8.3、AAA原理与配置

8.3、AAA原理与配置

  • 前言
    • AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现,目前华为设备支持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA
  • AAA应用场景
    • AAA提供对用户进行认证、授权和计费三种安全功能
      • AAA可以用于验证用户的账号是否合法,验证授权用户是否可以访问服务,并记录用户使用网络资源的情况
    • 应用场景
      • 企业分支想对服务器的资源访问进行控制,只有通过认证的用户才能访问特定的资源,并对用户使用资源的状况进行记录
  • 认证
    • 认证:验证用户是否可以获得网络访问的权限
    • AAA支持的认证方式有:
      • 不认证
        • 双方完全信任用户,不对用户身份进行合法性的检查。对于网络安全的考虑,这种认证方式很少被采用
      • 本地认证
        • 将本地的用户信息配置在NAS上
        • 本地认证的优点
          • 处理速度快,运营速度低
        • 本地认证的缺点
          • 存储信息量受硬件条件限制
      • 远端认证
        • 将用户信息配置在认证服务器上,通过认证服务器来辅助进行认证
    • 如果一个认证方案采用了多种认证方式,这些认证方式是按配置的顺序进行生效
      • Eg
        • 先配置远端认证,再配置本地认证。如果远端认证服务不响应时,会转入本地认证的方式
  • 授权
    • 授权:授权用户可以访问或使用网络上的哪些服务
    • AAA支持的授权方式有:
      • 不授权
        • 不对用户进行授权处理
      • 本地授权
        • 根据NAS上的配置的本地用户的账号的相关属性,进行授权
      • 远端授权
        • 通过HWTACACS的授权,使用服务器对用户进行授权
    • 如果一个授权方案中使用了多种授权方式,授权方式按照配置顺序进行生效
      • 权限不同,访问的信息也不同
  • 计费
    • 计费:记录用户使用网络资源的情况
    • AAA支持的计费方式有:
      • 不计费
        • 为用户提供免费的上网服务,不产生相关活动日志
      • 远端计费
        • 通过RADIUS服务器,RADIUS服务器具备充足的存储空间,可以存储各授权用户网络访问活动日志来进行计算计费功能
      • Eg
        • 对于主机A,可以记录到登录时间和上线时长,再根据流量的上行和下行计算流量的费用是多少
  • AAA域
    • AAA可以通过域来对用户进行管理,不同的域可以关联不同的认证、授权和计费方案
      • 每一个用户都属于某一个域,使用@后的字符来代表域。如果用户没有配置,系统属于系统缺省域Default。
        • 对于ARG3系列的路由器,设备是支持两种缺省域的
          • Default域
            • 普通用户的缺省域
          • Default admin域
            • 管理用户的缺省域
      • 默认情况下,设备支持32个域,包括两个缺省的域
  • AAA配置
    • 配置
      • 1、进入AAA视图
      • 2、配置域的认证方案
        • 指定认证方式是Local
      • 3、配置域
        • 添加对于认证方案
    • 配置主机A
        • huawei
      • 用户
        • Huawei
      • 密码
        • Huawei123
      • 服务类型
        • telnet
      • 权限
        • 0
    • 在vty视图下使能AAA认证
    • AAA中,每个域都会与相应的认证授权和计费方案关联
  • 本章总结
    • ARG3系列路由器支持配置哪些AAA方案?
      • 认证方案
      • 授权方案
      • 计费方案需要配置在RADIUS服务器和HWTACACS服务器上
    • 如果在ARG3系列路由器上创建用户时,没有关联自定义的域,则该用户属于哪个域?
      • 属于缺省域
        • default
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值