交换机AAA详解.pdfVIP

1 概述 1.1 AAA AAA 是Authentication （认证）、Authorization （授权）和Accounting （计费） 的简称，提供了认证、授权、计费三种安全功能。 这三种安全功能的具体作用如下：  认证：验证用户是否可以获得网络访问权。  授权：授权用户可以使用哪些服务。  计费：记录用户使用网络资源的情况 用户可以只使用AAA 提供的一种或两种安全服务。例如， 公司仅仅想让员 工在访问某些特定资源的时候进行身份认证， 那么网络管理员只要配置认证服 务器即可。但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服 务器。 如上所述，AAA 是一种管理框架，它提供了授权部分用户去访问特定资源， 同时可以记录这些用户操作行为的一种安全机制， 因其具有良好的可扩展性， 并且容易实现用户信息的集中管理而被广泛使用。 AAA 可以通过多种协议来实 现。在实际应用中，最常使用RADIUS 协议 （UDP）和TACACS 协议 （TCP），华 为和Cisco 又有自身的协议：HWTACACS （华为）和TACACS+ （Cisco）。 1）终端访问控制器的访问控制系统(TACACS) TACACS 是一个远程认证协议，用作与认证服务器进行通信，通常使用在UNIX 网络中。TACACS 允许远程访问服务于认证服务通信，为了决定用户是否允许访 问网络。Unix 后台是TACACSD，运行在49 端口上，使用TCP。 2）TACACS+: TACACS+是为路由、网络访问服务和其它网络计算设备提供访问控制的协议， 使用一个以上的中心服务器。它使用TCP，提供单独认证、鉴权和审计服务，端 口是49。 3）RADIUS： 远程认证拨号用户服务是一个AAA 应用协议，例如：网络认证或IP 移动性。 后续章节中，我们会看到更多的RADIUS 详情。 4）DIAMETER Diameter 是计划替代RADIUS 的一种协议。 2 原理描述 2.1 基本构架 AAA 是采用 “客户端/服务器” （C/S）结构，其中AAA 客户端 （也称网络接 入服务器——NAS）就是使能了AAA 功能的网络设备 （可以是网络中任意一台设 备，不一定是接入设备，而且可以在网络中多个设备上使能），而AAA 服务器 就是专门用来认证、授权和计费的服务器 （可以由服务器主机配置，也可以有提 供了对应服务器功能的网络设备上配置）如图2-1 所示。 图2-1 在设备上使能了AAA 功能后，当用户需要通过AAA 客户端访问某个网络前， 需要先从AAA 服务器中获取访问该网络的权限。但这个任务同处不是担当AAA 客户端的设备自己完成，而是通过设备吧用户的认证、授权、计费 信息发送给 AAA 服务器来完成。如果AAA 客户端的设备上同时配置了相应的AAA 服务器功 能，此时客户端和服务器就为一体了，这时实现的是AAA 本地认证和授权 （本 地方式不提供计费功能）了。 1. 认证功能 AAA 支持以下认证方式： • 不认证：对用户非常信任，不对其检查，一般情况下不采用这种方式。 • 本地认证：将用户信息 （包括本地用户的用户名、密码和各种属性）配置 在接入服务器上。本地认证的优点是速度快，降低运营成本；但存储信息量受设 备硬件条件限制。 • 远端认证：支持通过RADIUS 协议或TACACS 协议进行远端认证，由接入服 务器作为Client 端，与RADIUS 服务器或TACACS 服务器通信。 2. 授权功能 AAA 支持以下授权方式： • 直接授权：对用户非常信任，直接授权通过。 • 本地授权：根据宽带接入服务器上为本地用户账号配置的相关属性进行授 权。 •TACACS 授权：由TACACS 服务器对用户进行授权。 • if-authenticated 授权：如果用户通过了认证，并且使用的认证方法是本地 或远程认证，则直接用户授权。 • RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不 能单独使用RADIUS 进行授权。 3. 计费功能 AAA 支持以下计费方式： • 不计费 • 远端计费：支持通过RADIUS 服务器或TACACS 服务器进行远端计费。 2.2 RADIUS 协议 AAA 是一种管理框架