AAA認(rèn)證功能介紹

北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 1 19 OLT AAA 認(rèn)證功能介紹認(rèn)證功能介紹 VESION 1 0 2011 年年 7 月月 7 日日 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 2 19 AAA 認(rèn)證功能介紹認(rèn)證功能介紹 1 一 一 相關(guān)知識點(diǎn)介紹相關(guān)知識點(diǎn)介紹 3 1 1 AAA 簡介簡介 3 1 1 1 認(rèn)證功能認(rèn)證功能 3 1 1 2 1 1 2 授權(quán)功能授權(quán)功能 3 1 1 3 1 1 3 計(jì)費(fèi)功能計(jì)費(fèi)功能 3 1 2 ISP Domain 簡介簡介 4 1 3 Radius 協(xié)議簡介協(xié)議簡介 4 1 3 1 RADIUS 服務(wù)的服務(wù)的 3 3 個(gè)部分個(gè)部分 4 1 3 2 1 3 2 RADIUSRADIUS 的基本消息交互流程的基本消息交互流程 4 1 4 TACACS TACACS 協(xié)議簡介協(xié)議簡介 5 1 5 RADIUSRADIUS 和和 TACACS TACACS 實(shí)現(xiàn)的區(qū)別實(shí)現(xiàn)的區(qū)別 7 1 5 1 RADIUS1 5 1 RADIUS 使用使用 UDPUDP 而而 TACACS TACACS 使用使用 TCPTCP 7 1 5 2 1 5 2 加密方式加密方式 7 二 二 OLT 上的上的 AAA 功能特點(diǎn)功能特點(diǎn) 8 三 三 AAA 認(rèn)證命令行配置認(rèn)證命令行配置 8 3 1 AAA 配置配置 8 3 2 配置配置 ISP 域域 9 3 3 配置配置 RADIUS 協(xié)議協(xié)議 10 3 4 3 4 配置配置 TACACS TACACS 協(xié)議協(xié)議 11 四 四 AAA 認(rèn)證認(rèn)證 server 簡介簡介 12 4 1 安裝環(huán)境介紹 安裝環(huán)境介紹 12 4 2 安裝和簡要配置安裝和簡要配置 12 五 五 配置案例配置案例 13 5 1 Telnet 用戶通過用戶通過 RADIUS 服務(wù)器認(rèn)證的應(yīng)用配置服務(wù)器認(rèn)證的應(yīng)用配置 13 5 2 Telnet 用戶通過用戶通過 TACACS 服務(wù)器認(rèn)證的應(yīng)用配置服務(wù)器認(rèn)證的應(yīng)用配置 15 5 3 Telnet 用戶通過雙服務(wù)器實(shí)現(xiàn)主備冗余的用戶通過雙服務(wù)器實(shí)現(xiàn)主備冗余的 radius 認(rèn)證認(rèn)證 17 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 3 19 一 一 相關(guān)知識點(diǎn)介紹相關(guān)知識點(diǎn)介紹 1 1 AAA 簡介簡介 AAA 是Authentication Authorization and Accounting 認(rèn)證 授權(quán)和計(jì)費(fèi) 的簡 稱 它提供了一個(gè)對認(rèn)證 授權(quán)和計(jì)費(fèi)這三種安全功能進(jìn)行配置的一致性框架 實(shí)際上 是對網(wǎng)絡(luò)安全的一種管理 這里的網(wǎng)絡(luò)安全主要是指訪問控制 包括 哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器 具有訪問權(quán)的用戶可以得到哪些服務(wù) 如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計(jì)費(fèi) 針對以上問題 AAA 必須提供認(rèn)證功能 授權(quán)功能和計(jì)費(fèi)功能 1 1 1 認(rèn)證功能認(rèn)證功能 AAA 支持以下認(rèn)證方式 不認(rèn)證 對用戶非常信任 不對其進(jìn)行合法檢查 一般情況下不采用這種方式 本地認(rèn)證 將用戶信息 包括本地用戶的用戶名 密碼和各種屬性 配置在設(shè)備 上 本地認(rèn)證的優(yōu)點(diǎn)是速度快 可以降低運(yùn)營成本 缺點(diǎn)是存儲信息量受設(shè) 備硬件條件限制 遠(yuǎn)端認(rèn)證 支持通過 RADIUS 協(xié)議或TACACS 協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證 設(shè)備作為客戶 端 與RADIUS 服務(wù)器或TACACS 服務(wù)器通信 對于RADIUS 協(xié)議 可以采用標(biāo)準(zhǔn)或擴(kuò) 展的RADIUS 協(xié)議 1 1 2 1 1 2 授權(quán)功能授權(quán)功能 AAA 支持以下授權(quán)方式 直接授權(quán) 對用戶非常信任 直接授權(quán)通過 本地授權(quán) 根據(jù)設(shè)備上為本地用戶帳號配置的相關(guān)屬性進(jìn)行授權(quán) RADIUS 認(rèn)證成功后授權(quán) RADIUS 協(xié)議的認(rèn)證和授權(quán)是綁定在一起的 不能單獨(dú) 使用RADIUS 