如何在华为的网络设备和思科ACS之间部署AAA

AAA是Authentication（验证）、Authorization（授权）和Accounting（审计）的简称。

AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法，授权用户可以访问哪些服务，并记录用户使用网络资源的情况。

例如，企业总部需要对服务器的资源访问进行控制，只有通过验证的用户才能访问特定的资源，并对用户使用资源的情况进行记录。在这种场景下，可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器，也称为AAA的客户端，负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备，也可以是以软件的形式安装在服务器 *** 作系统上（本文将使用思科的ACS软件来实现AAA服务器），用户的验证、授权和审计服务均由AAA服务器来完成。

图1-1

如图1-1所示，当分支站点的用户需要访问总部的服务器资源时，NAS设备会对用户的访问进行控制，用户向NAS设备提交账户信息（用户名和密码）后，NAS设备会将用户信息发送给AAA服务器，由AAA服务器进行账户信息的验证，并对用户进行授权。如果用户验证通过，则分支站点的用户可以访问到特性的服务器资源（可以访问哪些服务器，由授权来决定），同时AAA服务器也会对用户的访问行为进行审计。

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）由IETF定义的一种公有协议，是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外，不同的网络设备厂商也提出了各自的私有协议，例如，思科公司提出的TACACS+协议，华为提出的HWTACACS，也可以使用在AAA客户端和AAA服务器之间。（本文将使用RADIUS协议作为AAA的通讯协议）

图2-1

Step 1 - 基础IP配置（略）
Step 2 - 配置AAA服务器

在页面的左下角点击Create

配置AAA客户端

Step 3 - 配置AAA客户端

ARG3系列路由设备支持两种缺省域：

进入default-admin域绑定认证模板和radius-server模板（这个default-admin域是专门用来管理用的，所以telnet，ssh等登陆设备时必须使用这个默认的域，自己定义的不行）

Step 4 - 在PC机上进行测试

路由器7401上的配置(虚拟端口的配置)
interface Virtual-Template1
ip unnumbered Loopback0
ip mtu 1492
no logging event link-status
peer match aaa-pools（配置为从radius服务器拿地址）
peer default ip address pool pppoe_sqp（配置为从本机pool拿地址）
ppp authentication chap pap
ppp ipcp dns 211158268 211158269（分配DNS）
ppp timeout idle 3600
（断线时间：注意 timeout idle 起效需要的条件！！！idle time 的意义为如果无流量多长时间自动将用户断线
1。不可以启用IP CEF ,（原因，数据包必须经过路由器处理才可以重置idle time）
2同理，启用NAT也可以正常使用idle time
3应该和Radius的return-list attribute: session timeout配合使用，session timeout意义为不管有无流量本连接的最大时
全配置如下：
DAZU_7401_GOV#sh run
Building configuration
Current configuration : 1733 bytes
!
version 123
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DAZU_7401_GOV
!
boot-start-marker
boot system disk0:c7400-jk9o3s-mz123-8Tbin
boot system disk0:c7400-js-mz122-4B8bin
boot-end-marker
!
enable password 123
!
username tommy password 0 123
aaa new-model
!
!
aaa authentication ppp default local group radius
aaa authorization network default local group radius
aaa accounting network default start-stop group radius
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
!
!
ip cef
ip ips po max-events 100
vpdn enable
!
vpdn-group 1
accept-dialin
protocol pppoe
virtual-template 1
pppoe limit max-sessions 3000
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address 1721856 255255255255
!
interface GigabitEthernet0/0
ip address 10111 2552552550
duplex full
speed auto
media-type rj45
pppoe enable
!
interface GigabitEthernet0/1
ip address 1921681111 2552552550
duplex full
speed 100
media-type rj45
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1
ip mtu 1492
peer default ip address pool 1
ppp authentication pap chap
ppp ipcp dns 6112812868
ppp timeout idle 3600
!
ip local pool 1 10112 1011254
ip classless
no ip >1、路由器配置ADSL上网
2、建立你电脑的FTP服务
3、路由器配置端口影射，将WAN端口的21号端口影射到你的机器上
4、申请动态域名，并激活，可以使用路由器或者你的机器上安装一个动态域名的客户端
这样，在外网就可以通过域名访问你的FTP服务了，但有一点需要注意，外网连接后得到的是公网IP，而不能是私用IP地址
ftp是文件资源管理程序+协议，不是路由器系统配置，路由器没有实际分配内存给客户来存储这些。
电脑 *** 作系统在安装IIS后都会有FTP服务，WIN SERVER 2008，WIN7以上默认在系统组件里可以直接添加，ftp和发布网站原理是一样的，将系统里文件夹打包发布成ftp根目录，权限只派出去，指定的用户就能通过ip协议来访问了，跟路由器没有关系。

---