بروتوكول AAA هو إختصارا لــ Authentication / Authorization / Accounting
الدور ديال هاد البروتوكول هو كما ظاهر على إسمه, كيدير لينا التحقق وكيحدد الصلاحيات وأيضا كيراقب كل ما يحدث فالأجهزة ديالنا. باش نزيدو نفهموا أكثر غادي نحاولو نشرحو كل حرف آش كيعني.
الــ Autentication : هي التحقق من المستخدم لي باغي يدخل للجهاز ديالنا. ملي شي واحد كيبغي يدخل للروتور مثلا كيطلب منو الروتور الإسم ديالو والباسوورد, وخاص دوك المعلومات يكونو هما نفسهم لي كاينين فلاباز دوني ديال الروتور. ومن بعد غانشوفو كيفاش نديرو هادشي.
هاد الــ Authentication فيها جوج ديال الأنواع.
النوع الأول هو لي كيكون فالروترو نفسه, ولي كنسميوه Local Base
النوع الثاني هو لي كيكون فالسيرفر. ولي كيكون بهاد الشكل :
كانو هاذو هما الأنواع ديال الـ Authentication.
ندوزو للــ Authorization ولي هي شنو هما الصلاحيات لي عند هاد المستخدم لي غايدخل للروتور ديالنا, يعني شنو يمكن ليه يدير وآشمن Mode Privilège غانعطيوه.
وفالأخير كاينة الــ Accounting ولي كنقصدو بها التتبع, يعني أي مستخدم دخل للرتور ودار شي كونفيغ فيه غاتبقى لينا التسجيلات ديالو ونقدرو نشوفوو إمتى دخل وامتى خرج وشنو دار.
باش نقدرو نديرو هاد العمليات ونستخدمو بروتوكول الــ AAA عندنا ثلاثة الطرق. إما باستخدام الـ Local Base ولي هي الطريقة لي ذكرنا الفوق, أي أننا غانخليو الروتور هو نيت لي غايكون AAA
الطريقة الثانية هي إستخدام بروتوكول RADIUS
الطريقة الثالثة عن طريق استخدام بروتوكول TACACS+
الطريقة الأولى مشروحة وباينة, نشوفو الطرق الاخرين. وشنو الفرق بيناتهم. باش نخدمو بهاد جوج بروتوكولات كيخصنا سيرفر, على عكس الطريقة الأولى لي كيكون غير الروتور كافي. شنو الفرق بين هاد جوج بروتوكولات ؟
كاين فرق لي ما ذكرتوش فالجدول الفوق ولي هو الـ Radius أسرع مقارنة بـ Tacacs والسبب راجع للبروسيس لي كيديروها بجوج. بالنسبة للراديوس كيخدم بالبروتوكول الـ UDP مما يعني أن الاتصالات ديالو كتكون بسرعة, بحيث أنه ما كيديرش خاصية المصادقة الثلاثية. كيصيفط كولشي دقة وحدة للسيرفر. على عكس الـ Tacacs لي خاصو يبقى فكل مرة يسول على كل خطوة بوحدها.
هاذو صور كيبينو الفرق بيناتهم.
الكونفيغيراسيون
الكونفيغ ديالنا غاتكون عن طريق العمل بواحد الطوبولوجي بسيطة ولي فنفس الوقت أنديرو فيها الطرق بثلاثة.
طبعا من بعد ما نآدريسيو الشيما كاملة ونديرو الروتاج, أنا هنا درت الروتاج بالـ RIP ندوزو الكونفيغ لي كتهمنا, ونبداو بالـ
هنا أول حاجة خاص نديروها هي ندخلو إسم اليوزر والباسوورد لي غايآكسيدي بيه المستخدم, فرضا عندنا واحد المستخدم لي هو أنا Mohamed الكوموند أتكون على هاد الشكل:
Router(config)#username mohamed password 123456 {codeBox}
إذن أنا دبا كرييت فلاباز دوني ديال الروتور واحد اليوزر بالمودباص ديالو. يعني داك المستخدم لي هو أنا ملي غانبغي ندخل للروترو غايخصني ندخل هاد اليوزرنايم لي هو mohamed و المودباص لي هو 123456
دبا ندوزو للخطوة الثانية ولي هي نآكتيفيو فالروتر لاكسي آديسطونص عن طريق الــ SSH :
Router(config)#hostname LocalLocal(config)#ip domain-name darijatec.comLocal(config)#crypto key generate rsa {codeBox}
دبا أنا هنا درت غير الكونفيغ ديال الــ SSH
دبا اندوز باش ندير الــ AAA :
Local(config)#aaa new-modelLocal(config)#aaa authentication login default localLocal(config)#line vty 0 15Local(config-line)#login authentication defaultLocal(config-line)#transport input ssh {codeBox}
فواالا، خلينا نشرحو هاد العجب لي درنا هنا, أول حاجة درت هي آكتيفيت البروتوكول ديال الــ AAA.
