思科网络设备A认证的开启及命名A认证的配制方法

1、思科网络设备 3A 认证的开启及命名 3A 认证的配制方法一. 3A认证概述在 Cisco 设备中，许多接口，许多地方，为了平安，都需要开启认证效劳， 比方我们通常配置的 console 下的密码，进入 Privileged EXEC 模式的 enable 密码，VTY线路下的密码，以及其它二层接口的认证密码等等。这些密码配置在 哪里，那里就开启了相应的认证效劳。并且这些认证效劳方式是单一的，也没有 备份认证方式，更重要的是，这些密码只能读取本地，却不可以通过读取远程服 务器的认证方式来给自己提供认证效劳。 要想将一个接口的认证方式调用到另外 一个接口，或者让某接口使用远程效劳器的认证方式，那

2、就需要AAA中的认证来实现。AAA中的认证可以给设备提供更多的认证方式， AAA认证就相当于一个装有认证 方式的容器一样，里面可以有多个认证方式，当这个容器被安装在某个接口，那么 这个接口也就拥有了容器中所有的认证方式。而几乎所有的认证方式都可以被放入 这个容器中，包含远程效劳器的认证方式。二. 常见的 3A 认证配置方法 1 tacacs 效劳器和密码的宣告通常我们使用在全局模式下宣告 tacacs效劳器及密码的方式进行 3A认证的配 置，配置命令如图 1 所示。图 1 全局下 tacacs 效劳器及密码的宣告方法在宣告tacacs效劳器时，为了 3A认证的冗余性，我们可以在全局模式下同时

3、宣告多个tacacs效劳器地址。配置了多个tacacs效劳器地址后，在进行3A认证时， 设备会根据 tacacs 效劳器配置的先后顺序逐一进行认证，直到找到一台可用的tacacs 效劳器， 3A 认证成功为止。如图 2图 2 配置多个 tacacs 效劳器这种宣告方式有一个缺陷， 虽然我们可以同时宣告多个 tacacs 效劳器， 但是却只 能宣告一个密码， 也就是说用来进行冗余处理的 tacacs 效劳器都必须要配置一样的 认证密码， 这样不利于网络设备的平安管理。 为了解决这一问题， 我们可以将 tacacs 效劳器与密码同时进行宣告，如图 3.图 3 tacacs 效劳器与密码同时宣告这种

4、宣告方式解决了全局模式下只能宣告一个密码的问题， 并且这种方式同样也 可以同时宣告多条，和传统的宣告方式一样，这种新的宣告方式也会根据先后顺序 进行逐条的调用。 特别要注意的是这种新的宣告方式优先级比传统的宣告方式要高， 当这两种宣告方式同时存在时，设备会优先调用这种新宣告方式宣告的条目。2“认证“授权“审计的配置效劳器和密码宣告完成后， 就需要开始进行 3A 认证中“认证，“授权，“审计 的配置。认证：顾名思义就是对想要启用 3A 认证的设备进行身份的验证。授权：在完成“认证这一步骤的设备上，根据接入用户的等级不同，赋予用 户不同级别的操作权限。审计：对不同等级用户的操作过程进行记录。具体的

5、配置方法如图 4 所示图 4 “认证“授权“审计的配置值得注意的是，图中所示的配置条目，将表单的名字设为了 default ，即默认 表单，使用这个名字的表单会默认的将 3A认证应用到设备的所有接口上。我们也可以不使用 default 表单而自己为表单命名， 但要注意，如果使用了自己命名的表单， 表单是不会自动应用到接口上的， 我们需要手动的在接口下进行调用 , 如图 5，图 6。图 5 使用 default 以外的表单名图 6 在接口下的调用方式三. 命名3A认证的配置方法在实际的生产环境中常常会出现需要在一台设备上同时幵启两个3A认证的情况。以大连分行为例，在外联区的LG002和LG003

6、上需要同时幵启两个3A认证，一 个用于为下接的无线自助设备分配地址，另一个用于常规的登录验证。如果遇到这 种情况，使用之前普通的3A认证方式是无法实现的。我们需要使用“命名3A认证 的方式进行配置。配置方法如图 7 所示。图7命名3A认证的配置方法如下图，我们需要创立两个命名的表单，一个名为 NEVV用于登录设备的认 证；另一个名为DL用于下联设备的地址分发， 在我们创立的表单中我们可以直接的 对效劳器地址及密码进行指定。命名的表单创立完成后，我们还需要改变“认证授权中的验证方式，将之前使用的 group tacacs+ local 改成 group NEWlocal以及group DL local ，即先使用“ NEW和“ DL这两个表单中定义的验证方式进 行验证， 再进行本地验证。 在“审计 中只需将之前常用的 group tacacs+ 改成 group NEW和group DL即可。这样就可以实现在同