华为交换机 A配置与管理-USB迷|专注于互联网分享

2024年5月2日发(作者：仰天韵)

AAA配置与管理

一、基础

1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简

称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting

是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认

证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证

的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：

C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以

是一台或多台、不一定是接入设备）

3、AAA基于域的用户管理：

通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或

hwtacacs服务器模板，相当于对用户进行分类管理

缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管

理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin

为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，域，如果

用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服

务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议

Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口

Radius服务器维护三个数据库：

Users:存储用户信息（用户名、口令、使用的协议、IP地址等）

Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）

Dictionary：存储radius协议中的属性和属性值含义

Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络

来传输。

5、hwtacacs协议

Hwtacacs是在tacacs（rfc1492）基础上进行了功能增强的安全协议，与radius协议类似，