ثاني كوموند درت هي آكتيفيت الـ Authentication علامن آكتيفيتها على الـ login يعني أي واحد غايبغي يلوغيني على الروتور خاص تآبليكا عليه الـ Authentication ودرتها تم تكون default فهاد الحالة شنو كنقصدو بهاد default بلي هاد الـ login راه يقدر يكون من أي بلاصة, يعني ماشي محدد من شي مود معين, نقدر ندخل بالمود كونصول ولا الـ Vty ولا أي مود.. فهاد الحالة عندي الحق نبدل default بشي list-name ونسميها لي بغيت, نعطيك مثال:
Local(config)#aaa new-modelLocal(config)#aaa authentication login darijatec localLocal(config)#line vty 0 15Local(config-line)#login authentication darijatecLocal(config-line)#transport input ssh {codeBox}
هذا مثال بسيط وكنظن راك لاحظتي الفرق فين كاين, داكشي لي كديكلاريه فالـ Authentication هو نفسو لي خاصك تكتبو فالـ line لي نتا باغي تآبليكي عليها الـ Authentication
خلينا الآن ندوزو للطريقة الثانية و لي هي :
RADIUS:
الكونفيغ غاتكون بهاد الطريقة:
Router1(config)#hostname RadiusRadius(config)#ip domain-name darijatec.comRadius(config)#crypto key generate rsa {codeBox}
Radius(config)#aaa new-model
Radius(config)#aaa authentication login default group radius
Radius(config)#radius-server host 192.168.2.2 key radius
Radius(config)#line vty 0 15
Radius(config-line)#login authentication default
Radius(config-line)#transport input ssh {codeBox}
خلينا نشرحو آش درنا هنا, كريينا الـ SSH عادي, من بعد آكتيفينا الـ AAA ومن بعد درت نفس الكوموند لي درنا قبل باش نآكتيفيو الـ Authentication غير هنا بدلنا Local بـ group radius لأننا هنا مابغيناش نخدمو بالـ Local وإنما غادي نجيبو سيرفر غانحطو فيه كاع المستخدمين لي بغاناهم يدخلو للروتور والسيرفر هو لي غايولي يقرر واش يدخل ولا لا. فالكوموند لي من بعد عطيت لادريس أيبي ديال السيرفر ديال Radius وعطيتو الـ Key لي غايكون متافق عليها هو والراوتر لي فهاد الحالة هي radius وفالأخير درت لي لين وعطيتهم النوع لي بغيت نآبليكي عليه ولي هو default كن كرييت شي ليست كن حطيتها هي فبلاصة default.
دبا خاصني نمشي للسيرفر ديال الـ Radius وندير فيه الكونفيغ حتى هو :
الصورة توضح نفسها, إذن ما كاين مانشرح فيها.
ندوزو للطريقة الثالثة لي هي :
TACACS+ :
Router1(config)#hostname TacacsTacacs(config)#ip domain-name darijatec.comTacacs(config)#crypto key generate rsa {codeBox}
Tacacs(config)#aaa new-model
Tacacs(config)#aaa authentication login default group tacacs+
Tacacs(config)#tacacs-server host 192.168.1.2 key tacacs
Tacacs(config)#line vty 0 15
Tacacs(config-line)#login authentication default
Tacacs(config-line)#transport input ssh {codeBox}
ودبا راه كنظن أنك غاتكون فهمتي غا من خلال قراءة هاد الأسطر, نفس الكونفيغ لي كنديرو فالراديوس هي نفسها فالــ Tacacs كنبدلو غا إسم البروتوكول.
وهاذي هي الكونفيغ لي غاتكون فالسيرفر
لتحميل الماكيط : من هنــا
