一.3A认证概述
在Cisco设备中,许多接口,许多地方,为了安全,都需要开启认证服务,比如我们通常配置的console下的密码,进入Privileged EXEC模式的enable密码,VTY线路下的密码,以及其它二层接口的认证密码等等。这些密码配置在哪里,那里就开启了相应的认证服务。并且这些认证服务方式是单一的,也没有备份认证方式,更重要的是,这些密码只能读取本地,却不可以通过读取远程服务器的认证方式来给自己提供认证服务。要想将一个接口的认证方式调用到另外一个接口,或者让某接口使用远程服务器的认证方式,那就需要AAA中的认证来实现。
AAA中的认证可以给设备提供更多的认证方式,AAA认证就相当于一个装有认证方式的容器一样,里面可以有多个认证方式,当这个容器被安装在某个接口,那么这个接口也就拥有了容器中所有的认证方式。而几乎所有的认证方式都可以被放入这个容器中,包含远程服务器的认证方式。 二.常见的3A认证配置方法 (1)tacacs服务器和密码的宣告
通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置,配置命令如图1所示。
图1 全局下tacacs服务器及密码的宣告方法
在宣告tacacs服务器时,为了3A认证的冗余性,我们可以在全局模式下同时宣告多个tacacs服务器地址。配置了多个tacacs服务器地址后,在进行3A认证时,设备会根据tacacs服务器配置的先后顺序逐一进行认证,直到找到一台可用的tacacs服务器,3A认证成功为止。如图2。
图2 配置多个tacacs服务器
这种宣告方式有一个缺陷,虽然我们可以同时宣告多个tacacs服务器,但是却只能宣告一个密码,也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码,这样不利于网络设备的安全管理。为了解决这一问题,我们可以将tacacs服务器与密码同时进行宣告,如图3.
图3 tacacs服务器与密码同时宣告
这种宣告方式解决了全局模式下只能宣告一个密码的问题,并且这种方式同样也可以同时宣告多条,和传统的宣告方式一样,这种新的宣告方式也会根据先后顺序进行逐条的调用。特别要注意的是这种新的宣告方式优先级比传统的宣告方式要高,当这两种宣告方式同时存在时,设备会优先调用这种新宣告方式宣告的条目。
(2)“认证”“授权”“审计”的配置
服务器和密码宣告完成后,就需要开始进行3A认证中“认证”,“授权”,“审计”的配置。
认证:顾名思义就是对想要启用3A认证的设备进行身份的验证。
授权:在完成“认证”这一步骤的设备上,根据接入用户的等级不同,赋予用户不同级别的操作权限。
审计:对不同等级用户的操作过程进行记录。
具体的配置方法如图4所示。
图4 “认证”“授权”“审计”的配置
值得注意的是,图中所示的配置条目,将表单的名字设为了default,即默认表单,使用这个名字的表单会默认的将3A认证应用到设备的所有接口上。我们也可以不使用default表单而自己为表单命名,但要注意,如果使用了自己命名的表单,表单是不会自动应用到接口上的,我们需要手动的在接口下进行调用,如图5,图6。
图5 使用default以外的表单名
图6 在接口下的调用方式
三.命名3A认证的配置方法
在实际的生产环境中常常会出现需要在一台设备上同时开启两个3A认证的情况。
以大连分行为例,在外联区的LG002和LG003上需要同时开启两个3A认证,一个用于为下接的无线自助设备分配地址,另一个用于常规的登录验证。如果遇到这种情况,使用之前普通的3A认证方式是无法实现的。我们需要使用“命名3A认证”的方式进行配置。配置方法如图7所示。
图7 命名3A认证的配置方法
如图所示,我们需要创建两个命名的表单,一个名为NEW,用于登录设备的认证;另一个名为DL用于下联设备的地址分发,在我们创建的表单中我们可以直接的对服务器地址及密码进行指定。命名的表单创建完成后,我们还需要改变“认证”“授权”中的验证方式,将之前使用的group tacacs+ local改成group NEW local以及group DL local,即先使用“NEW”和“DL”这两个表单中定义的验证方式进行验证,再进行本地验证。在“审计”中只需将之前常用的group tacacs+改成group NEW和group DL即可。这样就可以实现在同
一个设备上同时开启两个甚至多个3A认证的要求。 四.总结
通过命名3A的方式,可以大大的提高3A认证的扩展性,进而提高网络设备的安全等级,对今后行内网络设备的管理非常有益。
By Suzumiya 2015
因篇幅问题不能全部显示,请点此查看更多更全内容