes!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed autoendRouter#其次、测试路由器与WinRadius服务器之间的网络是否正常通讯Router#ping 192.168.1.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/36 ms Router#最后、测试路由器与客户机（telnet该路由器的客户端）能否正常通讯Router#ping 192.168.1.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/12/48 msRouter#三、AAA认证配置Router(config)#aaa new-model （启用AAA认证）Router(config)#username xiong password xiong （创建本地用户与口令）aaa authentication login haha group radius local （先进行radius服务器认证，在radius 服务器不可达时，采用本地认证）aaa authentication login hehe none （登陆不进行认证）no radius-server host 192.168.1.7 auth-port 1645 acct-port 1646 （关闭默认的认证、授权端口与审计端口）radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 （改写通用的认证、授权端口与审计端口，同时配置路由器与radius服务器之间的口令123）Router(config)#line vty 0 4Router(config-line)#login authentication haha （当用户telnet该路由器时，调用认证haha进行认证）Router(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication hehe （当用户con该路由器时，调用认证heh 进行认证）Router(config-line)#end路由器具体配置如下：Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!aaa new-model!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!!username xiong password 0 xiong!!!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!aaa new-model!!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!username xiong password 0 xiong!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#四、测试4.1 用客户机telnet该路由器成功（用radius服务器的用户wang进行验证）同时在WinRadius服务器上查看相应的日志4.2 当WinRadius服务器出现异常，我们在用“wang”登陆时，就失败了，同时，只能采用本地账户“xiong”登陆来进行管理该路由器路由器PING不同WinRadius服务器客户机用wang登陆失败采用本地xiong登陆成功五、用密文进行认证Router(config)#enable secret 123456用sh run 查看刚配置的口令enable secret 5 $1$cGdg$Um3fHK8td9KRSKAG.5Lst.把上面记录好的密钥口令保存好，同时要记住它所对应的明文口令在路由器上修改与服务器之间的认证：Router(config)#radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key $1$cGdg$Um3fHK8td9KRSKAG.5Lst.最后，一样正常登陆采用同样的方式对服务器上用户wang的密码进行更换成密文的口令（只要确定在20个字符以内）。

华为设备AAA和RADIUS配置一、AAA概述AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：l 哪些用户可以访问网络服务器；l 具有访问权的用户可以得到哪些服务；l 如何对正在使用网络资源的用户进行计费；针对以上问题，AAA必须提供下列服务：l 认证：验证用户是否可获得访问权。

l 授权：授权用户可使用哪些服务。

l 计费：记录用户使用网络资源的情况。

AAA一般采用客户/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。

因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。

RADIUS协议概述如前所述，AAA是一种管理框架，因此，它可以用多种协议来实现。

在实践中，人们最常使用RADIUS协议来实现AAA。

1. 什么是RADIUSRADIUS是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，它是一种分布式的、客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（例如，它常被应用来管理使用串口和调制解调器的大量分散拨号用户）。

RADIUS系统是 NAS（Network Access Server）系统的重要辅助部分。

当RADIUS系统启动后，如果用户想要通过与NAS（PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机）建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时，NAS，也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。

RADIUS 服务器上有一个用户数据库，其中包含了所有的用户认证和网络服务访问信息。

AAA认证配置44AAA配置访问控制是⽤来控制哪些⼈可以访问⽹络服务器以及⽤户在⽹络上可以访问哪些服务的。

⾝份认证、授权和记账（AAA）是进⾏访问控制的⼀种主要的安全机制。

44.1AAA基本原理AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进⾏配置的⼀致性框架，锐捷⽹络设备产品⽀持使⽤AAA。

AAA以模块⽅式提供以下服务：认证：验证⽤户是否可获得访问权，可选择使⽤RADIUS协议、TACACS+协议或Local（本地）等。

⾝份认证是在允许⽤户访问⽹络和⽹络服务之前对其⾝份进⾏识别的⼀种⽅法。

授权：授权⽤户可使⽤哪些服务。

AAA授权通过定义⼀系列的属性对来实现，这些属性对描述了⽤户被授权执⾏的操作。

这些属性对可以存放在⽹络设备上，也可以远程存放在安全服务器上。

记账：记录⽤户使⽤⽹络资源的情况。

当AAA记账被启⽤时，⽹络设备便开始以统计记录的⽅式向安全服务器发送⽤户使⽤⽹络资源的情况。

每个记账记录都是以属性对的⽅式组成，并存放在安全服务器上，这些记录可以通过专门软件进⾏读取分析，从⽽实现对⽤户使⽤⽹络资源的情况进⾏记账、统计、跟踪。

部分产品的AAA仅提供认证功能。

所有涉及产品规格的问题，可以通过向福建星⽹锐捷⽹络有限公司市场⼈员或技术⽀援⼈员咨询得到。

尽管AAA是最主要的访问控制⽅法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地⽤户名⾝份认证、线路密码⾝份认证等。

不同之处在于它们提供对⽹络保护程度不⼀样，AAA提供更⾼级别的安全保护。

使⽤AAA有以下优点：灵活性和可控制性强可扩充性标准化认证多个备⽤系统44.1.1AAA基本原理AAA 可以对单个⽤户（线路）或单个服务器动态配置⾝份认证、授权以及记账类型。

通过创建⽅法列表来定义⾝份认证、记账、授权类型，然后将这些⽅法列表应⽤于特定的服务或接⼝。