AAA认证授权计费教程

今天在这里所提到的AAA，不是指的美国的"AAA"电池,也不是指的什么“AAA”风景胜地，而这里指的是计算机安全领域的协议。

AAA指：鉴权，授权，计费（Authentication, Author ization, Accounting），PS:可能在每个地方的翻译不一样，但是就是指的同一个技术。

更多关于"AAA"名词，请看/wiki/AAA如何在网络中，使用AAA协议来提高网路的安全性，今天就谈谈“认证“的作用。

当有位大虾，试图通过console线缆来登录路由器或者交换机，我们怎么保证该用户登录的是安全的，它是合法的管理员，而不是入侵者，有的人说，只需要设置Console接口登录密码，以及特权模式密码。

如果这位大虾，要通过网络访问,如（SSH,Telnet）,还需要设置远程登录的密码。

这样一来，这位大虾本地，和远程管理和调试网络设备，需要记忆多个密码。

而且你这个密码不一定是安全的。

那为什么要使用AAA，而不是只配置一个密码解决问题了。

使用AAA的好处是什么？1，配置简单，管理方便2，安全性高，用户名和密码等，可以通过加密之后在网络中传输，防止嗅探和欺骗3，用户记忆少，操作灵活，AAA可以与其他的技术综合使用,如PPP认证由AAA完成等而配置密码，只是一个单一的安全性。

如何在Cisco设备上来配置AAA的认证?实验设备:cisco 3640路由器1台，PC一台，Console线缆一根，交叉线一根实验拓扑：实验过程：第一步：通过console线缆，使用超级终端或者SecureCRT登录路由器，完成基本配置，同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1，掩码255. 255.255.0Router(config)#no ip domain-lookupRouter(config)#line console 0Router(config-line)#no exec-tRouter(config-line)#logg syn3640(config)#host R3640R3640(config)#int e1/0R3640(config-if)#ip add 192.168.10.3 255.255.255.0R3640(config-if)#no shR3640(config-if)#endR3640#ping 192.168.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:.!!!!第二步：启用AAA，并配置登录验证为localR3640(config)#aaa new-model全局启用AAA功能R3640(config)#aaa authentication login ?当用户登录时启用AAA认证功能，并且定义认证时调用的名字是默认的”default”,还是自己随便定义1个WORD Named authentication list.default The default authentication list.R3640(config)#aaa authentication login default ?指定用哪种认证方式enable Use enable password for authentication. 使用特权密码group Use Server-group 使用Radius或者Tacacs+协议krb5 Use Kerberos 5 authentication. 使用Kerberoskrb5-telnet Allow logins only if already authenticated via Kerberos V Telnet.line Use line password for authentication. 使用线路认证方式local Use local username authentication.使用本地认证方式，需配置用户名和密码local-case Use case-sensitive local username authentication.none NO authentication. 不做认证配置当用户登录设备时，使用aaa本地登录认证方式，认证调用的名字为default,认证方式为localR3640(config)#aaa authentication login default local配置本地登录时，使用的用户名和密码。

AAA协议介绍协议名称：AAA协议介绍一、引言AAA协议（Authentication, Authorization, and Accounting）是一种用于网络认证、授权和计费的协议。

它在计算机网络中起到了重要的作用，确保了网络资源的安全和合理使用。

本协议旨在详细介绍AAA协议的定义、功能、应用场景以及实施细节。

二、定义AAA协议是一种网络安全协议，由三个主要组成部分组成：认证（Authentication）、授权（Authorization）和计费（Accounting）。

它们分别用于验证用户身份、授予用户访问权限以及记录用户的网络资源使用情况。

三、功能1. 认证（Authentication）：AAA协议通过验证用户的身份信息，确保只有授权用户可以访问网络资源。

常见的认证方式包括用户名/密码、数字证书、生物特征等。

2. 授权（Authorization）：一旦用户通过认证，AAA协议将根据用户的身份和权限，授予用户特定的访问权限。

这样可以确保用户只能访问其所需的资源，提高网络资源的安全性。

3. 计费（Accounting）：AAA协议通过记录用户的网络资源使用情况，包括时间、流量、访问位置等信息，用于计费和审计目的。

这有助于提高网络资源的管理效率和公平性。

四、应用场景AAA协议广泛应用于各种网络环境中，包括但不限于以下几个方面：1. 企业网络：AAA协议可以用于企业内部网络的用户认证和授权管理，确保只有合法员工可以访问内部资源。

