在網絡安全領域,AAA代表了一種必備的要求。下面說的就是爲什麼你要使用AAA的原因:
· 驗證:通過採用有效的安全模式,它甚至可以在用戶登陸網絡之前就對登錄名和密碼進行識別。而且,根據對不同安全等級的設置,它也可以支持加密功能。
· 授權:經過了初步的驗證後,授權將根據用戶的身份確定應該給予其多大程度的權力。遠程用戶撥號認證系統(RADIUS)或者終端訪問控制器訪問控制系統(TACACS+)的服務器將根據屬性值(AV)的情況選擇應該給予授權的具體權限,以便和用戶的要求相適應。在思科網際操作系統中,你可以通過列表或者授權模式對AAA級授權的情況進行設置。
· 統計:最後的“A”指的是統計。它提供了一種安全信息收集機制,可以進行統計、審覈和報告等操作。你可以使用統計功能查看用戶得到認證和授權後的活動情況。舉例來說,你可以利用統計功能查看用戶登陸和退出的情況。
爲什麼每一個網絡管理員都要關心驗證、授權和統計(AAA)功能
爲了通過象思科認證網絡工程師(CCNA)安全之類的認證測試,驗證、授權和統計(AAA)是一個關鍵的基礎知識點。驗證、授權和統計(AAA)功能可以通過確保只有身份正確的用戶纔可以登陸,他們只有必須的網絡權限以及只能控制自己業務範圍內的資源等方法來保證網絡的安全。
在思科網際操作系統如何對驗證、授權和統計(AAA)功能進行配置?
下面就是對驗證、授權和統計(AAA)功能進行配置的步驟:
· 啓用驗證、授權和統計(AAA)功能
· 利用遠程用戶撥號認證系統(RADIUS)或者終端訪問控制器訪問控制系統(TACACS+)配置身份驗證
· 按照列表的模式進行授權
· 在每行/每個界面中都使用該列表
在這裏需要注意的是,只有事前模式沒有響應的情況下,思科網絡操作系統纔會採用下一個驗證模式。如果安全服務器或用戶數據庫作出反應,禁止用戶訪問,認證過程和用戶將收到相關的拒絕提示。對驗證、授權和統計(AAA)進行配置的話,請在全局配置模式下運行下面的命令:
Router(config)# aaa new-model
通過建立驗證模式,大多數管理員可以開始對驗證、授權和統計(AAA)功能進行配置。
下面是一個例子,演示瞭如何對登錄認證模式進行配置以便啓用密碼功能。
Router(config)# aaa authentication login default enable
如果你只希望在一個或者一組端口使用列表功能的話。可以創建一個列表,將其應用到端口上。下面就是一個適用於單個端口的驗證模式:
Router(config)# aaa authentication ppp default group radius group tacacs+ localRouter(config)# aaa authentication ppp apple group radius group tacacs+ local noneRouter(config)# interface async 3Router (config-if)# ppp authentication chap apple驗證、授權和統計(AAA)功能的配置有數百種不同的方式,其中包括了組建遠程用戶撥號認證系統(RADIUS)或者終端訪問控制器訪問控制系統(TACACS+)。如果希望瞭解更多的信息,請訪問思科網際操作系統“身份驗證配置”的頁面。
是否可以採用Windows操作系統的活動目錄模式對路由器進行配置?答案是肯定的。你可以閱讀我的文章“利用活動目錄模式配置思科路由器—路由器篇”以獲取更多信息。
結論
在本文中,我們瞭解了什麼是驗證、授權和統計(AAA)以及它有什麼用處。現在,我們瞭解了驗證、授權和統計(AAA)對於網絡安全的重要性。在後面,我們也看到了對思科網絡操作系統的驗證、授權和統計(AAA)進行配置的一個例子。
如果想了解驗證、授權和統計(AAA)的更多信息,請訪問思科網絡操作系統“第一部分:驗證、授權和統計(AAA)”的頁面。