AAA服务器

AAA介绍：

1、认证：

确认你是谁，是不是一个合法的用户，我是否应该为你提供服务。

2、授权

指派这个用户能够访问什么样的资源，就是说你是我们公司内部的用户，但你只是一个普通的CCNP学员，你可能就被限制只能看CCNP相关的视频资料，另的都不能访问

3、审计

我对你的行为，什么时候来，什么时候去，使用了什么样的资源，登陆了什么

设备，干了什么事情，都要作记录，这叫审计

基本AAA的配置：

1、激活AAA

2、配置RADIUS 服务器

3、配置认证方式

4、应用方式一接口

AAA配置部署

基本配置部署

R1(config)#int f0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#no sh

R2(config)#int f0/0

R2(config-if)#ip address 10.1.1.2 255.255.255.0

R2(config-if)#no sh

SW(config)#vlan 2

SW(config-vlan)#name TestVLAN2

SW(config-vlan)#exit

SW(config)int range f0/1 , f0/2

SW(config-if-range)#switchport mode access

SW(config-if-range)#switchport accesss vlan 2

SW(config-if-range)#end

SW(config)#int f0/16

SW(config-if)#no switchport

SW(config-if)#ip address 150.1.45.1 255.255.255.0

SW#ping 150.1.45.241

SW(config)#username admin password cisco //本地创建用户名和密码

SW(config)#aaa new-model //启用AAA功能

SW(config)#radius-server host 150.1.45.241 key cisco //在客户端指定了RADIUS服务器说明：RADIUS有两套端口号:一组是1645-1646，另一组是1812-1813

下面我们在AAA服务器上指客户端（交换机）

Network Configration——Add Entry(AAA Clients)——SW(AAA Client Hostname)——150.1.45.1（AAA Client IP Address）——cisco(key)——RADIUS(CISCO IOS/PIX6.0)[Authenticate Using]——Submit+Apply

创建一个用户

User Setup——User：acsuser——Add/Edit——Password：cisco——submit

下面我们在交换机上作测试

SW#test aaa group radius accuser cisco new-code //这就表示测试成功了，表示Radius和交换机通信是OK的

SW(config0##aaa authentication login noacs none //AAA登陆的认证策略，这个认证策略的名字叫noacs 策略的内容是无认证。

我把所上面的认证策略调用到Console口

SW(config)#line console 0

SW(config-line)#login authentication noacs //意思是Console口使用noacs策略，也就是

说Console口对登陆不认证，这叫线下保护，我们Console口一般不要作AAA认证，因为RADIUS服务器一旦坏掉了，我们的Console口就进不去了。

如果Console想用线下的密码作认证

SW(config0##aaa authentication login noacs line

SW(config)#line console 0

SW(config-line)#login authentication noacs

SW(config-line)#password cisco

下面开始作策略

SW(config)#aaa authentication login acs.authen group radius local line //这是一个login的

AAA的认证策略，名字叫acs.authen，首选用

radiaus服务器，如果radiaus无法进行通信（比

如网断了、防火墙过滤了、机器没有开、机器

重启了、ACS的程序出现的问题）无法为我们

提供用户名和密码的数据库了，而不是你输错

了用户名和密码的情况，而是在无法为你提供

服务的情况下切换到本地数据库进行认证，如

果本地有数据库，你就要输对本地的用户名和

密码，只有在本地没有配置用户名和密码时才

会切换到线下密码认证。

default策略：自动把这个login的策略运用到所有可以运用这个策略的线路上面去，这个default策略是不需要调用的，它自动会运用到所有运用login策略接口，比如console、Aux、vty、http都可以运用的。