進(jìn)行授權(quán) TACACS 授權(quán) 由TACACS 服務(wù)器對用戶進(jìn)行授權(quán) 1 1 3 1 1 3 計(jì)費(fèi)功能計(jì)費(fèi)功能 AAA 支持以下計(jì)費(fèi)方式 不計(jì)費(fèi) 不對用戶計(jì)費(fèi) 遠(yuǎn)端計(jì)費(fèi) 支持通過 RADIUS 服務(wù)器或TACACS 服務(wù)器進(jìn)行遠(yuǎn)端計(jì)費(fèi) 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 4 19 AAA 一般采用客戶端 服務(wù)器結(jié)構(gòu) 客戶端運(yùn)行于被管理的資源側(cè) 服務(wù)器上集中 存放用戶信息 因此 AAA 框架具有良好的可擴(kuò)展性 并且容易實(shí)現(xiàn)用戶信息的 集中管理 1 2 ISP Domain 簡介簡介 ISP 域即ISP 用戶群 一個(gè)ISP 域是由屬于同一個(gè)ISP 的用戶構(gòu)成的用戶群 在 userid isp name 形式的用戶名中 后的 isp name 即為ISP 域的 域名 接入設(shè)備將 userid 作為用于身份認(rèn)證的用戶名 將 isp name 作為域名 在多 ISP 的應(yīng)用環(huán)境中 同一個(gè)接入設(shè)備接入的有可能是不同ISP 的用戶 由于 各ISP 用戶的用戶屬性 例如用戶名及密碼構(gòu)成 服務(wù)類型 權(quán)限等 有可能各不相同 因此有必要通過設(shè)置ISP 域的方法把它們區(qū)別開 在 ISP 域視圖下 可以為每個(gè)ISP 域配置包括使用的AAA 策略 使用的RADIUS 方案等 在內(nèi)的一整套單獨(dú)的 ISP 域?qū)傩?1 3 Radius 協(xié)議簡介協(xié)議簡介 RADIUS Remote Authentication Dial In User Service 遠(yuǎn)程認(rèn)證撥號用戶服務(wù) 是一種分布式的 客戶端 服務(wù)器結(jié)構(gòu)的信息交互協(xié)議 能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問 的干擾 常被應(yīng)用在既要求較高安全性 又要求維持遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境 中 1 3 1 RADIUS 服務(wù)的服務(wù)的3 3個(gè)部分個(gè)部分 協(xié)議 RFC 2865 和RFC 2866 基于UDP IP 層定義了RADIUS 幀格式及其消 息傳輸機(jī)制 并定義了1812 作為認(rèn)證端口 1813 作為計(jì)費(fèi)端口 服務(wù)器 RADIUS 服務(wù)器運(yùn)行在中心計(jì)算機(jī)或工作站上 包含了相關(guān)的用戶認(rèn) 證和網(wǎng)絡(luò)服務(wù)訪問信息 客戶端 位于撥號訪問服務(wù)器設(shè)備側(cè) 可以遍布整個(gè)網(wǎng)絡(luò) 1 3 2 1 3 2 RADIUSRADIUS 的基本消息交互流程的基本消息交互流程 RADIUS 客戶端 交換機(jī) 和RADIUS 服務(wù)器之間通過共享密鑰來認(rèn)證交互的消息 增強(qiáng)了安全性 RADIUS 協(xié)議合并了認(rèn)證和授權(quán)過程 即響應(yīng)報(bào)文中攜帶了授權(quán)信息 用 戶 交換機(jī) RADIUS 服務(wù)器之間的交互流程如下圖所示 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 5 19 1 4 TACACS 協(xié)議簡介協(xié)議簡介 在計(jì)算機(jī)網(wǎng)絡(luò)中 TACACS Terminal Access Controller Access Control System Plus 是一種為路由器 網(wǎng)絡(luò)訪問服務(wù)器和其他互聯(lián)計(jì)算設(shè)備通過一個(gè)或多個(gè)集中的服務(wù)器 提供訪問控制的協(xié)議 TACACS 提供了獨(dú)立的認(rèn)證 授權(quán)和記賬服務(wù) 盡管RADIUS在用戶配置文件中集成了認(rèn)證和授權(quán) TACACS 分離了這兩種操作 另外 的不同在于TACACS 使用傳輸控制協(xié)議 TCP 而RADIUS使用用戶報(bào)文協(xié)議 UDP 多數(shù)管理員 建議使用TACACS 因?yàn)門CP被認(rèn)為是更可靠的協(xié)議 TACACS 協(xié)議的擴(kuò)展為最初的協(xié)議規(guī)范提供了更多的認(rèn)證請求類型和更多的響應(yīng)代碼 TACACS 使用TCP端口49 包括三種獨(dú)立的協(xié)議 如果需要 能夠在獨(dú)立的服務(wù)器上 實(shí)現(xiàn) TACACS 服務(wù)器的典型部署場景如下圖 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 6 19 TACACS 認(rèn)證因?yàn)槭腔?tcp 的認(rèn)證 其報(bào)文交互性要求實(shí)時(shí) 其具體過程如下圖所 示 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 7 19 1 5 RADIUSRADIUS 和和 TACACS TACACS 實(shí)現(xiàn)的區(qū)別實(shí)現(xiàn)的區(qū)別 1 5 1 RADIUS1 5 1 RADIUS 使用使用 UDPUDP 而而 TACACS TACACS 使用使用 TCPTCP TCP 提供比 UDP 更多的高級特性 TCP 是面向連接的可靠傳輸服務(wù) 但 UDP 只提供 最優(yōu)的傳輸 因而 RADIUS 需要額外的代碼來實(shí)現(xiàn)例如重傳 超時(shí)等機(jī)制 所有這些在 TCP 中已是固有的特性 1 5 2 1 5 2 加密方式加密方式 RADIUS 僅對密碼本身進(jìn)行加密 對報(bào)文的其他部分并未加密是明文傳輸?shù)?