8.3、AAA原理与配置

• 前言
  • AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现，目前华为设备支持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA
• AAA应用场景
  • 
  • AAA提供对用户进行认证、授权和计费三种安全功能
    • AAA可以用于验证用户的账号是否合法，验证授权用户是否可以访问服务，并记录用户使用网络资源的情况
  • 应用场景
    • 企业分支想对服务器的资源访问进行控制，只有通过认证的用户才能访问特定的资源，并对用户使用资源的状况进行记录
• 认证
  • 
  • 认证：验证用户是否可以获得网络访问的权限
  • AAA支持的认证方式有：
    • 不认证
      • 双方完全信任用户，不对用户身份进行合法性的检查。对于网络安全的考虑，这种认证方式很少被采用
    • 本地认证
      • 将本地的用户信息配置在NAS上
      • 本地认证的优点
        • 处理速度快，运营速度低
      • 本地认证的缺点
        • 存储信息量受硬件条件限制
    • 远端认证
      • 将用户信息配置在认证服务器上，通过认证服务器来辅助进行认证
  • 如果一个认证方案采用了多种认证方式，这些认证方式是按配置的顺序进行生效
    • Eg
      • 先配置远端认证，再配置本地认证。如果远端认证服务不响应时，会转入本地认证的方式
• 授权
  • 
  • 授权：授权用户可以访问或使用网络上的哪些服务
  • AAA支持的授权方式有：
    • 不授权
      • 不对用户进行授权处理
    • 本地授权
      • 根据NAS上的配置的本地用户的账号的相关属性，进行授权
    • 远端授权
      • 通过HWTACACS的授权，使用服务器对用户进行授权
  • 如果一个授权方案中使用了多种授权方式，授权方式按照配置顺序进行生效
    • 权限不同，访问的信息也不同
• 计费
  • 
  • 计费：记录用户使用网络资源的情况
  • AAA支持的计费方式有：
    • 不计费
      • 为用户提供免费的上网服务，不产生相关活动日志
    • 远端计费
      • 通过RADIUS服务器，RADIUS服务器具备充足的存储空间，可以存储各授权用户网络访问活动日志来进行计算计费功能
    • Eg
      • 对于主机A，可以记录到登录时间和上线时长，再根据流量的上行和下行计算流量的费用是多少
• AAA域
  • 
  • AAA可以通过域来对用户进行管理，不同的域可以关联不同的认证、授权和计费方案
    • 每一个用户都属于某一个域，使用@后的字符来代表域。如果用户没有配置，系统属于系统缺省域Default。
      • 对于ARG3系列的路由器，设备是支持两种缺省域的
        • Default域
          • 普通用户的缺省域
        • Default admin域
          • 管理用户的缺省域
    • 默认情况下，设备支持32个域，包括两个缺省的域
• AAA配置
  • 
  • 配置
    • 1、进入AAA视图
    • 2、配置域的认证方案
      • 指定认证方式是Local
    • 3、配置域
      • 添加对于认证方案
  • 
  • 配置主机A
    • 域
      • huawei
    • 用户
      • Huawei
    • 密码
      • Huawei123
    • 服务类型
      • telnet
    • 权限
      • 0
  • 在vty视图下使能AAA认证
  • 
  • AAA中，每个域都会与相应的认证授权和计费方案关联
• 本章总结
  • ARG3系列路由器支持配置哪些AAA方案？
    • 认证方案
    • 授权方案
    • 计费方案需要配置在RADIUS服务器和HWTACACS服务器上
  • 如果在ARG3系列路由器上创建用户时，没有关联自定义的域，则该用户属于哪个域？
    • 属于缺省域
      • default