admin 管理员组文章数量: 887021
2024年3月25日发(作者:dos命令获取文件夹下文件名)
1概述
1.1AAA
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)
的简称,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作用如下:
认证:验证用户是否可以获得网络访问权。
授权:授权用户可以使用哪些服务。
计费:记录用户使用网络资源的情况
用户可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员
工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服
务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服
务器。
如上所述,AAA是一种管理框架,它提供了授权部分用户去访问特定资源,
同时可以记录这些用户操作行为的一种安全机制,因其具有良好的可扩展性,
并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实
现。在实际应用中,最常使用RADIUS协议(UDP)和TACACS协议(TCP),华
为和Cisco又有自身的协议:HWTACACS(华为)和TACACS+(Cisco)。
1)终端访问控制器的访问控制系统(TACACS)
TACACS是一个远程认证协议,用作与认证服务器进行通信,通常使用在UNIX
网络中。TACACS允许远程访问服务于认证服务通信,为了决定用户是否允许访
问网络。Unix后台是TACACSD,运行在49端口上,使用TCP。
2)TACACS+:
TACACS+是为路由、网络访问服务和其它网络计算设备提供访问控制的协议,
使用一个以上的中心服务器。它使用TCP,提供单独认证、鉴权和审计服务,端
口是49。
3)RADIUS:
远程认证拨号用户服务是一个AAA应用协议,例如:网络认证或IP移动性。
后续章节中,我们会看到更多的RADIUS详情。
4)DIAMETER
Diameter是计划替代RADIUS的一种协议。
2原理描述
2.1
基本构架
AAA是采用“客户端/服务器”(C/S)结构,其中AAA客户端(也称网络接
入服务器——NAS)就是使能了AAA功能的网络设备(可以是网络中任意一台设
备,不一定是接入设备,而且可以在网络中多个设备上使能),而AAA服务器
就是专门用来认证、授权和计费的服务器(可以由服务器主机配置,也可以有提
供了对应服务器功能的网络设备上配置)如图2-1所示。
图2-1
在设备上使能了AAA功能后,当用户需要通过AAA客户端访问某个网络前,
需要先从AAA服务器中获取访问该网络的权限。但这个任务同处不是担当AAA
客户端的设备自己完成,而是通过设备吧用户的认证、授权、计费信息发送给
AAA服务器来完成。如果AAA客户端的设备上同时配置了相应的AAA服务器功
能,此时客户端和服务器就为一体了,这时实现的是AAA本地认证和授权(本
地方式不提供计费功能)了。
版权声明:本文标题:交换机AAA详解 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1711348050h592051.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论