這些 信息可能通過第三方軟件捕獲 TACACS 對整個(gè)數(shù)據(jù)包進(jìn)行加密 僅留下 TACACS 的數(shù)據(jù) 包頭 在數(shù)據(jù)包頭中有一個(gè)標(biāo)識位表示該數(shù)據(jù)包是加密的還是未加密的 未加密的數(shù)據(jù) 包做調(diào)試用 而一般應(yīng)用中的則是加密的 因而 TACACS 對整個(gè)數(shù)據(jù)包加密保證了客戶 端與服務(wù)器之間通信的安全性 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 8 19 二 二 OLT 上的上的 AAA 功能特點(diǎn)功能特點(diǎn) OLT 上的 AAA 認(rèn)證功能設(shè)計(jì)也是按照 AAA 框架配置 域相關(guān)配置 radius 服務(wù)器 相關(guān)配置 tacacs 服務(wù)器相關(guān)配置 4 個(gè)模塊設(shè)計(jì)相關(guān)的功能 命令集 OLT 開發(fā) AAA 認(rèn)證的主要目的是實(shí)現(xiàn) OLT 登錄用戶的集中管理 集中部署 避免 在每臺 OLT 上添加 刪除用戶帶來麻煩 對此 OLT 上的 AAA 認(rèn)證功能和理論上的 AAA 認(rèn)證以及 OLT 本地認(rèn)證功能的差別 進(jìn)行了簡單整理 主要如下 序號序號OLTOLT 本地認(rèn)證本地認(rèn)證 我們我們 OLTOLT 上的上的 AAAAAA 認(rèn)證實(shí)現(xiàn)的認(rèn)證實(shí)現(xiàn)的 功能功能 理論上的理論上的 AAAAAA 認(rèn)證實(shí)認(rèn)證實(shí) 現(xiàn)的功能現(xiàn)的功能 1NO 部分支持 利用 radius 認(rèn)證實(shí)現(xiàn)網(wǎng)絡(luò)管 理員對 OLT 登錄操作的集中管 理 哪些用戶可以訪問網(wǎng) 絡(luò)服務(wù)器 2NO 部分支持 不同域沒有區(qū)分服務(wù)等級的作 用 具有訪問權(quán)的用戶可 以得到哪些服務(wù) 3NONO 如何對正在使用網(wǎng)絡(luò) 資源的用戶進(jìn)行計(jì)費(fèi) 4 啟用遠(yuǎn)端認(rèn)證后 本地認(rèn) 證配置的用戶名 密碼將失 效 OLT 超級管理員用戶不受 AAA 認(rèn)證約束 5 config login authentication enable 依然生效 只要通過 AAA 認(rèn)證的都是管理 員權(quán)限 不再細(xì)分 三 三 AAA 認(rèn)證命令行配置認(rèn)證命令行配置 3 1 AAA 配置配置 命令說明 GFA6900 config config login auth aaa auth GFA6900 config config login auth local 配置 AAA 認(rèn)證為本地認(rèn)證或者遠(yuǎn) 端認(rèn)證 缺省為本地認(rèn)證 本地認(rèn)證時(shí)本 地用戶名 密碼配置有效 GFA6900 config config aaa authentication enable GFA6900 config config aaa authentication disable 配置 AAA 認(rèn)證啟用或者禁用 缺省是禁用 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 9 19 GFA6900 config config login aaa time 配置 AAA 認(rèn)證時(shí) client 端提交用 戶名密碼后等待時(shí)間 缺省時(shí)間是 30 秒 3 2 配置配置 ISP 域域 ISP 域即 ISP 用戶群 一個(gè) ISP 域?qū)儆谕粋€(gè) ISP 的用戶構(gòu)成 在 user name isp name 形式的用戶名中 后的 isp name 即為 ISP 域的域名 接 入設(shè)備將 user name 作為用戶身份認(rèn)證的用戶名 將 isp name 作為域名 命令說明 GFA6900 config create isp domain GFA6900 config delete isp domain 創(chuàng)建 刪除一個(gè) ISP 域 Default 域不能被刪除 域名規(guī)則 首字符只能為大小寫 字母 domain 不能包含除 a z A Z 0 9 以外的字符 domain 的長度不能超過 20 個(gè)字 節(jié) GFA6900 config show isp domain GFA6900 