命名的策略：命名的策略优先于default，命名策略只会影响你调用的地方，不会影响到其它的地方，命名策略一定要调用。

建议：不建议大家作多层的切换，建议大家就采用主备，主用Radius、备用local就可以了，不要太多的认证，因为这个认证层次太多会出现异常。

调用命名策略：

SW(config)#line vty 0 15

SW(config-line)#login authentication acs.authen

SW(config-line)#end

下面我们作一下测试

SW(config)#int vlan 2

SW(config-if)#ip add 10.1.1.254 255.255.255.0

SW(config-if)#end

SW#ping 10.1.1.1

SW#ping 10.1.1.2

R1#telnet 10.1.1.254

下面我们制造出Radius

SW(config)#int f0/16 //把连接Radius的f0/16口down掉SW(config-if)#shutdown

R1#telnet 10.1.1.254

这时我们需要输入本地的用户名和密码

R1#telnet 10.1.1.254

此时如果AAA服务器好了，就必须用AAA上的用户名和密码

AAA配置

ACS访问原理 ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。这其中包括： ?Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]） ?Cisco PIX防火墙（还有ASA/FWSM ） ?Cisco VPN 3000系列集中器 不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。 运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案： ?启用权利(Enable priviledges) ?AAA命令授权 Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。为改变缺省特权级别，您必须运行启用命令，提供用户的启用口令和请求的新特权级别。如果口令正确，即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。这些等级缺省是有命令集的，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。 缺省级别： 特权级别说明 0 包括disable, enable, exit, help和logout命令 1 包括router>提示值时的所有用户级命令 15 包括router#提示值时的所有启用级命令 可修改这些级别并定义新级别： enable password level 10 pswd10 privilege exec level 10 clear line privilege exec level 10 debug ppp chap privilege exec level 10 debug ppp error privilege exec level 10 debug ppp negotiation

AAA基本配置

ACS配置的几个要点： 1、在接口配置拦目中选择相应的项目，否则不会在其他拦目中显示出来 2、在设备端的示例 ACS认证(authentication)：路由器方式和PIX不同 Step1>在设备端定义tacacs+服务器地址以及key tacacs-server host 202.101.110.110 tacacs-server directed-request tacacs-server key test Step2>在ACS端定义设备的IP地址 Step3>在ACS上面建立用户名和用户组 Step4>在设备端配置AAA认证 aaa new-model aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable line vty 0 4 login authentication default 授权、记帐： aaa new-model aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local line vty 0 4 authorization commands 1 default authorization commands 15 default aaa accounting exec default start-stop group tacacs+ lin vty 0 4 accounting exec default 如果要记录用户所用的命令，设备端配置为： aaa new-model aaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ line vty 0 4 accounting commands 0 default accounting commands 1 default accounting commands 15 default 一、AAA服务器配置：PIX/ASA方式 Chicago(config)# username admin password cisco Chicago(config)# aaa-server mygroup protocol radius

aaa认证

1.1 什么AAA AAA（Authentication Authorization Accounting）是一种提供认证、授权和计费的技术。 ●??认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。 ●??授权（Authorization）：授权用户可以使用哪些服务。 ●??计费（Accounting）：记录用户使用网络资源的情况。 1.2 AAA的基本架构 AAA通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于集中管理用户信息。如下图所示 认证 AAA支持以下认证方式： ●??不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 ●??本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。本地认 证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。 ●??远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。AAA支持通 过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进行远端认证。网络接入服务器NAS（Network Access Server）作为客户端，与RADIUS服务器或HWTACACS服务器通信。 如果在一个认证方案中采用多种认证模式，将按照配置的顺序进行认证。 当配置的认证方式是先远端认证后本地认证时 如果登录的帐号在远端服务器上没有创建，但是在本地是存在的，经过远端认证时，将被认为认证失败，不再转入本地认证。 只有在远端认证服务器无响应时，才会转入本地认证。 如果选用了不认证（none）或本地认证（local），它必须作为最后一种认证模式。 授权 AAA支持以下授权方式： 不授权：不对用户进行授权处理。 ●??本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权。 ●??HWTACACS授权：由TACACS服务器对用户进行授权。 ●??if-authenticated授权：如果用户通过了认证，而且使用的认证模式不是不认证，则用户授权通过。

华为交换机AAA配置与管理

华为交换机AAA配置与管理

AAA配置与管理 一、基础 1、AAA是指：authentication（认证）、authorization （授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization 和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。 在实际应用中，可以使用AAA的一种或两种服务。 2、AAA基本架构： C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备） 3、AAA基于域的用户管理： 通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理 缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能

5、hwtacacs协议 Hwtacacs是在tacacs（rfc1492）基础上进行了功能增强的安全协议，与radius协议类似，主要用于点对点PPP和VPDN （virtual private dial-up network，虚拟私有拨号网络）接入用户及终端用户的认证、授权、计费。与radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制。 Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的，能够完全兼容tacacs+协议 6、华为设备对AAA特性的支持 支持本地、radius、 hwtacacs三种任意组合 本地认证授权： 优点是速度快，可降低运营成本；缺点是存储信息量受设备硬件条件限制 RADIUS认证、计费： 优点防止非法用户对网络的攻击相对较高；缺点是不支持单独授权功能，必须与认证功能一起，使用了认证功能就使用了授权功能 Hwtacacs认证、授权、计费： 认证、授权、计费室单独进行的，可以单独配置使用，在

