AAA new-model – это конфигурационная команда в операционной системе Cisco IOS, которая переключает модель управления доступом с базовой на более расширенную модель AAA (Authentication, Authorization, Accounting).
Что такое AAA?
AAA - это система аутентификации, авторизации и учета, которая обеспечивает безопасный доступ к сетевым ресурсам. Она состоит из трех основных компонентов:
- Аутентификация: Проверка подлинности пользователя или устройства.
- Авторизация: Определение прав доступа пользователя после успешной аутентификации.
- Учет: Ведение журнала действий пользователя в сети.
Зачем нужна команда aaa new-model?
- Расширенные возможности: Позволяет использовать более сложные и гибкие механизмы аутентификации, авторизации и учета, такие как RADIUS и TACACS+.
- Централизованное управление: Возможность управлять доступом к нескольким устройствам Cisco из единого центра.
- Повышенная безопасность: Обеспечивает более надежную защиту сетевых ресурсов.
Как работает aaa new-model?
Когда вы вводите команду aaa new-model в глобальном конфигурационном режиме, Cisco IOS переходит в режим расширенной модели AAA. После этого вы можете конфигурировать следующие элементы:
- Списки методов аутентификации: Определение методов, которые будут использоваться для проверки подлинности пользователей (например, локальная база данных, RADIUS, TACACS+).
- Списки методов авторизации: Определение методов, которые будут использоваться для определения прав доступа пользователей.
- Списки методов учета: Определение методов, которые будут использоваться для ведения журнала действий пользователей.
- Профили пользователей: Создание профилей пользователей с определенными правами доступа.
Пример конфигурации
aaa accounting exec default start-stopRouter(config)# aaa new-model
Router(config)# aaa authentication login default local
Router(config)# aaa authorization exec default local
Router(config)#
В этом примере:
- Для аутентификации используется локальная база данных.
- Для авторизации также используется локальная база данных.
- Для учета используется метод "start-stop" (запись начала и конца сеанса).
Когда использовать aaa new-model?
- Сложные сети: Если у вас крупная сеть с множеством пользователей и устройств, то использование AAA new-model позволит централизованно управлять доступом.
- Высокие требования к безопасности: Если для вас важна безопасность сети, то AAA new-model поможет обеспечить надежную защиту.
- Использование RADIUS или TACACS+: Если вы хотите использовать серверы аутентификации RADIUS или TACACS+, то необходимо включить режим aaa new-model.
Важные моменты
- Совместимость: Команда aaa new-model присутствует для совместимости с другими системами управления Cisco, но ее использование на современных устройствах не обязательно.
- Дополнительные настройки: После включения aaa new-model необходимо настроить другие параметры, такие как списки методов аутентификации, авторизации и учета, а также профили пользователей.
Вывод: Команда aaa new-model является важным инструментом для обеспечения безопасности и централизованного управления доступом в сетях Cisco. Ее использование позволяет создать более надежную и гибкую систему управления доступом.
