欢迎来到天天文库
浏览记录
ID:17647592
大小:82.00 KB
页数:12页
时间:2018-09-04
《yeslab秦柯ccsp视频笔记-cisco aaa详解》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、http://bbs.56cto.com中国思科华为3COM网络技术社区Authentication:用于验证用户的访问,如loginaccess,pppnetworkaccess等。Authorization:在Autentication成功验证后,Authorization用于限制用户可以执行什么操作,可以访问什么服务。Accouting:记录Authentication及Authorization的行为。PartI.安全协议1>TerminalAccessControllerAccessControlSystemPlus(TACACS+)Cisco私有的协议。加密
2、整个发给tacacs+server的消息,用户的keys。支持模块化AAA,可以将不同的AAA功能分布于不同的AAAServer甚至不同的安全协议,从而可以实现不同的AAAServer/安全协议实现不同的AAA功能。配置命令:Router(config)#tacacs-serverhostIP_address[single-connection][port{port_#}][timeout{seconds}][key{encryption_key}]Router(config)#tacacs-serverkey{encryption_key}注:(1)single-co
3、nnection:为Router与AAAServer的会话始终保留一条TCP链接,而不是默认的每次会话都打开/关闭TCP链接。(2)配置两个tacacs-serverhost命令可以实现tacacs+的冗余,如果第一个serverfail了,第二个server可以接管相应的服务。第一个tacacs-serverhost命令指定的server为主,其它为备份。(3)配置inboundacl时需要permittacacs+的TCPport49。(4)如果两个tacacs-server使用不同的key,则需要在tacacs-serverhost命令中指定不同的encrypti
4、on_key,否则可以使用tacacs-serverkey统一定制。但tacacs-serverhost命令中的key定义优先于tacacs-serverkey命令。Troubleshooting:命令:#showtacacs#debugtacacs关于TACACS+的操作信息。#debugtacacsevents比debugtacacs更详细的信息,包括router上运行的TACACS+processes消息。Router#showtacacsTacacs+Server :10.0.0.10/49 Socketopens:
5、 3 Socketcloses: 3 Socketaborts: 0 Socketerrors: 0 SocketTimeouts: 0 FailedConnectAttempts: 0 TotalPacketsSent: 42 TotalPacketsRecv: 41 ExpectedReplies:
6、 0 http://bbs.56cto.com中国思科华为3COM网络技术社区Nocurrentconnection2>RemoteAuthenticationDial-InUserService(RADIUS)RADIUS是一个开放的标准,定义于RFC2865和2865。RADIUS使用一个共享的密钥,并且只加密用户的keys,而不是TACACS+的整个AAA消息。用户的keys不会明文在网络上传递。RADIUS应用范围:(1)使用multiplevendors设备,并且需要一个单独的安全协议用于AAA。(2)需要实现资源记录,如跟踪用户登录route
7、r多长时间及用户访问网络多长时间。(3)smartcardauthenticationsystems只支持RADIUS。(4)在用户初始化访问一个设备时,对他进行preauthentication。RADIUS的使用限制:(1)不支持AppleTalk'sRemoteAccessProtocol(ARAP),theNetBIOSFrameControlProtocol(NBFCP),NetWare'sAsynchronousServeicesInterface(NASI)及X.25PAD链接。(2)RAIUDS不支持模块化AAA操作,即只
此文档下载收益归作者所有
