8.3、AAA原理与配置
- 前言
- AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现,目前华为设备支持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA
- AAA应用场景
- AAA提供对用户进行认证、授权和计费三种安全功能
- AAA可以用于验证用户的账号是否合法,验证授权用户是否可以访问服务,并记录用户使用网络资源的情况
- 应用场景
- 企业分支想对服务器的资源访问进行控制,只有通过认证的用户才能访问特定的资源,并对用户使用资源的状况进行记录
- 认证
- 认证:验证用户是否可以获得网络访问的权限
- AAA支持的认证方式有:
- 不认证
- 双方完全信任用户,不对用户身份进行合法性的检查。对于网络安全的考虑,这种认证方式很少被采用
- 本地认证
- 将本地的用户信息配置在NAS上
- 本地认证的优点
- 处理速度快,运营速度低
- 本地认证的缺点
- 存储信息量受硬件条件限制
- 远端认证
- 将用户信息配置在认证服务器上,通过认证服务器来辅助进行认证
- 不认证
- 如果一个认证方案采用了多种认证方式,这些认证方式是按配置的顺序进行生效
- Eg
- 先配置远端认证,再配置本地认证。如果远端认证服务不响应时,会转入本地认证的方式
- Eg
- 授权
- 授权:授权用户可以访问或使用网络上的哪些服务
- AAA支持的授权方式有:
- 不授权
- 不对用户进行授权处理
- 本地授权
- 根据NAS上的配置的本地用户的账号的相关属性,进行授权
- 远端授权
- 通过HWTACACS的授权,使用服务器对用户进行授权
- 不授权
- 如果一个授权方案中使用了多种授权方式,授权方式按照配置顺序进行生效
- 权限不同,访问的信息也不同
- 计费
- 计费:记录用户使用网络资源的情况
- AAA支持的计费方式有:
- 不计费
- 为用户提供免费的上网服务,不产生相关活动日志
- 远端计费
- 通过RADIUS服务器,RADIUS服务器具备充足的存储空间,可以存储各授权用户网络访问活动日志来进行计算计费功能
- Eg
- 对于主机A,可以记录到登录时间和上线时长,再根据流量的上行和下行计算流量的费用是多少
- 不计费
- AAA域
- AAA可以通过域来对用户进行管理,不同的域可以关联不同的认证、授权和计费方案
- 每一个用户都属于某一个域,使用@后的字符来代表域。如果用户没有配置,系统属于系统缺省域Default。
- 对于ARG3系列的路由器,设备是支持两种缺省域的
- Default域
- 普通用户的缺省域
- Default admin域
- 管理用户的缺省域
- Default域
- 对于ARG3系列的路由器,设备是支持两种缺省域的
- 默认情况下,设备支持32个域,包括两个缺省的域
- 每一个用户都属于某一个域,使用@后的字符来代表域。如果用户没有配置,系统属于系统缺省域Default。
- AAA配置
- 配置
- 1、进入AAA视图
- 2、配置域的认证方案
- 指定认证方式是Local
- 3、配置域
- 添加对于认证方案
- 配置主机A
- 域
- huawei
- 用户
- Huawei
- 密码
- Huawei123
- 服务类型
- telnet
- 权限
- 0
- 域
- 在vty视图下使能AAA认证
- AAA中,每个域都会与相应的认证授权和计费方案关联
- 本章总结
- ARG3系列路由器支持配置哪些AAA方案?
- 认证方案
- 授权方案
- 计费方案需要配置在RADIUS服务器和HWTACACS服务器上
- 如果在ARG3系列路由器上创建用户时,没有关联自定义的域,则该用户属于哪个域?
- 属于缺省域
- default
- 属于缺省域
- ARG3系列路由器支持配置哪些AAA方案?