H3C AAA认证配置

1.13 AAA典型配置举例 1.13.1 SSH用户的RADIUS认证和授权配置 1. 组网需求 如图1-12所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 ?由一台iMC服务器（IP地址为10.1.1.1/24）担当认证/授权RADIUS服务器的职责； ? Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813； ? Router向RADIUS服务器发送的用户名携带域名； ? SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。 2. 组网图 图1-12 SSH用户RADIUS认证/授权配置组网图 3. 配置步骤 (1) 配置RADIUS服务器（iMC PLAT 5.0） 下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），说明RADIUS服务器的基本配置。 # 增加接入设备。 登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。 ?设置与Router交互报文时使用的认证、计费共享密钥为“expert”； ?设置认证及计费的端口号分别为“1812”和“1813”； ?选择业务类型为“设备管理业务”； ?选择接入设备类型为“H3C”； ?选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备； ?其它参数采用缺省值，并单击<确定>按钮完成操作。

AAA配置教案

AAA认证配置、广域网链路 引入： 通过讲述路由器配置的安全性，为何需要对路由器进行安全认证，限制远程用户的非法连接与授权等，实现网络安全管理。 新授： AAA认证配置 AAA系统的简称： 认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户； 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。 AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius 另外还有HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS 协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于： l RADIUS基于UDP协议，而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。 组合认证模式是有先后顺序的。例如，authentication-mode radius local表示先使用RADIUS 认证，RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时，不认证（none）必须放在最后。例如：authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时，缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式，并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权，HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候，直接授权必须在最后。例如：authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时，缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的，所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式：本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。

aaa认证说明

AAA代表Authentication、Authorization、Accounting，意为认证、授权、记帐，其主要目的是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记帐。 1、认证：验证用户是否可以获得访问权限——“你是谁？” 2、授权：授权用户可以使用哪些资源——“你能干什么？” 3、记帐：记录用户使用网络资源的情况——“你干了些什么？” 好的，简单的了解理论知识后，接下来我们还是以实验的方式来进行讲解： 为网络提供AAA服务的，主要有TACACS+和RADIUS协议，我们主要介绍是TACACS+协议，因为它运行在TCP协议基础之上，更适合大型网络，特别是融合型网络 一、实验拓扑介绍 该实验主要完成R1路由通过ACS服务器实现AAA认证，包括验证、授权和记帐，同时还包括PPP验证和计时通过cisco ACS实验 二、安装cisco ACS 1、硬软件要求 硬件：Pentium IV 处理器，1.8 GHz 或者更高 操作系统：Windows 2000 Server Windows 2000 Advanced Server （Service Pack 4） Windows Server 2003，Enterprise Edition or Standard Edition （Service Pack 1） 内存：最小1GB 虚拟内存：最小1GB 硬盘空间：最小1GB可用空间，实际大小根据日志文件的增长，复制和备份的需求而定。 浏览器：Microsoft Internet Explorer 6 或者更高版本 JA V A运行环境：Sun JRE 1.4.2_04 或更高版本 网络要求： 在CISCO IOS 设备上为了全面的支持TACACS+ 和RADIUS，AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。 非CISCO IOS 设备上必须用TACACS+，RADIUS或者两者一起配置。 运行ACS的主机必须能ping通所有的AAA客户端。 2、安装方法（我们用的版本是4.0版本） 打开ACS安装程序文件夹，选中setup 双击。进入安装向导，根据提示进行安装，基本为默认 3、安装完成后的访问 在运行ACS的主机上，通过桌面上的ACS Admin 网页图标，可以访问ACS的web格式的管理台。也可以通过网页浏览器输入地址：http://127.0.0.1:2002来访问ACS。 注： ? Windows Xp不支持cisco ACS，在此笔者是在虚机中的windows2003sever下安装的 ? ACS安装完成后， 1、一定要安装JA VA平台，否则该ACS将不能正常使用，笔者在此安装的是jre-6u12-windows-i586-p-s.exe，版本为JRE 版本1.6.0_12 Java HotSpot （TM） 2、IE的浏览器一定把安全级别为低或者中低，否者打的开界面将是空的。 三、ACS的配置 1、ACS管理员帐号 Step 1>点击ACS界面左边的Administration control 按钮，然后点击Administrator control界面中的Add Administrator Step 2>点击Add administrator 后出现此账户的诸多选项，逐一填写后点击Submit Step3>了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置 如：http://10.10.10.110:2002 2、ACS网络（添加Tacacs+客户端

