AAA和RADIUS HWTACACS协议

AAA 及RADIUS 协议配置一、aaa 及radius 协议简介1. aaa 的功能aaa 是authentication（认证）、authorization（授权）和accounting（计费）的简称。

它提供对用户进行认证、授权和计费三种安全功能。

具体如下：a、认证（authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。

b、授权（authorization）：授权用户可以使用哪些服务。

c、计费（accounting）：记录用户使用网络资源的情况。

aaa 一般采用客户／服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。

这种结构既具有良好的可扩展性，又便于用户信息的集中管理。

计费网关主要使用aaa 中的认证功能对终端用户进行认证管理。

2. radius 协议（1） radius 简介radius 是remote authentication dial-in user service（远程认证拨号用户服务）的简称，最初由livingston enterprise 公司开发，作为一种分布式的客户机／服务器系统，能提供aaa 功能。

radiu s 技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。

radius 服务包括三个组成部分：a、协议：rfc2865、2866 协议基于udp／ip 层定义了radius 帧格式及消息传输机制，并定义了1812 作为认证端口，1813 作为计费端口。

b、服务器：radius 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。

c、客户端：位于拨号访问服务器nas（network access server）侧，可以遍布整个网络。

radius 基于客户／服务器模型，nas（如路由器）作为radius 客户端，负责传输用户信息到指定的r adius 服务器，然后根据从服务器返回的信息进行相应处理（如接入／挂断用户）。

1 AAA和用户管理简介在学习AAA的配置前，先简要了解下AAA的基本知识1.1 什么AAAAAA（Authentication Authorization Accounting）是一种提供认证、授权和计费的技术。

●∙∙认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。

●∙∙授权（Authorization）：授权用户可以使用哪些服务。

●∙∙计费（Accounting）：记录用户使用网络资源的情况。

1.2 AAA的基本架构AAA通常采用“客户端—服务器”结构。

这种结构既具有良好的可扩展性，又便于集中管理用户信息。

如下图所示认证AAA支持以下认证方式：●∙∙不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

●∙∙本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。

本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。

●∙∙远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。

AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进行远端认证。

网络接入服务器NAS（Network Access Server）作为客户端，与RADIUS 服务器或HWTACACS服务器通信。

如果在一个认证方案中采用多种认证模式，将按照配置的顺序进行认证。

当配置的认证方式是先远端认证后本地认证时如果登录的帐号在远端服务器上没有创建，但是在本地是存在的，经过远端认证时，将被认为认证失败，不再转入本地认证。

只有在远端认证服务器无响应时，才会转入本地认证。

如果选用了不认证（none）或本地认证（local），它必须作为最后一种认证模式。

AAA和RADIUS介绍图1 PSTN,ISDN用户通过NAS上网示意图如图：用户lqz, lst 要求得到某些服务(如SLIP, PPP,telnet)，但必须通过NAS, 由NAS依据某种顺序与所连服务器通信从而进行验证。

注：lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如PPP PAP, CHAP等)要求lst输入用户名, 密码等信息。

lst 端出现提示，用户按提示输入。

通过与NAS 的连接，NAS 得到这些信息。

而后，NAS把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。

AAA是验证，授权和记账（Authentication,Authorization,and Accounting）的简称。

它是运行于NAS上的客户端程序。

它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。

AAA的配置实际上是对网络安全的一种管理。

这里的网络安全主要指访问控制。

包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行记账？下面简单介绍一下验证, 授权,记账的作用。

验证(Authentication): 验证用户是否可以获得访问权。

可以选择使用RADIUS协议。

授权(Authorization) :授权用户可以使用哪些服务。

记账(Accounting) :记录用户使用网络资源的情况。

AAA的实现可采用RADIUS 协议。

RADIUS 是Remote Authentication Dial In User Service 的简称，用来管理使用串口和调制解调器的大量分散用户。

网络接入服务器简称NAS(Network Access Server) 。

当用户想要通过某个网络（如电话网）与NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时, NAS起到了过问用户（或这个连接）的作用。

AAA认证认证名称由来：AAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

AAA-----身份验证 (Authentication)、授权 (Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。

奏见authentication。

authorization和accounting常用的AAA协议是Radius，参见RFC 2865，RFC 2866。

另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。

HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。

该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

组合认证模式是有先后顺序的。

例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

当组合认证模式使用不认证时，不认证（none）必须放在最后。

例如：authentication-mode radius local none。

AAA原理与配置概述 AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现，⽬前华为设备⽀持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA。

应⽤场景例如，企业总部需要对服务器的资源访问进⾏控制，只有通过认证的⽤户才能访问特定的资源，并对⽤户使⽤资源的情况进⾏记录。

NAS为⽹络接⼊服务器，负责集中收集和管理⽤户的访问请求。

AAA服务器表⽰远端的Radius 或 HWTACACS服务器，负责制定认证、授权和计费⽅案。

认证⽅式AAA有三种认证⽅式：不认证：完全信任⽤户，不对⽤户⾝份进⾏合法性检查。

本地认证：将本地⽤户信息（包括⽤户名、密码和各种属性）配置在NAS上。

缺省为本地认证。

远端认证：将⽤户信息（包括⽤户名、密码和各种属性）配置在认证服务器上。

注：如果⼀个认证⽅案采⽤多种认证⽅式，这些认证⽅式按配置顺序⽣效。

授权⽅式AAA⽀持以下三种授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据NAS上配置的本地⽤户账号的相关属性进⾏授权。

