一、AAA简介

AAA即Authentication认证、Authorization授权和Accounting计费,是网络安全的一种管理机制,提供认证、授权和计费三种安全功能。

  • 认证:验证用户是否可以获得网络访问权
  • 授权:授权用户可以使用哪些服务
  • 计费:记录用户使用网络资源的情况

二、二、RADIUS协议和TACACS+协议

NAS(Network Access Server,网络接入服务器)和AAA服务器之间常用协议是RADIUS和TACACS+协议。
路由交换(十七):AAA基本原理_第1张图片

RADIUS包头部结构
路由交换(十七):AAA基本原理_第2张图片

code 字段表明RADIUS包的信息类型
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge

Identifier 字段用于匹配request和reply包

Length 字段表示信息长度

Authenticator 字段用于RADIUS服务器reply,request包随机产生值,reply包中的Authenticator是一个md5值(reply message data + shared key + 随机数)

Attribute字段是AV pair。AV pairs是RADIUS和TACACS+服务器在授权阶段交换的变量信息,用来定义用户的服务级别。AV pairs用来指定用户的认证、授权和审计的属性。这些属性存储在服务器数据库中,并且和特定用户和组关联。在涌过授权约束的用户时发送给NAS,并且把这些属性运用到特定用户会话。