AAA 配置与管理
一、基础
1、AAA 是指:authentication(认证)、authorization(授权)、accounting(计费)的
简称,是网络安全的一种管理机制;Authentication 是本地认证/授权,authorization 和
accounting 是由远处 radius(远程拨号认证系统)服务或 hwtacacs(华为终端访问控制系统)
服务器完成认证/授权;AAA 是基于用户进行认证、授权、计费的,而NAC 方案是基于接入设备
接口进行认证的。
在实际应用中,可以使用 AAA 的一种或两种服务。
2、AAA 基本架构:
C/S 结构,AAA 客户端(也叫 NAS-网络接入服务器)是使能了 aaa 功能的网络设备(可以
是一台或多台、不一定是接入设备)
3、AAA 基于域的用户管理:
通过域来进行 AAA 用户管理,每个域下可以应用不同的认证、授权、计费以及 radius 或
hwtacacs 服务器模板,相当于对用户进行分类管理
缺省情况下,设备存在配置名为 default(全局缺省普通域)和 default_admin(全局缺省
管理域),均不能删除,只能修改,都属于本地认证;default 为接入用户的缺省域,
default_admin 为管理员账号域(如 http、ssh、telnet、terminal、ftp 用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,域,如果
用户名不带@,就属于系统缺省 default 域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA
服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius 协议
Radius 通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义 UDP1812、1813 作为认证(授权)、计费端口
Radius 服务器维护三个数据库:
Users:存储用户信息(用户名、口令、使用的协议、IP 地址等)
Clients:存储 radius 客户端信息(接入设备的共享密钥、IP 地址)
Dictionary:存储 radius 协议中的属性和属性值含义
Radius 客户端与 radius 服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过
网络来传输。
5、hwtacacs 协议
Hwtacacs 是在 tacacs(rfc1492)基础上进行了功能增强的安全协议,与 radius 协议类似,
主要用于点对点 PPP 和 VPDN(virtualprivatedial-upnetwork,虚拟私有拨号网络)接入用户
及终端用户的认证、授权、计费。与radius 相比,具有更加可靠的传输和加密特性,更加适合
于安全控制。
Hwtacacs 协议与其他厂商支持的 tacacs+协议的认证流程和实现方式是一致的,能够完全
兼容 tacacs+协议
6、华为设备对 AAA 特性的支持
支持本地、radius、hwtacacs 三种任意组合
本地认证授权:
优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制
RADIUS 认证、计费:
评论0
最新资源