H3CSE园区-AAA、RADIUS和TACACS+

PS：本篇仅挑选作者认为重要的模块，并不全面仅供复习参考，具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏，敬请关注。

AAA是认证、授权、计费的简称

AAA是一个综合的安全架构
与其他安全技术配合使用，提升网络和设备的安全性

常用AAA协议有RADIUS和TACACS+

H3C设备支持的 3A协议

  （1）RADIUS  ，Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。AAA是一种管理框架，因此，它可以用多   

  （2）HWTACACS(Huawei Terminal Access Controller Access Control System）协议,是华为对TACACS进行了扩展的协议.

AAA支持的服务:

AAA通过对服务器的详细配置，对多种服务提供安全保证,支持FTP、TELNET、PPP、端口接入
验证动作包含核对用户名、密码、证书
授权表现为下发用户权限、访问目录、用户级别等

计费表现为记录用户上网流量、时长等

配置：

ISP域，即认证域，要先配置用户属于的用户域，然后验证时采用该域下的认证策略。

用Radius 服务器验证 telnet账号：

   PC----------------------------------网络设备--------Radius消息---------Radius服务器

telnet客户端                                              telnet服务器    设备把账号转发给3A服务器

         -----------telnet协议----------->

             上传账号（用户名+密码）      

RADIUS协议概述：
RADIUS（Remote Authentication Dial-In User Service，远程认证拨号系统）是分布式的交互协议
客户端/服务器结构
基于UDP传输，1812、1813端口
共享密钥、多种认证方式

TLV结构，利于扩展

Radius协议 只有认证和计费 2大类 协议消息

但是，Radius协议能提供 认证、授权和计费功能。

Radius客户端上传的用户信息，以及服务器下发的服务策略，携带在Radius消息中的"属性"字段中，属性字段：TLV架构

配置：

TACACS协议：

TACACS+（Terminal Access Controller Access Control System Plus，终端访问控制器控制系统协议）是一种增强的安全协议
H3C设备实现的HWTACACS是在TACACS+基础上进行了功能增强的安全协议
实现了多种类型用户的AAA功能

与RADIUS协议的区别

1.Radius协议基于UDP协议传递，端口号：1812和1813
   Tacacs协议基于TCP
2.Radius协议消息中的属性字段是TLV架构
     Tacacs协议 协议消息格式固定
3.Tacacs实现对用户的分级管理
4.Radius消息只有认证和计费消息
    Tacacs有认证、授权和计费消息三种

工作方式和Radius差不多。

配置：

注：SE不要求掌握配置。