Cisco AAA 配置

如何在Cisco设备上来配置AAA的认证? 实验设备: cisco 3640路由器1台，PC一台，Console线缆一根，交叉线一根 实验拓扑： 实验过程： 第一步：通过console线缆，使用超级终端或者SecureCRT登录路由器，完成基本配置，同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1，掩码255.255.255.0 Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#line console 0 Router(config-line)#no exec-t Router(config-line)#logg syn

3640(config)#host R3640 R3640(config)#int e1/0 R3640(config-if)#ip add 192.168.10.3 255.255.255.0 R3640(config-if)#no sh R3640(config-if)#end *Mar 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console R3640#ping 192.168 *Mar 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up *Mar 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up R3640#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms 第二步：启用AAA，并配置登录验证为local R3640#conf t Enter configuration commands, one per line. End with CNTL/Z. R3640(config)#aaa ? new-model Enable NEW access control commands and functions.(Disables OLD commands.)

AAA认证配置

44AAA配置 访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账（AAA）是进行访问控制的一种主要的安全机制。 44.1AAA基本原理 AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务： ?认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local （本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别 的一种方法。 ?授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这 些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也 可以远程存放在安全服务器上。 ?记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以 统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是 以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行 读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。 部分产品的AAA仅提供认证功能。所有涉及产品规格的问题，可以通过向福建 星网锐捷网络有限公司市场人员或技术支援人员咨询得到。 尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样，AAA提供更 高级别的安全保护。 使用AAA有以下优点： ?灵活性和可控制性强 ?可扩充性 ?标准化认证 ?多个备用系统 44.1.1AAA基本原理

配置AAA命令

53配置AAA命令 53.1认证相关命令 53.1.1aaa authentication dot1x 要使用AAA进行802.1X用户认证，请执行全局配置命令aaa authentication dot1x配置802.1X用户认证的方法列表。该命令的no 形式删除802.1X用户认证的方法列表。 aaa authentication dot1x {default | list-name} method1 [method2...] no aaa authentication dot1x {default | list-name} 无 全局配置模式。 如果设备启用AAA 802.1X 安全服务，用户就必须使用AAA进行802.1X 用 户认证协商。您必须使用aaa authentication dot1x命令配置默认的或 可选的方法列表用于802.1X用户认证。 只有前面的方法没有响应，才能使用后面的方法进行认证。 下面的示例定义一个名为rds_d1x的AAA 802.1X用户认证方法列表。该 认证方法列表先使用RADIUS安全服务器进行认证，如果在一定时限内没 有收到RADIUS安全服务器的应答，则使用本地用户数据库进行认证。 Ruijie(config)# aaa authentication dot1x rds_d1x group radius local 无 53.1.2aaa authentication enable 要使用AAA进行Enable认证，请执行全局配置命令aaa authentication enable配置Enable认证的方法列表。该命令的no 形式删除认证的方法列表。 aaa authentication enable default method1 [method2...] no aaa authentication enable default

AAA 防火墙 认证简单实验

AAA 防火墙认证简单实验 定义好防火墙初始设置让其具有简单的连通性 定义AAA服务器的名字和协议 ASA(config)# aaa-Server fanfan.3a protocol tacacs+ 定义AAA服务器连接的接口，地址和加密密钥 ASA(config)# aaa-server fanfan.3a (dmz) host 192.168.1.10 ASA(config-aaa-server-host)# key cisco

Sh run查看一下 ASA# sh run aaa-server aaa-server fanfan.3a protocol tacacs+ aaa-server fanfan.3a (dmz) host 192.168.1.10 key cisco 到AAA服务器添加客户端 192.168.1.1 key cisco

