AAA-Authentication Authorization Accounting

سرویس AAA    بر روی Switch  ها و  Router  های Cisco  پشتیبانی  می شود و AAA  بر گرفته از Authentication, Authorization, and Accounting می باشد

Authentication: یعنی کاربربا Username  و    Password وارد  و شناخته شده است

Authorization : زمانی که کاربر    Authentication  می شود بعد از ان  Authorization می اید سطوح دسترسی به منابع را کنترل  و مشخص می کند

Accounting : بعد از مرا حل Authentication  و Authorization  مدت زمان و مقدار دسترسی ها را Accounting تعیین می کند.

برای فعال کردن AAA  در مد Global  از دستور زیر استفاده می کنیم

(config)#aaa   new-model

با استفاده از ۲ روش می توانیم  Username  و Password  ها را به AAA   متصل کرد

  1. Local
  2. ( Radius Server (Remote Authentication Dial in User Service

 روش Local : همانند ساخت User  در Telnet  می باشد  یعنی بر روی Local  ساخته می شود

روش Radius :     از استاندارد IEEE 802.1x  استفاده می کند . پروتی که بر رویش ۱x.  فعال می شود به صورت پیش فرض اول   در حالت Disable می باشد و تنها اطلا عات مر بوط به خود ۱x.  از ان پورت عبور می کند و  هر زمان که کاربر  Authentication شود پورت وارد حالت enable  می شود  و زمانی که کاربر   log out  می کند  دوباره پورت وارد حالت  Disable می شود. می توان گفت  کاری که انجام می دهد این است که کار بر را Authentication می کند و زمانی که هویت کار بر  تایید می شود  پورت وارد حالت Forwarding   می شود  و اگر هویت کاربر تایید نشود پورت در حالت Disable می ماند .

Radius server  یک سرور  است که Username  و Password  ها  درونش تعیین و نگه داری می شود

 دستور برای معرفی کر دن Radius Server

#Radius-server  host     IPHOST  key   PASS

در اینجا به جای IPHOST  ادرس IP  که قرار است سرور باشد را قرار می دهیم

دستور برای Radius Server  که از ۱x. استفاده کنند

#aaa  authentication  dot1x   default  group  radius

#dot1x   system-auth-control

 بعد ار فعال کردن Radius Server  بر روی Device  باید پورتی که می خواهیم از ان استفاده کند  را با دستور زیر مشخص می کنیم.

(Config-if)#dot1x port-control   ?

 در اینجا به جای ؟ یکی از پارا متر های زیر را می گذاریم

Froce-autoris : به هر Device  اجازه بر قراری ارتباط می دهد

Force-on autoris : به هیچ Device  اجازه ارتباط نمی دهد

Auto :  پورت در این حالت به هر  Device   که متصل می شود شروع به تبادل اطلاعات ۱x.  می کند و بعد از Authentication شدن کاربران اجازه  استفاده از اطلاعات را می دهد

حال اگر   یک Uplink  داشته باشیم که  بیشتر از یک Device  به ان متصل باشد از دستور زیر استفاده می کنیم

Config-if#dot1x  post-mod  multi-host