路由器管理
RADIUS不允许用户 控制哪些命令在路由器可以被执行并且 哪些不能。所以， RADIUS不是如有用为路由器管理或如灵 活为终端服务。
TACACS+提供二个方法控制router命令的授权根据一个单个 用户或单个组的基本类型。第一个方法将指定权限级别到 命令和安排路由器用TACACS+服务器验证用户是否被认证在 指定的权限级别。第二个方法是指定在TACACS+服务器，在 一个单个用户或单个组的基本类型，明确命令允许。
鉴别和授权
RADIUS结合鉴别和授权。由RADIUS 服务器发给客户端的access-accept 分组包含授权信息。这使得鉴别和授权很难进行分离。
TACACS+ 使用AAA体系结构，对鉴别（authentication）、授权 （authorization）和记账（accounting）。这样允许分离鉴别的同时， 还可以将TACACS+用于授权和记账。例如，可以使用Kerberos鉴别而授权 和记账采用TACACS+。在NAS通过Kerberos服务器认证之后，它从TACACS+ 服务请求授权信息，而不需要再次重新认证。NAS通知TACACS+服务器它已 经成功地通过Keberos服务器认证，然后服务器提供授权信息。
互操作性
RADIUS 标准并不单保护操作性。即使几个厂商实现 RADIUS 客户端，这并不意味着它们可以互操作。大约有着 45种 标准 RADIUS ATTRIBUTES。 Cisco 实现了其中的大部 分并不断地添加。如果客户在他们的服务器中只使用标准 ATTRIBUTES，他们可能实现不同厂商的互操作性（假定这些 厂商实现同样的ATTRIBUTES）。然而，许多厂商实现专用 ATTRIBUTES对标准属性进行补充。如果客户使用这些厂商扩 充ATTRIBUTES，互操作无法实现。
TACACS+和RADIUS比较
AAA协议支持
端口号
Raidus
认证/授权 认证 授权 1645/1812 审计 1646/1813
TACACS+
49
传输层协议 加密方法
UDP 仅对密码字段加密
TCP 整个数据包加密 是 CISCO设备支持全部特 设备支持全部特 性 CISCO专有 专有
认证和授权分离（扩展性） 认证和授权分离（扩展性）否 互操作性
IAS
Windows Server 2003提供了IAS（Internet 2003提供了IAS（ 提供了IAS Internet验证服务），用于实 验证服务）， Authentication Service, Internet验证服务），用于实 RADIUS服务器和代理 作为RADIUS服务器，IAS执行多种 服务器和代理。 RADIUS服务器 现RADIUS服务器和代理。作为RADIUS服务器，IAS执行多种 类型网络访问的集中式连接身份验证、授权和记账， 类型网络访问的集中式连接身份验证、授权和记账，其中 包括无线、身份验证的交换机、拨号和VPN VPN远程访问以及路 包括无线、身份验证的交换机、拨号和VPN远程访问以及路 由器对路由器连接。作为RADIUS代理，IAS向其他RADIUS服 由器对路由器连接。作为RADIUS代理，IAS向其他RADIUS服 RADIUS代理 向其他RADIUS 务器转发身份验证和记账消息。 务器转发身份验证和记账消息。
为什么要做和 TACACS和RADIUS
TACACS：终端访问控制器访问控制系统（TACACS & TACACS+ ：Terminal Access Controller Access Control System）
RADIUS：Remote Authentication Dial In User Service， 远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应 用最广泛的AAA协议。
信息包加密
RADIUS在访问请求信息包加密，仅密码，从 客户端到服务器。信息包的剩下的事末加密。 其他信息，例如用户名，核准的服务和认为， 能由第三方捕获。 TACACS+加密信息包但分支的整个机体一个标 准的TACACS+头。在头之内指示的字段机体不 论是否被加密。为调试目的，它是有用的有 信息包的机体末加密。然而，在正常运行期 间，信息包的机体为安全通信充分地被加密。
虽然是公开协议， 虽然是公开协议，但是各家厂商都在 原有基础上增添了额外功能， 原有基础上增添了额外功能，难以实 现不同厂家的设备之间的户操作性
标准
工业标准
UDP和 UDP和 TCP
当TACACS+使用TCP时 ，RADIUS使用UDP。 TCP提供几个优点胜过UDP。 而UDP提供最佳效果发送，TCP提供面向连接的传输。 RADIUS要求另外 的可编程变量例如转播企图和超时补尝尽力而为传输，但缺乏TCP传输 提供内置支持的级别：
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
本实例以tacacs+协议为例 拓扑图：
