8.3、AAA原理与配置

最新推荐文章于 2025-03-12 16:45:11 发布

养龟大学生

最新推荐文章于 2025-03-12 16:45:11 发布

阅读量1.8k

点赞数

分类专栏： HCIA # 8、访问控制介绍文章标签：网络运维

本文链接：https://blog.csdn.net/qq_40934971/article/details/107221298

版权

HCIA 同时被 2 个专栏收录

36 篇文章

订阅专栏

8、访问控制介绍

5 篇文章

订阅专栏

8.3、AAA原理与配置

前言
- AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现，目前华为设备支持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA
AAA应用场景
- AAA提供对用户进行认证、授权和计费三种安全功能
  - AAA可以用于验证用户的账号是否合法，验证授权用户是否可以访问服务，并记录用户使用网络资源的情况
- 应用场景
  - 企业分支想对服务器的资源访问进行控制，只有通过认证的用户才能访问特定的资源，并对用户使用资源的状况进行记录
认证
- 认证：验证用户是否可以获得网络访问的权限
- AAA支持的认证方式有：
  - 不认证
    - 双方完全信任用户，不对用户身份进行合法性的检查。对于网络安全的考虑，这种认证方式很少被采用
  - 本地认证
    - 将本地的用户信息配置在NAS上
    - 本地认证的优点
      - 处理速度快，运营速度低
    - 本地认证的缺点
      - 存储信息量受硬件条件限制
  - 远端认证
    - 将用户信息配置在认证服务器上，通过认证服务器来辅助进行认证
- 如果一个认证方案采用了多种认证方式，这些认证方式是按配置的顺序进行生效
  - Eg
    - 先配置远端认证，再配置本地认证。如果远端认证服务不响应时，会转入本地认证的方式
授权
- 授权：授权用户可以访问或使用网络上的哪些服务
- AAA支持的授权方式有：
  - 不授权
    - 不对用户进行授权处理
  - 本地授权
    - 根据NAS上的配置的本地用户的账号的相关属性，进行授权
  - 远端授权
    - 通过HWTACACS的授权，使用服务器对用户进行授权
- 如果一个授权方案中使用了多种授权方式，授权方式按照配置顺序进行生效
  - 权限不同，访问的信息也不同
计费
- 计费：记录用户使用网络资源的情况
- AAA支持的计费方式有：
  - 不计费
    - 为用户提供免费的上网服务，不产生相关活动日志
  - 远端计费
    - 通过RADIUS服务器，RADIUS服务器具备充足的存储空间，可以存储各授权用户网络访问活动日志来进行计算计费功能
  - Eg
    - 对于主机A，可以记录到登录时间和上线时长，再根据流量的上行和下行计算流量的费用是多少
AAA域
- AAA可以通过域来对用户进行管理，不同的域可以关联不同的认证、授权和计费方案
  - 每一个用户都属于某一个域，使用@后的字符来代表域。如果用户没有配置，系统属于系统缺省域Default。
    - 对于ARG3系列的路由器，设备是支持两种缺省域的
      - Default域
        普通用户的缺省域
      - Default admin域
        管理用户的缺省域
  - 默认情况下，设备支持32个域，包括两个缺省的域
AAA配置
- 配置
  - 1、进入AAA视图
  - 2、配置域的认证方案
    - 指定认证方式是Local
  - 3、配置域
    - 添加对于认证方案
- 配置主机A
  - 域
    - huawei
  - 用户
    - Huawei
  - 密码
    - Huawei123
  - 服务类型
    - telnet
  - 权限
    - 0
- 在vty视图下使能AAA认证
- AAA中，每个域都会与相应的认证授权和计费方案关联
本章总结
- ARG3系列路由器支持配置哪些AAA方案？
  - 认证方案
  - 授权方案
  - 计费方案需要配置在RADIUS服务器和HWTACACS服务器上
- 如果在ARG3系列路由器上创建用户时，没有关联自定义的域，则该用户属于哪个域？
  - 属于缺省域
    - default