2.TACACS+

終端訪問控制器訪問控制系統(tǒng)( Terminal Ac,cess Controller Acc,ess-Control System，TACACS)由RFC1492定義，標(biāo)準(zhǔn)的TACACS協(xié)議只認(rèn)證用戶是否可以登錄系統(tǒng)，目前已經(jīng)很少使用。TACACS+協(xié)議由Cisco公司提出，主要應(yīng)用于Cisco公司的產(chǎn)品中，運(yùn)行于TCP協(xié)議之上。TACACS+協(xié)議分為認(rèn)證和授權(quán)兩個不同的過程。

在認(rèn)證過程中，客戶機(jī)發(fā)送一個START包給服務(wù)器，包的內(nèi)容包括執(zhí)行的認(rèn)證類型、 用戶名等信息。START包只在一個認(rèn)證會話開始時使用一次，序列號永遠(yuǎn)為l。服務(wù)器收到START包以后，回送一個REPLY包，表示認(rèn)證繼續(xù)還是結(jié)束。如果認(rèn)證繼續(xù)，REPLY包將指出還需要提交哪些新信息。如果客戶機(jī)收到認(rèn)證結(jié)束的REPLY包，則認(rèn)證結(jié)束；如果收到認(rèn)證繼續(xù)的REPLY包，則向服務(wù)器發(fā)送CONTINUE包，其中包括服務(wù)器要求的信息，如此反復(fù)，直到認(rèn)證結(jié)束。

TACACS+授權(quán)過程分為兩步。首先，客戶端向服務(wù)器發(fā)送一個REQUEST包，內(nèi)容包括請求授權(quán)的服務(wù)和選項(xiàng)等。服務(wù)器回復(fù)客戶端一個RESPONSE包。

由于在傳輸層上使用TCP協(xié)議對其數(shù)據(jù)包進(jìn)行封裝和傳輸，TACACS+具有較高的傳輸可靠性。該協(xié)議還能對除數(shù)據(jù)包頭外的所有數(shù)據(jù)包信息加密，保證了通信安全。TACACS十協(xié)議采用了重傳機(jī)制，在大型網(wǎng)絡(luò)中，實(shí)時性較差。