运用AAA服务器认证实例 运用AAA服务器认证实例 AAA
准备工作： 1.给路由器和AAA服务器配好ip地址 2.在服务器上指好client端。
在ACS 导航条中选择“Network Configuration”，点击右边栏 的“Add Entry”进入以下界面 。 在“AAA Client Hostname”处 填入AAA 客户端的名称，在“AAA client IP Address”处填入AAA 客 户端的地址，在“key”处填入AAA 客户端的密码，“authentication Using”处选择该客户端所使用认证 协议，最后点击 “Submit+Restart”完成服务器设 置。
2
什么是AAA认证？ 什么是AAA认证？ AAA认证
什么是AAA认证？ 什么是AAA认证？ AAA认证
什么是AAA认证？ 什么是AAA认证？ AAA认证
举例说明
以vod2.3 oda为例说明。
身份认证(Authentication 身份认证(Authentication)
登陆时验证name、 登陆时验证name、password name 、subid、sccode是一个确定 subid、sccode是一个确定 用户身份的过程。 用户身份的过程。 授权（Authorization） 授权（Authorization） 通过调用存储过程 subvalidate.validate对相 subvalidate.validate对相 应字段进行判断完成对该用 户的授权。 户的授权。 审计（Accounting） 审计（Accounting） 当用户每进行了一些相应操 作时， 作时，程序会首先进入拦截 器验证用户的什么， 器验证用户的什么，然后再 去验证用户的权限， 去验证用户的权限，接着进 行相应操作这就是所谓的3w 行相应操作这就是所谓的3w ，who、when、what。 who、when、what。
三A认证基础知识介绍
主讲人：宋淼 2012 2012-2-20

技术背景
现在,网络访问方法越来越多,使遵守安全制度和不可控的网络访问成为企业 担心的主要问题.随着IEEE802.11无线局域网(WLAN)和普遍宽带互联网连接的 广泛使用.安全问题不仅存在于网络外部,还存在于网络内部,能够防范这些安全 漏洞的身份识别技术现在已成为吸引全球用户关注技术。 网管希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性 来提供灵活的授权策略。并能集中跟踪监控网络用户连接的能力对与杜绝不适 当的或过度使用宝贵的网络资源至关重要。 这样AAA就孕育而生了。
TACACS+ 数据流例子
下列例子假定用户 telnet到路由器，执 行一条命令，然后退 出路由器，登录鉴别 、exec授权、命令授 权、start-stop exec 记账和命令记 账的数据流：
RADIUS 数据流例子
下列例子假定用户 telnet到路由器，执 行一条命令，然后退 出路由器，登录鉴别 、exec授权、和 start-stop exec 记 账的数据流（其他管 理服务不可用）：
AAA的实现 AAA的实现
AAA由具体的 由具体的AAA协议来实现，目前最常用的 协议来实现， 由具体的 协议来实现 目前最常用的AAA协议包括 协议包括 RADIUS和TACACS+两种。众多厂商都开发了支持 两种。 和 两种 众多厂商都开发了支持AAA协议的服务 协议的服务 程序，例如： 程序，例如： 微软内置的Internet 身份认证服务 身份认证服务(IAS)，可以支持 微软内置的 ，可以支持RADIUS CISCO ACS可支持 可支持RADIUS和TACACS+协议 和 协议 可支持 注意：要想实现 注意：要想实现AAA，需要安装这些支持 ，需要安装这些支持AAA协议的服务程序才 协议的服务程序才 行。
软件安装使用
添加RADIUS客户端 Network config –add entry—aaa client –submit 从新启动ACS服务 System config –service control—restart 创建并配置用户 User setup—username test –submit -- list all users 配置统计日志 System config ---logging—CSV passed authentications –submit 查看RADIUS服务器上的日志 Reports and activity ---passed authentications--active.csv--- filed attempts active.csv
数据流
由于 TACACS+ 和RADIUS协议的不同，客户端和服务器之间生成 的数据流流量也不同。下面例子中讲述在客户端和服务器之间使用 TACACS+ 和RADIUS的数据流，包括鉴别路由器管理、exec授权、命 令授权（RADIUS无法实现），exec记账和命令记账（RADIUS无法实 现）。