H3C交换机AAA安全访问控制与管理.pdfVIP

18.H3C交换机AAA安全访问掌握与治理

18.1H3C交换机AAA根底

AAA是Authentication,AuthorizationandAccounting认（证、授权和计费）的简称，是

对网访问掌握的一种治理模式。它供给了一个对认证、授权和计费这三种功能进展统一配置

的框架；“认证”确定哪些用户可以访问网效劳器：“授权”确定具有访问权限的用户最终

可以获得哪些效劳；“计费”确定如何对正在使用网资源的用户进展计费。

18.1.1AAA简介

AAA一般承受C/S1客户端/效劳器）构造：客户端运行于被治理的资源侧这（里指网

设备，如接入交换机），效劳器上几种存放用户信息。因此，AAA框架具有良好的可扩展性，

并且简洁实现用户信息的集中治理。

1.AAA认证

AAA支持以下认证方式：

■不认证：对接入用户信任，不进展合法性检查。这是默认认证方式。

■本地认证：承受本地存储的用户信息对用户进展认证。本地认证的优点是速度快，可以降

低运营本钱；缺点是存储信息量受设备硬件条件如（闪存大小）限制。

■远程认证：在H3C以太网交换机中，远程认证是指通过RADIUS效劳器或HWTACACS

[Cisco心交换机中承受的是TACACS+协议）效劳器对接入用户进展的认证。此时，H3C

交换机作为RADIUS或者HWTACACS客户端，与RADIUS效劳器或TACACS效劳器通信。

远程认证的有点是便于集中治理，并且供给丰富的业务特性；缺点是必需供给特地的

RADIUS或者HWTACACS效劳器，并进展正确的效劳器配置。

2.AAA授权

AAA支持以下授权方式：

■直接授权：对用户信任，直接授权通过。

■本地授权：依据交换机上为本地用户账号配置的相关属性进展授权。

■RADIUS认证成功后远程授权：由RADIUS效劳器对用户进展远程授权。要留意：RADIUS

协议的认证和授权是绑定在一起的，不能单独使用RADIUS效劳器进展授权。

■HWTACACS远程授权：由HWTACACS效劳器对用户进展远程授权（HWTACACS效劳器的

授权是独立于认证进展的）。

3.AAA计费

AAA支持以下计费方式：

■不计费：不对用户计先。

■本地计费：实现了本地用户连接数的统计和限制，并没有实际的费用统计功能。

■远程计费：支持通过RADIUS效劳器或HWTACACS效劳器进展远程计费。

18.1.2ISP域简介

ISP域即ISP用户群，通常是把经过同一个ISP接入的用户划分到同一个ISP域中。这主

要是应用于存在多个ISP的应用环境中，由于同一个接入设备接入的有可能是不同ISP的用

户。假设只有一个ISP,见可以直接使用系统默认域system。

在ISP域视图下，可以为每个ISP域配置包括使用AAA策略在内的一整套单独的ISP域

属性。用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、授权、

计费方案实现的。这个用户所属的ISP域，由其登录时供给的用户名打算：

a

■假设用户登录时输入userid@domain-name形式的用户名,则其所属的ISP域为

“domain-name”域。

■假设用户登录时输入“userid”形式的用户名，则其所属的ISP域为接入设备上配

置的默认域systemo

为便于对不同接入方式的用户进展区分治理,AAA还可以将域用户划分为以下两个类型:

■lan-access用户局（域网访问用户）：通过AN接入的用户，如直接接入AN中，

然后通过IEEE802.1X认证、MAC地址认证的用户。