config show isp domain 查看當(dāng)前存在的 ISP 域 OLT 上同時(shí)最多可以包含 5 個(gè) ISP 域 包含缺省的 default 域 GFA6900 config config isp domain default username complete GFA6900 config config isp domain default username incomplete 配置用戶輸入時(shí)是否要輸入帶域 名的用戶名 缺省是 complete 要輸入的 不帶域名的用戶名系統(tǒng)認(rèn)為是 default 域的用戶 GFA6900 config config isp domain default aaa protocol radius GFA6900 config config isp domain default aaa protocol tacacs 配置在 default 域中使用 radius 協(xié)議或者使用 tacacs 協(xié)議 在所有域中缺省使用 radius 協(xié)議 GFA6900 config config isp domain default authentication mode independent GFA6900 config config isp domain default authentication mode primary backup 配置在 default 域中認(rèn)證模式是 independent 或者 primary backup Independent 只有第一個(gè)服務(wù)器 有效 Primary backup 主備模式認(rèn)證 當(dāng)?shù)匾粋€(gè) primary 的服務(wù)器不響 應(yīng)時(shí)會向 backup 的服務(wù)器發(fā)起請 求 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 10 19 默認(rèn)是 independent 方式的認(rèn)證 GFA6900 config config isp domain default authentication add server id 0 GFA6900 config config isp domain default authentication delete server id 0 將配置好的 radius server 0 在 default 域中啟用 從 default 域中刪除 radisu server 0 添加 server 時(shí)先添加 id 小的 刪除 server 時(shí)先刪除 id 大的 GFA6900 config config isp domain default tacc authentication add server id 0 GFA6900 config config isp domain default tacc authentication delete server id 0 將配置好的 tacacs server 0 在 default 域中啟用 從 default 域中刪除 tacacs server 0 添加 server 時(shí)先添加 id 小的 刪除 server 時(shí)先刪除 id 大的 GFA6900 config config isp domain default authentication config server id 0 type primary GFA6900 config config isp domain default tacc authenticate config server id 0 type primary 手工設(shè)置在 default 域中 id 為 0 的服務(wù)器為主服務(wù)器 缺省情況下被添加的第一個(gè) server 為主服務(wù)器 3 3 配置配置 RADIUS 協(xié)議協(xié)議 命令說明 GFA6900 config radius authentication enable GFA6900 config radius authentication disable 啟用 禁用 radius 協(xié)議 默認(rèn)是禁用 這里的設(shè)置是全局生效 影響所 有的域 GFA6900 config radius authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 udp port 1234 Server id 添加服務(wù)器的編號 范圍是 0 4 先從小的 id 開始 用 Server ip 指定 radius server 的 ip 地址 Client ip OLT 的 ip 地址 Udp port radius server 使用 的認(rèn)證端口號 默認(rèn)是 1812 GFA6900 config radius authentication delete server id 0 刪除 id 為 0 的 radius server 服 務(wù)器 刪除時(shí)應(yīng)該按照 id 從大到小的順 序來 GFA6900 config radius authentication server switch enable GFA6900 config radius authentication server switch disable 配置 radius server 切換開關(guān)打 開 關(guān)閉 默認(rèn)是關(guān)閉 Radius