创建一个用户fanfan密码fanfan 服务器已经定义了客户客户也已经定义服务器并且创建了用户 接下来测试一下 ASA# test aaa authentication fanfan.3a Server IP Address or name: 192.168.1.10 Username: fanfan Password: ****** INFO: Attempting Authentication test to IP address <192.168.1.10> (timeout: 12 s

econds) INFO: Authentication Successful --------------认证成功 配置telnet使用AAA服务器认证 ASA(config)# telnet 0 0 inside ASA(config)# aaa authen telnet console fanfan.3a 现在到10.1.1.10这台主机测试 telnet 10.1.1.1 可以看到输入fanfan password fanfan 可以成功登录到ASA 穿越协议认证 支持对http https ftp telnet四种类型 配置Cut-through（telnet） 定义AAA服务器已经定义过

AAA认证功能介绍

OLT AAA认证功能介绍VESION 1.0 2011年7月7日

AAA认证功能介绍 (1) 一、相关知识点介绍 (3) 1.1. AAA简介 (3) 1.1.1. 认证功能 (3) 1.1.2. 授权功能 (3) 1.1.3. 计费功能 (3) 1.2. ISP Domain简介 (4) 1.3. Radius协议简介 (4) 1.3.1. RADIUS 服务的3个部分 (4) 1.3.2. RADIUS 的基本消息交互流程 (4) 1.4. TACACS+协议简介 (5) 1.5. RADIUS和TACACS+实现的区别 (6) 1.5.1.RADIUS使用UDP而TACACS+使用TCP (7) 1.5.2.加密方式 (7) 二、OLT上的AAA功能特点 (7) 三、AAA认证命令行配置 (8) 3.1. AAA配置 (8) 3.2. 配置ISP域 (8) 3.3. 配置RADIUS协议 (9) 3.4. 配置TACACS+协议 (10) 四、AAA认证server简介 (11) 4.1. 安装环境介绍： (11) 4.2. 安装和简要配置 (12) 五、配置案例 (13) 5.1. Telnet用户通过RADIUS服务器认证的应用配置 (13) 5.2. Telnet用户通过TACACS+服务器认证的应用配置 (14) 5.3. Telnet用户通过双服务器实现主备冗余的radius认证 (16)

一、相关知识点介绍 1.1. AAA简介 AAA 是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制，包括： ● 哪些用户可以访问网络服务器； ● 具有访问权的用户可以得到哪些服务； ● 如何对正在使用网络资源的用户进行计费。 针对以上问题，AAA 必须提供认证功能、授权功能和计费功能。 1.1.1. 认证功能 AAA 支持以下认证方式： ●不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。 ●本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备 上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设 备硬件条件限制。 ●远端认证：支持通过 RADIUS 协议或TACACS+ 协议进行远端认证，设备作为客户 端，与RADIUS 服务器或TACACS+ 服务器通信。对于RADIUS 协议，可以采用标准或扩展的RADIUS 协议。 1.1. 2. 授权功能 AAA 支持以下授权方式： ●直接授权：对用户非常信任，直接授权通过。 ●本地授权：根据设备上为本地用户配置的相关属性进行授权。 ● RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独 使用RADIUS 进行授权。 ● TACACS+ 授权：由TACACS+ 服务器对用户进行授权。 1.1.3. 计费功能 AAA 支持以下计费方式： ●不计费：不对用户计费。 ●远端计费：支持通过 RADIUS 服务器或TACACS+ 服务器进行远端计费。

AAA认证过程

AAA使用的是802.1x协议全称是：Port-Based Network Access Control Protocol（基于端口的网络访问 控制协议） 他是通过EAPoL报文交互认证的. 802.1X 认证有3 个重要角色：恳求者、认证者和认证服务器。 1.客户端SU 以组播方式发送一个EAP 报文发起认证过程（协议标准组播地址为 01-80-C2-00-00-03) 2 . 交换机收到该报文后，发送一个EAP-Request 报文响应客户端的认证请求，要求用户提供用户名信息。 3 . 客户端收到EAP-Request 之后响应一个EAP-Response 报文，将用户名封装在EAP 报文中发给交换机。 4 . 交换机将客户端送来的EAP-Request 报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request 报文中发给认证服务器。 5 . 认证服务器收到RADIUS Access-Request 报文后进行验证，如果该用户的相关信息有效，则对该用户发起一次认证挑战（RADIUS Access-Challenge），要求用户提供密码。 6 . 交换机收到这条RADIUS Access-Challenge 报文后，将挑战请求用一条 EAP-Challenge Request 转发给客户端。 7 . 客户端接到挑战请求后，将用户密码进行加密处理，封装在EAP-Challenge Response 中返回给交换机。 8 . 交换机将用户的EAP-Challenge Response 封装为RADIUS Access-Request 报文转发给认证服务器。 9 . 认证服务器对用户的密码进行验证，如果验证失败，服务器将返回一条RADIUSAccess-Reject 报文，拒绝用户的认证请求；如果验证通过，服务器则发送一条RADIUS Access-Accept 报文给交换机。 1 0 . 交换机在接到认证服务器发来的RADIUS Access-Accept 之后，解除对客户端的访问控制，同时发送一条EAP-Success 报文给客户端通知其认证已经成功

