思科网络设备3A认证的开启及命名3A认证的配制方法.doc

思科网络设备3A认证的开启及命名3A认证的配制方法一3A认证概述在Cisco设备中，许多接口，许多地方，为了安全，都需要开启认证服务，比如我们通常配置的console下的密码，进入Privileged EXEC模式的enable密码，VTY线路下的密码，以及其它二层接口的认证密码等等。这些密码配置在哪里，那里就开启了相应的认证服务。并且这些认证服务方式是单一的，也没有备份认证方式，更重要的是，这些密码只能读取本地，却不可以通过读取远程服务器的认证方式来给自己提供认证服务。要想将一个接口的认证方式调用到另外一个接口，或者让某接口使用远程服务器的认证方式，那就需要AAA中的认证来实现。 AAA中的认证可以给设备提供更多的认证方式，AAA认证就相当于一个装有认证方式的容器一样，里面可以有多个认证方式，当这个容器被安装在某个接口，那么这个接口也就拥有了容器中所有的认证方式。而几乎所有的认证方式都可以被放入这个容器中，包含远程服务器的认证方式。二常见的3A认证配置方法（1）tacacs服务器和密码的宣告通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置，配置命令如图1所示。图1 全局下tacacs服务器及密码的宣告方法在宣告tacacs服务器时，为了3A认证的冗余性，我们可以在全局模式下同时宣告多个tacacs服务器地址。配置了多个tacacs服务器地址后，在进行3A认证时，设备会根据tacacs服务器配置的先后顺序逐一进行认证，直到找到一台可用的tacacs服务器，3A认证成功为止。如图2。图2 配置多个tacacs服务器 这种宣告方式有一个缺陷，虽然我们可以同时宣告多个tacacs服务器，但是却只能宣告一个密码，也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码，这样不利于网络设备的安全管理。为了解决这一问题，我们可以将tacacs服务器与密码同时进行宣告，如图3.图3 tacacs服务器与密码同时宣告 这种宣告方式解决了全局模式下只能宣告一个密码的问题，并且这种方式同样也可以同时宣告多条，和传统的宣告方式一样，这种新的宣告方式也会根据先后顺序进行逐条的调用。特别要注意的是这种新的宣告方式优先级比传统的宣告方式要高，当这两种宣告方式同时存在时，设备会优先调用这种新宣告方式宣告的条目。（2）“认证”“授权”“审计”的配置 服务器和密码宣告完成后，就需要开始进行3A认证中“认证”，“授权”，“审计”的配置。认证：顾名思义就是对想要启用3A认证的设备进行身份的验证。授权：在完成“认证”这一步骤的设备上，根据接入用户的等级不同，赋予用户不同级别的操作权限。审计：对不同等级用户的操作过程进行记录。具体的配置方法如图4所示。 图4 “认证”“授权”“审计”的配置值得注意的是，图中所示的配置条目，将表单的名字设为了default，即默认表单，使用这个名字的表单会默认的将3A认证应用到设备的所有接口上。我们也可以不使用default表单而自己为表单命名，但要注意，如果使用了自己命名的表单，表单是不会自动应用到接口上的，我们需要手动的在接口下进行调用,如图5，图6。图5 使用default以外的表单名图6 在接口下的调用方式三命名3A认证的配置方法在实际的生产环境中常常会出现需要在一台设备上同时开启两个3A认证的情况。以大连分行为例，在外联区的LG002和LG003上需要同时开启两个3A认证，一个用于为下接的无线自助设备分配地址，另一个用于常规的登录验证。如果遇到这种情况，使用之前普通的3A认证方式是无法实现的。我们需要使用“命名3A认证”的方式进行配置。配置方法如图7所示。图7 命名3A认证的配置方法如图所示，我们需要创建两个命名的表单，一个名为NEW，用于登录设备的认证；另一个名为DL用于下联设备的地址分发，在我们创建的表单中我们可以直接的对服务器地址及密码进行指定。命名的表单创建完成后，我们还需要改变“认证”“授权”中的验证方式，将之前使用的group tacacs+ local改成group NEW local以及group DL local，即先使用“NEW”和“DL”这两个表单中定义的验证方式进行验证，再进行本地验证。在“审计”中只需将之前常用的group tacacs+改成group NEW和group DL即可。这样就可以实现在同一个设备上同