server 切換開關(guān)也是全 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 11 19 局生效 配置后會影響所有域 GFA6900 config radius authentication config server id 0 status active 配置 id 為 0 的 radius server 的 狀態(tài)是 active 的 缺省情況下新加的服務(wù)器都是 active 的 本命令主要是在特定情況下人工 干預(yù)狀態(tài)使用 GFA6900 config radius authentication config server id 0 shared secret greenway 配置和 id 為 0 的 radius server 通信時(shí)的共享密鑰是 greenway1 缺省的共享密鑰是 greenway Client 和 server 正常通行的前 提是共享密鑰必須一致 GFA6900 config radius authentication config server id 0 max retransmit count 5 GFA6900 config radius authentication config server id 0 retransmit interval 5 配置 radius 協(xié)議的重傳間隔 重 傳次數(shù)分別是 5 缺省配置時(shí)重傳間隔 次數(shù)都是 3 3 4 3 4 配置配置 TACACS TACACS 協(xié)議協(xié)議 命令說明 GFA6900 config tacc authentication enable GFA6900 config tacc authentication disable 啟用 禁用 tacacs 協(xié)議 默認(rèn)是禁用 這里的設(shè)置是全局生效 影響所 有的域 GFA6900 config tacc authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 share key greenway1 Server id 添加服務(wù)器的編號 范圍是 0 4 先從小的 id 開始 用 Server ip 指定 tacacs server 的 ip 地址 Client ip OLT 的 ip 地址 Share key 共享密鑰缺省是 greenway OLT 和 tacacs server 端配置一致 認(rèn)證端口 默認(rèn)的 tacacs server 認(rèn)證端口使用 tcp 49 GFA6900 config tacc authentication delete server id 0 刪除 id 為 0 的 tacacs server 服務(wù)器 刪除時(shí)應(yīng)該按照 id 從大到小的順 序來 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 12 19 GFA6900 config tacc authentication server switch enable GFA6900 config tacc authentication server switch disable 配置 tacacs server 切換開關(guān)打 開 關(guān)閉 默認(rèn)是關(guān)閉 Tacacs server 切換開關(guān)也是全 局生效 配置后會影響所有域 GFA6900 config tacc authentication config server id 0 status active GFA6900 config tacc authentication config server id 0 status inactive 配置 id 為 0 的 radius server 的 狀態(tài)是 active 的 缺省情況下新加的服務(wù)器都是 active 的 本命令主要是在特定情況下人工 干預(yù)狀態(tài)使用 GFA6900 config tacc authentication config server id 0 share key greenway1 配置和 id 為 0 的 tacacs server 通信時(shí)的共享密鑰是 greenway1 缺省的共享密鑰是 greenway Client 和 server 正常通行的前 提是共享密鑰必須一致 GFA6900 config config tacc re transmit period 5 GFA6900 config config tacc re transmit max num 5 配置 tacacs 協(xié)議的重傳間隔 重 傳次數(shù)分別是 5 缺省配置時(shí)重傳間隔 次數(shù)都是 3 四 四 AAA 認(rèn)證認(rèn)證 server 簡介簡介 AAA 認(rèn)證 server 也有多種軟件 這里只推薦一種適合在現(xiàn)網(wǎng)部署的服務(wù)器軟件 Cisco Secure ACS v4 2 該軟件的功能比較強(qiáng)大 穩(wěn)定 我們只需簡單配置就能滿足我 們使用的需求 4 1 安裝環(huán)境介紹 安裝環(huán)境介紹 Windows 2003 server sp1 版本 部分 windows 2000server 版也可以 推薦 2003 1G 以上內(nèi)存 1 8 GHz 或更高 CPU NTFS 文件系統(tǒng) 已經(jīng)安裝 Java 