AAA基礎知識

AAA采用C/S結構，客戶端運行于NAS上，服務器上集中管理用戶信息
用戶想訪問網絡資源，從而和網關建立連接，網關把用戶的認證、授權、計費信息透傳給radius服務器審計計費
AAA中的NAS指的是Network Access Server，網絡接入服務器（指的是路由器交換機等網絡設備）
網絡設備到AAA服務器使用的是Radius協議，1812認證端口、1813計費端口

Radius工作環節

radius服務器的組成:User、Clients、Dictionary
user:用于用戶存儲用戶信息（如用戶名、口令以及使用的協議、ip地址等配置信息）
clients:用于存儲radius客戶端信息（如接入設備的共享密鑰、IP地址等）
dictionary:用于存儲radius協議中的屬性和屬性值含義的信息

radius客戶端和radius服務器之間認證消息的交互式通過共享密鑰完成的，共享密鑰不能通過網絡傳輸，增加了信息交互的安全性
為了防止用戶密碼在不安全的網絡上傳遞時被竊取，在傳輸過程中對密碼進行了加密

報文格式：

認證方式:

1、不認證：對用戶非常信任，不對其認證，一般情況不采用這種方式

2、本地認證：將用戶信息配置在接入服務器上。優點:速度快，成本低  缺點:硬件條件受限
3、遠程認證：與radius協議配合使用，接入服務器作為客戶端，與radius服務器通信

授權方式:
1、直接授權:直接授權通過

2、本地授權:根據本地服務器上的賬號配置進行相關授權

3、TACACS授權:由Tacacs服務器對用戶授權
4、If-authenticated授權:
5、RADIUS認證授權:radius協議的認證和授權是綁定在一起的，不能單獨使用RADIUS進行授權

計費方式:審計動作
1、不計費
2、遠端計費:通過RADIUS服務器或TACACS服務器進行遠端計費

AAA采用C/S、client是被管理的資源、server集中存放用戶信息

RADIUS:遠程認證撥號用戶服務：保護網絡不受未授權訪問的干擾，常被應用在要求較高的安全性、又要求維持遠程用戶訪問的各種網絡環境中

配置AAA
創建AAA域并配置相關屬性
1、配置用戶使用的AAA方案

2、創建ISP域

3、配置ISP域的狀態
4、配置可接入用戶數量的最大值
5、配置計費可選開關

radius scheme AAA #創建radius方案名稱
 primary authentication 172.16.18.1 1812#配置主認證服務器IP地址
 primary accounting 172.16.18.1 1813 #配置主審計服務器IP地址
 key authentication cipher 123456 #與認證服務器交互報文時的共享密鑰為123456
 key accounting cipher 123456 #與審計服務器交互報文時的共享密鑰為123456
 user-name-format without-domain #不攜帶域名接入用戶通常是以“userid@isp-name”格式

 nas-ip 172.16.18.254 本設備地址(Radius客戶端地址)
 server-type extended #服務類型為擴展

security-policy-server 172.16.18.253 部署安全策略服務器

domain ISP #創建域名為ISP
 authentication default radius-scheme AAA #認證入口
 authorization default radius-scheme AAA #授權入口
 accounting default radius-scheme AAA #審計入口
user-interface vty 0 4
 authentication-mode scheme

display domain
display domain name default_admin
display authentication-scheme default
display accounting-scheme default
service-scheme 授權方式

AAA 在路由器上可以完成認證、授權功能

CiscoAAA配置信息

Router(config)#aaa new-model     啟用aaa  
Router(config)#aaa authentication attempts login 2  嘗試登陸2次
Router(config)#aaa authentication  fail-message C   輸入錯誤密碼報錯信息
Enter TEXT message.  End with the character 'C'.
login invalid!
C
Router(config)#aaa authentication password-prompt  logininvalid! 

aaa認證密碼提示為:logininvalid! （輸入認證密碼即可）
Router(config)#aaa authentication  username-prompt passwd:        

aaa認證用戶名提示為:passwd:（輸入用戶名即可）
Router(config)#aaa authentication login  local local       aaa認證本地認證方式

*May 16 09:55:57.240: %AAAA-4-BADMETHNAME: Bad authentication method-list name "local" (this is only a warning)
Router(config)#username ma password guangjie  用戶名ma 密碼guangjie
Router(config)#line vty  0 4         
Router(config-line)#login authentication local  登錄認證為local（local為aaa登錄方式的名稱）
AAA: Warning authentication list "local" is not defined for LOGIN.
Router(config-line)#transport input telnet   只允許telnet

Router(config-line)#rotary xx （X表示數字，修改后的端口以3000為基數再加上X，假設X=10，則登陸telnet端口是3010）

Router(config-line)#privilege level 15       權限為15級別
Router(config)#access-list 100 deny tcp any any eq telnet 定義網段

Router(config)#access-list 100 permit ip any any

Router(config-line)#access-class 100 in     調用

很多時候我們操作太快很容易操作失誤，遠程斷開連接，沒保存設備重啟一下即可，遠程配置不要急于求快（斷開不要老想往人家哪里跑）

原因:
1、設備數量有關、用戶名密碼不一致、不能集中化管理
2、用戶數量、用戶多、不能集中化管理
3、用戶頻繁變動

RADIUS和HWTACACS區別：