1、AAA認證是什麼?
AAA指的是Authentication、Authorization、Accounting,意思是認證、授權、計費,是網絡安全的一種管理機制。
• 認證是确認訪問網絡的遠程用戶的身份,判斷訪問者是否為合法的網絡用戶。
• 授權是對不同用戶賦予不同的權限,限制用戶可以使用的服務。例如,管理員授權辦公用戶才能對服務器中的文件進行訪問和打印操作,而其它臨時訪客不具備此權限。
• 計費是記錄用戶使用網絡服務過程中的所有操作,包括使用的服務類型、起始時間、數據流量等,用于收集和記錄用戶對網絡資源的使用情況,并可以實現針對時間、流量的計費需求,也對網絡起到監視作用。
AAA支持以下認證方式:
不認證:對用戶非常信任,不對其檢查,一般情況下不采用這種方式。
本地認證:将用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在接入服務器上。本地認證的優點是速度快,降低運營成本;但存儲信息量受設備硬件條件限制。
遠端認證:支持通過RADIUS協議或HWTACACS協議進行遠端認證,由接入服務器作為Client端,與RADIUS服務器或TACACS服務器通信。
AAA采用客戶端/服務器結構,客戶端運行于NAS(Network Access Server,網絡接入服務器)上,負責驗證用戶身份與管理用戶接入,服務器上則集中管理用戶信息。
當用戶想要通過NAS獲得訪問其它網絡的權利或取得某些網絡資源的權利時,首先需要通過AAA認證,而NAS就起到了驗證用戶的作用。NAS負責把用戶的認證、授權、計費信息透傳給服務器。服務器根據自身的配置對用戶的身份進行判斷并返回相應的認證、授權、計費結果。NAS根據服務器返回的結果,決定是否允許用戶訪問外部網絡、獲取網絡資源。
AAA可以通過多種協議來實現,這些協議規定了NAS與服務器之間如何傳遞用戶信息。目前設備支持RADIUS協議、HWTACACS協議和LDAP協議,但是在實際應用中,最常使用RADIUS協議,因此本文中以RADIUS協議為例進行講解。
02 RADIUS協議
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥号用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。
RADIUS協議通過UDP協議進行通信,RADIUS服務器的1812端口負責認證,1813端口負責計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網中,使用UDP更加快捷方便。在協議棧中位置如下:
客戶端:RADIUS客戶端一般位于NAS上,可以遍布整個網絡,負責将用戶信息傳輸到指定的RADIUS服務器,然後根據服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
服務器:RADIUS服務器一般運行在中心計算機或工作站上,維護用戶的身份信息和與其相關的網絡服務信息,負責接收NAS發送的認證、授權、計費請求并進行相應的處理,然後給NAS返回處理結果(如接受/拒絕認證請求)。另外,RADIUS服務器還可以作為一個代理,以RADIUS客戶端的身份與其它的RADIUS認證服務器進行通信,負責轉發RADIUS認證和計費報文。
•“Users”:用于存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置信息)。
• “Clients”:用于存儲RADIUS客戶端的信息(如NAS的共享密鑰、IP地址等)。
• “Dictionary”:用于存儲RADIUS協議中的屬性和屬性值含義的信息。
實現AAA的方法:
通過RADIUS提供上網用戶的AAA
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!