一、概述
1、AAA(Authentication, Authorization, and Accounting)是一种用户管理框架,提供:认证、授权、计费方案。
二、AAA常见架构
1、User@domian(用户)
a、User:用户名称
d、@domian:所属域
2、NAS(Network Access Server)
a、NAS负责集中收集和管理用户的访问请求。
b、在NAS上会创建多个域来管理用户。
c、不同的域可以关联不同的AAA方案。AAA方案包含认证方案,授权方案,计费方案。
d、当收到用户接入网络的请求时,NAS会根据用户名来判断用户所在的域,根据该域对应的AAA方案对用户进行管控。
3、AAA服务器
a、用户存放授权用户名、密码
三、基本概念
1、认证
a、不认证
b、本地认证
c、远端认证
2、授权
a、不授权
b、本地授权
c、远端授权
3、计费
a、不计费
b、远端计费
四、应用场景
1、本地认证场景
a、所有认证、授权信息存放于NAS设备本地
2、远端认证场景
a、认证用户名、密码存放在远端AAA服务中
五、AAA---使用radius协议实现
1、当用户接入网络时,用户发起连接请求,向RADIUS客户端(即NAS)发送用户名和密码。
2、RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。
3、RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。
4、RADIUS客户端通知用户认证是否成功。
5、RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
6、RADIUS服务器返回计费开始响应报文,并开始计费。
7、用户开始访问网络资源。
8、当用户不再想要访问网络资源时,用户发起下线请求,请求停止访问网络资源。
9、RADIUS客户端向RADIUS服务器提交计费结束请求报文。
10、RADIUS服务器返回计费结束响应报文,并停止计费。
11、RADIUS客户端通知用户访问结束,用户结束访问网络资源。
六、命令配置
1、[NAS]aaa //进入AAA视图
2、[NAS-aaa]local-user 123 password cipher 123 //创建用户名、密码都为123
3、[NAS-aaa]local-user 123 service-type telnet //配置123用户的服务类型为telnet
4、[NAS-aaa]local-user 123 privilege level 3 //配置123用户的用户权限为3
5、[NAS-aaa]domain 123 //创建域名为123
6、[NAS-aaa]authentication-scheme 123 //创建认证方案,名为123
7、[NAS-aaa]authorization-scheme 123 //创建授权方案,名为123
8、[NAS-aaa]accounting-scheme 123 //创建计费方案,名为123
9、[NAS-aaa-authen-123]authentication-mode radius //配置认证模式为远端radius认证
10、[NAS-aaa-accounting-123]accounting-mode radius //配置计费模式为远端radius计费
11、[NAS-aaa-domain-123]authentication-scheme 123 //将认证方案123绑定到域123
12、[NAS]user-interface vty 0 4 //进入VTY 视图
13、[NAS-ui-vty0-4]authentication-mode aaa //配置认证模式为aaa
14、[NAS-ui-vty0-4]protocol inbound telnet //配置虚拟终端接入类型为telnet