收藏
下载资源

tacacs +和radius比较(全)

上传人:第*** 文档编号:32818699 上传时间:2018-02-12 格式:DOC 页数:5 大小:77.50KB
返回 下载 相关 举报
tacacs +和radius比较(全)_第1页
第1页 / 共5页
tacacs +和radius比较(全)_第2页
第2页 / 共5页
tacacs +和radius比较(全)_第3页
第3页 / 共5页
tacacs +和radius比较(全)_第4页
第4页 / 共5页
tacacs +和radius比较(全)_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《tacacs +和radius比较(全)》由会员分享,可在线阅读,更多相关《tacacs +和radius比较(全)(5页珍藏版)》请在金锄头文库上搜索。

1、TACACS +和 RADIUS 比较前言 用于的二个突出的安全 协议控制访问到网络是 Cisco TACACS+和 RADIUS。RADIUS 规格 在 RFC 2865 描述 ,废弃 RFC 2138 。 Cisco 做支持两个协议与最佳组提供。它不是 Cisco 的 目的与RADIUS 竞争或影响用户使用 TACACS+ 。您应该选择最 将好达到需要的解决方案。本文讨论在TACACS+和 RADIUS 的之 间区别,因此您能使一个通告选择做出。 Cisco 从 Cisco IOS 软件版本 11.1 支持 RADIUS 协议在 1996 年 2 月。Cisco 继续提高 RADIUS客户

2、端带有新功能和功能,支持 RADIUS 作为标准。 Cisco 严重评估了 RADIUS 作为安全协议在开发 TACACS+之前。许多功能在 TACACS+协议包括适应增长的安全市场的需要。协议设计扩展 当网络增长和适应新的安全技术当市场成熟。TACACS+协议的 底层体系结构补全独立验证、授权和记帐(AAA)体系结构。 RADIUS背景 RADIUS 是使用 AAA 协议的接入服务器。 它是获 取对网络和网络 服务的远程访问未被授权的访问分布式安全的系统 。RADIUS 包括三个组件: 一 个协议带有使用用户数据协议的帧格式(UDP)/IP 一个服务器 一个客户 端而客户端在拨号接入服务器驻

3、留并 且可以被分配在网络过程中,服务器在一台中央计算机典型地运行 在用户站点。Cisco 合并 RADIUS 客户端到 Cisco IOS 软件版本 11.1 以上和其他设备软件里。 客 户 端 /服 务 器 型 号 网络接入服务器(NAS)运 行作为 RADIUS 的客户端。客户端负责通过用户信息对指定的 RADIUS 服务器,然后操作在返回的回应。 RADIUS 服务器负责 对收到用户连接请求,验证用户,然后返回所有配置信息必要为客 户端提供服务到用户。RADIUS 服务器能作为代理客户端到其 他认证服务器。 网 络 安 全 处理在客户端和 RADIUS 服务器之间通过使用分享秘密验证,在

4、网络从未被发送。 另 外,发送所有用户密码被加密在客户端和 RADIUS 服务器之间,排除 监听在一个不安全的网络的某人可能确定用户密码的可能性。 灵 活 的 认 证 机 制 RADIUS 服务器支 持各种各样的方法验证用户。当它带有用户时和原始密码产 生的用户名,可以支持PPP、密码验证协议(PAP) 或者质询握手验 证协议(CHAP)、UNIX 登录和其他认证机制。 服 务 器 代 码 可 用 性 商业和自由地有服务器 编码的一定数量的分配可用。Cisco 服务器包括 Cisco Secure ACS Windows版、Cisco Secure ACS UNIX 版和 Cisco 访问注册

5、。 比较 TACACS+和 RADIUS 以 下部分比较 TACACS+和 RADIUS 几个功能。 UDP 和 TCP 当 TACACS+使用 TCP 时 ,RADIUS 使用 UDP。 TCP 提供几个优点胜过 UDP。而 UDP 提供最佳效果发送,TCP 提供面向连接的传输。 RADIUS 要求 另外的可编程变量例如转播企图和超时补尝尽力而为传输,但缺乏 TCP 传输提供内置支持的级别: 使用 TCP 如何提供单独确认请求收到了,在( 近似)网络往返时间(RTT 之内 )不管装载并且减慢后端验证机制(TCP 应答)也许是。 TCP 提供一失败或者不的立即指示,服务器由重置 (RST 负责

6、操行)。您能确定当服务器失效并且回到服务时如果 使用长寿命的 TCP 连接。UDP 不能说出发生故障的服务器,一 个慢速服务器和一个不存在的服务器的之间差别。 使用 TCP Keepalive,服务器失败可以被发现带外带 有实际请求。与多个服务器的连接可以同时被维护,并且您 只需要寄发消息到那个被知道是正在运行的。 TCP 是更加可升级的并且适应生长,并且拥塞,网络 。信 息 包 加 密 RADIUS 在访问请求信 息包加密仅密码,从客户端到服务器。信息包的剩下的事末 加密。其他信息,例如用户名,核准的服务和认为,能由第 三方捕获。 TACACS+加密信息包但分 支的整个机体一个标准的 TAC

7、ACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通 信充分地被加密。 认 证 和 授 权 RADIUS 结合认证和授权。RADIUS 服务器发送的 访问接受信息包到客户端包含授权信息。这使它难分离认证 和授权。 TACACS+使用 AAA 体系结构, 分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。 例如,带有 TACACS+, 使用 Kerberos 认证和 TACACS+ 授权和记帐是可能的。在 NAS 在 Kerberos 服务器之后验证,请求授权信息从

