AAA原理与配置

AAA：Authentication , Authorization , and Accounting 

AAA概述

​    基本概念：

​        AAA是网路安全的一种管理机制，有认证、授权、计费三种安全功能

​        认证：确定哪些用户可以访问网络

​        授权：授权用户可以使用哪些服务

​        计费：记录用户使用网络资源的情况

​        网络运营商ISP验证账户密码，记录上网流量就是AAA的一种典型的应用场景

​    常见架构：

​        NAS：网络接入服务器，收集并管理用户的访问请求，创建不同的域，不同的域关联不同的AAA方案

​                 AAA三种认证：

​                不认证：完全信任，不查看合法性

​                本地认证：将信息配置在网络接入服务器上，速度快成本低，但受硬件设备条件限制

​                远端认证：将用户信息配置在认证服务器，通过一些协议来进行操作

​        AAA授权：

​                不授权：不对用户进行授权处理

​                本地授权：根据NAS上对应域下的的配置进行授权，可以访问网络

​                远端授权：支持由RADIUS服务器授权或HWTACACS服务器授权

​        AAA计费：

​                不计费：为用户提供免费的上网服务，不产生费用

​                远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费

​        RADIUS协议:

​                是一种分布式、客户端/服务器结构的信息交互协议

​                客户端与服务器间的消息流程如下;

                   1. 用户接入网络，发起连接请求，向客户端（NAS）发送用户名和密码
                   2. 客户端向服务器发送包含用户名和密码信息的认证请求报文
                   3. 服务器收到请求后，判断是否合法，把用户需要的授权信息返回给客户端，非法请求会导致认证失败
                   4. 客户端通知用户认证是否成功，成功则向服务器发送计费开始的请求报文，失败则拒绝接入用户
                   5. 如果计费开始报文相应，就开始计费，用户可以开始访问资源
                   6. 当用户不再访问网络资源时，用户发起下线请求，则停止访问
                   7. 客户端（NAS）向服务器提交计费结束请求报文
                   8. 服务器响应计费结束报文，停止计费人
                   9. 客户端通知用户，网络资源访问结束

AAA的配置实现

在设备R1上配置用户密码和级别，使主机A可以通过配置的用户名和密码远程登录到设备

int g 0/0/0									/进入对应接口
ip address 10.1.1.1 24						/创建地址
local-user nihao password cipher nihhao123	/创建本地用户，配置密码，没有@分隔，默认域
local-user nihao service-type telnet		/设置本地用户的接入类型，远程登录
local-user nihao privilege level 0			/指定本地用户的权限级别
user-interface vty 0 4						/可以配置从VTY 0到VTY 4的五个虚拟终端
authentication-mode aaa						/认证模式为AAA

结果