虛擬接 1 5 0 windows i586 exe 更多注意事項(xiàng)請參考文檔安裝手冊 這里只列舉了特別需要注意的項(xiàng)目 4 2 安裝和簡要配置安裝和簡要配置 ACS 的安裝步驟只需要在具備以上環(huán)境的工作站上一路點(diǎn) next 直至安裝完 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 13 19 畢 所以詳細(xì)的步驟這里不再介紹 ACS 安裝完成后會在桌面上自動生成一個(gè) ACS admin 的管理頁面 單擊該管 理頁面進(jìn)行 ACS 的配置 注 這一步驟中如果ACS的管理頁面無法打開 請?jiān)贗E 屬性 安全 菜單里 將這個(gè)頁面設(shè)置為受信任的站點(diǎn)即可 ACS 頁面打開后的菜單如下圖 標(biāo)紅的部分是必須要做初始配置的 3 個(gè)選項(xiàng)卡 我們只做普通的認(rèn)證服務(wù)器來用的話 這三個(gè)菜單里的配置就夠 不涉及其他菜單 配置 User Setup 在該菜單里完成用戶名 密碼的添加 修改 Network Configuration 在該菜單里完成客戶端的設(shè)置 共享密鑰的設(shè)置 Adminstration Control 在該菜單里設(shè)置 ACS server 的超級管理員 用于遠(yuǎn)程登 錄 添加 修改 server 上的各個(gè)配置信息 這里對 ACS 的各個(gè)子菜單不做詳細(xì)介紹 單進(jìn)去后看各個(gè)菜單的提示設(shè)置就可以的 對于 ACS 詳細(xì)的安裝 配置專門有一個(gè)文檔 講的很詳細(xì) 有興趣請參看 ACS 安裝 配 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 14 19 置手冊 doc 已經(jīng)放到共享服務(wù)器上 五 五 配置案例配置案例 以下提供 3 個(gè)分別通過 radius 和 tacacs 實(shí)現(xiàn)的具體配置案例 5 1 Telnet 用戶通過用戶通過 RADIUS 服務(wù)器認(rèn)證的應(yīng)用配置服務(wù)器認(rèn)證的應(yīng)用配置 該案例是按照在 default 域中實(shí)現(xiàn) radius 認(rèn)證的配置 步驟命令說明 步驟 1 GFA6900 config config login authentication enable 配置 AAA 認(rèn)證使 能 步驟 2 GFA6900 config config login auth aaa auth 配置 AAA 認(rèn)證模 式是遠(yuǎn)端認(rèn)證模 式 步驟 3 GFA6900 config radius authentication enable 配置 radius 認(rèn)證 功能使能 步驟 4 GFA6900 config radius authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 配置 radius server radius client ip 地址 本步驟中忽略配 置 udp port 即使 用 1812 默認(rèn)端口 要確保 server 端 使用該端口 步驟 5 GFA6900 config radius authentication config server id 0 shared secret greenway1 配置 client 和 server 通信時(shí)的 共享密鑰 Server 端要保證 和 client 配置一 直才能驗(yàn)證成功 步驟 6 GFA6900 config config isp domain default authentication add server id 0 在 default 域中 啟用 server id 0 的配置項(xiàng) 步驟 7 GFA6900 config config isp domain default aaa protocol radius 在 default 域中 啟用 radius 認(rèn)證 步驟 8 GFA6900 config show radius RADIUS AUTH Enable 查看 radisu 相關(guān) 配置 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 15 19 ID STATE SERVER IP SERVER PORT CLIENT IP SECRET 0 ACTIVE 192 168 2 244 1812 192 168 2 130 greenway1 ID RETRANSMIT INTERVAL MAX RETRANSMIT COUNT 0 3 3 GFA6900 config 步驟 9 GFA6900 config show isp domain default Domain Id 0 AAA Protocol RADIUS Domain Name default Authenticate Mode independent Radius Authentication Enabled User Name complete Tacc Authentication Disabled Radius Auth Server Info ID TYPE STATE SERVER IP SERVER PORT CLIENT IP SECRET 0 PRIMARY ACTIVE 192 168 2 244 1812 192 168 2 