cisco

تغییرپروتکل Telnet به ssh در روتر های سیسکو

1-ابتدا باید IOS مربوط که نسخه Security است را نصب کنید.

2-Ip Domain-name    ez.post.ir

3-crypto key generate Ras

4-yes

5-Enter

6-line vty 0 15 

7-transport Input ssh 

8-write mem

9-exit

آشنایی با RADIUS و TACACS+ و راه اندازی اولیه روی تجهیزات سیسکو

می خواستم تو شبکه سرور Auth برای سوییچ ها و یه سری داستانهای دیگه راه بندازم. به خاطر همین یه چند خطی در موردTACACS+ و RADIUS خوندم. گفتم اینجا هم بذارم. شاید به درد برخی دوستان که مثل من تازه کارند بخوره :

از این دو پروتکل برای AAA یا همون Authentication, Accounting و Authorization استفاده میشه.
یعنی اینکه کی میتونه وارد بشه Authentication
به کجاها دسترسی داره Authorization
چقدر اعتبار داره (پولی ، ساعت استفاده ، استفاده از هر کدوم از منابع به چه میزان و . ) Accounting

اما تفاوت های اینها :

TACACS+ پروتکل اختصاصی شرکت سیسکو هستش 
RADIUS عمومی هستش و مال IETF

TACACS+ کل بسته را کد گذاری می کند
RADIUS فقط بسته های های اولیه حامل رمز را کد گذاری می کند

TACACS+ سه فرآیند بالا را کاملا جداگانه در نظر می گیرد و با آنها برخورد متفاوت و مستقل از دیگری دارد
RADIUS در واقع Authentication, و Authorization را ترکیب می کند و اجرای یکی از آنها بدون دیگری عملا با مشکلاتی روبرو میشود

TACACS+ از پروتکل های مختلفی چون NOVEL NASI، Netbios Frame Control Protocols، X.25، AppleTALK و ... پشتیبانی می کند
RADIUS هیچ کدام را ساپورت نمیکند

TACACS+ می تواند میزان دسترسی یوزر و حتی فرامینی را که وی می تواند روی روتر اجرا کند تعیین نماید
RADIUS نمی تواند این کار را انجام دهد

TACACS+ از TCP 49 استفاده می کند
RADIUS قبلا از UDP 1645 , 1646 استفاده میکرد و نسخه های جدید آن پیش فرض از UDP 1812 , 1813 استفاده می کنند


برای راه اندازی سرور روی روتر یا سوییچ مراحل بسیار ساده ای لازم است.

اول با این دستور به طور کلی استفاده از AAA را فعال می کنیم.

R(config)# aaa new-model

حال با این دستور سرورهای TACACS یا RADIUS را معرفی می کنیم

R(config)# tacacs-server host 172.16.10.10 key mhdganji

R(config)# radius-server host 172.16.10.10 key mhdganji

حال میخواهیم بگوییم برای مثلا Auth از کدام سرور استفاده شود

R(config)# aaa authentication login default group radius

حالا میخواهیم بگوییم اول TACACS اگر نشد RADIUS و اگر نشد از پسوردهای لوکال ذخیره شده

R(config)# aaa authentication login default group tacacs group radius local

حالا می خواهیم بگوییم اگر هیچ کدام نشد اصلا نمیخواد رمز بپرسی. طرف رو بدون تصدیق اعتبار بفرست تو (که مشخصه ریسک امنیتی هستش)

R(config)# aaa authentication login default group tacacs group radius none

امیدوارم به درد دوستان بخوره
موفق باشید



راستی
TACACS+ گونه جدیدتر TACACS و XTACACS هستش که البته با قبلی ها سازگاری نداره

مروری بر سیسکو (AAA (Authentication,Authorization,Accounting

در: مرداد ۲۴, ۱۳۹۴در: سیسکو

 چاپ ایمیل

AAA چه مزایایی را برای ما فراهم می کند:

1. افزایش امنیت برای تنظیمات دستگاهها با اجازه دادن به تعداد محدودی از کاربران

2. امکان داشتن چندین پشتیبان از دسترسی های انجام شده در شبکه

3. استفاده از پروتکل های استاندارد مانند +TACACS وRADIUS و Kerberos

مراحل تنظیم کردن AAA به شرح زیر می باشد:

لینک سیسکو