AAA简介

定义

AAA是Authentication（认证），Authorization（授权）和Accounting（计费）的简称，是一种网络安全的管理机制，提供了认证、授权、计费三种安全功能。具体内容如下：

• 认证：验证用户是否可以获得网络权限
• 授权：授权用户可以使用哪些服务
• 计费：记录用户使用网络资源的情况

用户可以使用AAA提供的一种或者多种安全服务。例如：公司仅仅想让员工在访问某些特定资源的时候进行身份验证，那么网络管理员只需要配置认证服务器即可。但是如果希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。
AAA是一种管理框架，提供了授权部分用户去访问特定资源，同时可以记录这些用户操作行为的一种安全机制，因为具有良好的可扩展性，并且容易实现用户的管理而被广泛的使用。AAA可以通过多种协议来实现，最常用的就是RADIUS协议。

AAA方案

在AAA的具体实现过程之中，通过AAA方案来定义一套AAA配置策略。AAA方案是设备上制定的一套认证，授权，计费的方法，可以根据用户的接入特征以及不同的安全需求组合使用。

认证方案

认证方案用来定义用户认证时使用的认证方法以及每种认证方法生效的顺序。认证方案应用到域，与域下的授权方案，计费方案，服务器模板等配置结合，实现对用户进行认证，授权和计费。

设备支持的认证方法：

• RADIUS认证：将用户信息配置在RADIUS服务器上，通过RADIUS服务器对用户进行认证。
• HWTACACS认证：将用户信息配置在HWTACACS服务器上，通过HWTACACS服务器对用户进行认证。
• 本地认证：设备本身作为认证服务器，将用户的信息配置在设备上。本地认证的优点就是速度快，降低运营成本，缺点就是存储的信息量受到硬件设备条件限制。
• 不认证：对于用户非常信任，不进行合法性检查，一般不采用这种方式。

认证方法的生效顺序：
认证方案可以指定一种或者多种认证方法：按照配置顺序，NAS设备首先选择第一种认证方法，如果当前的认证方法无法响应的时候，后面的认证才会被启用；直到有某种认证可以进行，或者全都无法进行认证，用户的身份认证才会被停止。

授权方案

授权方案用来定义用户授权时使用的授权方法以及每种授权方法生效的顺序，授权方案应用到域，与域下的认证方案，计费方案，服务器模板等配置结合，实现对用户进行认证、授权和计费。
设备支持的授权方法：

• HWTACACS授权：由HWTACACS服务器对用户进行授权。
• 本地授权：设备作为授权服务器，根据设备上配置的用户信息进行授权。
• 不授权：不对用户进行授权。
• if-authenticated授权：用户认证通过，则授权通过，否则授权不通过。适用于用户必须认证且认证过程与授权过程可分离的场景。

除此之外，对于管理员用户（即Login用户），通常使用“认证+权限级别”的方法控制用户访问设备，提高对设备操作的安全性。其中，认证用来限制对网络设备的访问；权限级别定义用户登录到网络设备后可以执行的命令。

授权方法的生效顺序：
授权方案中可以指定一种或者多种授权方法。指定多种授权方法时，配置顺序决定了每种授权方法生效的顺序，配置在前的授权方法优先生效。当前面的授权方法无响应时，后面的授权方法才会启用。如果前面的授权方法回应授权失败，表示AAA服务器拒绝为用户提供服务。此时，授权结束，后面的授权方法不会被启用。

计费方案

计费方案用来定义用户计费时使用的计费方法。计费方案应用到域，与域下的认证方案、授权方案、服务器模板等配置结合，实现对用户进行认证、授权和计费。

设备支持的计费方法：

• RADIUS计费：由RADIUS服务器对用户进行计费。
• HWTACACS计费：由HWTACACS服务器对用户进行计费。
• 不计费：不对用户计费。

计费方法的生效顺序：
计费方案中只能指定一种计费方法。

从RADIUS报文介绍中的RADIUS计费报文可已看出，计费报文分为计费请求报文（Accounting-Request）和计费响应报文（Accounting-Response）。设备每发送一个计费请求报文，如果收到服务器回应的计费响应报文则代表计费成功；如果没有收到服务器回应的计费响应报文则代表计费失败。

计费功能使能后，设备会将用户的活动通过计费请求报文（Accounting-Request）发送给AAA服务器，AAA服务器根据报文中的信息对用户进行计费和审计。以RADIUS计费为例，计费请求报文分为三类：

• 计费开始请求报文：用户认证成功开始访问网络资源时，设备向RADIUS服务器发送计费开始请求报文；
• 计费结束请求报文：用户断开连接时（连接也可以由接入服务器断开），设备向服务器发送计费结束请求报文；
• 实时计费请求报文：为减少计费误差、避免计费服务器无法收到计费停止请求报文而继续对该用户计费，可以在设备上配置实时计费功能，此后设备将周期性的向RADIUS服务器发送实时计费请求报文。

正常情况下，设备每发送一个计费请求报文（Accounting-Request），服务器都会回应一个计费响应报文（Accounting-Response）。由于网络故障等原因，设备没有收到对应的计费响应报文时，称之为计费失败。在计费失败时，设备根据计费请求报文的类型对用户能否在线做出相应的处理，具体如下：

• 开始计费失败：默认使用户下线。
• 实时计费失败：默认允许用户在线。
• 结束计费失败：重传计费结束请求报文。