cisco如何查看aaa用户,第1张

 有网友问我cisco 路由器如何查看aaa用户我去网上搜索了相关资料,给大家奉上,希望大家喜欢。

  CISCO路由器AAA介绍及相关路由配置

 CISCO AAA www2ctocom

 3A概念:认证authentication 授权authorization 记帐 accounting

 cisco为路由器和交换机提供多种3A服务的 方法 :

 1 自包含AAA 路由器/NAS自身包含AAA服务 NAS(网络访问服务器)

 2 CISCO SECURE ACS 路由器/NAS上的AAA服务与外部CISCO SECURE ACS系统联系

 3 CISCO SECURE ACS SOLUTION ENGINE 路由器/NAS上的AAA服务与外部CISCO SECURE ACS SOLUTION

 ENGINE系统联系

 4 第三方ACS 路由器/NAS上的AAA服务与外部CISCO认可的第三方ACS系统联系 radius tacacs+

 cisco secure acs系列是供安全访问网络的一种全面而灵活的平台。他主要负责以下一个方面的安全

 通过CISCO NAS和路由器拨号

 管理员进行路由器和交换机的控制台及VTY端口访问

 CISCO PIX防火墙访问 www2ctocom

 3000系列集线器(仅用于RADIUS)

 使用CISCO LEAP 和 PEAP的无线局域网支持

 交换机的无线8021X认证

 边界路由器AAA配置过程

 1 在vty,异步,aux和tty端口对特权EXEC和配置模式进行安全访问

 config t

 enable password

 service password-encryption

 enable secret

 2 在边界路由器上,用aaa new-model命令启用AAA。

 config t

 aaa new-model

 username password

 aaa authentication login default local

 注意点,在配置aaa new-model命令的时候,一定要提供一种本地登入方式,防止由于管理性会话失效而引发

 路由器锁定。

 3 配置AAA认证列表

 aaa authentication login 定义用户视图登入到路由器时需要使用哪个认证步骤。

 aaa authentication ppp 对于使用PPP的串行接口上的用户会话,定义了要使用的认证步骤。

 aaa authentication enable default 定义了有人试图通过enable命令进去特权EXEC模式时,应该采用的

 认证步骤

 在访问服务器上全局启用了AAA之后,还需要定义认证方法列表,并将其应用到链路和接口。这些认证方法

 列表指出了服务(PPP,ARAP,NASI,LOGIN) 和认证方法(本地,TACACS+,RADIUS,login 或enable),这里

 建议将本地认证作为最后一种方法。

 定义认证方法列表

 1规定服务(PPP,ARAP,NASI)或登录认证

 2标识一个列表名称或采用缺省

 3规定认证方法,并规定其中一种不可用时,路由器如何反应

 4将其应用到一下链路或接口之一

 链路--tty,vty,console,aux和async链路,或者供登入的控制台端口已经供ARA的异步链路 www2ctocom

 接口--同步,异步以及为PPPSLIPNASI或ARAP而配置的虚拟接口

 5在全局配置模式下使用aaa authentication命令,以启用AAA认证过程。

 1 aaa authentication login命令

 config t

 aaa authentication login default enable

 aaa authentication login console-in local

 aaa authentication login tty-in line

 console-in和 tty-in是管理员创建的简单的方法列表名称。

 aaa authentication login {default | list-name} method1 [method2~~~]

 default 用户登入时,使用此变量后面列出的认证方法,作为缺省的方法列表

 list-name 当用户登录时,用来命名认证方法列表的字符串

 method:

 (enable) 使用enable口令来认证

 (krb5) 用kerberos 5来认证

 (krb5-telnet) 当借助telnet连接路由器时,使用kerberos 5 telnet认证协议

 (line) 用链路口令来认证

 (local) 用本地用户名数据库来认证

 (none) 不用认证

 (group- radius) 使用包含所有RADIUS服务器的一个列表来认证

 (group tacacs+) 使用包含所有TACACS+服务器的一个列表来认证

 (group group-name) 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group

 server radius或aaa group server tacacs+命令中

 2 aaa authentication ppp命令

 aaa authentication ppp (default |list-name) method1 [method2~~~]

 default 用户登入时,使用此变量后面列出的认证方法,作为缺省的方法列表

 list-name 当用户登录时,用来命名认证方法列表的字符串

 method:

