AAA基础知识

AAA采用C/S结构，客户端运行于NAS上，服务器上集中管理用户信息
用户想访问网络资源，从而和网关建立连接，网关把用户的认证、授权、计费信息透传给radius服务器审计计费
AAA中的NAS指的是Network Access Server，网络接入服务器（指的是路由器交换机等网络设备）
网络设备到AAA服务器使用的是Radius协议，1812认证端口、1813计费端口

Radius工作环节

radius服务器的组成:User、Clients、Dictionary
user:用于用户存储用户信息（如用户名、口令以及使用的协议、ip地址等配置信息）
clients:用于存储radius客户端信息（如接入设备的共享密钥、IP地址等）
dictionary:用于存储radius协议中的属性和属性值含义的信息

radius客户端和radius服务器之间认证消息的交互式通过共享密钥完成的，共享密钥不能通过网络传输，增加了信息交互的安全性
为了防止用户密码在不安全的网络上传递时被窃取，在传输过程中对密码进行了加密

报文格式：

认证方式:

1、不认证：对用户非常信任，不对其认证，一般情况不采用这种方式

2、本地认证：将用户信息配置在接入服务器上。优点:速度快，成本低  缺点:硬件条件受限
3、远程认证：与radius协议配合使用，接入服务器作为客户端，与radius服务器通信

授权方式:
1、直接授权:直接授权通过

2、本地授权:根据本地服务器上的账号配置进行相关授权

3、TACACS授权:由Tacacs服务器对用户授权
4、If-authenticated授权:
5、RADIUS认证授权:radius协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权

计费方式:审计动作
1、不计费
2、远端计费:通过RADIUS服务器或TACACS服务器进行远端计费

AAA采用C/S、client是被管理的资源、server集中存放用户信息

RADIUS:远程认证拨号用户服务：保护网络不受未授权访问的干扰，常被应用在要求较高的安全性、又要求维持远程用户访问的各种网络环境中

配置AAA
创建AAA域并配置相关属性
1、配置用户使用的AAA方案

2、创建ISP域

3、配置ISP域的状态
4、配置可接入用户数量的最大值
5、配置计费可选开关

radius scheme AAA #创建radius方案名称
 primary authentication 172.16.18.1 1812#配置主认证服务器IP地址
 primary accounting 172.16.18.1 1813 #配置主审计服务器IP地址
 key authentication cipher 123456 #与认证服务器交互报文时的共享密钥为123456
 key accounting cipher 123456 #与审计服务器交互报文时的共享密钥为123456
 user-name-format without-domain #不携带域名接入用户通常是以“userid@isp-name”格式

 nas-ip 172.16.18.254 本设备地址(Radius客户端地址)
 server-type extended #服务类型为扩展

security-policy-server 172.16.18.253 部署安全策略服务器

domain ISP #创建域名为ISP
 authentication default radius-scheme AAA #认证入口
 authorization default radius-scheme AAA #授权入口
 accounting default radius-scheme AAA #审计入口
user-interface vty 0 4
 authentication-mode scheme

AAA 在路由器上可以完成认证、授权功能

CiscoAAA配置信息

Router(config)#aaa new-model     启用aaa  
Router(config)#aaa authentication attempts login 2  尝试登陆2次
Router(config)#aaa authentication  fail-message C   输入错误密码报错信息
Enter TEXT message.  End with the character 'C'.
login invalid!
C
Router(config)#aaa authentication password-prompt  logininvalid!  

aaa认证密码提示为:logininvalid! （输入认证密码即可）
Router(config)#aaa authentication  username-prompt passwd:         

aaa认证用户名提示为:passwd:（输入用户名即可）
Router(config)#aaa authentication login  local local       aaa认证本地认证方式

*May 16 09:55:57.240: %AAAA-4-BADMETHNAME: Bad authentication method-list name "local" (this is only a warning)
Router(config)#username ma password guangjie  用户名ma 密码guangjie
Router(config)#line vty  0 4         
Router(config-line)#login authentication local  登录认证为local（local为aaa登录方式的名称）
AAA: Warning authentication list "local" is not defined for LOGIN.
Router(config-line)#transport input telnet   只允许telnet

Router(config-line)#rotary xx （X表示数字，修改后的端口以3000为基数再加上X，假设X=10，则登陆telnet端口是3010）

Router(config-line)#privilege level 15       权限为15级别
Router(config)#access-list 100 deny tcp any any eq telnet 定义网段

Router(config)#access-list 100 permit ip any any

Router(config-line)#access-class 100 in     调用

很多时候我们操作太快很容易操作失误，远程断开连接，没保存设备重启一下即可，远程配置不要急于求快（断开不要老想往人家哪里跑）

原因:
1、设备数量有关、用户名密码不一致、不能集中化管理
2、用户数量、用户多、不能集中化管理
3、用户频繁变动 

RADIUS和HWTACACS区别：