130 greenway1 TACACS Auth Server Info ID TYPE STATE SERVER IP SERVER PORT SECRET GFA6900 config 查看 defaut 域相 關(guān)配置 5 2 Telnet 用戶通過用戶通過 TACACS 服務(wù)器認(rèn)證的應(yīng)用配置服務(wù)器認(rèn)證的應(yīng)用配置 該案例是按照在 default 域中實(shí)現(xiàn) tacacs 認(rèn)證的配置 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 16 19 步驟命令說明 步驟 1 GFA6900 config config login authentication enable 配置 AAA 認(rèn)證使 能 步驟 2 GFA6900 config config login auth aaa auth 配置 AAA 認(rèn)證模 式是遠(yuǎn)端認(rèn)證模 式 步驟 3 GFA6900 config tacc authentication enable 配置 tacacs 認(rèn) 證功能使能 步驟 4 GFA6900 config tacc authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 配置 tacacs server tacacs client ip 地址 步驟 5 GFA6900 config tacc authentication config server id 0 shared secret greenway1 配置 client 和 server 通信時(shí)的 共享密鑰 Server 端要保證 和 client 配置一 直才能驗(yàn)證成功 步驟 6 GFA6900 config config isp domain default tacc authentication add server id 0 在 default 域中 啟用 server id 0 的配置項(xiàng) 步驟 7 GFA6900 config config isp domain default aaa protocol tacacs 在 default 域中 啟用 tacacs 認(rèn) 證 步驟 8 GFA6900 config show tacc TACC authentication enabled id server status server ip client ip tcp port share key 0 Active 192 168 2 244 192 168 2 130 49 greenway1 查看 tacacs 相 關(guān)配置 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 17 19 TACC re transmit configuration max retransmit number 3 retransmit period 3 seconds GFA6900 config 步驟 9 GFA6900 config show isp domain default Domain Id 0 AAA Protocol tacacs Domain Name default Authenticate Mode independent Radius Authentication disabled User Name complete Tacc Authentication Enabled Radius Auth Server Info ID TYPE STATE SERVER IP SERVER PORT CLIENT IP SECRET TACACS Auth Server Info ID TYPE STATE SERVER IP SERVER PORT SECRET 0 PRIMARY ACTIVE 192 168 2 244 49 greenway1 GFA6900 config 查看 defaut 域相 關(guān)配置 5 3 Telnet 用戶通過雙服務(wù)器實(shí)現(xiàn)主備冗余的用戶通過雙服務(wù)器實(shí)現(xiàn)主備冗余的 radius 認(rèn)證認(rèn)證 該案例是按照在 default 域中實(shí)現(xiàn)主備冗余的 radius 認(rèn)證 步驟命令說明 北京格林偉迪科技有限公司 AAA 認(rèn)證功能介紹 北京格林偉迪科技有限公司 18 19 步驟 1 GFA6900 config config login authentication enable 配置 AAA 認(rèn)證使 能 步驟 2 GFA6900 config config login auth aaa auth 配置 AAA 認(rèn)證模 式是遠(yuǎn)端認(rèn)證模 式 步驟 3 GFA6900 config radius authentication enable 配置 radius 認(rèn)證 功能使能 步驟 4 GFA6900 config radius authentication add server id 0 server ip 192 168 2 244 client ip 192 168 2 130 GFA6900 config radius authentication add server id 1 server ip 192 168 2 99 client ip 192 168 2 130 配置 tacacs server tac