AAA
认证,授权,计费
AAA常见的网络架构
用户,NAS,AAA服务器
NAS负责集中收集和管理用户的访问请求。
在NAS上会创建多个域来管理用户,不同的域可以关联不同的AAA方案。
当收到用户接入网络的请求时,NAS会根据用户名来判断用户所在的域,根据该域对应的AAA方案对用户进行管控
AAA认证、授权和计费的方式
认证:
- 不认证 完全信任用户,不对用户身份进行合法性检查。
- 本地认证 将本地用户信息(包括用户名、密码和各种属性)配置在NAS上, 由NAS完成认证过程。
- 远端认证 将用户信息(包括用户名、密码和各种属性)配置在认证服务器 上,由AAA服务器完成认证过程。
授权 :
- 不授权 不对用户进行授权处理。
- 本地授权 根据NAS上对应域下的配置进行授权。
- 远端授权 由AAA服务器完成授权过程。
计费
- 不计费 为用户提供免费上网服务,不产生相关活动日志。
- 远端计费 由AAA服务器完成计费。
实现协议:
RADIUS:
AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰
该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813 分别作为默认的认证、计费端口