 (if-needed 如果用户在TTY链路上认证了,就不需要再认证

 (krb5 用kerberos 5来认证

 (local 用本地用户名数据库来认证

 (local-case

 (none 不用认证

 (group group-name 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group

 server radius或aaa group server tacacs+命令中

 3 aaa authentication enable default命令

 aaa authentication enable default method1 [method2~~~]

 method:

 enable 使用enable口令来认证

 line 用链路口令来认证

 none 不用认证

 group radius 使用包含所有RADIUS服务器的一个列表来认证

 group tacacs+ 使用包含所有TACACS+服务器的一个列表来认证

 group group-name 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group

 server radius或aaa group server tacacs+命令中

 4 对链路和接口应用认证命令

 config t

 aaa new-model 启用AAA

 aaa authentication login default enable 将enable口令作为缺省的登入方式

 aaa authentication login console-in group tacacs+ local 无论何时使用名为console-in的列

 表,都使用TACACS+认证,如果TACACS+认证失败,己用本地用户名和口令

 aaa authentication login dial-in group tacacs+ 无论何时使用名为dial-in的列表,都

 使用TACACS+认证

 username password 建立一个本地用户名和口令,最可能与console-in登录方法列

 表一起使用

 line console 0 进入链路控制台配置模式

 login authentication console-in 使用console-in列表作为控制台端口0的登录认证

 line s3/0

 ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登录认证

 4 配置供用户通过认证之后的AAA授权

 aaa authorization 命令

 aaa authorization {network|exec|commands level|reverse-access|configuration} {default

 |list-name} method1 [method2~~~]

 network 为所有网络相关的服务请求进行授权,包括SLIP,PPP,PPP NCP和ARA

 exec 使用授权,以确定是否用户可以运行一个EXEC shell

 commands 为所有处于规定的特权级别的命令使用授权

 level 规定应该被授权的命令级别,有效值 0-15

 reverse-access 为反向访问连接使用授权,例如反向Telnet

 configuration 从AAA服务器上下载配置

 default 使用此变量后列出的认证方法,作为缺省方法列表供认证

 listname 用来命令认证方法列表的字符串

 method 规定以下关键字的至少一种

 group 用radius或tacacs+服务器的一个子集来认证,这些服务器定义在aaa group server radius

 或aaa group server tacacs+命令中

 if-authenticated 如果用户为认证,允许用户访问请求的功能;

 krb5-instance 使用被kerberos instance map命令定义的实例;

 local 用本地用户名数据库来授权

 none 不用授权

 例子:

 enable secret level 1 为级别1的用户建立一个enable secret口令

 enable secret level 15 为级别15的用户建立一个enable secret口令

 aaa new-model 启用AAA

 aaa authentication login default enable 将enable口令作为缺省的登入方式

 aaa authentication login console-in group tacacs+ local 无论何时使用名为console-in的列

 表,都使用TACACS+认证,如果TACACS+认证失败,己用本地用户名和口令

 aaa authentication login dial-in group tacacs+ 无论何时使用名为dial-in的列表,都使用

 TACACS+认证

 username password 建立一个本地用户名和口令,最可能与console-in登录方法列

 表一起使用

 aaa authorization commands 1 alpha local 用本地用户名数据库来为所有级别1命令的使用进行

 授权 www2ctocom

 aaa authorization commands 15 bravo if-authenticated group tacplus local 如果用户已经认

 证了,让其运行级别15的命令,如果还未认证,在允许其访问级别15的命令之前,必须基于tacplus组中的

 TACACS+服务器来认证

 aaa authorization network charlie local none 使用本地数据库来对所有网络服务的使用授权,

 如果本地服务器不可用,此命令执行并不授权,用户能使用所有的网络服务

 aaa authorization exec delta if-authenticated group tacplus 如果用户已经认证,让其运行

 EXEC过程,如果没有认证,在允许EXEC之前,必须基于tacplus组中的TACACS+服务器来认证

 privilege exec level 1 ping 为级别1的用户启用PING

 line console 0

 login authentication console-in 使用console-in列表作为控制台端口0的登录认证

 line s3/0

 ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登录认证

 5 配置规定如何写记帐记录的AAA记帐

 aaa accounting [auth-proxy |system |network |exec |connection |commands level]{default

