【接入网宝典】第1期-AAA原理及数据配置.docVIP

前言： 本着“共同学习，共同提高”的宗旨，我们汇总整理了华为接入网设备日常维护中需要特别注意的事项和常见问题解答，发布在华为技术支持网站首页“华为资源－电子期刊－接入网宝典”栏目，希望对您的日常设备维护工作有所帮助。让我们携起手来，共同打造可运营、可管理的精品网络！ ((接入网宝典(( ―AAA原理及数据配置 尊敬的客户： 随着Internet 的广泛应用， IP（Internet Protocol）成为电信网的主导通信协议，构建良好的IP宽带业务系统，满足企业用户、集团用户的需求，推出个性化业务吸引更多个人用户，给运营商带来利润成为当务之急。 针对这一需求，华为技术有限公司推出ISN8850智能IP业务交换机（下文简称ISN8850）。ISN8850提供了丰富的IP宽带业务，配合RADIUS服务器可以完成业务的触发、控制、执行、管理和生成，解决了一般路由器因不能提供用户管理和计费，而无法组建可运营、可管理网络的问题。 本期对ISN8850 AAA专题进行介绍。 一、AAA概述 一个网络允许外部用户通过公用网对其进行访问，于是用户在地理上可以极为分散。大量分散用户通过各种终端设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成为很重要的问题了。 AAA是验证、授权和计费（Authentication, Authorization and Accounting）的简称。AAA的配置实际上是对网络安全的一种管理，这里的网络安全主要指访问控制，包括：哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行计费等？ 验证、授权和计费各自的作用： 验证（Authentication）：验证用户是否可以获得访问权。 授权（Authorization）：授权用户可以使用哪些服务。 计费（Accounting）：记录用户使用网络资源的情况。 网络接入服务器简称NAS（Network Access Server）。当用户想要通过某个网络（如电话网）与 NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时，NAS起到了验证用户（或对应连接）的作用。NAS负责把用户的验证、授权和计费信息传递给RADIUS服务器。 RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和计费信息。 RADIUS服务器负责接收用户的连接请求，完成验证，并把用户所需的配置信息返回给NAS。NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的。用户的密码加密以后才在网络上传递，以避免用户的密码在不安全的网络上被窃取。 ISN8850适用于宽带城域网，位于边缘汇聚层，它可以提供多种业务支持。 主要完成接入层的业务汇聚与用户识别、用户管理、业务计费等BAS功能。其中，ISN8850为识别用户提供了特殊用户名识别、不记名识别、本地用户识别及业界普遍采用的Radius识别等多种识别方式。 二、标准RADIUS用户上网流程 1、RADIUS的客户端通常运行于接入服务器（NAS）上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户（NAS）。 2、RADIUS的服务器上存放着大量的信息，接入服务器（NAS）无须保存这些信息，而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。 3、RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。 在上网的整个过程中，BAS与RADIUS服务器之间主要进行如下的交互过程（如图1），其中iSCP相当于RADIUS服务器： ?? 终端用户提出上线请求； ?? BAS收到用户的请求后，向RADIUS发出Access-Request(code=1)的认证请求报文； ?? RADIUS向BAS发出相应的Access-Accept(code=2)或Access-Reject(code=3)响应报文； ?? BAS根据RADIUS发回的属性对用户进行配置； ? 同时BAS向RADIUS发出Accounting-Request(code=4/start)的计费开始请求报文； ? RADIUS发回相应的计费响应报文； ?? 用户上网过程中，BAS定时向RADIUS发出Accounting-Request(Interim-Update)实时计费请求； ?? RADIUS发回相应的计费响应报文； ?? 用户提出下线请求； ?? BAS收到用户的请求后，向RADIUS发出Accounting-Request(stop)计