学习cisco AAA简单易懂教程

kution

一、简介　　AAA是Authentication(认证)Authorization授权 Account记帐的简称；
　　它们不是必须的也不是要同时一起使用的；
　　他们可以使用路由器设备本地数据库，也可以使用外部数据库（ACS）；
　　首先我们要认证，即通过密码验证；我们就算没有设置其实也用到了认证，就是登陆路由器要输入的密码，这个叫enable，
　　我们在配置了，username abc password aaa 使用这个帐号的话，叫local;
　　这二种是本地的数据库，如果要用到认证服务器，如　tacacs+ radius 就属于group 服务器组方式了，这时你必须要在tacacs+ radius中选一个，同时还最多可选三个其它的认证方式；当然如果你对你的服务器和网络环境有信心的话可以不选。
　　二、配置教程
　　一、使用它们都是三个步骤
　　1、建立帐户数据库（本地或认证服务器）；
　　2、定义列表；
　　3、应用到接口和链路；
　　二、首先我们要启用AAA功能　
　　aaa new-model
　　三、一般来说第二步定义一个本地数据库防止配置失误造成无法登陆
　　Username abc password aaa
　　四、定义认证配置
　　认证相当于在问你是谁，你要回答我是哪个；但不可能不停的在问就算不烦嗓子也疼啊，只有在进门时我会问下你是谁，开保险柜时我在问下你是谁，或者是检查指纹测试瞳孔什么的等等；所以我们要对动作进行认证定义。
　　aaa authentication行为　列表名　认证方法
　　1、行为主要有以下三种：
　　aaa authentication login ――――――当有一个登陆行为时进行认证；
　　aaa authentication ppp ――――――对基于PPP协议的一些网络应用进行认证；
　　aaa authentication enable ――――――对使用enable命令进入特权模式时进行认证；
　　2、列表名是自己定义的，这样我们可以把各种认证方式互相组合保存成一个个列表，用的时候方便，修改起来也方
　　便，我改了一个列表里的认证方式那么所有使用这个列表的地方都改了，不需要去一个个地方去改了。
　　Dedautl列表是一个系统自己建立的列表名作为缺省列表。它与我们自己建的列表没有任何区别，只不过他是系统
　　建的而已。
　　3、认证方法，就是指我们是查口令呢还是看指纹还是其它等等，也就是把我们的回答和谁进行分析比较。主要有以
　　下几种：
关键字  描述  enable  使用enabel口令认证；  krb5  使用Kerberos5来认证；  line  使用线路口令来认证；  local  使用本地用户数据库来认证；  none  不认证；  group  radius  使用radius服务器来认证；  group  tacacs+  使用tacacs+服务器来认证；　　每个列表中必须定义一种认证方法，最多可以定义四种方法，当第一种认证不通过再使用第二种，以此类推。　
　　例如我们定义
　　aaa  authentication  login  二号方案  group tacacs+ local
　　//我们定义了一个名叫二号方案认证方式，就是先去tacacs+服务器验证，如果不成功在试试用本地帐号来试；
　　aaa  authentication  login  三号方案 group local enable
　　//我们定义了一个名叫三号方案认证方式，就是先用本地帐号验证，如果不成功就用enable密码来验证；
　　五、应用到接口和链路
　　我们上面做了那么多但是还没有效果为什么呢，就好像我们做好了报警器，指纹验证器但没装到门上你说可有效果，那当然是不行的了，我们是定义了当登陆时就启用一个列表名字叫二号方案的认证方式，但只有我们把他装到门上才能有效果啊，有人说太麻烦应该定义好了就能用，那就惨了，你给自己家的门上装了二号方案没关系，如果楼道门、院子门，都给装上了那就有问题了，所以我们要把定义好的认证方法列表装到我们需要使用认证的门上，例如我们可能对Telnet要认证，但通过console登陆的就不要认证。
　　line vty 0 //我们先要进入接口
　　aaa authentication 二号方案 //线路vty0使用名为二号方案的方式进行认证；
　　line vty 1
　　aaa authentication 三号方案
　　六、配置tacace服务器
　　可能的情况下还需要告诉路由器认证服务器IP地址和KEY
　　Router(config)#tacacs-server host　1.1.1.1  key 　cisco12345
　　如果是Radius服务器的话就使用下面的命令：
　　Router(config)#radius-server host 1.1.1.1　key　 cisco12345
　　七、整理一下上面的命令看看在路由器上的实际配置情况
　　Router>en
　　Router#conf t
　　Enter configuration commands, one perline.
　　End with CNTL/Z.
　　Router(config)#aaa new
　　Router(config)#aaa new-model
　　Router(config)#username aaa password abc
　　Router(config)#aaa authe
　　Router(config)#aaa authentication log
　　Router(config)#aaa authentication loginfirst group tac
　　Router(config)#aaa authentication loginfirst group tacacs+ loc
　　Router(config)#aaa authentication loginfirst group tacacs+ local
　　Router(config)#aaa auth
　　Router(config)#aaa authent
　　Router(config)#aaa authentication log
　　Router(config)#aaa authentication loginsecond loc
　　Router(config)#aaa authentication loginsecond local ena
　　Router(config)#aaa authentication loginsecond local enable
　　Router(config)#line vty 0
　　Router(config-line)#login authenticationfirst
　　Router(config-line)#line vty 1
　　Router(config-line)#login authenticationsecond
　　Router(config-line)#
　　至此一个认证的完整配置出来了。但水往低处流，人往高处走；我们可不能学萨科奇，低标准要求自己，有了认证后我们还想让管理更细致些于是我们再学授权和记帐，请看下一回