華為AAA認證詳解 ielab

2021-10-01 16:43:42 字數 2726 閱讀 9469

**aaa (authentication authorization accounting )是一種提供認證、授權和計費的技術。

認證( authentication ):驗證使用者是否可以獲得訪問權,確定哪些使用者可以訪問網路。

授權( authorization ):授權使用者可以使用哪些服務。

計費( accounting ):記錄使用者使用網路資源的情況。】

aaa 通常採用「客戶端—伺服器」結構。這種結構既具有良好的可擴充套件性,又便於集中管理使用者資訊。**

1.認證

不認證:對使用者非常信任,不對其進行合法檢查,一般情況下不採用這種方式。

本地認證:將使用者資訊配置在網路接入伺服器上。本地認證的優點是速度快,可以為運營降 低成本,缺點是儲存資訊量受裝置硬體條件限制。

遠端認證:將使用者資訊配置在認證伺服器上。支援通過 radius(remote authentication dial in user service)協議或 hwtacacs(huawei terminal access controller access control system)協議進行遠端認證。

如果在乙個認證方案中採用多種認證模式,將按照配置的順序進行認證。當配置的認證方式是先遠端認證後本地認證時,如果登入的帳號在遠端伺服器上沒有建立,但是在本地是存在的,經過遠端認證時,將被認為認證失敗,不再轉入本地認證。只有在遠端認證伺服器無響應時,才會轉入本地認證。如果選用了不認證( none )或本地認證( local ),它必須作為最後一種認證模式。

2.授權

aaa 支援以下授權方式:

不授權:不對使用者進行授權處理。 


hwtacacs 授權:由 hwtacacs 伺服器對使用者進行授權。
if-authenticated 授權:如果使用者通過了認證,而且使用的認證模式是本地或遠端認證,則使用者 授權通過。

radius 認證成功後授權:radius 協議的認證和授權是繫結在一起的,不能單獨使用 radius 進行授權。
如果在乙個授權方案中使用多次授權,授權模式的執行順序按照配置的先後,只有在當前授權模式沒有響應時,才會嘗試下乙個授權模式,如果授權失敗則將不會再進行授權。

3.計費

aaa 支援以下計費方式:

不計費:不對使用者計費。 


遠端計費:支援通過 radius 伺服器或 hwtacacs 伺服器進行遠端計費。
radius 協議

遠端認證撥號使用者服務 radius(remote authentication dial-in user service)是一種分布式的、客 戶端/伺服器結構的資訊互動協議,能保護網路不受未授權訪問的干擾,常應用在既要求較高安全 性、又允許遠端使用者訪問的各種網路環境中。該協議定義了基於 udp 的 radius 幀格式及其訊息 傳輸機制,並規定 udp 埠 1812、1813 分別作為認證、計費埠。

radius 最初僅是針對撥號使用者的 aaa 協議,後來隨著使用者接入方式的多樣化發展,radius 也 適應多種使用者接入方式,如乙太網接入、adsl 接入。它通過認證授權來提供接入服務,通過計費 來收集、記錄使用者對網路資源的使用。

radius 伺服器一般執行在中心計算機或工作站上,維護相關的使用者認證和網路服務訪問資訊,負 責接收使用者連線請求並認證使用者,然後給客戶端返回所有需要的資訊(如接受/拒絕認證請求)。radius 客戶端一般位於網路接入伺服器 nas(network access server)裝置上,可以遍布整個網 絡,負責傳輸使用者資訊到指定的 radius 伺服器,然後根據從伺服器返回的資訊進行相應處理(如 接受/拒絕使用者接入)。

安全機制

radius 客戶端和 radius 伺服器之間認證訊息的互動是通過共享金鑰的參與來完成的,並且共 享金鑰不能通過網路來傳輸,增強了資訊互動的安全性。另外,為防止使用者密碼在不安全的網路上 傳遞時被竊取,在傳輸過程中對密碼進行了加密。

hwtacacs 協議

hw 終端訪問控制器控制系統協議 hwtacacs(huawei terminal access controller access control system)是在 tacacs(rfc 1492)基礎上進行了功能增強的安全協議。該協議與 radius 協議 類似,採用客戶端/伺服器模式實現 nas 與 hwtacacs 伺服器之間的通訊。

hwtacacs 協議主要用於點對點協議 ppp(point-to-point protocol)和虛擬私有撥號網路 vpdn (virtual private dial-up network)接入使用者及終端使用者的認證、授權和計費。其典型應用是對需要 登入到裝置上進行操作的終端使用者進行認證、授權、計費。裝置作為 hwtacacs 的客戶端,將 使用者名稱和密碼發給 hwtacacs 伺服器進行驗證。使用者驗證通過並得到授權之後可以登入到裝置 上進行操作。

hwtacacs 協議和 radius 協議的比較

hwtacacs 協議與 radius 協議都實現了認證、授權、計費的功能,它們有很多相似點:結構 上都採用客戶端/伺服器模式;都使用公共金鑰對傳輸的使用者資訊進行加密;都有較好的靈活性和 可擴充套件性。

與 radius 相比,hwtacacs 具有更加可靠的傳輸和加密特性,更加適合於安全控制。

華為hcie認證 AAA 基本概念

在現實的網路環境中,如果我們遇到以下問題會怎樣呢?如果公司僅僅想讓員工在訪問某些特定資源的時候進行身份認證,該怎樣實現?如果公司讓員工在訪問某些特定資源的時候許可權的設定,該怎樣實現?若希望對員工使用網路的情況進行記錄,該怎樣實現?此時乙個很好的解決辦法就是使用aaa的機制,也就是authentic...

AAA之802 1x認證詳解(二)

分析802.1x的認證過程 1.首先客戶端開啟了認證,傳送eapol start報文,開始802.1x認證接入 eap extensible authentication protocol 可擴充套件的認證協議 eapol就是 eap over lan 基於區域網的擴充套件認證協議。2.接入裝置收到...

AAA協議tacacs認證簡單實驗

實驗名稱 aaa的tacacs驗證 實驗目的 在aaa認證伺服器上認證客戶端telnet登陸路由器 實驗拓撲圖 主要實驗步驟 router上的配置 router en router conf t router config inte ce fastethernet0 0 router config ...