44 A A A 配置 访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账(AAA)是进行访问控制的一种主要的安全机制。 44.1 A A A 基本原理 AAA 是Authentication Authorization and Accounting(认证、授权和记账)的简称,它提供了对认证、授权和记账功能进行配置的一致性框架,锐捷网络设备产品支持使用AAA。 AAA 以模块方式提供以下服务: 认证:验证用户是否可获得访问权,可选择使用RADIUS 协议、TACACS+协议或 Lo cal(本地)等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。 授权:授权用户可使用哪些服务。AAA 授权通过定义一系列的属性对来实现,这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也可以远程存放在安全服务器上。 记账:记录用户使用网络资源的情况。当 AAA 记账被启用时,网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析,从而实现对用户使用网络资源的情况进行记账、统计、跟踪。 说明 部分产品的AAA 仅提供认证功能。所有涉及产品规格的问题,可以通过向福 建星 网锐捷网络有限 公 司 市 场 人员 或技 术 支援 人员 咨 询 得到 。 尽 管AAA 是最 主要的访问控制方法,锐捷产品同 时也提供了在AAA 范 围 之外 的简单 控制访问,如 本地用户名 身份认证、线 路 密 码 身份认证等。不 同 之处 在于 它们 提供对网络保 护 程度 不 一样 ,AAA 提供更高 级 别的安全保 护 。 使用AAA 有以下优 点 : 灵 活 性和可控制性强 可扩 充 性 标 准 化 认证 多 个备用系统 44.1.1 AAA 基本原理 AAA 可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来定义身份认证、记账、授权类型,然后将这些方法列表应用于特定的服务或接口。 44.1.2 方法列表 由于对用户进行认证、授权和记账可以使用不同的安全方法,您需要使用方法列表定义一个使用不同方法对用户进行认证、授权和记账的前后顺序。方法列表可以定义一个或多个安全协议,这样可以确保在第一个方法失败时,有备用系统可用。锐捷产品使用方法列表中列出的第一个方法...
