AAA原理与配置

背景：

        对于任何网络，用户管理都是最基本的安全管理要求之一。 AAA（Authentication, Authorization, and Accounting）是一种管理框架，它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

        AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS （Remote Authentication Dial-In User Service）协议。 本章将介绍AAA基本概念、AAA的实现方式、AAA的基本配置以及常见AAA应用场景。

AAA概述

        AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

来自 <Sign in or Register | Huawei iLearningX>

AAA常见架构

        用户——发（用户名、密码）给NAS，NAS告诉我我的访问权限

        NAS——可以创建不同的域（区分用户，对于不同的域进行统一管理），发送给AAA服务器

AAA服务器

认证（Authentication）

不认证：

        ——比如某些场景下用户不需要输入用户名和密码就可以访问资源

        ——用户输入但是不做判断

本地认证：

        ——所有认证在NAS这台本地设备上进行的

远端认证：

        ——独立出来一台服务器放在网络中，有这台服务器统一集中做出判断

都本地认证

        优点——不用部署独立的服务器，全在NAS上进行，降低成本

        缺点——影响NAS（路由器）性能，NAS设备出现问题，无法认证

都远端认证

        优点——NAS只负责转发（不做判断，只通知用户认证是否通过），可以设置备份的远端认证服务器

        缺点——成本高

授权（Authorization）

不授权：

        ——只要用户路由可达，怎么访问资源都可以

本地授权：

        ——由本地设备来进行授权

远端授权：

        ——需要部署一个AAA服务器（授权功能）

比如：

        数据库1中哪些用户可以授权访问哪些资源

        不同用户在不同的用户组

        不同用户所属的不同的vlan、ACL编号

计费（Accounting）

        ——计费功能用于监控授权用户的网络行为和网络资源的使用情况

        不计费：

                ——可以随意的访问，不做任何的监控动作

        远端计费：

                网络设备（如路由器）本身是不具备计费的功能的

                ——对应的AAA服务器会对于用户的所有访问记录都会进行记录

AAA实现协议

        RADIUS（常用）

AAA的常见应用场景

        用户上网（宽带——用户名密码，拨号上网）

        对用户进行管理（判断管理员是否是合法的）