AAA--认证、授权、计费

概念

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现,目前华为设备支持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA。
认证:验证用户是否可以获得网络访问权。
授权:授权用户可以使用哪些服务。
计费:记录用户使用网络资源的情况。

认证

不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。
本地认证:将用户信息配置在设备上。本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。
远端认证:将用户信息配置在认证服务器上。支持通过远程认证拨号用户服务协议RADIUS(Remote Authentication Dial In User Service)协议或华为终端访问控制器控制系统协议HWTACACS(Huawei Terminal Access Controller Access Control System)协议进行远端认证。

授权

不授权:不对用户进行授权处理。
本地授权:根据设备为本地用户账号配置的相关属性进行授权。
HWTACACS授权:由HWTACACS服务器对用户进行授权。
RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
if-authenticated授权:适用于用户必须认证且认证过程与授权过程可分离的场景,即只有本地认证和HWTACACS认证支持该授权模式,RADIUS认证不支持该授权模式。
本地认证成功后采用本地授权。
HWTCACS认证成功后放开所有权限(免HWTACACS授权)。

计费

AAA支持以下计费方式:
不计费:不对用户计费。
远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

AAA实验配置命令

[RTA]aaa
[RTA-aaa]authentication-scheme auth1
[RTA-aaa-authen-auth1]authentication-mode local
[RTA-aaa-authen-auth1]quit
[RTA-aaa]authorization-scheme auth2
[RTA-aaa-author-auth2]authorization-mode local 
[RTA-aaa-author-auth2]quit
[RTA-aaa]domain huawei
[RTA-aaa-domain-huawei]authentication-scheme auth1 
[RTA-aaa-domain-huawei]authorization-scheme auth2
[RTA-aaa-domain-huawei]quit
[RTA-aaa]local-user huawei@huawei password cipher huawei //配置本地用户密码  @后面部分为域名
[RTA-aaa]local-user huawei@huawei service-type telnet  
[RTA-aaa]local-user huawei@huawei privilege level 0 //指定本地用户优先级
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa

你可能感兴趣的:(网络,网络协议,运维)