 |list-name} [vrf vrf-name] [start-stop|stop-only|none][broadcast][method][method2]

 auth-proxy 提供有关所有认证代理用户事件的信息

 system 为所有非用户相关的系统级事件执行记帐

 network 为所有网络相关的服务请求运行记帐

 exec 为EXEC shell会话运行记帐。

 connection 提供所有有关源子NAS的外出连接的信息

 commands 为所有处于特定特权级别的命令运行记帐,有效的特权级别取值0-15

 default 使用本参数之后列出的记帐方式

 list-name 用来命令记帐方式列表的字符串

 vrf vrf-name 规定一个VRF配置

 start-stop 在一个过程的开端,发送一个开始记帐通知,在过程结束时,发送一个停止记帐通知

 。

 stop-only 在被请求用户工程结束时发送一个停止记帐通知

 none 禁止此链路或接口上的记帐服务

 broadcast 启用发送记帐记录到多个3A服务器,同时向每个组中第一台服务器发送记帐记

 录 www2ctocom

 method 规定一下关键子中的至少一个

 group radius 用所有RADIUS服务器列表作为记帐

 group tacacs+ 用所有列出的TACACS+服务器来记帐

 group group-name 用RADIUS或TACACS+服务器的一个子集作为记帐

 在路由器上启用下列命令以启用几张

 aaa accounting system wait-start local 用记帐方法审计系统事件

 aaa accounting network stop-only local 当网络服务中断,发送停止记录通知

 aaa accounting exec start-stop local 当EXEC过程开始时,发送一个开始记录通知,结束时,发

 送停止记录

 aaa accounting commands 15 wait-start local 在任何级别15的命令开始之前,发送一个开始记录通

 知,并等待确认,当命令中止时,发送一个停止记录通知。

 6 校验配置

 debug aaa authentication 显示有关认证功能的调试信息

 debug aaa authorization 显示有关授权功能的调试信息

 debug aaa accounting 显示有关记帐功能的调试信息

 以上内容来源互联网,希望对大家有所帮助。

我在GNS上测试了一下,配置了NTP,然后输入clock timezone GMT 8先定义时区之后,你需要的时间戳信息都显示了,Packet Tracer上却不行,可能还是模拟器问题吧

你好!

实现起来估计比较难,如果在6509交换机上配置了aaa认证,一般情况下采用tacacs+服务器。

而在交换机的命令一般采用以下模式(猜测,大多数情况是这样的)

aaa authentication login default group tacacs none

注意后面的none参数,这时你必须攻击tacacs服务器,使其down掉,如何该交换机会采用下一个认证参数,大多数用户都后面都采用none,这时就不需要密码就可以进入。呵呵祝你好运

  摘 要 运营级WLAN网络的发展方向为3G+WLAN的融合组网模式,WLAN作为3G网络的有效补充,能有效冲击目前的宽带市场,运营商应把握3G+WLAN未来发展方向,确保在全业务营运中处于有利竞争位置。本文在对WLAN现网建设的分析基础上,提出了WLAN未来演进的方向,同时在网络架构上也考虑到了对国有自主知识产权WAPI标准的支持,希望为WLAN网络建设提供一些参考意见。

