一、专业术语
Authentication-认证
Authorization-授权
Accounting-计费
NAS(Network AccessServer)-网络接入服务器
RADIUS(RemoteAuthentication Dial In User Service)-远程用户拨号认证系统
HWTACACS(HuaweiTerminal Access Controller Access Control System)-华为终端访问控制器访问控制系统
二、AAA概述
基本概念
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能
![](https://img-blog.csdnimg.cn/img_convert/4180ae83189218bf7c36c282c8cda760.png)
1.认证Authentication
![](https://img-blog.csdnimg.cn/img_convert/15049f2704b0dcb84c264ac9140ef276.png)
三种认证方式:
不认证:完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。
本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理,如Telnet,FTP用户等。
远端认证:将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。
2.授权Authorization
![](https://img-blog.csdnimg.cn/img_convert/1d75fe68084fcb8492062b6a61bfb884.png)
授权方式:
不授权:不对用户进行授权处理。
本地授权:根据NAS上对应域下的配置进行授权。
远端授权:支持由RADIUS服务器授权或HWTACACS服务器授权。
HWTACACS授权,使用HWTACACS服务器对所有用户授权。
RADIUS授权,只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
3.计费Accounting
![](https://img-blog.csdnimg.cn/img_convert/0ceb9d8c6f0651b68c44a91c15adc91b.png)
计费方式:
不计费:为用户提供免费上网服务,不产生相关活动日志。
远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。
常见架构
AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)。
![](https://img-blog.csdnimg.cn/img_convert/843bdd3459dde3bff57888da666eb00b.png)
1.NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。
2.每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如,如果用户名是user1@domain1,则用户属于domain1域。如果用户名后不带有@,则用户属于系统缺省域。
应用场景
通过RADIUS提供上网用户的AAA
![](https://img-blog.csdnimg.cn/img_convert/c8904d9ad467b54d061d56b86185a7ef.png)
通过在NAS上配置AAA方案,实现NAS与RADIUS服务器的对接。
用户在客户端上输入用户名和密码后,NAS可以将这些信息发送至RADIUS服务器进行认证。
如果认证通过,则授予用户访问Internet的权限。
在用户访问过程中,RADIUS服务器还可以记录用户使用网络资源的情况。
对管理用户进行本地认证和授权
![](https://img-blog.csdnimg.cn/img_convert/cc4caf84cb775fa2d763ba6b274bf2f9.png)
在Router上配置本地AAA方案后,当网络管理员登录Router时,Router将网络管理员的的用户名密码等信息,与本地配置的用户名信息进行比对认证。认证通过后,Router将授予网络管理员一定的管理员权限
三、AAA的配置实现
基本配置命令
1.进入AAA视图
[Huawei] aaa
从系统视图进入AAA视图进行配置
2.创建认证方案
[Huawei-aaa] authentication-scheme authentiation- scheme name
创建认证方案并进入相应的认证方案视图
[Huawei-aaa-authtication-scheme-name] authentication mode {hwtacacs | local | radius}
配置认证方式,local指定认证方式为本地认证。缺省情况下,认证方式为本地认证。
3.创建domain并绑定认证方案
[Huawei-aaa] domain domain-name
创建domain并进入相应的domain视图
[Huawei-aaa-domain-name]authentication- scheme authentication- scheme-name
在相应的domain视图下绑定认证方案
4.创建用户
[Huawei-aaa] local-useruser-name password cipher password
创建本地用户,并配置本地用户的密码:
●如果用户名中带域名分隔符,如@.则认为@前面的部分是用户名,后面部分是域名
●如果没有@,则整个字符串为用户名,域为默认域
5.配置用户接入类型
[Huawei-aaa] local-user user-name service-type { {terminal | telnet | ftp | ssh | snmp | http} | PPB | none }
设置本地用户的接入类型。缺省情况下,本地用户关闭所有的接入类型。
6.配置用户级别
[Huawei-aaa] local-useruser-name privilege level level
指定本地用户的权限级别。
配置示例
1.需求
在设备R1上配置用户密码和级别,使主机A可以通过配置的用户名和密码远程登录到设备
2.拓扑
![](https://img-blog.csdnimg.cn/img_convert/df671999617794ab780fcf99b5f1db06.png)
3.实验步骤
基础配置
[R1]aaa
[R1-aaa]local-user huawei passwordcipher huawei123
[R1-aaa]local-user huaweiservice-type telnet
[R1-aaa]local-user huaweiprivilege level 0
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
调试
查看域的配置信息:[R1]displaydomain name default_admin
查看系统中用户下线的记录[R1]displayaaa offline-record all