AAA基本配置实验

实验案例 AAA 一、实验目的： 二、实验环境和需求 三、实验拓扑图 四、配置步骤 (一) 配置AAA的认证 1、搭好实验环境，配置路由器实现全网互通。 R1(config)# int f0/0 R1(config-if)# ip add 192.168.1.1 255.255.255.0 R1(config)# int f1/0 R1(config-if)# ip add 192.168.2.1 255.255.255.0 R1(config)# username cisco password cisco R1(configf)# line vty 0 15 R1(config-line)# login local 2、在路由器配置3A，实现登录路由器由AAA tacacs+服务器认证。 R1(config)# aaa new-model //启用3A R1(config)# tacacs-server host 192.168.2.2 //3A 服务器 R1(config)# tacacs-server key cisco //与3A服务器通讯密钥R1(config)# aaa authentication login vty group tacacs+ local line //login 登录路由器 // vty 自定义认证名称，需要调用，写成default不需调用。 // group tacacs+ local line 认证的方法，先从tacacs服务器验证用户，再本地，最后线路 R1(configf)# line vty 0 15 R1(config-line)# login authentication vty //调用

华为交换机aaa配置命令是什么.doc

华为交换机aaa配置命令是什么 交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。所以，以太网技术已成为当今最重要的一种局域网组网技术，网络交换机也就成为了最普及的交换机。下面是给大家整理的一些有关华为交换机aaa配置命令，希望对大家有帮助! 华为交换机aaa配置命令 [Huawei]aaa [Huawei-aaa]authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng [Huawei-aaa-authen-aaa]authentication-mode radius local 配置AAA认证模式为先Radius，如无响应则本地认证 [Huawei-aaa-authen-aaa]quit [Huawei-aaa]accounting-scheme ji_fei 配置AAA计费方案名为ji_fei [Huawei-aaa-accounting-ji_fei]accounting-mode radius 配置AAA计费模式为Radius服务器计费 [Huawei-aaa-accounting-ji_fei]accounting start-fail offline 配置当开始计费失败时，将用户离线 [Huawei-aaa-accounting-ji_fei]quit 二、配置Radius模板 [Huawei]radius-server template huawei_use 配置Raduis模板名为huawei_use [Huawei-radius-huawei_use]radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口 [Huawei-radius-huawei_use]radius-server authentication

AAA配置实例+注解

cisco上配置AAA，AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。 Authentication(认证)：对用户的身份进行认证，决定是否允许此用户访问网络设备。Authorization（授权）:针对用户的不同身份，分配不同的权限，限制每个用户的操作Accounting（计费）：对每个用户的操作进行审计和计费 我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。RADIUS是标准的协议，很多厂商都支持。TACACS+是cisco私有的协议，私有意味只有cisco可以使用，TACACS+增加了一些额外的功能。 当用户的身份被认证服务器确认后，用户在能管理交换机或者才能访问网络；在访问设备的时候，我们可以针对这个用户授权，限制用户的行为；最后我们将记录用在设备的进行的操作。 在认证的时候，有一下这些方法： 1.在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的收，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性。 2.使用一台或多台（组）外部RADIUS服务器认证 3.使用一台或多台（组）外部TACACS+服务器认证 用一个配置实例，说明交换机上操作 username root secret cisco#在交换机本地设置一个用户，用户名是root，密码是cisco。 aaa new-model#在交换机上激活AAA aaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序，先到tacacs+服务器认证，如果tacacs+服务器出现了故障，不能使用tacacs+认证，我们可以使用交换机的本地数据库认证，也就是用户名root密码cisco aaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证，那么用户就能获得服务器的允许，运行交换机的EXEC对话 aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可，如果tacacs+出现故障，则要通过本地数据库许可 aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间，记录的过程是从开始到结束 aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+ ! tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1 tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为cisco line vty04 login authentication default authorization exec default accounting exec default

