一.AAA 简介

    AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制,包括:

(1)哪些用户可以访问网络服务器;

(2)具有访问权的用户可以得到哪些服务;

(3)如何对正在使用网络资源的用户进行计费。

针对以上问题,AAA必须提供认证功能、授权功能和计费功能

1.认证功能 :

AAA支持以下认证方式:

(1)不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。

(2)本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

(3)远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。

2. 授权功能 :

AAA支持以下授权方式:

(1)直接授权:对用户非常信任,直接授权通过。

(2)本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

(3)RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。

(4)HWTACACS 授权:由TACACS服务器对用户进行授权。

3. 计费功能 :

AAA支持以下计费方式:

(1)不计费:不对用户计费。

(2)远端计费:支持通过RADIUS 服务器或TACACS服务器进行远端计费。

AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

二.配置AAA

需要为合法用户提供网络接入服务,同时对网络设备进行保护,防止非授权访问和抵赖行为,需要配置AAA 。当需要通过ISP 域来对接入用户进行 AAA等管理时,需要配置ISP 域。如果采用远端认证、授权或计费方案时,需要已经创建RADIUS 或HWTACACS 方案。

1. RADIUS 方案(radius-scheme):

可以通过引用配置好的RADIUS 方案来实现认证、授权、计费。RADIUS 协议配置是以RADIUS 方案为单位进行的,一个RADIUS 方案在实际组网环境中既可以运用于一台独立的RADIUS 服务器,也可以运用于两台配置相同、但IP 地址不同的主、从 RADIUS 服务器。当创建一个新的 RADIUS 方案之后,需要对属于此方案的RADIUS 服务器的IP 地址和UDP端口号进行设置,这些服务器包括认证/ 授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个RADIUS 方案的属性包括:主服务器的IP 地址、从服务器的IP 地址、共享密钥以及RADIUS 服务器类型等。 在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/ 授权服务器和一个计费服务器(如果不配置计费服务器,则必须配置accounting optional 命令)。同时,保证交换机上的RADIUS 服务端口设置与RADIUS 服务器上的端口设置保持一致。

2. HWTACACS方案(hwtacacs-scheme):

可以通过引用配置好的HWTACACS方案来实现认证、授权、计费。HWTACACS 协议的配置是以 HWTACACS 方案为单位进行的。在进行其它HWTACACS 协议配置之前,必须先创建 HWTACACS 方案并进入其视图。

三.案例分析

 

拓扑图

 

wps_clip_p_w_picpath-18638

AAA服务器的搭建:

        RADIUS客户端配置:

        System-view

        Sysname sw1

        Radius scheme abc

        Primary authentication 192.168.100.100

        Key  authentication 123456

        Accounting optional

        Server-type standard

        User-name-format without-domain

        Quit

        Domain zzu

        Radius scheme abc

        Access-list enable 10

        quit

        Dot1x  authentication-method  pap

        Inter e0/7

        Dot1x

 

AAA认证服务器: 1:首先从开始里面打开windows的控制面板,选择增加删除组件选项,然后选择网络服务选项,点详细信息

wps_clip_p_w_picpath-25005

2:从开始里面选择管理工具,internet验证服务,新建客户端此处为192.168.100.32

wps_clip_p_w_picpath-10876

wps_clip_p_w_picpath-27898

3:在远程访问策略选项中选择更该配置文件,并更改身份验证为pap 验证模式

wps_clip_p_w_picpath-2348

wps_clip_p_w_picpath-6722

4.测试

wps_clip_p_w_picpath-17392

5.连接,进行验证。

wps_clip_p_w_picpath-17991

 

 

四.这里提到的Radius配置及其相关问题在上一篇博客中有详细讲解,请参考。