【思唯网络】AAA原理与配置

AAA概念

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费) 的简称,它提供了认证、授权、计费三种安全功能。AAA可以本地实现,也可以通过远端服务器实现。AAA可以通过多种协议来实现,目前华为设备支持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA。

AAA组成

(1)认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。AAA支持的认证方式有三种:

不认证。

本地认证。

远端认证。

(2)授权(Authorization):授权用户可以使用哪些服务。

AAA支持的授权方式有

不授权。

本地授权。

远端授权。

(3)计费(Accounting):记录用户使用网络资源的情况。

AAA支持的计费方式有:

不计费:为用户提供免费上网服务。

远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

AAA的实现:最常用的是RADIUS协议,RADIUS是一种分布式的、客户端/ 服务器结构的信息交互协议,可以实现对用户的认证、计费和授权功能。通常由网络接入设备作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝 认证请求)。RADIUS使用UDP(User Datagram Protocol)作为传输协议,并规定UDP端口1812、1813分别作为认证、计费端口,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。

RADIUS客户端与服务器间的消息流程如下:

当用户接入网络时,用户发起连接请求,向RADIUS客户端(即网络接入设备)发送用户名和密码。

RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。

RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。

RADIUS客户端通知用户认证是否成功。

RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则 RADIUS客户端向RADIUS服务器发送计费开始请求报文。

RADIUS服务器返回计费开始响应报文,并开始计费。

用户开始访问网络资源。

当用户不再想要访问网络资源时,用户发起下线请求,请求停止访问网络资源。

RADIUS客户端向RADIUS服务器提交计费结束请求报文。

RADIUS服务器返回计费结束响应报文,并停止计费。

RADIUS客户端通知用户访问结束,用户结束访问网络资源。

AAA配置

首先进入AAA视图,创建认证方案并配置认证方式。authorization-scheme authorization-scheme-name命令用来配置域的授权方案。缺省情况下,域下没有绑定授权方案。authentication-mode { hwtacacs | local | radius }命令用来配置当前授权方案使用的授权方式。缺省情况下,授权模式为本地授权方式。

创建domain并绑定认证方案;创建本地用户,配置用户名和密码(如果用户名中带域名分隔符,如@,@前面的是用户名,后面的则是域名;如果没有@,则整个字符串为用户名,域为默认域);配置用户接入类型service-type为telnet;用户级别level为0。

查看域的配置信息,Domain-state为Active表示激活状态。

(0)

相关推荐

  • AAA基本原理与基本配置,RADIUS的基本原理

    前言: 对于任何网络,用户管理都是最基本的安全管理要求之一. AAA(Authentication, Authorization, and Accounting)是一种管理框架,它提供了授权部分用户访 ...

  • 华为认证HCIE“安全特性”学习笔记(二)

    AAA 1.接入问题 (1)传统接入问题: ① 传统接入问题: 在用户接入网络的时候,运营商就不得不面临以下的问题.如何确定用户是否有权限进入网络.运营商需要防止非法用户访问网络,以保护自身和合法用户 ...

  • H3C的802.1x与AAA 的配置视频教程

    H3C的802.1x与AAA 的配置视频教程 交换机上的802.1x认证配置 [Switch]dot1x!---开启全局802.1x认证 [Switch]interfacegigabitetherne ...

  • 重塑IEEE 802.1X 认证与计费系统

    本文设计了一个基于IEEE 802.1X并与LDAP(Lightwigh Directory Access Protocol)即轻量级目录访问协议结合使用的计费系统的实现方案.与目前常用计费系统中存在 ...

  • 【思唯网络】华为以太网链路聚合原理及配置

    一.组网拓扑 二.配置 手工模式下Eth-Trunk的建立.成员接口的加入由手工配置,没有LACP(链路聚合控制协议)的参与.当需要在两个直连设备间提供一个较大的链路带宽而设备又不支持LACP时,可以 ...

  • 【思唯网络】华为 交换机VLAN的划分如何配置?

    基于IP子网划分VLAN 在Switch上配置VLAN10与IP地址172.16.1.0/24关联,优先级为2. ip-subnet-vlan 1 ip 172.16.2.0 255.255.255. ...

  • 【思唯网络】RIP之扩展配置

    一.RIPV2的认证 运行了RIP协议的邻居间,进行身份的核实! 1.明文认证 (1)先定制key R1(config)#key chain miyaochuan   //创建密钥串 R1(confi ...

  • 【思唯网络】OSPF邻居关系建立介绍

    三连一下,了解更多内容 1 OSPF的邻居概述 使用OSPF的路由想要相互学习LSA(链路状态通告),需要确认对方也是OSPF路由.在OSPF路由中需要对路由双方建立OSPF的邻居或邻接关系,用来维护 ...

  • 【思唯网络】网络工程师知识点-BGP

    # 一.BGP特点 # 无类别路径矢量--距离矢量的升级版(AS–BY–AS) 使用单播更新来发送所有信息:基于TCP 179端口工作 增量更新–仅触发无周期 具有丰富的属性来取代IGP中度量进行选路 ...

  • 【思唯网络】TCPIP 常见协议

    一.DHCP协议 动态主机配置协议        Client:68        Server:67      基于C/S模型运行 DHCP报文类型(UDP封装): (1)DHCP discover ...

  • 【思唯网络】网络基础知识

    三连一下,了解更多内容 网络是什么? 网络是什么? 网络连接设备通过传输介质连接网络终端设备,进行信息传输.资源共享的一种工具(平台) 网络连接设备:路由器.交换机 传输介质:网线.光纤(xian). ...

  • 【思唯网络学院】ARP协议

    MID YEAR SUMMARY ##ARP协议 ####概念 地址解析协议,是根据IP地址获取数据链路层地址的 一个TCP/IP协议. ARP是IPv4中必不可少的一种协议,它的主要功能是: ▫ 将 ...

  • 【思唯网络】网工必记知识点

    三连一下,了解更多内容 1,VRP:(Versatile Routing Platform)即通用路由平台. 2,STP计算机的端口开销和端口宽带有一定关系,即宽带越大,开销越小. 3, ARG3系列 ...