TACACS+协议

如果只有一个管理员需要访问100台路由器，而设备的本地数据库被用来存储用户名和密码信息（即用于身份验证），那么管理员就需要在不同的时间创建相同的用户账户。此外，如果他希望为不同的设备设置不同的用户名和密码，那么他还需要手动修改这些设备的身份验证设置。当然，这确实是一项非常繁琐的任务。
为了在一定程度上简化这一任务，可以使用Cisco ACS（访问控制服务器）。ACS提供了一个集中式管理系统，其中存储了用户名和密码信息。此外，还可以配置用户的权限，即用户被允许执行哪些操作。不过，为此，我们需要让路由器在进行身份验证和授权时，能够参考ACS的设定。
为了实现这一目的，ACS服务器与客户端之间使用了两种协议。

1. TACACS+
2. RADIUS

在这里，我们仅讨论TACACS+协议。
TACACS+ – 
TACACS+，即终端访问控制器访问控制服务器，是一种用于AAA框架中的安全协议。它旨在为那些希望访问网络的用户提供集中式的认证机制。
功能/特点 –TACACS+的一些特点包括：

1. Cisco开发了一种用于AAA框架的协议，该协议可以在Cisco设备与Cisco ACS服务器之间使用。
2. 它使用TCP作为传输协议。
3. 它使用TCP端口号49。
4. 如果设备和ACS服务器都使用TACACS+协议，那么它们之间交换的所有AAA数据包都会被加密。
5. 它将AAA系统中的各个要素区分开来，也就是说，认证、授权和计费等环节是分开的。
6. 它提供了更精细的控制能力（比RADIUS要强），因为可以指定用户允许使用的命令。
7. 它提供了会计方面的支持，但其功能不如RADIUS那么完善。
    

正在工作—— 
TACACS+的客户端被称为网络接入设备或网络接入服务器。网络接入设备会联系TACACS+服务器，以获取用户名信息。继续下去吧。用户随后输入用户名，网络访问设备会再次与TACACS+服务器联系，以获取密码提示信息。此时，系统会向用户显示密码提示信息。用户输入密码后，该密码会被发送给TACACS+服务器。
服务器可以返回以下其中之一的回复消息：

• 如果输入的凭据是有效的，那么 TACACS+ 服务器将会返回一个 “ACCEPT” 消息作为回应。
• 如果输入的凭据无效，那么 TACACS+ 服务器将会返回一个“REJECT”消息作为回应。
• 如果TACACS+服务器与NAS或TACACS+服务器之间的连接无法正常建立，那么它将返回一个错误消息作为响应。
• 如果需要使用TACACS+授权方式，那么需要再次与TACACS+服务器进行通信。服务器会返回“ACCEPT”或“REJECT”的授权响应。如果返回的是“ACCEPT”消息，那么该消息中包含了用于确定用户可以执行哪些服务的属性信息。
   

在会计方面，客户会向TACACS+服务器发送一个“REQUEST”消息。服务器会回复一个“RESPONSE”消息，表示已经收到了该记录。
优势/有利条件 

1. 相比 RADIUS 或 TACACS+，它提供了更精细的控制能力。网络管理员可以定义用户可以执行哪些命令。
2. 所有的AAA数据包都是经过加密处理的，而不仅仅是密码而已（在Radius的情况下也是如此）。
3. TACACS+使用的是TCP协议，而不是UDP协议。TCP能够确保客户端与服务器之间的通信能够顺利进行。
    

缺点/不利之处： 

1. 由于它是思科公司独有的技术，因此只能被思科设备之间相互使用。而TACAS+则是一种开放的行业标准，其标准编号为RFC8907。
2. 与RADIUS相比，对会计功能的支持要少得多。