8、TACACS+服务器没有必 须重新鉴别。NAS 通知 TACACS+服务器在 Kerberos 服务器成功 验证,并且服务器然后提供授权信息。 在会话期间,如果另外特许检查是需要的,接入服务 器检查以 TACACS+服务器确定是否同意用户权限使用一个特定命令。 这提供对在接入服务器可以被执行当分离从认证机制时的命 令的更加巨大的控制。 多协议支持 RADIUS 不支持以下协 议: AppleTalk 远程访问(ARA)协议 NetBIOS 帧协议控制协议 Novell 异步服务接口 (NASI) X.25 PAD 连接TACACS+提供多协议支持。 路 由 器 管 理 RADIUS 不允许用户

9、 控制哪些命令在路由器可以被执行并且哪些不能。所以, RADIUS 不是如有用为路由器管理或如灵活为终端服务。 TACACS+提供二个方法控制 router 命 令的授权根据一个单个用户或单个组的基本类型。第一个方 法将指定权限级别到命令和安排路由器用 TACACS+服务器验证用户是 否被认证在指定的权限级别。第二个方法是指定在 TACACS+服 务器,在一个单个用户或单个组的基本类型,明确命令允许。 共 用 由于 RADIUS 请求注解 (RFC )的多种解释,遵照 RADIUS RFC 不保证共用。即使几个 供应商实现RADIUS 客户端,这不意味着他们是相互可操作的。 Cisco 实现多

10、数 RADIUS 属性和一致添加更多。如果用户 在他们的服务器使用仅标准 RADIUS 属性,他们能可能相互运用在几 个供应商之间,提供这些供应商实现同样属性。然而,许多 供应商实现是专有属性的扩展名。如果用户使用这些特定供 应商的扩展属性之一,共用不是可能的。 数 据 流 由于 TACACS+的早先被 援引的区别和 RADIUS 、数据流量之间生成在之间客户端和服务器 将有所不同。以下示例说明客户端和服务器的之间数据流为 TACACS+和 RADIUS 当为路由器管理使用带有认证、EXEC 授权、RADIUS 不能执行)的命令授权( 时,exec 记帐和 RADIUS 不能执行)的命令记帐。

11、 pageTACACS+数据流示例 以下示例假设登录认证,EXEC 授权,命令授权, start-stop exec 记帐,并且命令记帐实现带有TACACS+当时用户 Telnet 到路由器,执行一个命令,并且退出路由器: RADIUS 数据流示例 以下示例假设登录认 证,EXEC 授权,并且 start-stop exec 记帐实现与 RADIUS 当时用户 Telnet 到路由器,执行一个命令,并且退出路由器(其他管理服务 不是可用的): 设 备 支 持 下面的表列表 TACACS+和 RADIUS AAA 技术支持由设备 类型。此表提供关于技术支持添加的软件版本的信息。 Cisco Ai

12、ronetCisco 设备TACACS+认证TACACS+ 授权TACACS+记帐RADIUS认证RADIUS 授 权RADIUS 记帐Cisco Aironet1 12.2(4)JA 12.2(4)JA 12.2(4)JA 所有访问 点 所有访问点 所有访问点Cisco IOS 软件2 10.33 10.33 10.333 11.1.1 11.1.14 11.1.15 Cisco 缓存引擎 - - - 1.5 1.56 -Cisco Catalyst交 换机 2.2 5.4.1 5.4.1 5.1 5.4.14 5.4.15 Cisco CSS 11000 内容服务交换机5.20 5.20

13、5.20 5.0 5.04 -Cisco PIX 防火墙 4.0 4.07 4.28,5 4.0 5.27 4.28,5 Cisco Catalyst 1900/2820 交换机8.x 企业 9 - - - - -Cisco Catalyst 2900xl/3500XL 交换机11.2.(8)SA610 11.2.(8)SA610 11.2.(8)SA610 12.0(5)WC511 12.0(5)WC511, 4 12.0(5)WC511, 5 Cisco VPN 300 3.0 3.0 - 2.012 2.0 2.012 0 集中器 6 Cisco VPN 5000 集中器 - - - 5

14、.2X12 5.2X12 5.2X12 表注释 1. 只有无线客户端的终 止,不是管理数据流在除 Cisco IOS 软件版本 12.2(4)ja 以上的之外 版本。在 Cisco IOS 软件版本 12.2.(4)ja 以上,认证为无线客 户端和管理数据流的终止是可能的。 2. 检查功能导航(现在废弃由软件顾问) 平台支持在 Cisco IOS 软件之内 3. 发出命令认为没 实现直到 Cisco IOS 软件版本 11.1.6.3 4. 没有命令授权 5. 没有命 令记帐 6. URL 阻塞仅,不管理数据流 7. 授权为非 VPN 数据流通过 PIX 注意: ACL RADIUS 属性 1

15、1 授权的版本 5.2 -访问控制 表(ACL) RADIUS 供应商专用属性(VSA) 的访问控制列表技术支持或 TACACS+授权为终止在 PIX 版本 6.1 的 VPN 数据流-技术支持为终止在 PIX授权的版本 6.2.2 -可下载的 ACLs 的技术支持带有 RADIUS 授权为 VPN 数据流终止在 PIX 版本 6.2 -技术支持的 VPN 数据流为 PIX 管理数据 流通过 TACACS+8. 占非 VPN 数据流通过 仅 PIX,不是管理数据流 注意: 版本 5.2 -占的技术支持 VPN 客户端软件 TCP 信 息包通过 PIX9. 仅企业软件 10. 需要 8M 闪存为镜象 11. 仅 VPN 终止

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 工程造价

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号