关键词 WLAN网络;建设经验分享;未来演进方向 WAPI

1 WLAN网络建设背景分析

WLAN技术发展概况:WLAN是一种无线局域网技术,主要指IEEE 80211标准系列。自1997年问世以来,WLAN技术在不断发展演进中,速率持续提高,从80211b的11Mbit/s到80211a/g的54 Mbit/s,直至80211n的300 Mbit/s。网络安全性能不断提高,除了WPA、80211i安全标准外,我国也在无线局域网国家标准GB 1562911-2003中提出了采用WAPI机制来实现无线局域网的安全。无线网络的可管理性持续增强,设备配置管理、终端平滑切换等特性相继引入,网络性能也逐步具备了QoS、切换、漫游等移动性管理功能,如80211e、80211f等标准。无线接入设备也从小规模组网的自主管理型FAT AP向大规模组网的集中管理型FIT AP+AC发展。近几年来,在国际巨头INTEL等的推动下,普通笔记本电脑也内置了Wi-Fi上网功能,WLAN技术得到了广泛应用,特别是企业、宾馆酒店等的无线宽带互联网接入。

2 WLAN网络建设分析

21运营级WLAN网络逻辑架构

结合到目前WLAN网络的发展趋势和WLAN建设情况来看,一个典型的运营级WLAN网络其整体上为瘦AP架构,即AC+FIT AP集中式WLAN组网架构,采用将AC设备旁挂在各个数据互联网核心节点所属的汇聚交换机或者BRAS上,瘦AP采用PON方式接入到广域网以保证给用户提供足够的带宽,AC经过本节点下的物理链路对瘦AP进行管理和控制,同时对用户进行接入认证。

此模式下AC旁挂在汇集交换机上,AC负责无线网络的用户鉴权接入、漫游管理、功率控制和AP控制管理等较复杂管理功能;瘦AP负责80211报文的加解密和接受无线控制器的管理等简单功能。

22热点建设模式

WLAN热点主要选取覆盖人口密度高、具有业务潜力的热点,针对运营商热点建设模式选用3G+WLAN的模式,以3G为主体,热点区域以WLAN辅助覆盖。在具有3G系统的热点采用WLAN与3G系统合建的建设模式,在未建室内分布系统的热点采用AP直接覆盖的模式进行建设。在此方式下,WLAN 无线信号通过专用的合路器耦合入原有的2G/3G室内分布系统,同时为用户提供WLAN和移动网络接入无线信号。AP天线通过专用跳线连接到支持WLAN和2G/3G频段的合路器上,利用室内分布系统的天线对建筑物进行WLAN信号覆盖,AP后端通过以太网线连接到每栋大楼的配置的数据交换机上,经过数据交换机汇聚后通过传输链路连接到WLAN后端网络。

3大规模运营级WLAN网络演进方向

31 网络架构演进策略

随着具有WLAN功能的手机终端的普及,使用具有WLAN功能手机登录WLAN网的用户势必剧增,此情况下要求整体网络架构能够满足3G+WLAN统一接入认证的要求。

结合到目前WLAN网络整体架构,第一阶段考虑在现网结构下引入3GPP AAA认证系统,实现WLAN用户和3G用户统一认证鉴权,3G用户通过双模终端可以直接登录WLAN网络。3GPP AAA系统通过D/Gr接口与HLR互通,获取用户鉴权向量和签约数据,配合完成计费,生成话单;HLR统一管理3G用户和WLAN用户签约,并向AAA提供用户鉴权向量和签约信息,其示意图如图1所示。

图1 3G+WLAN融合初步方案逻辑示意图

此模式下整个网络基于SIM/USIM卡信息进行认证,能够让用户一键接入网络,同时也能支持WEB+账号认证方式;AC需要软件升级以支持EAP SIM/AKA认证,同时要求终端需要支持基于SIM或USIM卡的认证,无须对HLR进行改造;对3G和WLAN用户统一开户,统一计费,统一套餐。

第二阶段还将在引入3GPP AAA系统的基础上引入PDG核心网网关设备,由3GPP AAA系统和PDG设备共同实现WLAN用户的统一认证计费,用户可以通过PDG网关直接使用PS域中的特色业务,其示意图如图2所示。此模式下WLAN的接入认证、计费和PS核心网的计费相对立,GPD设备配合AAA/HLR完成用户接入PS核心网业务鉴权和计费,同时GPD网关控制用户接入到PS域中。

