1、AAA認證是什麼？

AAA指的是Authentication、Authorization、Accounting，意思是認證、授權、計費，是網絡安全的一種管理機制。

• 認證是确認訪問網絡的遠程用戶的身份，判斷訪問者是否為合法的網絡用戶。

• 授權是對不同用戶賦予不同的權限，限制用戶可以使用的服務。例如，管理員授權辦公用戶才能對服務器中的文件進行訪問和打印操作，而其它臨時訪客不具備此權限。

• 計費是記錄用戶使用網絡服務過程中的所有操作，包括使用的服務類型、起始時間、數據流量等，用于收集和記錄用戶對網絡資源的使用情況，并可以實現針對時間、流量的計費需求，也對網絡起到監視作用。

AAA支持以下認證方式：

不認證：對用戶非常信任，不對其檢查，一般情況下不采用這種方式。

本地認證：将用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在接入服務器上。本地認證的優點是速度快，降低運營成本；但存儲信息量受設備硬件條件限制。

遠端認證：支持通過RADIUS協議或HWTACACS協議進行遠端認證，由接入服務器作為Client端，與RADIUS服務器或TACACS服務器通信。

AAA采用客戶端/服務器結構，客戶端運行于NAS（Network Access Server，網絡接入服務器）上，負責驗證用戶身份與管理用戶接入，服務器上則集中管理用戶信息。

當用戶想要通過NAS獲得訪問其它網絡的權利或取得某些網絡資源的權利時，首先需要通過AAA認證，而NAS就起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器。服務器根據自身的配置對用戶的身份進行判斷并返回相應的認證、授權、計費結果。NAS根據服務器返回的結果，決定是否允許用戶訪問外部網絡、獲取網絡資源。

AAA可以通過多種協議來實現，這些協議規定了NAS與服務器之間如何傳遞用戶信息。目前設備支持RADIUS協議、HWTACACS協議和LDAP協議，但是在實際應用中，最常使用RADIUS協議，因此本文中以RADIUS協議為例進行講解。

02 RADIUS協議

RADIUS（Remote Authentication Dial-In User Service，遠程認證撥号用戶服務）是一種分布式的、客戶端/服務器結構的信息交互協議，能保護網絡不受未授權訪問的幹擾，常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。

RADIUS協議通過UDP協議進行通信，RADIUS服務器的1812端口負責認證，1813端口負責計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網中，使用UDP更加快捷方便。在協議棧中位置如下：

客戶端：RADIUS客戶端一般位于NAS上，可以遍布整個網絡，負責将用戶信息傳輸到指定的RADIUS服務器，然後根據服務器返回的信息進行相應處理（如接受/拒絕用戶接入）。

服務器：RADIUS服務器一般運行在中心計算機或工作站上，維護用戶的身份信息和與其相關的網絡服務信息，負責接收NAS發送的認證、授權、計費請求并進行相應的處理，然後給NAS返回處理結果（如接受/拒絕認證請求）。另外，RADIUS服務器還可以作為一個代理，以RADIUS客戶端的身份與其它的RADIUS認證服務器進行通信，負責轉發RADIUS認證和計費報文。

•“Users”：用于存儲用戶信息（如用戶名、口令以及使用的協議、IP地址等配置信息）。

• “Clients”：用于存儲RADIUS客戶端的信息（如NAS的共享密鑰、IP地址等）。

• “Dictionary”：用于存儲RADIUS協議中的屬性和屬性值含義的信息。

實現AAA的方法：

通過RADIUS提供上網用戶的AAA

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!