2. 无线网络：在无线网络中，AAA协议可以用于验证用户身份，授权访问Wi-Fi网络，并记录用户的网络使用情况。

这有助于提高无线网络的安全性和管理效率。

3. 云计算：在云计算环境中，AAA协议可以用于认证和授权云服务的用户，确保只有合法用户可以访问云资源，并记录用户的资源使用情况。

4. 电信运营商：AAA协议在电信运营商中扮演重要角色，用于认证用户身份、授权访问移动网络，并记录用户的通信行为，用于计费和管理。

20.6.3 802.1x用户的RADIUS认证、授权和计费配置实例本示例拓扑如图20-6所示。

现需要实现使用RADIUS服务器对通过交换机接入的8021x用户进行认证、授权和计费。

具体要求如下：l 在接入端口GigabitEthernet1/0/1上对接入用户进行8021x认证，同时采用基于MAC地址的接入控制方式；l 交换机与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名；l 用户认证时使用的用户名为dot1x@bbb。

l 用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。

l 对8021x用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。

图20-6 8021x用户RADIUS认证、授权和计费配置示例对比上一节的示例可以看出，本示例的要求明显高于上节示例，尽管它们都是使用iMC RADIUS服务器。

另外，本示例相对上节的示例还多了两项要求，那就是基于MAC地址接入控制的IEEE 802.1x认证和RADIUS计费，特别是RADIUS 计费功能的配置比较复杂，要配置计费策略。

有关H3C以太网交换机的IEEE 802.1x认证具体配置方法将在本书第21章介绍。

综合分析本示例的要求，可以得出它的基本配置思路。

总体来说包括以下四个方面：在交换机和对应的端口上启用IEEE 802.1x认证和基于MAC地址的接入控制；配置iMC RADIUS认证/授权、计费服务器功能；配置RADIUS方案；配置IEEE 802.1x用户ISP域AAA方案。

下面分别予以介绍。

1．交换机上8021x认证配置[Switch] dot1x !---开启全局8021x认证[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] dot1x !---开启端口GigabitEthernet1/0/1的8021x认证[Switch-GigabitEthernet1/0/1] quit[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---设置接入控制方式（该命令可以不配置，因为端口的接入控制在默认情况下就是基于MAC地址的）2. 配置iMC RADIUS服务器本示例中的iMC服务器配置与上节示例中的iMC服务器配置主要多了计费功能的配置。

AAA协议介绍协议名称：AAA协议介绍一、背景介绍AAA协议（Authentication, Authorization, and Accounting）是一种用于网络访问控制和用户身份验证的协议。

