AAA的概念和思科IOS對其配置簡析

http://m.yibo1263.com　2009-1-4 8:18:53 　來源:東北IT網(wǎng) 　編輯:葉子

　　在生活中，你可能每天都以某種形式使用驗證、授權(quán)和統(tǒng)計（AAA）等功能。但在網(wǎng)絡(luò)安全領(lǐng)域，AAA代表了什么呢？在本文中，戴維·戴維斯將告訴你什么是AAA，以及在思科網(wǎng)際操作系統(tǒng)如何對其進行配置。

----------------------------------------------------------------------------------------

　　什么是AAA？

　　在網(wǎng)絡(luò)安全領(lǐng)域，AAA代表了一種必備的要求。下面說的就是為什么你要使用AAA的原因：

　　· 驗證：通過采用有效的安全模式，它甚至可以在用戶登陸網(wǎng)絡(luò)之前就對登錄名和密碼進行識別。而且，根據(jù)對不同安全等級的設(shè)置，它也可以支持加密功能。

　　· 授權(quán)：經(jīng)過了初步的驗證后，授權(quán)將根據(jù)用戶的身份確定應(yīng)該給予其多大程度的權(quán)力。遠程用戶撥號認證系統(tǒng)（RADIUS）或者終端訪問控制器訪問控制系統(tǒng)（TACACS+）的服務(wù)器將根據(jù)屬性值（AV）的情況選擇應(yīng)該給予授權(quán)的具體權(quán)限，以便和用戶的要求相適應(yīng)。在思科網(wǎng)際操作系統(tǒng)中，你可以通過列表或者授權(quán)模式對AAA級授權(quán)的情況進行設(shè)置。

　　· 統(tǒng)計：最后的“A”指的是統(tǒng)計。它提供了一種安全信息收集機制，可以進行統(tǒng)計、審核和報告等操作。你可以使用統(tǒng)計功能查看用戶得到認證和授權(quán)后的活動情況。舉例來說，你可以利用統(tǒng)計功能查看用戶登陸和退出的情況。

　　為什么每一個網(wǎng)絡(luò)管理員都要關(guān)心驗證、授權(quán)和統(tǒng)計（AAA）功能

　　為了通過象思科認證網(wǎng)絡(luò)工程師（CCNA）安全之類的認證測試，驗證、授權(quán)和統(tǒng)計（AAA）是一個關(guān)鍵的基礎(chǔ)知識點。驗證、授權(quán)和統(tǒng)計（AAA）功能可以通過確保只有身份正確的用戶才可以登陸，他們只有必須的網(wǎng)絡(luò)權(quán)限以及只能控制自己業(yè)務(wù)范圍內(nèi)的資源等方法來保證網(wǎng)絡(luò)的安全。

　　在思科網(wǎng)際操作系統(tǒng)如何對驗證、授權(quán)和統(tǒng)計（AAA）功能進行配置？

　　下面就是對驗證、授權(quán)和統(tǒng)計（AAA）功能進行配置的步驟：

　　· 啟用驗證、授權(quán)和統(tǒng)計（AAA）功能

　　· 利用遠程用戶撥號認證系統(tǒng)（RADIUS）或者終端訪問控制器訪問控制系統(tǒng)（TACACS+）配置身份驗證

　　· 按照列表的模式進行授權(quán)

　　· 在每行/每個界面中都使用該列表

　　在這里需要注意的是，只有事前模式?jīng)]有響應(yīng)的情況下，思科網(wǎng)絡(luò)操作系統(tǒng)才會采用下一個驗證模式。如果安全服務(wù)器或用戶數(shù)據(jù)庫作出反應(yīng)，禁止用戶訪問，認證過程和用戶將收到相關(guān)的拒絕提示。對驗證、授權(quán)和統(tǒng)計（AAA）進行配置的話，請在全局配置模式下運行下面的命令：

　　Router(config)# aaa new-model

　　通過建立驗證模式，大多數(shù)管理員可以開始對驗證、授權(quán)和統(tǒng)計（AAA）功能進行配置。

　　下面是一個例子，演示了如何對登錄認證模式進行配置以便啟用密碼功能。

　　Router(config)# aaa authentication login default enable

　　如果你只希望在一個或者一組端口使用列表功能的話�？梢詣�(chuàng)建一個列表，將其應(yīng)用到端口上。下面就是一個適用于單個端口的驗證模式：

　　Router(config)# aaa authentication ppp default group radius group tacacs+ localRouter(config)# aaa authentication ppp apple group radius group tacacs+ local noneRouter(config)# interface async 3Router (config-if)# ppp authentication chap apple驗證、授權(quán)和統(tǒng)計（AAA）功能的配置有數(shù)百種不同的方式，其中包括了組建遠程用戶撥號認證系統(tǒng)（RADIUS）或者終端訪問控制器訪問控制系統(tǒng)（TACACS+）。如果希望了解更多的信息，請訪問思科網(wǎng)際操作系統(tǒng)“身份驗證配置”的頁面。

　　是否可以采用Windows操作系統(tǒng)的活動目錄模式對路由器進行配置？答案是肯定的。你可以閱讀我的文章“利用活動目錄模式配置思科路由器—路由器篇”以獲取更多信息。

　　結(jié)論

　　在本文中，我們了解了什么是驗證、授權(quán)和統(tǒng)計（AAA）以及它有什么用處�，F(xiàn)在，我們了解了驗證、授權(quán)和統(tǒng)計（AAA）對于網(wǎng)絡(luò)安全的重要性。在后面，我們也看到了對思科網(wǎng)絡(luò)操作系統(tǒng)的驗證、授權(quán)和統(tǒng)計（AAA）進行配置的一個例子。

　　如果想了解驗證、授權(quán)和統(tǒng)計（AAA）的更多信息，請訪問思科網(wǎng)絡(luò)操作系統(tǒng)“第一部分：驗證、授權(quán)和統(tǒng)計（AAA）”的頁面。

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费