它提供了认证、授权、计费三种安全功能,可以验证用户帐户是否合法,授权用户可以访问的服务,并记录用户使用网络资源的情况。AAA可以通过多种协议来实现,目前思科设备支持基于RADIUS协议或TACACS协议来实现AAA。
总结:NAS是网络接入服务器,负责集中收集和管理用户的访问请求。
认证:验证用户是否可以获得网络访问的权限(AAA支持三种认证方式)
不认证:完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证很少使用
本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。
远端认证:将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。AAA支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。
如果采用多种认证方式,这些认证方式按配置顺序生效。比如,先配置了远端认证,随后配置了本地认证,那么在远端认证服务器无响应时,会转入本地认证方式。
授权:授权用户可以访问或使用网络上的哪些服务(AAA支持三种授权方式)
不授权:不对用户进行授权处理。
本地授权:根据NAS上配置的本地用户账号的相关属性进行授权。
远端授权:HWTACACS授权,使用TACACS服务器对用户授权。RADIUS授权,对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
如果在一个授权方案中使用多种授权方式,这些授权方式按照配置顺序生效。
审计:记录用户使用网络资源的情况(AAA支持不计费,远端计费)
不计费:为用户提供免费上网服务,不产生相关活动日志。
远端计费:通过RADIUS服务器或HWTACACS服务器进行远端计费。RADIUS服务器或HWTACACS服务器具备充足的储存空间,可以储存各授权用户的网络访问活动日志,支持计费功能。
AAA域:
default域为普通用户的缺省域。
default_admin域为管理用户的缺省域。
用户可以修改但不能删除这两个缺省域。默认设备最多支持32个域,包括两个缺省域。
?RADIUS:公有协议,基于UDP封装;
*原认证授权端口号1645,审计端口号1646(未被公有化之前)
*现认证授权端口号1812,审计端口号1813(公有化之后)
*密码使用密文,其他使用明文交互,功能强大。
?TACACS+:思科私有协议,基于TCP封装,端口号49;
*密码和其他报文均使用密文交互,支持基于角色的用户权限RBAC
AAA服务器软件:
?ACS 5.2
?ISE 2.2
……