tacacs+

一、实验拓扑如下 二、AAA配置过程 1.路由3配置 Router(config)#username R3 password 123 Router(config)# aaa new-model Router(config)# aaa authentication login default local Router(config)# line console 0 Router(config-line)# login authentication default Router(config)# aaa authentication login telnet-login local Router(config)# line vty 0 4 Router(config)# login authentication telnet-login Router(config)#exit 2.配置路由1 Router(config)# username R1 password 123 Router(config)# tacacs-server host 192.168.1.3 Router(config)# tacacs-server key 123 Router(config)# aaa new-model Router(config)# aaa authentication login

一、AAA简介 AAA即Authentication认证、Authorization授权和Accounting计费，是网络安全的一种管理机制，提供认证、授权和计费三种安全功能。 认证：验证用户是否可以获得网络访问权 授权：授权用户可以使用哪些服务 计费：记录用户使用网络资源的情况 二、二、RADIUS协议和TACACS+协议 NAS（Network Access Server，网络接入服务器）和AAA服务器之间常用协议是RADIUS和TACACS+协议。 RADIUS包头部结构 code 字段表明RADIUS包的信息类型 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge Identifier 字段用于匹配request和reply包 Length 字段表示信息长度 Authenticator 字段用于RADIUS服务器reply，request包随机产生值，reply包中的Authenticator是一个md5值（reply message data + shared key + 随机数） Attribute字段是AV pair。AV pairs是RADIUS和TACACS+服务器在授权阶段交换的变量信息