AAA代表Authentication、Authorization、Accounting,意爲認證、授權、記帳,其主要目的是管理哪些用戶可以訪問服務器,具有訪問權的用戶可以得到哪些服務,如何對正在使用網絡資源的用戶進行記帳。
1、 認證:驗證用戶是否可以獲得訪問權限——“你是誰?”
2、 授權:授權用戶可以使用哪些資源——“你能幹什麼?”
3、 記帳:記錄用戶使用網絡資源的情況——“你幹了些什麼?”
一時興起,想做個路由計費的實驗,上網查了下找到了ACS這個軟件。ACS是在WIN2000等系統上實現AAA功能的。
一、安裝ACS
因爲ACS不支持XP,所以開虛擬機在2003裏裝ACS,安裝比較簡單,所有都默認安裝就OK了。
二、搭建路由並與虛擬服務器連接
1、用dynamipsGUI建2個路由,並與虛擬機橋接,(橋接參數的選取略)
R1與虛擬機橋接,R1與R2連接
三、路由配置
1、基本配置
R1:S1/0 172.16.5.5<---------------------------->S1/0 172.16.5.6 :R2
R1:fa0/0 192.168.77.254<----------------------> server 2003 192.168.77.220
R1(config)# tacacs-server host 192.168.77.220
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key cisco
R1(config)# enable secret 123 ‘定義enable密碼
R1(config)# username abc password 456 ‘定義本地數據庫
R1(config)# aaa new-model ‘啓用AAA認證
R1(config)# aaa authentication login default group tacacs+ local ‘設置登陸驗證默認爲採用先ACS服務器再本地驗證(當ACS服務器不可達才用本地數據庫驗證)
R1(config)# aaa authentication enable default group tacacs+ enable ‘設置enable進入特權模式默認爲採用先ACS服務器再本地enable設置的密碼
R1(config)# line vty 0 4
R1(config)# login authentication default ‘設置telnet登陸採用前面定義的default
四、ACS設置
1、點擊左邊的Network Configuration,設置客戶端和服務端
2、設置USER,點擊左邊的USER SETUP
五、驗證
從R2上TELNET客戶端地址192.168.77.254
驗證登陸成功。如果斷開AAA服務器與R1的聯繫,則可以本地帳戶abc登陸