AAA认证.doc

04.AAA认证1 实验目的1. AAA的作用2. AAA的基本配置2 实验环境1. GNS3.0模拟器2. C3640-jk9s-mz.124-16.bin3. 本地物理网卡3 实验理论知识1. AAA概述1) AAA功能：AAA主要是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。AAA RouterRemote Client124Cisco ACS Server32) AAA包括认证、授权和审计1 Authentication，认证，验证用户是否可以获得访问权限你是谁2 Authorization，授权，授权用户可以使用哪些资源你能干什么3 Accounting，审计，记录用户使用网络资源的情况你干了些什么2. AAA使用的认证协议1) RADIUS：远程认证拨入用户服务，认证请求和授权请求是UDP 1812，审计请求UDP1813。RADIUS只对请求数据包加密，而传输数据包是以明文传递。2) TACACS+：终端访问控制器访问控制系统，Cisco私有，使用TCP49端口实现客户端和服务器的通信，加密所有数据包。3) Kerberos3. TACACS+认证过程4. TACACS+授权过程5. TACACS+数据包头部结构48162432位主版本号辅助版本号数据包类型序列号值标志会话ID（4字节）长度ID（4字节）下表是TACACS+数据包头部结构说明字段描述主版本号（Major Version）标识TACACS+主版本号辅助版本号（Minor Version）标识TACACS+辅助版本号，标识TACACS+协议在兼容原来版本的基础上经过几次修正数据包类型（Packet Type）定义这个数据包是认证、授权还是审计。TAC_PLUS_AUTHEN:=0x01（认证）TAC_PLUS_AUTHORL:=0x02（授权）TAC_PLUS_ACCT:=0x03（审计）序列号值（Sequence Number）表示当前会话的序列号。会话中第一个TACACS+的数据包序列号为1，每个后继数据包的序列号都在它前一个数据包序列号的基础上加1。因此，客户端发送的数据包序列号都是奇数，而TACACS+服务器发送的数据包序列号都是偶数标志（Flags）用点阵的方式表示各类标志。标志值可以表示这个数据包是否经过加密会话ID（Session ID）表示TACACS+会话的ID长度（Length）表示TACACS+数据包的总体长度6. 实施AAA的3种方式1) 使用路由器自带的AAA本地安全数据库，就是本地账户和密码，适用于小型网络。2) 在Windows服务器上使用Cisco Secure ACS，这种方式扩展性良好，适用于大中型网络。3) 使用Cisco Secure ACS 解决方案引擎设备，具有非常好的扩展性，适用于庞大的网络。7. AAA的配置命令1) 启用AAA服务Router(config)#aaa new-model2) 认证方法Router(config)#aaa authentication login default ？/指定用哪种认证方式，下表是？后参数参数描述enable使用enable 密码进行认证Group radius使用所有RADIUS服务器列表进行认证Group tacacs+使用所有TACACS+服务器列表进行认证Krb5使用Kerberos5进行认证Krb5-telnet当使用Telnet连接路由器时，使用Kerberos5 Telnet认证协议line使用线路密码进行认证local使用本地账户数据库进行认证Local-case与Local相同，但区分大小写的本地用户名认证none应用此方法时不使用认证3) 授权方法Router(config)#aaa authorization exec default ？ / 下表是？后参数参数描述Group radius使用RADIUS服务器列表进行认证。路由器等设备向RADIUS安全服务器请求授权信息。RADIUS通过关联属性值对来为正确的用户执行权限，这些属性值对保存在RADIUS服务器的数据库中Group tacacs+使用TACACS+服务器列表进行认证。路由器等设备向TACACS+安全服务器请求授权信息。TACACS+通过关联属性值对来为正确的用户执行权限，这些属性值对保存在TACACS+服务器的数据库中If-authenticated允许通过认证的用户去访问请求的功能local使用本地帐户数据库进行认证。本地数据库的功能和管理有限none无需授权（总是成功）。4) 审计方法Router(config)#aaa accounting ? /下表是？后参数参数描述Group radius使用RADIUS服务器列表进行审计。路由器等设备用审计记录的形式，向RADIUS安全服务器报告用户行为。审计记录中包括属性值对的信息，这些审计记录会被保存在服务器中Group tacacs+使用TACACS+服务器列表进行审计。路由器等设备用审计记录的形式，向TACACS+安全服务器报告用户行为。审计记录中包括属性值对的信息，这些审计记录会被保存在服务器中8. 启用认证、授权、审计调试的命令Router#debug aaa authenticationRouter#debug aaa authorizationRouter#debug aaa accounting4 实验拓扑5 实验内容1. 保证PC机和路由器能够ping通，IP地址自行设置2. 创建以自己名字命名的账户，并设置密码3. 启用AAA，并配置认证登录验证为local4. 开启认证调试，观察debug调试信息5. 在PC上telnet路由器，想一想能否telnet成功，如果成功所使用的账户和密码是什么？为什么是这个账户和密码？6. 在PC的Telnet路由器窗口，输