华为交换机AAA配置管理.doc

华为交换机AAA配置管理 本文档将详细介绍华为交换机AAA配置管理的知识点，包括AAA的概念、架构、基于域的用户管理、Radius协议、Hwtacacs协议、华为设备对AAA特性的支持等。 一、AAA概念 AAA是指Authentication、Authorization、Accounting的简称，是网络安全的一种管理机制。Authentication是本地认证/授权，Authorization和Accounting是由远程Radius或Hwtacacs服务器完成认证/授权。AAA是基于用户进展认证、授权、计费的，而NAC案是基于接入设备接口进展认证的。 二、AAA架构 AAA架构采用C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了AAA功能的网络设备（可以是一台或多台、不一定是接入设备）。 三、基于域的用户管理 AAA基于域的用户管理通过域来进展AAA用户管理，每个域下可以应用不同的认证、授权、计费以及Radius或Hwtacacs服务器模板，相当于对用户进展分类管理。缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证。 四、Radius协议 Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。定义UDP 1812、1813作为认证（授权）、计费端口。Radius服务器维护三个数据库：Users、Clients、Dictionary。Radius客户端与Radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。 五、Hwtacacs协议 Hwtacacs是基于Tacacs+协议的功能增强的安全协议，与Radius协议类似，主要用于点对点PPP和VPDN接入用户及终端用户的认证、授权、计费。与Radius相比，具有更加可靠的传输和加密特性，更加适合于安全控制。 六、华为设备对AAA特性的支持 华为设备支持本地、Radius、Hwtacacs三种任意组合的AAA特性。支持本地认证授权、Radius认证、计费、Hwtacacs认证、授权、计费等多种认证方式。用户可以根据实际需求选择合适的认证方式。 华为交换机AAA配置管理是网络安全的一种重要机制，通过AAA可以实现用户认证、授权、计费等功能，提高网络安全性。