一、AAA框架概述
AAA 包含三个核心功能:
认证(Authentication):验证用户身份(如用户名、密码、证书)。
授权(Authorization):授予用户访问权限(如目录、服务级别)。
计费(Accounting):记录用户使用情况(如流量、时长)。
AAA基本结构
支持的服务包括FTP、TELNET、PPP、端口接入等。
可使用远程服务器 (如RADIUS、TACACS+)或本地认证(如交换机内置)。
二、RADIUS协议
RADIUS(Remote Authentication Dial-In User Service 远程认证拨号系统)是一种分布式客户端/服务器协议。
传输方式:基于UDP,端口1812(认证,授权)、1813(计费)。
特点:
使用共享密钥进行安全通信。
报文结构为TLV(Type-Length-Value),易于扩展。
RADIUS报文结构:
• Code字段决定报文类型
-- 值为1 (认证请求)、2 (认证通过)、3 (认证拒绝) 表示认证报文
-- 值为4 (计费请求)、5 (计费回应)表示计费报文
交互流程:
属性扩展:通过26号属性(Vendor-Specific)支持厂商自定义扩展。
三、TACACS+协议
TACACS+(Terminal Access Controller Access Control System 终端访问控制器控制系统协议)是一种增强型安全协议。
HWTACACS是H3C在TACACS+基础上的增强版本。
与RADIUS的区别:
使用TCP传输,更可靠。
认证、授权、计费分离,更灵活。
报文结构:包含版本号、类型、序列号、会话ID等字段。
• 三种认证报文: Start、Continue、Reply
• 两种授权报文 :请求和响应
• 两种计费报文:请求和响应
交互流程:支持Start/Continue/Reply等多种报文类型,适用于Telnet等交互式登录场景。
四、典型应用场景
用户接入认证授权:
本地认证、RADIUS认证、CA认证等。
适用于VPN接入、LAN/WLAN接入等场景。
登录设备认证授权:
设备登录可使用本地或RADIUS认证。
设备间协议认证:
设备间的协议认证大多采用本地认证
