Cisco AAA 认证 总结

James

　　Authentication  认证
　　一：使用本地数据库
　　R1>en
　　R1(config)#aaa new-model(打开aaa认证)
　　R1(config)#aaa authentication login  default  local  配置任何登入采用Local本地用户数据库
　　R1(config)#username bdyd password bdyd  设置用户名+密码
　　R1(config)#end
　　解析：aaa authentication AAA BBB CCC
　　AAA： enable/exec/login  应用于什么地方,分别对应
　　enable（特权模式）EXEC（用户模式） Login登录模式
　　BBB：命名 default为缺省
　　CCC： enable/group/local/none  认证方法，分别对应
　　enable命令  group 服务器  local本地  none 不使用
　　注意：可以同时设置多个，例如
　　aaa authentication login  default local none
　　local不行，非主观不行（不是输入错误导致失败），就不使用（none）

http://www.net527.cn/uploads/allimg/100714/131SaC0-0.jpg

　　二：当使用服务器时，常用的协议
　　Tacacs+ : TCP/IP     entire body        cisco
　　Radius  : UDP/IP     password only      open/ietf
　　R1>en
　　R1(config)#aaa new-model
　　R1(config)#aaa authentication login  default group tacacs+/radius
　　R1(config)#tacacs-swrver host 192.168.0.101 key sisco
　　#radius-server host 192.168.0.101 key sisco
　　应用：R1(config)# line vty 0 4
　　R1(config-line)#login authentication BBB(名字)
　　对应服务器：ACS软件
　　network configuration ,“AAA Entey”中输入AAA Client Hostname，ip地址和key，在
　　“Authenticate” 中选择Radius ，然后点击“Submit+Apply”；添加用户和组；  点击”user setup“
　　测试：
　　R1(config)#test aaa
　　Authorization 授权
　　服务器： ACS的界面左边的share profile components  设置授权命令，然后将命令集运用到用户组或者
　　用户，在用户组属性当中进行设置
　　R1>en
　　R1(config)#aaa new-model
　　R1(config)#aaa authorization exec/network default tacacs+/radius
　　exec      For starting an exec (shell).
　　network  For network services. (PPP, SLIP, ARAP)
　　应用：R1(config)# line vty 0 4
　　R1(config-line)#authorization exec BBB(名字)

http://www.net527.cn/uploads/allimg/100714/131S93A9-1.jpg

　　Accoutiny
　　R1(config)# aaa new-model
　　R1(config)# aaa accounting exec default start-stop group tacacs+
　　R1(config)# lin vty 0 4
　　R1(config)# accounting exec default

http://www.net527.cn/uploads/allimg/100714/131S94P3-2.jpg

　　服务器： 点击ACS界面左边的reports and activity按钮，然后选择TACACS+  Accounting可以具体浏览某
　　一天的记
　　ppp验证与计时
　　R1： 用本地数据库
　　R1(config)# aaa authentication ppp jxxh group tacacs+
　　R1(config)# int s0/0
　　R1(config-if)# encapsulation ppp
　　R1(config-if)# ppp authentication pap jxxh
　　R1(config-if)# ppp pap sent-username r1 password 123
　　R2： 用ACS服务器
　　R2(config)#username r1 password 123
　　R2(config)# int s1
　　R2(config-if)# encapsulation ppp
　　R2(config-if)# ppp authentication pap
　　R2(config-if)# ppp pap sent-username test password test

Jorbin

感谢楼主，