图2 3G+WLAN理想融合方案逻辑示意图

经过WLAN网络和现有核心网络的合作,可为带来以下好处:可有效统一用户在WLAN接入和移动网络接入时的身份标识,简化了用户身份签约管理,简化了WLAN接入时所需要动态申请密码的步骤,通过在终端软件上内嵌的鉴权认证即可通过WLAN接入网络;在WLAN接入下,用户可以直接使用部署在分组核心网的业务,提升用户带宽体验,例如可以在WLAN下收发彩信、浏览WAP及其他流媒体业务等,能够有效分流2G/3G Internet数据流量。

32 对国产标准WAPI的支持

WAPI标准作为我国具有自主知识产权的80211无线协议为基础的无线安全标准,势必会在国家政策扶持下具有较大发展和使用空间,应要求在AP设备选型时要求支持WAPI认证模式,目前主流AP厂家的设备均已支持。

在后续的网络建设中需针对WAPI方式的考虑建设鉴别服务器AS,建设时需与现网的AAA服务器进行协调统一建设,形成新的增强型AAA认证系统。现网中,终端经过AC/BAS和AAA以及Portal 服务器进行WEB的认证;在未来引入增强型认证系统后,SIM卡或数据卡的用户通过AC和3G AAA+AS认证系统实现SIM认证。

33 WLAN网元功能演进方向

随着WLAN网元设备功能的不断完善,应将对WLAN网络内部网元的功能范围进行优化。结合到目前典型的WLAN组网模式,可将用户认证功能从现网AC中剥离出来,AC只实现对AP的管理控制功能,有现网中的BRAS实现对用户的认证功能,如图3所示。此模式下WLAN网络内部逻辑清晰,不会存在流量迂回的问题,并且能有效利用原有设备,降低成本。

图3 WLAN网络内部逻辑示意图

在未来的WLAN建设中还应引入80211n技术,由于80211n采用了MIMO-OFDM、MRC和帧聚合等关键技术,能有效提高覆盖范围、数据传输速度并提高用户容量,可以用于用户非常集中、数据带宽要求较高的场景。虽然80211n技术2009年9月11日正式发布,但目前只部分终端支持,多是pre N,同时11n网络部署尚处于起步阶段,国内暂时还没有部署、运营经验。结合新技术发展规律,考虑从小规模商用试点逐步过渡到大规模部署,预计2011年应为11n WLAN网络的元年。11n设备部署也会带来GE接口和基于GE的POE供电需求,需要网络设备(交换机等)做相应改造。

4总结

总的来说,WLAN的发展方向3G+WLAN的模式,WLAN作为3G网络的有效补充,并能有效冲击目前的宽带市场,电信营运公司应把握WLAN未来方向,确保在全业务营运中处于有利竞争位置。本文分析了目前WLAN建设的典型模式,并根据目前的现网架构对WLAN网络的演进提出了一些看法,希望提供一些可用的参考意见。

参考文献

[1] 陈卓;无线局域网络在校园网中的应用[J];南京广播电视大学学报;2005年04期

[2] 张洪涛;顾静;无线局域网技术概述[J];科技资讯;2006年06期

[3] 李杨文;WLAN技术应用分析[J];电脑知识与技术;2005年15期

[4] 潘理刚;丁传银;;无线局域网WEP协议分析及基于TKIP协议的改进方案[J];电子科技;2006年03期

[5] 王德成;无线局域网技术及组建[J];南京广播电视大学学报;2005年04期

(作者单位:重庆电子工程职业学院)

①STA连接无线网络,发起http请求,此请求在会被AC重定向到Portal服务器的WebPortal认证主页上;

②用户在认证主页/认证对话框中输入用户名密码后,将认证信息提交给PortalServer,PortalServer会将用户的认证信息传递给AC;

③然后AC将认证信息封装成标准Raiuds认证报文传递给Radius进行认证;

④认证通过后,AC会打开STA与互联网的通路,允许用户访问互联网,同时开始进行记账。

AAA 代表 认证Authentication,授权Authorization,审计Accounting!

AAA 可以看做一种网络安全的管理机制,开启AAA后你的所有认证都要在AAA服务器或AAA本地验证 8021x是利用AAA服务 解决接入者的身份验证机制 所以 配置8021x要使用AAA!! 望采纳

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » cisco如何查看aaa用户

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情