实用标准
AAA 配置与管理
一、基础
1、AAA 是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一
种管理机制;Authentication 是本地认证/授权,authorization 和 accounting 是由远处 radius(远程拨号认证系统)
服务或 hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA 是基于用户进行认证、授权、计费的,而 NAC
方案是基于接入设备接口进行认证的。
在实际应用中,可以使用 AAA 的一种或两种服务。
2、AAA 基本架构:
C/S 结构,AAA 客户端(也叫NAS-网络接入服务器)是使能了aaa 功能的网络设备(可以是一台或多台、不一定是
接入设备)
3、AAA 基于域的用户管理:
通过域来进行 AAA 用户管理,每个域下可以应用不同的认证、授权、计费以及 radius 或 hwtacacs 服务器模板,
相当于对用户进行分类管理
缺省情况下,设备存在配置名为 default(全局缺省普通域)和 default_admin(全局缺省管理域),均不能删除,
只能修改,都属于本地认证;default 为接入用户的缺省域,default_admin 为管理员账号域(如 http、ssh、telnet、
terminal、ftp 用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如 user@huawei.com 就表示属于
huawei 域,如果用户名不带@,就属于系统缺省 default 域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较 AAA 服务器的授权信息优先
级低,通常是两者配置的授权信息一致。
4、radius 协议
Radius 通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义 UDP 1812、1813 作为认证(授权)、计费端口
Radius 服务器维护三个数据库:
Users:存储用户信息(用户名、口令、使用的协议、IP 地址等)
Clients:存储 radius 客户端信息(接入设备的共享密钥、IP 地址)
Dictionary:存储 radius 协议中的属性和属性值含义
Radius 客户端与 radius 服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
5、hwtacacs 协议
Hwtacacs 是在 tacacs(rfc1492)基础上进行了功能增强的安全协议,与 radius 协议类似,主要用于点对点 PPP
和 VPDN(virtual private dial-up network,虚拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与 radius
相比,具有更加可靠的传输和加密特性,更加适合于安全控制。
Hwtacacs 协议与其他厂商支持的 tacacs+协议的认证流程和实现方式是一致的,能够完全兼容 tacacs+协议
6、华为设备对 AAA 特性的支持
支持本地、radius、 hwtacacs 三种任意组合
本地认证授权:
优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制
文案大全
- 1
- 2
前往页