路由交换（十七）：AAA基本原理

一、AAA简介

AAA即Authentication认证、Authorization授权和Accounting计费，是网络安全的一种管理机制，提供认证、授权和计费三种安全功能。

• 认证：验证用户是否可以获得网络访问权
• 授权：授权用户可以使用哪些服务
• 计费：记录用户使用网络资源的情况

二、二、RADIUS协议和TACACS+协议

NAS（Network Access Server，网络接入服务器）和AAA服务器之间常用协议是RADIUS和TACACS+协议。

RADIUS包头部结构

code 字段表明RADIUS包的信息类型
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge

Identifier 字段用于匹配request和reply包

Length 字段表示信息长度

Authenticator 字段用于RADIUS服务器reply，request包随机产生值，reply包中的Authenticator是一个md5值（reply message data + shared key + 随机数）

Attribute字段是AV pair。AV pairs是RADIUS和TACACS+服务器在授权阶段交换的变量信息，用来定义用户的服务级别。AV pairs用来指定用户的认证、授权和审计的属性。这些属性存储在服务器数据库中，并且和特定用户和组关联。在涌过授权约束的用户时发送给NAS，并且把这些属性运用到特定用户会话。