H3C AAA认证配置

A A A典型配置举例用户的RADIUS认证和授权配置 1.组网需求 如所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 由一台iMC服务器（IP地址为）担当认证/授权RADIUS服务器的职责； Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813； Router向RADIUS服务器发送的用户名携带域名； SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。 2.组网图 图1-12SSH用户RADIUS认证/授权配置组网图 3.配置步骤 (1)配置RADIUS服务器（iMC PLAT ） 下面以iMC为例（使用iMC版本为：iMC PLAT (E0101)、iMC UAM (E0101)），说明RADIUS 服务器的基本配置。 #增加接入设备。 登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。 设置与Router交互报文时使用的认证、计费共享密钥为“expert”； 设置认证及计费的端口号分别为“1812”和“1813”； 选择业务类型为“设备管理业务”； 选择接入设备类型为“H3C”； 选择或手工增加接入设备，添加IP地址为的接入设备； 其它参数采用缺省值，并单击<确定>按钮完成操作。 添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。 若设备使用缺省的发送RADIUS报文的源地址，例如，本例中为接口 GigabitEthernet1/0/2的IP地址，则此处接入设备IP地址就选择。 图1-13增加接入设备 #增加设备管理用户。 选择“用户”页签，单击导航树中的[接入用户视图/设备管理用户]菜单项，进入设备管理用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理用户页面。 输入用户名“hello@bbb”和密码； 选择服务类型为“SSH”； 添加所管理设备的IP地址，IP地址范围为“～”； 单击<确定>按钮完成操作。

招投标用AAA认证哪些机构可以帮忙申请

招投标用AAA认证哪些机构可以帮忙申请 招标是一种国际上普遍运用的、有组织的市场交易行为，是贸易中的一种工程、货物、服务的买卖方式，相对于投标，称之为招标。很多企业为了在招标中更快的中标，一般都会对自身做一个完善的企业信用评估，并且，很多单位都会直接要求投标单位要有企业信用评估报告。并且企业信评等级越高对中标越有利。那么，一般AAA认证可以找哪些机构办理呢？ 河南中泰信用评价有限公司，主要从事企业招投标信用评估，信用评估报告，AAA信用评估，ISO9001质量体系认证，14001环境管理体系认证，AAA信用等级认证，28001职业健康安全认证，个人、企业信用等级评定，政府信用等级评定，银行资信证明，中国---行业500强认证，优秀企业家认定等。 自成立以来，我们一贯坚持独立、客观、公正、严谨、高效、科学的评级原则，加强

理论研究，提高业务水平和能力。评级工作不仅受到相关部门和机构的充分肯定，评级结果更是得到社会各界及广大投资者的普遍认可。为给客户提供专业权威的信用服务和适用新型评级产品；为加快实施“诚信兴企，品牌强国”、“信用河南”战略；同时为创建“重信用、讲信用、守信用”的社会信用环境，我公司始终坚持`诚信原则，促进信用建设，全面提升企业品牌的知名度、信誉度、影响力和竞争力。并且，我们评定的“信用等级证书”，具有很强的社会公信力，是企业品牌形象的合法标识。依据国家、本省信用政策被我们评定的“信用等级”企业，在政府采购、招投标、融资、上市、进出口等方面享受优先待遇，且具备极大的发展潜力。 中泰提醒大家，信用评估需要准备一下资料。 以下资料尽可能详尽，如果公司有该资料尽可能提供，没有不提供。公司所提供的资料会决定贵公司的评级级别，请贵公司积极配合： 1，营业执照、银行开户许可证、社保登记证。 2，近三年财务数据（审计报告）：资产负债表、利润表、现金流量表。 3，近三年内的十份至二十份的中标通知书或者销售合同（外省业绩优先提供，合同的话只需要第一页）。 4，近三年企业或个人获得的荣誉证书（不超过10份，优先提供国家级>省级>市级）。5，企业获得的行业资质证书（许可证、行业级别资质等证书） 6，企业或个人获得的专利、商标、软件著作权、工法证明（建筑行业）等知识产权证书。7，社保缴费凭证、税务扣款完税凭证等近三个月截图或扫描件或者相关部门盖章缴纳证