TACACS+ 协议

如果单个管理员想要访问 100 个路由器，并且设备的本地数据库用于用户名和密码（身份验证），那么管理员必须在不同时间创建相同的用户帐户。此外，如果他想为设备保留不同的用户名和密码，那么他必须手动更改设备的身份验证。当然，这是一项繁重的任务。

为了在一定程度上简化此任务，使用了 Cisco ACS（访问控制服务器）。 ACS 提供了一个集中管理系统，其中保存了用户名和密码的数据库。此外，还可以配置授权（表示用户被授权执行的操作）。但为此，我们必须告诉路由器参考 ACS 来决定身份验证和授权。

ACS 服务器和客户端之间使用两种协议来实现此目的：

1. TACACS+
2. 半径

在这里，我们将只讨论 TACACS+。

TACACS+ –
TACACS+ 代表终端访问控制器访问控制服务器，是 AAA 框架中使用的一种安全协议，为想要访问网络的用户提供集中式身份验证。

特性 – TACACS+ 的一些特性包括：

1. Cisco 为 AAA 框架开发了协议，即它可以在 Cisco 设备和 Cisco ACS 服务器之间使用。
2. 它使用 TCP 作为传输协议。
3. 它使用 TCP 端口号 49。
4. 如果设备和 ACS 服务器正在使用 TACACS+，那么它们之间交换的所有 AAA 数据包都会被加密。
5. 它将AAA 分成不同的元素，即认证、授权和计费是分开的。
6. 它提供了更精细的控制（比 RADIUS），因为可以指定授权用户使用的命令。
7. 它提供记帐支持，但不如 RADIUS 广泛。
   

在职的 -
TACACS+ 的客户端称为网络访问设备 (Nad) 或网络访问服务器 (NAS)。网络访问设备将通过CONTINUE消息联系 TACACS+ 服务器以获取用户名提示。然后用户输入用户名，并且网络访问设备再次联系TACACS+服务器以获得向用户显示密码提示的密码提示（继续消息），用户输入密码，然后将密码发送到TACACS+服务器。

服务器可以使用以下回复消息之一进行响应：

• 如果输入的凭据有效，则 TACACS+ 服务器将以 ACCEPT 消息进行响应。
• 如果输入的凭据无效，则 TACACS+ 服务器将以 REJECT 消息进行响应。
• 如果 TACACS+ 服务器和 NAS 或 TACACS+ 服务器之间的链接不能正常工作，那么它将以 ERROR 消息进行响应。
• 如果需要 TACACS+ 授权，则再次联系 TACACS+ 服务器并返回 ACCEPT 或 REJECT 授权响应。如果返回 ACCEPT 消息，则它包含用于确定允许用户执行的服务的属性。
  

对于记帐，客户端将向 TACACS+ 服务器发送一条 REQUEST 消息，服务器用一条 RESPONSE 消息响应该消息，说明已收到记录。

优势 -

1. 提供比 RADIUS 更精细的控制。TACACS+ 允许网络管理员定义用户可以运行的命令。
2. 所有 AAA 数据包都经过加密，而不仅仅是密码（在 Radius 的情况下）。
3. TACACS+ 使用 TCP 而不是 UDP。 TCP 保证客户端和服务器之间的通信。
   

坏处 -

1. 由于它是 Cisco 专有的，因此只能在 Cisco 设备之间使用。 TACAS+ 是一个开放标准 RFC8907
2. 对会计的支持不如 RADIUS 广泛。