AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)。
NAS负责集中收集和管理用户的访问请求。 在NAS上会创建多个域来管理用户。不同的域可以关联不同的AAA方案。AAA方案包含认证方案,授权方案,计费方案。 当收到用户接入网络的请求时,NAS会根据用户名来判断用户所在的域,根据该域对应的AAA方案对用户进行管控。相当于一个认证点。
AAA支持的认证方式有:不认证,本地认证,远端认证。
AAA支持的授权方式有:不授权,本地授权,远端授权。
授权信息包括:所属用户组、所属VLAN、ACL编号等。
计费功能用于监控授权用户的网络行为和网络资源的使用情况。
AAA支持的计费方式有:不计费,远端计费。
AAA可以用多种协议来实现,最常用的是RADIUS协议。
RADIUS(Remote Authentication Dial-In User Service)协议。
用于提供网络用户认证、授权和帐单管理服务。主要用于访问服务器,特别是用于宽带和虚拟专用网络(VPN)连接。它允许网络设备(如服务器或接入服务器)向专门的 RADIUS 服务器发送身份验证请求,并基于其响应来控制对网络的访问。RADIUS 协议可以帮助网络管理员实现集中式的用户管理和安全策略管理,尤其在企业网络和服务提供商网络中广泛应用。
RADIUS 协议的工作原理涉及以下主要组件:
- 客户端:客户端是指请求身份验证的网络设备,比如无线接入点或 VPN 服务器。
- RADIUS 服务器:RADIUS 服务器是处理身份验证请求并提供认证服务的中央服务器。
- 用户数据库:这是 RADIUS 服务器用于验证用户身份的数据库,可以是本地数据库或外部认证系统,如LDAP(轻型目录访问协议)或Active Directory。
AAA认证过程:
配置
[R1]aaa
[R1-aaa]local-user admin password cipher admin
[R1-aaa]local-user admin service-type telnet //假设需要认证的服务是Telnet
[R1-aaa]local-user admin privilege level 15 //配置用户等级
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa