AAA 简介
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实
际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器。
具有访问权的用户可以得到哪些服务。
如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
1. 认证功能
AAA支持以下认证方式:
不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设
备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设
备硬件条件限制。
远端认证:支持通过RADIUS 协议或HWTACACS 协议进行远端认证,设备
(如Quidway 系列交换机)作为客户端,与RADIUS 服务器或TACACS服务
器通信。对于RADIUS 协议,可以采用标准或扩展的RADIUS 协议。
2. 授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。
HWTACACS 授权:由TACACS服务器对用户进行授权。
3. 计费功能
AAA支持以下计费方式:
不计费:不对用户计费。
远端计费:支持通过RADIUS 服务器或TACACS服务器进行远端计费。
AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存
放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
ISP 域简介
ISP 域即 ISP 用户群,一个 ISP 域是由属于同一个 ISP 的用户构成的用户群。
在“userid@isp-name ”形式的用户名中,“@”后的“isp-name”即为ISP 域的
域名。接入设备将“userid ”作为用于身份认证的用户名,将“isp-name”作为域
名。
在多ISP 的应用环境中,同一个接入设备接入的有可能是不同 ISP 的用户。由于各
ISP 用户的用户属性(例如用户名及密码构成、服务类型/ 权限等)有可能各不相同,
因此有必要通过设置ISP 域的方法把它们区别开。
在ISP 域视图下,可以为每个 ISP 域配置包括使用的AAA策略(使用的RADIUS
方案等)在内的一整套单独的ISP 域属性。
radius以及案例详情见附件: