AAA原理与配置AAA基本概念认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。授权(Authorization):授权用户可以使用哪些服务。计费(Accounting):记录用户使用网络资源的情况。网络运营商(ISP)需要验证家庭宽带用户的账号密码之后才允许其上网,并记录用户的上网时长或上网流量等内容,这就是AAA技术最常见的应用场景。AAA常见架构1.客户端2.NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。每个用户都属于某一个域。根据用户登陆的时候属于的域,关联相应的AAA方案,从而获得相应的认证、授权和计费方案用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如,如果用户名是user1@domain1,则用户属于domain1域。如果用户名后不带有@,则用户属于系统缺省域。3.AAA服务器(Raidus服务器,或者HWTacacs服务器)Authentication认证AAA支持三种认证方式:不认证完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。领导可以考虑。本地认证将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,此时NAS就是AAAServer。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理,如Telnet,FTP用户等。远端认证将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。Authorization授权AAA授权功能赋予用户访问的特定网络或设备的权限。AAA支持以下授权方式:不授权:不对用户进行授权处理。本地授权:根据NAS上对应域下的配置进行授权。远端授权:支持由RADIUS服务器授权或HWTACAS服务器授权。HWTACACS授权,使用HWTACACS服务器对所有用户授权。RADIUS授权,只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。当采用远端授权时,用户可以同时从授权服务器和NAS获取授权信息。NAS配置的授权信息优先级比授权服务器下发的授权信息低。Accounting(计费)实际上的计费功能,适用于监控授权用户的网络行为和网络资源使用情况不计费:用户提供免费上网服务,不产生相关活动日志。本地计费:不具备此能力远端计费:NAS将用户的上线、下线、上行流量、下行流量统计后发给AAA,从而输出相应的账单,支持通过RADIUS服务器或HWTACACS服务器进行远端计费。RADIUSAAA可以用多种协议来实现,最常用的是RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,可以实现对用户的认证、计费和授权功能。通常由NAS作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS使用UDP(UserDatagramProtocol)作为传输协议,并规定UDP端口1812、1813分别作为认证、计费端口,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。RADUIS交互过程RADIUS客户端与服务器间的消息流程如下:用户登录当用户接入网络时,用户发起连接请求,向RADIUS客户端(即NAS)发送用户名和密码。RADIUS客户端(NAS)向RADIUS服务器发送包含账户和密码信息的认证请求报文。RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。RADIUS客户端通知用户认证是否成功。用户开始访问网络资源RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。RADIUS服务器返回计费开始响应报文,并开始计费。用户开始访问网络资源。用户下线当用户不再想要访问网络资源时,用户发起下线...