远端授权：　1. HWTACACS授权，使⽤TACACS服务器对⽤户授权。

2. RADIUS授权，对通过RADIUS服务器认证的⽤户授权。

RADIUS协议的认证和授权是绑定在⼀起的，不能单独使⽤RADIUS进⾏授权。

计费⽅式AAA⽀持以下两种计费⽅式：不计费：为⽤户提供免费上⽹服务，不产⽣相关活动⽇志。

远端计费：通过RADIUS服务器或HWTACACS服务器进⾏远端计费。

AAA域 设备基于域来对⽤户进⾏管理，每个域都可以配置不同的认证、授权和计费⽅案，⽤于对该域下的⽤户进⾏认证、授权和计费。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC 方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

目录第1章 AAA&RADIUS&HWTACACS协议配置命令................................................................1-11.1 AAA配置命令.....................................................................................................................1-11.1.1 access-limit..............................................................................................................1-11.1.2 attribute...................................................................................................................1-21.1.3 accounting...............................................................................................................1-31.1.4 accounting optional.................................................................................................1-41.1.5 authentication..........................................................................................................1-41.1.6 authorization............................................................................................................1-61.1.7 cut connection.........................................................................................................1-61.1.8 display connection...................................................................................................1-81.1.9 display domain........................................................................................................1-91.1.10 display local-user................................................................................................1-101.1.11 domain.................................................................................................................1-121.1.12 idle-cut.................................................................................................................1-131.1.13 level.....................................................................................................................1-131.1.14 local-user.............................................................................................................1-141.1.15 local-user password-display-mode......................................................................1-151.1.16 messenger...........................................................................................................1-161.1.17 name...................................................................................................................1-171.1.18 password.............................................................................................................1-181.1.19 radius-scheme.....................................................................................................1-191.1.20 scheme................................................................................................................1-191.1.21 self-service-url.....................................................................................................1-201.1.22 service-type.........................................................................................................1-221.1.23 state.....................................................................................................................1-221.1.24 vlan-assignment-mode........................................................................................1-231.2 RADIUS协议配置命令.....................................................................................................1-251.2.1 accounting optional...............................................................................................1-251.2.2 accounting-on enable............................................................................................1-261.2.3 data-flow-format....................................................................................................1-271.2.4 debugging radius...................................................................................................1-281.2.5 display local-server statistics.................................................................................1-291.2.6 display radius scheme...........................................................................................1-291.2.7 display radius statistics.........................................................................................1-311.2.8 display stop-accounting-buffer..............................................................................1-331.2.9 key.........................................................................................................................1-341.2.10 local-server..........................................................................................................1-351.2.11 nas-ip...................................................................................................................1-361.2.12 primary accounting..............................................................................................1-371.2.13 primary authentication.........................................................................................1-381.2.14 radius nas-ip........................................................................................................1-391.2.15 radius scheme.....................................................................................................1-401.2.16 radius trap...........................................................................................................1-411.2.17 reset radius statistics...........................................................................................1-421.2.18 reset stop-accounting-buffer...............................................................................1-421.2.19 retry.....................................................................................................................1-431.2.20 retry realtime-accounting.....................................................................................1-441.2.21 retry stop-accounting...........................................................................................1-451.2.22 secondary accounting.........................................................................................1-461.2.23 secondary authentication....................................................................................1-471.2.24 server-type..........................................................................................................1-481.2.25 state.....................................................................................................................1-491.2.26 stop-accounting-buffer enable.............................................................................1-501.2.27 timer....................................................................................................................1-511.2.28 timer quiet............................................................................................................1-521.2.29 timer realtime-accounting....................................................................................1-521.2.30 timer response-timeout.......................................................................................1-531.2.31 user-name-format................................................................................................1-54 1.3 HWTACACS协议配置命令..............................................................................................1-551.3.1 data-flow-format....................................................................................................1-551.3.2 display hwtacacs...................................................................................................1-571.3.3 display stop-accounting-buffer..............................................................................1-581.3.4 hwtacacs nas-ip.....................................................................................................1-581.3.5 hwtacacs scheme..................................................................................................1-591.3.6 key.........................................................................................................................1-601.3.7 nas-ip.....................................................................................................................1-611.3.8 primary accounting................................................................................................1-621.3.9 primary authentication...........................................................................................1-621.3.10 primary authorization...........................................................................................1-631.3.11 reset hwtacacs statistics.....................................................................................1-641.3.12 reset stop-accounting-buffer...............................................................................1-651.3.13 retry stop-accounting...........................................................................................1-661.3.14 secondary accounting.........................................................................................1-661.3.15 secondary authentication....................................................................................1-671.3.16 secondary authorization......................................................................................1-681.3.17 timer quiet............................................................................................................1-691.3.18 timer realtime-accounting....................................................................................1-691.3.19 timer response-timeout.......................................................................................1-701.3.20 user-name-format................................................................................................1-71第1章 AAA&RADIUS&HWTACACS协议配置命令1.1 AAA配置命令1.1.1 access-limit【命令】access-limit { disable | enable max-user-number }undo access-limit【视图】ISP域视图【参数】disable：表示不限制当前ISP域可容纳的接入用户数。