它由认证（Authentication）、授权（Authorization）和计费（Accounting）三个部分组成，旨在确保网络资源的安全性和合理使用。

AAA协议被广泛应用于各种网络环境，包括企业内部网络、云计算环境和无线网络等。

二、认证（Authentication）1. 目标：确保用户的身份合法性，防止未经授权的用户访问网络资源。

2. 实施方式：AAA协议采用多种认证方式，包括用户名和密码、数字证书、双因素认证等。

用户在访问网络资源前，需要提供有效的身份凭证进行认证。

3. 认证流程：a) 用户发起网络访问请求。

b) 认证服务器接收请求，并要求用户提供身份凭证。

c) 用户提供身份凭证，认证服务器验证凭证的合法性。

d) 认证服务器向用户发送认证结果，如果认证成功，则用户可以继续访问网络资源。

三、授权（Authorization）1. 目标：根据用户的身份和权限，控制其对网络资源的访问权限。

2. 实施方式：AAA协议通过授权服务器对用户进行授权管理，根据用户的身份和权限，决定其能够访问的网络资源和操作权限。

3. 授权流程：a) 用户认证成功后，认证服务器将用户身份信息传递给授权服务器。

b) 授权服务器根据用户身份和权限，生成访问策略，并将策略传递给网络设备。

c) 网络设备根据策略对用户进行访问控制，限制其对网络资源的访问权限。

四、计费（Accounting）1. 目标：对用户的网络资源使用情况进行记录和计费，实现资源的合理分配和费用管理。

2. 实施方式：AAA协议通过计费服务器对用户的网络资源使用情况进行记录和计费。

3. 计费流程：a) 用户访问网络资源时，网络设备将用户的访问记录发送给计费服务器。

运营商AAA方案一、引言随着移动通信和互联网的迅速发展，运营商面临着越来越多的挑战和机遇。

在这样的背景下，运营商必须不断提高其服务水平，以满足用户的需求，并在激烈的市场竞争中脱颖而出。

AAA （Authentication, Authorization, and Accounting）方案是一种用于运营商网络中用户身份验证、授权和计费的解决方案，它可以帮助运营商提高运营效率、增强用户体验，并提高其竞争力。

二、AAA方案的基本概念1. 认证（Authentication）认证是指通过验证用户的身份来确定其是否有权访问网络资源。

传统的认证方式包括用户名和密码、数字证书、智能卡等。

认证的目的是防止未经授权的用户访问网络资源，确保网络的安全性。

2. 授权（Authorization）授权是指根据用户的身份和权限，授予用户访问网络资源的权限。

通过授权，运营商可以根据用户的身份和需求，灵活地控制用户访问的资源和服务范围，保证网络资源的合理利用。

3. 计费（Accounting）计费是指对用户使用网络资源的情况进行监控和计费。

通过计费，运营商可以实时监控用户的网络使用情况，了解用户的需求，为用户提供个性化的服务，并根据用户的消费情况进行精准的计费。

AAA方案将认证、授权和计费整合在一起，通过统一的身份认证和计费系统，实现对用户的身份验证、资源授权和费用计费的自动化管理，提高了运营商的运营效率和用户体验。

三、AAA方案在运营商网络中的应用1. 移动通信网络在移动通信网络中，AAA方案被广泛应用于用户接入控制、流量控制和计费管理等方面。

通过AAA服务器对用户进行身份认证和授权，运营商可以有效地控制用户的访问行为，避免因用户滥用网络资源而导致的网络拥堵和安全问题。

同时，AAA方案还可以实现对用户通信费用的精确计费，为用户提供个性化的资费套餐和服务，提升用户满意度。

2. 互联网接入服务在互联网接入服务中，AAA方案也扮演着重要的角色。

AAA配置实例+注解cisco上配置AAA，AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。

Authentication(认证)：对用户的身份进行认证，决定是否允许此用户访问网络设备。

Authorization（授权）:针对用户的不同身份，分配不同的权限，限制每个用户的操作Accounting（计费）：对每个用户的操作进行审计和计费我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。

RADIUS是标准的协议，很多厂商都支持。

TACACS+是cisco私有的协议，私有意味只有cisco可以使用，TACACS+增加了一些额外的功能。

当用户的身份被认证服务器确认后，用户在能管理交换机或者才能访问网络；在访问设备的时候，我们可以针对这个用户授权，限制用户的行为；最后我们将记录用在设备的进行的操作。

在认证的时候，有一下这些方法：1.在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的收，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性。

2.使用一台或多台（组）外部RADIUS服务器认证3.使用一台或多台（组）外部TACACS+服务器认证用一个配置实例，说明交换机上操作username root secret cisco#在交换机本地设置一个用户，用户名是root，密码是cisco。

aaa new-model#在交换机上激活AAAaaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序，先到tacacs+服务器认证，如果tacacs+服务器出现了故障，不能使用tacacs+认证，我们可以使用交换机的本地数据库认证，也就是用户名root密码ciscoaaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证，那么用户就能获得服务器的允许，运行交换机的EXEC对话aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可，如果tacacs+出现故障，则要通过本地数据库许可aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间，记录的过程是从开始到结束aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+!tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为ciscoline vty04login authentication defaultauthorization exec defaultaccounting exec default最近在搭建公司的ACS，总结了一些经验写在这里。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如***************就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。